Clusters Amazon ECS pour le type de lancement externe - Amazon Elastic Container Service
Systèmes d'exploitation et architectures système pris en chargeConsidérations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clusters Amazon ECS pour le type de lancement externe

Amazon ECS Anywhere fournit un support pour l'enregistrement d'une Instance externe, telle qu'un serveur sur site ou une machine virtuelle (VM), sur votre cluster Amazon ECS. Les instances externes sont optimisées pour exécuter des applications qui génèrent du trafic sortant ou des données de processus. Si votre application nécessite du trafic entrant, l'absence de prise en charge d'Elastic Load Balancing rend l'exécution de ces applications moins efficace. Amazon ECS a ajouté un nouveau type de lancement EXTERNAL que vous pouvez utiliser pour créer des services ou exécuter des tâches sur vos instances externes.

Vous trouverez ci-dessous une présentation de l'architecture système de haut niveau d'Amazon ECS Anywhere. L'agent Amazon ECS et l'agent SSM sont installés sur votre serveur sur site.

Diagramme montrant l'architecture d'Amazon ECS Anywhere.

Systèmes d'exploitation et architectures système pris en charge

Les informations ci-dessous présentent la liste des systèmes d'exploitation et des architectures système pris en charge.

  • Amazon Linux 2

  • CentOS 7

  • RHEL 7, RHEL 8 — Ni les référentiels de paquets ouverts de Docker ou de RHEL ne prennent en charge l'installation native de Docker sur RHEL. Vous devez vous assurer que Docker est installé avant d'exécuter le script d'installation décrit dans ce document.

  • Fedora 32, Fedora 33

  • openSUSE Tumbleweed

  • Ubuntu 18, Ubuntu 20, Ubuntu 22

  • Debian 10

    Important

    La prise en charge de Debian 9 Long Term (prise en charge LTS) a pris fin le 30 juin 2022 et n'est plus compatible avec Amazon ECS Anywhere.

  • Debian 11

  • Debian 12

  • SUSE Enterprise Server 15

  • Les architectures d'UC x86_64 et ARM64 sont prises en charge.

  • Les versions de système d'exploitation Windows suivantes sont prises en charge :

    • Windows Server 2022

    • Windows Server 2019

    • Windows Server 2016

    • Windows Server 20H2

Considérations

Avant de démarrer l'utilisation des instances externes, tenez compte des considérations suivantes.

  • Vous pouvez enregistrer une instance externe dans un cluster à la fois. Pour plus d'informations sur l'enregistrement d'une instance externe auprès d'un autre cluster, veuillez consulter Annulation de l'enregistrement d'une instance externe Amazon ECS.

  • Vos instances externes ont besoin d'un rôle IAM qui leur permet de communiquer avec les AWS API. Pour plus d’informations, consultez Rôle IAM dans Amazon ECS Anywhere.

  • Vos instances externes ne doivent pas avoir de chaîne d'informations d'identification d'instance préconfigurée définie localement, car cela interférera avec le script d'enregistrement.

  • Pour envoyer des journaux de conteneur à CloudWatch Logs, assurez-vous de créer et de spécifier un rôle IAM d'exécution de tâche dans la définition de votre tâche.

  • Lorsqu'une instance externe est enregistrée dans un cluster, la valeur ecs.capability.external est associée à l'instance. Cet attribut identifie l'instance en tant qu'instance externe. Vous pouvez ajouter des attributs personnalisés à vos instances externes pour les utiliser comme contrainte de placement de tâches. Pour plus d’informations, consultez Attributs personnalisés.

  • Vous pouvez ajouter des balises de ressources à votre instance externe. Pour plus d’informations, consultez Instances de conteneurs externes.

  • ECS Exec est pris en charge sur les instances externes. Pour plus d’informations, consultez Surveillez les conteneurs Amazon ECS avec ECS Exec.

  • Vous trouverez ci-dessous des considérations supplémentaires spécifiques aux réseaux avec vos instances externes. Pour plus d’informations, consultez Réseaux .

    • La répartition de charge de service n'est pas prise en charge.

    • La découverte de service n'est pas prise en charge.

    • Les tâches qui s'exécutent sur des instances externes doivent utiliser les modes réseau bridge, host ou none. Le mode réseau awsvpc n'est pas pris en charge.

    • Il existe des domaines de service Amazon ECS dans chaque AWS région. Ces domaines de service doivent être autorisés à envoyer du trafic vers vos instances externes.

    • Le SSM Agent installé sur votre instance externe gère les informations d'identification IAM qui effectuent une rotation toutes les 30 minutes à l'aide d'une empreinte matérielle. Si votre instance externe perd la connexion à AWS, l'agent SSM actualise automatiquement les informations d'identification une fois la connexion rétablie. Pour de plus amples informations, veuillez consulter Validation de serveurs et de machines virtuelles sur site à l'aide d'une empreinte matérielle dans le Guide de l'utilisateur AWS Systems Manager .

  • L'API UpdateContainerAgent n'est pas prise en charge. Pour obtenir des instructions sur la mise à jour du SSM Agent ou de l'agent Amazon ECS sur vos instances externes, veuillez consulter Mise à jour de l' AWS Systems Manager agent et de l'agent de conteneur Amazon ECS sur une instance externe.

  • Les fournisseurs de capacité Amazon ECS ne sont pas pris en charge. Pour créer un service ou exécuter une tâche autonome sur vos instances externes, utilisez le type de lancement EXTERNAL.

  • SELinux n'est pas pris en charge.

  • L'utilisation de volumes Amazon EFS ou la spécification d'une EFSVolumeConfiguration n'est pas prise en charge.

  • L'intégration à App Mesh n'est pas prise en charge.

  • Si vous utilisez la console pour créer une définition de tâche d'instance externe, vous devez créer la définition de tâche avec l'éditeur JSON de la console.

  • Lorsque vous exécutez ECS Anywhere sur Windows, vous devez utiliser votre propre licence Windows sur l'infrastructure sur site.

  • Lorsque vous utilisez une AMI non optimisée pour Amazon ECS, exécutez les commandes suivantes sur l'instance de conteneur externe pour configurer les règles d'utilisation des rôles IAM pour les tâches. Pour plus d’informations, consultez Configuration supplémentaire de l'instance externe.

    $ sysctl -w net.ipv4.conf.all.route_localnet=1
$ iptables -t nat -A PREROUTING -p tcp -d 169.254.170.2 --dport 80 -j DNAT --to-destination 127.0.0.1:51679
$ iptables -t nat -A OUTPUT -d 169.254.170.2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 51679

Réseaux

Les instances externes Amazon ECS sont optimisées pour exécuter des applications qui génèrent du trafic sortant ou des données de traitement. Si votre application nécessite un trafic entrant, tel qu'un service web, l'absence de prise en charge d'Elastic Load Balancing rend l'exécution de ces applications moins efficace, car il n'existe pas de prise en charge pour placer ces charges de travail derrière un équilibreur de charge.

Vous trouverez ci-dessous des considérations supplémentaires spécifiques aux réseaux avec vos instances externes.

  • La répartition de charge de service n'est pas prise en charge.

  • La découverte de service n'est pas prise en charge.

  • Les tâches Linux qui s'exécutent sur des instances externes doivent utiliser les modes réseau bridge, host ou none. Le mode réseau awsvpc n'est pas pris en charge.

    Pour plus d'informations sur chaque mode réseau, consultez Choix d'un mode réseaudans le Guide des bonnes pratiques Amazon ECS.

  • Les tâches Windows qui s'exécutent sur des instances externes doivent utiliser le mode réseau default.

  • Il existe des domaines de service Amazon ECS dans chaque région et vous devez être autorisé à envoyer du trafic vers vos instances externes.

  • Le SSM Agent installé sur votre instance externe gère les informations d'identification IAM qui effectuent une rotation toutes les 30 minutes à l'aide d'une empreinte matérielle. Si votre instance externe perd la connexion à AWS, l'agent SSM actualise automatiquement les informations d'identification une fois la connexion rétablie. Pour plus d'informations, consultez Validation de serveurs et de machines virtuelles sur site à l'aide d'une empreinte matérielle dans le Guide de l'utilisateur AWS Systems Manager .

Les domaines suivants sont utilisés pour la communication entre le service Amazon ECS service et l'agent Amazon ECS installé sur votre instance externe. Assurez-vous que le trafic est autorisé et que la résolution DNS fonctionne. Pour chaque point de terminaison, region (région) représente l'identifiant de région d'une région AWS prise en charge par Amazon ECS, telle que us-east-2 pour la région USA Est (Ohio). Les points de terminaison de toutes les régions que vous utilisez doivent être autorisés. Pour les points de terminaison ecs-a et ecs-t, vous devez inclure un astérisque (par exemple, ecs-a-*).

  • ecs-a-*.region.amazonaws.com — Ce point de terminaison est utilisé lors de la gestion des tâches.

  • ecs-t-*.region.amazonaws.com — Ce point de terminaison est utilisé pour gérer les métriques de tâche et de conteneur.

  • ecs.region.amazonaws.com — Il s'agit du point de terminaison de service pour Amazon ECS.

  • ssm.region.amazonaws.com — Il s'agit du point de terminaison du service pour AWS Systems Manager.

  • ec2messages.region.amazonaws.com— Il s'agit du point de terminaison du service AWS Systems Manager utilisé pour communiquer entre l'agent Systems Manager et le service Systems Manager dans le cloud.

  • ssmmessages.region.amazonaws.com — Il s'agit du point de terminaison requis pour créer et supprimer des canaux de session avec le service Session Manager dans le cloud.

  • Si vos tâches nécessitent une communication avec d'autres AWS services, assurez-vous que ces points de terminaison de service sont autorisés. Parmi les applications, citons l'utilisation d'Amazon ECR pour extraire des images de conteneurs ou l'utilisation de CloudWatch for CloudWatch Logs. Pour plus d'informations, consultez Points de terminaison de service dans la Référence générale AWS .

Amazon FSx for Windows File Server avec ECS Anywhere

Pour utiliser les instances externes Amazon FSx for Windows File Server d'Amazon ECS, vous devez établir une connexion entre votre centre de données sur site et le AWS Cloud. Pour plus d'informations sur la connexion de votre réseau à votre VPC, consultez Options de connectivité du cloud privé virtuel Amazon.

gMSA avec ECS Anywhere

Les cas d'utilisation suivants sont pris en charge pour ECS Anywhere.

  • L'Active Directory se trouve dans le AWS Cloud - Pour cette configuration, vous créez une connexion entre votre réseau local et l' AWS Cloud utilisation d'une AWS Direct Connect connexion. Pour en savoir plus comment créer une connexion, consultez Options de connectivité du cloud privé virtuel Amazon. Vous pouvez créer un Active Directory dans AWS Cloud. Pour plus d'informations sur la façon de démarrer AWS Directory Service, consultez la section Configuration AWS Directory Service dans le Guide d'AWS Directory Service administration. Vous pouvez ensuite joindre vos instances externes au domaine à l'aide de la AWS Direct Connect connexion. Pour en savoir plus sur l'utilisation de gMSA avec Amazon ECS, consultez Découvrez comment utiliser les GMSA pour les conteneurs Windows EC2 pour Amazon ECS.

  • Active Directory se trouve dans le centre de données sur site. - Pour cette configuration, vous joignez vos instances externes à Active Directory sur site. Vous utilisez ensuite les informations d'identification disponibles localement lorsque vous exécutez les tâches Amazon ECS.