Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Concevez votre solution pour Amazon ECS
Avant d'utiliser AmazonECS, vous devez prendre des décisions concernant la capacité, le réseau, les paramètres du compte et la journalisation afin de pouvoir configurer correctement vos ECS ressources Amazon.
Capacité
La capacité est l'infrastructure dans laquelle vos conteneurs fonctionnent. Les options sont les suivantes :
-
EC2Instances Amazon
-
Sans serveur ()AWS Fargate (Fargate)
-
Machines virtuelles (VM) ou serveurs sur site
Vous spécifiez l'infrastructure lorsque vous créez un cluster. Vous spécifiez également le type d'infrastructure lorsque vous enregistrez une définition de tâche. La définition de la tâche désigne l'infrastructure sous le nom de « type de lancement ». Vous utilisez également le type de lancement lorsque vous exécutez une tâche autonome ou que vous déployez un service. Pour plus d'informations sur les options de type de lancement, consultezTypes de ECS lancement d'Amazon.
Réseaux
AWS les ressources sont créées dans des sous-réseaux. Lorsque vous utilisez EC2 des instances, Amazon ECS lance les instances dans le sous-réseau que vous spécifiez lorsque vous créez un cluster. Vos tâches s'exécutent dans le sous-réseau de l'instance. Pour Fargate ou les machines virtuelles locales, vous devez spécifier le sous-réseau lorsque vous exécutez une tâche ou créez un service.
Selon votre application, le sous-réseau peut être un sous-réseau privé ou public et le sous-réseau peut se trouver dans l'une des ressources suivantes : AWS
-
Zones de disponibilité
-
Local Zones
-
Zones Wavelength
-
Régions AWS
-
AWS Outposts
Pour plus d’informations, consultez ECSApplications Amazon dans des sous-réseaux partagés, des zones Locales et des zones de longueur d'onde ou Amazon Elastic Container Service sur AWS Outposts.
Vous pouvez connecter votre application à Internet en utilisant l'une des méthodes suivantes :
-
Un sous-réseau public avec une passerelle Internet
Utilisez des sous-réseaux publics lorsque vous avez des applications publiques qui nécessitent de grandes quantités de bande passante ou une latence minimale. Les scénarios applicables incluent le streaming vidéo et les services de jeux.
-
Un sous-réseau privé avec une passerelle NAT
Utilisez des sous-réseaux privés lorsque vous souhaitez protéger vos conteneurs d'un accès externe direct. Les scénarios applicables incluent les systèmes de traitement des paiements ou les conteneurs stockant les données utilisateur et les mots de passe.
Accès aux fonctionnalités
Vous pouvez utiliser les paramètres de votre ECS compte Amazon pour accéder aux fonctionnalités suivantes :
-
Container Insights
CloudWatch Container Insights collecte, agrège et résume les métriques et les journaux de vos applications conteneurisées et de vos microservices. Les métriques incluent l'utilisation de ressources telles que la mémoireCPU, le disque et le réseau.
-
awsvpc
tronquagePour certains types d'EC2instances, des interfaces réseau supplémentaires (ENIs) peuvent être disponibles sur les instances de conteneur récemment lancées.
-
Autorisation de balisage
Les utilisateurs doivent disposer d'autorisations pour les actions qui créent une ressource, telles que
ecsCreateCluster
. Si des balises sont spécifiées dans l'action de création de ressources, octroie AWS une autorisation supplémentaire à l'ecs:TagResource
action afin de vérifier si les utilisateurs ou les rôles sont autorisés à créer des balises. Conformité à la norme FIPS Fargate -140
Fargate prend en charge la norme fédérale de traitement de l'information FIPS (-140) qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. Il s'agit de la norme gouvernementale actuelle des États-Unis et du Canada, applicable aux systèmes qui doivent être conformes à la loi fédérale sur la gestion de la sécurité de l'information (FISMA) ou au programme fédéral de gestion des risques et des autorisations (FedRAMP).
-
Modification de l'heure de fin de la tâche Fargate
Vous pouvez configurer la période d'attente avant que les tâches Fargate ne soient retirées pour être corrigées.
-
Double pile VPC
Autorisez les tâches à communiquer entre elles IPv4IPv6, ou les deux.
-
Format du nom de ressource Amazon (ARN)
Certaines fonctionnalités, telles que l'autorisation de balisage, nécessitent un nouveau format Amazon Resource Name (ARN).
Pour de plus amples informations, veuillez consulter Accédez aux ECS fonctionnalités d'Amazon avec les paramètres du compte.
IAMrôles
Un IAM rôle est une IAM identité que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Dans AmazonECS, vous pouvez créer des rôles pour accorder des autorisations à ECS des ressources Amazon telles que des conteneurs ou des services.
Certaines ECS fonctionnalités d'Amazon nécessitent des rôles. Pour de plus amples informations, veuillez consulter IAMrôles pour Amazon ECS.
Journalisation
La journalisation et la surveillance sont des aspects importants du maintien de la fiabilité, de la disponibilité et des performances des ECS charges de travail Amazon. Les options suivantes sont disponibles :
-
Amazon CloudWatch logs - acheminer les journaux vers Amazon CloudWatch
-
FireLenspour Amazon ECS : acheminez les journaux vers un AWS service ou une AWS Partner Network destination pour le stockage et l'analyse des journaux. AWS Partner Network Il s'agit d'une communauté mondiale de partenaires qui tire parti des programmes, de l'expertise et des ressources pour créer, commercialiser et vendre des offres aux clients.