Concevez votre solution pour Amazon ECS - Amazon Elastic Container Service
CapacitéPoints de terminaison de serviceRéseauxAccès aux fonctionnalitésRôles IAMJournalisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Concevez votre solution pour Amazon ECS

Le schéma suivant montre le cycle de vie de l'application et son fonctionnement avec les composants Amazon ECS.

Schéma illustrant les couches de capacité, de contrôleur et de provisionnement.

Vous devez concevoir vos applications de manière à ce qu'elles puissent s'exécuter sur des conteneurs. Un conteneur est une unité standardisée de développement logiciel qui contient tout ce dont votre application logicielle a besoin pour être exécutée. Cela inclut le code, l'exécution, les outils système et les bibliothèques système pertinents. Les conteneurs sont créés à partir d'un modèle en lecture seule appelé image. Les images sont généralement créées à partir d'un fichier Dockerfile. Un Dockerfile est un fichier en texte brut qui contient les instructions pour créer un conteneur. Après leur création, ces images sont stockées dans un registre, comme Amazon ECR, d'où elles peuvent être téléchargées.

Après avoir créé et stocké votre image, vous créez une définition de tâche Amazon ECS. Une définition de tâche est le plan de votre application. Il s'agit d'un fichier texte au format JSON qui décrit les paramètres et un ou plusieurs conteneurs qui forment votre application. Par exemple, vous pouvez l'utiliser pour spécifier l'image et les paramètres du système d'exploitation, les conteneurs à utiliser, les ports à ouvrir pour votre application et les volumes de données à utiliser avec les conteneurs dans la tâche. Les paramètres spécifiques disponibles pour votre définition de tâche dépendent des besoins de votre application spécifique.

Après avoir défini votre définition de tâche, vous la déployez sous forme de service ou de tâche sur votre cluster. Un cluster est un regroupement logique de tâches ou de services qui s'exécute sur l'infrastructure de capacité enregistrée dans un cluster.

Une tâche est l'instanciation d'une définition de tâche au sein d'un cluster. Vous pouvez exécuter une tâche autonome ou exécuter une tâche dans le cadre d'un service. Vous pouvez utiliser un service Amazon ECS service pour exécuter et gérer simultanément le nombre souhaité de tâches dans un cluster Amazon ECS. Le principe est le suivant : si l'une de vos tâches échoue ou s'arrête pour une raison quelconque, le planificateur de service d'Amazon ECS service lance une autre instance en fonction de votre définition de tâche. Il procède ainsi pour le remplacer et donc maintenir le nombre de tâches souhaité dans le service.

L'agent de conteneur s'exécute sur chaque instance de conteneur dans un cluster Amazon ECS. L'agent envoie à Amazon ECS des informations relatives aux tâches en cours d'exécution et à l'utilisation des ressources de vos conteneurs. Il démarre et arrête les tâches lorsqu'il reçoit une requête de la part d'Amazon ECS.

Une fois la tâche ou le service déployés, vous pouvez utiliser l'un des outils suivants pour surveiller votre déploiement et votre application :

  • CloudWatch

  • Surveillance d'exécution

Capacité

La capacité est l'infrastructure dans laquelle vos conteneurs fonctionnent. Les options sont les suivantes :

  • EC2 Instances Amazon

  • Sans serveur ()AWS Fargate

  • Machines virtuelles (VM) ou serveurs sur site

Vous spécifiez l'infrastructure lorsque vous créez un cluster. Vous spécifiez également le type d'infrastructure lorsque vous enregistrez une définition de tâche. La définition de la tâche désigne l'infrastructure sous le nom de « type de lancement ». Vous utilisez également le type de lancement lorsque vous exécutez une tâche autonome ou que vous déployez un service. Pour plus d'informations sur les options de type de lancement, consultezTypes de lancement Amazon ECS.

Points de terminaison de service

Le point de terminaison du service est l'URL du point d'entrée d'Amazon ECS que vous utilisez pour vous connecter au service par programmation à l'aide du protocole Internet version 4 (IPv4) ou du protocole Internet version 6 (IPv6). Par défaut, les demandes que vous effectuez pour vous connecter à Amazon ECS par programmation utilisent des points de terminaison de service qui ne prennent en charge que les demandes. IPv4 Pour vous connecter par programmation à Amazon ECS à l'aide de l'une IPv4 ou de plusieurs IPv6 requêtes, vous pouvez utiliser un point de terminaison à double pile. Pour plus d'informations sur l'utilisation d'un point de terminaison à double pile, consultezUtilisation des points de terminaison à double pile Amazon ECS.

Réseaux

AWS les ressources sont créées dans des sous-réseaux. Lorsque vous utilisez EC2 des instances, Amazon ECS lance les instances dans le sous-réseau que vous spécifiez lorsque vous créez un cluster. Vos tâches s'exécutent dans le sous-réseau de l'instance. Pour Fargate ou les machines virtuelles locales, vous devez spécifier le sous-réseau lorsque vous exécutez une tâche ou créez un service.

Selon votre application, le sous-réseau peut être un sous-réseau privé ou public et le sous-réseau peut se trouver dans l'une des ressources suivantes : AWS

  • Zones de disponibilité

  • Zones locales

  • Zones Wavelength

  • Régions AWS

  • AWS Outposts

Pour plus d’informations, consultez Applications Amazon ECS dans des sous-réseaux partagés, des zones locales et des zones de longueur d'onde ou Amazon Elastic Container Service sur AWS Outposts.

Vous pouvez connecter votre application à Internet en utilisant l'une des méthodes suivantes :

  • Un sous-réseau public avec une passerelle Internet

    Utilisez des sous-réseaux publics lorsque vous avez des applications publiques qui nécessitent de grandes quantités de bande passante ou une latence minimale. Les scénarios applicables incluent le streaming vidéo et les services de jeux.

  • Un sous-réseau privé avec une passerelle NAT

    Utilisez des sous-réseaux privés lorsque vous souhaitez protéger vos conteneurs d'un accès externe direct. Les scénarios applicables incluent les systèmes de traitement des paiements ou les conteneurs stockant les données utilisateur et les mots de passe.

  • AWS PrivateLink

    AWS PrivateLink Utilisez-le pour bénéficier d'une connectivité privée entre les VPCs AWS services et vos réseaux locaux sans exposer votre trafic à l'Internet public.

Accès aux fonctionnalités

Vous pouvez utiliser les paramètres de votre compte Amazon ECS pour accéder aux fonctionnalités suivantes :

  • Container Insights

    CloudWatch Container Insights collecte, agrège et résume les métriques et les journaux de vos applications conteneurisées et de vos microservices. Les métriques incluent l'utilisation des ressources telles que l'UC, la mémoire, le disque et le réseau.

  • awsvpctronquage

    Pour certains types d' EC2 instances, des interfaces réseau supplémentaires (ENIs) peuvent être disponibles sur les instances de conteneur récemment lancées.

  • Autorisation de balisage

    Les utilisateurs doivent disposer d'autorisations pour les actions qui créent une ressource, telles queecsCreateCluster. Si des balises sont spécifiées dans l'action de création de ressources, octroie AWS une autorisation supplémentaire à l'ecs:TagResourceaction afin de vérifier si les utilisateurs ou les rôles sont autorisés à créer des balises.

  • Conformité de Fargate à la norme FIPS-140

    Fargate prend en charge la norme Federal Information Processing Standard (FIPS-140), qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent des informations sensibles. Il s'agit de la norme gouvernementale en vigueur aux États-Unis et au Canada, applicable aux systèmes qui doivent être conformes à la loi sur la gestion de la sécurité des informations fédérales (FISMA) ou au programme fédéral de gestion des risques et des autorisations (FedRAMP).

  • Modification de l'heure de fin de la tâche Fargate

    Vous pouvez configurer la période d'attente avant que les tâches Fargate ne soient retirées pour être corrigées.

  • VPC à double pile

    Autorisez les tâches à communiquer entre IPv6 elles ou les deux. IPv4

  • Format Amazon Resource Name (ARN)

    Certaines fonctionnalités, telles que l'autorisation de balisage, nécessitent un nouveau format Amazon Resource Name (ARN).

Pour de plus amples informations, veuillez consulter Accédez aux fonctionnalités d'Amazon ECS avec les paramètres du compte.

Rôles IAM

Un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques. Dans Amazon ECS, vous pouvez créer des rôles pour accorder des autorisations à des ressources Amazon ECS telles que des conteneurs ou des services.

Certaines fonctionnalités d'Amazon ECS nécessitent des rôles. Pour de plus amples informations, veuillez consulter Rôles IAM pour Amazon ECS.

Journalisation

La journalisation et la surveillance sont des aspects importants du maintien de la fiabilité, de la disponibilité et des performances des charges de travail Amazon ECS. Les options suivantes sont disponibles :

  • Amazon CloudWatch logs - acheminer les journaux vers Amazon CloudWatch

  • FireLenspour Amazon ECS : acheminez les journaux vers un AWS service ou une AWS Partner Network destination pour le stockage et l'analyse des journaux. AWS Partner Network Il s'agit d'une communauté mondiale de partenaires qui tire parti des programmes, de l'expertise et des ressources pour créer, commercialiser et vendre des offres aux clients.