Options de mise en réseau des tâches Amazon ECS pour le type de lancement Fargate - Amazon Elastic Container Service
ConsidérationsUtilisation d'un VPC en mode double pile

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Options de mise en réseau des tâches Amazon ECS pour le type de lancement Fargate

Par défaut, chaque tâche Amazon ECS sur Fargate reçoit une interface réseau Elastic (ENI) avec une adresse IP privée principale. Lorsque vous utilisez un sous-réseau public, vous pouvez éventuellement attribuer une adresse IP publique à l'ENI de la tâche. Si votre VPC est configuré pour le mode double pile et que vous utilisez un sous-réseau avec un bloc d'adresse CIDR IPv6, l'ENI de votre tâche reçoit également une adresse IPv6. Une tâche ne peut avoir qu'une seule ENI associée à la fois. Les conteneurs qui appartiennent à la même tâche peuvent également communiquer via l'interface localhost. Pour plus d'informations sur l'utilisation des VPC et des sous-réseaux, veuillez consulter VPC et sous-réseaux dans le Guide de l'utilisateur Amazon VPC.

Pour qu'une tâche sur Fargate puisse extraire une image de conteneur, la tâche doit avoir un routage vers Internet. L'exemple suivant décrit également comment vous pouvez vérifier le routage vers Internet pour votre tâche.

  • Lorsque vous utilisez un sous-réseau public, vous pouvez attribuer une adresse IP publique à l'ENI de la tâche.

  • Lorsque vous utilisez un sous-réseau privé, une passerelle NAT peut être attachée au sous-réseau.

  • Lorsque vous utilisez des images de conteneur hébergées dans Amazon ECR, vous pouvez configurer Amazon ECR pour utiliser un point de terminaison VPC d'interface et l'extraction de l'image se produit sur l'adresse IPv4 privée de la tâche. Pour plus d'informations, consultez Points de terminaison d’un VPC d'interface Amazon ECR (AWS PrivateLink) dans le Guide de l'utilisateur Amazon Elastic Container Registry.

Dans la mesure où chaque tâche obtient sa propre ENI, vous pouvez utiliser des fonctionnalités de mise en réseau telles que les journaux de flux VPC, que vous pouvez utiliser pour surveiller le trafic vers et depuis vos tâches. Pour plus d’informations, consultez la rubrique Journaux de flux VPC dans le Guide de l’utilisateur Amazon VPC.

Vous pouvez également en profiter AWS PrivateLink. Vous pouvez configurer un point de terminaison d'interface VPC afin de pouvoir accéder aux API Amazon ECS via des adresses IP privées. AWS PrivateLink restreint tout le trafic réseau entre votre VPC et Amazon ECS vers le réseau Amazon. Vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ni d'une passerelle privée virtuelle. Pour plus d'informations, consultez AWS PrivateLink dans le Guide des bonnes pratiques Amazon ECS.

Pour des exemples d'utilisation de la NetworkConfiguration ressource avec AWS CloudFormation, voirCréation de ressources Amazon ECS à l'aide de piles distinctes.

Les ENI créées sont entièrement gérées par AWS Fargate. De plus, une politique IAM associée est utilisée pour accorder des autorisations pour Fargate. Pour les tâches utilisant la version 1.4.0 de la plateforme Fargate ou une version ultérieure, la tâche reçoit une seule ENI (appelée ENI de tâche) et tout le trafic réseau passe par cette ENI au sein de votre VPC. Ce trafic est enregistré dans les journaux de flux de votre VPC. Pour les tâches qui utilisent la version 1.3.0 de la plateforme Fargate et les versions antérieures, en plus de l'ENI de la tâche, la tâche reçoit également une ENI distincte détenue par Fargate, qui est utilisée pour certains trafics réseau qui ne sont pas visibles dans les journaux de flux VPC. Le tableau suivant décrit le comportement du trafic réseau et la stratégie IAM requise pour chaque version de plateforme.

Action

Flux de trafic avec les versions 1.3.0 et antérieures de la plateforme Linux

Flux de trafic avec la version 1.4.0 de la plateforme Linux

Flux de trafic avec la version 1.0.0 de la plateforme Windows

Autorisation IAM

Récupération des informations d'identification de connexion Amazon ECR

ENI Fargate

ENI de tâche

ENI de tâche

Rôle IAM d'exécution de tâche

Extraction d'image

ENI de tâche

ENI de tâche

ENI de tâche

Rôle IAM d'exécution de tâche

Envoi de journaux via un pilote de journal

ENI de tâche

ENI de tâche

ENI de tâche

Rôle IAM d'exécution de tâche

Envoi de journaux FireLens pour Amazon ECS

ENI de tâche

ENI de tâche

ENI de tâche

Rôle IAM de tâche

Récupération de secrets à partir de Secrets Manager ou de Systems Manager

ENI Fargate

ENI de tâche

ENI de tâche

Rôle IAM d'exécution de tâche

Trafic du système de fichiers Amazon EFS

Non disponible

ENI de tâche

ENI de tâche

Rôle IAM de tâche

Trafic d'application

ENI de tâche

ENI de tâche

ENI de tâche

Rôle IAM de tâche

Considérations

Tenez compte des éléments suivants lorsque vous utilisez le réseau de tâches.

  • Le rôle lié au service Amazon ECS est requis pour fournir à Amazon ECS les autorisations nécessaires pour passer des appels vers d'autres AWS services en votre nom. Ce rôle est généré lorsque vous créez un cluster, ou si vous créez ou mettez à jour un service dans la AWS Management Console. Pour plus d’informations, consultez Utilisation des rôles liés à un service pour Amazon ECS. Vous pouvez également créer le rôle lié à un service à l'aide de la commande suivante AWS CLI .

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Amazon ECS remplit le nom d'hôte de la tâche avec un nom d'hôte DNS fourni par Amazon lorsque les options enableDnsHostnames et enableDnsSupport sont activées sur votre VPC. Si ces options ne sont pas activées, le nom d'hôte DNS de la tâche est un nom d'hôte aléatoire. Pour plus d'informations sur les paramètres DNS d'un VPC, veuillez consulter la rubrique Utilisation de DNS avec votre VPC dans le Guide de l'utilisateur Amazon VPC.

  • Vous pouvez uniquement spécifier jusqu'à 16 sous-réseaux et 5 groupes de sécurité pour awsVpcConfiguration. Pour plus d'informations, consultez le AwsVpcConfigurationmanuel Amazon Elastic Container Service API Reference.

  • Vous ne pouvez pas détacher ou modifier manuellement les ENI créées et attachées par Fargate. L'objectif est d'empêcher la suppression accidentelle de toute ENI associée à une tâche en cours d'exécution. Pour libérer les ENI d'une tâche, arrêtez cette dernière.

  • Si un sous-réseau VPC est mis à jour pour modifier l'ensemble d'options DHCP qu'il utilise, vous ne pouvez pas également appliquer ces modifications aux tâches existantes qui utilisent le VPC. Démarrez de nouvelles tâches, qui recevront le nouveau paramètre pour migrer en douceur tout en testant la nouvelle modification, puis arrêtez les anciennes, si aucune restauration n'est requise.

  • Les tâches lancées dans des sous-réseaux avec des blocs CIDR IPv6 ne reçoivent qu'une adresse IPv6 lors de l'utilisation de la version 1.4.0 de la plateforme Fargate ou version ultérieure pour Linux ou 1.0.0 pour Windows.

  • Pour les tâches utilisant la version 1.4.0 de la plateforme ou ultérieure pour Linux ou 1.0.0 pour Windows, les ENI de tâche prennent en charge les trames jumbo. Les interfaces réseau sont configurées avec une unité de transmission maximale (MTU), qui correspond à la taille de la charge utile la plus élevée possible dans une seule trame. Plus la MTU est importante, plus la charge utile de l'application peut s'intégrer dans une seule trame. Cela réduit les frais généraux par trame et augmente l'efficacité. La prise en charge des trames jumbo limite la surcharge lorsque le chemin réseau entre votre tâche et la destination prend en charge les trames jumbo.

  • Les services comportant des tâches qui utilisent le type de lancement Fargate prennent uniquement en charge les équilibreurs de charge Application Load Balancer et Network Load Balancer. L'équilibreur de charge Classic Load Balancer n'est pas pris en charge. Lorsque vous créez des groupes cibles pour ces services, vous devez choisir le type de cible ip, et non instance. Pour plus d’informations, consultez Utiliser l'équilibrage de charge pour distribuer le trafic du service Amazon ECS.

Utilisation d'un VPC en mode double pile

Lorsque vous utilisez un VPC en mode double pile, vos tâches peuvent communiquer via IPv4, IPv6 ou les deux. Les adresses IPv4 et IPv6 sont indépendantes les unes des autres et vous devez configurer le routage et la sécurité dans votre VPC séparément pour IPv4 et IPv6. Pour plus d'informations sur la configuration de votre VPC pour le mode double pile, veuillez consulter la rubrique Migration vers IPv6 dans le Guide de l'utilisateur Amazon VPC.

Si les conditions suivantes sont réunies, des tâches Amazon ECS sur Fargate sont attribuées à une adresse IPv6 :

  • Les paramètres de votre dualStackIPv6 compte Amazon ECS sont activés (enabled) pour que le principal IAM lance vos tâches dans la région dans laquelle vous les lancez. Ce paramètre ne peut être modifié qu'à l'aide de l'API ou AWS CLI. Vous avez la possibilité d'activer ce paramètre pour un principal IAM spécifique sur votre compte ou pour l'ensemble de votre compte en définissant les paramètres par défaut de votre compte. Pour plus d’informations, consultez Accédez aux fonctionnalités d'Amazon ECS avec les paramètres du compte.

  • Votre VPC et votre sous-réseau sont activés pour IPv6. Pour plus d'informations sur la configuration de votre VPC pour le mode double pile, consultez la rubrique Migration vers IPv6 dans le Guide de l'utilisateur Amazon VPC.

  • Votre sous-réseau est activé pour l'attribution automatique d'adresses IPv6. Pour plus d'informations sur la configuration de votre sous-réseau, veuillez consulter Modifier l'attribut d'adressage IPv6 de votre sous-réseau dans le Guide de l'utilisateur Amazon VPC.

  • La tâche ou le service utilise la version de plateforme 1.4.0 Fargate ou une version ultérieure pour Linux.

Si vous configurez votre VPC avec une passerelle Internet ou une passerelle Internet sortante uniquement, les tâches Amazon ECS sur Fargate auxquelles une adresse IPv6 est attribuée peuvent accéder à Internet. Les passerelles NAT ne sont pas nécessaires. Pour plus d'informations, veuillez consulter les rubriques Passerelles Internet et Passerelle Internet en sortie uniquement dans le Guide de l'utilisateur Amazon VPC.