Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques pour connecter Amazon ECS aux AWS services depuis votre VPC
Pour qu'Amazon ECS fonctionne correctement, l'agent de conteneur Amazon ECS qui s'exécute sur chaque hôte doit communiquer avec le plan de contrôle Amazon ECS. Si vous stockez vos images de conteneur dans Amazon ECR, les EC2 hôtes Amazon doivent communiquer avec le point de terminaison du service Amazon ECR et avec Amazon S3, où les couches d'images sont stockées. Si vous utilisez d'autres AWS services pour votre application conteneurisée, tels que les données persistantes stockées dans DynamoDB, vérifiez que ces services disposent également de la prise en charge réseau nécessaire.
Passerelle NAT
L'utilisation d'une passerelle NAT est le moyen le plus simple de garantir que vos tâches Amazon ECS peuvent accéder à d'autres AWS services. Pour plus d'informations sur cette approche, consultezSous-réseau privé et passerelle NAT.
Les inconvénients de cette approche sont les suivants :
-
Vous ne pouvez pas limiter les destinations avec lesquelles la passerelle NAT peut communiquer. Vous ne pouvez pas non plus limiter les destinations vers lesquelles votre niveau principal peut communiquer sans interrompre toutes les communications sortantes de votre VPC.
-
Les passerelles NAT facturent chaque Go de données qui les transite. Si vous utilisez la passerelle NAT pour l'une des opérations suivantes, chaque Go de bande passante vous est facturé :
-
Téléchargement de fichiers volumineux depuis Amazon S3
-
Exécution d'un volume élevé de requêtes de base de données vers DynamoDB
-
Extraction d'images depuis Amazon ECR
De plus, les passerelles NAT prennent en charge 5 Gbit/s de bande passante et s'adaptent automatiquement à 45 Gbit/s. Si vous effectuez un routage via une seule passerelle NAT, les applications qui nécessitent des connexions à très haut débit peuvent se heurter à des contraintes réseau. Pour contourner le problème, vous pouvez répartir votre charge de travail sur plusieurs sous-réseaux et attribuer à chaque sous-réseau sa propre passerelle NAT.
-
AWS PrivateLink
AWS PrivateLink fournit une connectivité privée entre VPCs les AWS services et vos réseaux locaux sans exposer votre trafic à l'Internet public.
Un point de terminaison VPC permet des connexions privées entre votre VPC et les services pris en charge et les services AWS de point de terminaison VPC. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon. Un point de terminaison VPC ne nécessite pas de passerelle Internet, de passerelle privée virtuelle, de périphérique NAT, de connexion VPN ou AWS Direct Connect de connexion. EC2Les instances Amazon de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec les ressources du service.
Le schéma suivant montre comment fonctionne la communication avec les AWS services lorsque vous utilisez des points de terminaison VPC au lieu d'une passerelle Internet. AWS PrivateLink fournit des interfaces réseau élastiques (ENIs) à l'intérieur du sous-réseau, et les règles de routage VPC sont utilisées pour envoyer toute communication au nom d'hôte du service via l'ENI, directement au service de destination. AWS Ce trafic n'a plus besoin d'utiliser la passerelle NAT ou la passerelle Internet.
Voici quelques-uns des points de terminaison VPC courants utilisés avec le service Amazon ECS.
De nombreux autres AWS services prennent en charge les points de terminaison VPC. Si vous utilisez intensivement un AWS service, vous devez consulter la documentation spécifique à ce service et savoir comment créer un point de terminaison VPC pour ce trafic.
