Cluster Amazon ECS untuk jenis peluncuran eksternal - Amazon Elastic Container Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cluster Amazon ECS untuk jenis peluncuran eksternal

Amazon ECS Anywhere menyediakan dukungan untuk mendaftarkan instans eksternal seperti server lokal atau mesin virtual (VM), ke kluster Amazon ECS Anda. Instans eksternal dioptimalkan guna menjalankan aplikasi yang menghasilkan lalu lintas keluar atau data proses. Jika aplikasi Anda memerlukan lalu lintas masuk, kurangnya dukungan Elastic Load Balancing membuat menjalankan beban kerja ini menjadi kurang efisien. Amazon ECS menambahkan jenis EXTERNAL peluncuran baru yang dapat Anda gunakan untuk membuat layanan atau menjalankan tugas pada instans eksternal Anda.

Berikut ini memberikan ikhtisar arsitektur sistem tingkat tinggi Amazon ECS Anywhere. Server lokal Anda telah menginstal agen Amazon ECS dan agen SSM.

Diagram yang menunjukkan arsitektur Amazon ECS Anywhere.

Sistem pengoperasian dan arsitektur sistem yang didukung

Berikut ini merupakan daftar sistem pengoperasian dan arsitektur sistem yang didukung.

  • Amazon Linux 2

  • CentOS 7

  • CentOS Aliran 8

  • RHEL 7, RHEL 8 - Baik repositori paket terbuka Docker atau RHEL tidak mendukung penginstalan Docker secara native di RHEL. Anda harus memastikan bahwa Docker telah diinstal sebelum menjalankan skrip penginstalan yang dijelaskan dalam dokumen ini.

  • Fedora 32, Fedora 33

  • openSUSE Tumbleweed

  • Ubuntu 18, Ubuntu 20, Ubuntu 22

  • Debian 10

    penting

    Debian 9 Long Term Support (dukungan LTS) berakhir pada 30 Juni 2022 dan tidak lagi didukung oleh Amazon ECS Anywhere.

  • Debian 11

  • Debian 12 — Toolkit NVIDIA Kontainer saat ini tidak didukung di Debian 12. Anda tidak akan dapat menjalankan GPU pada instans Debian 12.

  • SUSE Enterprise Server 15

  • Arsitektur CPU x86_64 dan ARM64 didukung.

  • Versi sistem operasi Windows berikut didukung:

    • Windows Server 2022

    • Windows Server 2019

    • Windows Server 2016

    • Windows Server 20H2

Pertimbangan

Sebelum Anda mulai menggunakan instance eksternal, perhatikan pertimbangan berikut.

  • Anda dapat mendaftarkan instans eksternal ke dalam satu klaster dalam satu waktu. Untuk instruksi tentang cara mendaftarkan instans eksternal dengan klaster yang berbeda, lihat Membatalkan pendaftaran instans eksternal Amazon ECS.

  • Instance eksternal Anda memerlukan peran IAM yang memungkinkan mereka berkomunikasi dengan AWS API. Untuk informasi selengkapnya, lihat Peran IAM Amazon ECS Anywhere.

  • Instance eksternal Anda seharusnya tidak memiliki rantai kredensi instans yang telah dikonfigurasi yang ditentukan secara lokal karena ini akan mengganggu skrip pendaftaran.

  • Untuk mengirim log kontainer ke CloudWatch Log, pastikan Anda membuat dan menentukan peran IAM eksekusi tugas dalam definisi tugas Anda.

  • Ketika instans eksternal didaftarkan ke sebuah klaster, atribut ecs.capability.external dikaitkan dengan instans tersebut. Atribut ini mengidentifikasikan instans tersebut sebagai instans eksternal. Anda dapat menambahkan atribut khusus ke instans eksternal untuk digunakan sebagai batasan penempatan tugas. Untuk informasi selengkapnya, lihat Atribut kustom.

  • Anda dapat menambahkan tanda sumber daya ke instans eksternal Anda. Untuk informasi selengkapnya, lihat Contoh wadah eksternal.

  • ECS Exec didukung pada instans eksternal. Untuk informasi selengkapnya, lihat Pantau wadah Amazon ECS dengan ECS Exec.

  • Berikut ini merupakan pertimbangan tambahan yang khusus untuk jaringan dengan instans eksternal Anda. Untuk informasi selengkapnya, lihat Jaringan .

    • Penyeimbangan beban layanan tidak didukung.

    • Penemuan layanan tidak didukung.

    • Tugas yang berjalan pada instans eksternal harus menggunakan mode jaringan bridge, host, atau none. Mode jaringan awsvpc tidak didukung.

    • Ada domain layanan Amazon ECS di setiap AWS Wilayah. Domain layanan ini harus diizinkan untuk mengirim lalu lintas ke instans eksternal Anda.

    • Agen SSM yang diinstal pada instans eksternal Anda mempertahankan kredensional IAM yang diputar setiap 30 menit menggunakan sidik jari perangkat keras. Jika instans eksternal Anda kehilangan koneksi AWS, Agen SSM secara otomatis menyegarkan kredensialnya setelah koneksi dibuat kembali. Untuk informasi selengkapnya, lihat Memvalidasi server lokal dan mesin virtual menggunakan sidik jari perangkat keras di AWS Systems Manager Panduan Pengguna.

  • API UpdateContainerAgent tidak didukung. Untuk petunjuk tentang cara memperbarui Agen SSM atau agen Amazon ECS pada instans eksternal Anda, lihat. Memperbarui AWS Systems Manager agen dan agen penampung Amazon ECS pada instance eksternal

  • Penyedia kapasitas Amazon ECS tidak didukung. Untuk membuat layanan atau menjalankan tugas mandiri pada instans eksternal Anda, gunakan tipe peluncuran EXTERNAL.

  • SELinux tidak didukung.

  • Menggunakan volume Amazon EFS atau menentukan EFSVolumeConfiguration tidak didukung.

  • Integrasi dengan App Mesh tidak didukung.

  • Jika Anda menggunakan konsol untuk membuat definisi tugas instance eksternal, Anda harus membuat definisi tugas dengan editor JSON konsol.

  • Ketika Anda menjalankan ECS Anywhere di Windows, Anda harus menggunakan lisensi Windows Anda sendiri pada infrastruktur lokal.

  • Bila Anda menggunakan AMI yang tidak dioptimalkan ECS Amazon, jalankan perintah berikut pada instance container eksternal untuk mengonfigurasi aturan guna menggunakan peran IAM untuk tugas. Untuk informasi selengkapnya, lihat Konfigurasi tambahan contoh eksternal.

    $ sysctl -w net.ipv4.conf.all.route_localnet=1 $ iptables -t nat -A PREROUTING -p tcp -d 169.254.170.2 --dport 80 -j DNAT --to-destination 127.0.0.1:51679 $ iptables -t nat -A OUTPUT -d 169.254.170.2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 51679

Jaringan

Instans eksternal Amazon ECS dioptimalkan untuk menjalankan aplikasi yang menghasilkan lalu lintas keluar atau data proses. Jika aplikasi Anda memerlukan lalu lintas masuk, seperti layanan web, kurangnya dukungan Elastic Load Balancing membuat menjalankan beban kerja ini kurang efisien karena tidak ada dukungan untuk menempatkan beban kerja ini di belakang penyeimbang beban.

Berikut ini merupakan pertimbangan tambahan yang khusus untuk jaringan dengan instans eksternal Anda.

  • Penyeimbangan beban layanan tidak didukung.

  • Penemuan layanan tidak didukung.

  • Tugas Linux yang berjalan pada instance eksternal harus menggunakanbridge,host, atau mode none jaringan. Mode jaringan awsvpc tidak didukung.

    Untuk informasi selengkapnya tentang setiap mode jaringan, lihat Memilih mode jaringan di Panduan Praktik Terbaik Amazon ECS.

  • Tugas Windows yang berjalan pada instance eksternal harus menggunakan mode default jaringan.

  • Ada domain layanan Amazon ECS di setiap Wilayah dan harus diizinkan untuk mengirim lalu lintas ke instans eksternal Anda.

  • Agen SSM yang diinstal pada instans eksternal Anda mempertahankan kredensional IAM yang diputar setiap 30 menit menggunakan sidik jari perangkat keras. Jika instans eksternal Anda kehilangan koneksi AWS, Agen SSM secara otomatis menyegarkan kredensialnya setelah koneksi dibuat kembali. Untuk informasi selengkapnya, lihat Memvalidasi server lokal dan mesin virtual menggunakan sidik jari perangkat keras di AWS Systems Manager Panduan Pengguna.

Domain berikut digunakan untuk komunikasi antara layanan Amazon ECS dan agen Amazon ECS yang diinstal pada instans eksternal Anda. Pastikan lalu lintas diizinkan dan resolusi DNS berfungsi. Untuk setiap titik akhir, wilayah mewakili pengenal Wilayah untuk AWS Wilayah yang didukung oleh Amazon ECS, seperti us-east-2 untuk Wilayah AS Timur (Ohio). Titik akhir untuk semua Wilayah yang Anda gunakan harus diizinkan. Untuk titik akhir ecs-a dan ecs-t, Anda harus menyertakan tanda bintang (misalnya, ecs-a-*).

  • ecs-a-*.region.amazonaws.comEndpoint ini digunakan saat mengelola tugas.

  • ecs-t-*.region.amazonaws.com— Titik akhir ini digunakan untuk mengelola metrik tugas dan kontainer.

  • ecs.region.amazonaws.com- Ini adalah titik akhir layanan untuk Amazon ECS.

  • ssm.region.amazonaws.com Ini adalah titik akhir layanan untuk AWS Systems Manager.

  • ec2messages.region.amazonaws.com— Ini adalah titik akhir layanan yang AWS Systems Manager digunakan untuk berkomunikasi antara agen Systems Manager dan layanan Systems Manager di cloud.

  • ssmmessages.region.amazonaws.com— Ini adalah titik akhir layanan yang diperlukan untuk membuat dan menghapus saluran sesi dengan layanan Session Manager di cloud.

  • Jika tugas Anda memerlukan komunikasi dengan AWS layanan lain, pastikan titik akhir layanan tersebut diizinkan. Contoh aplikasi termasuk menggunakan Amazon ECR untuk menarik gambar kontainer atau menggunakan CloudWatch untuk CloudWatch Log. Untuk informasi selengkapnya, lihat Titik akhir layanan di Referensi Umum AWS .

Amazon FSx for Windows File Server dengan ECS Anywhere

Untuk menggunakan instans eksternal Amazon FSx for Windows File Server dengan Amazon ECS, Anda harus membuat sambungan antara pusat data lokal dan. AWS Cloud Untuk informasi tentang opsi untuk menghubungkan jaringan ke VPC, lihat Opsi Konektivitas Amazon Virtual Private Cloud.

GMsa dengan ECS Di Mana Saja

Kasus penggunaan berikut didukung untuk ECS Anywhere.

  • Direktori Aktif ada di AWS Cloud - Untuk konfigurasi ini, Anda membuat sambungan antara jaringan lokal dan AWS Cloud menggunakan AWS Direct Connect koneksi. Untuk informasi tentang cara membuat sambungan, lihat Opsi Konektivitas Amazon Virtual Private Cloud. Anda membuat Direktori Aktif di AWS Cloud. Untuk informasi tentang cara memulai AWS Directory Service, lihat Menyiapkan AWS Directory Service di Panduan AWS Directory Service Administrasi. Anda kemudian dapat menggabungkan instance eksternal Anda ke domain menggunakan AWS Direct Connect koneksi. Untuk informasi tentang bekerja dengan GMSA dengan Amazon ECS, lihat. Pelajari cara menggunakan GMSAs untuk wadah Windows EC2 untuk Amazon ECS

  • Active Directory berada di pusat data lokal. - Untuk konfigurasi ini, Anda menggabungkan instance eksternal Anda ke Active Directory lokal. Anda kemudian menggunakan kredensil yang tersedia secara lokal saat menjalankan tugas Amazon ECS.