Opsi jaringan ECS tugas Amazon untuk jenis peluncuran Fargate - Amazon Elastic Container Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Opsi jaringan ECS tugas Amazon untuk jenis peluncuran Fargate

Secara default, setiap ECS tugas Amazon di Fargate disediakan elastic network interface (ENI) dengan alamat IP pribadi utama. Saat menggunakan subnet publik, Anda dapat secara opsional menetapkan alamat IP publik ke tugas. ENI Jika Anda VPC dikonfigurasi untuk mode dual-stack dan Anda menggunakan subnet dengan IPv6 CIDR blok, tugas Anda ENI juga menerima alamat. IPv6 Sebuah tugas hanya dapat memiliki satu ENI yang terkait dengannya pada suatu waktu. Wadah yang termasuk dalam tugas yang sama juga dapat berkomunikasi melalui localhost antarmuka. Untuk informasi selengkapnya tentang VPCs dan subnet, lihat VPCsdan subnet di VPCPanduan Pengguna Amazon.

Untuk tugas di Fargate untuk menarik gambar kontainer, tugas harus memiliki rute ke internet. Berikut ini menjelaskan bagaimana Anda dapat memverifikasi bahwa tugas Anda memiliki rute ke internet.

  • Saat menggunakan subnet publik, Anda dapat menetapkan alamat IP publik untuk tugas tersebut. ENI

  • Saat menggunakan subnet pribadi, subnet dapat memiliki NAT gateway terpasang.

  • Saat menggunakan gambar kontainer yang di-host di AmazonECR, Anda dapat mengonfigurasi Amazon ECR untuk menggunakan VPC titik akhir antarmuka dan penarikan gambar terjadi di atas IPv4 alamat pribadi tugas. Untuk informasi selengkapnya, lihat VPCTitik akhir ECR antarmuka Amazon (AWS PrivateLink) di Panduan Pengguna Amazon Elastic Container Registry.

Karena setiap tugas mendapatkan tugasnya sendiriENI, Anda dapat menggunakan fitur jaringan seperti VPC Flow Logs, yang dapat Anda gunakan untuk memantau lalu lintas ke dan dari tugas Anda. Untuk informasi selengkapnya, lihat Log VPC Aliran di Panduan VPC Pengguna Amazon.

Anda juga bisa memanfaatkannya AWS PrivateLink. Anda dapat mengonfigurasi titik akhir VPC antarmuka sehingga Anda dapat mengakses Amazon ECS APIs melalui alamat IP pribadi. AWS PrivateLink membatasi semua lalu lintas jaringan antara Anda VPC dan Amazon ECS ke jaringan Amazon. Anda tidak memerlukan gateway internet, NAT perangkat, atau gateway pribadi virtual. Untuk informasi selengkapnya, lihat AWS PrivateLinkdi Panduan Praktik ECS Terbaik Amazon.

Untuk contoh cara menggunakan NetworkConfiguration sumber daya AWS CloudFormation, lihatMembuat ECS sumber daya Amazon menggunakan tumpukan terpisah.

ENIsYang dibuat sepenuhnya dikelola oleh AWS Fargate. Selain itu, ada IAM kebijakan terkait yang digunakan untuk memberikan izin untuk Fargate. Untuk tugas yang menggunakan versi platform Fargate 1.4.0 atau yang lebih baru, tugas menerima satu ENI (disebut sebagai tugasENI) dan semua lalu lintas jaringan mengalir melalui itu ENI di dalam Anda. VPC Lalu lintas ini dicatat dalam log VPC aliran Anda. Untuk tugas yang menggunakan versi platform Fargate 1.3.0 dan sebelumnya, selain tugasENI, tugas juga menerima Fargate terpisah yang dimilikiENI, yang digunakan untuk beberapa lalu lintas jaringan yang tidak terlihat di log aliran. VPC Tabel berikut menjelaskan perilaku lalu lintas jaringan dan IAM kebijakan yang diperlukan untuk setiap versi platform.

Tindakan

Arus lalu lintas dengan versi platform Linux 1.3.0 dan sebelumnya

Arus lalu lintas dengan versi platform Linux 1.4.0

Arus lalu lintas dengan versi platform Windows 1.0.0

IAMizin

Mengambil kredensi ECR login Amazon

Fargate dimiliki ENI

Tugas ENI

Tugas ENI

Peran IAM eksekusi tugas

Tarikan citra

Tugas ENI

Tugas ENI

Tugas ENI

Peran IAM eksekusi tugas

Mengirim log melalui driver log

Tugas ENI

Tugas ENI

Tugas ENI

IAM role eksekusi tugas

Mengirim log melalui FireLens Amazon ECS

Tugas ENI

Tugas ENI

Tugas ENI

IAM role tugas

Mengambil rahasia dari Secrets Manager atau Systems Manager

Fargate dimiliki ENI

Tugas ENI

Tugas ENI

IAM role eksekusi tugas

Lalu lintas sistem EFS file Amazon

Tidak tersedia

Tugas ENI

Tugas ENI

IAM role tugas

Lalu lintas aplikasi

Tugas ENI

Tugas ENI

Tugas ENI

IAM role tugas

Pertimbangan

Pertimbangkan hal berikut saat menggunakan jaringan tugas.

  • Peran ECS terkait layanan Amazon diperlukan untuk ECS memberi Amazon izin untuk melakukan panggilan ke AWS layanan lain atas nama Anda. Peran ini dibuat untuk Anda ketika Anda membuat klaster atau jika Anda membuat atau memperbarui layanan di AWS Management Console. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon ECS. Anda juga dapat membuat peran terkait layanan menggunakan perintah berikut AWS CLI .

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com
  • Amazon ECS mengisi nama host tugas dengan nama host yang disediakan DNS Amazon saat enableDnsSupport opsi enableDnsHostnames dan opsi diaktifkan pada Anda. VPC Jika opsi ini tidak diaktifkan, DNS nama host tugas diatur ke nama host acak. Untuk informasi selengkapnya tentang DNS setelanVPC, lihat Menggunakan DNS dengan Anda VPC di Panduan VPC Pengguna Amazon.

  • Anda hanya dapat menentukan hingga 16 subnet dan 5 grup keamanan untukawsVpcConfiguration. Untuk informasi selengkapnya, lihat AwsVpcConfigurationdi APIReferensi Layanan Amazon Elastic Container.

  • Anda tidak dapat secara manual melepaskan atau memodifikasi ENIs yang dibuat dan dilampirkan oleh Fargate. Ini untuk mencegah penghapusan yang tidak disengaja dari yang terkait dengan ENI tugas yang sedang berjalan. Untuk melepaskan tugas, hentikan tugas. ENIs

  • Jika VPC subnet diperbarui untuk mengubah set DHCP opsi yang digunakannya, Anda juga tidak dapat menerapkan perubahan ini ke tugas yang ada yang VPC menggunakan. Mulai tugas baru, yang akan menerima pengaturan baru untuk bermigrasi dengan lancar saat menguji perubahan baru dan kemudian menghentikan yang lama, jika tidak diperlukan rollback.

  • Tugas yang diluncurkan dalam subnet dengan IPv6 CIDR blok hanya menerima IPv6 alamat saat menggunakan 1.4.0 versi platform Fargate atau yang lebih baru untuk Linux 1.0.0 atau untuk Windows.

  • Untuk tugas yang menggunakan versi platform 1.4.0 atau yang lebih baru untuk Linux atau 1.0.0 Windows, tugas ENIs mendukung bingkai jumbo. Antarmuka jaringan dikonfigurasi dengan unit transmisi maksimum (MTU), yang merupakan ukuran muatan terbesar yang sesuai dalam satu bingkai. Semakin besarMTU, semakin banyak muatan aplikasi yang dapat masuk dalam satu bingkai, yang mengurangi overhead per frame dan meningkatkan efisiensi. Mendukung bingkai jumbo mengurangi overhead saat jalur jaringan antara tugas Anda dan tujuan mendukung bingkai jumbo.

  • Layanan dengan tugas yang menggunakan tipe peluncuran Fargate hanya mendukung Application Load Balancer dan Network Load Balancer. Classic Load Balancer tidak didukung. Saat Anda membuat grup target apa pun, Anda harus memilih ip sebagai jenis target, bukaninstance. Untuk informasi selengkapnya, lihat Gunakan load balancing untuk mendistribusikan lalu lintas ECS layanan Amazon.

Menggunakan mode VPC dual-stack

Saat menggunakan mode tumpukan ganda, tugas Anda dapat berkomunikasi melalui IPv4 atauIPv6, atau keduanya. VPC IPv4dan IPv6 alamat independen satu sama lain dan Anda harus mengkonfigurasi routing dan keamanan secara VPC terpisah untuk IPv4 danIPv6. Untuk informasi selengkapnya tentang VPC mengonfigurasi mode tumpukan ganda, lihat Memigrasi ke dalam Panduan Pengguna IPv6 Amazon. VPC

Jika kondisi berikut terpenuhi, ECS tugas Amazon di Fargate diberi alamat: IPv6

  • Setelan ECS dualStackIPv6 akun Amazon Anda diaktifkan (enabled) untuk peluncuran tugas IAM utama Anda di Wilayah tempat Anda meluncurkan tugas. Pengaturan ini hanya dapat dimodifikasi menggunakan API atau AWS CLI. Anda memiliki opsi untuk mengaktifkan pengaturan ini untuk IAM prinsipal tertentu di akun Anda atau untuk seluruh akun Anda dengan menetapkan pengaturan default akun Anda. Untuk informasi selengkapnya, lihat Akses ECS fitur Amazon dengan pengaturan akun.

  • Anda VPC dan subnet diaktifkan untukIPv6. Untuk informasi selengkapnya tentang cara VPC mengonfigurasi mode tumpukan ganda, lihat Memigrasi ke IPv6 dalam Panduan Pengguna Amazon VPC.

  • Subnet Anda diaktifkan untuk alamat penetapan otomatisIPv6. Untuk informasi selengkapnya tentang cara mengonfigurasi subnet, lihat Memodifikasi atribut IPv6 pengalamatan untuk subnet Anda di Panduan Pengguna Amazon VPC.

  • Tugas atau layanan menggunakan versi platform Fargate 1.4.0 atau yang lebih baru untuk Linux.

Jika Anda mengonfigurasi VPC dengan gateway internet atau gateway internet khusus keluar, tugas Amazon ECS di Fargate yang diberi alamat dapat mengakses internetIPv6. NATGateway tidak diperlukan. Untuk informasi selengkapnya, lihat gateway Internet dan gateway internet khusus eGress di Panduan Pengguna Amazon. VPC