Jaringan tugas untuk tugas-tugas di Fargate - Amazon Elastic Container Service
Pertimbangan jaringan tugas FargateMenggunakan VPC dalam mode tumpukan dobel

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jaringan tugas untuk tugas-tugas di Fargate

Secara default, setiap tugas Amazon ECS di Fargate disediakan elastic network interface (ENI) dengan alamat IP pribadi utama. Saat menggunakan subnet publik, Anda dapat secara opsional menetapkan alamat IP publik ke ENI tugas. Jika VPC Anda dikonfigurasi untuk mode dual-stack dan Anda menggunakan subnet dengan blok CIDR IPv6, ENI tugas Anda juga menerima alamat IPv6. Sebuah tugas hanya dapat memiliki satu ENI yang terkait dengannya pada suatu waktu. Wadah yang termasuk dalam tugas yang sama juga dapat berkomunikasi melalui localhost antarmuka. Untuk informasi selengkapnya tentang VPC dan subnet, lihat VPC dan subnet di Panduan Pengguna Amazon VPC.

Untuk tugas di Fargate untuk menarik gambar kontainer, tugas harus memiliki rute ke internet. Berikut ini menjelaskan bagaimana Anda dapat memverifikasi bahwa tugas Anda memiliki rute ke internet.

  • Saat menggunakan subnet publik, Anda dapat menetapkan alamat IP publik ke ENI tugas.

  • Saat menggunakan subnet privat, subnet bisa memiliki lampiran gateway NAT.

  • Saat menggunakan gambar kontainer yang di-host di Amazon ECR, Anda dapat mengonfigurasi Amazon ECR untuk menggunakan titik akhir VPC antarmuka dan penarikan gambar terjadi di atas alamat IPv4 pribadi tugas. Untuk informasi selengkapnya, lihat Antarmuka Amazon ECR VPC endpoint AWS PrivateLink() di Panduan Pengguna Amazon Elastic Container Registry.

Karena setiap tugas mendapatkan ENI sendiri, Anda dapat menggunakan fitur jaringan seperti VPC Flow Logs, yang dapat Anda gunakan untuk memantau lalu lintas ke dan dari tugas Anda. Untuk informasi selengkapnya, lihat Log Alur VPC di Panduan Pengguna Amazon VPC.

Anda juga bisa memanfaatkannya AWS PrivateLink. Anda dapat mengonfigurasi titik akhir antarmuka VPC sehingga Anda dapat mengakses Amazon ECS API melalui alamat IP pribadi. AWS PrivateLink membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon ECS ke jaringan Amazon. Anda tidak memerlukan sebuah gateway internet, perangkat NAT, atau gateway privat virtual. Untuk informasi selengkapnya, lihat AWS PrivateLinkdi Panduan Praktik Terbaik Amazon ECS.

Untuk contoh cara menggunakan NetworkConfiguration sumber daya AWS CloudFormation, lihatMembuat sumber daya Amazon ECS menggunakan tumpukan terpisah.

ENI yang dibuat sepenuhnya dikelola oleh AWS Fargate. Selain itu, ada kebijakan IAM terkait yang digunakan untuk memberikan izin untuk Fargate. Untuk tugas yang menggunakan versi platform Fargate 1.4.0 atau yang lebih baru, tugas menerima ENI tunggal (disebut sebagai tugas ENI) dan semua lalu lintas jaringan mengalir melalui ENI tersebut dalam VPC Anda. Lalu lintas ini dicatat dalam log aliran VPC Anda. Untuk tugas yang menggunakan versi platform Fargate 1.3.0 dan sebelumnya, selain tugas ENI, tugas juga menerima ENI milik Fargate terpisah, yang digunakan untuk beberapa lalu lintas jaringan yang tidak terlihat di log aliran VPC. Tabel berikut menjelaskan perilaku lalu lintas jaringan dan kebijakan IAM yang diperlukan untuk setiap versi platform.

Tindakan

Arus lalu lintas dengan versi platform Linux 1.3.0 dan sebelumnya

Arus lalu lintas dengan versi platform Linux 1.4.0

Arus lalu lintas dengan versi platform Windows 1.0.0

Izin IAM

Mengambil kredensi login Amazon ECR

Fargate dimiliki ENI

ENI tugas

ENI tugas

Eksekusi tugas peran IAM

Tarikan citra

ENI tugas

ENI tugas

ENI tugas

Eksekusi tugas peran IAM

Mengirim log melalui driver log

ENI tugas

ENI tugas

ENI tugas

Eksekusi tugas peran IAM

Mengirim log melalui FireLens Amazon ECS

ENI tugas

ENI tugas

ENI tugas

Tugas peran IAM

Mengambil rahasia dari Secrets Manager atau Systems Manager

Fargate dimiliki ENI

ENI tugas

ENI tugas

Eksekusi tugas peran IAM

Lalu lintas sistem file Amazon EFS

Tidak tersedia

ENI tugas

ENI tugas

Tugas peran IAM

Lalu lintas aplikasi

ENI tugas

ENI tugas

ENI tugas

Tugas peran IAM

Pertimbangan jaringan tugas Fargate

Pertimbangkan hal berikut saat menggunakan jaringan tugas.

  • Peran terkait layanan Amazon ECS diperlukan untuk memberi Amazon ECS izin untuk melakukan panggilan ke layanan lain AWS atas nama Anda. Peran ini dibuat untuk Anda ketika Anda membuat klaster atau jika Anda membuat atau memperbarui layanan di AWS Management Console. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon ECS. Anda juga dapat membuat peran terkait layanan menggunakan perintah berikut AWS CLI .

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Amazon ECS mengisi nama host tugas dengan nama host DNS yang disediakan Amazon saat enableDnsSupport opsi enableDnsHostnames dan opsi diaktifkan di VPC Anda. Jika opsi ini tidak diaktifkan, nama host DNS tugas disetel ke nama host acak. Untuk informasi selengkapnya tentang pengaturan DNS untuk VPC, lihat Menggunakan DNS dengan VPC Anda di Panduan Pengguna Amazon VPC.

  • Anda hanya dapat menentukan hingga 16 subnet dan 5 grup keamanan untukawsVpcConfiguration. Untuk informasi selengkapnya, lihat AwsVpcConfigurationdi Referensi API Amazon Elastic Container Service.

  • Anda tidak dapat secara manual melepaskan atau memodifikasi ENI yang dibuat dan dilampirkan oleh Fargate. Ini untuk mencegah penghapusan ENI yang tidak disengaja yang terkait dengan tugas yang sedang berjalan. Untuk melepaskan ENI untuk suatu tugas, hentikan tugas tersebut.

  • Jika subnet VPC diperbarui untuk mengubah set opsi DHCP yang digunakannya, Anda juga tidak dapat menerapkan perubahan ini ke tugas yang ada yang menggunakan VPC. Mulai tugas baru, yang akan menerima pengaturan baru untuk bermigrasi dengan lancar saat menguji perubahan baru dan kemudian menghentikan yang lama, jika tidak diperlukan rollback.

  • Tugas yang diluncurkan dalam subnet dengan blok IPv6 CIDR hanya menerima alamat IPv6 saat menggunakan 1.4.0 versi platform Fargate atau yang lebih baru untuk Linux atau untuk Windows. 1.0.0

  • Untuk tugas yang menggunakan versi platform 1.4.0 atau yang lebih baru untuk Linux atau 1.0.0 Windows, tugas ENIS mendukung bingkai jumbo. Antarmuka jaringan dikonfigurasi dengan unit transmisi maksimum (MTU), yang merupakan ukuran muatan terbesar yang muat dalam satu frame. Semakin besar MTU, semakin banyak muatan aplikasi yang termuat dalam satu frame, yang mengurangi overhead per frame dan meningkatkan efisiensi. Mendukung bingkai jumbo mengurangi overhead saat jalur jaringan antara tugas Anda dan tujuan mendukung bingkai jumbo.

  • Layanan dengan tugas yang menggunakan tipe peluncuran Fargate hanya mendukung Application Load Balancer dan Network Load Balancer. Classic Load Balancer tidak didukung. Saat Anda membuat grup target apa pun, Anda harus memilih ip sebagai jenis target, bukaninstance. Untuk informasi selengkapnya, lihat Mendistribusikan lalu lintas layanan Amazon ECS menggunakan load balancing.

Menggunakan VPC dalam mode tumpukan dobel

Ketika menggunakan VPC dalam mode tumpukan ganda, tugas Anda dapat berkomunikasi melalui IPv4 atau IPv6, atau keduanya. Alamat IPv4 dan IPv6 independen satu sama lain dan Anda harus mengonfigurasi perutean dan keamanan di VPC Anda secara terpisah untuk IPv4 dan IPv6. Untuk informasi selengkapnya tentang mengonfigurasi VPC Anda untuk mode dual-stack, lihat Memigrasi ke IPv6 di Panduan Pengguna Amazon VPC.

Jika kondisi berikut terpenuhi, tugas Amazon ECS di Fargate diberi alamat IPv6:

  • Setelan dualStackIPv6 akun Amazon ECS Anda diaktifkan (enabled) untuk prinsipal IAM yang meluncurkan tugas Anda di Wilayah tempat Anda meluncurkan tugas. Pengaturan ini hanya dapat dimodifikasi menggunakan API atau AWS CLI. Anda memiliki opsi untuk mengaktifkan pengaturan ini untuk prinsipal IAM tertentu di akun Anda atau untuk seluruh akun Anda dengan menetapkan pengaturan default akun Anda. Untuk informasi selengkapnya, lihat Mengakses fitur Amazon ECS melalui pengaturan akun.

  • VPC dan subnet Anda diaktifkan untuk IPv6. Untuk informasi selengkapnya tentang cara mengonfigurasi VPC Anda untuk mode dual-stack, lihat Memigrasi ke IPv6 di Panduan Pengguna Amazon VPC.

  • Subnet Anda diaktifkan untuk menetapkan alamat IPv6 secara otomatis. Untuk informasi selengkapnya tentang cara mengonfigurasi subnet, lihat Memodifikasi atribut pengalamatan IPv6 untuk subnet Anda di Panduan Pengguna Amazon VPC.

  • Tugas atau layanan menggunakan versi platform Fargate 1.4.0 atau yang lebih baru untuk Linux.

Jika Anda mengonfigurasi VPC Anda dengan gateway internet atau gateway internet khusus keluar, tugas Amazon ECS di Fargate yang diberi alamat IPv6 dapat mengakses internet. Gateway NAT tidak diperlukan. Untuk informasi selengkapnya, lihat gateway Internet dan gateway internet khusus eGress di Panduan Pengguna Amazon VPC.