Titik akhir VPC antarmuka Amazon ECS ()AWS PrivateLink - Amazon Elastic Container Service
Pertimbangan untuk titik akhir Amazon ECS VPCMembuat Endpoint VPC untuk Amazon ECSMembuat kebijakan titik akhir VPC untuk Amazon ECS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Titik akhir VPC antarmuka Amazon ECS ()AWS PrivateLink

Anda dapat meningkatkan postur keamanan VPC Anda dengan mengonfigurasi Amazon ECS untuk menggunakan titik akhir VPC antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses Amazon ECS API secara pribadi dengan menggunakan alamat IP pribadi. AWS PrivateLink membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon ECS ke jaringan Amazon. Anda tidak memerlukan sebuah gateway internet, perangkat NAT, atau gateway privat virtual.

Untuk informasi selengkapnya tentang AWS PrivateLink dan titik akhir VPC, lihat Titik Akhir VPC di Panduan Pengguna Amazon VPC.

Pertimbangan untuk titik akhir Amazon ECS VPC

Pertimbangan untuk titik akhir Amazon ECS VPC untuk jenis peluncuran Fargate

Sebelum Anda mengatur titik akhir VPC antarmuka untuk Amazon ECS, perhatikan pertimbangan berikut:

  • Tugas yang menggunakan tipe peluncuran Fargate tidak memerlukan titik akhir VPC antarmuka untuk Amazon ECS, tetapi Anda mungkin memerlukan titik akhir VPC antarmuka untuk Amazon ECR, Secrets Manager, atau Amazon Logs yang dijelaskan dalam poin berikut. CloudWatch

  • VPC endpoint saat ini tidak mendukung permintaan lintas Wilayah. Pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana mengeluarkan panggilan API ke Amazon ECS. Misalnya, asumsikan bahwa Anda ingin menjalankan tugas di AS Timur (Virginia N.). Kemudian, Anda harus membuat titik akhir Amazon ECS VPC di AS Timur (Virginia N.). Titik akhir VPC Amazon ECS yang dibuat di wilayah lain mana pun tidak dapat menjalankan tugas di AS Timur (Virginia Utara).

  • Titik akhir VPC hanya mendukung DNS yang disediakan Amazon melalui Amazon Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasi selengkapnya, lihat Pengaturan DHCP dalam Panduan Pengguna Amazon VPC.

  • Grup keamanan yang terpasang pada titik akhir VPC harus mengizinkan koneksi masuk pada port TCP 443 dari subnet pribadi VPC.

  • Manajemen Service Connect dari proxy Envoy menggunakan titik akhir VPCcom.amazonaws.region.ecs-agent. Bila Anda tidak menggunakan endpoint VPC, manajemen Service Connect dari proxy Envoy menggunakan endpoint di Region tersebutecs-sc. Untuk daftar titik akhir Amazon ECS di setiap Wilayah, lihat titik akhir dan kuota Amazon ECS.

Pertimbangan untuk titik akhir Amazon ECS VPC untuk jenis peluncuran EC2

Sebelum Anda mengatur titik akhir VPC antarmuka untuk Amazon ECS, perhatikan pertimbangan berikut:

  • Tugas yang menggunakan tipe peluncuran EC2 mengharuskan instans penampung yang diluncurkan untuk menjalankan versi 1.25.1 atau yang lebih baru dari agen penampung Amazon ECS. Untuk informasi selengkapnya, lihat Manajemen instance kontainer Linux.

  • Untuk memungkinkan tugas Anda menarik data sensitif dari Secrets Manager, Anda harus membuat titik akhir VPC antarmuka untuk Secrets Manager. Untuk informasi selengkapnya, lihat Menggunakan Secrets Manager dengan VPC Endpoint dalam Panduan Pengguna AWS Secrets Manager .

  • Jika VPC Anda tidak memiliki gateway internet dan tugas Anda menggunakan driver awslogs log untuk mengirim informasi log ke Log, Anda harus membuat antarmuka VPC endpoint untuk CloudWatch Log. CloudWatch Untuk informasi selengkapnya, lihat Menggunakan CloudWatch Log dengan Titik Akhir VPC Antarmuka di Panduan Pengguna Amazon CloudWatch Logs.

  • VPC endpoint saat ini tidak mendukung permintaan lintas Wilayah. Pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana mengeluarkan panggilan API ke Amazon ECS. Misalnya, asumsikan bahwa Anda ingin menjalankan tugas di AS Timur (Virginia N.). Kemudian, Anda harus membuat titik akhir Amazon ECS VPC di AS Timur (Virginia N.). Titik akhir VPC Amazon ECS yang dibuat di wilayah lain mana pun tidak dapat menjalankan tugas di AS Timur (Virginia Utara).

  • Titik akhir VPC hanya mendukung DNS yang disediakan Amazon melalui Amazon Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasi selengkapnya, lihat Pengaturan DHCP dalam Panduan Pengguna Amazon VPC.

  • Grup keamanan yang terpasang pada titik akhir VPC harus mengizinkan koneksi masuk pada port TCP 443 dari subnet pribadi VPC.

Membuat Endpoint VPC untuk Amazon ECS

Untuk membuat titik akhir VPC untuk layanan Amazon ECS, gunakan prosedur Membuat Titik Akhir Antarmuka di Panduan Pengguna Amazon VPC untuk membuat titik akhir berikut. Jika Anda memiliki instans kontainer yang berada dalam VPC Anda, Anda harus membuat titik akhir dalam urutan terdaftar mereka. Urutan langkah tidak membuat masalah jika Anda berencana untuk membuat VPC endpoint terlebih dahulu kemudian instans kontainer Anda.

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

catatan

wilayah mewakili pengenal Wilayah untuk AWS Wilayah yang didukung oleh Amazon ECS, seperti us-east-2 untuk Wilayah AS Timur (Ohio).

ecs-agentTitik akhir menggunakan ecs:poll API, dan ecs-telemetry titik akhir menggunakan API ecs:poll danecs:StartTelemetrySession.

Jika Anda memiliki tugas yang ada yang menggunakan tipe peluncuran EC2, setelah Anda membuat titik akhir VPC, setiap instance container perlu mengambil konfigurasi baru. Agar hal ini terjadi, Anda harus me-reboot setiap instance kontainer atau memulai ulang agen penampung Amazon ECS pada setiap instance container. Untuk memulai ulang agen kontainer, lakukan hal berikut.

Untuk memulai ulang agen kontainer Amazon ECS

  1. Masuk ke instans kontainer Anda melalui SSH.

  2. Hentikan kontainer agen.

    sudo docker stop ecs-agent

  3. Mulai kontainer agen.

    sudo docker start ecs-agent

Setelah Anda membuat titik akhir VPC dan memulai ulang agen penampung Amazon ECS di setiap instance container, semua tugas yang baru diluncurkan akan mengambil konfigurasi baru.

Membuat kebijakan titik akhir VPC untuk Amazon ECS

Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses ke Amazon ECS. Kebijakan titik akhir menentukan informasi berikut:

  • Prinsipal yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan.

  • Sumber daya yang menjadi target tindakan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan titik akhir VPC dalam Panduan Pengguna Amazon VPC.

Contoh: Kebijakan titik akhir VPC untuk tindakan Amazon ECS

Berikut ini adalah contoh kebijakan endpoint untuk Amazon ECS. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke izin untuk membuat dan mencantumkan klaster. ListClustersTindakan CreateCluster dan tidak menerima sumber daya apa pun, sehingga definisi sumber daya diatur ke* untuk semua sumber daya. 

{
   "Statement":[
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateCluster",
        "ecs:ListClusters"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}