Opzioni di rete di attività di Amazon ECS per Fargate - Amazon Elastic Container Service
ConsiderazioniUtilizzo di un VPC in modalità dual-stackUtilizzo di un VPC in modalità solo IPv6

Opzioni di rete di attività di Amazon ECS per Fargate

Di default, a ogni processo di Amazon ECS su Fargate viene fornita una interfaccia di rete elastica (ENI) con un indirizzo IP privato primario. Quando utilizzi una sottorete pubblica, puoi eventualmente assegnare un indirizzo IP pubblico all'ENI dell'attività. Se il VPC è configurato per la modalità dual-stack e si utilizza una sottorete con un intervallo CIDR IPv6, anche l'ENI di attività riceverà un indirizzo IPv6. Un'attività può avere una sola ENI associata in un determinato momento. I container che appartengono alla stessa attività possono comunicare tramite l'interfaccia localhost. Per ulteriori informazioni su VPC e sottoreti, consultare How Amazon VPC works nella Guida per l'utente di Amazon VPC.

Affinché un'attività su Fargate sia in grado di estrarre un'immagine del container, l'attività deve avere un routing verso Internet. Di seguito è descritto come verificare che l'attività abbia un routing verso Internet.

  • Quando utilizzi una sottorete pubblica, puoi assegnare un indirizzo IP pubblico all'ENI del processo.

  • Quando si utilizza una sottorete privata, la sottorete può avere un gateway NAT collegato.

  • Quando si utilizzano immagini del container ospitate in Amazon ECR, puoi configurare Amazon ECR per utilizzare un endpoint VPC dell'interfaccia e l'estrazione dell'immagine si verificherà sull'indirizzo IPv4 privato dell'attività. Per ulteriori informazioni, consulta Endpoint VPC dell'interfaccia Amazon ECR (AWS PrivateLink) nella Guida per l'utente di Amazon Elastic Container Registry.

Poiché ogni attività ottiene la sua ENI, puoi utilizzare funzioni di rete, come i log di flusso VPC, per monitorare il traffico da e verso le tue attività. Per ulteriori informazioni, consulta Log di flusso VPC nella Guida per l'utente di Amazon VPC.

Puoi inoltre sfruttare AWS PrivateLink. Puoi configurare un endpoint dell'interfaccia VPC in modo da poter accedere alle API di Amazon ECS tramite indirizzi IP privati. AWS PrivateLink limita il traffico di rete tra il VPC e Amazon ECS alla rete Amazon. Non è richiesto un gateway Internet, un dispositivo NAT o un gateway privato virtuale. Per ulteriori informazioni, consultare Amazon ECS interface VPC endpoints (AWS PrivateLink).

Per gli esempi di come usare la risorsa NetworkConfiguration con CloudFormation, consulta Modelli CloudFormation di esempio per Amazon ECS.

Le ENI create sono completamente gestite da AWS Fargate. Inoltre, esiste una policy IAM associata che viene utilizzata per concedere autorizzazioni per Fargate. Per le attività che utilizzano la piattaforma Fargate versione 1.4.0 o successiva, l'attività riceve un'unica ENI (denominata ENI di attività) e tutto il traffico di rete scorre attraverso tale ENI all'interno del VPC. Questo traffico viene registrato nei log di flusso VPC. Per le attività che utilizzano la piattaforma Fargate versione 1.3.0 e precedenti, oltre all'ENI di attività, l'attività riceve anche un'ENI di proprietà di Fargate che viene utilizzata per un traffico di rete non visibile nei log di flusso VPC. Di seguito vengono descritti il comportamento del traffico di rete e la policy IAM richiesta per ogni versione della piattaforma.

Azione Flusso di traffico con piattaforma Linux versione 1.3.0 e versioni precedenti Flusso di traffico con piattaforma Linux versione 1.4.0 Flusso di traffico con piattaforma Windows versione 1.0.0 Autorizzazione IAM
Recupero delle credenziali di accesso di Amazon ECR ENI di proprietà Fargate ENI attività ENI attività Ruolo IAM per l'esecuzione del processo
Pull immagine ENI attività ENI attività ENI attività Ruolo IAM per l'esecuzione del processo
Invio dei log tramite un driver di log ENI attività ENI attività ENI attività Ruolo IAM per l'esecuzione del processo
Invio di log tramite Firelens per Amazon ECS ENI attività ENI attività ENI attività Ruolo IAM del processo
Recupero di segreti da Secrets Manager o Systems Manager ENI di proprietà Fargate ENI attività ENI attività Ruolo IAM per l'esecuzione del processo
Traffico del file system Amazon EFS Non disponibile ENI attività ENI attività Ruolo IAM del processo
Traffico delle applicazioni ENI attività ENI attività ENI attività Ruolo IAM del processo

Considerazioni

Tieni in considerazione le informazioni seguenti quando usi la rete di attività.

  • Il ruolo collegato ai servizi Amazon ECS è necessario per fornire ad Amazon ECS le autorizzazioni per effettuare chiamate ad altri servizi AWS per tuo conto. Questo ruolo viene creato quando crei un cluster oppure quando crei o aggiorni un servizio nella AWS Management Console. Per ulteriori informazioni, consulta Uso di ruoli collegati ai servizi per Amazon ECS. Puoi anche creare il ruolo collegato ai servizi con il seguente comando della AWS CLI.

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Amazon ECS popola il nome host dell'attività con un nome host DNS fornito da Amazon quando entrambe le opzioni enableDnsHostnames e enableDnsSupport sono abilitate nel VPC. Se queste opzioni non sono abilitate, il nome host DNS dell'attività è impostato su un nome host casuale. Per ulteriori informazioni sulle impostazioni DNS per un VPC, consulta Utilizzo del DNS con il VPC nella Guida per l'utente di Amazon VPC.

  • È possibile specificare solo fino a 16 sottoreti e 5 gruppi di sicurezza per awsVpcConfiguration. Per ulteriori informazioni, consulta AwsVpcConfiguration nella Documentazione di riferimento delle API di Amazon Elastic Container Service.

  • Non puoi scollegare o modificare manualmente le ENI create e collegate da Fargate. Questo serve a impedire l'eliminazione accidentale di un'ENI che è associata a un'attività in esecuzione. Per rilasciare le ENI per un'attività, interrompi l'attività.

  • Se una sottorete VPC viene aggiornata per modificare la serie di opzioni DHCP utilizzate, non puoi applicare queste modifiche anche alle attività esistenti che utilizzano il VPC. Avvia nuove attività, che riceveranno la nuova impostazione per eseguire la migrazione senza problemi durante il test della nuova modifica e quindi interrompi le attività precedenti, se non è necessario eseguire il rollback.

  • Quanto segue si applica alle attività eseguite sulla versione della piattaforma Fargate 1.4.0 o successiva per Linux o 1.0.0 per Windows. Le attività avviate nelle sottoreti dualstack ricevono un indirizzo IPv4 e un indirizzo IPv6. Le attività avviate nelle sottoreti solo IPv6 ricevono solo un indirizzo IPv6.

  • Per le attività che utilizzano la versione 1.4.0 o successiva per Linux o 1.0.0 per Windows della piattaforma, le ENI di attività supportano frame jumbo. Le interfacce di rete sono configurate con un'unità di trasmissione massima (MTU), ovvero la dimensione del payload più grande che si adatta all'interno di un singolo frame. Più grande è l'MTU, più il payload dell'applicazione può essere adattato all'interno di un singolo fotogramma, riducendo il sovraccarico per fotogramma e aumentando l'efficienza. Il supporto dei frame jumbo riduce il sovraccarico quando il percorso di rete tra l'attività e la destinazione supporta frame jumbo.

  • I servizi con attività che utilizzano Fargate supportano solo Application Load Balancer e Network Load Balancer. Classic Load Balancer non è supportato. Quando crei gruppi target, devi scegliere ip come tipo di target anziché instance. Per ulteriori informazioni, consulta Usa il bilanciamento del carico per distribuire il traffico del servizio Amazon ECS.

Utilizzo di un VPC in modalità dual-stack

Quando utilizzi un VPC in modalità dual-stack, i processi possono comunicare via IPv4, IPv6 o entrambi. Gli indirizzi IPv4 e IPv6 sono indipendenti l'uno dall'altro; devi configurare il routing e la sicurezza del VPC in modo separato per IPv4 e IPv6. Per ulteriori informazioni sulla configurazione del VPC per la modalità dual-stack, consulta Migrazione a IPv6 nella Guida per l'utente di Amazon VPC.

Alle attività Amazon ECS su Fargate viene assegnato un indirizzo IPv6 se sono soddisfatte le seguenti condizioni:

  • L'impostazione del tuo account dualStackIPv6 di Amazon ECS è attivata (enabled) per l'IAM principale che avvia le attività nella regione in cui le stai avviando. Questa impostazione può essere modificata solo utilizzando l'API o AWS CLI. Esiste la possibilità di attivare questa impostazione per un IAM principale specifico sul proprio account o per l'intero account attivando le impostazioni predefinite. Per ulteriori informazioni, consulta Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account.

  • Il VPC e la sottorete sono abilitati per IPv6. Per ulteriori informazioni sulla configurazione del VPC per la modalità dual-stack, consulta Migrazione a IPv6 nella Guida per l'utente di Amazon VPC.

  • La sottorete è abilitata per l'assegnazione automatica degli indirizzi IPV6. Per ulteriori informazioni su come configurare la sottorete, consulta Modifica dell'attributo di assegnazione di indirizzi IPv6 pubblici per la sottorete nella Guida per l'utente di Amazon VPC.

  • L'attività o il servizio utilizza la versione della piattaforma Fargate 1.4.0 o successiva per Linux.

Se configuri il tuo VPC con un gateway Internet o un gateway Internet solo uscita, le attività Amazon ECS su Fargate a cui è stato assegnato un indirizzo IPv6 possono accedere a Internet. I gateway NAT non sono necessari. Per ulteriori informazioni, consulta Gateway Internet e Gateway Internet egress-only nella Guida per l'utente di Amazon VPC.

Utilizzo di un VPC in modalità solo IPv6

In una configurazione solo IPv6, le attività Amazon ECS comunicano esclusivamente tramite IPv6. Per configurare VPC e sottoreti per una configurazione solo IPv6, è necessario aggiungere un intervallo CIDR IPv6 al VPC e creare sottoreti che includano solo un intervallo CIDR IPv6. Per ulteriori informazioni, consultare Add IPv6 support for your VPC e Create a subnet nella Guida per l'utente di Amazon VPC. È inoltre necessario aggiornare le tabelle di routing con destinazioni IPv6 e configurare i gruppi di sicurezza con regole IPv6. Per ulteriori informazioni, consultare Configure route tables e Configure security group rules nella Guida per l'utente di Amazon VPC.

Tieni presente le seguenti considerazioni:

  • È possibile aggiornare un servizio Amazon ECS solo IPv4 o dualstack a una configurazione solo IPv6 aggiornando il servizio direttamente per utilizzare sottoreti solo IPv6 o creando un servizio parallelo solo IPv6 e utilizzando le implementazioni blu/verdi di Amazon ECS per spostare il traffico verso il nuovo servizio. Per ulteriori informazioni sulle implementazioni blu/verdi di Amazon ECS, consultare Implementazioni blu/verdi di Amazon ECS.

  • Un servizio Amazon ECS solo per IPv6 deve utilizzare bilanciatori del carico dualstack con gruppi di destinazione IPv6. Se si sta migrando un servizio di Amazon ECS esistente basato su un Application Load Balancer o un Network Load Balancer, è possibile creare un nuovo sistema di bilanciatore del carico dualstack e spostare il traffico dal vecchio bilanciatore del carico, o aggiornare il tipo di indirizzo IP del bilanciatore del carico esistente.

    Per ulteriori informazioni sui Network Load Balancer, consultare Create a Network Load Balancer e Update the IP address types for your Network Load Balancer nella Guida per l'utente di Network Load Balancer. Per ulteriori informazioni su Application Load Balancer, consultare Create an Application Load Balancer e Update the IP address types for your Application Load Balancer nella Guida per l'utente di Application Load Balancer.

  • La configurazione solo IPv6 non è supportata su Windows.

  • Per le attività di Amazon ECS in una configurazione solo IPv6 per comunicare con endpoint solo IPv4, è possibile configurare DNS64 e NAT64 convertire gli indirizzi di rete da IPv6 a IPv4. Per ulteriori informazioni, consultare IDNS64 and NAT64 nella Guida per l'utente di Amazon VPC.

  • La configurazione solo IPv6 è supportata sulla versione della piattaforma Fargate 1.4.0 o successiva.

  • I carichi di lavoro di Amazon ECS in una configurazione solo IPv6 devono utilizzare gli endpoint URI dell'immagine dualstack di Amazon ECR quando estraggono le immagini da Amazon ECR. Per ulteriori informazioni, consultare Getting started with making requests over IPv6 nella Guida per l'utente di Amazon Elastic Container Registry.

    Nota

    Amazon ECR non supporta gli endpoint VPC con interfaccia dualstack utilizzabili dalle attività in una configurazione solo IPv6. Per ulteriori informazioni, consultare Getting started with making requests over IPv6 nella Guida per l'utente di Amazon Elastic Container Registry.

  • Amazon ECS Exec non è supportato in una configurazione solo IPv6.

  • Amazon CloudWatch non supporta un endpoint FIPS dualstack che può essere utilizzato per monitorare le attività di Amazon ECS in una configurazione solo IPv6 che utilizza la conformità FIPS-140. Per ulteriori informazioni sul FIPS-140, consultare Federal Information Processing Standard (FIPS-140) di AWS Fargate.

Regioni AWS che supporta la modalità solo IPv6 per Amazon ECS

È possibile eseguire attività in una configurazione solo IPv6 nelle seguenti Regioni AWS in cui è disponibile Amazon ECS:

  • Stati Uniti orientali (Ohio)

  • Stati Uniti orientali (Virginia settentrionale)

  • Stati Uniti occidentali (California settentrionale)

  • Stati Uniti occidentali (Oregon)

  • Africa (Città del Capo)

  • Asia Pacifico (Hong Kong)

  • Asia Pacific (Hyderabad)

  • Asia Pacifico (Giacarta)

  • Asia Pacifico (Melbourne)

  • Asia Pacifico (Mumbai)

  • Asia Pacific (Osaka)

  • Asia Pacific (Seul)

  • Asia Pacifico (Singapore)

  • Asia Pacifico (Sydney)

  • Asia Pacifico (Tokyo)

  • Canada (Centrale)

  • Canada occidentale (Calgary)

  • Cina (Pechino)

  • China (Ningxia)

  • Europa (Francoforte)

  • Europa (Londra)

  • Europa (Milano)

  • Europa (Parigi)

  • Europa (Spagna)

  • Israele (Tel Aviv)

  • Medio Oriente (Bahrein)

  • Medio Oriente (EAU)

  • Sud America (San Paolo)

  • AWS GovCloud (US-East)

  • AWS GovCloud (Stati Uniti occidentali)