Opzioni di task networking di Amazon ECS per il tipo di lancio Fargate - Amazon Elastic Container Service
ConsiderazioniUtilizzo di un VPC in modalità dual-stack

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Opzioni di task networking di Amazon ECS per il tipo di lancio Fargate

Di default, a ogni processo di Amazon ECS su Fargate viene fornita una interfaccia di rete elastica (ENI) con un indirizzo IP privato primario. Quando utilizzi una sottorete pubblica, puoi eventualmente assegnare un indirizzo IP pubblico all'ENI dell'attività. Se il tuo VPC è configurato per la modalità dual-stack e utilizzi una sottorete con un blocco CIDR IPv6, anche l'ENI dell'attività riceve un indirizzo IPv6. Un'attività può avere una sola ENI associata in un determinato momento. I container che appartengono alla stessa attività possono comunicare tramite l'interfaccia localhost. Per ulteriori informazioni sull'utilizzo di VPC e sottoreti, consulta VPC e sottorete nella Guida per l'utente di Amazon VPC.

Affinché un'attività su Fargate sia in grado di estrarre un'immagine del container, l'attività deve avere un routing verso Internet. Di seguito è descritto come verificare che l'attività abbia un routing verso Internet.

  • Quando utilizzi una sottorete pubblica, puoi assegnare un indirizzo IP pubblico all'ENI del processo.

  • Quando si utilizza una sottorete privata, la sottorete può avere un gateway NAT collegato.

  • Quando si utilizzano immagini del container ospitate in Amazon ECR, puoi configurare Amazon ECR per utilizzare un endpoint VPC dell'interfaccia e l'estrazione dell'immagine si verificherà sull'indirizzo IPv4 privato dell'attività. Per ulteriori informazioni, consulta Endpoint VPC dell'interfaccia Amazon ECR (AWS PrivateLink) nella Guida per l'utente di Amazon Elastic Container Registry.

Poiché ogni attività ottiene la sua ENI, puoi utilizzare funzioni di rete, come i log di flusso VPC, per monitorare il traffico da e verso le tue attività. Per ulteriori informazioni, consulta Log di flusso VPC nella Guida per l'utente di Amazon VPC.

Puoi anche approfittare di. AWS PrivateLink Puoi configurare un endpoint di interfaccia VPC in modo da poter accedere alle API di Amazon ECS tramite indirizzi IP privati. AWS PrivateLink limita tutto il traffico di rete tra il tuo VPC e Amazon ECS alla rete Amazon. Non è richiesto un gateway Internet, un dispositivo NAT o un gateway privato virtuale. Per ulteriori informazioni, consulta la sezione AWS PrivateLink nella Guida alle best practice di Amazon ECS.

Per esempi di come utilizzare la NetworkConfiguration risorsa con AWS CloudFormation, consulta. Creazione di risorse Amazon ECS mediante stack separati

Le ENI create sono completamente gestite da AWS Fargate. Inoltre, esiste una policy IAM associata che viene utilizzata per concedere autorizzazioni per Fargate. Per le attività che utilizzano la piattaforma Fargate versione 1.4.0 o successiva, l'attività riceve un'unica ENI (denominata ENI di attività) e tutto il traffico di rete scorre attraverso tale ENI all'interno del VPC. Questo traffico viene registrato nei log di flusso VPC. Per le attività che utilizzano la piattaforma Fargate versione 1.3.0 e precedenti, oltre all'ENI di attività, l'attività riceve anche un'ENI di proprietà di Fargate che viene utilizzata per un traffico di rete non visibile nei log di flusso VPC. Di seguito vengono descritti il comportamento del traffico di rete e la policy IAM richiesta per ogni versione della piattaforma.

Azione

Flusso di traffico con piattaforma Linux versione 1.3.0 e versioni precedenti

Flusso di traffico con piattaforma Linux versione 1.4.0

Flusso di traffico con piattaforma Windows versione 1.0.0

Autorizzazione IAM

Recupero delle credenziali di accesso di Amazon ECR

ENI di proprietà Fargate

ENI attività

ENI attività

Ruolo IAM per l'esecuzione del processo

Pull immagine

ENI attività

ENI attività

ENI attività

Ruolo IAM per l'esecuzione del processo

Invio dei log tramite un driver di log

ENI attività

ENI attività

ENI attività

Ruolo IAM per l'esecuzione del processo

Invio di log FireLens per Amazon ECS

ENI attività

ENI attività

ENI attività

Ruolo IAM del processo

Recupero di segreti da Secrets Manager o Systems Manager

ENI di proprietà Fargate

ENI attività

ENI attività

Ruolo IAM per l'esecuzione del processo

Traffico del file system Amazon EFS

Non disponibile

ENI attività

ENI attività

Ruolo IAM del processo

Traffico delle applicazioni

ENI attività

ENI attività

ENI attività

Ruolo IAM del processo

Considerazioni

Tieni in considerazione le informazioni seguenti quando usi la rete di attività.

  • Il ruolo collegato ai servizi Amazon ECS è necessario per fornire ad Amazon ECS le autorizzazioni per effettuare chiamate ad altri AWS servizi per tuo conto. Questo ruolo viene creato quando crei un cluster oppure quando crei o aggiorni un servizio nella AWS Management Console. Per ulteriori informazioni, consulta Uso di ruoli collegati ai servizi per Amazon ECS. Puoi anche creare il ruolo collegato al servizio utilizzando il seguente comando. AWS CLI 

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Amazon ECS popola il nome host dell'attività con un nome host DNS fornito da Amazon quando entrambe le opzioni enableDnsHostnames e enableDnsSupport sono abilitate nel VPC. Se queste opzioni non sono abilitate, il nome host DNS dell'attività è impostato su un nome host casuale. Per ulteriori informazioni sulle impostazioni DNS per un VPC, consulta Utilizzo del DNS con il VPC nella Guida per l'utente di Amazon VPC.

  • È possibile specificare solo fino a 16 sottoreti e 5 gruppi di sicurezza per awsVpcConfiguration. Per ulteriori informazioni, consulta AwsVpcConfigurazione nel riferimento all'API di Amazon Elastic Container Service.

  • Non puoi scollegare o modificare manualmente le ENI create e collegate da Fargate. Questo serve a impedire l'eliminazione accidentale di un'ENI che è associata a un'attività in esecuzione. Per rilasciare le ENI per un'attività, interrompi l'attività.

  • Se una sottorete VPC viene aggiornata per modificare la serie di opzioni DHCP utilizzate, non puoi applicare queste modifiche anche alle attività esistenti che utilizzano il VPC. Avvia nuove attività, che riceveranno la nuova impostazione per eseguire la migrazione senza problemi durante il test della nuova modifica e quindi interrompi le attività precedenti, se non è necessario eseguire il rollback.

  • Le attività avviate in sottoreti con blocchi CIDR IPv6 ricevono un indirizzo IPv6 solo quando si utilizza la versione della piattaforma Fargate 1.4.0 o successiva per Linux o 1.0.0 per Windows.

  • Per le attività che utilizzano la versione 1.4.0 o successiva per Linux o 1.0.0 per Windows della piattaforma, le ENI di attività supportano frame jumbo. Le interfacce di rete sono configurate con un'unità di trasmissione massima (MTU), ovvero la dimensione del payload più grande che si adatta all'interno di un singolo frame. Più grande è l'MTU, più il payload dell'applicazione può essere adattato all'interno di un singolo fotogramma, riducendo il sovraccarico per fotogramma e aumentando l'efficienza. Il supporto dei frame jumbo riduce il sovraccarico quando il percorso di rete tra l'attività e la destinazione supporta frame jumbo.

  • I servizi con attività che utilizzano il tipo di avvio Fargate supportano solo Application Load Balancer e Network Load Balancer. Classic Load Balancer non è supportato. Quando crei gruppi target, devi scegliere ip come tipo di target anziché instance. Per ulteriori informazioni, consulta Usa il bilanciamento del carico per distribuire il traffico del servizio Amazon ECS.

Utilizzo di un VPC in modalità dual-stack

Quando utilizzi un VPC in modalità dual-stack, i processi possono comunicare via IPv4, IPv6 o entrambi. Gli indirizzi IPv4 e IPv6 sono indipendenti l'uno dall'altro; devi configurare il routing e la sicurezza del VPC in modo separato per IPv4 e IPv6. Per ulteriori informazioni sulla configurazione del VPC per la modalità dual-stack, consulta Migrazione a IPv6 nella Guida per l'utente di Amazon VPC.

Alle attività Amazon ECS su Fargate viene assegnato un indirizzo IPv6 se sono soddisfatte le seguenti condizioni:

  • L'impostazione del tuo dualStackIPv6 account Amazon ECS è attivata (enabled) per il responsabile IAM che avvia le tue attività nella regione in cui le stai avviando. Questa impostazione può essere modificata solo utilizzando l'API o. AWS CLI Hai la possibilità di attivare questa impostazione per un principale IAM specifico sul tuo account o per l'intero account impostando l'impostazione predefinita dell'account. Per ulteriori informazioni, consulta Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account.

  • Il VPC e la sottorete sono abilitati per IPv6. Per ulteriori informazioni sulla configurazione del VPC per la modalità dual-stack, consulta Migrazione a IPv6 nella Guida per l'utente di Amazon VPC.

  • La sottorete è abilitata per l'assegnazione automatica degli indirizzi IPv6. Per ulteriori informazioni su come configurare la sottorete, consulta Modifica dell'attributo di assegnazione di indirizzi IPv6 pubblici per la sottorete nella Guida per l'utente di Amazon VPC.

  • L'attività o il servizio utilizza la versione della piattaforma Fargate 1.4.0 o successiva per Linux.

Se configuri il tuo VPC con un gateway Internet o un gateway Internet solo uscita, le attività Amazon ECS su Fargate a cui è stato assegnato un indirizzo IPv6 possono accedere a Internet. I gateway NAT non sono necessari. Per ulteriori informazioni, consulta Gateway Internet e Gateway Internet egress-only nella Guida per l'utente di Amazon VPC.