Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Opzioni di rete di attività di Amazon ECS per Fargate
<a name="fargate-task-networking"></a>

Di default, a ogni processo di Amazon ECS su Fargate viene fornita una interfaccia di rete elastica (ENI) con un indirizzo IP privato primario. Quando utilizzi una sottorete pubblica, puoi eventualmente assegnare un indirizzo IP pubblico all'ENI dell'attività. Se il VPC è configurato per la modalità dual-stack e si utilizza una sottorete con un intervallo CIDR IPv6, anche l'ENI di attività riceverà un indirizzo IPv6. Un'attività può avere una sola ENI associata in un determinato momento. I container che appartengono alla stessa attività possono comunicare tramite l'interfaccia `localhost`. Per ulteriori informazioni su VPC e sottoreti, consultare [How Amazon VPC works](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html) nella *Guida per l'utente di Amazon VPC*.

Affinché un'attività su Fargate sia in grado di estrarre un'immagine del container, l'attività deve avere un routing verso Internet. Di seguito è descritto come verificare che l'attività abbia un routing verso Internet.
+ Quando utilizzi una sottorete pubblica, puoi assegnare un indirizzo IP pubblico all'ENI del processo.
+ Quando si utilizza una sottorete privata, la sottorete può avere un gateway NAT collegato.
+ Quando si utilizzano immagini del container ospitate in Amazon ECR, puoi configurare Amazon ECR per utilizzare un endpoint VPC dell'interfaccia e l'estrazione dell'immagine si verificherà sull'indirizzo IPv4 privato dell'attività. Per ulteriori informazioni, consulta [Endpoint VPC dell'interfaccia Amazon ECR (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) nella *Guida per l'utente di Amazon Elastic Container Registry*.

Poiché ogni attività ottiene la sua ENI, puoi utilizzare funzioni di rete, come i log di flusso VPC, per monitorare il traffico da e verso le tue attività. Per ulteriori informazioni, consulta [Log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) nella *Guida per l’utente di Amazon VPC*.

Puoi anche approfittare di. AWS PrivateLink Puoi configurare un endpoint di interfaccia VPC in modo da poter accedere alle API di Amazon ECS tramite indirizzi IP privati. AWS PrivateLink limita tutto il traffico di rete tra il tuo VPC e Amazon ECS alla rete Amazon. Non è richiesto un gateway Internet, un dispositivo NAT o un gateway privato virtuale. Per ulteriori informazioni, consultare [Amazon ECS interface VPC endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html).

Per esempi di come utilizzare la `NetworkConfiguration` risorsa con CloudFormation, consulta. [CloudFormation modelli di esempio per Amazon ECS](working-with-templates.md)

Le ENI create sono completamente gestite da AWS Fargate. Inoltre, esiste una policy IAM associata che viene utilizzata per concedere autorizzazioni per Fargate. Per le attività che utilizzano la piattaforma Fargate versione `1.4.0` o successiva, l'attività riceve un'unica ENI (denominata ENI di attività) e tutto il traffico di rete scorre attraverso tale ENI all'interno del VPC. Questo traffico viene registrato nei log di flusso VPC. Per le attività che utilizzano la piattaforma Fargate versione `1.3.0` e precedenti, oltre all'ENI di attività, l'attività riceve anche un'ENI di proprietà di Fargate che viene utilizzata per un traffico di rete non visibile nei log di flusso VPC. Di seguito vengono descritti il comportamento del traffico di rete e la policy IAM richiesta per ogni versione della piattaforma.


|  Azione  |  Flusso di traffico con piattaforma Linux versione `1.3.0` e versioni precedenti  |  Flusso di traffico con piattaforma Linux versione `1.4.0`  |  Flusso di traffico con piattaforma Windows versione `1.0.0`  |  Autorizzazione IAM  | 
| --- | --- | --- | --- | --- | 
|  Recupero delle credenziali di accesso di Amazon ECR  |  ENI di proprietà Fargate  |  ENI attività  |  ENI attività  |  Ruolo IAM per l'esecuzione del processo  | 
|  Pull immagine  |  ENI attività  |  ENI attività  |  ENI attività  |  Ruolo IAM per l'esecuzione del processo  | 
|  Invio dei log tramite un driver di log  |  ENI attività  |  ENI attività  |  ENI attività  |  Ruolo IAM per l'esecuzione del processo  | 
|  Invio di log FireLens per Amazon ECS  |  ENI attività  |  ENI attività  |  ENI attività  |  Ruolo IAM del processo  | 
|  Recupero di segreti da Secrets Manager o Systems Manager  |  ENI di proprietà Fargate  |  ENI attività  |  ENI attività  |  Ruolo IAM per l'esecuzione del processo  | 
|  Traffico del file system Amazon EFS  |  Non disponibile  |  ENI attività  |  ENI attività  |  Ruolo IAM del processo  | 
|  Traffico delle applicazioni  |  ENI attività  |  ENI attività  |  ENI attività  |  Ruolo IAM del processo  | 

## Considerazioni
<a name="fargate-task-networking-considerations"></a>

Tieni in considerazione le informazioni seguenti quando usi la rete di attività.
+ Il ruolo collegato ai servizi Amazon ECS è necessario per fornire ad Amazon ECS le autorizzazioni per effettuare chiamate ad altri AWS servizi per tuo conto. Questo ruolo viene creato quando crei un cluster oppure quando crei o aggiorni un servizio nella Console di gestione AWS. Per ulteriori informazioni, consulta [Uso di ruoli collegati ai servizi per Amazon ECS](using-service-linked-roles.md). Puoi anche creare il ruolo collegato al servizio utilizzando il seguente comando. AWS CLI 

  ```
  aws iam [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) --aws-service-name ecs.amazonaws.com
  ```
+ Amazon ECS popola il nome host dell'attività con un nome host DNS fornito da Amazon quando entrambe le opzioni `enableDnsHostnames` e `enableDnsSupport` sono abilitate nel VPC. Se queste opzioni non sono abilitate, il nome host DNS dell'attività è impostato su un nome host casuale. Per ulteriori informazioni sulle impostazioni DNS per un VPC, consulta [Utilizzo del DNS con il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) nella *Guida per l'utente di Amazon VPC*.
+ È possibile specificare solo fino a 16 sottoreti e 5 gruppi di sicurezza per `awsVpcConfiguration`. Per ulteriori informazioni, consulta il *riferimento [AwsVpcConfiguration](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_AwsVpcConfiguration.html)all'API di Amazon Elastic Container Service*.
+ Non puoi scollegare o modificare manualmente le ENI create e collegate da Fargate. Questo serve a impedire l'eliminazione accidentale di un'ENI che è associata a un'attività in esecuzione. Per rilasciare le ENI per un'attività, interrompi l'attività.
+ Se una sottorete VPC viene aggiornata per modificare la serie di opzioni DHCP utilizzate, non puoi applicare queste modifiche anche alle attività esistenti che utilizzano il VPC. Avvia nuove attività, che riceveranno la nuova impostazione per eseguire la migrazione senza problemi durante il test della nuova modifica e quindi interrompi le attività precedenti, se non è necessario eseguire il rollback.
+ Quanto segue si applica alle attività eseguite sulla versione della piattaforma Fargate `1.4.0` o successiva per Linux o `1.0.0` per Windows. Le attività avviate nelle sottoreti dualstack ricevono un indirizzo IPv4 e un indirizzo IPv6. Le attività avviate nelle IPv6-only sottoreti ricevono solo un indirizzo IPv6.
+ Per le attività che utilizzano la versione `1.4.0` o successiva per Linux o `1.0.0` per Windows della piattaforma, le ENI di attività supportano frame jumbo. Le interfacce di rete sono configurate con un'unità di trasmissione massima (MTU), ovvero la dimensione del payload più grande che si adatta all'interno di un singolo frame. Più grande è l'MTU, più il payload dell'applicazione può essere adattato all'interno di un singolo fotogramma, riducendo il sovraccarico per fotogramma e aumentando l'efficienza. Il supporto dei frame jumbo riduce il sovraccarico quando il percorso di rete tra l'attività e la destinazione supporta frame jumbo.
+ I servizi con attività che utilizzano Fargate supportano solo Application Load Balancer e Network Load Balancer. Classic Load Balancer non è supportato. Quando crei gruppi target, devi scegliere `ip` come tipo di target anziché `instance`. Per ulteriori informazioni, consulta [Usa il bilanciamento del carico per distribuire il traffico del servizio Amazon ECS](service-load-balancing.md).

## Utilizzo di un VPC in modalità dual-stack
<a name="fargate-task-networking-vpc-dual-stack"></a>

Quando utilizzi un VPC in modalità dual-stack, i processi possono comunicare via IPv4, IPv6 o entrambi. Gli indirizzi IPv4 e IPv6 sono indipendenti l'uno dall'altro; devi configurare il routing e la sicurezza del VPC in modo separato per IPv4 e IPv6. Per ulteriori informazioni sulla configurazione del VPC per la modalità dual-stack, consulta [Migrazione a IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) nella *Guida per l'utente di Amazon VPC*.

Alle attività Amazon ECS su Fargate viene assegnato un indirizzo IPv6 se sono soddisfatte le seguenti condizioni:
+ L'impostazione del tuo account `dualStackIPv6` di Amazon ECS è attivata (`enabled`) per l'IAM principale che avvia le attività nella regione in cui le stai avviando. Questa impostazione può essere modificata solo utilizzando l'API o. AWS CLI Esiste la possibilità di attivare questa impostazione per un IAM principale specifico sul proprio account o per l'intero account attivando le impostazioni predefinite. Per ulteriori informazioni, consulta [Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account](ecs-account-settings.md).
+ Il VPC e la sottorete sono abilitati per IPv6. Per ulteriori informazioni sulla configurazione del VPC per la modalità dual-stack, consulta [Migrazione a IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) nella *Guida per l'utente di Amazon VPC*.
+ La sottorete è abilitata per l'assegnazione automatica degli indirizzi IPV6. Per ulteriori informazioni su come configurare la sottorete, consulta [Modifica dell'attributo di assegnazione di indirizzi IPv6 pubblici per la sottorete](https://docs.aws.amazon.com/vpc/latest/userguide/modify-subnets.html) nella *Guida per l'utente di Amazon VPC*.
+ L'attività o il servizio utilizza la versione della piattaforma Fargate `1.4.0` o successiva per Linux.

Per le attività di Amazon ECS su Fargate eseguite in un VPC in modalità dual-stack, per comunicare con i servizi di dipendenza utilizzati nel processo di avvio delle attività come ECR, SSM SecretManager e, la tabella di routing della sottorete pubblica richiede IPv4 (0.0.0). 0/0) instradano verso un gateway Internet e la tabella di routing della sottorete privata richiede IPv4 (0.0.0). 0/0) instradare verso un gateway NAT. Per ulteriori informazioni, consulta i [gateway Internet e i gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) [NAT nella](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) Amazon *VPC* User Guide. 

Per esempi su come configurare un VPC dual-stack, consulta [Esempio](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-example.html) di configurazione VPC dual-stack. 

## Utilizzo di un VPC in modalità IPv6-only
<a name="fargate-task-networking-vpc-ipv6-only"></a>

In una IPv6-only configurazione, le attività di Amazon ECS comunicano esclusivamente tramite IPv6. Per configurare VPC e sottoreti per una IPv6-only configurazione, è necessario aggiungere un blocco CIDR IPv6 al VPC e creare sottoreti che includano solo un blocco CIDR IPv6. Per ulteriori informazioni, consultare [Add IPv6 support for your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html) e [Create a subnet](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) nella *Guida per l'utente di Amazon VPC*. È inoltre necessario aggiornare le tabelle di routing con destinazioni IPv6 e configurare i gruppi di sicurezza con regole IPv6. Per ulteriori informazioni, consultare [Configure route tables](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) e [Configure security group rules](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) nella *Guida per l'utente di Amazon VPC*.

Tieni presente le seguenti considerazioni:
+ Puoi aggiornare un IPv4-only servizio Amazon ECS dualstack a IPv6-only una configurazione aggiornando direttamente il servizio per IPv6-only utilizzare le sottoreti o creando un servizio parallelo e utilizzando le distribuzioni blu-verdi di Amazon ECS per spostare il traffico verso il nuovo IPv6-only servizio. Per ulteriori informazioni sulle implementazioni blu/verdi di Amazon ECS, consultare [Implementazioni Amazon ECS blue/green](deployment-type-blue-green.md).
+ Un servizio IPv6-only Amazon ECS deve utilizzare sistemi di bilanciamento del carico dualstack con gruppi target IPv6. Se si sta migrando un servizio di Amazon ECS esistente basato su un Application Load Balancer o un Network Load Balancer, è possibile creare un nuovo sistema di bilanciatore del carico dualstack e spostare il traffico dal vecchio bilanciatore del carico, o aggiornare il tipo di indirizzo IP del bilanciatore del carico esistente.

   Per ulteriori informazioni sui Network Load Balancer, consultare [Create a Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html) e [Update the IP address types for your Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-ip-address-type.html) nella *Guida per l'utente di Network Load Balancer*. Per ulteriori informazioni su Application Load Balancer, consultare [Create an Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) e [Update the IP address types for your Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-ip-address-type.html) nella *Guida per l'utente di Application Load Balancer*.
+ IPv6-only la configurazione Windows non è supportata su.
+ Per le attività di Amazon ECS in una IPv6-only configurazione per comunicare con gli IPv4-only endpoint, puoi configurare DNS64 e NAT64 convertire gli indirizzi di rete da IPv6 a IPv4. Per ulteriori informazioni, consultare [IDNS64 and NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-nat64-dns64.html) nella *Guida per l'utente di Amazon VPC*.
+ IPv6-only la configurazione è supportata nella versione della piattaforma Fargate `1.4.0` o successiva.
+ I carichi di lavoro Amazon ECS in una IPv6-only configurazione devono utilizzare gli endpoint URI dell'immagine dualstack di Amazon ECR quando estraggono immagini da Amazon ECR. Per ulteriori informazioni, consultare [Nozioni di base sull'invio di richieste tramite IPv6](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) nella *Guida per l'utente di Amazon Elastic Container Registry*.
**Nota**  
Amazon ECR non supporta gli endpoint VPC con interfaccia dualstack utilizzabili dalle attività in una configurazione. IPv6-only Per ulteriori informazioni, consultare [Nozioni di base sull'invio di richieste tramite IPv6](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) nella *Guida per l'utente di Amazon Elastic Container Registry*.
+ Amazon ECS Exec non è supportato in nessuna configurazione. IPv6-only 
+ Amazon CloudWatch non supporta un endpoint FIPS dualstack che può essere utilizzato per monitorare le attività di Amazon ECS in configurazioni che utilizzano la conformità. IPv6-only FIPS-140 Per ulteriori informazioni su, consulta. FIPS-140 [AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140)](ecs-fips-compliance.md)

### Regioni AWS quella IPv6-only modalità di supporto per Amazon ECS
<a name="fargate-task-networking-ipv6-only-regions"></a>

Puoi eseguire attività in una delle seguenti IPv6-only configurazioni in Regioni AWS cui Amazon ECS è disponibile:
+ Stati Uniti orientali (Ohio)
+ Stati Uniti orientali (Virginia settentrionale)
+ Stati Uniti occidentali (California settentrionale)
+ Stati Uniti occidentali (Oregon)
+ Africa (Città del Capo)
+ Asia Pacifico (Hong Kong)
+ Asia Pacific (Hyderabad)
+ Asia Pacifico (Giacarta)
+ Asia Pacifico (Melbourne)
+ Asia Pacifico (Mumbai)
+ Asia Pacifico (Osaka)
+ Asia Pacifico (Seoul)
+ Asia Pacifico (Singapore)
+ Asia Pacifico (Sydney)
+ Asia Pacifico (Tokyo)
+ Canada (Centrale)
+ Canada occidentale (Calgary)
+ Cina (Pechino)
+ Cina (Ningxia)
+ Europa (Francoforte)
+ Europa (Londra)
+ Europa (Milano)
+ Europa (Parigi)
+ Europa (Spagna)
+ Israele (Tel Aviv)
+ Medio Oriente (Bahrein)
+ Medio Oriente (Emirati Arabi Uniti)
+ Sud America (San Paolo)
+ AWS GovCloud (US-East)
+ AWS GovCloud (US-West)