Endpoint VPC dell'interfaccia di Amazon ECS (AWS PrivateLink) - Amazon Elastic Container Service
Considerazioni sugli endpoint VPC di Amazon ECSCreazione di endpoint VPC per Amazon ECSCreazione di una policy per l'endpoint VPC per Amazon ECS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Endpoint VPC dell'interfaccia di Amazon ECS (AWS PrivateLink)

Puoi migliorare la posizione di sicurezza del VPC configurando Amazon ECS in modo che utilizzi un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato alle API di Amazon ECS utilizzando indirizzi IP privati. AWS PrivateLink limita tutto il traffico di rete tra il tuo VPC e Amazon ECS alla rete Amazon. Non è richiesto un gateway Internet, un dispositivo NAT o un gateway privato virtuale.

Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta la sezione Endpoints VPC nella Amazon VPC User Guide.

Considerazioni sugli endpoint VPC di Amazon ECS

Considerazioni sugli endpoint VPC di Amazon ECS per il tipo di avvio Fargate

Prima di configurare gli endpoint VPC di interfaccia per Amazon ECS, tieni presente le considerazioni riportate di seguito:

  • Le attività che utilizzano il tipo di avvio Fargate non richiedono l'interfaccia VPC endpoint per Amazon ECS, ma potrebbero essere necessari endpoint VPC di interfaccia per Amazon ECR, Secrets Manager o Amazon Logs descritti nei punti seguenti. CloudWatch

    • Per consentire ai processi di estrarre immagini private da Amazon ECR, è necessario creare gli endpoint VPC di interfaccia per Amazon ECR. Per ulteriori informazioni, consulta Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon Elastic Container Registry.

      Se il tuo VPC non dispone di un gateway Internet, devi creare l'endpoint gateway per Amazon S3. Per ulteriori informazioni, consulta Create the Amazon S3 gateway endpoint (Creazione dell'endpoint gateway per Amazon S3 nella Guida per l'utente di Amazon Elastic Container Registry. Gli endpoint dell'interfaccia per Amazon S3 non possono essere utilizzati con Amazon ECR.

      Importante

      Se configuri Amazon ECR per utilizzare un endpoint VPC di interfaccia, puoi creare un ruolo di esecuzione delle attività che include chiavi di condizione per limitare l'accesso a un VPC o endpoint VPC specifico. Per ulteriori informazioni, consulta Autorizzazioni IAM facoltative per processi Fargate che eseguono il pull delle immagini Amazon ECR su endpoint di interfaccia.

    • Per consentire ai processi di estrarre dati sensibili da Secrets Manager, è necessario creare gli endpoint VPC di interfaccia per Secrets Manager. Per ulteriori informazioni, consulta Utilizzo di Secrets Manager con endpoint VPC nella Guida per l'utente di AWS Secrets Manager .

    • Se il tuo VPC non dispone di un gateway Internet e le tue attività utilizzano il driver di awslogs registro per inviare le informazioni di registro ai CloudWatch registri, devi creare un endpoint VPC di interfaccia per i registri. CloudWatch Per ulteriori informazioni, consulta Using CloudWatch Logs with Interface VPC Endpoints nella CloudWatch Amazon Logs User Guide.

  • Gli endpoint VPC attualmente non supportano le richieste inter-Regionali. Assicurati di creare l'endpoint nella stessa regione in cui prevedi di inviare le chiamate API ad Amazon ECS. Supponiamo ad esempio di voler eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale). Dovrai ovviamente creare l'endpoint VPC di Amazon ECS nella Regione Stati Uniti orientali (Virginia settentrionale). Un endpoint VPC di Amazon ECS creato in qualsiasi altra Regione non può eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale).

  • Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta Set opzioni DHCP nella Guida per l'utente di Amazon VPC.

  • Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta TCP 443 dalla sottorete privata del VPC.

  • La gestione Service Connect del proxy Envoy utilizza l'endpoint VPC com.amazonaws.region.ecs-agent. Quando non utilizzi gli endpoint VPC, la gestione Service Connect del proxy Envoy utilizza l'endpoint ecs-sc in quella determinata Regione. Per un elenco degli endpoint Amazon ECS in ciascuna Regione, consulta Endpoint e quote Amazon ECS.

Considerazioni sugli endpoint VPC di Amazon ECS per il tipo di avvio EC2

Prima di configurare gli endpoint VPC di interfaccia per Amazon ECS, tieni presente le considerazioni riportate di seguito:

  • Le attività che utilizzano il tipo di avvio EC2 richiedono che le istanze di container su cui sono avviate eseguano la versione 1.25.1 o successiva dell'agente di container Amazon ECS. Per ulteriori informazioni, consulta Gestione delle istanze di container Linux.

  • Per consentire ai processi di estrarre dati sensibili da Secrets Manager, è necessario creare gli endpoint VPC di interfaccia per Secrets Manager. Per ulteriori informazioni, consulta Utilizzo di Secrets Manager con endpoint VPC nella Guida per l'utente di AWS Secrets Manager .

  • Se il tuo VPC non dispone di un gateway Internet e le tue attività utilizzano il driver di awslogs registro per inviare le informazioni di registro ai CloudWatch registri, devi creare un endpoint VPC di interfaccia per i registri. CloudWatch Per ulteriori informazioni, consulta Using CloudWatch Logs with Interface VPC Endpoints nella CloudWatch Amazon Logs User Guide.

  • Gli endpoint VPC attualmente non supportano le richieste inter-Regionali. Assicurati di creare l'endpoint nella stessa regione in cui prevedi di inviare le chiamate API ad Amazon ECS. Supponiamo ad esempio di voler eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale). Dovrai ovviamente creare l'endpoint VPC di Amazon ECS nella Regione Stati Uniti orientali (Virginia settentrionale). Un endpoint VPC di Amazon ECS creato in qualsiasi altra Regione non può eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale).

  • Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta Set opzioni DHCP nella Guida per l'utente di Amazon VPC.

  • Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta TCP 443 dalla sottorete privata del VPC.

Creazione di endpoint VPC per Amazon ECS

Per creare gli endpoint VPC per il servizio Amazon ECS, utilizza la procedura Creazione di un endpoint di interfaccia descritta nella Guida per l'utente di Amazon VPC. Se sono presenti istanze di container all'interno del VPC, è necessario creare gli endpoint nell'ordine in cui sono elencati. Se intendi creare le istanze di container dopo la creazione dell'endpoint VPC, l'ordine non ha importanza.

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

Nota

region rappresenta l'identificatore di regione per una regione AWS supportata da Amazon ECS, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio).

L'ecs-agentendpoint utilizza l'ecs:pollAPI e l'ecs-telemetryendpoint utilizza l'API and. ecs:poll ecs:StartTelemetrySession

Se sono presenti processi che utilizzano il tipo di Avvio EC2, dopo aver creato gli endpoint VPC, ogni istanza di container deve selezionare la nuova configurazione. Perché ciò accada, è necessario riavviare ogni istanza di container o riavviare l'agente del container Amazon ECS in ogni istanza di container. Per riavviare l'agente container, effettua le seguenti operazioni.

Come riavviare l'agente del container di Amazon ECS

  1. Accedi alla tua istanza di container con SSH.

  2. Arresta l'agente del container di .

    sudo docker stop ecs-agent

  3. Avvia l'agente container.

    sudo docker start ecs-agent

Dopo aver creato gli endpoint VPC e riavviato l'agente del container di Amazon ECS in ogni istanza di container, tutte le attività appena avviate ottengono la nuova configurazione.

Creazione di una policy per l'endpoint VPC per Amazon ECS

Puoi allegare una policy di endpoint all'endpoint VPC che controlla l'accesso ad Amazon ECS. La policy specifica le informazioni riportate di seguito:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire operazioni.

Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.

Esempio: policy di endpoint VPC per le operazioni Amazon ECS

Di seguito è riportato un esempio di una policy di endpoint per Amazon ECS. Se collegata a un endpoint, questa policy concede l'accesso all'autorizzazione per creare ed elencare i cluster. Le operazioni CreateCluster e ListClusters non accettano risorse, pertanto la definizione delle risorse è impostata su * per tutte le risorse. 

{
   "Statement":[
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateCluster",
        "ecs:ListClusters"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}