외부 인스턴스(Amazon ECS Anywhere)

Amazon ECS Anywhere는 외부 인스턴스(예: 온프레미스 서버 또는 가상 머신(VM))을 Amazon ECS 클러스터에 등록하도록 지원합니다. 외부 인스턴스는 아웃바운드 트래픽 또는 프로세스 데이터를 생성하는 애플리케이션 실행에 최적화되어 있습니다. 애플리케이션에 인바운드 트래픽이 필요한 경우 Elastic Load Balancing 지원이 없기 때문에 이러한 워크로드를 실행하는 데 효율성이 떨어집니다. Amazon ECS는 외부 인스턴스에서 서비스를 생성하거나 태스크를 실행하는 데 사용할 수 있는 새로운 EXTERNAL 시작 유형을 추가했습니다.

다음은 Amazon ECS Anywhere에 대한 상위 수준의 시스템 아키텍처 개요를 제공합니다.

주제

• 지원되는 운영 체제 및 시스템 아키텍처
• 고려 사항
• 클러스터에 외부 인스턴스 등록
• 외부 인스턴스 등록 취소
• 외부 인스턴스의 AWS Systems Manager 에이전트 및 Amazon ECS 컨테이너 에이전트 업데이트

지원되는 운영 체제 및 시스템 아키텍처

지원되는 운영 체제 및 시스템 아키텍처의 목록은 다음과 같습니다.

• Amazon Linux 2

• CentOS 7

• CentOS Stream 8

• RHEL 7, RHEL 8 - Docker 또는 RHEL의 오픈 패키지 리포지토리는 RHEL에 기본적으로 Docker를 설치하는 것을 지원하지 않습니다. 이 문서에서 설명하는 설치 스크립트를 실행하기 전에 Docker가 설치되어 있는지 확인해야 합니다.

• 페도라 32, 페도라 33

• OpenSUSE Tumbleweed

• 우분투 18, 우분투 20, 우분투 22

• Debian 10

  중요

  Debian 9 LTS(Long Term Support) 지원은 2022년 6월 30일에 종료되었으며 Amazon ECS Anywhere에서 더 이상 지원되지 않습니다.

• SUSE Enterprise Server 15

• x86_64 및 ARM64 CPU 아키텍처가 지원됩니다.

• 다음 Windows 운영 체제 버전이 지원됩니다.

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 20H2

고려 사항

외부 인스턴스를 사용하기 전에 다음 사항을 고려해야 합니다.

• 한 번에 하나의 클러스터에 외부 인스턴스를 등록할 수 있습니다. 다른 클러스터에 외부 인스턴스를 등록하는 방법에 대한 지침은 외부 인스턴스 등록 취소 섹션을 참조하세요.

• 외부 인스턴스에는 API와 통신할 수 있는 IAM 역할이 필요합니다. AWS 자세한 설명은 ECS Anywhere IAM 역할 섹션을 참조하세요.

• 외부 인스턴스에는 사전 구성된 인스턴스 자격 증명 체인이 로컬로 정의되어 있지 않아야 합니다. 정의된 경우 등록 스크립트에 방해가 될 수 있습니다.

• 컨테이너 로그를 로그로 전송하려면 CloudWatch 작업 정의에 작업 실행 IAM 역할을 생성하고 지정해야 합니다.

• 외부 인스턴스가 클러스터에 등록되면 ecs.capability.external 속성은 인스턴스와 연결되어 있습니다. 이 속성은 인스턴스를 외부 인스턴스로 식별합니다. 외부 인스턴스에 사용자 지정 속성을 추가하여 작업 배치 제약 조건으로 사용할 수 있습니다. 자세한 정보는 사용자 지정 속성 섹션을 참조하세요.

• 외부 인스턴스에 리소스 태그를 추가할 수 있습니다. 자세한 정보는 외부 컨테이너 인스턴스에 태그 지정을 참조하세요.

• ECS Exec은 외부 인스턴스에서 지원됩니다. 자세한 정보는 ECS Exec을 사용하여 Amazon ECS 컨테이너를 모니터링합니다을 참조하세요.

• 외부 인스턴스와의 네트워킹과 관련된 추가 고려 사항은 다음과 같습니다. 자세한 정보는 ECS Anywhere를 통한 네트워킹 섹션을 참조하세요.

  • 서비스 로드 밸런싱은 지원되지 않습니다.

  • 서비스 검색은 지원되지 않습니다.

  • 외부 인스턴스에서 실행되는 태스크는 bridge, host 또는 none 네트워크 모드를 사용해야 합니다. awsvpc 네트워크 모드는 지원되지 않습니다.

  • 각 AWS 지역에는 Amazon ECS 서비스 도메인이 있습니다. 외부 인스턴스로 트래픽을 보낼 수 있도록 이러한 서비스 도메인이 허용되어야 합니다.

  • 외부 인스턴스에 설치된 SSM Agent는 하드웨어 지문을 사용하여 30분마다 교체되는 IAM 자격 증명을 유지합니다. 외부 인스턴스의 연결이 끊긴 경우 SSM 에이전트는 연결이 다시 설정된 후 자격 증명을 자동으로 새로 고칩니다. AWS자세한 정보는 AWS Systems Manager 사용 설명서의 하드웨어 지문을 사용하여 온프레미스 서버 및 가상 머신 유효성 검사를 참조하세요.

• UpdateContainerAgent API는 지원되지 않습니다. 외부 인스턴스에서 SSM Agent 또는 Amazon ECS 에이전트를 업데이트하는 방법에 대한 지침은 외부 인스턴스의 AWS Systems Manager 에이전트 및 Amazon ECS 컨테이너 에이전트 업데이트 섹션을 참조하세요.

• Amazon ECS 용량 공급자는 지원되지 않습니다. 외부 인스턴스에서 서비스를 생성하거나 독립 실행형 태스크를 실행하려면 EXTERNAL 시작 유형을 사용합니다.

• SELinux는 지원되지 않습니다.

• Amazon EFS 볼륨 사용이나 EFSVolumeConfiguration 지정은 지원되지 않습니다.

• App Mesh와의 통합은 지원되지 않습니다.

• 콘솔을 사용하여 외부 인스턴스 작업 정의를 생성하는 경우 콘솔 JSON 편집기로 작업 정의를 생성해야 합니다.

• Windows에서 ECS Anywhere를 실행하는 경우 온프레미스 인프라에서 자체 Windows 라이선스를 사용해야 합니다.

• Amazon ECS 최적화가 아닌 AMI를 사용하는 경우 외부 컨테이너 인스턴스에서 다음 명령을 실행하여 작업에 IAM 역할을 사용하도록 규칙을 구성합니다. 자세한 설명은 Amazon EC2 또는 외부 인스턴스에서 작업 IAM 역할 활성화 섹션을 참조하세요.

  $ sysctl -w net.ipv4.conf.all.route_localnet=1
  $ iptables -t nat -A PREROUTING -p tcp -d 169.254.170.2 --dport 80 -j DNAT --to-destination 127.0.0.1:51679
  $ iptables -t nat -A OUTPUT -d 169.254.170.2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 51679

ECS Anywhere를 통한 네트워킹

Amazon ECS 외부 인스턴스는 아웃바운드 트래픽 또는 프로세스 데이터를 생성하는 애플리케이션 실행에 최적화되어 있습니다. 애플리케이션에 웹 서비스와 같은 인바운드 트래픽이 필요한 경우 Elastic Load Balancing 지원이 부족하여 이러한 워크로드를 로드 밸런서 뒤에 배치할 수 없기 때문에 이러한 워크로드를 실행하는 데 효율성이 떨어집니다.

외부 인스턴스와의 네트워킹과 관련된 추가 고려 사항은 다음과 같습니다.

• 서비스 로드 밸런싱은 지원되지 않습니다.

• 서비스 검색은 지원되지 않습니다.

• 외부 인스턴스에서 실행되는 Linux 태스크는 bridge, host 또는 none 네트워크 모드를 사용해야 합니다. awsvpc 네트워크 모드는 지원되지 않습니다.

  각 네트워크 모드에 대한 자세한 정보는 Amazon ECS 모범 사례 가이드의 네트워크 모드 선택을 참조하세요.

• 외부 인스턴스에서 실행되는 Windows 태스크는 default 네트워크 모드를 사용해야 합니다.

• 각 리전에 Amazon ECS 서비스 도메인이 있으며 외부 인스턴스로 트래픽을 보낼 수 있도록 허용해야 합니다.

• 외부 인스턴스에 설치된 SSM Agent는 하드웨어 지문을 사용하여 30분마다 교체되는 IAM 자격 증명을 유지합니다. 외부 인스턴스의 연결이 끊긴 경우 SSM 에이전트는 연결이 다시 설정된 후 자격 증명을 자동으로 새로 고칩니다. AWS자세한 정보는 AWS Systems Manager 사용 설명서의 하드웨어 지문을 사용하여 온프레미스 서버 및 가상 머신 유효성 검사를 참조하세요.

다음 도메인은 Amazon ECS 서비스와 외부 인스턴스에 설치된 Amazon ECS 에이전트 간의 통신에 사용됩니다. 트래픽이 허용되고 DNS 확인이 작동하는지 확인합니다. 각 엔드포인트의 리전은 미국 동부(오하이오) 리전의 us-east-2와 같이 Amazon ECS가 지원하는 AWS 리전의 리전 식별자를 나타냅니다. 사용하는 모든 리전의 엔드포인트가 허용되어야 합니다. ecs-a 및 ecs-t 엔드포인트의 경우 별표를 포함해야 합니다(예: ecs-a-*).

• ecs-a-*.region.amazonaws.com — 이 엔드포인트는 태스크를 관리할 때 사용됩니다.

• ecs-t-*.region.amazonaws.com — 이 엔드포인트는 태스크 및 컨테이너 지표를 관리하는 데 사용됩니다.

• ecs.region.amazonaws.com — Amazon ECS의 서비스 엔드포인트입니다.

• ssm.region.amazonaws.com — 서비스 엔드포인트입니다. AWS Systems Manager

• ec2messages.region.amazonaws.com— 클라우드에서 Systems Manager 에이전트와 Systems Manager 서비스 간에 통신하는 데 AWS Systems Manager 사용하는 서비스 엔드포인트입니다.

• ssmmessages.region.amazonaws.com - 이 서비스 엔드포인트는 클라우드의 Session Manager 서비스를 사용하여 세션 채널을 생성하고 삭제하는 데 필요합니다.

• 작업에 다른 AWS 서비스와의 통신이 필요한 경우 해당 서비스 엔드포인트가 허용되는지 확인하세요. 애플리케이션 예시로는 Amazon ECR을 사용하여 컨테이너 이미지를 가져오거나 CloudWatch for CloudWatch Logs를 사용하는 경우를 들 수 있습니다. 자세한 정보는 AWS 일반 참조의 서비스 엔드포인트를 참조하세요.

Amazon FSx for Windows File Server ECS 애니웨어와 함께

Amazon ECS 외부 인스턴스와 Amazon FSx for Windows File Server 함께 사용하려면 온프레미스 데이터 센터와 외부 인스턴스 사이에 연결을 설정해야 합니다. AWS 클라우드 VPC에 네트워크를 연결하는 옵션에 대한에 대한 자세한 정보는 Amazon Virtual Private Cloud Connectivity Options(Amazon Virtual Private Cloud 연결 옵션)를 참조하세요.

gMSA와 ECS Anywhere

ECS Anywhere에 대해 다음 사용 사례가 지원됩니다.

• Active Directory의 위치 AWS 클라우드 - 이 구성에서는 온프레미스 네트워크와 연결 AWS 클라우드 사용 간에 연결을 생성합니다. AWS Direct Connect 연결을 생성하는 방법에 대한 자세한 정보는 Amazon Virtual Private Cloud 연결 옵션을 참조하세요. AWS 클라우드에서 Active Directory를 생성합니다. 시작하는 AWS Directory Service방법에 대한 자세한 내용은 AWS Directory Service 관리 AWS Directory Service가이드의 설정을 참조하십시오. 그런 다음 AWS Direct Connect 연결을 사용하여 외부 인스턴스를 도메인에 조인할 수 있습니다. Amazon ECS에서 gMSA 작업에 대한 자세한 정보는 Amazon EC2에서 윈도우 컨테이너용 GMSA 사용 섹션을 참조하세요.

• Active Directory는 온프레미스 데이터 센터에 있습니다. - 이 구성의 경우 외부 인스턴스를 온프레미스 Active Directory에 조인합니다. 그런 다음 Amazon ECS 태스크를 실행할 때 로컬에서 사용 가능한 자격 증명을 사용합니다.