Amazon ECS에 대한 Fargate Linux 플랫폼 버전 - Amazon Elastic Container Service
Linux 플랫폼 버전 1.4.0으로 마이그레이션할 때 고려해야 할 사항

Amazon ECS에 대한 Fargate Linux 플랫폼 버전

AWS Fargate 플랫폼 버전은 Fargate 태스크 인프라를 위한 특정 실행 시간 환경을 참조하는 데 사용합니다. 이것은 커널 버전과 컨테이너 실행 시간 버전의 조합입니다. 작업을 실행하거나 여러 개의 동일한 작업을 유지 관리하는 서비스를 생성할 플랫폼 버전을 선택합니다.

플랫폼 버전의 새 개정판은 커널 또는 운영 체제 업데이트, 새로운 기능, 버그 수정 또는 보안 업데이트처럼 런타임 환경이 개선됨에 따라 릴리스됩니다. Fargate 플랫폼 버전은 새 플랫폼 버전 개정판을 통해 업데이트됩니다. 각 작업은 해당 수명 주기 동안 하나의 플랫폼 버전 개정판에서 실행됩니다. 최신 플랫폼 버전 개정판을 사용하려면 새 작업을 시작해야 합니다. Fargate에서 실행되는 새 작업은 항상 플랫폼 버전의 최신 개정판에서 실행되므로 항상 안전하고 패치가 적용된 인프라에서 작업을 시작할 수 있습니다.

기존 플랫폼 버전에 영향을 미치는 보안 문제가 발견되면 AWS는 플랫폼 버전에 패치를 적용한 새 개정판을 만들고 취약한 개정판에서 실행 중인 작업을 중지합니다. 사용자에게 Fargate 작업이 만료 예정이라는 알림이 전송되는 경우도 있습니다. 자세한 내용은 Amazon ECS에서 AWS Fargate 작업 유지 관리 FAQ 단원을 참조하십시오.

태스크 정의를 생성하거나, 작업을 실행하거나, 서비스를 배포할 때 플랫폼 버전을 지정합니다.

플랫폼 버전을 지정할 때 다음 사항을 고려해야 합니다.

  • 1.4.0, LATEST 등과 같은 특정 버전 번호를 지정할 수 있습니다.

    LATEST 플랫폼 버전은 1.4.0입니다.

  • 서비스의 플랫폼 버전을 업데이트하려면 배포를 생성하세요. 예를 들어 Linux 플랫폼 버전 1.3.0에서 작업을 실행하는 서비스가 있다고 가정합니다. Linux 플랫폼 버전 1.4.0에서 작업을 실행하도록 서비스를 변경하려면 서비스를 업데이트하고 새 플랫폼 버전을 지정합니다. 작업은 최신 플랫폼 버전과 최신 플랫폼 버전 개정판으로 재배포됩니다. 배포에 대한 자세한 내용은 Amazon ECS 서비스 섹션을 참조하세요.

  • 플랫폼 버전을 업데이트하지 않고 서비스를 확장하면 해당 태스크는 서비스의 현재 배포에 지정된 플랫폼 버전을 수신합니다. 예를 들어 Linux 플랫폼 버전 1.3.0에서 작업을 실행하는 서비스가 있다고 가정합니다. 원하는 만큼 서비스 수를 늘리면 서비스 스케줄러는 플랫폼 버전 1.3.0의 최신 개정판을 사용하여 새 작업을 시작합니다.

  • 새 작업은 항상 플랫폼 버전의 최신 개정판에서 실행됩니다. 따라서 항상 보안이 유지되고 패치가 적용된 인프라에서 작업을 시작할 수 있습니다.

  • Fargate에서 Linux 컨테이너와 Windows 컨테이너의 플랫폼 버전 번호는 독립적입니다. 예를 들어 Fargate의 Windows 컨테이너용 플랫폼 버전 1.0.0 및 Fargate의 Linux 컨테이너용 플랫폼 버전 1.0.0에서 사용되는 동작, 기능 및 소프트웨어는 서로 비교할 수 없습니다.

Linux 플랫폼 버전 1.4.0으로 마이그레이션할 때 고려해야 할 사항

Fargate의 Amazon ECS 태스크를 플랫폼 버전 1.0.0, 1.1.0, 1.2.0 또는 1.3.0에서 플랫폼 버전 1.4.0으로 마이그레이션할 때 고려해야 할 사항은 다음과 같습니다. 태스크를 마이그레이션하기 전에 플랫폼 버전 1.4.0에서 태스크가 올바르게 작동하는지 확인하는 것이 좋습니다.

  • 태스크를 주고받은 네트워크 트래픽 동작이 업데이트되었습니다. 플랫폼 버전 1.4.0부터 모든 Fargate의 Amazon ECS 태스크는 단일 탄력적 네트워크 인터페이스(태스크 ENI라고 함)를 받고, 모든 네트워크 트래픽은 VPC 내의 해당 ENI를 통해 흐르게 됩니다. 사용자는 VPC 흐름 로그를 통해 이를 볼 수 있습니다. 자세한 정보는 Fargate 시작 유형에 대한 Amazon ECS 작업 네트워킹 옵션 섹션을 참조하세요.

  • 인터페이스 VPC 엔드포인트를 사용하는 경우 다음을 고려해야 합니다.

    • Amazon ECR로 호스팅되는 컨테이너 이미지의 경우 다음 엔드포인트가 필요합니다. 자세한 정보는 Amazon Elastic Container Registry 사용 설명서Amazon ECR 인터페이스 VPC 엔드포인트(AWS PrivateLink)를 참조하세요.

      • com.amazonaws.region.ecr.dkr Amazon ECR VPC 엔드포인트

      • com.amazonaws.region.ecr.api Amazon ECR VPC 엔드포인트

      • Amazon S3 게이트웨이 엔드포인트

    • 태스크 정의에서 Secret Manager 보안 암호를 참조하여 컨테이너에 대한 중요한 데이터를 검색하는 경우, Secret Manager용 인터페이스 VPC 엔드포인트를 생성해야 합니다. 자세한 정보는 AWS Secrets Manager 사용 설명서VPC 엔드포인트와 함께 Secrets Manager 사용을 참조하세요.

    • 태스크 정의에서 Systems Manager Parameter Store 파라미터를 참조하여 컨테이너에 대한 중요한 데이터를 검색하는 경우, System Manager용 인터페이스 VPC 엔드포인트를 생성해야 합니다. 자세한 내용은 AWS Systems Manager 사용 설명서의 Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선을 참조하세요.

    • 태스크와 연결된 탄력적 네트워크 인터페이스(ENI)의 보안 그룹에는 해당 태스크와 VPC 엔드포인트 간의 트래픽을 허용하도록 만들어진 보안 그룹 규칙이 있어야 합니다.