AWSVPC modo - Amazon Elastic Container Service
Aumentando a densidade de tarefas com o ENI TrunkingEvitando o esgotamento do endereço IPUsando o modo de pilha dupla IPv6

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSVPC modo

Com o modo de awsvpc rede, o Amazon ECS cria e gerencia uma interface de rede elástica (ENI) para cada tarefa e cada tarefa recebe seu próprio endereço IP privado dentro da VPC. Essa ENI é separada da ENI dos hosts subjacentes. Se uma instância do Amazon EC2 estiver executando várias tarefas, o ENI de cada tarefa também será separado.

Diagrama mostrando a arquitetura de uma rede usando o modo de AWSVPC rede.

No exemplo anterior, a instância do Amazon EC2 é atribuída a uma ENI. A ENI representa o endereço IP da instância EC2 usada para comunicações de rede no nível do host. Cada tarefa também tem um ENI correspondente e um endereço IP privado. Como cada ENI é separada, cada contêiner pode se vincular à porta 80 na ENI da tarefa. Portanto, você não precisa acompanhar os números das portas. Em vez disso, você pode enviar tráfego para a porta 80 no endereço IP da ENI da tarefa.

A vantagem de usar o modo de awsvpc rede é que cada tarefa tem um grupo de segurança separado para permitir ou negar tráfego. Isso significa que você tem maior flexibilidade para controlar as comunicações entre tarefas e serviços em um nível mais granular. Você também pode configurar uma tarefa para negar o tráfego de entrada de outra tarefa localizada no mesmo host.

O modo awsvpc de rede é compatível com tarefas do Amazon ECS hospedadas no Amazon EC2 e no Fargate. Lembre-se de que, ao usar o Fargate, awsvpc o modo de rede é necessário.

Ao usar o modo de awsvpc rede, há alguns desafios que você deve considerar.

Aumentando a densidade de tarefas com o ENI Trunking

A maior desvantagem de usar o modo de awsvpc rede com tarefas hospedadas em instâncias do Amazon EC2 é que as instâncias do EC2 têm um limite no número de ENIs que podem ser anexadas a elas. Isso limita quantas tarefas você pode colocar em cada instância. O Amazon ECS fornece o recurso de entroncamento de ENI que aumenta o número de ENIs disponíveis para obter mais densidade de tarefas.

Diagrama mostrando a arquitetura de uma rede usando o modo AWSVPC de rede com entroncamento ENI.

Ao usar o entroncamento ENI, dois anexos ENI são usados por padrão. A primeira é a ENI primária da instância, que é usada para qualquer processo no nível do host. O segundo é o tronco ENI, criado pelo Amazon ECS. Esse recurso só é suportado em tipos específicos de instâncias do Amazon EC2.

Considere esse exemplo. Sem o entroncamento ENI, uma c5.large instância com duas vCPUs só pode hospedar duas tarefas. No entanto, com o entroncamento ENI, uma c5.large instância que tem duas vCPUs pode hospedar até dez tarefas. Cada tarefa tem um endereço IP e um grupo de segurança diferentes. Para obter mais informações sobre os tipos de instância disponíveis e sua densidade, consulte Tipos de instância compatíveis do Amazon EC2 no Amazon Elastic Container Service Developer Guide.

O entroncamento ENI não tem impacto no desempenho do tempo de execução em termos de latência ou largura de banda.

Para obter mais informações, consulte o entroncamento da interface de rede elástica no Amazon Elastic Container Service Developer Guide.

Evitando o esgotamento do endereço IP

Ao atribuir um endereço IP separado a cada tarefa, você pode simplificar sua infraestrutura geral e manter grupos de segurança que oferecem um ótimo nível de segurança. No entanto, essa configuração pode levar à exaustão do IP.

A VPC padrão em sua AWS conta tem sub-redes pré-provisionadas que têm um intervalo CIDR. /20 Isso significa que cada sub-rede tem 4.091 endereços IP disponíveis. Observe que vários endereços IP dentro do /20 intervalo são reservados para uso AWS específico. Considere esse exemplo. Você distribui seus aplicativos em três sub-redes em três zonas de disponibilidade para alta disponibilidade. Nesse caso, você pode usar aproximadamente 12.000 endereços IP nas três sub-redes.

Usando o entroncamento ENI, cada instância do Amazon EC2 que você executa exige dois endereços IP. Um endereço IP é usado para a ENI primária e o outro endereço IP é usado para a ENI de tronco. Cada tarefa do Amazon ECS na instância exige um endereço IP. Se você estiver lançando uma carga de trabalho extremamente grande, poderá ficar sem endereços IP disponíveis. Isso pode resultar em falhas no lançamento do Amazon EC2 ou falhas no lançamento de tarefas. Esses erros ocorrem porque os ENIs não podem adicionar endereços IP dentro da VPC se não houver endereços IP disponíveis.

Ao usar o modo de awsvpc rede, você deve avaliar seus requisitos de endereço IP e garantir que os intervalos CIDR da sub-rede atendam às suas necessidades. Se você já começou a usar uma VPC que tem sub-redes pequenas e começa a ficar sem espaço de endereço, você pode adicionar uma sub-rede secundária.

Diagrama mostrando a arquitetura de uma rede usando o modo AWSVPC de rede com entroncamento ENI.

Ao usar o entroncamento ENI, a CNI da Amazon VPC pode ser configurada para usar ENIs em um espaço de endereço IP diferente do host. Ao fazer isso, você pode fornecer ao seu host Amazon EC2 e às suas tarefas diferentes intervalos de endereços IP que não se sobrepõem. No diagrama de exemplo, o endereço IP do host EC2 está em uma sub-rede que tem o intervalo de 172.31.16.0/20 IP. No entanto, as tarefas que estão sendo executadas no host recebem endereços IP no 100.64.0.0/19 intervalo. Ao usar dois intervalos de IP independentes, você não precisa se preocupar com tarefas consumindo muitos endereços IP e não deixando endereços IP suficientes para as instâncias.

Usando o modo de pilha dupla IPv6

O modo awsvpc de rede é compatível com VPCs configuradas para o modo de pilha dupla IPv6. Uma VPC usando o modo de pilha dupla pode se comunicar por IPv4, IPv6 ou ambos. Cada sub-rede na VPC pode ter um intervalo CIDR IPv4 e um intervalo CIDR IPv6. Para obter mais informações, consulte o endereçamento IP em sua VPC no Guia do usuário da Amazon VPC.

Você não pode desativar o suporte IPv4 para sua VPC e sub-redes para resolver problemas de exaustão de IPv4. No entanto, com o suporte ao IPv6, você pode usar alguns novos recursos, especificamente o gateway de internet somente de saída. Um gateway de Internet somente de saída permite que as tarefas usem seu endereço IPv6 publicamente roteável para iniciar conexões de saída com a Internet. Mas o gateway de internet somente de saída não permite conexões a partir da internet. Para obter mais informações, consulte Gateways de internet somente para saída no Guia do usuário da Amazon VPC.