Arquitetar a solução para o Amazon ECS - Amazon Elastic Container Service
CapacityRedesAcesso a recursosPerfis do IAMRegistro em log

Arquitetar a solução para o Amazon ECS

Antes de usar o Amazon ECS, você precisa tomar decisões sobre capacidade, redes, configurações de conta e registro em log, a fim de configurar corretamente os recursos do Amazon ECS.

Capacity

A capacidade é a infraestrutura onde os contêineres são executados. Estas são as opções:

  • Instâncias do Amazon EC2

  • Tecnologia sem servidor (AWS Fargate (Fargate))

  • Máquinas virtuais (VM) ou servidores on-premises

Você especifica a infraestrutura ao criar um cluster. Você também especifica o tipo de infraestrutura ao registrar uma definição de tarefa. A definição da tarefa refere-se à infraestrutura como o “tipo de execução”. Você também usa o tipo de execução ao executar uma tarefa autônoma ou implantar um serviço. Para obter informações sobre as opções de tipo de execução, consulte Tipos de inicialização do Amazon ECS.

Redes

Os recursos da AWS são criados em sub-redes. Ao usar instâncias do EC2, o Amazon ECS executa as instâncias na sub-rede que você especifica ao criar um cluster. Suas tarefas são executadas na sub-rede da instância. No Fargate ou em máquinas virtuais on-premises, você especifica a sub-rede ao executar uma tarefa ou criar um serviço.

Dependendo da aplicação, a sub-rede pode ser privada ou pública e estar em qualquer um dos seguintes recursos da AWS:

  • Uma VPC com zonas de disponibilidade e uma zona Wavelength.

  • Local Zones

  • Zonas do Wavelength

  • Regiões da AWS

  • AWS Outposts

Para obter mais informações, consulte Aplicações do Amazon ECS em sub-redes compartilhadas, zonas locais e zonas do Wavelength ou Amazon Elastic Container Service no AWS Outposts.

Você pode fazer com que a aplicação se conecte à Internet usando um dos seguintes métodos:

  • Uma sub-rede pública com um gateway da Internet

    Use sub-redes públicas quando tiver aplicações públicas que exijam grandes quantidades de largura de banda ou latência mínima. Os cenários aplicáveis incluem serviços de streaming de vídeo e jogos.

  • Uma sub-rede privada com um gateway NAT

    Use sub-redes privadas quando quiser proteger seus contêineres do acesso externo direto. Os cenários aplicáveis incluem sistemas de processamento de pagamentos ou contêineres que armazenam dados e senhas do usuário.

Acesso a recursos

Você pode usar a configuração da sua conta do Amazon ECS para acessar os seguintes recursos:

  • Container Insights

    O CloudWatch Container Insights coleta, agrega e resume métricas e logs das suas aplicações e microsserviços conteinerizados. As métricas incluem a utilização de recursos, como CPU, memória, disco e rede.

  • Truncamento de awsvpc

    Em determinados tipos de instâncias do EC2, você pode ter interfaces de rede (ENIs) adicionais disponíveis em instâncias de contêiner recém-executadas.

  • Autorização para atribuição de tags

    Os usuários devem ter permissões para ações que criam um recurso, como ecsCreateCluster. Se as tags forem especificadas na ação resource-creating, a AWS executará autorização adicional na ação ecs:TagResource para verificar se os usuários têm permissões para criar tags.

  • Conformidade com o Fargate FIPS-140

    O Fargate oferece suporte ao Padrão Federal de Processamento de Informações (FIPS-140), que especifica os requisitos de segurança para módulos criptográficos que protejam informações confidenciais. É o padrão atual dos governos dos Estados Unidos e do Canadá e é aplicável a sistemas que precisam estar em conformidade com a Lei Federal de Gerenciamento de Segurança da Informação (FISMA) ou com o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP).

  • Alterações no tempo de retirada de tarefas do Fargate

    É possível configurar o período de espera antes que as tarefas do Fargate sejam retiradas para aplicação de patches.

  • VPC de pilha dupla

    Permita que as tarefas se comuniquem por IPv4, IPv6 ou ambos.

  • Formato do nome do recurso da Amazon (ARN)

    Alguns recursos, como autorização de marcação, exigem um novo formato de nome do recurso da Amazon (ARN).

Para ter mais informações, consulte Acesso aos recursos do Amazon ECS com as configurações de conta.

Perfis do IAM

Um perfil do IAM é uma identidade do IAM que você pode criar em sua conta que tem permissões específicas. No Amazon ECS, você pode criar perfis para conceder permissões aos recursos do Amazon ECS, como contêineres ou serviços.

Alguns recursos do Amazon ECS exigem perfis. Para ter mais informações, consulte Perfis do IAM para o Amazon ECS.

Registro em log

O registro em log e o monitoramento são aspectos importantes para manter a confiabilidade, a disponibilidade e o desempenho das workloads do Amazon ECS. As seguintes opções estão disponíveis:

  • Logs do Amazon CloudWatch: encaminha os logs para o Amazon CloudWatch

  • FireLens para Amazon ECS: encaminha os logs para um serviço da AWS ou destino da AWS Partner Network para armazenamento e análise de log. O AWS Partner Network é uma comunidade global de parceiros que utiliza programas, experiência e recursos para criar, comercializar e vender ofertas aos clientes.