As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acesso AWS Batch usando um endpoint de interface
Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e. AWS Batch Você pode acessar o AWS Batch como se estivesse em sua VPC, sem o uso de gateway da internet, dispositivo NAT, conexão VPN ou conexão do AWS Direct Connect . As instâncias na sua VPC não precisam de endereços IP públicos para acessar o AWS Batch.
Você estabelece essa conectividade privada criando um endpoint de interface, desenvolvido pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Estas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao AWS Batch.
Para obter mais informações, consulte, consulte VPC Endpoints de Interface no Guia AWS PrivateLink .
Considerações para AWS Batch
Antes de configurar um endpoint de interface para AWS Batch, revise as propriedades e limitações do endpoint de interface no AWS PrivateLink Guia.
AWS Batch suporta fazer chamadas para todas as suas ações de API por meio do endpoint da interface.
Antes de configurar a interface para VPC endpoints AWS Batch, esteja ciente das seguintes considerações:
-
Trabalhos usando o tipo de lançamento de recursos Fargate não exigem a interface VPC endpoints para Amazon ECS, mas você pode precisar de endpoints VPC de interface para Amazon ECR, Secrets Manager ou AWS Batch Amazon Logs descritos nos pontos a seguir. CloudWatch
-
Para executar trabalhos, você deve criar VPC endpoints de interface para o Amazon ECS. Para obter mais informações, consulte VPC Endpoints de Interface (AWS PrivateLink) no Guia do desenvolvedor do Amazon Elastic Container Service.
-
Para permitir que seus trabalhos extraiam imagens privadas do Amazon ECR, você deve criar VPC endpoints de interface para o Amazon ECR. Para obter mais informações, consulte VPC Endpoints de interface (AWS PrivateLink) no Manual do Usuário do Amazon Elastic Container Registry.
-
Para permitir que seus trabalhos extraiam dados sigilosos do Secrets Manager, é necessário criar VPC endpoints de interface para o Secrets Manager. Para obter mais informações, consulte Usando o Secrets Manager com Endpoints da VPC no AWS Secrets Manager Manual do Usuário do.
-
Se sua VPC não tiver um gateway de internet e seus trabalhos usarem o driver de
awslogslog para enviar informações de log para CloudWatch Logs, você deverá criar uma interface VPC endpoint para Logs. CloudWatch Para obter mais informações, consulte Como usar CloudWatch registros com endpoints VPC de interface no Guia do usuário do Amazon CloudWatch Logs.
-
-
Os trabalhos que usam os requisitos dos recursos do EC2 exigem que as instâncias de contêiner nas quais forem iniciadas executem a versão
1.25.1ou superior do agente de contêiner do Amazon ECS. Para obter mais informações, consulte Versões do Agente de Contêiner do Amazon ECS no Guia do Desenvolvedor do Amazon Elastic Container Service. -
Atualmente, os endpoints da VPC não oferecem suporte a solicitações entre Regiões. Garanta a criação do seu endpoint na mesma Região onde planeja emitir as chamadas de API para o AWS Batch.
-
Os endpoints da VPC oferecem compatibilidade somente com DNS fornecidos pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, você pode usar o encaminhamento de DNS condicional. Para obter mais informações, consulte Conjuntos de Opções de DHCP no Manual do Usuário da Amazon VPC.
-
O grupo de segurança anexado ao endpoint da VPC deve permitir entrada conectada a porta 443 na sub-rede privada da VPC.
-
AWS Batch não oferece suporte a endpoints de interface VPC no seguinte: Regiões da AWS
-
Asia Pacific (Osaka) (
ap-northeast-3) -
Ásia-Pacífico (Jacarta) (
ap-southeast-3)
-
Crie um endpoint de interface para AWS Batch
Você pode criar um endpoint de interface para AWS Batch usar o console Amazon VPC ou AWS Command Line Interface o AWS CLI(). Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário do AWS PrivateLink .
Crie um endpoint de interface para AWS Batch usar o seguinte nome de serviço:
com.amazonaws.region.batch
Por exemplo: .
com.amazonaws.us-east-2.batch
Na partição aws-cn, o formato é diferente:
cn.com.amazonaws.region.batch
Por exemplo: .
cn.com.amazonaws.cn-northwest-1.batch
Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API AWS Batch usando seu nome DNS regional padrão. Por exemplo, batch.us-east-1.amazonaws.com.
Para obter mais informações, consulte Acessando um Serviço por meio de um Endpoint de Interface no AWS PrivateLink Guia .
Crie uma política de endpoint para seu endpoint de interface.
Política de endpoint é um recurso do IAM que você pode anexar ao endpoint de interface. A política de endpoint padrão permite acesso total AWS Batch por meio do endpoint da interface. Para controlar o acesso permitido ao AWS Batch pela VPC, anexe uma política de endpoint personalizada ao endpoint de interface.
Uma política de endpoint especifica as seguintes informações:
-
As entidades principais que podem executar ações (Contas da AWS, usuários e funções do IAM).
-
As ações que podem ser executadas.
-
Os recursos nos quais as ações podem ser executadas.
Para obter mais informações, consulte Controlar o Acesso a Serviços Usando Políticas de Endpoint no AWS PrivateLink Guia.
Exemplo: política de VPC endpoint para ações AWS Batch
O exemplo a seguir refere-se a uma política de endpoint personalizada. Quando você anexa essa política ao seu endpoint de interface, ela concede acesso às AWS Batch ações listadas para todos os diretores em todos os recursos.
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "batch:SubmitJob", "batch:ListJobs", "batch:DescribeJobs" ], "Resource":"*" } ] }
