为 Amazon ECS 构建您的解决方案 - Amazon Elastic Container Service

为 Amazon ECS 构建您的解决方案

在使用 Amazon ECS 之前,您需要对容量、联网、账户设置和日志记录进行决策,以便正确配置您的 Amazon ECS 资源。

容量

容量是容器运行的基础设施。选项如下:

  • Amazon EC2 实例

  • 无服务器(AWS Fargate)

  • 本地虚拟机(VM)或服务器

在您创建集群时指定基础设施。您还可以在注册任务定义时指定基础设施类型。任务定义将基础设施称为“启动类型”。当您运行独立任务或部署服务时,也可以使用启动类型。有关启动类型选项的更多信息,请参阅Amazon ECS 启动类型

联网

AWS 资源是在子网中创建的。当您使用 EC2 实例时,Amazon ECS 会在您在创建集群时指定的子网中启动实例。您的任务在实例子网中运行。对于 Fargate 或本地虚拟机,您可以在运行任务或创建服务时指定子网。

根据您的应用程序,子网可以是私有子网或公有子网,并且子网可以位于任何以下 AWS 资源中:

  • 可用区

  • Local Zones

  • Wavelength 区域

  • AWS 区域

  • AWS Outposts

有关更多信息,请参阅Amazon ECS 应用程序位于共享子网、本地区和 Wavelength 区中AWS Outposts 上的 Amazon Elastic Container Service

您可以使用以下方法之一将应用程序连接到互联网:

  • 具有互联网网关的公有子网

    当您的公共应用程序需要大量带宽或最小延迟时,请使用公有子网。适用场景包括视频流和游戏服务。

  • 具有 NAT 网关的私有子网

    如果要保护容器免于外部直接访问,则请使用私有子网。适用场景包括支付处理系统或存储用户数据和密码的容器。

功能访问

您可以使用 Amazon ECS 账户设置来访问以下功能:

  • Container Insights

    CloudWatch Container Insights 从容器化应用程序和微服务中收集、聚合和汇总指标与日志。指标包括资源的使用率,如 CPU、内存、磁盘和网络。

  • awsvpc 中继

    对于某些 EC2 实例类型,您可以在新启动的容器实例上使用其他网络接口(ENI)。

  • 标记授权

    用户必须具有创建资源的操作的权限,例如 ecsCreateCluster。如果在资源创建操作中指定了标签,则 AWS 会对 ecs:TagResource 操作执行额外的授权,以验证用户或角色是否具备创建标签的权限。

  • Fargate FIPS-140 合规性

    Fargate 支持美国联邦信息处理标准(FIPS-140),其中规定了对保护敏感信息的加密模块的安全要求。它是美国和加拿大政府的现行标准,适用于需要符合《联邦信息安全管理法》(FISMA)或联邦风险和授权管理计划(FedRAMP)的系统。

  • Fargate 任务停用时间变更

    您可以配置对停用 Fargate 任务进行修补之前的等待时间。

  • 双堆栈 VPC

    允许任务通过 IPv4、IPv6 或两者进行通信。

  • Amazon Resource Name (ARN) 格式

    某些功能(例如标记授权)需要新的 Amazon 资源名称(ARN)格式。

有关更多信息,请参阅 通过账户设置访问 Amazon ECS 功能

IAM 角色

IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。在 Amazon ECS 中,您可以创建角色来授予对 Amazon ECS 资源(例如容器或服务)的权限。

有些 Amazon ECS 功能需要角色。有关更多信息,请参阅 适用于 Amazon ECS 的 IAM 角色

日志记录

日志记录和监控是维护 Amazon ECS 工作负载的可靠性、可用性和性能的重要方面。以下选项可用:

  • Amazon CloudWatch 日志 – 将日志路由到 Amazon CloudWatch

  • FireLens for Amazon ECS – 将日志路由到 AWS 服务或 AWS Partner Network 目的地,以进行日志存储和分析。AWS Partner Network 是一个由合作伙伴组成的全球社区,它利用计划、专业知识和资源来构建、营销和销售客户产品。