将 Fargate 任务上的 Amazon ECS 从平台版本 1.0.0、1.1.0、1.2.0 或 1.3.0 迁移到平台版本 1.4.0 时,请考虑以下事项。在迁移任务前,最佳实践是先确认您的任务在平台版本 1.4.0 上可以正常运行。
-
针对任务和来自任务的网络流量行为已更新。从平台版本 1.4.0 开始,Fargate 任务上的所有 Amazon ECS 都会接收单个弹性网络接口(称为任务 ENI),所有网络流量都会流经 VPC 内的此 ENI。您可在 VPC 流日志中看到此流量。有关更多信息,请参阅Fargate 启动类型的 Amazon ECS 任务联网选项。
-
如果您使用的是接口 VPC 端点,请考虑以下事项。
-
对于使用 Amazon ECR 托管的容器映像,需要以下端点。有关更多信息,请参阅 Amazon Elastic Container Registry 用户指南中的Amazon ECR 接口 VPC 端点 (AWS PrivateLink)。
-
com.amazonaws.
region.ecr.dkr Amazon ECR VPC 端点 -
com.amazonaws.
region.ecr.api Amazon ECR VPC 端点 -
Amazon S3 网关端点
-
-
当任务定义引用 Secrets Manager 密钥来检索容器的敏感数据时,必须为 Secrets Manager 创建接口 VPC 端点。有关更多信息,请参阅 AWS Secrets Manager 用户指南中的将 Secrets Manager 与 VPC 端点结合使用。
-
当任务定义引用 Systems Manager Parameter Store 参数来检索容器的敏感数据时,您必须为 Systems Manager 创建接口 VPC 端点。有关更多信息,请参阅《AWS Systems Manager 用户指南》中的使用适用于 Systems Manager 的 VPC 端点提高 EC2 实例的安全性。
-
与您任务关联的弹性网络接口(ENI)中的安全组需要安全组规则,以允许任务与 VPC 端点之间进行流量传输。
-
