Entwurf für Amazon ECS Managed Instances - Amazon Elastic Container Service
Erste SchritteKapazitätsanbieterAuswahl und Optimierung von InstancesDefinitionen von AufgabenBetriebssystem- und CPU-ArchitekturWichtige FeaturesIAM-RollenSicherheit und ComplianceNetzwerkInstance-SpeicherService-Load BalancingÜberwachung und BeobachtbarkeitPreise und KostenoptimierungServicekontingenteÜberlegungen zur MigrationEinschränkungen und Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Entwurf für Amazon ECS Managed Instances

Amazon ECS Managed Instances ist eine vollständig verwaltete Rechenoption für Amazon ECS, mit der Sie containerisierte Workloads auf allen EC2 Amazon-Instance-Typen ausführen und gleichzeitig die Infrastrukturverwaltung auf diese auslagern können. AWS Mit Amazon ECS Managed Instances können Sie auf bestimmte Rechenfunktionen wie GPU-Beschleunigung, bestimmte CPU-Architekturen, hohe Netzwerkleistung und spezielle Instance-Typen zugreifen und gleichzeitig die AWS Bereitstellung, Skalierung, Patches und Wartung der zugrunde liegenden Infrastruktur übernehmen.

Wenn Sie Amazon ECS Managed Instances verwenden, verpacken Sie Ihre Anwendung in Containern und geben Ihre Rechenanforderungen an. AWS wählt automatisch die kostenoptimiertesten EC2 Allzweck-Amazon-Instance-Typen aus, die Ihren Workload-Anforderungen entsprechen, oder Sie können die gewünschten Instance-Attribute wie Instance-Typen, CPU-Hersteller und Beschleuniger angeben. Amazon ECS Managed Instances verwalten alle Aspekte der Infrastruktur, einschließlich Skalierung, Patching und Kostenoptimierung, vollständig, ohne den Zugriff auf AWS Funktionen und EC2 Amazon-Integrationen zu gefährden.

Amazon ECS Managed Instances unterstützt Linux-Container mit plattformspezifischen Optimierungen und Sicherheitskonfigurationen. Standardmäßig optimiert Amazon ECS Managed Instances die Infrastrukturnutzung, indem mehrere kleinere Aufgaben auf größere Instances verteilt werden. Dies trägt zur Kostensenkung und Verkürzung der Startzeiten von Aufgaben bei.

In diesem Thema werden die verschiedenen Komponenten der Aufgaben und Services von Amazon ECS Managed Instances beschrieben. Außerdem wird darauf eingegangen, was beim Verwenden von Amazon ECS Managed Instances mit Amazon ECS zu beachten ist.

Erste Schritte

Um mit Amazon ECS Managed Instances zu beginnen, erstellen Sie die erforderlichen IAM-Rollen und aktivieren Amazon ECS Managed Instances in Ihrem AWS Konto. Anschließend können Sie einen Kapazitätsanbieter erstellen und Aufgaben oder Services mithilfe des Kapazitätsanbieters von Amazon ECS Managed Instances starten.

Detaillierte Anweisungen zu den ersten Schritten finden Sie unter:

Kapazitätsanbieter

Amazon ECS Managed Instances verwendet Kapazitätsanbieter, um die Rechenkapazität für Ihre Workloads zu verwalten. Sie können den Standardkapazitätsanbieter verwenden oder benutzerdefinierte Kapazitätsanbieter mit spezifischen Instance-Anforderungen erstellen.

Die folgenden Kapazitätsanbieter-Optionen sind verfügbar:

  • Standardkapazitätsanbieter – Wählt automatisch die kostenoptimiertesten Allzweck-Instance-Typen für Ihre Workload-Anforderungen aus.

  • Benutzerdefinierte Kapazitätsanbieter – Ermöglicht die Angabe von Instance-Attributen mithilfe der attributbasierten Instance-Typauswahl, einschließlich der Anzahl der vCPUs, des Arbeitsspeichers, der CPU-Hersteller, der Accelerator-Typen und bestimmter Instance-Typen.

Eine Kapazitätsanbieter-Strategie kann nur einen Kapazitätsanbieter-Typ aus der folgenden Liste enthalten:

  • Amazon ECS Managed Instances

  • Amazon EC2 Auto Scaling Scaling-Gruppe

  • Fargate/Fargate_SPOT

Auswahl und Optimierung von Instances

Amazon ECS wählt Instance-Typen für Ihre Workloads für Amazon ECS Managed Instances mit einer der folgenden Methoden aus:

  • Automatische Auswahl – Bei Verwendung des Standardkapazitätsanbieters wählt Amazon ECS automatisch die kostenoptimiertesten Allzweck-Instance-Typen aus, die den in der Aufgabendefinition angegebenen CPU- und Speicheranforderungen entsprechen.

  • Attributbasierte Auswahl – Bei der Verwendung von benutzerdefinierten Kapazitätsanbietern können Sie Instance-Attribute wie die Anzahl von vCPUs, den Arbeitsspeicher, den CPU-Hersteller, sowie Accelerator-Typen und bestimmte Instance-Typen angeben. Amazon ECS wählt aus allen Instance-Typen aus, die den angegebenen Attributen entsprechen.

Amazon ECS Managed Instances optimiert die Infrastrukturnutzung und die Kosten durch verschiedene Mechanismen:

  • Platzierung mehrerer Aufgaben – Standardmäßig platziert Amazon ECS mehrere kleinere Aufgaben auf größeren Instances, um die Auslastung zu maximieren und die Kosten zu senken.

  • Aktive Workload-Konsolidierung – Amazon ECS erkennt, wann Container-Instances wirklich inaktiv sind, und versucht gleichzeitig, eine vorzeitige Beendigung zu vermeiden, die sich auf die Anwendungsverfügbarkeit oder die Bereitstellungsleistung auswirken könnte. Das System berücksichtigt die Mindest- und Höchstanzahl von Aufgaben, die für einen Service festgelegt sind, das Verhalten beim Start vor dem Stoppen und das Verhalten beim Schutz von Aufgaben.

  • Richtige Dimensionierung – Wenn sich die Workload-Anforderungen ändern, startet Amazon ECS Ersatz-Instances, deren Größe den aktuellen Anforderungen entspricht.

Amazon ECS verwendet Amazon EC2 Event Windows, um Wartungsaktivitäten in Ihren bevorzugten Zeiträumen zu planen. Mithilfe von Ereignisfenstern können Sie wiederkehrende Zeiträume definieren, in denen AWS Wartungsarbeiten an Ihren Instances durchführen kann. Dadurch können Sie Unterbrechungen der Workloads minimieren, indem Sie die Wartung an Ihrem Betriebsplan ausrichten. Weitere Informationen finden Sie unter Geplante Ereignisse für Ihre Instances im EC2Amazon-Benutzerhandbuch.

Wenn Sie eine starke Isolierung benötigen, können Sie Amazon ECS Managed Instances so konfigurieren, dass jede Aufgabe auf einer separaten Instance mit Sicherheits-Isolierungsgrenzen auf VM-Ebene ausgeführt wird.

Definitionen von Aufgaben

Aufgaben, die Amazon ECS Managed Instances verwenden, unterstützen die meisten Amazon-ECS-Aufgabendefinitionsparameter. Amazon ECS Managed Instances ist mit bestehenden Fargate-Aufgabendefinitionen unter Verwendung der Plattformversion 1.4.0 kompatibel, was die Migration unkompliziert macht.

Um Amazon ECS Managed Instances zu verwenden, fügen Sie MANAGED_INSTANCES dem Aufgabendefinitionsparameter requiresCompatibilities hinzu. Ihre Aufgabendefinitionen können die Kompatibilität sowohl mit Fargate als auch mit Amazon ECS Managed Instances spezifizieren, um flexible Bereitstellungsoptionen zu gewährleisten.

Betriebssystem- und CPU-Architektur

Die folgenden Betriebssysteme werden unterstützt:

  • Bottlerocket

Für die Amazon-ECS-Aufgabendefinition stehen 2 Architekturen zur Verfügung, ARM und X86_64.

Wenn Sie Linux-Container auf Amazon ECS Managed Instances ausführen, können Sie die X86_64-CPU-Architektur oder die ARM64 Architektur für Ihre ARM-basierten Anwendungen verwenden.

Wichtige Features

Nachstehend sind einige der wichtigsten Features von Amazon ECS Managed Instances aufgelistet:

  • Wählen Sie spezifische EC2 Instance-Typen aus, die den Anforderungen Ihrer Anwendung entsprechen und den Zugriff auf spezielle Hardwarefunktionen wie GPU-beschleunigte Datenverarbeitung, spezifische CPU-Funktionen und große Speichergrößen ermöglichen.

  • Optimieren Sie die Ressourcennutzung und den Preis standardmäßig mit mehreren Aufgaben auf einer einzigen Instance, im Gegensatz zu Fargate, das jede Aufgabe in einer eigenen isolierten Umgebung ausführt.

  • Sorgen Sie für die Einhaltung von Sicherheitsbestimmungen und regelmäßiges Patchen mit einer maximalen Instance-Lebensdauer von 14 Tagen. Danach werden die Aufgaben automatisch auf neue Instances migriert.

  • Aktivieren Sie erweiterte Netzwerk- und Systemverwaltungsfunktionen in Containern mit berechtigten Linux-Funktionen, einschließlich CAP_NET_ADMIN, CAP_SYS_ADMIN und CAP_BPF.

IAM-Rollen

Amazon ECS Managed Instances erfordert zwei IAM-Rollen:

  • Infrastrukturrolle: Diese Rolle ermöglicht es AWS , die Amazon ECS Managed Instances in Ihrem Namen zu verwalten.

  • Instance-Profil: Ein Instance-Profil ist eine Möglichkeit, eine IAM-Rolle an Amazon ECS Managed Instances zu übergeben. Dieses Profil wird verwendet, um:

    • Die IAM-Berechtigungen für die Amazon ECS Managed Instances, die Ihre Container-Workloads ausführen, zu definieren.

    • Erlauben AWS Sie, diese Instances in Ihrem Namen zu verwalten.

    • Ermöglichen Sie den Instanzen den Zugriff auf AWS Dienste gemäß den im Profil definierten Berechtigungen.

Sicherheit und Compliance

Amazon ECS Managed Instances implementiert mehrere Sicherheitsebenen, um Ihre Workloads zu schützen:

  • Sichere Konfiguration — Amazon ECS Managed Instances folgen bewährten AWS Sicherheitsmethoden, einschließlich des Verzichts auf SSH-Zugriff, unveränderliches Root-Dateisystem und obligatorische Zugriffskontrollen auf Kernelebene über. SELinux

  • Automatisches Patchen — aktualisiert Amazon ECS Managed Instances AWS regelmäßig mit den neuesten Sicherheitspatches, wobei die von Ihnen konfigurierten Wartungsfenster eingehalten werden.

  • Eingeschränkte Instance-Lebensdauer — Die maximale Lebensdauer einer laufenden Instance beträgt 14 Tage. Dadurch wird sichergestellt, dass Ihre Anwendungen auf entsprechend konfigurierten Instances mit up-to-date Sicherheitspatches ausgeführt werden.

  • Berechtigte Funktionen – Sie können optional berechtigte Linux-Funktionen für Workloads aktivieren, die sie benötigen, z. B. Netzwerküberwachungs- und Beobachtbarkeits-Lösungen.

Amazon ECS Managed Instances unterstützt dieselben Compliance-Programme wie Amazon ECS, einschließlich PCI-DSS, HIPAA und FedRAMP. In unterstützten Regionen berücksichtigt Amazon ECS Managed Instances Ihre FIPS-Endpunkteinstellungen auf Kontoebene, um die FedRAMP-Konformität zu gewährleisten.

Netzwerk

Amazon ECS Managed Instances unterstützt die Netzwerkmodi awsvpc und host. Der Netzwerkmodus awsvpc stellt jeder Aufgabe eine eigene Elastic-Network-Schnittstelle und eine private IP-Adresse innerhalb Ihrer VPC bereit. Dies ermöglicht differenzierte Sicherheitsgruppen- und Netzwerk-ACL-Steuerungen auf Aufgabenebene. Im Netzwerkmodus host teilen sich Aufgaben den Netzwerk-Namespace der Amazon ECS Managed Host-Instance. Weitere Informationen über Aufgabennetzwerke in Amazon ECS Managed Instances finden Sie unter Amazon-ECS-Aufgabenvernetzung für Amazon ECS Managed Instances.

Instance-Speicher

Amazon ECS Managed Instances unterstützt die Konfiguration der Größe des Amazon-EBS-Daten-Volumes, das an die Instance angehängt ist. Dieser Speicher wird von allen Aufgaben gemeinsam genutzt, die auf der Instance ausgeführt werden, und kann für Bind-Mounds verwendet werden. Das Volume kann unter Containern geteilt und eingebunden werden, die in der Aufgabendefinition die Parameter volumes, mountPoint und volumesFrom verwenden.

Das Volume wird bei der Instance angehängt. Sie können die Größe des Volumes in GiB angeben, wenn Sie mithilfe des Parameters storageConfiguration einen Kapazitätsanbieter für Amazon ECS Managed Instances erstellen.

{
...

    "managedInstancesProvider": {
        "infrastructureRoleArn": "arn:aws:iam::123456789012:role/ecsInfrastructureRole",
        "instanceLaunchTemplate": {
            "ec2InstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceProfile",
            "networkConfiguration": {
                "subnets": [
                    "subnet-abcdef01234567",
                    "subnet-bcdefa98765432"
                ],
                "securityGroups": [ 
                    "sg-0123456789abcdef"
                ]
            },
            "storageConfiguration": {
                "storageSizeinGiB" : 100

            }
        }
    }
 ... 
}

Die Mindestgröße dieses Volumes beträgt 30 GiB und die Maximalgröße beträgt 16 384 GiB. Die Standardgröße dieses Volumes beträgt 80 GiB.

Das abgerufene und komprimierte sowie das unkomprimierte Container-Image für die Aufgabe werden im Volume gespeichert. Um die Gesamtmenge an Instance-Speicher zu ermitteln, den Ihre Aufgabe als Bind-Mount benötigt, müssen Sie die Speichermenge, die das Container-Image verwendet, von der Ihrer Aufgabe zugeordneten Gesamtmenge an Instance-Speicher abziehen.

Die Leistung der Amazon EBS-Volumes, die an Amazon ECS Managed Instances angehängt sind, entspricht der Leistung der entsprechenden EC2 Amazon-Instances, wie in der Dokumentation zu Amazon EBS-optimierten Instances im EC2 Amazon-Benutzerhandbuch beschrieben.

Sie können Snapshots des Volumes erstellen, um eine forensische Analyse von Sicherheitsproblemen durchzuführen oder Ihre Anwendung zu debuggen. Weitere Informationen zum Erstellen eines Snapshots von Amazon-EBS-Volumes finden Sie unter Amazon-EBS-Snapshots im Amazon-EBS-Benutzerhandbuch. Wenn Sie die Amazon EBS-Verschlüsselung standardmäßig aktiviert haben, wird das Volume standardmäßig mit dem für die Verschlüsselung angegebenen AWS KMS Schlüssel verschlüsselt. Weitere Informationen finden Sie unter Amazon-EBS-Verschlüsselung standardmäßig aktivieren im Amazon-EBS-Benutzerhandbuch.

Sie können nicht nur das an die Instance angehängte Daten-Volume verwenden, sondern auch Daten-Volumes für jede Aufgabe konfigurieren, die in Amazon ECS Managed Instances ausgeführt wird. Weitere Informationen zu den verfügbaren Speicheroptionen auf Aufgabenebene finden Sie unter Speicheroptionen für Amazon-ECS-Aufgaben.

Service-Load Balancing

Ihre Amazon ECS-Services, die Amazon ECS Managed Instances verwenden, können so konfiguriert werden, dass ELB verwendet wird, um den Datenverkehr gleichmäßig auf die Aufgaben in Ihrem Service zu verteilen.

Amazon-ECS-Services in Amazon ECS Managed Instances unterstützen die Load-Balancer-Typen Application Load Balancer, Network Load Balancer und Gateway Load Balancer. Application Load Balancer leiten den Datenverkehr HTTP/HTTPS (Schicht 7) weiter, während Network Load Balancer den TCP- oder UDP-Verkehr (Schicht 4) weiterleiten.

Wenn Sie eine Zielgruppe für diese Services erstellen, müssen Sie zudem ip als Zieltyp auswählen, und nicht instance. Dies liegt daran, dass Aufgaben, die den awsvpc Netzwerkmodus verwenden, mit einer elastic network interface verknüpft sind, nicht direkt mit einer EC2 Amazon-Instance.

Überwachung und Beobachtbarkeit

Amazon ECS Managed Instances bietet umfassende Überwachungsfunktionen durch CloudWatch Metriken und die Integration mit Observability-Tools:

  • CloudWatch Metriken — Überwachen Sie die CPU-, Arbeitsspeicher-, Netzwerk- und Speicherauslastung sowohl auf Aufgaben- als auch auf Instance-Ebene.

  • Container Insights – Erhalten Sie detaillierte Leistungsmetriken und -protokolle für Ihre containerisierten Anwendungen.

  • Integrationen von Drittanbietern – Wenn berechtigte Funktionen aktiviert sind, können Sie erweiterte Überwachungs- und Beobachtbarkeitslösungen ausführen, für die erhöhte Linux-Berechtigungen erforderlich sind.

Preise und Kostenoptimierung

Bei Amazon ECS Managed Instances wird Ihnen die gesamte EC2 Amazon-Instance in Rechnung gestellt, die Ihre Aufgaben ausführt. Die Preisgestaltung hängt von den Instance-Typen ab, die Sie für Ihre Workloads ausgewählt haben.

Amazon ECS Managed Instances bietet mehrere Features zur Kostenoptimierung:

  • Optimierung für mehrere Aufgaben – Maximieren Sie die Instance-Nutzung, indem Sie mehrere Aufgaben auf Instances mit entsprechender Größe ausführen.

Ihre Compute und Instance Savings Plans gelten auch für Workloads mit Amazon ECS Managed Instances.

Servicekontingente

Workloads von Amazon ECS Managed Instances unterliegen Ihren Amazon EC2 On-Demand-Instance-Servicekontingenten. Ihre Amazon-ECS-Services, die Amazon ECS Managed Instances verwenden, unterliegen den Service Quotas für Amazon ECS.

Weitere Informationen über Service Quotas finden Sie unter:

Überlegungen zur Migration

Die Migration zu Amazon ECS Managed Instances ist für die meisten Workloads unkompliziert:

  • Aus Fargate – Erfordert nur eine Änderung der Konfiguration und eine erneute Bereitstellung des Kapazitätsanbieters. Bestehende Aufgabendefinitionen mit Plattformversion 1.4.0 sind vollständig kompatibel.

  • Von EC2 — Ähnlich wie bei der Migration zu Fargate, Sie haben jedoch weiterhin Zugriff auf EC2 Amazon-Funktionen wie bestimmte Instance-Typen.

Beachten Sie bei der Planung Ihre Migration Folgendes:

  • Anwendungen sollten die maximale Instance-Lebensdauer von 14 Tagen und geplante Wartungsfenster tolerieren.

  • Aufgaben mit langer Laufzeit (länger als 14 Tage) sind für Amazon ECS Managed Instances nicht geeignet.

  • Benutzerdefiniert AMIs werden nicht unterstützt — Amazon ECS Managed Instances verwenden AWS verwaltete, AMIs sicherheitsoptimierte Instances.

Einschränkungen und Überlegungen

Die folgenden Einschränkungen gelten für Amazon ECS Managed Instances:

  • Benutzerdefiniert AMIs — Das AMI gehört und wird verwaltet von AWS

  • Instance-Lebensdauer – Maximale Laufzeit von 14 Tagen pro Instance, um Sicherheits-Patches und Compliance zu gewährleisten.

  • SSH-Zugriff – Aus Sicherheitsgründen nicht verfügbar. Verwenden Sie Amazon ECS Exec für Debugging und Fehlerbehebung. Verwaltungsvorgänge APIs nur über Amazon ECS.

  • Service Connect ist nicht für Services verfügbar, die in Amazon ECS Managed Instances ausgeführt werden.