Überlegungen für den awsvpc-Modus Verwenden einer VPC im Dual-Stack-Modus

Weisen Sie eine Netzwerkschnittstelle für Aufgaben in Amazon ECS Managed Instances zu

Die Verwendung des awsvpc Netzwerkmodus in Amazon ECS Managed Instances vereinfacht Container-Netzwerke, da Sie mehr Kontrolle darüber haben, wie Ihre Anwendungen miteinander und mit anderen Diensten innerhalb Ihres Unternehmens kommunizieren VPCs. Der Netzwerkmodus awsvpc bietet außerdem mehr Sicherheit für Ihre Container, da Sie Sicherheitsgruppen und Netzwerküberwachungstools auf einer feineren Ebene in Ihren Aufgaben verwenden können.

Standardmäßig verfügt jede Instance von Amazon ECS Managed Instances über eine Trunk-Elastic-Network-Schnittstelle (ENI), die beim Start als primäres ENI angehängt wird, wenn der Instance-Typ Trunking unterstützt. Weitere Informationen zu Instance-Typen, die ENI-Trunking unterstützen, finden Sie unter Unterstützte Instances für erweiterte Amazon-ECS-Container-Netzwerkschnittstellen.

Anmerkung

Wenn der gewählte Instance-Typ Trunk nicht unterstützt ENIs, wird die Instance mit einer regulären ENI gestartet.

Jede Aufgabe, die auf der Instance ausgeführt wird, erhält eine eigene ENI, die an die Trunk-ENI angehängt ist und über eine primäre private IP-Adresse verfügt. Wenn Ihre VPC für den Dual-Stack-Modus konfiguriert ist und Sie ein Subnetz mit einem IPv6 CIDR-Block verwenden, erhält die ENI auch eine Adresse. IPv6 Wenn Sie ein öffentliches Subnetz verwenden, können Sie der primären ENI der Amazon ECS Managed Instance optional eine öffentliche IP-Adresse zuweisen, indem Sie die IPv4 öffentliche Adressierung für das Subnetz aktivieren. Weitere Informationen finden Sie unter Ändern des öffentlichen IP-Adressierungsattributs für Ihr Subnetz im Amazon-VPC-Benutzerhandbuch. Einer Aufgabe kann immer nur eine ENI auf einmal zugeordnet sein.

Container, die zur selben Aufgabe gehören, können auch über die localhost-Schnittstelle kommunizieren. Weitere Informationen zu VPCs Subnetzen finden Sie unter So funktioniert Amazon VPC im Amazon VPC-Benutzerhandbuch

Bei den folgenden Vorgängen wird die primäre ENI verwendet, die an die Instance angehängt ist:

Image-Downloads – Container-Images werden über die primäre ENI von Amazon ECR heruntergeladen.
Abrufen von Geheimnissen – Secrets-Manager-Geheimnisse und andere Anmeldeinformationen werden über die primäre ENI abgerufen.
Protokoll-Uploads — Protokolle werden CloudWatch über die primäre ENI hochgeladen.
Downloads von Umgebungsdateien – Umgebungsdateien werden über die primäre ENI heruntergeladen.

Der Anwendungsdatenverkehr fließt über die Aufgaben-ENI.

Da jede Aufgabe ihre eigene ENI erhält, können Sie Netzwerkfeatures wie VPC Flow Logs nutzen, sodass Sie den Verkehr zu und von Ihren Aufgaben überwachen können. Weitere Informationen finden Sie unter VPC-Flow-Protokolle im Amazon-VPC-Benutzerhandbuch.

Sie können auch die Vorteile nutzen. AWS PrivateLink Sie können einen VPC-Schnittstellenendpunkt so konfigurieren, dass Sie APIs über private IP-Adressen auf Amazon ECS zugreifen können. AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihrer VPC und Amazon ECS auf das Amazon-Netzwerk ein. Sie benötigen kein Internet-Gateway, kein NAT-Gerät und kein Virtual Private Gateway. Weitere Informationen finden Sie unter VPC-Endpunkte der Amazon-ECS-Schnittstelle (AWS PrivateLink).

Der awsvpc Netzwerkmodus ermöglicht es Ihnen auch, Amazon VPC Traffic Mirroring für die Sicherheit und Überwachung des Netzwerkverkehrs zu nutzen, wenn Sie Instance-Typen verwenden, an die kein Trunk ENIs angeschlossen ist. Weitere Informationen finden Sie unter Was ist Traffic Mirroring? im Benutzerhandbuch für Amazon VPC Traﬃc Mirroring.

Überlegungen für den `awsvpc`-Modus

Aufgaben erfordern die service-verknüpfte Amazon-ECS-Rolle für das ENI-Management. Diese Rolle wird automatisch erstellt, wenn Sie einen Cluster oder einen Service erstellen.
Aufgaben ENIs werden von Amazon ECS verwaltet und können nicht manuell getrennt oder geändert werden.
Das Zuweisen einer öffentlichen IP-Adresse zur Aufgaben-ENI mithilfe von assignPublicIp beim Ausführen einer eigenständigen Aufgabe (RunTask) oder beim Erstellen oder Aktualisieren eines Services (CreateService/UpdateService), wird nicht unterstützt.
Wenn Sie awsvpc-Netzwerke auf Aufgabenebene konfigurieren, müssen Sie dieselbe VPC verwenden, die Sie als Teil der Startvorlage des Kapazitätsanbieters von Amazon ECS Managed Instances angegeben haben. Sie können andere Subnetze und Sicherheitsgruppen als die in der Startvorlage angegebenen verwenden.
Verwenden Sie für Aufgaben im awsvpc-Netzwerkmodus den Zieltyp ip, wenn Sie die Load-Balancer-Zielgruppen konfigurieren. Amazon ECS verwaltet automatisch die Zielgruppenregistrierung für unterstützte Netzwerkmodi.

Verwenden einer VPC im Dual-Stack-Modus

Wenn Sie eine VPC im Dual-Stack-Modus verwenden, können Ihre Aufgaben über IPv4 oder oder beides IPv6 kommunizieren. IPv4 und IPv6 Adressen sind unabhängig voneinander. Daher müssen Sie Routing und Sicherheit in Ihrer VPC separat für IPv4 und IPv6 konfigurieren. Weitere Informationen zur Konfiguration Ihrer VPC für den Dual-Stack-Modus finden Sie unter Migration zu IPv6 im Amazon VPC-Benutzerhandbuch.

Wenn Sie Ihre Virtual Private Cloud (VPC) mit einem Internet-Gateway oder einem reinen Outbound-Internet-Gateway konfiguriert haben, können Sie Ihre VPC im Dual-Stack-Modus verwenden. Auf diese Weise können Aufgaben, denen eine IPv6 Adresse zugewiesen wurde, über ein Internet-Gateway oder ein Internet-Gateway für ausgehenden Datenverkehr auf das Internet zugreifen. NAT-Gateways sind optional. Weitere Informationen finden Sie unter Internet-Gateways und Internet-Gateways nur für Egress im Amazon VPC-Benutzerhandbuch.

Amazon ECS-Aufgaben wird eine IPv6 Adresse zugewiesen, wenn die folgenden Bedingungen erfüllt sind:

Die Instance von Amazon ECS Managed Instances, die die Aufgabe hostet, verwendet Version 1.45.0 oder höher des Container-Agenten. Informationen zum Überprüfen der Agent-Version, die Ihre Instance verwendet, und bei Bedarf aktualisieren, finden Sie unter Überprüfen des Amazon-ECS-Container-Agenten.
Die Kontoeinstellung dualStackIPv6 ist aktiviert. Weitere Informationen finden Sie unter Zugriff auf Amazon-ECS-Features über die Kontoeinstellungen.
Ihre Aufgabe verwendet den Netzwerkmodus awsvpc.
Ihre VPC und Ihr Subnetz sind für konfiguriert. IPv6 Die Konfiguration enthält die Netzwerkschnittstellen, die im angegebenen Subnetz erstellt werden. Weitere Informationen zur Konfiguration Ihrer VPC für den Dual-Stack-Modus finden Sie unter Migration zu IPv6 und Ändern des IPv6 Adressierungsattributs für Ihr Subnetz im Amazon VPC-Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aufgabenvernetzung für Amazon ECS Managed Instances

Host-Netzwerkmodus