# Arquitecto de instancias administradas de Amazon ECS
Instancias administradas de Amazon ECS es una opción de procesamiento completamente administrada para Amazon ECS que le permite poner en marcha cargas de trabajo en contenedores en toda la gama de tipos de instancias de Amazon EC2 y, al mismo tiempo, delegar la administración de la infraestructura a AWS. Con instancias administradas de Amazon ECS, puede acceder a capacidades de computación específicas, como la aceleración de la GPU, arquitecturas de CPU específicas, un alto rendimiento de la red y tipos de instancias especializadas, mientras que AWS se encarga del aprovisionamiento, el escalado, la aplicación de parches y el mantenimiento de la infraestructura subyacente.
Cuando utiliza instancias administradas de Amazon ECS, empaqueta la aplicación en contenedores y especifica sus requisitos de procesamiento. AWS selecciona automáticamente los tipos de instancias de Amazon EC2 de uso general más rentables que se adapten a las necesidades de sus carga de trabajo, pero también puede especificar los atributos de instancia deseados, lo que incluye los tipos de instancia, los fabricantes de CPU y los aceleradores. Instancias administradas de Amazon ECS administra por completo todos los aspectos de la infraestructura, lo que incluye el escalado, la aplicación de parches y la optimización de costos, sin sacrificar el acceso a las capacidades de AWS y a las integraciones de Amazon EC2.
Instancias administradas de Amazon ECS admite contenedores de Linux con optimizaciones y configuraciones de seguridad específicas de la plataforma. De forma predeterminada, instancias administradas de Amazon ECS optimiza la utilización de la infraestructura, pues coloca varias tareas más pequeñas en instancias más grandes, lo que permite reducir los costos y mejorar los tiempos de lanzamiento de las tareas.
En este tema, se describen los diferentes componentes de las tareas y los servicios de instancias administradas de Amazon ECS, y se mencionan consideraciones especiales para el uso de instancias administradas de Amazon ECS con Amazon ECS.
## Introducción
Para empezar a utilizar instancias administradas de Amazon ECS, debe crear los roles de IAM requeridos y activar instancias administradas de Amazon ECS en su cuenta de AWS. A continuación, puede crear un proveedor de capacidad y lanzar tareas o servicios mediante el proveedor de capacidad de instancias administradas de Amazon ECS.
Para obtener instrucciones detalladas sobre cómo empezar, consulte:
+ [Información sobre cómo crear una tarea para instancias administradas de Amazon ECS](getting-started-managed-instances.md)
+ [Información sobre cómo crear una tarea para instancias administradas de Amazon ECS con la AWS CLI](getting-started-managed-instances-cli.md)
## Proveedores de capacidad
Instancias administradas de Amazon ECS usa los proveedores de capacidad para administrar la capacidad de computación de las cargas de trabajo. Puede usar el proveedor de capacidad predeterminado o crear proveedores de capacidad personalizados con requisitos de instancia específicos.
Los siguientes proveedores de capacidad están disponibles:
+ **Proveedor de capacidad predeterminada**: selecciona automáticamente los tipos de instancias de uso general más rentables para los requisitos de sus cargas de trabajo.
+ **Proveedores de capacidad personalizada**: le permiten especificar los atributos de las instancias mediante una selección de tipos de instancia basada en atributos, como el recuento de vCPU, la memoria, los fabricantes de CPU, los tipos de aceleradores y los tipos de instancias específicos.
Una estrategia de proveedores de capacidad solo puede incluir un tipo de proveedor de capacidad de la siguiente lista:
+ Instancias administradas de Amazon ECS
+ Grupo de escalado automático
+ Fargate/Fargate\$1SPOT
## Selección y optimización de instancias
Amazon ECS elige los tipos de instancia para las cargas de trabajo de instancias administradas de Amazon ECS mediante uno de los siguientes métodos:
+ **Selección automática**: cuando se utiliza el proveedor de capacidad predeterminada, Amazon ECS selecciona automáticamente los tipos de instancias de uso general más rentables que cumplen con los requisitos de CPU y memoria especificados en la definición de la tarea.
+ **Selección basada en atributos**: cuando se utilizan proveedores de capacidad personalizada, puedes especificar atributos de instancia como el número de vCPU, el tamaño de la memoria, los fabricantes de CPU, los tipos de aceleradores y los tipos de instancias específicos. Amazon ECS selecciona entre todos los tipos de instancias que coinciden con los atributos especificados.
Instancias administradas de Amazon ECS optimiza la utilización y los costos de la infraestructura mediante varios mecanismos:
+ Ubicación de múltiples tareas: de forma predeterminada, Amazon ECS coloca varias tareas más pequeñas en instancias más grandes para maximizar la utilización y reducir los costos.
+ Consolidación activa de la carga de trabajo: Amazon ECS identifica cuándo las instancias de contenedor están realmente inactivas y, al mismo tiempo, intenta evitar la terminación prematura que podría afectar a la disponibilidad de las aplicaciones o al rendimiento de la implementación. El sistema respeta el número mínimo y máximo de tareas establecido para un servicio, el comportamiento inicial antes de la interrupción y el comportamiento de protección de las tareas.
+ Dimensionamiento correcto: conforme cambian los requisitos de las cargas de trabajo, Amazon ECS lanza instancias de reemplazo con el tamaño adecuado para las necesidades actuales.
Amazon ECS utiliza los periodos de eventos de Amazon EC2 para programar las actividades de mantenimiento durante los periodos de tiempo que prefiera. Los periodos de eventos le permiten definir periodos de tiempo recurrentes en los que AWS puede realizar el mantenimiento de sus instancias, lo que resulta útil para minimizar las interrupciones de sus cargas de trabajo, ya que el mantenimiento se adapta a la programación de las operaciones. Para obtener más información, consulte [Eventos programados para las instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/event-windows.html) en la *Guía del usuario de Amazon EC2*.
Si necesita un aislamiento sólido, puede configurar instancias administradas de Amazon ECS para que ponga en marcha cada tarea en una instancia independiente con límites de aislamiento de seguridad para las máquinas virtuales.
## Definiciones de tareas
Las tareas que utilizan instancias administradas de Amazon ECS admiten la mayoría de los parámetros de definición de tareas de Amazon ECS. Instancias administradas de Amazon ECS es compatible con las definiciones de tareas de Fargate existentes que utilizan la versión 1.4.0 de la plataforma, lo que facilita la migración.
Para usar instancias administradas de Amazon ECS, defina el parámetro de definición de tareas `requiresCompatibilities` para incluir `MANAGED_INSTANCES`. Las definiciones de sus tareas pueden especificar la compatibilidad de las instancias administradas de Fargate y Amazon ECS para ofrecer flexibilidad en las opciones de implementación.
## Arquitectura de sistema operativo y CPU
Los sistemas operativos admitidos son los siguientes:
+ Bottlerocket
Hay 2 arquitecturas disponibles para la definición de tareas de Amazon ECS, ARM y X86\$164.
Cuando usa contenedores Linux en instancias administradas de Amazon ECS, puede utilizar la arquitectura de CPU X86\$164 o la arquitectura ARM64 para las aplicaciones basadas en ARM.
## Características principales de
Estas son algunas de las principales características de instancias administradas de Amazon ECS:
+ Seleccione tipos de instancias de EC2 específicos para cumplir con los requisitos de su aplicación, lo que le permitirá acceder a capacidades de hardware especializadas, como la computación acelerada por la GPU, las capacidades específicas de la CPU y los tamaños grandes de memoria.
+ Optimice la utilización de los recursos y los costos con varias tareas en una sola instancia de forma predeterminada, a diferencia de Fargate, que pone en marcha cada tarea en su propio entorno aislado.
+ Garantice el cumplimiento de las normas de seguridad y la aplicación periódica de parches a las instancias. Las instancias administradas de ECS inician el agotamiento de las instancias después de 14 días y reemplazan automáticamente las tareas basadas en el servicio con nuevas instancias.
+ Active funciones avanzadas de administración de redes y sistemas en contenedores mediante capacidades de Linux privilegiadas, como CAP\$1NET\$1ADMIN, CAP\$1SYS\$1ADMIN y CAP\$1BPF.
## Roles de IAM
Instancias administradas de Amazon ECS requiere dos roles de IAM:
+ *Rol de infraestructura*: este rol permite que AWS administre instancias administradas de Amazon ECS en su nombre.
+ *Perfil de instancia*: un perfil de instancia es una forma de transferir un rol de IAM a instancias administradas de Amazon ECS. Este perfil se utiliza para lo siguiente:
+ Definir los permisos de IAM para la instancias de instancias administradas de Amazon ECS que usan sus cargas de trabajo de contenedores.
+ Permitir que AWS administre estas instancias en su nombre.
+ Habilitar las instancias para que accedan a los servicios de AWS de acuerdo con los permisos definidos en el perfil.
## Seguridad y conformidad
Instancias administradas de Amazon ECS implementa varios niveles de seguridad para proteger sus cargas de trabajo:
+ **Configuración segura**: instancias administradas de Amazon ECS sigue las prácticas recomendadas en materia de seguridad de AWS, como la ausencia de acceso por SSH, un sistema de archivos raíz inmutable y controles de acceso obligatorios del kernel mediante SELinux.
+ **Aplicación automática de parches**: AWS actualiza periódicamente instancias administradas de Amazon ECS con los últimos parches de seguridad, respetando los periodos de mantenimiento que haya configurado.
+ **Vida útil limitada de las instancias**: ECS inicia automáticamente el agotamiento de una instancia luego de 14 días, lo que garantiza que sus aplicaciones usen instancias debidamente configuradas con los parches de seguridad actualizados.
+ **Capacidades privilegiadas**: si lo desea, puede habilitar las capacidades privilegiadas de Linux para las cargas de trabajo que las requieran, como las soluciones de supervisión y observabilidad de la red.
Instancias administradas de Amazon ECS admite los mismos programas de cumplimiento que Amazon ECS, como PCI-DSS, HIPAA y FedRAMP. En las regiones compatibles, instancias administradas de Amazon ECS respeta la configuración de los puntos de conexión FIPS de las cuentas para poder cumplir con FedRAMP.
## Red
Instancias administradas de Amazon ECS admite los modos de red `awsvpc` y `host`. El modo de red `awsvpc` proporciona a cada tarea su propia interfaz de red elástica y dirección IP privada dentro de la VPC. Esto permite controles detallados de ACL de grupos de seguridad y redes para las tareas. En el modo de red `host`, las tareas comparten el espacio de nombres de red de la instancia host de instancias administradas de Amazon ECS. Para obtener más información sobre las redes de las tareas en instancias administradas de Amazon ECS, consulte [Red de tareas de Amazon ECS para instancias administradas de Amazon ECS](managed-instance-networking.md).
## Almacenamiento de la instancia
Instancias administradas de Amazon ECS permite configurar el tamaño del volumen de datos de Amazon EBS adjunto a la instancia. Este almacenamiento se comparte entre todas las tareas que se ponen en marcha en la instancia y se puede utilizar para los montajes de unión. El volumen se puede montar y compartir entre contenedores que utilizan los parámetros `volumes`, `mountPoint` y `volumesFrom` de la definición de tareas.
El volumen se adjunta durante la creación de la instancia. Puede especificar el tamaño del volumen, en GiB, al crear un proveedor de capacidad de instancias administradas de Amazon ECS mediante el parámetro `storageConfiguration`.
```
{
...
"managedInstancesProvider": {
"infrastructureRoleArn": "arn:aws:iam::123456789012:role/ecsInfrastructureRole",
"instanceLaunchTemplate": {
"ec2InstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceProfile",
"networkConfiguration": {
"subnets": [
"subnet-abcdef01234567",
"subnet-bcdefa98765432"
],
"securityGroups": [
"sg-0123456789abcdef"
]
},
"storageConfiguration": {
"storageSizeinGiB" : 100
}
}
}
...
}
```
El tamaño mínimo de este volumen es de 30 GiB y el tamaño máximo es de 16 384 GiB. De forma predeterminada, el tamaño de este volumen es de 80 GiB.
La imagen del contenedor comprimida y sin comprimir extraída para la tarea se almacena en el volumen. Para determinar la cantidad total de almacenamiento de instancias que debe utilizar la tarea como montaje de unión, debe restar la cantidad de almacenamiento que utiliza la imagen de contenedor de la cantidad total de almacenamiento de instancias que se asigna a su tarea.
El rendimiento de los volúmenes de Amazon EBS adjuntos a instancias administradas de Amazon ECS coincide con el rendimiento de las instancias de Amazon EC2 correspondientes, tal y como se describe en la documentación [Tipos de instancias optimizadas para Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html) de la *Guía del usuario de Amazon EC2*.
Puede crear instantáneas del volumen para realizar un análisis forense de los problemas de seguridad o para depurar la aplicación. Para obtener más información sobre la creación de instantáneas de volúmenes de Amazon EBS, consulte [Instantáneas de Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) en la *Guía del usuario de Amazon EBS*. Si activa el cifrado de Amazon EBS de forma predeterminada, el volumen se cifrará con la clave de AWS KMS que se especifique de forma predeterminada para el cifrado. Para obtener más información acerca del cifrado predeterminado, consulte [Activar el cifrado de Amazon EBS de manera predeterminada](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html) en la *Guía del usuario de Amazon EBS*.
Además de utilizar el volumen de datos adjunto a la instancia, también puede configurar los volúmenes de datos para cada tarea que se ponga en marcha en instancias administradas de Amazon ECS. Para obtener más información sobre las opciones de almacenamiento disponibles para las tareas, consulte [Opciones de almacenamiento para las tareas de Amazon ECS](using_data_volumes.md).
## Equilibrio de carga de los servicios
Los servicios de Amazon ECS que usen instancias administradas de Amazon ECS se pueden configurar opcionalmente para que utilicen Elastic Load Balancing a fin de distribuir el tráfico de manera uniforme entre las tareas del servicio.
Los servicios de Amazon ECS alojados en instancias administradas de Amazon ECS admiten los tipos de equilibrador de carga Equilibrador de carga de aplicación, Equilibrador de carga de red y Equilibrador de carga de puerta de enlace. Los equilibradores de carga de aplicación enrutan el tráfico HTTP/HTTPS (capa 7), mientras que los equilibradores de carga de red enrutan el tráfico TCP o UDP (capa 4).
Al crear un grupo de destino para estos servicios, se debe elegir `ip` como tipo de destino, no `instance`. Esto se debe a que las tareas que utilizan el modo de red `awsvpc` están asociadas a una interfaz de red elástica, no directamente a una instancia de Amazon EC2.
## Supervisión y observabilidad
Instancias administradas de Amazon ECS ofrece capacidades de supervisión integrales mediante métricas de CloudWatch e integración con herramientas de observabilidad:
+ **Métricas de CloudWatch**: supervise el uso de la CPU, la memoria, la red y el almacenamiento tanto de las tareas como de las instancias.
+ **Información de contenedores**: obtenga métricas y registros de rendimiento detallados para sus aplicaciones en contenedores.
+ **Integraciones de terceros**: con las capacidades privilegiadas habilitadas, puede poner en marcha soluciones avanzadas de supervisión y observabilidad que requieren permisos de Linux elevados.
## Optimización de precios y costos
Con instancias administradas de Amazon ECS, se le facturará toda la instancia de Amazon EC2 que ponga en marcha sus tareas. El precio depende de los tipos de instancias seleccionados para sus cargas de trabajo.
Instancias administradas de Amazon ECS ofrece varias características de optimización de costos:
+ **Optimización de múltiples tareas**: maximice la utilización de las instancias mediante la puesta en marcha de varias tareas en instancias correctamente dimensionadas.
Sus planes de Savings Plans de computación e instancias también se aplican a las cargas de trabajo de instancias administradas de Amazon ECS.
## Cuotas de servicio
Las cargas de trabajo de instancias administradas de Amazon ECS están sujetas a las cuotas de servicio de sus instancias bajo demanda de Amazon EC2. Los servicios de Amazon ECS que utilizan instancias administradas de Amazon ECS están sujetos a las cuotas de servicio de Amazon ECS.
Para obtener más información sobre las cuotas de servicio, consulte:
+ [Puntos de conexión y cuotas de Amazon EC2](https://docs.aws.amazon.com/general/latest/gr/ec2-service.html) en la *Referencia general de Amazon Web Services*
+ [Cuotas de servicio de Amazon ECS](service-quotas.md)
## Consideraciones sobre la migración
La migración a instancias administradas de Amazon ECS es sencilla para la mayoría de las cargas de trabajo:
+ **Desde Fargate**: solo requiere un cambio de configuración y una nueva implementación del proveedor de capacidad. Las definiciones de tareas existentes que utilizan la versión 1.4.0 de la plataforma son totalmente compatibles.
+ **Desde EC2**: similar a la migración a Fargate, pero puede retener el acceso a las capacidades de Amazon EC2, como los tipos de instancias específicos.
Tenga en cuenta lo siguiente a la hora de planear la migración:
+ Las aplicaciones deben tolerar la vida útil de 14 días de la instancia y los periodos de mantenimiento planificados.
+ Las tareas de larga duración (más de 14 días) no son adecuadas para instancias administradas de Amazon ECS.
+ No se admiten las AMI personalizadas: instancias administradas de Amazon ECS utilizan AMI administradas por AWS optimizadas para la seguridad.
## Limitaciones y consideraciones
Se aplican las siguientes limitaciones a instancias administradas de Amazon ECS:
+ AMI personalizadas: AWS posee y administra la AMI.
+ Duración de la instancia: tiempo de ejecución máximo de 14 días por instancia para garantizar la aplicación de parches de seguridad y el cumplimiento normativo.
+ Acceso por SSH: no está disponible por motivos de seguridad. Utilice Amazon ECS Exec para depurar y solucionar los problemas. Operaciones de administración únicamente a través de las API de Amazon ECS.
## Controles organizativos
Algunos controles organizativos pueden impedir el funcionamiento correcto de las instancias administradas de Amazon ECS. Si es así, debe actualizar estos controles para permitir que Amazon ECS disponga de los permisos necesarios para administrar las instancias de EC2 en su nombre.
Amazon ECS utiliza un rol de infraestructura para iniciar las instancias de EC2 que respaldan las instancias administradas de Amazon ECS. Este rol de infraestructura es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que se crea en su cuenta y que permite a Amazon ECS administrar las instancias administradas de Amazon ECS en su nombre. [Las políticas de control de servicio](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) siempre se aplican a las acciones que se realizan con los roles de infraestructura. Esto permite que una SCP inhiba las operaciones de las instancias administradas de Amazon ECS. Lo más común es cuando se utiliza una SCP para restringir las imágenes de máquina de Amazon (AMI) que se pueden ejecutar. Para permitir el funcionamiento de las instancias administradas de Amazon ECS, modifique la SCP para permitir la ejecución de las AMI desde las cuentas de las AMI de instancias administradas de Amazon ECS.
También puede utilizar la característica de [AMI permitidas por EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) para limitar la visibilidad de las AMI en otras cuentas. Si utiliza esta característica, debe ampliar los criterios de imagen para incluir también las cuentas de AMI de instancias administradas de Amazon ECS en las regiones de interés.
### Ejemplo de SCP para bloquear todas las AMI excepto las de instancias administradas de Amazon ECS
La siguiente SCP impide realizar llamadas a `ec2:RunInstances` a menos que la AMI pertenezca a la cuenta de AMI de instancias administradas de Amazon ECS para us-west-2 o us-east-1.
**nota**
Es importante **no** utilizar la clave de contexto `ec2:Owner`. Amazon es propietario de las cuentas AMI de las instancias administradas de Amazon ECS, y el valor de esta clave siempre será `amazon`. La creación de una SCP que permita ejecutar las AMI si el `ec2:Owner` es `amazon` permitirá lanzar cualquier AMI propiedad de Amazon, no solo las de instancias administradas de Amazon ECS.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAMI",
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:*:ec2:*::image/ami-*",
"Condition": {
"StringNotEquals": {
"aws:ResourceAccount": [
"187296253231",
"260073348889"
]
}
}
}
]
}
```
### Cuentas AMI de instancias administradas de Amazon ECS
Las cuentas de AWS que varían según la región alojan las AMI públicas de instancias administradas de Amazon ECS.
| Región de AWS | Cuenta |
| --- | --- |
| af-south-1 | 070957084703 |
| ap-east-1 | 587573215167 |
| ap-northeast-1 | 679336465495 |
| ap-northeast-2 | 309903600357 |
| ap-northeast-3 | 384570461223 |
| ap-south-1 | 062344138989 |
| ap-south-2 | 624198668379 |
| ap-southeast-1 | 832199679391 |
| ap-southeast-2 | 552073033681 |
| ap-southeast-3 | 368903466070 |
| ap-southeast-4 | 696793786439 |
| ap-southeast-5 | 003457290689 |
| ap-southeast-6 | 465836752572 |
| ap-southeast-7 | 622515864387 |
| ca-central-1 | 853167153192 |
| ca-west-1 | 899469777611 |
| eu-central-1 | 832570432258 |
| eu-central-2 | 041659148495 |
| eu-north-1 | 851563870067 |
| eu-south-1 | 766433696616 |
| eu-south-2 | 003380494496 |
| eu-west-1 | 986619735082 |
| eu-west-2 | 591706807364 |
| eu-west-3 | 108582616801 |
| il-central-1 | 009537862704 |
| me-central-1 | 540883425316 |
| me-south-1 | 181438624895 |
| mx-central-1 | 210749644920 |
| sa-east-1 | 591338347621 |
| us-east-1 | 260073348889 |
| us-east-2 | 292185169523 |
| us-west-1 | 187296253231 |
| us-west-2 | 491085424538 |
# Tipos de instancias de instancias administradas de Amazon ECS
Instancias administradas de Amazon ECS le permite seleccionar tipos de instancias de EC2 específicos para sus aplicaciones en contenedores.
## Familias de instancias de instancias administradas de Amazon ECS
Se admiten los siguientes tipos de instancias:
### Uso general
+ m5, m5a, m5ad, m5d, m5dn, m5n, m5zn: recursos de computación, memoria y redes equilibrados
+ m6a, m6g, m6gd, m6i, m6id, m6idn, m6in: última generación con rendimiento mejorado
+ m7a, m7g, m7gd, m7i, m7i-flex: instancias de uso general de nueva generación
+ m8g, m8gd: instancias ARM de uso general de última generación
+ t3, t3a, t4g: instancias de rendimiento ampliable (sin incluir los tamaños de instancias nano y micro)
### Computación optimizada
+ c5, c5a, c5ad, c5d, c5n: procesadores de alto rendimiento para aplicaciones con uso intensivo de recursos de computación
+ c6a, c6g, c6gd, c6i, c6id, c6in: instancias optimizadas para la computación de última generación
+ c7a, c7g, c7gd, c7gn, c7i, c7i-flex: instancias optimizadas para la computación de nueva generación
+ c8g, c8gd, c8gn: instancias ARM optimizadas para la computación de última generación
+ hpc6a, hpc6id, hpc7a: instancias de computación de alto rendimiento
### Optimizada para memoria
+ r5, r5a, r5ad, r5b, r5d, r5dn, r5n: alta relación memoria-vCPU para aplicaciones con un uso intensivo de recursos de memoria.
+ r6a, r6g, r6gd, r6i, r6id, r6idn, r6in: instancias optimizadas para memoria de última generación
+ r7a, r7g, r7gd, r7i, r7iz: instancias optimizadas para memoria de nueva generación
+ r8g, r8gd: instancias de ARM optimizadas para memoria de última generación
+ u-3tb1, u7i-6tb, u7i-8tb, u7i-12tb, u7in-24tb, u7in-32tb: instancias con gran capacidad de memoria con hasta 32 TB de RAM
+ x2gd, x2idn, x2iedn, x2iezn: memoria extrema para bases de datos y análisis en memoria
+ x8g: instancias de memoria extrema de última generación
+ z1d: almacenamiento NVMe en SSD de alta frecuencia
### Optimizadas para el almacenamiento
+ d3, d3en: almacenamiento en HDD denso para sistemas de archivos distribuidos
+ i4g, i4i: instancias optimizadas para el almacenamiento de última generación
+ i7i, i7ie, i8g: instancias de almacenamiento de alto rendimiento de nueva generación
+ im4gn, is4gen: instancias de almacenamiento optimizadas para la red
### Computación acelerada
+ g4dn: GPU NVIDIA T4 para el machine learning, inferencias y gráficos
+ g5, g5g: GPU NVIDIA A10G para gráficos y machine learning de alto rendimiento
+ g6, g6e, g6f: instancias de GPU de última generación
+ gr6, gr6f: instancias de GPU con GPU NVIDIA L4 Tensor Core y una relación vCPU-RAM de 1:8 para cargas de trabajo gráficas
+ p3dn: GPU NVIDIA V100 para entrenamiento de aprendizaje profundo y HPC
+ p4d: GPU NVIDIA A100 para un entrenamiento de machine learning con el máximo rendimiento
+ p5: última generación con GPU NVIDIA H100
+ p6-b200: nueva generación con GPU NVIDIA B200
## Métodos de selección de instancias
Instancias administradas de Amazon ECS proporciona dos métodos para seleccionar los tipos de instancias:
+ *Selección de un tipo de instancia específico*: especifique de forma explícita el tipo de instancia de EC2 que se utilizará en sus tareas.
+ *Selección del tipo de instancia basada en atributos*: debe especificar los atributos (como vCPU, memoria y arquitectura) que requiere su aplicación e instancias administradas de Amazon ECS seleccionará un tipo de instancia adecuado.
## Selección de un tipo de instancia específico
Al seleccionar un tipo de instancia específico, debe especificar de forma explícita el tipo de instancia de EC2 que se utilizará en las tareas de instancias administradas de Amazon ECS. Esto resulta útil cuando la aplicación requiere un tipo de instancia específico con determinadas características de hardware.
## Selección de tipo de instancia basada en atributos
Con la selección del tipo de instancia basada en atributos, debe especificar los atributos que requiere su aplicación e instancias administradas de Amazon ECS seleccionará un tipo de instancia adecuado que cumpla con esos requisitos. Esto proporciona más flexibilidad y puede ayudar a garantizar que sus tareas se organicen correctamente, incluso si no hay tipos de instancias específicos disponibles.
Cuando se especifican varios atributos, se obtienen tipos de instancia que satisfacen todos los atributos especificados. Si especifica varios valores para un atributo, obtendrá tipos de instancia que satisfacen cualquiera de los valores especificados.
Se admiten los siguientes atributos para la selección de tipos de instancia basada en atributos:
**cpuArchitecture**
Arquitectura de CPU.
Valores válidos: `X86_64` \$1 `ARM64`
**instanceGeneration**
Indica si se incluyen los tipos de instancia de la generación actual o anterior.
+ Para los tipos de instancia de la generación actual, especifique `current`. La generación actual incluye los tipos de instancia de EC2 cuyo uso se recomienda actualmente. Esto suele incluir las dos o tres últimas generaciones de cada familia de instancias. Para obtener más información, consulte [Tipos de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html) en la *Guía del usuario de Amazon EC2*.
+ Para los tipos de instancia de la generación anterior, especifique `previous`.
+ Para incluir tipos de instancias de generación tanto de la generación actual como de la anterior, especifique `all`
Valores válidos: `current` \$1 `previous` \$1 `all`
Predeterminado: cualquier generación, actual o anterior
**burstablePerformance**
Indica si se incluyen, excluyen o requieren los tipos de instancia de performance con ráfagas. Para obtener más información, consulte [Instancias de rendimiento ampliable](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/burstable-performance-instances.html) en la *Guía del usuario de Amazon EC2*.
Valores válidos: `included` \$1 `excluded` \$1 `required`
Valor predeterminado: `excluded`
**cpuManufacturer**
Muestra los fabricantes de CPU específicos que se deben incluir.
+ Para los tipos de instancia con CPU Intel, especifique `intel`.
+ Para los tipos de instancia con CPU AMD, especifique `amd`.
+ Para los tipos de instancias con CPU de AWS (como AWS Graviton), especifique `amazon-web-services`.
No confunda el fabricante del hardware de la CPU con la arquitectura del hardware de la CPU. Las instancias se lanzarán con una arquitectura de CPU compatible basada en la imagen de máquina de Amazon (AMI) que especifique.
Valores válidos: `intel` \$1 `amd` \$1 `amazon-web-services`
Predeterminado: cualquier fabricante.
**networkBandwidth**
La cantidad mínima y máxima de ancho de banda de la red, en gigabits por segundo (Gbps).
Predeterminado: sin mínimo ni máximo.
**networkInterfaceCount**
El número mínimo y máximo de interfaces de red.
Predeterminado: sin mínimo ni máximo.
**localStorage**
Indica si los tipos de instancia con volúmenes de almacén de instancias están incluidos, excluidos o son obligatorios. Para obtener más información, consulte [Almacén de instancias de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html) en la *Guía del usuario de Amazon EC2*.
Valores válidos: `included` \$1 `excluded` \$1 `required`
Valor predeterminado: `included`
**localStorageType**
Tipo de almacenamiento local que se requiere.
+ Para los tipos de instancia con almacenamiento en unidades de disco duro (HDD), especifique `hdd`.
+ Para los tipos de instancia con almacenamiento en unidades de estado sólido (SSD), especifique `ssd`.
Valores válidos: `hdd` \$1 `ssd`
Predeterminado: cualquier tipo de almacenamiento local.
## Opciones de facturación y compra
Instancias administradas de Amazon ECS admite varias características que ayudan a optimizar el costo de las cargas de trabajo en contenedores:
+ *Savings Plans (SP)*: las instancias administradas de Amazon ECS se benefician de los Savings Plans que haya adquirido para los tipos de instancias que utilizan sus tareas. No se necesita configuración adicional.
+ *Instancias reservadas (RI)*: las tareas de instancias administradas de Amazon ECS pueden beneficiarse de las RI que haya adquirido para los tipos de instancias que utilizan sus tareas. No se necesita configuración adicional.
+ *Instancias de spot*: puede configurar el proveedor de capacidad de instancias administradas de Amazon ECS para que utilice instancias de spot de EC2 si establece `capacityOptionType=Spot`
+ *Reservas de capacidad*: puede configurar el proveedor de capacidad de instancias administradas de Amazon ECS para que utilice sus reservas de capacidad de EC2 si establece `capacityOptionType=Reserved` y proporciona un [grupo de reservas de capacidad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-cr-group.html). También puede especificar las siguientes preferencias de reserva: utilice `reservations-only` para garantizar que las instancias se lancen exclusivamente con capacidad reservada y así lograr la máxima previsibilidad, `reservations-first` para dar preferencia a las reservas y, al mismo tiempo, mantener la flexibilidad de recurrir a capacidad bajo demanda cuando sea necesario, o `reservations-excluded` para evitar por completo que su proveedor de capacidad use reservas.
# Prácticas recomendadas para la selección de instancias en instancias administradas de Amazon ECS
Seleccionar la configuración de instancias correcta para las cargas de trabajo de instancias administradas de Amazon ECS es crucial para optimizar el rendimiento, los costos y la utilización de los recursos. Amazon ECS ofrece opciones flexibles de selección de instancias que le permiten equilibrar los requisitos de las aplicaciones con la rentabilidad. Las siguientes prácticas recomendadas le permitirán tomar decisiones informadas sobre la selección de instancias para sus cargas de trabajo en contenedores.
1. Uso del proveedor de capacidad predeterminado de instancias administradas de Amazon ECS
Amazon ECS elige las instancias más rentables que cumplen los siguientes requisitos de definición de tareas y parámetros de servicio:
Definición de tarea
+ operatingSystemFamily
+ cpuArchitecture
+ cpu
+ memoria
Definición de servicio
+ placementConstraints
+ placementStrategy
1. Uso de la selección basada en atributos para la mayoría de las cargas de trabajo a fin de proporcionar flexibilidad y mejorar las tasas de éxito de las colocaciones
La selección de instancias basada en atributos permite a Amazon ECS elegir entre una gama más amplia de tipos de instancias que cumplen los requisitos especificados. Este enfoque aumenta la probabilidad de que la asignación de tareas se realice correctamente y optimiza mejor los costos, ya que permite a Amazon ECS seleccionar las instancias más rentables disponibles en el momento del lanzamiento.
1. Uso de tipos de instancias específicos solo cuando las aplicaciones tengan determinados requisitos de hardware
Reserve un tipo de instancia específico para las cargas de trabajo que requieran determinadas características de hardware, como la aceleración de la GPU, los procesadores de alta frecuencia o las capacidades de red especializadas. En el caso de las aplicaciones de uso general, la selección basada en atributos suele ofrecer una mayor flexibilidad y una mejor optimización de los costos.
1. Elección de recursos equilibrados para evitar el sobreaprovisionamiento y los costos innecesarios
Seleccione configuraciones de instancia que se ajusten en gran medida a los requisitos de CPU y memoria de la aplicación. Evite el sobreaprovisionamiento de recursos, ya que esto conlleva un aumento de los costos y una reducción de la eficiencia. Utilice los datos de supervisión para comprender los patrones reales de utilización de los recursos y ajustar la selección de instancias en consecuencia.
1. Combinación de tipos de instancia para aplicaciones con cargas de trabajo variables para equilibrar el rendimiento y el costo
En el caso de las aplicaciones con requisitos de rendimiento diversos o patrones de carga de trabajo variables, considere la posibilidad de utilizar varios proveedores de capacidad con distintas configuraciones de instancias. Este enfoque le permite optimizar los costos mediante el uso de los tipos de instancias adecuados para los diferentes componentes de la aplicación y, al mismo tiempo, mantener el rendimiento cuando sea necesario.
1. Cuando utilice un proveedor de capacidad de instancias administradas de Amazon ECS configurado con `capacityOptionType=Reserved`, tenga en cuenta que los servicios de ECS utilizan una configuración de implementación predeterminada de `minimumHealthyPercent=100%` y `maximumPercent=200%`, lo que significa que las implementaciones de ECS intentan iniciar nuevas tareas antes de detener las antiguas y requieren de manera temporal hasta un 200 % de su capacidad de estado estable. Si su servicio consume toda la capacidad disponible en sus reservas de capacidad de EC2 en estado estable, las implementaciones fallarán porque no hay capacidad adicional disponible para lanzar nuevas tareas durante el proceso de implementación. Para evitarlo, establezca `minimumHealthyPercent` en menos del 100 % (por ejemplo, el 75 %) y considere la posibilidad de establecer `maximumPercent` en el 100 % para garantizar que el servicio detenga las tareas antes de iniciar otras nuevas, lo que permitirá que las implementaciones se completen de manera correcta al liberar capacidad antes de iniciar las tareas de reemplazo. Además, considere la posibilidad de supervisar el uso de la capacidad con regularidad a fin de mantener el margen de maniobra necesario para adaptarse a las implementaciones y gestionar los picos de tráfico.
# Comportamiento de extracción de imágenes de contenedores de instancias administradas de Amazon ECS
El tiempo que tarda un contenedor en iniciarse varía según la imagen del contenedor subyacente. Por ejemplo, una imagen más pesada (versiones completas de Debian, Ubuntu y Amazon2) puede tardar más en iniciarse porque hay más servicios que se ejecutan en los contenedores en comparación con sus respectivas versiones compactas (Debian-slim, Ubuntu-slim y Amazon-SLIM) o imágenes base más pequeñas (Alpine).
Cuando Amazon ECS inicia una tarea que usa una instancia de instancias administradas de Amazon ECS, Amazon ECS extrae la imagen de forma remota únicamente si no la extrajo una tarea anterior en la misma instancia de contenedor o si el proceso de limpieza automatizada de imágenes eliminó la imagen en caché. De lo contrario, se usa la imagen almacenada en la caché de la instancia de instancias administradas de Amazon ECS. De este modo, se garantiza que no se realizan extracciones de imágenes innecesarias.
# Aplicación de parches en instancias administradas de Amazon ECS
En instancias administradas de Amazon ECS, la aplicación de parches es un proceso de mantenimiento fundamental en el que AWS administra y actualiza automáticamente el software de las instancias de contenedores administradas para garantizar la seguridad y el cumplimiento y, al mismo tiempo, mantener la disponibilidad de la carga de trabajo mediante un proceso controlado y configurable.
## Ciclo de vida de la instancia
De forma predeterminada, las instancias de contenedores administradas de Amazon ECS funcionan con un ciclo de vida estandarizado de 14 a 21 días. Amazon ECS inicia un vaciado gradual de la carga de trabajo transcurridos 14 días tras el lanzamiento de la instancia, y la terminación final se produce a más tardar el día 21. Amazon ECS permite el vaciado anticipado en circunstancias específicas:
+ Detección de vulnerabilidades de seguridad en el software
+ Degradación del estado del hardware
+ Cumplimiento de los periodos de eventos configuradas por el cliente
Este enfoque garantiza el cumplimiento normativo del sistema y, al mismo tiempo, respeta los requisitos de mantenimiento definidos por el cliente.
## Periodos de eventos y programación de mantenimiento
AWS administra el ciclo de vida de una instancia de contenedor administrada mediante procesos automatizados en segundo plano que supervisan la fecha de creación de un nodo y los calenarios de mantenimiento. Tras el lanzamiento de la instancia, AWS define de forma predeterminada un calendario de vaciado de 14 días y evalúa los intervalos de eventos configurados por el cliente.
Puede programar las actividades de mantenimiento de instancias administradas de Amazon ECS configurando los periodos de eventos. Puede asociar una o varias instancias de instancias administradas de Amazon ECS con un periodo de eventos mediante ID o etiquetas de instancia. Cuando una periodo de eventos se etiqueta con un valor específico, Amazon ECS asigna estas etiquetas a las instancias de instancias administradas de Amazon ECS correspondientes de los clústeres asociados y programa el mantenimiento de las instancias durante los periodos de tiempo definidos siempre que sea posible.
Para obtener más información sobre los periodos de eventos, consulte [Cree ventanas de eventos personalizadas para los eventos programados que afecten a sus instancias de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/event-windows.html) en la *Guía del usuario de Amazon EC2*.
Si existen periodos de eventos, AWS ajusta el calendario de vaciado para adaptarlo a estos periodos, lo que puede provocar que el vaciado tenga lugar antes del periodo de 14 días predeterminado para cumplir con el periodo de eventos especificado. Las modificaciones del periodo de eventos solo afectan a las instancias de contenedores administrados recién lanzadas, lo que garantiza una programación de tareas de mantenimiento predecible.
Hasta la hora de vaciado programada, Amazon ECS continúa con las operaciones normales de colocación de tareas en las instancias de contenedores administradas según la configuración del cliente.
## Secuencia de mantenimiento
Cuando llega la hora de mantenimiento designada, Amazon ECS comienza su secuencia de mantenimiento invocando la API `UpdateContainerInstancesState` para iniciar el vaciado gradual de la carga de trabajo. Durante el periodo de terminación gradual, Amazon ECS intenta detener la carga de trabajo en la instancia marcada para su vaciado.
Amazon ECS emplea una estrategia de arranque previo a la detención para las tareas de servicio (o según la configuración del servicio de Amazon ECS), lo que garantiza que las tareas de reemplazo se inicien antes de detener las existentes para minimizar las interrupciones del servicio. A lo largo de este proceso, los servicios de Amazon ECS respetan todas las configuraciones de implementación de servicios y continúan con los intentos de vaciado hasta 21 días después del lanzamiento de la instancia.
Si el vaciado no se copleta antes del día 21, Amazon ECS pone en marcha la API `DeregisterContainerInstance` para detener la instancia de contenedor administrada y sus cargas de trabajo restantes a fin de mantener el cumplimiento normativo y aplicar los parches necesarios a la instancia administrada con el software más reciente.
# Aspectos de seguridad de instancias administradas de Amazon ECS
Instancias administradas de Amazon ECS proporciona una experiencia de procesamiento en contenedores completamente administrada que le permite poner en marcha cargas de trabajo en tipos de instancias de Amazon EC2 específicos y, al mismo tiempo, delegar las responsabilidades de seguridad en AWS. En este tema se describen el modelo de seguridad, las características y los aspectos que se deben tener en cuenta al utilizar instancias administradas de Amazon ECS.
## Modelo seguridad
Instancias administradas de Amazon ECS implementa un modelo de seguridad integral que equilibra la flexibilidad con la protección:
+ **Infraestructura administrada por AWS**: AWS controla el ciclo de vida de las instancias administradas y gestiona los parches de seguridad, lo que elimina la posibilidad de errores humanos o alteraciones.
+ **Ausencia de acceso administrativo**: el modelo de seguridad está bloqueado y prohíbe el acceso administrativo a las instancias administradas.
+ **Colocación de múltiples tareas**: de forma predeterminada, instancias administradas de Amazon ECS coloca varias tareas en una sola instancia para optimizar el costo y la utilización, lo que reduce la restricción de aislamiento de la carga de trabajo en comparación con Fargate.
+ **Aislamiento de datos**: aunque AWS controla el ciclo de vida de las instancias y la colocación de las tareas, AWS no puede iniciar sesión en las instancias administradas ni acceder a los datos de los clientes.
## Características de seguridad
Instancias administradas de Amazon ECS incluye varias características de seguridad integradas diseñadas para proteger sus cargas de trabajo y mantener una buena postura de seguridad. Estas características van desde la aplicación automática de parches de seguridad hasta la compatibilidad con capacidades privilegiadas de Linux cuando es necesario.
### Prácticas recomendadas de seguridad
Las instancias administradas se configuran de acuerdo con las prácticas recomendadas en materia de seguridad de AWS, como, por ejemplo:
+ **Ausencia de acceso por SSH**: el acceso remoto al intérprete de comandos está desactivado para evitar el acceso no autorizado.
+ **Sistema de archivos raíz inmutable**: el sistema de archivos raíz no se puede modificar, lo que garantiza la integridad del sistema.
+ **Controles de acceso obligatorios del kernel**: SELinux proporciona medidas de seguridad adicionales para los kernels.
### Aplicación automática de parches de seguridad
Instancias administradas de Amazon ECS le permite mejorar la posición de seguridad de sus cargas de trabajo mediante la aplicación automática de parches:
+ **Actualizaciones de seguridad periódicas**: AWS actualiza periódicamente las instancias con los últimos parches de seguridad, según los periodos de mantenimiento que configure.
+ **Vida útil limitada de las instancias**: la vida útil máxima de una instancia en marcha es de 14 días como máximo, lo que garantiza que sus aplicaciones usen instancias debidamente configuradas con los parches de seguridad actualizados.
+ **Control de periodos de mantenimiento**: puede utilizar la capacidad de periodos de eventos de Amazon EC2 para especificar cuándo Amazon ECS debe sustituir sus instancias por instancias parcheadas.
### Capacidades privilegiadas de Linux
Instancias administradas de Amazon ECS es compatible con software que requiere privilegios elevados de Linux, lo que permite soluciones avanzadas de supervisión y seguridad:
+ **Capacidades compatibles**: puede optar por utilizar todas las capacidades privilegiadas de Linux, como `CAP_NET_ADMIN`, `CAP_SYS_ADMIN` y `CAP_BPF`.
+ **Soluciones populares**: esto le permite poner en marcha soluciones populares de supervisión y observabilidad de redes, como Wireshark y Datadog.
+ **Configuración explícita obligatoria**: debe configurar explícitamente su proveedor de capacidad de instancias administradas de Amazon ECS para habilitar las capacidades privilegiadas de Linux, ya que esto puede suponer riesgos de seguridad adicionales para sus aplicaciones.
**importante**
Si habilita funciones privilegiadas de Linux, es posible que las tareas estén expuestas a riesgos de seguridad adicionales. Habilite estas capacidades solo cuando las aplicaciones lo requieran y asegúrese de comprender lo que implican en términos de seguridad.
## Soporte normativo y de cumplimiento
Instancias administradas de Amazon ECS mantiene la misma postura de cumplimiento que Amazon ECS:
+ **Programas de cumplimiento**: instancias administradas de Amazon ECS forma parte de los mismos programas de cumplimiento de AWS garantía que Amazon ECS, como PCI-DSS, HIPAA y FedRAMP.
+ **Puntos de conexión FIPS**: instancias administradas de Amazon ECS respeta la configuración de uso de puntos de conexión FIPS de las cuentas en las regiones de AWS para cumplir con los requisitos de FedRAMP.
+ **Claves administradas por el cliente**: son compatibles con las características de seguridad necesarias para garantizar el cumplimiento, como las claves administradas por el cliente para el cifrado.
## Consideraciones sobre FIPS-140 de instancias administradas de Amazon ECS
Tenga en cuenta lo siguiente cuando utilice la conformidad con la norma FIPS-140 en las instancias administradas de Amazon ECS:
+ Las AMI de instancias administradas que cumplen con la norma FIPS-140 solo están disponibles en las regiones AWS GovCloud (US).
+ Las instancias administradas de Amazon ECS admiten la norma FIPS-140-3
+ La conformidad con la norma FIPS-140 se habilita de forma predeterminada en las regiones AWS GovCloud (US). Si necesita ejecutar cargas de trabajo sin cumplir con la norma FIPS, desactive la conformidad con la norma FIPS en la configuración del proveedor de capacidad de instancias administradas.
+ La `cpuArchitecture` de sus tareas debe ser `X86_64` para cumplir con la norma FIPS-140.
## Inhabilitación de FIPS en las instancias administradas de Amazon ECS
De forma predeterminada, los proveedores de capacidad de instancias administradas de Amazon ECS en las regiones AWS GovCloud (US) lanzan AMI compatibles con FIPS. Al crear un nuevo proveedor de capacidad de instancias administradas de Amazon ECS, decide deshabilitar la conformidad con la norma FIPS-140. Siga estos pasos para crear un nuevo proveedor de capacidad sin cumplir con la norma FIPS.
1. Desactive la conformidad con la norma FIPS-140 en el proveedor de capacidad.
```
aws ecs create-capacity-provider \
--cluster cluster-name \
--name capacity-provider-name \
--managed-instances-provider '{
"infrastructureRoleArn": "infrastructure-role-arn",
"instanceLaunchTemplate": {
"ec2InstanceProfileArn": "instance-profile-arn",
"fipsEnabled": false,
"networkConfiguration": {
"subnets": ["subnet-id"],
"securityGroups": ["security-group-id"]
}
}
}'
```
1. Puede utilizar ECS Exec para ejecutar el siguiente comando a fin de verificar el estado de conformidad con la norma FIPS-140 de un proveedor de capacidad.
Sustituya *cluster-name* por el nombre del clúster, *task-id* por el ID o ARN de la tarea y *container-name* por el nombre del contenedor de la tarea en el que desea ejecutar el comando.
Un valor devuelto de “1” indica que está utilizando la norma FIPS.
```
aws ecs execute-command \
--cluster cluster-name \
--task task-id \
--container container-name \
--interactive \
--command "cat /proc/sys/crypto/fips_enabled"
```
## Consideraciones de seguridad
Cuando se utiliza instancias administradas de Amazon ECS, hay varios aspectos de seguridad importantes que hay que entender y planificar. Estos aspectos le permiten tomar decisiones informadas sobre la arquitectura de la carga de trabajo y los requisitos de seguridad.
### Modelo de seguridad multitarea
El modelo de colocación de varias tareas predeterminado de instancias administradas de Amazon ECS difiere del aislamiento de una sola tarea de Fargate:
+ **Recursos de instancia compartidos**: es posible que se pongan en marcha varias tareas en la misma instancia, lo que podría exponer una tarea a vulnerabilidades derivadas de otras tareas que funcionan en la misma instancia o en el mismo clúster de ECS.
+ **Opción de tarea única**: puede configurar instancias administradas de Amazon ECS para que utilicen el modo de tarea única para los clientes que necesiten el modelo de seguridad de Fargate predeterminado con un límite de aislamiento de seguridad para las máquinas virtuales.
+ **Compensación entre costo y seguridad:** el modo multitarea optimiza los costos y agiliza el inicio de las tareas, mientras que el modo de tarea única proporciona un mayor aislamiento.
### Administración de interrupciones de instancias
Es importante diseñar las aplicaciones para que toleren las interrupciones al utilizar instancias administradas de Amazon ECS:
+ **Tolerancia a las interrupciones**: utilice instancias administradas de Amazon ECS con aplicaciones que toleren la interrupción de los servicios o tareas subyacentes.
+ **Cargas de trabajo basadas en servicios**: utilice los servicios de Amazon ECS para automatizar la sustitución de tareas o la puesta en marcha de cargas de trabajo con una duración controlada y limitada que no exceda los 14 días en tareas independientes.
+ **Apagado gradual**: configure el periodo de gracia del apagado de tareas para controlar el impacto de las interrupciones.
### Acceso y privacidad de datos
Instancias administradas de Amazon ECS mantiene estrictos controles de acceso a los datos:
+ **Sin acceso a los datos de los clientes**: aunque AWS controla el ciclo de vida de las instancias administradas y la colocación de las tareas en las instancias, AWS no puede iniciar sesión en las instancias administradas ni acceder a los datos de los clientes.
+ **Solo métricas y registros**: AWS captura solo las métricas y los registros relacionados necesarios para proporcionar las capacidades de instancias administradas de Amazon ECS.
+ **Modelo de seguridad restringido**: el modelo de seguridad prohíbe el acceso de los administradores, lo que elimina la posibilidad de que se produzcan errores humanos y manipulaciones.
## Prácticas recomendadas de seguridad
Siga estas prácticas recomendadas cuando use instancias administradas de Amazon ECS:
+ **Evalúe el modelo de seguridad**: evalúe cuidadosamente la adopción de instancias administradas de Amazon ECS en función de sus requisitos de seguridad, especialmente en lo que respecta al modelo de colocación de varias tareas.
+ **Utilice el modo de tarea única cuando sea necesario**: si sus cargas de trabajo requieren un mayor aislamiento, configure las instancias de instancias administradas de Amazon ECS para que utilicen el modo de tarea única.
+ **Minimice las capacidades privilegiadas**: habilite las capacidades privilegiadas de Linux únicamente cuando sea absolutamente necesario y comprenda los riesgos de seguridad asociados.
+ **Planifique las interrupciones**: diseñe aplicaciones para gestionar las sustituciones de instancias graduales, especialmente teniendo en cuenta la vida útil máxima de las instancias de 14 días.
+ **Configure los periodos de mantenimiento**: utilice los periodos de eventos de EC2 para controlar cuándo se producen las sustituciones de instancias y minimizar el impacto en sus cargas de trabajo.
+ **Supervise y audite**: revise periódicamente la configuración de instancias administradas de Amazon ECS y supervise cualquier evento o cambio relacionado con la seguridad.
# Habilitación del control de cifrado de VPC para las instancias administradas de Amazon ECS
Las instancias administradas de Amazon ECS son compatibles con los controles de cifrado de VPC, una característica de seguridad y conformidad que proporciona un control centralizado para monitorear y aplicar el cifrado en tránsito de todos los flujos de tráfico dentro de las VPC de una región y entre ellas. Cuando los controles de cifrado de VPC se habilitan en la subred, puede especificar los tipos de instancias que admiten el cifrado en tránsito en su proveedor de capacidad personalizado de instancias administradas de Amazon ECS, lo que garantiza que las cargas de trabajo de las instancias administradas de Amazon ECS se ejecuten con cifrado en tránsito.
## Requisitos previos
Antes de comenzar, necesitará:
+ Una VPC con cifrado en tránsito habilitado en las subredes. Para obtener más información, consulte la [documentación de controles de cifrado de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html).
+ Un proveedor de capacidad de instancias administradas de Amazon ECS personalizado. Para obtener más información, consulte [Arquitecto de instancias administradas de Amazon ECS](ManagedInstances.md).
## Identificar los tipos de instancias compatibles
Los tipos de instancias de Amazon EC2 deben cumplir con estos dos requisitos:
1. **Admitir cifrado de VPC en tránsito**: utilice el siguiente comando AWS CLI para enumerar los tipos de instancias de Amazon EC2 que admiten el cifrado en tránsito:
```
aws ec2 describe-instance-types \
--filters Name=network-info.encryption-in-transit-supported,Values=true \
--query "InstanceTypes[*].[InstanceType]" \
--output text | sort
```
1. **Compatible con las instancias administradas de Amazon ECS**: todos los tipos de instancias de Amazon EC2 compatibles con las instancias administradas de Amazon ECS se documentan en [Tipos de instancias de instancias administradas de Amazon ECS](managed-instances-instance-types.md).
Si tiene requisitos adicionales (como necesidades específicas de CPU, memoria o arquitectura), filtre aún más los tipos de instancias compatibles en función de sus requisitos de carga de trabajo.
## Cree un clúster compatible con cifrado de VPC
Para configurar las instancias administradas de Amazon ECS para el cifrado de VPC en tránsito:
1. Cree un nuevo clúster y seleccione **Instancias administradas y de Fargate** para la infraestructura.
1. Seleccione **Usar personalizado: avanzado** para acceder a parámetros de configuración adicionales.
1. En **Tipos de instancias permitidos**, agregue solo los tipos de instancias específicos que admiten el cifrado de VPC en tránsito.
Si se configuran de esta manera, las instancias administradas de Amazon ECS lanzarán solo los tipos de instancias de Amazon EC2 que admitan el cifrado de VPC en tránsito.
## Consideraciones
+ **Instancias de rendimiento ampliable**: los tipos de instancia T3, T3a y T4g no admiten el cifrado de VPC en tránsito y no se pueden usar en subredes con el control de cifrado habilitado en el modo Forzado.
+ **Transiciones de modo**: solo puede hacer la transición de la subred de VPC del modo Monitor al modo Forzado si todas las instancias en ejecución admiten el cifrado de VPC en tránsito.
+ **Fallos al iniciar las tareas**: en el modo Forzado, las tareas no se iniciarán si especifica tipos de instancias que no admiten el cifrado en tránsito.
## Solución de problemas
Fallos en el inicio de las tareas en el modo Forzado
Si las tareas no se inician, compruebe que todos los tipos de instancias especificados admiten el cifrado de VPC en tránsito mediante el comando de AWS CLI indicado anteriormente.
No se puede pasar al modo Forzado.
Utilice la consola o el comando `GetVpcResourcesBlockingEncryptionEnforcement` para identificar los recursos que no están aplicando el cifrado en tránsito.
Para obtener más información sobre los controles de cifrado de VPC, consulte la [documentación de controles de cifrado de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html).
# Optimización de la infraestructura de instancias administradas de Amazon ECS
Instancias administradas de Amazon ECS aprovisiona automáticamente instancias de EC2 correctamente dimensionadas en función de la configuración del proveedor de capacidad y de las demandas de carga de trabajo actuales, lo que garantiza que las aplicaciones en contenedores cuenten con los recursos de computación adecuados desde su implementación. Conforme los patrones de tráfico de sus aplicaciones evolucionen y los requisitos de las cargas de trabajo vayan cambiando, instancias administradas de Amazon ECS supervisa y optimiza continuamente su infraestructura ajustando de forma inteligente los tamaños de las instancias para adaptarlas a las necesidades actuales, reemplazando de forma proactiva las instancias que se desviaron de las configuraciones óptimas y equilibrando dinámicamente la rentabilidad, el rendimiento de las aplicaciones y la fiabilidad del sistema. Este sistema de administración de recursos funciona sin ninguna intervención manual, lo que reduce los costos de infraestructura y, al mismo tiempo, garantiza una alta disponibilidad para sus aplicaciones.
Los siguientes son beneficios de la optimización de la infraestructura:
+ Optimización de costos: reduce los costos de infraestructura al maximizar la utilización de los recursos y eliminar la capacidad inactiva.
+ Mejora del rendimiento: optimiza la ubicación de la carga de trabajo en función de los requisitos de recursos y las características de rendimiento.
+ Simplicidad operativa: automatiza las decisiones complejas de administración de recursos sin necesidad de intervención manual.
+ Mejora de la fiabilidad: mantiene una alta disponibilidad gracias a la distribución inteligente de las cargas de trabajo y la supervisión del estado.
Instancias administradas de Amazon ECS realiza dos tipos de optimizaciones de infraestructura para maximizar la eficiencia y reducir los costos:
## Detección de instancias inactivas
Identifica y elimina las instancias de EC2 que no tienen tareas en marcha, lo que elimina los costos de infraestructura innecesarios derivados de la capacidad no utilizada. Cuando se detecta una instancia inactiva, el proceso de optimización marca la instancia de contenedor como ANULACIÓN DEL REGISTRO, lo que inicia la secuencia de limpieza que termina de forma segura la instancia de EC2 subyacente.
## Detección de instancias infrautilizadas
Analiza la distribución de las tareas entre las instancias para identificar oportunidades para una mejor asignación de los recursos. Cuando las tareas no se ponen en marcha de manera óptima en varias instancias, instancias administradas de Amazon ECS consolida las cargas de trabajo en un menor número de instancias que se utilizan de manera más eficiente, lo que reduce los costos generales y mantiene el rendimiento. El proceso de optimización marca las instancias de contenedor infrautilizadas como VACIANDO, lo que desencadena la sustitución de tareas para trasladar las cargas de trabajo a instancias existentes o a instancias nuevas y más eficientes. Cuando todas las instancias se migran de forma segura, la instancia pasa al estado ANULACIÓN DEL REGISTRO y se elimina. Esta optimización se aplica a las instancias que ponen en marcha tareas de servicio y garantiza una consolidación segura gracias a la adherencia de los límites mínimos y máximos de las tareas de servicio, el cumplimiento del enfoque de arranque previo a la detección en las implementaciones y el mantenimiento cualquier configuración de protección de tareas durante todo el proceso de vaciado. Las instancias que ponen en marcha tareas independientes no se tienen en cuenta para la optimización, ya que instancias administradas de ECS no sustituyen a las tareas independientes.
Estas optimizaciones se combinan para garantizar que su infraestructura se adapte continuamente a las demandas reales de carga de trabajo, lo que elimina automáticamente los recursos no utilizados y mejora la utilización de los recursos sin repercutir en la disponibilidad de las aplicaciones. Ambos mecanismos utilizan una supervisión basada en eventos que responde a los eventos del ciclo de vida de las tareas y las instancias para identificar las oportunidades de optimización en tiempo real. Instancias administradas de Amazon ECS detecta cuándo se detiene la última tarea en una instancia de contenedor, lo que indica una posible condición de inactividad para optimizar los costos. En el caso de las instancias infrautilizadas, cualquier interrupción de tareas o el lanzamiento de una nueva instancia desencadena un análisis para identificar las oportunidades de consolidar las cargas de trabajo y mejorar la eficiencia de los recursos.
## ScaleInAfter
Ambas optimizaciones de infraestructura buscan oportunidades para terminar las instancias en marcha a fin de mejorar la utilización y reducir los costos. Puedes determinar cuándo se ponen en marcha estas acciones mediante ScaleInAfter en la configuración del proveedor de capacidad de instancias administradas de Amazon ECS, que se aplica tanto a las instancias inactivas como a las infrautilizadas. ScaleInAfter le permite especificar el tiempo de espera, en segundos, desde que la instancia está inactiva o infrautilizada hasta que instancias administradas de Amazon ECS inicia la optimización de su infraestructura. Puede configurar un tiempo de espera de entre 0 y 3600 segundos. También puede especificar -1 para desactivar la optimización de la infraestructura.
**Instancias inactivas**
+ ECS espera el tiempo especificado después de que se detenga la última tarea antes de anular el registro de la instancia.
+ Si se inicia una nueva tarea durante el periodo de espera, la instancia deja de considerarse inactiva y se cancela la terminación.
**Instancias infrautilizadas**
+ ECS espera el tiempo especificado después de un evento de parada de la tarea, lo que provoca que la instancia quede infrautilizada antes de vaciarse.
+ Si se lanza una nueva tarea o se detiene una tarea existente en una instancia determinada durante el periodo de espera, el temporizador se restablece desde la última interrupción de la tarea o desde la hora de creación de una nueva tarea, e instancias administradas de Amazon ECS vuelve a evaluar las ineficiencias y toma las medidas necesarias una vez transcurrido el nuevo periodo de espera.
Esta configuración es opcional. Si no se especifica, instancias administradas de ECS determina automáticamente el momento óptimo en función de la configuración predeterminada de instancias administradas por ECS.
# Migración de AWS Fargate a instancias administradas de Amazon ECS
Puede migrar las cargas de trabajo existentes de Fargate a instancias administradas de Amazon ECS. Esta migración le permite acceder a toda la gama de tipos de instancias de Amazon EC2, reservas de capacidad y capacidades avanzadas mientras conserva la infraestructura administrada por AWS.
## Consideraciones sobre la migración
Tenga en cuenta las siguientes consideraciones al migrar de Fargate a instancias administradas de Amazon ECS:
Compatibilidad de tareas
Las definiciones de tareas existentes configuradas para Fargate son en su mayoría compatibles con instancias administradas de Amazon ECS. Para obtener más información sobre las diferencias en las definiciones de tareas, consulte [Diferencias en la definición de tareas de Amazon ECS para instancias administradas de Amazon ECS](managed-instances-tasks-services.md).
Cambios en el modelo de seguridad
Instancias administradas de Amazon ECS permite realizar varias tareas por instancia de forma predeterminada. Considere la posibilidad de habilitar el modo de tarea única si sus cargas de trabajo requieren un mayor aislamiento.
Ciclo de vida de la instancia
Las instancias de instancias administradas de Amazon ECS tienen una vida útil máxima de 14 días. Planifique la sustitución de tareas y utilice los servicios de Amazon ECS para automatizar la administración de tareas.
Cambios de precio
Con instancias administradas de Amazon ECS, paga por la instancia completa más una cuota de administración, en lugar de por los recursos que utiliza cada tarea, como ocurre con Fargate.
Periodos de mantenimiento
Configure los periodos de mantenimiento mediante los periodos de eventos de Amazon EC2 para controlar cuándo se sustituyen las instancias de instancias administradas de Amazon ECS para aplicar parches.
## Requisitos previos
Antes de migrar a instancias administradas de Amazon ECS, compruebe que tenga lo siguiente:
+ Tareas de Fargate existentes que usen la versión 1.4.0 de la plataforma o una posterior.
+ Dispone de los roles de IAM necesarios para instancias administradas de Amazon ECS. Esto incluye:
+ **Rol de infraestructura**: permite a Amazon ECS realizar llamadas a los servicios de AWS en su nombre para administrar la infraestructura de instancias administradas de Amazon ECS.
Para obtener más información, consulte [Rol de IAM de infraestructura de Amazon ECS](infrastructure_IAM_role.md).
+ **Perfil de instancia**: proporciona permisos para el agente de contenedor de Amazon ECS y el daemon de Docker que se ponen en marcha en instancias administradas.
Para obtener más información, consulte [Perfil de instancia de instancias administradas de Amazon ECS](managed-instances-instance-profile.md).
+ Una idea clara de las diferencias de los modelos de seguridad de Fargate e instancias administradas de Amazon ECS.
**importante**
Instancias administradas de Amazon ECS utiliza un modelo de seguridad diferente al de Fargate. De forma predeterminada, se pueden poner en marcha varias tareas en la misma instancia, lo que podría exponerlas a vulnerabilidades de otras tareas. Revise sus requisitos de seguridad antes de realizar la migración.
## Paso 1: actualice el clúster para que use instancias administradas de Amazon ECS
Cree un proveedor de capacidad. Cuando crea un proveedor de capacidad con instancias administradas de Amazon ECS, solo estará disponible dentro del clúster especificado.
Para obtener más información, consulte [Creación de un proveedor de capacidad de instancias administradas de Amazon ECS](create-capacity-provider-managed-instances.md).
## Paso 2: actualice la definición de la tarea para que tenga la capacidad de instancias administradas de Amazon ECS
Actualice la definición de la tarea para que tenga las capacidades requeridas para instancias administradas de Amazon ECS.
Para obtener más información, consulte [Actualización de una definición de tareas de Amazon ECS mediante la consola](update-task-definition-console-v2.md).
## Paso 3: actualice el servicio para usar el proveedor de capacidad de instancias administradas de Amazon ECS
Actualice su servicio de Amazon ECS existente para utilizar el proveedor de capacidad de instancias administradas de Amazon ECS.
Para obtener más información, consulte [Actualización de un servicio de Amazon ECS para utilizar un proveedor de capacidad](update-service-managed-instances.md).
## Paso 4: migre tareas independientes
En el caso de las tareas independientes, especifique el proveedor de capacidad de instancias administradas de Amazon ECS al poner en marcha la tarea.
Para obtener más información, consulte [Ejecución de una aplicación como tarea de Amazon ECS](standalone-task-create.md).
# Migración de Amazon EC2 a instancias administradas de Amazon ECS
Migración de las cargas de trabajo existentes de Amazon EC2 a instancias administradas de Amazon ECS Esta migración le permite acceder a toda la gama de tipos de instancias de Amazon EC2, reservas de capacidad y capacidades avanzadas mientras conserva la infraestructura administrada por AWS.
## Consideraciones sobre la migración
Tenga en cuenta las siguientes consideraciones al migrar de Amazon EC2 a instancias administradas de Amazon ECS:
Compatibilidad de tareas
Las definiciones de tareas existentes configuradas para Amazon EC2 son en su mayoría compatibles con instancias administradas de Amazon ECS. Para obtener una lista de las diferencias en las definiciones de tareas, consulte [Diferencias en la definición de tareas de Amazon ECS para instancias administradas de Amazon ECS](managed-instances-tasks-services.md).
Cambios en el modelo de seguridad
Instancias administradas de Amazon ECS permite realizar varias tareas por instancia de forma predeterminada. Considere la posibilidad de habilitar el modo de tarea única si sus cargas de trabajo requieren un mayor aislamiento.
Ciclo de vida de la instancia
Las instancias de instancias administradas de Amazon ECS tienen una vida útil máxima de 14 días. Planifique la sustitución de tareas y utilice los servicios de Amazon ECS para automatizar la administración de tareas.
Cambios de precio
Con instancias administradas de Amazon ECS, paga por la instancia completa más una cuota de administración. AWS se encarga de gestionar los gastos generales de administración de la infraestructura.
Periodos de mantenimiento
Configure los periodos de mantenimiento mediante los periodos de eventos de Amazon EC2 para controlar cuándo se sustituyen las instancias de instancias administradas de Amazon ECS para aplicar parches.
## Requisitos previos
Antes de migrar a instancias administradas de Amazon ECS, compruebe que tenga lo siguiente:
+ Dispone de los roles de IAM necesarios para instancias administradas de Amazon ECS. Esto incluye:
+ **Rol de infraestructura**: permite a Amazon ECS realizar llamadas a los servicios de AWS en su nombre para administrar la infraestructura de instancias administradas de Amazon ECS.
Para obtener más información, consulte [Rol de IAM de infraestructura de Amazon ECS](infrastructure_IAM_role.md).
+ **Perfil de instancia**: proporciona permisos para el agente de contenedor de Amazon ECS y el daemon de Docker que se ponen en marcha en instancias administradas.
Para obtener más información, consulte [Perfil de instancia de instancias administradas de Amazon ECS](managed-instances-instance-profile.md).
+ Una idea clara de las diferencias de modelos de seguridad de Amazon EC2 e instancias administradas de Amazon ECS.
## Paso 1: actualice el clúster para que use instancias administradas de Amazon ECS
Cree un proveedor de capacidad. Cuando crea un proveedor de capacidad con instancias administradas de Amazon ECS, solo estará disponible dentro del clúster especificado.
Para obtener más información, consulte [Creación de un proveedor de capacidad de instancias administradas de Amazon ECS](create-capacity-provider-managed-instances.md).
## Paso 2: actualice la definición de la tarea para que tenga la capacidad de instancias administradas de Amazon ECS
Actualice la definición de la tarea para que tenga las capacidades requeridas para instancias administradas de Amazon ECS.
Para obtener más información, consulte [Actualización de una definición de tareas de Amazon ECS mediante la consola](update-task-definition-console-v2.md).
## Paso 3: actualice el servicio para usar el proveedor de capacidad de instancias administradas de Amazon ECS
Actualice su servicio de Amazon ECS existente para utilizar el proveedor de capacidad de instancias administradas de Amazon ECS.
Para obtener más información, consulte [Actualización de un servicio de Amazon ECS para utilizar un proveedor de capacidad](update-service-managed-instances.md).
## Paso 4: migre tareas independientes
En el caso de las tareas independientes, especifique el proveedor de capacidad de instancias administradas de Amazon ECS al poner en marcha la tarea.
Para obtener más información, consulte [Ejecución de una aplicación como tarea de Amazon ECS](standalone-task-create.md).