Asignación de una interfaz de red para tareas en Instancias administradas de Amazon ECS - Amazon Elastic Container Service
Consideraciones para el modo awsvpcUtilización de una VPC en modo de pila doble

Asignación de una interfaz de red para tareas en Instancias administradas de Amazon ECS

Con el modo de red de awsvpc en Instancias administradas de Amazon ECS se simplifican las redes de contenedores, porque proporciona mayor control sobre la comunicación de las aplicaciones entre sí y con los demás servicios de las VPC. El modo de red awsvpc también proporciona mayor seguridad para los contenedores, ya que permite utilizar grupos de seguridad y herramientas de supervisión de red de forma más pormenorizada dentro de las tareas.

De manera predeterminada, cada instancia de Instancias administradas de Amazon ECS tiene una interfaz de red elástica (ENI) troncal conectada durante el lanzamiento como ENI principal cuando el tipo de instancia admite el enlace troncal. Para obtener más información acerca de los tipos de instancias que admiten el enlace troncal de ENI, consulte Instancias admitidas para un aumento de las interfaces de red de contenedores de Amazon ECS.

nota

Si el tipo de instancia elegido no admite las ENI troncales, la instancia se lanzará con una ENI normal.

Cada tarea que se pone en marcha en la instancia recibe su propio ENI adjunto al ENI troncal, con una dirección IP privada principal. Si la VPC está configurada para el modo de pila doble y utiliza una subred con un bloque de CIDR IPv6, la ENI también recibe una dirección IPv6. Al utilizar una subred pública, es posible asignar, de manera opcional, una dirección IP pública a la ENI principal de Amazon ECS Managed Instance. Para ello, se habilita el direccionamiento público IPv4 para la subred. Para obtener más información, consulte Modificación de los atributos de las direcciones IP de sus subredes de la Guía del usuario de Amazon VPC. Una tarea solo puede tener una ENI asociada a ella por vez.

Los contenedores que pertenecen a la misma tarea también pueden comunicarse a través de la interfaz localhost. Para obtener más información acerca de las VPC y subredes, consulte Funcionamiento de Amazon VPC en la Guía del usuario de Amazon VPC.

Las operaciones siguientes utilizan la ENI principal adjunto a la instancia:

  • Descargas de imágenes: las imágenes de los contenedores se descargan de Amazon ECR a través de la ENI principal.

  • Recuperación de secretos: los secretos y otras credenciales de Secrets Manager se recuperan a través de la ENI principal.

  • Cargas de registros: los registros se cargan en CloudWatch a través de la ENI principal.

  • Descargas de archivos de entorno: los archivos de entorno se descargan a través de la ENI principal.

El tráfico de aplicaciones fluye a través de la ENI de tareas.

Dado que cada tarea obtiene su propia ENI, puede utilizar características de integración en red, como los registros de flujo de VPC, para monitorear el tráfico entrante y saliente de las tareas. Para obtener más información, consulte Registros de flujo de VPC en la Guía del usuario de Amazon VPC.

También puede aprovechar AWS PrivateLink. Puede configurar un punto de conexión de interfaz de VPC para poder acceder a las API de Amazon ECS a través de direcciones IP privadas. AWS PrivateLink restringe todo el tráfico de red entre su VPC y Amazon ECS a la red de Amazon. No necesita una gateway de Internet, un dispositivo NAT ni una gateway privada virtual. Para obtener más información, consulte Puntos de enlace de la VPC de interfaz de Amazon ECS (AWS PrivateLink).

El modo de red awsvpc también le permite utilizar Creación de reflejo de tráfico de Amazon VPC para la seguridad y la supervisión del tráfico de la red al utilizar tipos de instancias que no tienen ENI troncales conectados. Para obtener más información, consulte What is Traffic Mirroring? en la Guía de Creación de reflejo de tráfico de Amazon VPC.

Consideraciones para el modo awsvpc

  • Las tareas requieren el rol vinculado al servicio de Amazon ECS para la administración de ENI. Este rol se crea automáticamente al crear un clúster o servicio.

  • Amazon ECS administra las ENI de tareas, por lo que no se pueden separar ni modificar manualmente.

  • No se admite la asignación de una dirección IP pública a la ENI de la tarea mediante assignPublicIp al poner en marcha una tarea independiente (RunTask) o al crear o actualizar un servicio (CreateService/UpdateService).

  • Al configurar las redes de awsvpc por tarea, debe utilizar la misma VPC que especificó como parte de la plantilla de lanzamiento del proveedor de capacidad de Instancias administradas de Amazon ECS. Puede utilizar subredes y grupos de seguridad distintos de los especificados en la plantilla de lanzamiento.

  • Para las tareas en modo de red awsvpc, utilice el tipo de destino ip al configurar los grupos de destino del equilibrador de carga. Amazon ECS administra automáticamente el registro de grupos de destinos para los modos de red compatibles.

Utilización de una VPC en modo de pila doble

Cuando se utiliza una VPC en modo de pila doble, las tareas se pueden comunicar mediante IPv4, IPv6 o ambos. Las direcciones IPv4 e IPv6 son independientes entre sí. Por lo tanto, debe configurar el enrutamiento y la seguridad en su VPC por separado para IPv4 e IPv6. Para obtener más información acerca de cómo configurar la VPC para el modo de pila doble, consulte Migración a IPv6 en la Guía del usuario de Amazon VPC.

Si configuró la VPC con una puerta de enlace de Internet o una puerta de enlace de Internet de solo salida, puede utilizar la VPC en modo de pila doble. De este modo, las tareas a las que se les asigna una dirección IPv6 pueden acceder a Internet a través de una puerta de enlace de Internet o una puerta de enlace de Internet de solo salida. Las puertas de enlace NAT son opcionales. Para obtener más información, consulte Gateways de Internet y Gateways de Internet de solo salida en la Guía del usuario de Amazon VPC.

Se asigna una dirección IPv6 a las tareas de Amazon ECS si se cumplen las siguientes condiciones: