# Asignación de una interfaz de red para tareas en instancias administradas de Amazon ECS
Con el modo de red de `awsvpc` en instancias administradas de Amazon ECS se simplifican las redes de contenedores, porque proporciona mayor control sobre la comunicación de las aplicaciones entre sí y con los demás servicios de las VPC. El modo de red `awsvpc` también proporciona mayor seguridad para los contenedores, ya que permite utilizar grupos de seguridad y herramientas de supervisión de red de forma más pormenorizada dentro de las tareas.
De manera predeterminada, cada instancia de instancias administradas de Amazon ECS tiene una interfaz de red elástica (ENI) troncal conectada durante el lanzamiento como ENI principal cuando el tipo de instancia admite el enlace troncal. Para obtener más información acerca de los tipos de instancias que admiten el enlace troncal de ENI, consulte [Instancias admitidas para un aumento de las interfaces de red de contenedores de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/eni-trunking-supported-instance-types.html).
**nota**
Si el tipo de instancia elegido no admite las ENI troncales, la instancia se lanzará con una ENI normal.
Cada tarea que se pone en marcha en la instancia recibe su propio ENI adjunto al ENI troncal, con una dirección IP privada principal. Si la VPC está configurada para el modo de pila doble y utiliza una subred con un bloque de CIDR IPv6, la ENI también recibe una dirección IPv6. Al utilizar una subred pública, es posible asignar, de manera opcional, una dirección IP pública a la ENI principal de Amazon ECS Managed Instance. Para ello, se habilita el direccionamiento público IPv4 para la subred. Para obtener más información, consulte [Modificación de los atributos de las direcciones IP de sus subredes](https://docs.aws.amazon.com//vpc/latest/userguide/subnet-public-ip.html) de la *Guía del usuario de Amazon VPC*. Una tarea solo puede tener una ENI asociada a ella por vez.
Los contenedores que pertenecen a la misma tarea también pueden comunicarse a través de la interfaz `localhost`. Para obtener más información acerca de las VPC y subredes, consulte [Funcionamiento de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html) en la *Guía del usuario de Amazon VPC*.
Las operaciones siguientes utilizan la ENI principal adjunto a la instancia:
+ **Descargas de imágenes**: las imágenes de los contenedores se descargan de Amazon ECR a través de la ENI principal.
+ **Recuperación de secretos**: los secretos y otras credenciales de Secrets Manager se recuperan a través de la ENI principal.
+ **Cargas de registros:** los registros se cargan en CloudWatch a través de la ENI principal.
+ **Descargas de archivos de entorno**: los archivos de entorno se descargan a través de la ENI principal.
El tráfico de aplicaciones fluye a través de la ENI de tareas.
Dado que cada tarea obtiene su propia ENI, puede utilizar características de integración en red, como los registros de flujo de VPC, para monitorear el tráfico entrante y saliente de las tareas. Para obtener más información, consulte [Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) en la *Guía del usuario de Amazon VPC*.
También puede aprovechar AWS PrivateLink. Puede configurar un punto de conexión de interfaz de VPC para poder acceder a las API de Amazon ECS a través de direcciones IP privadas. AWS PrivateLink restringe todo el tráfico de red entre su VPC y Amazon ECS a la red de Amazon. No necesita una gateway de Internet, un dispositivo NAT ni una gateway privada virtual. Para obtener más información, consulte [Puntos de enlace de la VPC de interfaz de Amazon ECS (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html).
El modo de red `awsvpc` también le permite utilizar Creación de reflejo de tráfico de Amazon VPC para la seguridad y la supervisión del tráfico de la red al utilizar tipos de instancias que no tienen ENI troncales conectados. Para obtener más información, consulte [What is Traffic Mirroring?](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) en la *Guía de Creación de reflejo de tráfico de Amazon VPC*.
## Consideraciones para el modo `awsvpc`
+ Las tareas requieren el rol vinculado al servicio de Amazon ECS para la administración de ENI. Este rol se crea automáticamente al crear un clúster o servicio.
+ Amazon ECS administra las ENI de tareas, por lo que no se pueden separar ni modificar manualmente.
+ No se admite la asignación de una dirección IP pública a la ENI de la tarea mediante `assignPublicIp` al poner en marcha una tarea independiente (`RunTask`) o al crear o actualizar un servicio (`CreateService`/`UpdateService`).
+ Al configurar las redes de `awsvpc` por tarea, debe utilizar la misma VPC que especificó como parte de la plantilla de lanzamiento del proveedor de capacidad de instancias administradas de Amazon ECS. Puede utilizar subredes y grupos de seguridad distintos de los especificados en la plantilla de lanzamiento.
+ Para las tareas en modo de red `awsvpc`, utilice el tipo de destino `ip` al configurar los grupos de destino del equilibrador de carga. Amazon ECS administra automáticamente el registro de grupos de destinos para los modos de red compatibles.
## Utilización de una VPC en modo de pila doble
Cuando se utiliza una VPC en modo de pila doble, las tareas se pueden comunicar mediante IPv4, IPv6 o ambos. Las direcciones IPv4 e IPv6 son independientes entre sí. Por lo tanto, debe configurar el enrutamiento y la seguridad en su VPC por separado para IPv4 e IPv6. Para obtener más información acerca de cómo configurar la VPC para el modo de pila doble, consulte [Migración a IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) en la *Guía del usuario de Amazon VPC*.
Si configuró la VPC con una puerta de enlace de Internet o una puerta de enlace de Internet de solo salida, puede utilizar la VPC en modo de pila doble. De este modo, las tareas a las que se les asigna una dirección IPv6 pueden acceder a Internet a través de una puerta de enlace de Internet o una puerta de enlace de Internet de solo salida. Las puertas de enlace NAT son opcionales. Para obtener más información, consulte [Gateways de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) y [Gateways de Internet de solo salida](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html) en la *Guía del usuario de Amazon VPC*.
Se asigna una dirección IPv6 a las tareas de Amazon ECS si se cumplen las siguientes condiciones:
+ La instancia de instancias administradas de Amazon ECS que aloja la tarea utiliza la versión `1.45.0` del agente de contenedor o una posterior. Para obtener información sobre cómo comprobar la versión del agente que está utilizando la instancia y actualizarla si es necesario, consulte [Actualización del agente de contenedor de Amazon ECS](ecs-agent-update.md).
+ La configuración de cuenta `dualStackIPv6` está habilitada. Para obtener más información, consulte [Acceso a las características de Amazon ECS con la configuración de la cuenta](ecs-account-settings.md).
+ Su tarea está utilizando el modo de red `awsvpc`.
+ La VPC y la subred están configuradas para IPv6. La configuración incluye las interfaces de red creadas en la subred especificada. Para obtener más información sobre cómo configurar la VPC para el modo de pila doble, consulte [Migración a IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) y [Modificación del atributo de direcciones IPv6 de su subred](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-ipv6) en la *Guía del usuario de Amazon VPC*.