Considérations relatives au mode awsvpc Utilisation d'un VPC en mode double pile

Allocation d’une interface réseau pour les tâches sur les instances gérées Amazon ECS

L'utilisation du mode awsvpc réseau dans les instances gérées Amazon ECS simplifie la mise en réseau des conteneurs, car vous avez un meilleur contrôle sur la façon dont vos applications communiquent entre elles et avec les autres services au sein de votre entreprise VPCs. Le mode réseau awsvpc fournit également une sécurité accrue pour vos conteneurs en vous permettant d’utiliser des groupes de sécurité et des outils de surveillance réseau à un niveau plus détaillé dans les tâches ECS.

Par défaut, chaque instance d’instances gérées Amazon ECS possède une interface réseau Elastic (ENI) de jonction attachée lors du lancement en tant qu’ENI principale lorsque le type d’instance prend en charge la jonction. Pour plus d’informations sur les types d’instances qui prennent en charge la jonction ENI, consultez la section Instances prises en charge pour augmenter le nombre d’interfaces réseau de conteneurs Amazon ECS.

Note

Lorsque le type d'instance choisi ne prend pas en charge le trunk ENIs, l'instance sera lancée avec un ENI normal.

Chaque tâche exécutée sur l’instance reçoit sa propre ENI attachée à l’ENI de jonction, avec une adresse IP privée principale. Si votre VPC est configuré pour le mode double pile et que vous utilisez un sous-réseau avec un bloc IPv6 CIDR, l'ENI reçoit également une adresse. IPv6 Lorsque vous utilisez un sous-réseau public, vous pouvez éventuellement attribuer une adresse IP publique à l'ENI principal de l'instance gérée Amazon ECS en activant l'adressage IPv4 public pour le sous-réseau. Pour plus d’informations, consultez la section Modification des attributs d’adressage IP de votre sous-réseau dans le Guide de l’utilisateur Amazon VPC. Une tâche ne peut avoir qu'une seule ENI associée à la fois.

Les conteneurs qui appartiennent à la même tâche peuvent également communiquer via l'interface localhost. Pour plus d'informations sur les sous-réseaux VPCs et les sous-réseaux, consultez Comment fonctionne Amazon VPC dans le guide de l'utilisateur Amazon VPC

Les opérations suivantes utilisent l’ENI principale attachée à l’instance :

Téléchargements d’images : les images des conteneurs sont téléchargées depuis Amazon ECR via l’ENI principale.
Récupération des secrets : les secrets et autres informations d’identification de Secrets Manager sont récupérés via l’ENI principale.
Téléchargements de journaux - Les journaux sont téléchargés CloudWatch via l'ENI principal.
Téléchargements de fichiers d’environnement : les fichiers d’environnement sont téléchargés via l’ENI principale.

Le trafic de l’application passe par l’ENI de tâche.

Dans la mesure où chaque tâche obtient sa propre ENI, vous pouvez utiliser des fonctionnalités de mise en réseau telles que les journaux de flux VPC, que vous pouvez utiliser pour surveiller le trafic vers et depuis vos tâches. Pour plus d’informations, consultez Journaux de flux VPC dans le Guide de l’utilisateur Amazon VPC.

Vous pouvez également en profiter AWS PrivateLink. Vous pouvez configurer un point de terminaison d'interface VPC afin de pouvoir accéder à Amazon ECS APIs via des adresses IP privées. AWS PrivateLink restreint tout le trafic réseau entre votre VPC et Amazon ECS vers le réseau Amazon. Vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ni d'une passerelle privée virtuelle. Pour plus d’informations, consultez la section Points de terminaison de VPC d’interface Amazon ECS (AWS PrivateLink).

Le mode awsvpc réseau vous permet également de tirer parti d'Amazon VPC Traffic Mirroring à des fins de sécurité et de surveillance du trafic réseau lorsque vous utilisez des types d'instances auxquels aucune liaison de jonction n'est attachée. ENIs Pour plus d’informations, consultez la section Qu’est-ce que la mise en miroir du trafic ? dans le Guide de mise en miroir du trafic Amazon VPC.

Considérations relatives au mode `awsvpc`

Les tâches nécessitent le rôle lié au service Amazon ECS pour la gestion ENI. Ce rôle est automatiquement créé lorsque vous créez un cluster ou un service.
ENIs Les tâches sont gérées par Amazon ECS et ne peuvent pas être détachées ou modifiées manuellement.
L’attribution d’une adresse IP publique à l’ENI de tâche à l’aide de assignPublicIp lors de l’exécution d’une tâche autonome (RunTask) ou de la création ou de la mise à jour d’un service (CreateService/UpdateService) n’est pas prise en charge.
Lorsque vous configurez le réseau awsvpc au niveau des tâches, vous devez utiliser le même VPC que celui que vous avez spécifié dans le modèle de lancement du fournisseur de capacité d’instances gérées Amazon ECS. Vous pouvez utiliser des sous-réseaux et des groupes de sécurité différents de ceux spécifiés dans le modèle de lancement.
Pour les tâches en mode réseau awsvpc, utilisez le type de cible ip lors de la configuration des groupes cibles de l’équilibreur de charge. Amazon ECS gère automatiquement l’enregistrement des groupes cibles pour les modes réseau pris en charge.

Utilisation d'un VPC en mode double pile

Lorsque vous utilisez un VPC en mode double pile, vos tâches peuvent communiquer par ou IPv6 par IPv4 les deux. IPv4 et IPv6 les adresses sont indépendantes les unes des autres. Vous devez donc configurer le routage et la sécurité dans votre VPC séparément pour IPv4 et. IPv6 Pour plus d'informations sur la configuration de votre VPC pour le mode double pile, consultez la section Migration vers le guide de l'utilisateur IPv6 Amazon VPC.

Si vous avez configuré votre VPC avec une passerelle Internet ou une passerelle Internet sortante uniquement, vous pouvez utiliser votre VPC en mode double pile. Ainsi, les tâches auxquelles une IPv6 adresse est attribuée peuvent accéder à Internet par le biais d'une passerelle Internet ou d'une passerelle Internet de sortie uniquement. Les passerelles NAT sont facultatives. Pour plus d'informations, veuillez consulter les rubriques Passerelles Internet et Passerelle Internet en sortie uniquement dans le Guide de l'utilisateur Amazon VPC.

Une IPv6 adresse est attribuée aux tâches Amazon ECS si les conditions suivantes sont remplies :

L’instance gérée Amazon ECS qui héberge la tâche utilise la version 1.45.0 ou une version ultérieure de l’agent de conteneur. Pour plus d'informations sur la vérification de la version de l'agent utilisée par votre instance et la mise à jour si nécessaire, veuillez consulter Mise à jour de l'agent de conteneur Amazon ECS.
Le paramètre de compte dualStackIPv6 est activé. Pour de plus amples informations, veuillez consulter Accès aux fonctionnalités d’Amazon ECS avec les paramètres du compte.
Votre tâche utilise le mode réseau awsvpc.
Votre VPC et votre sous-réseau sont configurés pour. IPv6 La configuration inclut les interfaces réseau créées dans le sous-réseau spécifié. Pour plus d'informations sur la configuration de votre VPC pour le mode double pile, consultez la section Migration vers IPv6 et modification de l'attribut d' IPv6 adressage de votre sous-réseau dans le guide de l'utilisateur Amazon VPC.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Mise en réseau des tâches pour les instances gérées Amazon ECS

Mode réseau hôte