FAQ sur Amazon ECS sur Fargate dans AWS Managed Services

Utilisez AMS SSP pour approvisionner Amazon ECS sur AWS Fargate votre compte AMS

Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Fargate fonctionnalités d'Amazon ECS directement depuis votre compte géré AMS. AWS Fargate est une technologie que vous pouvez utiliser avec Amazon ECS pour exécuter des conteneurs (voir Containers on AWS) sans avoir à gérer des serveurs ou des clusters d' EC2 instances Amazon. Ainsi AWS Fargate, vous n'avez plus besoin de provisionner, de configurer ou de dimensionner des clusters de machines virtuelles pour exécuter des conteneurs. Vous n'avez plus à choisir de types de serveurs, décider quand mettre à l'échelle vos clusters ni optimiser les packs de clusters.

Pour en savoir plus, consultez Amazon ECS sur AWS Fargate.

FAQ sur Amazon ECS sur Fargate dans AWS Managed Services

Q : Comment puis-je demander l'accès à Amazon ECS sur Fargate depuis mon compte AMS ?

Demandez l'accès à Amazon ECS sur Fargate en soumettant une RFC avec le type de modification Management AWS | service | Self-provisioned service | Add (ct-1w8z66n899dct). Cette RFC fournit les rôles IAM suivants à votre compte : customer_ecs_fargate_console_role (si aucun rôle IAM existant n'est fourni pour associer la politique ECS),, customer_ecs_fargate_events_service_rolecustomer_ecs_task_execution_service_role, customer_ecs_codedeploy_service_role et. AWSServiceRoleForApplicationAutoScaling_ECSService Une fois les rôles configurés dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.

Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon ECS sur Fargate dans mon compte AMS ?

La surveillance et la journalisation des tâches Amazon ECS sont considérées comme relevant de votre responsabilité, car les activités au niveau du conteneur se déroulent au-dessus de l'hyperviseur et les capacités de journalisation sont limitées par Amazon ECS on Fargate. En tant qu'utilisateur d'Amazon ECS sur Fargate, nous vous recommandons de prendre les mesures nécessaires pour activer la journalisation de vos tâches Amazon ECS. Pour plus d'informations, consultez Activer le pilote de journal awslogs pour vos conteneurs.
La sécurité et la protection contre les programmes malveillants au niveau du conteneur sont également considérées comme relevant de votre responsabilité. Amazon ECS on Fargate n'inclut pas Trend Micro ni les composants de sécurité réseau préconfigurés.
Ce service est disponible pour les comptes AMS de zone d'atterrissage à comptes multiples et de zone d'atterrissage à compte unique.
Amazon ECS Service Discovery est limité par défaut dans le rôle d'auto-provisionnement, car des autorisations élevées sont requises pour créer des zones hébergées privées Route 53. Pour activer Service Discovery sur un service, soumettez un type de modification Gestion | Autre | Autre | Mise à jour. Pour fournir les informations requises pour activer Service Discovery pour votre service Amazon ECS, consultez le manuel Service Discovery.
AMS ne gère ni ne limite actuellement les images utilisées pour le déploiement dans des conteneurs sur Amazon ECS Fargate. Vous pourrez déployer des images depuis Amazon ECR, Docker Hub ou tout autre référentiel d'images privé. Par conséquent, nous vous conseillons de ne pas déployer d'images publiques ou non sécurisées, car elles peuvent entraîner une activité malveillante sur le compte.

Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon ECS sur Fargate dans mon compte AMS ?

Les dépendances d'Amazon ECS par rapport à Fargate sont les suivantes ; toutefois, aucune action supplémentaire n'est requise pour activer ces services avec votre rôle d'auto-approvisionnement :
- CloudWatch journaux
- CloudWatch événements
- CloudWatch alarmes
- CodeDeploy
- App Mesh
- Cloud Map
- Route 53
Selon votre cas d'utilisation, les ressources suivantes sont celles sur lesquelles Amazon ECS s'appuie et peut avoir besoin avant d'utiliser Amazon ECS sur Fargate dans votre compte :
- Groupe de sécurité à utiliser avec le service Amazon ECS. Vous pouvez utiliser le module Déploiement | Composants de pile avancés | Groupe de sécurité | Créer (auto) (ct-3pc215bnwb6p7) ou, si votre groupe de sécurité nécessite des règles spéciales, utiliser Déploiement | Composants de pile avancés | Groupe de sécurité | Créer (révision requise) (ct-1oxx2g2d7hc90). Remarque : Le groupe de sécurité que vous sélectionnez avec Amazon ECS doit être créé spécifiquement pour Amazon ECS où réside le service ou le cluster Amazon ECS. Pour en savoir plus, consultez la section Groupe de sécurité sur Configuration avec Amazon ECS et sécurité dans Amazon Elastic Container Service.
- Équilibreur de charge d'application (ALB), équilibreur de charge réseau (NLB), équilibreur de charge classique (ELB) pour l'équilibrage de charge entre les tâches.
- Groupes cibles pour ALBs.
- Ressources de maillage d'applications (par exemple, routeurs virtuels, services virtuels, nœuds virtuels) à intégrer à votre cluster Amazon ECS.
À l'heure actuelle, AMS n'a aucun moyen d'atténuer automatiquement les risques associés à la prise en charge des autorisations des groupes de sécurité lorsqu'ils sont créés en dehors des types de modifications AMS standard. Nous vous recommandons de demander un groupe de sécurité spécifique à utiliser avec votre cluster Fargate afin de limiter la possibilité d'utiliser un groupe de sécurité non conçu pour être utilisé avec Amazon ECS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

EC2 Image Builder

Amazon EKS sur AWS Fargate