Arsitek untuk Instans Terkelola Amazon ECS - Amazon Elastic Container Service
MemulaiPenyedia kapasitasPemilihan dan pengoptimalan instansKetentuan tugasSistem operasi dan arsitektur CPUFitur utamaPeran IAMKeamanan dan kepatuhanJaringanPenyimpanan instansPenyeimbangan beban layananPemantauan dan observabilitasOptimalisasi harga dan biayaKuota layananPertimbangan migrasiPertimbangan dan batasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Arsitek untuk Instans Terkelola Amazon ECS

Instans Terkelola Amazon ECS adalah opsi komputasi yang dikelola sepenuhnya untuk Amazon ECS yang memungkinkan Anda menjalankan beban kerja kontainer pada berbagai jenis EC2 instans Amazon saat membongkar manajemen infrastruktur ke. AWS Dengan Instans Terkelola Amazon ECS, Anda dapat mengakses kemampuan komputasi tertentu seperti akselerasi GPU, arsitektur CPU tertentu, kinerja jaringan tinggi, dan jenis instans khusus, sambil AWS menangani penyediaan, penskalaan, penambalan, dan pemeliharaan infrastruktur yang mendasarinya.

Saat menggunakan Instans Terkelola Amazon ECS, Anda akan mengemas aplikasi dalam container dan menentukan persyaratan komputasi. AWS secara otomatis memilih jenis EC2 instans Amazon tujuan umum yang paling dioptimalkan biaya yang memenuhi kebutuhan beban kerja Anda, atau Anda dapat menentukan atribut instans yang diinginkan termasuk jenis instans, produsen CPU, dan akselerator. Instans Terkelola Amazon ECS sepenuhnya mengelola semua aspek infrastruktur termasuk, penskalaan, penambalan, dan pengoptimalan biaya - tanpa menukar akses ke kapabilitas AWS dan integrasi Amazon. EC2

Instans Terkelola Amazon ECS mendukung container Linux dengan pengoptimalan khusus platform dan konfigurasi keamanan. Secara default, Instans Terkelola Amazon ECS mengoptimalkan pemanfaatan infrastruktur dengan menempatkan beberapa tugas yang lebih kecil pada instans yang lebih besar, membantu mengurangi biaya dan meningkatkan waktu peluncuran tugas.

Topik ini menjelaskan berbagai komponen tugas dan layanan Instans Terkelola Amazon ECS, serta memberikan pertimbangan khusus untuk menggunakan Instans Terkelola Amazon ECS dengan Amazon ECS.

Memulai

Untuk memulai Instans Terkelola Amazon ECS, Anda membuat peran IAM yang diperlukan dan mengaktifkan Instans Terkelola Amazon ECS di akun Anda. AWS Kemudian Anda dapat membuat penyedia kapasitas dan meluncurkan tugas atau layanan menggunakan penyedia kapasitas Instans Terkelola Amazon ECS.

Untuk petunjuk rinci tentang memulai, lihat:

Penyedia kapasitas

Instans Terkelola Amazon ECS menggunakan penyedia kapasitas untuk mengelola kapasitas komputasi untuk beban kerja Anda. Anda dapat menggunakan penyedia kapasitas default atau membuat penyedia kapasitas khusus dengan persyaratan instans tertentu.

Opsi penyedia kapasitas berikut tersedia:

  • Penyedia kapasitas default - Secara otomatis memilih jenis instans tujuan umum yang paling dioptimalkan biaya untuk kebutuhan beban kerja Anda.

  • Penyedia kapasitas khusus - Memungkinkan Anda menentukan atribut instance menggunakan pemilihan tipe instans berbasis atribut, termasuk jumlah vCPU, memori, produsen CPU, tipe akselerator, dan jenis instans tertentu.

Strategi penyedia kapasitas hanya dapat berisi satu jenis penyedia kapasitas dari daftar berikut:

  • Instans yang Dikelola Amazon ECS

  • Grup EC2 Auto Scaling Amazon

  • Fargate/Fargate_spot

Pemilihan dan pengoptimalan instans

Amazon ECS memilih jenis instans untuk beban kerja Instans Terkelola Amazon ECS menggunakan salah satu metode berikut:

  • Pemilihan otomatis - Saat menggunakan penyedia kapasitas default, Amazon ECS secara otomatis memilih jenis instans tujuan umum yang paling dioptimalkan biaya yang memenuhi persyaratan CPU dan memori yang ditentukan dalam definisi tugas Anda.

  • Pilihan berbasis atribut - Saat menggunakan penyedia kapasitas khusus, Anda dapat menentukan atribut instance seperti jumlah vCPU, ukuran memori, produsen CPU, jenis akselerator, dan jenis instans tertentu. Amazon ECS memilih dari semua jenis instans yang cocok dengan atribut yang Anda tentukan.

Instans Terkelola Amazon ECS mengoptimalkan pemanfaatan infrastruktur dan biaya melalui beberapa mekanisme:

  • Penempatan multi-tugas - Secara default, Amazon ECS menempatkan beberapa tugas yang lebih kecil pada instans yang lebih besar untuk memaksimalkan pemanfaatan dan mengurangi biaya.

  • Konsolidasi beban kerja aktif - Amazon ECS mengidentifikasi kapan instans kontainer benar-benar menganggur saat mencoba menghindari penghentian prematur yang dapat memengaruhi ketersediaan aplikasi atau kinerja penerapan. Sistem menghormati jumlah tugas minimum dan maksimum yang ditetapkan untuk layanan, perilaku mulai sebelum berhenti, dan perilaku perlindungan tugas.

  • Ukuran kanan - Saat persyaratan beban kerja berubah, Amazon ECS meluncurkan instans pengganti yang ukurannya sesuai untuk kebutuhan saat ini.

Amazon ECS menggunakan jendela EC2 acara Amazon untuk menjadwalkan aktivitas pemeliharaan selama periode waktu yang Anda inginkan. Jendela acara memungkinkan Anda untuk menentukan periode waktu berulang ketika AWS dapat melakukan pemeliharaan pada instans Anda, membantu Anda meminimalkan gangguan pada beban kerja Anda dengan menyelaraskan pemeliharaan dengan jadwal operasional Anda. Untuk informasi selengkapnya, lihat Acara terjadwal untuk instans Anda di Panduan EC2 Pengguna Amazon.

Jika memerlukan isolasi yang kuat, Anda dapat mengonfigurasi Instans Terkelola Amazon ECS untuk menjalankan setiap tugas pada instans terpisah dengan batas isolasi keamanan tingkat VM.

Ketentuan tugas

Tugas yang menggunakan Instans Terkelola Amazon ECS mendukung sebagian besar parameter definisi tugas Amazon ECS. Instans Terkelola Amazon ECS kompatibel dengan definisi tugas Fargate yang ada menggunakan platform versi 1.4.0, sehingga memudahkan migrasi.

Untuk menggunakan Instans Terkelola Amazon ECS, setel parameter definisi requiresCompatibilities tugas untuk disertakan. MANAGED_INSTANCES Definisi tugas Anda dapat menentukan kompatibilitas Instans Terkelola Fargate dan Amazon ECS untuk fleksibilitas dalam opsi penerapan.

Sistem operasi dan arsitektur CPU

Sistem operasi berikut ini didukung:

  • Bottlerocket

Ada 2 arsitektur yang tersedia untuk definisi tugas Amazon ECS, ARM dan X86_64.

Saat menjalankan container Linux di Instans Terkelola Amazon ECS, Anda dapat menggunakan arsitektur CPU X86_64, atau arsitektur untuk aplikasi berbasis ARM64 ARM.

Fitur utama

Berikut ini adalah fitur utama Instans Terkelola Amazon ECS:

  • Pilih jenis EC2 instans tertentu untuk memenuhi persyaratan aplikasi Anda, memungkinkan akses ke kemampuan perangkat keras khusus seperti komputasi yang dipercepat GPU, kemampuan CPU spesifik, dan ukuran memori yang besar.

  • Optimalkan pemanfaatan dan biaya sumber daya dengan beberapa tugas pada satu instance secara default, tidak seperti Fargate yang menjalankan setiap tugas di lingkungan terisolasinya sendiri.

  • Pastikan kepatuhan keamanan dan penambalan rutin dengan masa pakai instans maksimum 14 hari, setelah itu tugas dimigrasikan secara otomatis ke instans baru.

  • Aktifkan fungsi jaringan dan administrasi sistem tingkat lanjut dalam wadah menggunakan kemampuan Linux istimewa, termasuk CAP_NET_ADMIN, CAP_SYS_ADMIN, dan CAP_BPF.

Peran IAM

Instans Terkelola Amazon ECS memerlukan dua peran IAM:

  • Peran Infrastruktur: Peran ini memungkinkan AWS untuk mengelola Instans Terkelola Amazon ECS atas nama Anda.

  • Profil instans: Profil instans adalah cara untuk meneruskan peran IAM ke Instans Terkelola Amazon ECS. Profil ini digunakan untuk:

    • Tentukan izin IAM untuk Instans Terkelola Amazon ECS yang menjalankan beban kerja penampung Anda.

    • Izinkan AWS untuk mengelola instans ini atas nama Anda.

    • Aktifkan instance untuk mengakses AWS layanan sesuai dengan izin yang ditentukan dalam profil.

Keamanan dan kepatuhan

Instans Terkelola Amazon ECS mengimplementasikan beberapa lapisan keamanan untuk melindungi beban kerja Anda:

  • Konfigurasi aman - Instans Terkelola Amazon ECS mengikuti praktik terbaik AWS keamanan termasuk tidak ada akses SSH, sistem file root yang tidak dapat diubah, dan kontrol akses wajib tingkat kernel melalui. SELinux

  • Penambalan otomatis - memperbarui Instans Terkelola Amazon ECS AWS secara berkala dengan tambalan keamanan terbaru, dengan memperhatikan jendela pemeliharaan yang Anda konfigurasikan.

  • Masa pakai instans terbatas - Masa pakai maksimum instans yang sedang berjalan adalah 14 hari, memastikan aplikasi Anda berjalan pada instance yang dikonfigurasi dengan tepat dengan patch up-to-date keamanan.

  • Kemampuan istimewa - Anda dapat secara opsional mengaktifkan kemampuan Linux istimewa untuk beban kerja yang memerlukannya, seperti pemantauan jaringan dan solusi observabilitas.

Instans Terkelola Amazon ECS mendukung program kepatuhan yang sama dengan Amazon ECS, termasuk PCI-DSS, HIPAA, dan FedRAMP. Di wilayah yang didukung, Instans Terkelola Amazon ECS menghormati setelan titik akhir FIPS tingkat akun Anda untuk membantu mencapai kepatuhan FedRAMP.

Jaringan

Instans Terkelola Amazon ECS mendukung mode awsvpc dan host jaringan. Mode awsvpc jaringan menyediakan setiap tugas dengan elastic network interface sendiri dan alamat IP pribadi dalam VPC Anda. Ini memungkinkan grup keamanan berbutir halus dan kontrol ACL jaringan di tingkat tugas. Dalam mode host jaringan, tugas berbagi namespace jaringan Instans Terkelola Amazon ECS host. Untuk informasi selengkapnya tentang jaringan tugas di Instans Terkelola Amazon ECS, lihat. Jaringan tugas Amazon ECS untuk Instans Terkelola Amazon ECS

Penyimpanan instans

Instans Terkelola Amazon ECS mendukung konfigurasi ukuran volume data Amazon EBS yang dilampirkan ke instans. Penyimpanan ini dibagi antara semua tugas yang berjalan pada instance dan dapat digunakan untuk mengikat gundukan. Volume dapat dibagi dan dipasang di antara kontainer yang menggunakan volumesmountPoint,, dan volumesFrom parameter dalam definisi tugas.

Volume dilampirkan selama pembuatan instance. Anda dapat menentukan ukuran volume, di GiB, saat membuat penyedia kapasitas Instans Terkelola Amazon ECS dengan menggunakan parameter. storageConfiguration

{
...

    "managedInstancesProvider": {
        "infrastructureRoleArn": "arn:aws:iam::123456789012:role/ecsInfrastructureRole",
        "instanceLaunchTemplate": {
            "ec2InstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceProfile",
            "networkConfiguration": {
                "subnets": [
                    "subnet-abcdef01234567",
                    "subnet-bcdefa98765432"
                ],
                "securityGroups": [ 
                    "sg-0123456789abcdef"
                ]
            },
            "storageConfiguration": {
                "storageSizeinGiB" : 100

            }
        }
    }
 ... 
}

Ukuran minimum volume ini adalah 30 GiB dan ukuran maksimum adalah 16.384 GiB. Secara default, ukuran volume ini adalah 80 GiB.

Gambar wadah yang ditarik, dikompresi, dan tidak terkompresi untuk tugas disimpan dalam volume. Untuk menentukan jumlah total penyimpanan instans yang harus digunakan tugas Anda sebagai bind mount, Anda harus mengurangi jumlah penyimpanan yang digunakan image kontainer dari jumlah total penyimpanan instans yang dialokasikan tugas Anda.

Performa volume Amazon EBS yang dilampirkan ke Instans Terkelola Amazon ECS cocok dengan kinerja instans Amazon terkait, seperti yang diuraikan dalam dokumentasi EC2 instans Amazon yang dioptimalkan EBS di Panduan Pengguna Amazon. EC2

Anda dapat membuat snapshot volume untuk melakukan analisis forensik masalah keamanan atau untuk men-debug aplikasi Anda. Untuk informasi selengkapnya tentang membuat snapshot volume Amazon EBS, lihat snapshot Amazon EBS di Panduan Pengguna Amazon EBS. Jika Anda mengaktifkan enkripsi Amazon EBS secara default, volume akan dienkripsi dengan AWS KMS kunci yang ditentukan untuk enkripsi secara default. Untuk informasi selengkapnya tentang enkripsi secara default, lihat Mengaktifkan enkripsi Amazon EBS secara default di Panduan Pengguna Amazon EBS.

Selain menggunakan volume data yang dilampirkan ke instans, Anda juga dapat mengonfigurasi volume data untuk setiap tugas yang berjalan di Instans Terkelola Amazon ECS. Untuk informasi selengkapnya tentang opsi penyimpanan tingkat tugas yang tersedia, lihat. Opsi penyimpanan untuk tugas Amazon ECS

Penyeimbangan beban layanan

Layanan Amazon ECS Anda yang menggunakan Instans Terkelola Amazon ECS dapat dikonfigurasi untuk menggunakan ELB untuk mendistribusikan lalu lintas secara merata di seluruh tugas dalam layanan Anda.

Layanan Amazon ECS di Instans Terkelola Amazon ECS mendukung jenis penyeimbang beban Application Load Balancer, Network Load Balancer, dan Gateway Load Balancer. Application Load Balancers merutekan lalu lintas HTTP/HTTPS (lapisan 7), sedangkan Network Load Balancers merutekan lalu lintas TCP atau UDP (layer 4).

Ketika Anda membuat grup target untuk layanan ini, Anda harus memilih ip sebagai tipe target, bukan instance. Ini karena tugas yang menggunakan mode awsvpc jaringan dikaitkan dengan elastic network interface, tidak langsung dengan EC2 instance Amazon.

Pemantauan dan observabilitas

Instans Terkelola Amazon ECS menyediakan kemampuan pemantauan komprehensif melalui CloudWatch metrik dan integrasi dengan alat observabilitas:

  • CloudWatch metrik - Memantau pemanfaatan CPU, memori, jaringan, dan penyimpanan di tingkat tugas dan instans.

  • Wawasan Kontainer - Dapatkan metrik dan log kinerja terperinci untuk aplikasi kontainer Anda.

  • Integrasi pihak ketiga - Dengan kemampuan istimewa yang diaktifkan, Anda dapat menjalankan solusi pemantauan dan observabilitas lanjutan yang memerlukan izin Linux yang ditingkatkan.

Optimalisasi harga dan biaya

Dengan Instans Terkelola Amazon ECS, Anda ditagih untuk seluruh EC2 instans Amazon yang menjalankan tugas Anda. Harga tergantung pada jenis instans yang dipilih untuk beban kerja Anda.

Instans Terkelola Amazon ECS menyediakan beberapa fitur pengoptimalan biaya:

  • Pengoptimalan multi-tugas - Maksimalkan pemanfaatan instans dengan menjalankan beberapa tugas pada instance berukuran tepat.

Compute and Instance Savings Plans Anda juga berlaku untuk beban kerja Instans Terkelola Amazon ECS.

Kuota layanan

Beban kerja Instans Terkelola Amazon ECS tunduk pada kuota layanan instans Amazon EC2 On-Demand Anda. Layanan Amazon ECS Anda yang menggunakan Instans Terkelola Amazon ECS tunduk pada kuota layanan Amazon ECS.

Untuk informasi lebih lanjut tentang kuota layanan, lihat:

Pertimbangan migrasi

Migrasi ke Instans Terkelola Amazon ECS sangat mudah untuk sebagian besar beban kerja:

  • Dari Fargate - Hanya membutuhkan perubahan dan pemindahan konfigurasi penyedia kapasitas. Definisi tugas yang ada menggunakan platform versi 1.4.0 sepenuhnya kompatibel.

  • Dari EC2 - Mirip dengan migrasi ke Fargate, tetapi Anda tetap memiliki akses ke kemampuan EC2 Amazon seperti jenis instans tertentu.

Pertimbangkan hal berikut saat merencanakan migrasi Anda:

  • Aplikasi harus mentolerir masa pakai instans maksimum 14 hari dan jendela pemeliharaan yang direncanakan.

  • Tugas yang berjalan lama (melebihi 14 hari) tidak cocok untuk Instans Terkelola Amazon ECS.

  • Kustom tidak AMIs didukung - Instans Terkelola Amazon ECS menggunakan AWS-managed, dioptimalkan keamanan. AMIs

Pertimbangan dan batasan

Batasan berikut berlaku untuk Instans Terkelola Amazon ECS:

  • Custom AMIs - AMI dimiliki dan dikelola oleh AWS

  • Masa pakai instans - Runtime maksimum 14 hari per instans untuk memastikan patching dan kepatuhan keamanan.

  • Akses SSH - Tidak tersedia untuk alasan keamanan. Gunakan Amazon ECS Exec untuk debugging dan pemecahan masalah. Operasi manajemen APIs hanya melalui Amazon ECS.

  • Service Connect tidak tersedia untuk layanan yang berjalan di Instans Terkelola Amazon ECS.