Opsi jaringan tugas Amazon ECS untuk Fargate - Amazon Elastic Container Service
Pertimbangan-pertimbanganMenggunakan VPC dalam mode tumpukan dobelMenggunakan VPC dalam IPv6 mode -only

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Opsi jaringan tugas Amazon ECS untuk Fargate

Secara default, setiap tugas Amazon ECS di Fargate disediakan elastic network interface (ENI) dengan alamat IP pribadi utama. Saat menggunakan subnet publik, Anda dapat secara opsional menetapkan alamat IP publik ke ENI tugas. Jika VPC Anda dikonfigurasi untuk mode dual-stack dan Anda menggunakan subnet dengan blok IPv6 CIDR, ENI tugas Anda juga menerima alamat. IPv6 Sebuah tugas hanya dapat memiliki satu ENI yang terkait dengannya pada satu waktu. Wadah yang termasuk dalam tugas yang sama juga dapat berkomunikasi melalui localhost antarmuka. Untuk informasi selengkapnya tentang VPCs dan subnet, lihat Cara kerja Amazon VPC di Panduan Pengguna Amazon VPC.

Untuk tugas di Fargate untuk menarik gambar kontainer, tugas harus memiliki rute ke internet. Berikut ini menjelaskan bagaimana Anda dapat memverifikasi bahwa tugas Anda memiliki rute ke internet.

  • Saat menggunakan subnet publik, Anda dapat menetapkan alamat IP publik ke ENI tugas.

  • Saat menggunakan subnet privat, subnet bisa memiliki lampiran gateway NAT.

  • Saat menggunakan gambar kontainer yang di-host di Amazon ECR, Anda dapat mengonfigurasi Amazon ECR untuk menggunakan titik akhir VPC antarmuka dan penarikan gambar terjadi di atas alamat pribadi tugas. IPv4 Untuk informasi selengkapnya, lihat Antarmuka Amazon ECR VPC endpoint AWS PrivateLink() di Panduan Pengguna Amazon Elastic Container Registry.

Karena setiap tugas mendapatkan ENI sendiri, Anda dapat menggunakan fitur jaringan seperti VPC Flow Logs, yang dapat Anda gunakan untuk memantau lalu lintas ke dan dari tugas Anda. Untuk informasi selengkapnya, lihat Log Alur VPC di Panduan Pengguna Amazon VPC.

Anda juga bisa memanfaatkannya AWS PrivateLink. Anda dapat mengonfigurasi titik akhir antarmuka VPC sehingga Anda dapat mengakses Amazon ECS APIs melalui alamat IP pribadi. AWS PrivateLink membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon ECS ke jaringan Amazon. Anda tidak memerlukan sebuah gateway internet, perangkat NAT, atau gateway privat virtual. Untuk informasi selengkapnya, lihat Titik akhir AWS PrivateLink VPC antarmuka Amazon ECS ().

Untuk contoh cara menggunakan NetworkConfiguration sumber daya CloudFormation, lihatCloudFormation contoh template untuk Amazon ECS.

ENIs Yang dibuat sepenuhnya dikelola oleh AWS Fargate. Selain itu, ada kebijakan IAM terkait yang digunakan untuk memberikan izin untuk Fargate. Untuk tugas yang menggunakan versi platform Fargate 1.4.0 atau yang lebih baru, tugas menerima ENI tunggal (disebut sebagai tugas ENI) dan semua lalu lintas jaringan mengalir melalui ENI tersebut dalam VPC Anda. Lalu lintas ini direkam dalam log aliran VPC Anda. Untuk tugas yang menggunakan versi platform Fargate 1.3.0 dan sebelumnya, selain tugas ENI, tugas juga menerima ENI milik Fargate terpisah, yang digunakan untuk beberapa lalu lintas jaringan yang tidak terlihat di log aliran VPC. Tabel berikut menjelaskan perilaku lalu lintas jaringan dan kebijakan IAM yang diperlukan untuk setiap versi platform.

Tindakan Arus lalu lintas dengan versi platform Linux 1.3.0 dan sebelumnya Arus lalu lintas dengan versi platform Linux 1.4.0 Arus lalu lintas dengan versi platform Windows 1.0.0 Izin IAM
Mengambil kredensyal login Amazon ECR Fargate dimiliki ENI ENI tugas ENI tugas Peran IAM eksekusi tugas
Tarikan citra ENI tugas ENI tugas ENI tugas Peran IAM eksekusi tugas
Mengirim log melalui driver log ENI tugas ENI tugas ENI tugas Peran IAM eksekusi tugas
Mengirim log melalui FireLens Amazon ECS ENI tugas ENI tugas ENI tugas Peran IAM tugas
Mengambil rahasia dari Secrets Manager atau Systems Manager Fargate dimiliki ENI ENI tugas ENI tugas Peran IAM eksekusi tugas
Lalu lintas sistem file Amazon EFS Tidak tersedia ENI tugas ENI tugas Peran IAM tugas
Lalu lintas aplikasi ENI tugas ENI tugas ENI tugas Peran IAM tugas

Pertimbangan-pertimbangan

Pertimbangkan hal berikut saat menggunakan jaringan tugas.

  • Peran terkait layanan Amazon ECS diperlukan untuk memberi Amazon ECS izin untuk melakukan panggilan ke layanan lain AWS atas nama Anda. Peran ini dibuat untuk Anda ketika Anda membuat klaster atau jika Anda membuat atau memperbarui layanan di Konsol Manajemen AWS. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon ECS. Anda juga dapat membuat peran terkait layanan menggunakan perintah berikut AWS CLI .

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Amazon ECS mengisi nama host tugas dengan nama host DNS yang disediakan Amazon saat enableDnsSupport opsi enableDnsHostnames dan opsi diaktifkan di VPC Anda. Jika opsi ini tidak diaktifkan, nama host DNS tugas disetel ke nama host acak. Untuk informasi selengkapnya tentang pengaturan DNS untuk VPC, lihat Menggunakan DNS dengan VPC Anda di Panduan Pengguna Amazon VPC.

  • Anda hanya dapat menentukan hingga 16 subnet dan 5 grup keamanan untukawsVpcConfiguration. Untuk informasi selengkapnya, lihat AwsVpcConfigurationdi Referensi API Amazon Elastic Container Service.

  • Anda tidak dapat secara manual melepaskan atau memodifikasi ENIs yang dibuat dan dilampirkan oleh Fargate. Ini untuk mencegah penghapusan ENI yang tidak disengaja yang terkait dengan tugas yang sedang berjalan. Untuk melepaskan tugas, hentikan tugas. ENIs

  • Jika subnet VPC diperbarui untuk mengubah set opsi DHCP yang digunakannya, Anda juga tidak dapat menerapkan perubahan ini ke tugas yang ada yang menggunakan VPC. Mulai tugas baru, yang akan menerima pengaturan baru untuk bermigrasi dengan lancar saat menguji perubahan baru dan kemudian menghentikan yang lama, jika tidak diperlukan rollback.

  • Berikut ini berlaku untuk tugas yang dijalankan pada versi platform Fargate 1.4.0 atau yang lebih baru untuk Linux atau 1.0.0 untuk Windows. Tugas yang diluncurkan dalam subnet dual-stack menerima IPv4 alamat dan alamat. IPv6 Tugas yang diluncurkan di subnet IPv6 -only hanya menerima alamat. IPv6

  • Untuk tugas yang menggunakan versi platform 1.4.0 atau yang lebih baru untuk Linux atau 1.0.0 Windows, tugas ENIs mendukung bingkai jumbo. Antarmuka jaringan dikonfigurasi dengan unit transmisi maksimum (MTU), yang merupakan ukuran muatan terbesar yang muat dalam satu frame. Semakin besar MTU, semakin banyak muatan aplikasi yang termuat dalam satu frame, yang mengurangi overhead per frame dan meningkatkan efisiensi. Mendukung bingkai jumbo mengurangi overhead saat jalur jaringan antara tugas Anda dan tujuan mendukung bingkai jumbo.

  • Layanan dengan tugas yang menggunakan Fargate hanya mendukung Application Load Balancer dan Network Load Balancer. Classic Load Balancer tidak didukung. Saat Anda membuat grup target apa pun, Anda harus memilih ip sebagai jenis target, bukaninstance. Untuk informasi selengkapnya, lihat Menggunakan penyeimbangan beban untuk mendistribusikan lalu lintas layanan Amazon ECS.

Menggunakan VPC dalam mode tumpukan dobel

Saat menggunakan VPC dalam mode dual-stack, tugas Anda dapat berkomunikasi melalui IPv4 atau, atau IPv6 keduanya. IPv4 dan IPv6 alamat independen satu sama lain dan Anda harus mengonfigurasi perutean dan keamanan di VPC Anda secara terpisah IPv4 untuk dan. IPv6 Untuk informasi selengkapnya tentang mengonfigurasi VPC Anda untuk mode tumpukan ganda, lihat Memigrasi ke IPv6 dalam Panduan Pengguna VPC Amazon.

Jika kondisi berikut terpenuhi, tugas Amazon ECS di Fargate diberi IPv6 alamat:

  • Setelan dualStackIPv6 akun Amazon ECS Anda diaktifkan (enabled) untuk prinsipal IAM yang meluncurkan tugas Anda di Wilayah tempat Anda meluncurkan tugas. Pengaturan ini hanya dapat dimodifikasi menggunakan API atau AWS CLI. Anda memiliki opsi untuk mengaktifkan pengaturan ini untuk prinsipal IAM tertentu di akun Anda atau untuk seluruh akun Anda dengan menetapkan pengaturan default akun Anda. Untuk informasi selengkapnya, lihat Akses fitur Amazon ECS dengan pengaturan akun.

  • VPC dan subnet Anda diaktifkan untuk. IPv6 Untuk informasi selengkapnya tentang cara mengonfigurasi VPC Anda untuk mode tumpukan ganda, lihat Memigrasi ke dalam Panduan Pengguna VPC IPv6 Amazon.

  • Subnet Anda diaktifkan untuk alamat penetapan otomatis IPv6 . Untuk informasi selengkapnya tentang cara mengonfigurasi subnet, lihat Memodifikasi atribut IPv6 pengalamatan untuk subnet Anda di Panduan Pengguna Amazon VPC.

  • Tugas atau layanan menggunakan versi platform Fargate 1.4.0 atau yang lebih baru untuk Linux.

Tugas Amazon ECS di Fargate yang berjalan di VPC dalam mode dual-stack IPv4 memerlukan (0.0.0.0/0) rute ke gateway internet atau gateway NAT. Untuk informasi lebih lanjut, lihat Gateway internet di Panduan Pengguna Amazon VPC.

Menggunakan VPC dalam IPv6 mode -only

Dalam konfigurasi IPv6 -only, tugas Amazon ECS Anda berkomunikasi secara eksklusif. IPv6 Untuk mengatur VPCs dan subnet untuk konfigurasi IPv6 -only, Anda harus menambahkan blok IPv6 CIDR ke VPC dan membuat subnet yang hanya menyertakan blok CIDR. IPv6 Untuk informasi selengkapnya, lihat IPv6 Menambahkan dukungan untuk VPC Anda dan Membuat subnet di Panduan Pengguna Amazon VPC. Anda juga harus memperbarui tabel rute dengan IPv6 target dan mengonfigurasi grup keamanan dengan IPv6 aturan. Untuk informasi selengkapnya, lihat Mengonfigurasi tabel rute dan Mengonfigurasi aturan grup keamanan di Panduan Pengguna Amazon VPC.

Pertimbangan berikut berlaku untuk instans Mac:

  • Anda dapat memperbarui layanan Amazon ECS IPv4 -only atau dualstack ke IPv6 konfigurasi -only dengan memperbarui layanan secara langsung untuk IPv6 menggunakan subnet -only atau dengan membuat layanan IPv6 paralel -only dan menggunakan penerapan biru-hijau Amazon ECS untuk mengalihkan lalu lintas ke layanan baru. Untuk informasi selengkapnya tentang penerapan biru-hijau Amazon ECS, lihat. Penerapan Amazon ECS blue/green

  • Layanan Amazon ECS IPv6 khusus harus menggunakan penyeimbang beban dualstack dengan grup target. IPv6 Jika Anda memigrasikan layanan Amazon ECS yang ada di belakang Application Load Balancer atau Network Load Balancer, Anda dapat membuat penyeimbang beban dualstack baru dan mengalihkan lalu lintas dari penyeimbang beban lama, atau memperbarui jenis alamat IP penyeimbang beban yang ada.

    Untuk informasi selengkapnya tentang Network Load Balancer, lihat Membuat Network Load Balancer dan Memperbarui jenis alamat IP untuk Network Load Balancer di Panduan Pengguna untuk Network Load Balancer. Untuk informasi selengkapnya tentang Application Load Balancer, lihat Membuat Application Load Balancer dan Memperbarui jenis alamat IP untuk Application Load Balancer Anda di Panduan Pengguna untuk Application Load Balancers.

  • IPv6-hanya konfigurasi tidak didukung padaWindows.

  • Untuk tugas Amazon ECS dalam konfigurasi IPv6 -only untuk berkomunikasi dengan titik akhir IPv4 -only, Anda dapat mengatur DNS64 dan NAT64 untuk terjemahan alamat jaringan dari ke. IPv6 IPv4 Untuk informasi selengkapnya, lihat DNS64 dan NAT64 di Panduan Pengguna Amazon VPC.

  • IPv6Konfigurasi -only didukung pada 1.4.0 versi platform Fargate atau yang lebih baru.

  • Beban kerja Amazon ECS dalam konfigurasi IPv6 -only harus menggunakan titik akhir URI image dualstack Amazon ECR saat menarik gambar dari Amazon ECR. Untuk informasi selengkapnya, lihat Memulai dengan membuat permintaan IPv6 di Panduan Pengguna Amazon Elastic Container Registry.

    catatan

    Amazon ECR tidak mendukung titik akhir VPC antarmuka dualstack yang dapat digunakan tugas dalam konfigurasi -only. IPv6 Untuk informasi selengkapnya, lihat Memulai dengan membuat permintaan IPv6 di Panduan Pengguna Amazon Elastic Container Registry.

  • Amazon ECS Exec tidak didukung dalam konfigurasi IPv6 -only.

  • Amazon CloudWatch tidak mendukung titik akhir FIPS dualstack yang dapat digunakan untuk memantau tugas Amazon ECS dalam konfigurasi IPv6 -only yang menggunakan kepatuhan FIPS-140. Untuk informasi lebih lanjut tentang FIPS-140, lihat. AWS Fargate Standar Pemrosesan Informasi Federal (FIPS-140)

Wilayah AWS yang mendukung mode IPv6 -only untuk Amazon ECS

Anda dapat menjalankan tugas dalam konfigurasi IPv6 -only berikut ini Wilayah AWS yang tersedia di Amazon ECS:

  • AS Timur (Ohio)

  • AS Timur (Virginia Utara)

  • AS Barat (California Utara)

  • AS Barat (Oregon)

  • Afrika (Cape Town)

  • Asia Pasifik (Hong Kong)

  • Asia Pasifik (Hyderabad)

  • Asia Pasifik (Jakarta)

  • Asia Pasifik (Melbourne)

  • Asia Pasifik (Mumbai)

  • Asia Pasifik (Osaka)

  • Asia Pasifik (Seoul)

  • Asia Pasifik (Singapura)

  • Asia Pasifik (Sydney)

  • Asia Pasifik (Tokyo)

  • (Canada (Central)

  • Kanada Barat (Calgary)

  • China (Beijing)

  • Tiongkok (Ningxia)

  • Eropa (Frankfurt)

  • Eropa (London)

  • Eropa (Milan)

  • Eropa (Paris)

  • Eropa (Spanyol)

  • Israel (Tel Aviv)

  • Timur Tengah (Bahrain)

  • Timur Tengah (UEA)

  • Amerika Selatan (Sao Paulo)

  • AWS GovCloud (AS-Timur)

  • AWS GovCloud (AS-Barat)