Alokasikan antarmuka jaringan untuk tugas di Instans Terkelola Amazon ECS - Amazon Elastic Container Service
Pertimbangan untuk mode awsvpcMenggunakan VPC dalam mode tumpukan dobel

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Alokasikan antarmuka jaringan untuk tugas di Instans Terkelola Amazon ECS

Menggunakan mode awsvpc jaringan di Amazon ECS Managed Instances menyederhanakan jaringan kontainer karena Anda memiliki kontrol lebih besar atas bagaimana aplikasi Anda berkomunikasi satu sama lain dan layanan lain di dalam Anda. VPCs Mode awsvpc jaringan juga memberikan keamanan yang lebih besar untuk wadah Anda dengan memungkinkan Anda menggunakan grup keamanan dan alat pemantauan jaringan pada tingkat yang lebih terperinci dalam tugas Anda.

Secara default, setiap instans Amazon ECS Managed Instances memiliki trunk Elastic Network Interface (ENI) yang terpasang selama peluncuran sebagai ENI utama saat tipe instans mendukung trunking. Untuk informasi selengkapnya tentang jenis instans yang mendukung trunking ENI, lihat Instans yang didukung untuk meningkatkan antarmuka jaringan kontainer Amazon ECS.

catatan

Ketika jenis instance yang dipilih tidak mendukung trunk ENIs, instance akan diluncurkan dengan ENI biasa.

Setiap tugas yang berjalan pada instance menerima ENI sendiri yang melekat pada trunk ENI, dengan alamat IP pribadi utama. Jika VPC Anda dikonfigurasi untuk mode dual-stack dan Anda menggunakan subnet dengan blok IPv6 CIDR, ENI juga menerima alamat. IPv6 Saat menggunakan subnet publik, Anda dapat menetapkan alamat IP publik secara opsional ke ENI utama Instans Terkelola Amazon ECS dengan mengaktifkan pengalamatan IPv4 publik untuk subnet. Untuk informasi selengkapnya, lihat Memodifikasi atribut pengalamatan IP subnet Anda di Panduan Pengguna Amazon VPC. Sebuah tugas hanya dapat memiliki satu ENI yang terkait dengannya pada suatu waktu.

Wadah yang termasuk dalam tugas yang sama juga dapat berkomunikasi melalui localhost antarmuka. Untuk informasi selengkapnya tentang VPCs dan subnet, lihat Cara kerja Amazon VPC di Panduan Pengguna Amazon VPC

Operasi berikut menggunakan ENI primer yang dilampirkan pada instance:

  • Unduhan gambar - Gambar kontainer diunduh dari Amazon ECR melalui ENI utama.

  • Secrets retrieval - Rahasia Secrets Manager dan kredensyal lainnya diambil melalui ENI utama.

  • Unggahan log - Log diunggah ke CloudWatch melalui ENI utama.

  • Unduhan file lingkungan - File lingkungan diunduh melalui ENI utama.

Lalu lintas aplikasi mengalir melalui tugas ENI.

Karena setiap tugas mendapatkan ENI sendiri, Anda dapat menggunakan fitur jaringan seperti VPC Flow Logs, yang dapat Anda gunakan untuk memantau lalu lintas ke dan dari tugas Anda. Untuk informasi selengkapnya, lihat Log Alur VPC di Panduan Pengguna Amazon VPC.

Anda juga bisa memanfaatkannya AWS PrivateLink. Anda dapat mengonfigurasi titik akhir antarmuka VPC sehingga Anda dapat mengakses Amazon ECS APIs melalui alamat IP pribadi. AWS PrivateLink membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon ECS ke jaringan Amazon. Anda tidak memerlukan sebuah gateway internet, perangkat NAT, atau gateway privat virtual. Untuk informasi selengkapnya, lihat Titik akhir AWS PrivateLink VPC antarmuka Amazon ECS ().

Mode awsvpc jaringan juga memungkinkan Anda memanfaatkan Amazon VPC Traffic Mirroring untuk keamanan dan pemantauan lalu lintas jaringan saat menggunakan jenis instans yang tidak memiliki bagasi terpasang. ENIs Untuk informasi selengkapnya, lihat Apa itu Pencerminan Lalu Lintas? di Panduan Pencerminan Lalu Lintas VPC Amazon.

Pertimbangan untuk mode awsvpc

  • Tugas memerlukan peran terkait layanan Amazon ECS untuk manajemen ENI. Peran ini dibuat secara otomatis saat Anda membuat klaster atau layanan.

  • Tugas ENIs dikelola oleh Amazon ECS dan tidak dapat dilepas atau dimodifikasi secara manual.

  • Menetapkan alamat IP publik ke tugas yang digunakan ENI assignPublicIp saat menjalankan tugas mandiri (RunTask) atau membuat atau memperbarui layanan (CreateService/UpdateService) tidak didukung.

  • Saat mengonfigurasi awsvpc jaringan di tingkat tugas, Anda harus menggunakan VPC yang sama dengan yang Anda tentukan sebagai bagian dari templat peluncuran penyedia kapasitas Instans Terkelola Amazon ECS. Anda dapat menggunakan subnet dan grup keamanan yang berbeda dari yang ditentukan dalam template peluncuran.

  • Untuk tugas mode awsvpc jaringan, gunakan tipe ip target saat mengonfigurasi grup target penyeimbang beban. Amazon ECS secara otomatis mengelola pendaftaran grup target untuk mode jaringan yang didukung.

Menggunakan VPC dalam mode tumpukan dobel

Saat menggunakan VPC dalam mode dual-stack, tugas Anda dapat berkomunikasi melalui, atau IPv4, atau IPv6 keduanya. IPv4 dan IPv6 alamat independen satu sama lain. Oleh karena itu Anda harus mengonfigurasi perutean dan keamanan di VPC Anda secara terpisah IPv4 untuk dan. IPv6 Untuk informasi selengkapnya tentang cara mengonfigurasi VPC Anda untuk mode tumpukan ganda, lihat Memigrasi ke dalam Panduan Pengguna VPC IPv6 Amazon.

Jika Anda mengonfigurasi VPC Anda dengan gateway internet atau gateway internet khusus keluar, Anda dapat menggunakan VPC Anda dalam mode dual-stack. Dengan melakukan ini, tugas yang diberi IPv6 alamat dapat mengakses internet melalui gateway internet atau gateway internet khusus egres. Gateway NAT bersifat opsional. Untuk informasi selengkapnya, lihat gateway Internet dan gateway internet khusus eGress di Panduan Pengguna Amazon VPC.

Tugas Amazon ECS diberikan IPv6 alamat jika kondisi berikut terpenuhi: