Amazon ECS Service Connect dengan ruang nama bersama AWS Cloud Map - Amazon Elastic Container Service
Pertimbangan-pertimbangan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Amazon ECS Service Connect dengan ruang nama bersama AWS Cloud Map

Amazon ECS Service Connect mendukung penggunaan AWS Cloud Map ruang nama bersama Akun AWS di beberapa ruang yang sama. Wilayah AWS Kemampuan ini memungkinkan Anda membuat aplikasi terdistribusi di mana layanan yang berjalan berbeda Akun AWS dapat menemukan dan berkomunikasi satu sama lain melalui Service Connect. Ruang nama bersama dikelola menggunakan AWS Resource Access Manager (AWS RAM), yang memungkinkan berbagi sumber daya lintas akun yang aman. Untuk informasi selengkapnya tentang ruang nama bersama, lihat Berbagi AWS Cloud Map namespace lintas akun di Panduan Pengembang.AWS Cloud Map

penting

Anda harus menggunakan izin AWSRAMPermissionCloudMapECSFullPermission terkelola untuk berbagi namespace agar Service Connect berfungsi dengan baik dengan namespace.

Bila Anda menggunakan AWS Cloud Map ruang nama bersama dengan Service Connect, layanan dari beberapa Akun AWS dapat berpartisipasi dalam namespace layanan yang sama. Ini sangat berguna untuk organisasi dengan banyak Akun AWS yang perlu menjaga service-to-service komunikasi lintas batas akun sambil menjaga keamanan dan isolasi.

catatan

Untuk berkomunikasi dengan layanan yang berbeda VPCs, Anda perlu mengkonfigurasi konektivitas antar-VPC. Ini dapat dicapai dengan menggunakan koneksi VPC Peering. Untuk informasi selengkapnya, lihat Membuat atau menghapus koneksi Peering VPC di panduan Peering VPC Amazon Virtual Private Cloud.

Pertimbangan-pertimbangan

Pertimbangkan hal berikut saat menggunakan AWS Cloud Map ruang nama bersama dengan Service Connect:

  • AWS RAM harus tersedia di Wilayah AWS tempat Anda ingin menggunakan namespace bersama.

  • Namespace bersama harus Wilayah AWS sama dengan layanan dan cluster Amazon ECS Anda.

  • Anda harus menggunakan namespace ARN, bukan ID, saat mengonfigurasi Service Connect dengan namespace bersama.

  • Semua jenis namespace didukung: HTTP, DNS Pribadi, dan ruang nama DNS Publik.

  • Jika akses ke namespace bersama dicabut, operasi Amazon ECS yang memerlukan interaksi dengan namespace (sepertiCreateService,, UpdateService dan) akan gagal. ListServicesByNamespace Untuk informasi selengkapnya tentang masalah izin pemecahan masalah dengan ruang nama bersama, lihat. Memecahkan masalah Amazon ECS Service Connect dengan ruang nama bersama AWS Cloud Map

  • Untuk penemuan layanan menggunakan kueri DNS di namespace DNS pribadi bersama:

    • Pemilik namespace perlu menelepon create-vpc-association-authorization dengan ID zona host pribadi yang terkait dengan namespace, dan VPC konsumen.

      aws route53 create-vpc-association-authorization --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    • Konsumen namespace perlu menelepon associate-vpc-with-hosted-zone dengan ID zona host pribadi.

      aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

  • Hanya pemilik namespace yang dapat mengelola pembagian sumber daya.

  • Konsumen namespace dapat membuat dan mengelola layanan dalam namespace bersama tetapi tidak dapat memodifikasi namespace itu sendiri.

  • Nama Discovery harus unik dalam namespace bersama, terlepas dari akun mana yang membuat layanan.

  • Layanan di namespace bersama dapat menemukan dan terhubung ke layanan dari AWS akun lain yang memiliki akses ke namespace.

  • Saat mengaktifkan TLS untuk Service Connect dan menggunakan namespace bersama, AWS Private CA Certificate Authority (CA) dicakup ke namespace. Ketika akses ke namespace bersama dicabut, akses ke CA dihentikan.

  • Saat bekerja dengan namespace bersama, pemilik namespace dan konsumen tidak memiliki akses ke metrik Amazon lintas akun secara default. CloudWatch Metrik target dipublikasikan hanya ke akun yang memiliki layanan klien. Akun yang memiliki layanan klien tidak memiliki akses ke metrik yang diterima oleh akun yang memiliki layanan client-server, dan sebaliknya. Untuk memungkinkan akses lintas akun ke metrik, siapkan observabilitas CloudWatch lintas akun. Untuk informasi selengkapnya tentang mengonfigurasi observabilitas lintas akun, lihat observabilitas CloudWatch lintas akun di Panduan Pengguna Amazon. CloudWatch Untuk informasi selengkapnya tentang CloudWatch metrik untuk Service Connect, lihatMetrik Amazon ECS CloudWatch .