Assegna un'interfaccia di rete per le attività sulle istanze gestite da Amazon ECS - Amazon Elastic Container Service
Considerazioni per la modalità awsvpcUtilizzo di un VPC in modalità dual-stack

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegna un'interfaccia di rete per le attività sulle istanze gestite da Amazon ECS

L'uso della modalità di awsvpc rete in Amazon ECS Managed Instances semplifica la rete di container perché hai un maggiore controllo sul modo in cui le tue applicazioni comunicano tra loro e con gli altri servizi all'interno del tuo. VPCs La modalità di rete awsvpc fornisce inoltre una maggiore sicurezza per i container in quanto permette di utilizzare i gruppi di sicurezza e gli strumenti di monitoraggio di rete a un livello più granulare all'interno dei processi.

Per impostazione predefinita, ogni istanza di Istanze gestite da Amazon ECS ha un trunk interfaccia di rete elastica (ENI) collegato durante il lancio come ENI principale quando il tipo di istanza supporta il trunking. Per ulteriori informazioni sui tipi di istanza che supportano il trunking ENI, consulta Supported instances for increased Amazon ECS container network interfaces.

Nota

Quando il tipo di istanza scelto non supporta il trunk ENIs, l'istanza verrà avviata con un normale ENI.

Ogni attività eseguita sull'istanza riceve il proprio ENI collegato al trunk ENI, con un indirizzo IP privato principale. Se il tuo VPC è configurato per la modalità dual-stack e utilizzi una sottorete con un blocco IPv6 CIDR, anche l'ENI riceve un indirizzo. IPv6 Quando utilizzi una sottorete pubblica, puoi facoltativamente assegnare un indirizzo IP pubblico all'ENI primario di Amazon ECS Managed Instance abilitando l'indirizzamento IPv4 pubblico per la sottorete. Per ulteriori informazioni, consultare Modify the IP addressing attributes of your subnet nella Guida per l'utente di Amazon VPC. Un'attività può avere una sola ENI associata in un determinato momento.

I container che appartengono alla stessa attività possono comunicare tramite l'interfaccia localhost. Per ulteriori informazioni sulle sottoreti VPCs e sulle sottoreti, consulta Come funziona Amazon VPC nella Amazon VPC User Guide

Le seguenti operazioni utilizzano l'ENI primario collegato all'istanza:

  • Download delle immagini: le immagini dei container vengono scaricate da Amazon ECR tramite l'ENI principale.

  • Recupero dei segreti: i segreti e le altre credenziali di Secrets Manager vengono recuperati tramite l'ENI primario.

  • Caricamenti dei log: i log vengono caricati tramite l'ENI principale. CloudWatch

  • Download dei file di ambiente: i file di ambiente vengono scaricati tramite l'ENI principale.

Il traffico delle applicazioni fluisce attraverso l'attività ENI.

Poiché ogni attività ottiene la sua ENI, puoi utilizzare funzioni di rete, come i log di flusso VPC, per monitorare il traffico da e verso le tue attività. Per ulteriori informazioni, consulta Log di flusso VPC nella Guida per l’utente di Amazon VPC.

Puoi anche approfittare di. AWS PrivateLink Puoi configurare un endpoint di interfaccia VPC in modo da poter accedere ad Amazon ECS APIs tramite indirizzi IP privati. AWS PrivateLink limita tutto il traffico di rete tra il tuo VPC e Amazon ECS alla rete Amazon. Non è richiesto un gateway Internet, un dispositivo NAT o un gateway privato virtuale. Per ulteriori informazioni, consultare Amazon ECS interface VPC endpoints (AWS PrivateLink).

La modalità di awsvpc rete consente inoltre di sfruttare Amazon VPC Traffic Mirroring per la sicurezza e il monitoraggio del traffico di rete quando si utilizzano tipi di istanze senza trunk collegato. ENIs Per ulteriori informazioni, consultare What is Traffic Mirroring? nella Guida di Mirroring del traffico Amazon VPC.

Considerazioni per la modalità awsvpc

  • Le attività richiedono il ruolo collegato ai servizi Amazon ECS per la gestione ENI. Questo ruolo viene creato automaticamente quando crei un cluster o un servizio.

  • ENIs Le attività sono gestite da Amazon ECS e non possono essere scollegate o modificate manualmente.

  • L'assegnazione di un indirizzo IP pubblico all'attività ENI utilizzando assignPublicIp durante l'esecuzione di un'attività autonoma (RunTask) o la creazione o l'aggiornamento di un servizio (CreateService/UpdateService) non è supportata.

  • Quando configuri la rete awsvpc a livello di attività, devi utilizzare lo stesso VPC specificato come parte del modello di lancio del provider di capacità di Istanze gestite da Amazon ECS. Puoi utilizzare sottoreti e gruppi di sicurezza diversi da quelli specificati nel modello di lancio.

  • Per le attività nella modalità di rete awsvpc, utilizzare il tipo di destinazione ip durante la configurazione dei gruppi di destinazione del bilanciatore del carico. Amazon ECS gestisce automaticamente la registrazione del gruppo target per le modalità di rete supportate.

Utilizzo di un VPC in modalità dual-stack

Quando si utilizza un VPC in modalità dual-stack, le attività possono comunicare più IPv4 o meno entrambe. IPv6 IPv4 e IPv6 gli indirizzi sono indipendenti l'uno dall'altro. Pertanto, è necessario configurare il routing e la sicurezza nel VPC separatamente IPv4 per e. IPv6 Per ulteriori informazioni su come configurare il tuo VPC per la modalità dual-stack, consulta Migrating to nella Amazon VPC User IPv6 Guide.

Se hai configurato il tuo VPC con un gateway Internet o un gateway Internet solo in uscita, puoi utilizzare il VPC in modalità dual-stack. In questo modo, le attività a cui viene assegnato un IPv6 indirizzo possono accedere a Internet tramite un gateway Internet o un gateway Internet solo in uscita. I gateway NAT sono opzionali. Per ulteriori informazioni, consulta Gateway Internet e Gateway Internet egress-only nella Guida per l'utente di Amazon VPC.

Alle attività di Amazon ECS viene assegnato un IPv6 indirizzo se vengono soddisfatte le seguenti condizioni: