Amazon ECS Service Connect con namespace AWS Cloud Map condivisi
Amazon ECS Service Connect supporta l'uso di namespace AWS Cloud Map condivisi tra più Account AWS all'interno della stessa Regione AWS. Questa funzionalità consente di creare applicazioni distribuite in cui i servizi eseguiti in diversi Account AWS possono rilevare e comunicare tra loro tramite Service Connect. I namespace condivisi vengono gestiti utilizzando AWS Resource Access Manager (AWS RAM), che consente la condivisione sicura delle risorse tra account. Per ulteriori informazioni sui namespace condivisi, consultare Cross-account AWS Cloud Map namespace sharing nella Guida per gli sviluppatori di AWS Cloud Map.
Importante
È necessario utilizzare l'autorizzazione gestita da AWSRAMPermissionCloudMapECSFullPermission per condividere il namespace affinché Service Connect funzioni correttamente con il namespace.
Quando si utilizzano namespace AWS Cloud Map condivisi con Service Connect, i servizi di più Account AWS possono partecipare allo stesso namespace di servizio. Ciò è particolarmente utile per le organizzazioni con più Account AWS che devono mantenere la comunicazione da servizio a servizio nei confini degli account, preservando al contempo la sicurezza e l'isolamento.
Nota
Per comunicare con servizi che si trovano in diversi VPC, è necessario configurare la connettività tra VPC. Ciò si può fare utilizzando una connessione peering VPC. Per ulteriori informazioni, consultare Create or delete a VPC Peering connection nella Guida al peering VPC di Amazon Virtual Private Cloud.
Considerazioni
Quando si utilizzano namespace AWS Cloud Map condivisi con Service Connect, considerare quanto segue:
-
AWS RAM deve essere disponibile nella Regione AWS in cui si desidera utilizzare il namespace condiviso.
-
Il namespace condiviso deve trovarsi nella stessa Regione AWS dei servizi e dei cluster Amazon ECS.
-
È necessario utilizzare l'ARN del namespace, non l'ID, quando si configura Service Connect con un namespace condiviso.
-
Sono supportati tutti i tipi di namespace: HTTP, DNS privato e namespace DNS pubblico.
-
Se l'accesso a un namespace condiviso viene revocato, le operazioni di Amazon ECS che richiedono l'interazione con lo il namespace (come
CreateService,UpdateServiceeListServicesByNamespace) avranno esito negativo. Per ulteriori informazioni sulle autorizzazioni per la risoluzione dei problemi relativi ai namespace condivisi, consultare Risoluzione dei problemi relativi ad Amazon ECS Service Connect con namespace condivisi AWS Cloud Map. -
Per il rilevamento servizi tramite query DNS in un namespace DNS privato condiviso:
-
Il proprietario del namespace dovrà chiamare
create-vpc-association-authorizationcon l'ID della zona ospitata privata associata al namespace e il VPC del consumer.aws route53 create-vpc-association-authorization --hosted-zone-idZ1234567890ABC--vpc VPCRegion=us-east-1,VPCId=vpc-12345678 -
Il consumer del namespace dovrà chiamare
associate-vpc-with-hosted-zonecon l'ID della zona ospitata privata.aws route53 associate-vpc-with-hosted-zone --hosted-zone-idZ1234567890ABC--vpc VPCRegion=us-east-1,VPCId=vpc-12345678
-
-
Solo il proprietario del namespace può gestire la condivisione delle risorse.
-
I consumer del namespace possono creare e gestire servizi all'interno del namespace condiviso ma non possono modificare il namespace stesso.
-
I nomi Discovery devono essere univoci all'interno del namespace condiviso, indipendentemente dall'account che crea il servizio.
-
I servizi nel namespace condiviso possono scoprire e connettersi ai servizi di altri account AWS che hanno accesso al namespace.
-
Quando si abilita TLS per Service Connect e si utilizza un namespace condiviso, l'Autorità di certificazione (CA) AWS Private CA ha l'ambito del namespace. Quando l'accesso al namespace condiviso viene revocato, l'accesso alla CA viene interrotto.
