Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Endpoint VPC dell'interfaccia di Amazon ECS (AWS PrivateLink)
Puoi migliorare la posizione di sicurezza del VPC configurando Amazon ECS in modo che utilizzi un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato ad Amazon ECS APIs utilizzando indirizzi IP privati. AWS PrivateLink limita tutto il traffico di rete tra il tuo VPC e Amazon ECS alla rete Amazon. Non è richiesto un gateway Internet, un dispositivo NAT o un gateway privato virtuale.
Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta la sezione Endpoint VPC nella Amazon VPC User Guide.
Considerazioni
Considerazioni relative agli endpoint nelle regioni introdotte a partire dal 23 dicembre 2023
Prima di configurare gli endpoint VPC di interfaccia per Amazon ECS, tieni presente le considerazioni riportate di seguito:
-
Devi disporre dei seguenti endpoint VPC specifici della regione:
Nota
Se non configuri tutti gli endpoint, il traffico passerà attraverso gli endpoint pubblici, non attraverso l'endpoint VPC.
-
com.amazonaws.region.ecs-agent -
com.amazonaws.region.ecs-telemetry -
com.amazonaws.region.ecs
Ad esempio, la regione del Canada occidentale (Calgary) (ca-west-1) necessita dei seguenti endpoint VPC:
-
com.amazonaws.ca-west-1.ecs-agent -
com.amazonaws.ca-west-1.ecs-telemetry -
com.amazonaws.ca-west-1.ecs
-
-
Quando utilizzi un modello per creare AWS risorse nella nuova regione e il modello è stato copiato da una regione introdotta prima del 23 dicembre 2023, a seconda della regione in cui è stata copiata, esegui una delle seguenti operazioni.
Ad esempio, la regione da cui viene copiato è quella degli Stati Uniti orientali (Virginia settentrionale) (us-east-1). La regione di destinazione della copia è il Canada occidentale (Calgary) (ca-west-1).
Configurazione Azione La regione da cui è stata effettuata la copia non dispone di endpoint VPC.
Crea tutti e tre gli endpoint VPC per la nuova regione (ad esempio,
com.amazonaws.ca-west-1.ecs-agent).La regione da cui è stata effettuata la copia contiene endpoint VPC specifici della regione.
-
Crea tutti e tre gli endpoint VPC per la nuova regione (ad esempio,
com.amazonaws.ca-west-1.ecs-agent). -
Elimina tutti e tre gli endpoint VPC per la regione da cui è stata effettuata la copia (ad esempio,
com.amazonaws.us-east-1.ecs-agent).
-
Considerazioni sugli endpoint VPC di Amazon ECS per Fargate
Quando è presente un endpoint VPC per ecr.dkr e ecr.api nello stesso VPC in cui viene implementata un'attività Fargate, verrà utilizzato l'endpoint VPC. Se non è presente alcun endpoint VPC, verrà utilizzata l'interfaccia Fargate.
Prima di configurare gli endpoint VPC di interfaccia per Amazon ECS, tieni presente le considerazioni riportate di seguito:
-
Le attività che utilizzano Fargate non richiedono l'interfaccia VPC endpoint per Amazon ECS, ma potrebbero essere necessari endpoint VPC di interfaccia per Amazon ECR, Secrets Manager o Amazon Logs descritti nei punti seguenti. CloudWatch
-
Per consentire ai processi di estrarre immagini private da Amazon ECR, è necessario creare gli endpoint VPC di interfaccia per Amazon ECR. Per ulteriori informazioni, consulta Endpoint VPC dell'interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon Elastic Container Registry.
Importante
-
Se configuri Amazon ECR per utilizzare un endpoint VPC dell'interfaccia, puoi creare un ruolo di esecuzione delle attività che include chiavi di condizione per limitare l'accesso a un VPC o endpoint VPC specifico. Per ulteriori informazioni, consulta Autorizzazioni per attività Fargate che eseguono il pull delle immagini Amazon ECR su endpoint di interfaccia.
-
Se le tue attività sono in una configurazione IPv6 solo e utilizzano un URI di immagine dualstack Amazon ECR, tieni presente che Amazon ECR non supporta gli endpoint VPC con interfaccia dualstack. Per ulteriori informazioni, consulta la sezione Guida introduttiva all'invio di richieste IPv6 nella Amazon Elastic Container Registry User Guide.
-
-
Per consentire ai processi di estrarre dati sensibili da Secrets Manager, è necessario creare gli endpoint VPC di interfaccia per Secrets Manager. Per ulteriori informazioni, consulta Utilizzo di Secrets Manager con endpoint VPC nella Guida per l'utente di Gestione dei segreti AWS .
-
Se il tuo VPC non dispone di un gateway Internet e le tue attività utilizzano il driver di
awslogsregistro per inviare le informazioni di registro ai CloudWatch registri, devi creare un endpoint VPC di interfaccia per i registri. CloudWatch Per ulteriori informazioni, consulta Using CloudWatch Logs with Interface VPC Endpoints nella CloudWatch Amazon Logs User Guide.
-
-
Gli endpoint VPC attualmente non supportano le richieste inter-Regionali. Assicurati di creare l'endpoint nella stessa regione in cui prevedi di inviare le chiamate API ad Amazon ECS. Supponiamo ad esempio di voler eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale). Dovrai ovviamente creare l'endpoint VPC di Amazon ECS nella Regione Stati Uniti orientali (Virginia settentrionale). Un endpoint VPC di Amazon ECS creato in qualsiasi altra Regione non può eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale).
-
Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta Set opzioni DHCP nella Guida per l'utente di Amazon VPC.
-
Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta TCP 443 dalla sottorete privata del VPC.
-
La gestione Service Connect del proxy Envoy utilizza l'endpoint VPC
com.amazonaws.. Quando non utilizzi gli endpoint VPC, la gestione Service Connect del proxy Envoy utilizza l'endpointregion.ecs-agentecs-scin quella determinata Regione. Per un elenco degli endpoint Amazon ECS in ciascuna Regione, consulta Endpoint e quote Amazon ECS.
Considerazioni sugli endpoint VPC di Amazon ECS per EC2
Prima di configurare gli endpoint VPC di interfaccia per Amazon ECS, tieni presente le considerazioni riportate di seguito:
-
Le attività utilizzate EC2 richiedono che le istanze del contenitore su cui vengono lanciate eseguano una versione
1.25.1o successiva dell'agente container Amazon ECS. Per ulteriori informazioni, consulta Gestione delle istanze di container Amazon ECS Linux. -
Per consentire ai processi di estrarre dati sensibili da Secrets Manager, è necessario creare gli endpoint VPC di interfaccia per Secrets Manager. Per ulteriori informazioni, consulta Utilizzo di Secrets Manager con endpoint VPC nella Guida per l'utente di Gestione dei segreti AWS .
-
Se il tuo VPC non dispone di un gateway Internet e le tue attività utilizzano il driver di
awslogsregistro per inviare le informazioni di registro ai CloudWatch registri, devi creare un endpoint VPC di interfaccia per i registri. CloudWatch Per ulteriori informazioni, consulta Using CloudWatch Logs with Interface VPC Endpoints nella CloudWatch Amazon Logs User Guide. -
Gli endpoint VPC attualmente non supportano le richieste inter-Regionali. Assicurati di creare l'endpoint nella stessa regione in cui prevedi di inviare le chiamate API ad Amazon ECS. Supponiamo ad esempio di voler eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale). Dovrai ovviamente creare l'endpoint VPC di Amazon ECS nella Regione Stati Uniti orientali (Virginia settentrionale). Un endpoint VPC di Amazon ECS creato in qualsiasi altra Regione non può eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale).
-
Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta Set opzioni DHCP nella Guida per l'utente di Amazon VPC.
-
Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta TCP 443 dalla sottorete privata del VPC.
Comprensione dei modelli di denominazione degli endpoint Amazon ECS
È importante comprendere che l'agente Amazon ECS può inviare richieste a endpoint con suffissi numerati, ad esempio:
-
ecs-a-1.region.amazonaws.com,ecs-a-2.region.amazonaws.com, ecc. per gli endpoint degli agenti -
ecs-t-1.region.amazonaws.com,ecs-t-2.region.amazonaws.com, ecc. per gli endpoint di telemetria
Questo comportamento si verifica perché l'agente Amazon ECS utilizza l'DiscoverPollEndpointAPI per determinare dinamicamente a quale endpoint specifico connettersi. Se gli endpoint VPC non gestiscono correttamente queste varianti numerate degli endpoint, l'agente tornerà a usare gli endpoint pubblici, anche se hai impostato gli endpoint VPC per i nomi di base.
Il ruolo dell'API DiscoverPollEndpoint
L'DiscoverPollEndpointAPI viene utilizzata dall'agente Amazon ECS per individuare l'endpoint appropriato su cui eseguire il polling delle attività. Quando l'agente richiama questa API, riceve un URL dell'endpoint specifico che può includere un suffisso numerato. Per garantire il corretto funzionamento degli endpoint VPC, la configurazione di rete deve permettere all'agente di:
-
Accedi all'API DiscoverPollEndpoint
-
Connect all'endpoint restituito URLs, compresi quelli con suffissi numerati
Se stai risolvendo i problemi di connettività degli endpoint VPC, verifica che il tuo agente possa raggiungere sia gli endpoint di base che qualsiasi variante numerata che potrebbe essere restituita dall'API. DiscoverPollEndpoint
Creazione di endpoint VPC per Amazon ECS
Per creare l'endpoint VPC per il servizio Amazon ECS, utilizza la procedura Access an AWS service using an interface VPC endpoint nella Amazon VPC User Guide per creare i seguenti endpoint. Se sono presenti istanze di container all'interno del VPC, è necessario creare gli endpoint nell'ordine in cui sono elencati. Se intendi creare le istanze di container dopo la creazione dell'endpoint VPC, l'ordine non ha importanza.
Nota
Se non configuri tutti gli endpoint, il traffico passerà attraverso gli endpoint pubblici, non attraverso l'endpoint VPC.
Quando crei un endpoint, Amazon ECS crea anche un nome DNS privato per l'endpoint. Ad esempio, ecs-a.region.amazonaws.com per ecs-agent e ecs-t.region.amazonaws.com per ecs-telemetry.
-
com.amazonaws.region.ecs-agent -
com.amazonaws.region.ecs-telemetry -
com.amazonaws.region.ecs
Nota
regionrappresenta l'identificatore della regione per una AWS
regione supportata da Amazon ECS, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio).
L'endpoint ecs-agent usa l'API ecs:poll, mentre l'endpoint ecs-telemetry utilizza le API ecs:poll e ecs:StartTelemetrySession.
Se hai attività esistenti che utilizzano il tipo di EC2 avvio, dopo aver creato gli endpoint VPC, ogni istanza del contenitore deve acquisire la nuova configurazione. Perché ciò accada, è necessario riavviare ogni istanza di container o riavviare l'agente del container Amazon ECS in ogni istanza di container. Per riavviare l'agente container, effettua le seguenti operazioni.
Come riavviare l'agente del container di Amazon ECS
-
Accedi alla tua istanza di container con SSH.
-
Arresta l'agente del container di .
sudo docker stop ecs-agent -
Avvia l'agente container.
sudo docker start ecs-agent
Dopo aver creato gli endpoint VPC e riavviato l'agente del container di Amazon ECS in ogni istanza di container, tutte le attività appena avviate ottengono la nuova configurazione.
Creazione di una policy per l'endpoint VPC per Amazon ECS
Puoi allegare una policy di endpoint all'endpoint VPC che controlla l'accesso ad Amazon ECS. La policy specifica le informazioni riportate di seguito:
-
Il principale che può eseguire operazioni.
-
Le azioni che possono essere eseguite.
-
Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.
Esempio: policy di endpoint VPC per le operazioni Amazon ECS
Di seguito è riportato un esempio di una policy di endpoint per Amazon ECS. Se collegata a un endpoint, questa policy concede l'accesso all'autorizzazione per creare ed elencare i cluster. Le operazioni CreateCluster e ListClusters non accettano risorse, pertanto la definizione delle risorse è impostata su * per tutte le risorse.
{ "Statement":[ { "Principal":"*", "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:ListClusters" ], "Resource": [ "*" ] } ] }
