Amazon ECS 관리형 인스턴스의 태스크에 대한 네트워크 인터페이스 할당 - Amazon Elastic Container Service
awsvpc 모드에 대한 고려 사항듀얼 스택 모드로 VPC 사용하기

Amazon ECS 관리형 인스턴스의 태스크에 대한 네트워크 인터페이스 할당

Amazon ECS 관리형 인스턴스에서 awsvpc 네트워크 모드를 사용하면 컨테이너 네트워킹을 단순화합니다. 애플리케이션이 서로 통신하는 방식과 VPC 내 다른 서비스와 통신하는 방식을 더 세부적으로 제어할 수 있기 때문입니다. 또한 awsvpc 네트워크 모드는 태스크 내에서 더 세부적으로 보안 그룹 및 네트워크 모니터링 도구를 사용 가능하게 만들어 컨테이너의 보안을 강화합니다.

기본적으로 모든 Amazon ECS 관리형 인스턴스의 인스턴스에는 인스턴스 유형이 트렁킹을 지원하는 경우 시작 중에 기본 ENI로 연결된 트렁크 탄력적 네트워크 인터페이스(ENI)가 있습니다. ENI 트렁킹을 지원하는 인스턴스 유형에 대한 자세한 내용은 Amazon 증가한 Amazon ECS 컨테이너 네트워크 인터페이스에 대해 지원되는 인스턴스를 참조하세요.

참고

선택한 인스턴스 유형이 트렁크 ENI를 지원하지 않는 경우 인스턴스는 일반 ENI로 시작됩니다.

인스턴스에서 실행되는 각 태스크는 기본 프라이빗 IP 주소와 함께 트렁크 ENI에 연결된 자체 ENI를 수신합니다. VPC가 듀얼 스택 모드를 사용하도록 구성되어 있고 IPv6 CIDR 블록과 함께 서브넷을 사용하는 경우 ENI도 IPv6 주소를 수신합니다. 퍼블릭 서브넷을 사용하는 경우 선택적으로 서브넷에 대해 IPv4 퍼블릭 주소 지정을 활성화하여 Amazon ECS 관리형 인스턴스 기본 ENI에 퍼블릭 IP 주소를 할당할 수 있습니다. 자세한 내용을 알아보려면 Amazon VPC 사용 설명서서브넷의 IP 주소 지정 속성 수정을 참조하세요. 한 태스크에는 한 번에 하나의 ENI만 연결할 수 있습니다.

또한 같은 태스크에 속한 컨테이너는 localhost 인터페이스로 통신할 수 있습니다. VPC와 서브넷에 대한 자세한 내용은 Amazon VPC 사용 설명서Amazon VPC 작동 방식을 참조하세요.

다음 작업은 인스턴스에 연결된 기본 ENI를 사용합니다.

  • 이미지 다운로드 - 컨테이너 이미지는 기본 ENI를 통해 Amazon ECR에서 다운로드됩니다.

  • 보안 암호 검색 - Secrets Manager 보안 암호 및 기타 자격 증명은 기본 ENI를 통해 검색됩니다.

  • 로그 업로드 - 로그는 기본 ENI를 통해 CloudWatch에 업로드됩니다.

  • 환경 파일 다운로드 - 환경 파일은 기본 ENI를 통해 다운로드됩니다.

애플리케이션 트래픽은 작업 ENI를 통해 흐릅니다.

각 태스크는 고유한 ENI를 받으므로 VPC 흐름 로그와 같은 네트워킹 기능을 활용하여 태스크에서 주고받는 트래픽을 모니터링할 수도 있습니다. 자세한 정보는 Amazon VPC 사용 설명서VPC 흐름 로그를 참조하세요.

AWS PrivateLink를 이용할 수도 있습니다. 프라이빗 IP 주소를 통해 Amazon ECS API에 액세스할 수 있도록 VPC 인터페이스 엔드포인트를 구성할 수 있습니다. AWS PrivateLink는 VPC와 Amazon ECS 간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한합니다. 인터넷 게이트웨이, NAT 디바이스 또는 가상 프라이빗 게이트웨이가 필요 없습니다. 자세한 내용은 Amazon ECS 인터페이스 VPC 엔드포인트(AWS PrivateLink)를 참조하세요.

또한 awsvpc 네트워크 모드를 사용하면 트렁크 ENI가 연결되지 않은 인스턴스 유형을 사용할 때 네트워크 트래픽의 보안 및 모니터링을 위해 Amazon VPC Traffic Mirroring도 활용할 수 있습니다. 자세한 내용은 Amazon VPC Traffic Mirroring 가이드What is Traffic Mirroring?을 참조하세요.

awsvpc 모드에 대한 고려 사항

  • 태스크를 수행하려면 ENI 관리를 위한 Amazon ECS 서비스 연결 역할이 필요합니다. 이 역할은 클러스터 또는 서비스를 생성할 때 자동으로 생성됩니다.

  • 태스크 ENI는 Amazon ECS에서 관리하며 수동으로 분리하거나 수정할 수 없습니다.

  • 독립 실행형 태스크(RunTask)를 실행하거나 서비스(CreateService/UpdateService)를 생성 또는 업데이트할 때 assignPublicIp를 사용하여 태스크 ENI에 퍼블릭 IP 주소를 할당하는 방식은 지원되지 않습니다.

  • 태스크 수준에서 awsvpc 네트워킹을 구성할 경우 Amazon ECS 관리형 인스턴스 용량 공급자의 시작 템플릿의 일부로 지정한 것과 동일한 VPC를 사용해야 합니다. 시작 템플릿에 지정된 것과 다른 서브넷 및 보안 그룹을 사용할 수 있습니다.

  • awsvpc 네트워크 모드 태스크의 경우 로드 밸런서 대상 그룹을 구성할 때 ip 대상 유형을 사용합니다. Amazon ECS는 지원되는 네트워킹 모드에 대한 대상 그룹 등록을 자동으로 관리합니다.

듀얼 스택 모드로 VPC 사용하기

VPC를 듀얼 스택 모드로 사용하는 경우 작업은 IPv4, IPv6 또는 둘 다를 통해 통신할 수 있습니다. IPv4 및 IPv6 주소는 서로 독립적입니다. 따라서 IPv4 및 IPv6에 대해 별도로 VPC에서 라우팅 및 보안을 구성해야 합니다. VPC를 듀얼 스택 모드로 구성하는 방법에 대한 자세한 정보는 Amazon VPC 사용 설명서IPv6로 마이그레이션하기를 참조하세요.

인터넷 게이트웨이 또는 아웃바운드 전용 인터넷 게이트웨이로 VPC를 구성한 경우, VPC 듀얼 스택 모드로 사용할 수 있습니다. 이렇게 하면 IPv6 주소에 할당되는 태스크가 인터넷 게이트웨이 또는 송신 전용 인터넷 게이트웨이를 통해 인터넷에 액세스할 수 있습니다. NAT 게이트웨이는 선택 사항입니다. 자세한 내용은 Amazon VPC 사용 설명서인터넷 게이트웨이송신 전용 인터넷 게이트를 참조하세요.

다음 조건이 충족되면 Amazon ECS 태스크에 IPv6 주소가 할당됩니다.

  • 태스크를 호스팅하는 Amazon ECS 관리형 인스턴스가 버전 1.45.0 이상의 컨테이너 에이전트를 사용하고 있습니다. 인스턴스에서 사용 중인 에이전트 버전을 확인하고 필요한 경우 업데이트하는 방법에 대한 자세한 정보는 Amazon ECS 컨테이너 에이전트 업데이트 섹션을 참조하세요.

  • dualStackIPv6 계정 설정이 활성화되어 있습니다. 자세한 내용은 계정 설정을 사용하여 Amazon ECS 기능에 액세스 섹션을 참조하세요.

  • 태스크가 awsvpc 네트워크 모드를 사용하고 있습니다.

  • VPC 및 서브넷은 IPv6으로 구성됩니다. 구성에는 지정된 서브넷에서 생성된 네트워크 인터페이스가 포함됩니다. 이중 스택 모드용 VPC 구성 방법에 대한 자세한 정보는 Amazon VPC 사용 설명서IPv6로 마이그레이션하기서브넷의 IPv6 주소 지정 속성 수정을 참조하세요.