Alocar uma interface de rede para tarefas nas instâncias gerenciadas do Amazon ECS - Amazon Elastic Container Service
Considerações sobre o modo awsvpcUsar uma VPC no modo de pilha dupla

Alocar uma interface de rede para tarefas nas instâncias gerenciadas do Amazon ECS

O uso do modo de rede awsvpc nas instâncias gerenciadas do Amazon ECS simplifica a rede de contêineres porque você tem mais controle sobre como as aplicações se comunicam entre si e com outros serviços dentro das VPCs. O modo de rede awsvpc também fornece maior segurança para os contêineres, permitindo que você use grupos de segurança e ferramentas de monitoramento de rede em um nível mais granular dentro das tarefas.

Por padrão, cada instância gerenciada do Amazon ECS tem uma interface de rede elástica (ENI) de tronco conectada durante a inicialização como ENI primária quando o tipo de instância aceita entroncamento. Para obter mais informações sobre tipos de instância que oferecem suporte ao entroncamento ENI, consulte Instâncias compatíveis para aumentar as interfaces de rede de contêineres do Amazon ECS.

nota

Quando o tipo de instância escolhido não for compatível com ENIs de tronco, a instância será inicializada com uma ENI normal.

Cada tarefa executada na instância recebe sua própria ENI anexada à ENI do tronco, com um endereço IP privado primário. Se a VPC estiver configurada para o modo de pilha dupla e você usar uma sub-rede com um bloco CIDR IPv6, a ENI também receberá um endereço IPv6. Ao usar uma sub-rede pública, você tem a opção de atribuir um endereço IP público à ENI primária da instância gerenciada do Amazon ECS habilitando o endereçamento público IPv4 para a sub-rede. Para obter mais informações, consulte Modificar os atributos de endereçamento IP da sua sub-rede no Guia do usuário da Amazon VPC. Uma tarefa só pode ter uma ENI associada a ela de cada vez.

Os contêineres que pertencem à mesma tarefa também podem se comunicar por meio da interface localhost. Para obter mais informações sobre VPCs e sub-redes, consulte Como a Amazon VPC funciona no Guia do usuário da Amazon VPC

As seguintes operações usam a ENI primária anexada à instância:

  • Downloads de imagens: as imagens de contêiner são baixadas do Amazon ECR por meio da ENI principal.

  • Recuperação de segredos: os segredos e outras credenciais do Secrets Manager são recuperados por meio da ENI primária.

  • Uploads de logs: os logs são enviados por upload para o CloudWatch por meio da ENI primária.

  • Downloads de arquivos de ambiente: os arquivos de ambiente são baixados por meio da ENI principal.

O tráfego da aplicação flui pela ENI da tarefa.

Como cada tarefa tem sua própria ENI, você pode usar recursos de rede, como os logs de fluxo de VPC, que podem ser usados para monitorar o tráfego de e para suas tarefas. Para obter mais informações, consulte Logs de fluxo da VPC no Guia do usuário do Amazon Virtual Private Cloud.

Você também pode utilizar AWS PrivateLink. É possível configurar um endpoint de interface VPC para que você possa acessar APIs do Amazon ECS por meio de endereços IP privados. AWS PrivateLink restringe todo o tráfego de rede entre sua VPC e o Amazon ECS para a rede da Amazon. Você não precisa de um gateway da Internet, de um dispositivo NAT ou de um gateway privado virtual. Para obter mais informações, consulte Endpoints da VPC da interface do Amazon ECS (AWS PrivateLink).

O modo de rede awsvpc também permite que você utilize o Amazon VPC Traffic Mirroring para segurança e monitoramento do tráfego de rede ao usar tipos de instância que não têm ENIs de tronco anexadas. Para obter mais informações, consulte O que é Traffic Mirroring no Guia do Amazon VPC Traffic Mirroring.

Considerações sobre o modo awsvpc

  • As tarefas exigem o perfil vinculado ao serviço do Amazon ECS para o gerenciamento da ENI. Esse perfil é criado automaticamente quando você cria um cluster ou um serviço.

  • As ENIs de tarefas são gerenciados pelo Amazon ECS e não podem ser desanexados ou modificados manualmente.

  • A atribuição de um endereço IP público à ENI de tarefa usando assignPublicIp ao executar uma tarefa autônoma (RunTask), criar ou atualizar um serviço (CreateService/UpdateService) não é compatível.

  • Quando você configurar a rede awsvpc no nível da tarefa, use a mesma VPC especificada como parte do modelo de inicialização do provedor de capacidade de instâncias gerenciadas do Amazon ECS. Você pode usar sub-redes e grupos de segurança diferentes dos especificados no modelo de inicialização.

  • Para tarefas no modo de rede awsvpc, use o tipo de destino ip ao configurar grupos de destino do balanceador de carga. O Amazon ECS gerencia automaticamente o registro do grupo de destino para os modos de rede compatíveis.

Usar uma VPC no modo de pilha dupla

Ao usar uma VPC no modo de pilha dupla, as tarefas podem se comunicar por IPv4, IPv6 ou ambos. Os endereços IPv4 e IPv6 são independentes um do outro. Portanto, é preciso configurar o encaminhamento e a segurança na VPC separadamente para IPv4 e IPv6. Para obter mais informações sobre como configurar a VPC para o modo de pilha dupla, consulte Migrar para IPv6 no Guia do usuário da Amazon VPC.

Se tiver configurado sua VPC com um gateway da Internet ou um gateway da Internet somente saída, será possível utilizar sua VPC no modo de pilha dupla. Fazendo isso, as tarefas que obtêm um endereço IPv6 podem acessar a Internet por meio de um gateway da Internet ou um gateway da Internet somente saída. Gateways NAT são opcionais. Para obter mais informações, consulte Gateways da Internet e Gateways da Internet somente de saída no Guia do usuário da Amazon VPC.

As tarefas do Amazon ECS receberão um endereço IPv6 se as seguintes condições forem atendidas: