Amazon ECS Service Connect com Namespaces compartilhados do AWS Cloud Map - Amazon Elastic Container Service
Considerações

Amazon ECS Service Connect com Namespaces compartilhados do AWS Cloud Map

O Amazon ECS Service Connect oferece suporte ao uso de namespaces compartilhados do AWS Cloud Map entre várias Contas da AWS dentro da mesma Região da AWS. Esse recurso permite criar aplicações distribuídas nas quais serviços executados em diferentes Contas da AWS podem descobrir e se comunicar uns com os outros por meio do Service Connect. Os namespaces compartilhados são gerenciados usando o AWS Resource Access Manager (AWS RAM), que permite o compartilhamento seguro de recursos entre contas. Para obter mais informações sobre namespaces compartilhados, consulte Compartilhamento de namespaces do AWS Cloud Map entre contas no Guia do desenvolvedor do AWS Cloud Map.

Importante

Você deve usar a permissão gerenciada AWSRAMPermissionCloudMapECSFullPermission para compartilhar o namespace para que o Service Connect funcione corretamente com ele.

Quando você usa namespaces compartilhados do AWS Cloud Map com o Service Connect, serviços de várias Contas da AWS podem participar do mesmo namespace de serviço. Isso é útil especialmente para organizações com várias Contas da AWS que precisam manter a comunicação entre serviços além dos limites da conta, preservando a segurança e o isolamento.

nota

Para se comunicar com serviços que estão em VPCs diferentes, você precisará configurar a conectividade entre VPCs. Isso pode ser feito usando uma conexão de emparelhamento da VPC. Para obter mais informações, consulte Criar ou excluir uma conexão de emparelhamento da VPC no Guia de emparelhamento da Amazon Virtual Private Cloud (VPC).

Considerações

Considere o seguinte ao usar namespaces compartilhados do AWS Cloud Map com o Service Connect:

  • O AWS RAM deve estar disponível na Região da AWS em que você deseja usar o namespace compartilhado.

  • O namespace compartilhado deve estar na mesma Região da AWS que os serviços e clusters do Amazon ECS.

  • Você deve usar o ARN do namespace, não o ID, ao configurar o Service Connect com um namespace compartilhado.

  • Todos os tipos de namespace são aceitos: HTTP, DNS privado e DNS público.

  • Se o acesso a um namespace compartilhado for revogado, as operações do Amazon ECS que exigirem interação com o namespace (comoCreateService, UpdateService ECS ListServicesByNamespace) falharão. Para obter mais informações sobre como solucionar problemas de permissões com namespaces compartilhados, consulte Solução de problemas do Amazon ECS Service Connect com namespaces compartilhados do AWS Cloud Map.

  • Para descoberta de serviços usando consultas ao DNS em um namespace de DNS privado compartilhado:

    • O proprietário do namespace precisará chamar create-vpc-association-authorization com o ID da zona hospedada privada associada ao namespace e a VPC do consumidor.

      aws route53 create-vpc-association-authorization --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    • O consumidor do namespace precisará chamar associate-vpc-with-hosted-zone com o ID da zona hospedada privada.

      aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

  • Somente o proprietário do namespace pode gerenciar o compartilhamento de recursos.

  • Os consumidores de namespace podem criar e gerenciar serviços dentro do namespace compartilhado, mas não podem modificar o namespace em si.

  • Os nomes de descoberta devem ser exclusivos no namespace compartilhado, independentemente da conta que cria o serviço.

  • Os serviços no namespace compartilhado podem descobrir e se conectar a serviços de outras contas da AWS que tenham acesso ao namespace.

  • Ao habilitar o TLS para o Service Connect e usar um namespace compartilhado, a autoridade de certificação (CA) CA Privada da AWS tem como escopo o namespace. Quando o acesso ao namespace compartilhado é revogado, o acesso à CA é interrompido.

  • Ao trabalhar com um namespace compartilhado, proprietários e consumidores de namespace não têm acesso às métricas do Amazon CloudWatch entre contas, por padrão. As métricas de destino são publicadas somente em contas que possuem serviços de cliente. Uma conta que possui serviços de cliente não tem acesso às métricas recebidas por uma conta que possui serviços de cliente/servidor e vice-versa. Para permitir o acesso entre contas às métricas, configure a observabilidade entre contas do CloudWatch. Para obter mais informações sobre a configuração da observabilidade entre contas, consulte Observabilidade entre contas do CloudWatch no Guia do usuário do Amazon CloudWatch. Para obter mais informações sobre as métricas do CloudWatch para o Service Connect, consulte Métricas do CloudWatch do Amazon ECS .