使用 AMS SSP 在你的 AMS 账户 AWS Fargate 中配置 Amazon ECS - AMS 高级用户指南
AWS Managed Services 常见问题解答中的 Fargate 上的 Amazon ECS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AMS SSP 在你的 AMS 账户 AWS Fargate 中配置 Amazon ECS

使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中通过 AWS Fargate 功能访问 Amazon ECS。 AWS Fargate 是一种可以与 Amazon ECS 配合使用的技术,无需管理服务器或亚马逊 EC2 实例集群即可运行容器(参见上面的容器 AWS)。使用 AWS Fargate,您无需再预置、配置或扩展虚拟机集群来运行容器。这样一来,您就无需再选择服务器类型、确定扩展集群的时间和优化集群打包。

要了解更多信息,请参阅上的 Amazon ECS AWS Fargate

AWS Managed Services 常见问题解答中的 Fargate 上的 Amazon ECS

问:如何使用我的 AMS 账户请求访问 Fargate 上的 Amazon ECS?

使用管理 | AWS 服务 | 自配置服务 | 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问 Fargate 上的 Amazon ECS。此 RFC 将以下 IAM 角色配置到您的账户:customer_ecs_fargate_console_role(如果没有提供 ECS 策略与 ECS 策略关联的现有 IAM 角色)customer_ecs_fargate_events_service_rolecustomer_ecs_task_execution_service_rolecustomer_ecs_codedeploy_service_role、和AWSServiceRoleForApplicationAutoScaling_ECSService。在您的账户中配置角色后,您必须在联合解决方案中加入角色。

问:使用我的 AMS 账户在 Fargate 上使用 Amazon ECS 有哪些限制?

  • Amazon ECS 任务监控和日志记录被视为您的责任,因为容器级别的活动发生在虚拟机管理程序之上,并且日志记录功能受到 Fargate 上的 Amazon ECS 的限制。作为 Fargate 上的 Amazon ECS 用户,我们建议您采取必要步骤启用对您的 Amazon ECS 任务的登录功能。有关更多信息,请参阅为容器启用 awslogs 日志驱动程序。

  • 容器级别的安全和恶意软件保护也被视为您的责任。Fargate 上的 Amazon ECS 不包括趋势科技或预先配置的网络安全组件。

  • 此服务适用于多账号着陆区和单账号着陆区 AMS 账户。

  • 由于创建 Route 53 私有托管区域需要更高的权限,因此默认情况下,自行配置角色限制了 Amazon ECS 服务发现。要在服务上启用服务发现,请提交 “管理” | “其他” | “其他” | “更新” 更改类型。要提供为您的 Amazon ECS 服务启用服务发现所需的信息,请参阅服务发现手册

  • AMS 目前不管理或限制用于在 Amazon ECS Fargate 上部署到容器的映像。您将能够部署来自 Amazon ECR、Docker Hub 或任何其他私有镜像存储库的镜像。因此,我们建议不要部署公共镜像或任何不安全的镜像,因为它们可能会导致账户出现恶意活动。

问:在我的 AMS 账户中在 Fargate 上使用 Amazon ECS 有哪些先决条件或依赖关系?

  • 以下是 Amazon ECS 对 Fargate 的依赖关系;但是,使用您的自配置角色启用这些服务无需执行任何其他操作:

    • CloudWatch 日志

    • CloudWatch 事件

    • CloudWatch 警报

    • CodeDeploy

    • App Mesh

    • Cloud Map

    • Route 53

  • 根据您的使用案例,以下是 Amazon ECS 所依赖的资源,并且在您的账户中使用 Fargate 上的 Amazon ECS 之前可能需要的资源:

    • 要与 Amazon ECS 服务配合使用的安全组。您可以使用部署 | 高级堆栈组件 | 安全组 | 创建 (auto) (ct-3pc215bnwb6p7),或者,如果您的安全组需要特殊规则,请使用部署 | 高级堆栈组件 | 安全组 | 创建(需要审阅)(ct-1oxx2g2g2d7hc90)。注意:您在 Amazon ECS 上选择的安全组必须专门为 Amazon ECS 服务或集群所在的 Amazon ECS 创建。您可以在 “使用 Amazon ECS 进行设置” 和 “亚马逊弹性容器服务中的安全” 的 “安全” 部分了解更多信息。

    • 应用程序负载均衡器 (ALB)、网络负载均衡器 (NLB)、用于任务间负载平衡的经典负载均衡器 (ELB)。

    • 的目标群体 ALBs.

    • 用于与 Amazon ECS 集群集成的应用程序网格资源(例如虚拟路由器、虚拟服务、虚拟节点)。

  • 目前,在标准 AMS 变更类型之外创建时,AMS 无法自动降低与支持安全组权限相关的风险。我们建议您申请一个用于您的 Fargate 集群的特定安全组,以限制使用未指定用于 Amazon ECS 的安全组的可能性。