為 Amazon ECS 受管執行個體上的任務配置網路介面 - Amazon Elastic Container Service
awsvpc 模式考量在雙堆疊模式下使用 VPC

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為 Amazon ECS 受管執行個體上的任務配置網路介面

使用 Amazon ECS 受管執行個體中的 awsvpc 網路模式可簡化容器聯網設定,因為您有更高的控制權來控管應用程式彼此之間以及應用程式與 VPC 內其他服務之間的通訊方式。awsvpc 網路模式也讓可以您在任務中更精細地使用安全群組與網路監控工具,為您的容器提供更高的安全性。

依預設,若執行個體類型支援主幹功能,每個 Amazon ECS 受管執行個體在啟動時皆會連接一個主幹彈性網路介面 (ENI),並將其作為主要 ENI。如需有關支援 ENI 主幹功能之執行個體類型的詳細資訊,請參閱適用於更多 Amazon ECS 容器網路介面的支援執行個體

注意

若選擇的執行個體類型不支援中繼 ENI,該執行個體將會搭配一般 ENI 啟動。

在執行個體上執行的每項任務,皆會取得連接至中繼 ENI 的專屬 ENI,並配有一個主要私有 IP 位址。如果 VPC 已設定為雙堆疊模式,且使用的子網路帶有 IPv6 CIDR 區塊,則該 ENI 還會取得一個 IPv6 位址。使用公有子網路時,您可透過為子網路啟用 IPv4 公有定址功能,選擇是否將公有 IP 位址指派給 Amazon ECS 受管執行個體的主要 ENI。如需詳細資訊,請參閱 Amazon VPC User Guide 中的 Modify the IP addressing attributes of your subnet。任務在指定時間內只能有一個相關聯的 ENI。

屬於同一個任務的容器也可透過 localhost 介面進行通訊。如需有關 VPC 與子網路的詳細資訊,請參閱 Amazon VPC User Guide 中的 How Amazon VPC works

下列操作使用連接至執行個體的主要 ENI:

  • 映像下載 – 透過主要 ENI 從 Amazon ECR 下載容器映像。

  • 秘密擷取 – 透過主要 ENI 擷取 Secrets Manager 秘密與其他憑證。

  • 日誌上傳 – 日誌透過主要 ENI 上傳至 CloudWatch。

  • 環境檔案下載 – 環境檔案透過主要 ENI 下載。

應用程式流量會流經任務 ENI。

因為每項任務都會取得自己的 ENI,所以您可以利用聯網功能,例如 VPC 流程日誌,以便您監控任務的進出流量。如需詳細資訊,請參閱「Amazon VPC 使用者指南」中的 VPC 流程日誌

您也可以利用 AWS PrivateLink。您可以設定 VPC 介面端點,以便透過私有 IP 地址存取 Amazon ECS API。 AWS PrivateLink 會將您 VPC 與 Amazon ECS 之間的所有網路流量限制於 Amazon 網路中。您不需要網際網路閘道、NAT 裝置或虛擬私有閘道。如需詳細資訊,請參閱 Amazon ECS 介面 VPC 端點 (AWS PrivateLink)

awsvpc 網路模式也可讓您在使用未連接中繼 ENIs 的執行個體類型時,利用 Amazon VPC 流量鏡射來安全監控網路流量。如需詳細資訊,請參閱 Amazon VPC Traffic Mirroring Guide 中的 What is Traffic Mirroring?

awsvpc 模式考量

  • 任務需要 Amazon ECS 服務連結角色,才能進行 ENI 管理。此角色會在您建立叢集或服務時自動建立。

  • 任務 ENI 由 Amazon ECS 管理,無法手動卸離或修改。

  • 不支援在執行獨立任務 (RunTask) 或建立/更新服務 (CreateService/UpdateService) 時,使用 assignPublicIp 將公有 IP 位址指派給任務 ENI。

  • 在任務層級設定 awsvpc 聯網時,必須使用在 Amazon ECS 受管執行個體容量提供者啟動範本中指定的相同 VPC。您可以使用與啟動範本中指定之子網路和安全群組不同的子網路與安全群組。

  • 對於 awsvpc 網路模式任務,請在設定負載平衡器目標群組時使用 ip 目標類型。Amazon ECS 會針對支援的聯網模式,自動管理目標群組註冊。

在雙堆疊模式下使用 VPC

在雙堆疊模式中使用 VPC 時,任務可透過 IPv4 或 IPv6 或兩者進行通訊。IPv4 與 IPv6 位址彼此獨立。因此,您必須在 VPC 中為 IPv4 與 IPv6 分別配置路由與安全設定。如需如何將 VPC 設定為雙堆疊模式的詳細資訊,請參閱《Amazon VPC 使用者指南》中的遷移至 IPv6

如果您為 VPC 設定網際網路閘道或傳出限定網際網路閘道,則可以在雙堆疊模式下使用 VPC。藉此,指派 IPv6 位址的工作就能透過網際網路閘道或僅限出口的網際網路閘道存取網際網路。NAT 閘道是選用。如需詳細資訊,請參閱 《Amazon VPC 使用者指南》 中的網際網路閘道輸出限定網際網路閘道

如果符合下列條件,將會為 Amazon ECS 任務指派 IPv6 地址:

  • Amazon ECS 受管執行個體託管的任務正在使用版本 1.45.0 或更新版本的容器代理程式。如需如何檢查執行個體使用之代理程式版本以及視需要進行更新的相關資訊,請參閱 更新 Amazon ECS 容器代理程式

  • dualStackIPv6 帳戶設定已啟用。如需詳細資訊,請參閱透過帳戶設定使用 Amazon ECS 功能

  • 您的任務是使用 awsvpc 網路模式。

  • 您的 VPC 與子網路已針對 IPv6 進行設定。組態包含在指定子網路中建立的網路介面。如需如何將 VPC 設定為雙堆疊模式的詳細資訊,請參閱《Amazon VPC 使用者指南》中的遷移至 IPv6修改您子網路的公有 IPv6 定址屬性