本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配共用 AWS Cloud Map 命名空間使用 Amazon ECS Service Connect
Amazon ECS Service Connect 支援在同一 AWS 帳戶 內跨多個 使用共用 AWS Cloud Map 命名空間 AWS 區域。此功能可讓您建立分散式應用程式,其中在不同的 中執行的服務 AWS 帳戶 可以透過 Service Connect 彼此探索和通訊。共用命名空間使用 AWS Resource Access Manager (AWS RAM) 進行管理,允許安全的跨帳戶資源共用。如需共用命名空間的詳細資訊,請參閱《 AWS Cloud Map 開發人員指南》中的跨帳戶 AWS Cloud Map 命名空間共用。
重要
必須使用 AWSRAMPermissionCloudMapECSFullPermission 受管許可來共用命名空間,Service Connect 才能在命名空間正常運作。
當您搭配 Service Connect 使用共用 AWS Cloud Map 命名空間時,來自多個 的服務 AWS 帳戶 可以參與相同的服務命名空間。這對於具有多個 的組織特別有用 AWS 帳戶 ,這些組織需要維持跨帳戶邊界service-to-service通訊,同時保持安全和隔離。
注意
若要與位於不同 VPC 中的服務通訊,您需要設定 VPC 間連線功能。這可以使用 VPC 對等互連來實現。如需詳細資訊,請參閱 Amazon Virtual Private Cloud VPC Peering Guide 中的 Create or delete a VPC Peering connection。
考量事項
搭配 Service Connect 使用共用 AWS Cloud Map 命名空間時,請考慮下列事項:
-
AWS RAM 必須在 AWS 區域 您要使用共用命名空間的 中可用。
-
共用命名空間必須與 AWS 區域 Amazon ECS 服務和叢集位於相同的 中。
-
使用共用命名空間設定 Service Connect 時,必須使用命名空間 ARN,而不是 ID。
-
支援所有命名空間類型:HTTP、私有 DNS 與公有 DNS 命名空間。
-
如果撤銷共用命名空間的存取權,則需要與命名空間互動的 Amazon ECS 操作 (例如
CreateService、UpdateService與ListServicesByNamespace) 將會失敗。如需有關對共用命名空間許可問題進行疑難排解的詳細資訊,請參閱使用共用 AWS Cloud Map 命名空間對 Amazon ECS Service Connect 進行故障診斷。 -
若在共用私有 DNS 命名空間中使用 DNS 查詢進行服務探索:
-
命名空間擁有者需要呼叫
create-vpc-association-authorization,並指定與命名空間關聯的私有託管區域的 ID 以及取用者的 VPC。aws route53 create-vpc-association-authorization --hosted-zone-idZ1234567890ABC--vpc VPCRegion=us-east-1,VPCId=vpc-12345678 -
命名空間取用者需要呼叫
associate-vpc-with-hosted-zone,並指定私有託管區域的 ID。aws route53 associate-vpc-with-hosted-zone --hosted-zone-idZ1234567890ABC--vpc VPCRegion=us-east-1,VPCId=vpc-12345678
-
-
只有命名空間擁有者可以管理資源共用。
-
命名空間取用者可以在共用命名空間內建立與管理服務,但無法修改命名空間本身。
-
無論是哪個帳戶建立服務,探索名稱在共用命名空間內都必須是唯一的。
-
共用命名空間中的服務可以探索和連線到其他可存取命名空間之 AWS 帳戶的 服務。
-
為 Service Connect 啟用 TLS 並使用共用命名空間時, AWS 私有 CA 憑證認證機構 (CA) 的範圍僅限於該命名空間。撤銷共用命名空間的存取權時,CA 的存取權也會停止。
-
使用共用命名空間時,命名空間擁有者和取用者預設無法存取跨帳戶 Amazon CloudWatch 指標。目標指標只會發佈至擁有用戶端服務的帳戶。擁有用戶端服務的帳戶無法存取擁有用戶端-伺服器服務的帳戶接收的指標,反之亦然。若要允許跨帳戶存取指標,請設定 CloudWatch 跨帳戶可觀測性。如需設定跨帳戶可觀測性的詳細資訊,請參閱《Amazon CloudWatch 使用者指南》中的 CloudWatch 跨帳戶可觀測性。 Amazon CloudWatch 如需 Service Connect CloudWatch 指標的詳細資訊,請參閱 Amazon ECS CloudWatch 指標 。
