使用 AMS SSP 在 AMS 帳戶中的 AWS Fargate 上佈建 Amazon ECS - AMS 進階使用者指南
AWS Managed Services 常見問答集中的 Fargate 上的 Amazon ECS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AMS SSP 在 AMS 帳戶中的 AWS Fargate 上佈建 Amazon ECS

使用 AMS 自助式佈建 (SSP) 模式直接在 AMS 受管帳戶中存取 Amazon ECS on AWS Fargate 功能。 AWS Fargate 是一項技術,您可以與 Amazon ECS 搭配使用來執行容器 (請參閱 上的容器 AWS),而無需管理 Amazon EC2 執行個體的伺服器或叢集。使用 AWS Fargate,您不再需要佈建、設定或擴展虛擬機器叢集來執行容器。這樣一來即無須選擇伺服器類型、決定何時擴展叢集,或最佳化叢集壓縮。

若要進一步了解,請參閱 上的 Amazon ECS AWS Fargate

AWS Managed Services 常見問答集中的 Fargate 上的 Amazon ECS

問:如何在 AMS 帳戶中請求存取 Fargate 上的 Amazon ECS?

透過使用 Management | AWS service | Self-visioned service | Add (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Fargate 上的 Amazon ECS。此 RFC 會將下列 IAM 角色佈建至您的帳戶: customer_ecs_fargate_console_role(如果沒有提供現有 IAM 角色將 ECS 政策與 建立關聯)customer_ecs_fargate_events_service_role、、customer_ecs_task_execution_service_rolecustomer_ecs_codedeploy_service_roleAWSServiceRoleForApplicationAutoScaling_ECSService。在帳戶中佈建後,您必須在聯合解決方案中加入角色。

問:在我的 AMS 帳戶中使用 Fargate 上的 Amazon ECS 有哪些限制?

  • Amazon ECS 任務監控和記錄會被視為您的責任,因為容器層級活動發生在 Hypervisor 上方,而記錄功能受到 Fargate 上的 Amazon ECS 限制。身為 Fargate 上的 Amazon ECS 使用者,我們建議您採取必要步驟來啟用 Amazon ECS 任務的記錄。如需詳細資訊,請參閱為您的容器啟用 awslogs 日誌驅動程式

  • 容器層級的安全和惡意軟體保護也被視為您的責任。Fargate 上的 Amazon ECS 不包含 Trend Micro 或預先設定的網路安全元件。

  • 此服務適用於多帳戶登陸區域和單一帳戶登陸區域 AMS 帳戶。

  • 根據預設,自我佈建角色中的 Amazon ECS Service Discovery 會受到限制,因為建立 Route 53 私有託管區域需要更高的許可。若要在服務上啟用服務探索,請提交管理 | 其他 | 其他 | 更新變更類型。若要提供為 Amazon ECS Service 啟用 Service Discovery 所需的資訊,請參閱 Service Discovery 手冊

  • AMS 目前不會管理或限制用於在 Amazon ECS Fargate 上部署至容器的映像。您將能夠從 Amazon ECR、Docker Hub 或任何其他私有映像儲存庫部署映像。因此,我們建議不要部署公有或任何不安全的影像,因為它們可能會導致帳戶發生惡意活動。

問:在我的 AMS 帳戶中在 Fargate 上使用 Amazon ECS 的先決條件或相依性是什麼?

  • 以下是 Fargate 上 Amazon ECS 的相依性;不過,使用自行佈建的角色啟用這些服務不需要其他動作:

    • CloudWatch Logs

    • CloudWatch 活動

    • CloudWatch 警示

    • CodeDeploy

    • App Mesh

    • 雲端地圖

    • Route 53

  • 根據您的使用案例,以下是 Amazon ECS 所依賴的資源,在您的帳戶中使用 Fargate 上的 Amazon ECS 之前可能需要的資源:

    • 要與 Amazon ECS 服務搭配使用的安全群組。您可以使用部署 | 進階堆疊元件 | 安全群組 | 建立 (自動) (ct-3pc215bnwb6p7),或者,如果您的安全群組需要特殊規則,請使用部署 | 進階堆疊元件 | 安全群組 | 建立 (需要檢閱) (ct-1oxx2g2d7hc90)。注意:您使用 Amazon ECS 選取的安全群組必須專門為 Amazon ECS 服務或叢集所在的 Amazon ECS 建立。您可以在 Amazon Elastic Container Service 中的設定 Amazon ECS 和安全性一節中進一步了解。 https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html

    • 應用程式負載平衡器 (ALB)、網路負載平衡器 (NLB)、傳統負載平衡器 (ELB),用於任務之間的負載平衡。

    • ALBs 的目標群組。

    • 要與您的 Amazon ECS 叢集整合的應用程式網格資源 (例如 Virtual Router、Virtual Services、Virtual Nodes)。

  • 目前,在標準 AMS 變更類型之外建立時,AMS 無法自動降低與支援安全群組許可相關的風險。我們建議您請求特定安全群組以搭配 Fargate 叢集使用,以限制使用非指定用於 Amazon ECS 的安全群組的可能性。