Netzwerkoptionen für Amazon-ECS-Aufgaben für Fargate - Amazon Elastic Container Service
ÜberlegungenVerwenden einer VPC im Dual-Stack-ModusVerwenden einer VPC im Modus „Nur IPv6“

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Netzwerkoptionen für Amazon-ECS-Aufgaben für Fargate

Standardmäßig wird jede Amazon-ECS-Aufgabe auf Fargate eine Elastic-Network-Schnittstelle (ENI) mit einer primären privaten IP-Adresse bereitgestellt. Wenn Sie ein öffentliches Subnetz verwenden, können Sie der ENI der Aufgabe optional eine öffentliche IP-Adresse zuweisen. Wenn Ihre VPC für den Dual-Stack-Modus konfiguriert ist und Sie ein Subnetz mit einem IPv6 CIDR-Block verwenden, erhält die ENI Ihrer Aufgabe auch eine Adresse. IPv6 Einer Aufgabe kann immer nur eine ENI auf einmal zugeordnet sein. Container, die zur selben Aufgabe gehören, können auch über die localhost-Schnittstelle kommunizieren. Weitere Informationen zu VPCs Subnetzen finden Sie unter So funktioniert Amazon VPC im Amazon VPC-Benutzerhandbuch.

Damit eine Aufgabe auf Fargate ein Container-Image abrufen kann, muss die Aufgabe eine Route zum Internet haben. Nachfolgend finden Sie Informationen darüber, wie Sie sicherstellen können, dass Ihre Aufgabe über einen Pfad zum Internet verfügt.

  • Wenn Sie ein öffentliches Subnetz verwenden, können Sie der Aufgaben-ENI eine öffentliche IP-Adresse zuweisen.

  • Bei Verwendung eines privaten Subnetzes kann ein NAT-Gateway an das Subnetz angeschlossen sein.

  • Wenn Sie Container-Images verwenden, die in Amazon ECR gehostet werden, können Sie Amazon ECR so konfigurieren, dass es einen VPC-Schnittstellen-Endpunkt verwendet und der Image-Pull über die private Adresse der Aufgabe erfolgt. IPv4 Weitere Informationen finden Sie unter Amazon ECR-Schnittstellen VPC-Endpunkte (AWS PrivateLink) im Amazon Elastic Container-Registry-Benutzerhandbuch.

Da jede Aufgabe ihre eigene ENI erhält, können Sie Netzwerkfeatures wie VPC Flow Logs nutzen, sodass Sie den Verkehr zu und von Ihren Aufgaben überwachen können. Weitere Informationen finden Sie unter VPC-Flow-Protokolle im Benutzerhandbuch für Amazon VPC.

Sie können auch die Vorteile nutzen. AWS PrivateLink Sie können einen VPC-Schnittstellenendpunkt so konfigurieren, dass Sie APIs über private IP-Adressen auf Amazon ECS zugreifen können. AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihrer VPC und Amazon ECS auf das Amazon-Netzwerk ein. Sie benötigen kein Internet-Gateway, kein NAT-Gerät und kein Virtual Private Gateway. Weitere Informationen finden Sie unter VPC-Endpunkte der Amazon-ECS-Schnittstelle (AWS PrivateLink).

Beispiele für die Verwendung der NetworkConfiguration Ressource mit finden Sie CloudFormation unter. CloudFormation Beispielvorlagen für Amazon ECS

Die ENIs erstellten Dateien werden vollständig von verwaltet AWS Fargate. Darüber hinaus gibt es eine zugeordnete IAM-Richtlinie, die zum Erteilen von Berechtigungen für Fargate verwendet wird. Bei Aufgaben, die die Fargate-Plattformversion 1.4.0 oder höher verwenden, empfängt die Aufgabe eine einzelne ENI (als Aufgaben-ENI bezeichnet) und der gesamte Netzwerkverkehr fließt durch diese ENI innerhalb Ihrer VPC. Dieser Netzwerkverkehr wird in Ihren VPC-Flow-Protokollen aufgezeichnet. Für Aufgaben, die die Fargate-Plattformversion 1.3.0 und älter verwenden, erhält die Aufgabe zusätzlich zu der Aufgaben-ENI auch eine separate ENI im Besitz von Fargate, die für Netzwerkverkehr verwendet wird, der in den VPC-Flow-Protokollen nicht sichtbar ist. Im der folgenden Tabelle werden das Verhalten des Netzwerkverkehrs sowie die erforderliche IAM-Richtlinie für jede Plattformversion beschrieben.

Action Datenverkehrsfluss mit Linux-Plattformversion 1.3.0 und älter Datenverkehrsfluss mit Linux-Plattformversion 1.4.0 Datenverkehrsfluss mit Windows-Plattformversion 1.0.0 IAM-Berechtigung
Amazon ECR-Anmeldeinformationen abrufen ENI im Besitz von Fargate Aufgaben-ENI Aufgaben-ENI IAM-Aufgabenausführungsrolle
Image abrufen Aufgaben-ENI Aufgaben-ENI Aufgaben-ENI IAM-Aufgabenausführungsrolle
Senden von Protokollen über einen Protokolltreiber Aufgaben-ENI Aufgaben-ENI Aufgaben-ENI IAM-Aufgabenausführungsrolle
Protokolle FireLens für Amazon ECS senden Aufgaben-ENI Aufgaben-ENI Aufgaben-ENI IAM-Rolle für Aufgabe
Abrufen von Geheimnissen aus Secrets Manager oder Systems Manager ENI im Besitz von Fargate Aufgaben-ENI Aufgaben-ENI IAM-Aufgabenausführungsrolle
Datenverkehr des Amazon EFS-Dateisystems Nicht verfügbar Aufgaben-ENI Aufgaben-ENI IAM-Rolle für Aufgabe
Datenverkehr der Anwendung Aufgaben-ENI Aufgaben-ENI Aufgaben-ENI IAM-Rolle für Aufgabe

Überlegungen

Beachten Sie Folgendes, wenn Sie Aufgabenvernetzung verwenden.

  • Die serviceverknüpfte Amazon ECS-Rolle ist erforderlich, um Amazon ECS die Berechtigungen zu erteilen, in Ihrem Namen Anrufe an andere AWS Services zu tätigen. Diese Rolle wird für Sie erstellt, wenn Sie einen Cluster erstellen oder wenn Sie einen Service in der AWS-Managementkonsole erstellen oder aktualisieren. Weitere Informationen finden Sie unter Verwendung von serviceverknüpften Rollen für Amazon ECS. Sie können die serviceverknüpfte Rolle auch mit dem folgenden AWS CLI Befehl erstellen.

    aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com

  • Amazon ECS füllt den Hostnamen der Aufgabe mit einem von Amazon bereitgestellten DNS-Hostnamen auf, wenn sowohl die Option enableDnsHostnames als auch die Option enableDnsSupport auf Ihrer VPC aktiviert sind. Wenn diese Optionen nicht aktiviert sind, ist der DNS-Hostname der Aufgabe ein zufälliger Hostname. Weitere Informationen zu den DNS-Einstellungen für eine ECS finden Sie unter Verwenden von DNS in Ihrer VPC im Amazon-VPC-Benutzerhandbuch.

  • Sie können für awsVpcConfiguration nur bis zu 16 Subnetze und 5 Sicherheitsgruppen angeben. Weitere Informationen finden Sie AwsVpcConfigurationin der Amazon Elastic Container Service API-Referenz.

  • Sie können die von Fargate erstellten und angehängten Dateien nicht manuell trennen oder ändern. ENIs Auf diese Weise wird ein versehentliches Löschen einer ENI, die einer aktuell ausgeführten Aufgabe zugeordnet wird, verhindert. Um das ENIs für eine Aufgabe freizugeben, beenden Sie die Aufgabe.

  • Wenn ein VPC-Subnetz aktualisiert wird, um die eingestellten DHCP-Optionen zu ändern, können Sie diese Änderungen auch nicht für vorhandene Aufgaben übernehmen, die die VPC verwenden. Starten Sie neue Aufgaben, die die neue Einstellung erhalten, damit die Migration reibungslos funktioniert. Testen Sie die neue Änderung und stoppen Sie dann die alten Aufgaben, wenn kein Rollback erforderlich ist.

  • Das Folgende gilt für Aufgaben, die auf der Fargate-Plattformversion 1.4.0 oder höher für Linux oder 1.0.0 für Windows ausgeführt werden. Aufgaben, die in Dual-Stack-Subnetzen gestartet werden, erhalten eine IPv4 Adresse und eine IPv6 Adresse. Aufgaben, die nur in Subnetzen gestartet werden, erhalten IPv6 nur eine Adresse. IPv6

  • Für Aufgaben, die die Plattformversion 1.4.0 oder höher für Linux oder 1.0.0 Windows verwenden, ENIs unterstützt die Aufgabe Jumbo Frames. Netzwerkschnittstellen sind mit einer Maximum Transmission Unit (MTU) konfiguriert, die der Größe der größten Nutzlast entspricht, die in einen einzelnen Frame passt. Je größer die MTU ist, desto mehr Anwendungsnutzlast passt in ein einzelnes Frame, was den Overhead pro Frame reduziert und die Effizienz erhöht. Die Unterstützung von Jumbo-Frames reduziert den Overhead, wenn der Netzwerkpfad zwischen Ihrer Aufgabe und dem Ziel Jumbo-Frames unterstützt.

  • Services mit Aufgaben, die Fargate verwenden, unterstützen nur Application Load Balancer oder Network Load Balancer. Classic Load Balancer werden nicht unterstützt. Wenn Sie eine beliebige Zielgruppe für diese Services erstellen, müssen Sie ip als Zieltyp auswählen und nicht instance. Weitere Informationen finden Sie unter Verwenden von Load Balancing für die Verteilung des Service-Datenverkehrs in Amazon ECS.

Verwenden einer VPC im Dual-Stack-Modus

Wenn Sie eine VPC im Dual-Stack-Modus verwenden, können Ihre Aufgaben über IPv4 oder oder beides IPv6 kommunizieren. IPv4 und IPv6 Adressen sind unabhängig voneinander und Sie müssen Routing und Sicherheit in Ihrer VPC separat für IPv4 und IPv6 konfigurieren. Weitere Informationen zur Konfiguration Ihrer VPC für den Dual-Stack-Modus finden Sie unter Migration zu IPv6 im Amazon VPC-Benutzerhandbuch.

Wenn die folgenden Bedingungen erfüllt sind, wird Amazon ECS-Aufgaben auf Fargate eine IPv6 Adresse zugewiesen:

  • Ihre Amazon-ECS-Kontoeinstellung dualStackIPv6 ist für den IAM-Prinzipal aktiviert (enabled), der Ihre Aufgaben in der Region startet, in der Sie Ihre Aufgaben starten. Diese Einstellung kann nur mit der API oder AWS CLI geändert werden. Sie haben die Möglichkeit, diese Einstellung für einen bestimmten IAM-Prinzipal in Ihrem Konto oder für Ihr gesamtes Konto zu aktivieren, indem Sie die Standardeinstellung für Ihr Konto festlegen. Weitere Informationen finden Sie unter Zugriff auf Amazon-ECS-Features über die Kontoeinstellungen.

  • Ihre VPC und Ihr Subnetz sind für aktiviert. IPv6 Weitere Informationen zur Konfiguration Ihrer VPC für den Dual-Stack-Modus finden Sie unter Migration zu IPv6 im Amazon VPC-Benutzerhandbuch.

  • Ihr Subnetz ist für die automatische Zuweisung IPv6 von Adressen aktiviert. Weitere Informationen zur Konfiguration Ihres Subnetzes finden Sie unter Ändern des IPv6 Adressierungsattributs für Ihr Subnetz im Amazon VPC-Benutzerhandbuch.

  • Die Aufgabe oder der Service verwendet die Fargate-Plattformversion 1.4.0 oder höher für Linux.

Amazon ECS-Aufgaben auf Fargate, die in einer VPC im Dual-Stack-Modus ausgeführt werden, benötigen IPv4 (0.0.0.0/0) Routen zu einem Internet-Gateway oder NAT-Gateway. Weitere Informationen finden Sie unter Internet-Gateways im Benutzerhandbuch für Amazon VPC.

Verwenden einer VPC im Modus „Nur IPv6“

In einer IPv6 Nur-Konfiguration kommunizieren Ihre Amazon ECS-Aufgaben ausschließlich über IPv6. Um Subnetze für eine IPv6 Nur-Only-Konfiguration einzurichten VPCs , müssen Sie der VPC einen IPv6 CIDR-Block hinzufügen und Subnetze erstellen, die nur einen CIDR-Block enthalten. IPv6 Weitere Informationen finden Sie unter IPv6 Unterstützung für Ihre VPC hinzufügen und Subnetz erstellen im Amazon VPC-Benutzerhandbuch. Sie müssen auch die Routing-Tabellen mit IPv6 Zielen aktualisieren und Sicherheitsgruppen mit Regeln konfigurieren. IPv6 Weitere Informationen finden Sie unter Routing-Tabellen konfigurieren und Sicherheitsgruppenregeln konfigurieren im Amazon-VPC-Benutzerhandbuch.

Beachten Sie die folgenden Überlegungen:

  • Sie können einen Amazon ECS-Service IPv4 nur oder einen Dual-Stack-Service auf eine IPv6 Nur-Konfiguration aktualisieren, indem Sie entweder den Service direkt aktualisieren, sodass er IPv6 nur Subnetze verwendet, oder indem Sie einen reinen IPv6 Parallel-Service erstellen und Amazon ECS-Bereitstellungen in Blaugrün verwenden, um den Datenverkehr auf den neuen Service zu verlagern. Weitere Informationen zu Amazon-ECS-Blau/Grün-Bereitstellungen finden Sie unter Amazon blue/green ECS-Bereitstellungen.

  • Ein IPv6 reiner Amazon ECS-Service muss Dual-Stack-Loadbalancer mit Zielgruppen verwenden. IPv6 Wenn Sie einen bestehenden Amazon-ECS-Service migrieren, der hinter einem Application Load Balancer oder einem Network Load Balancer steht, können Sie einen neuen Dual-Stack-Load Balancer erstellen und den Datenverkehr vom alten Load Balancer verlagern oder den IP-Adresstyp des vorhandenen Load Balancers aktualisieren.

    Weitere Informationen zu Network Load Balancers finden Sie unter Erstellen eines Network Load Balancers und Aktualisieren der IP-Adresstypen für Ihren Network Load Balancer im Benutzerhandbuch für Network Load Balancer. Weitere Informationen zu Application Load Balancers finden Sie unter Erstellen eines Application Load Balancer und Aktualisieren der IP-Adresstypen für Ihren Application Load Balancer im Benutzerhandbuch für Application Load Balancer.

  • IPv6Die Konfiguration „Nur“ wird auf nicht unterstützt. Windows

  • Für Amazon ECS-Aufgaben in einer IPv6 Nur-Konfiguration zur Kommunikation mit IPv4 Nur-Endpunkten können Sie eine Netzwerkadressübersetzung von NAT64 nach einrichtenDNS64. IPv6 IPv4 Weitere Informationen finden Sie unter DNS64 und NAT64 im Amazon VPC-Benutzerhandbuch.

  • IPv6-Nur die Konfiguration wird auf der Fargate-Plattformversion 1.4.0 oder höher unterstützt.

  • Amazon ECS-Workloads in einer IPv6 Nur-Konfiguration müssen Amazon ECR Dual-Stack-Image-URI-Endpunkte verwenden, wenn Bilder aus Amazon ECR abgerufen werden. Weitere Informationen finden Sie unter Erste Schritte beim Anstellen von Anfragen IPv6 im Amazon Elastic Container Registry User Guide.

    Anmerkung

    Amazon ECR unterstützt keine VPC-Endpunkte mit dualer Stack-Schnittstelle, die Aufgaben in einer IPv6 Nur-Konfiguration verwenden können. Weitere Informationen finden Sie unter Erste Schritte beim Anstellen von Anfragen IPv6 im Amazon Elastic Container Registry User Guide.

  • Amazon ECS Exec wird in einer IPv6 Nur-Konfiguration nicht unterstützt.

  • Amazon unterstützt CloudWatch keinen Dual-Stack-FIPS-Endpunkt, der zur Überwachung von Amazon ECS-Aufgaben in einer IPv6 Nur-Konfiguration verwendet werden kann, die FIPS-140-Konformität verwendet. Weitere Informationen über FIPS-140 finden Sie unter AWS Fargate Bundesstandard für die Informationsverarbeitung (FIPS-140).

AWS-Regionen der den IPv6 Nur-Modus für Amazon ECS unterstützt

In den folgenden Konfigurationen, in AWS-Regionen denen Amazon ECS verfügbar ist, können Sie Aufgaben IPv6 nur in einer Konfiguration ausführen:

  • US East (Ohio)

  • USA Ost (Nord-Virginia)

  • USA West (Nordkalifornien)

  • USA West (Oregon)

  • Africa (Cape Town)

  • Asien-Pazifik (Hongkong)

  • Asien-Pazifik (Hyderabad)

  • Asien-Pazifik (Jakarta)

  • Asien-Pazifik (Melbourne)

  • Asien-Pazifik (Mumbai)

  • Asien-Pazifik (Osaka)

  • Asien-Pazifik (Seoul)

  • Asien-Pazifik (Singapur)

  • Asien-Pazifik (Sydney)

  • Asien-Pazifik (Tokio)

  • Canada (Central)

  • Kanada West (Calgary)

  • China (Peking)

  • China (Ningxia)

  • Europa (Frankfurt)

  • Europa (London)

  • Europa (Milan)

  • Europa (Paris)

  • Europa (Spain)

  • Israel (Tel Aviv)

  • Middle East (Bahrain)

  • Naher Osten (VAE)

  • Südamerika (São Paulo)

  • AWS GovCloud (US-Ost)

  • AWS GovCloud (US-West)