Amazon ECS Service Connect mit gemeinsam genutzten AWS Cloud Map -Namespaces - Amazon Elastic Container Service
Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon ECS Service Connect mit gemeinsam genutzten AWS Cloud Map -Namespaces

Amazon ECS Service Connect unterstützt die Verwendung gemeinsam genutzter AWS Cloud Map Namespaces für mehrere AWS-Konten innerhalb desselben. AWS-Region Mit dieser Funktion können Sie verteilte Anwendungen erstellen, in denen Dienste, die auf verschiedenen Geräten ausgeführt werden, sich gegenseitig erkennen und über Service Connect miteinander kommunizieren AWS-Konten können. Gemeinsam genutzte Namespaces werden mithilfe von AWS Resource Access Manager (AWS RAM) verwaltet, was eine sichere kontenübergreifende gemeinsame Nutzung von Ressourcen ermöglicht. Weitere Informationen zu gemeinsam genutzten Namespaces finden Sie unter Kontenübergreifende Namespaces Sharing im AWS Cloud Map Developer Guide.AWS Cloud Map

Wichtig

Sie müssen die AWSRAMPermissionCloudMapECSFullPermission-verwaltete Berechtigung verwenden, um den Namespace gemeinsam zu nutzen, damit Service Connect ordnungsgemäß mit dem Namespace funktioniert.

Wenn Sie gemeinsam genutzte AWS Cloud Map Namespaces mit Service Connect verwenden, AWS-Konten können Dienste von mehreren am selben Dienstnamespace teilnehmen. Dies ist besonders nützlich für Organisationen mit mehreren Benutzern AWS-Konten , die die service-to-service Kommunikation über Kontogrenzen hinweg aufrechterhalten und gleichzeitig Sicherheit und Isolation wahren müssen.

Anmerkung

Um mit Diensten zu kommunizieren, die sich in verschiedenen Versionen befinden VPCs, müssen Sie die Inter-VPC-Konnektivität konfigurieren. Dies kann mithilfe einer VPC-Peering-Verbindung erreicht werden. Weitere Informationen finden Sie unter Erstellen oder Löschen einer VPC-Peering-Verbindung im VPC-Peering-Handbuch für Amazon Virtual Private Cloud.

Überlegungen

Beachten Sie Folgendes, wenn Sie gemeinsam genutzte AWS Cloud Map Namespaces mit Service Connect verwenden:

  • AWS RAM muss dort verfügbar sein, AWS-Region wo Sie den gemeinsam genutzten Namespace verwenden möchten.

  • Der gemeinsam genutzte Namespace muss sich in demselben befinden AWS-Region wie Ihre Amazon ECS-Services und -Cluster.

  • Sie müssen den Namespace-ARN und nicht die ID verwenden, wenn Sie Service Connect mit einem gemeinsam genutzten Namespace konfigurieren.

  • Alle Namespace-Typen werden unterstützt: HTTP-, Private DNS- und Öffentliche DNS-Namespaces.

  • Wenn der Zugriff auf einen gemeinsam genutzten Namespace gesperrt wird, schlagen Amazon-ECS-Vorgänge fehl, die eine Interaktion mit dem Namespace erfordern (wie CreateService, UpdateService und ListServicesByNamespace). Weitere Informationen zur Fehlerbehebung bei gemeinsam genutzten Namespaces finden Sie unter Fehlerbehebung bei Amazon ECS Service Connect mit gemeinsam genutzten AWS Cloud Map Namespaces.

  • Informationen zur Serviceerkennung mithilfe von DNS-Abfragen in einem gemeinsam genutzten privaten DNS-Namespace:

    • Der Namespace-Besitzer muss create-vpc-association-authorization mit der ID der privaten gehosteten Zone, die dem Namespace zugeordnet ist, und der VPC des Verbrauchers aufrufen.

      aws route53 create-vpc-association-authorization --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    • Der Namespace-Besitzer muss associate-vpc-with-hosted-zone mit der ID der privaten gehosteten Zone aufrufen.

      aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

  • Nur der Namespace-Besitzer kann die Ressourcenfreigabe verwalten.

  • Namespace-Benutzer können Services innerhalb des gemeinsam genutzten Namespaces erstellen und verwalten, den Namespace selbst jedoch nicht ändern.

  • Erkennungsnamen müssen innerhalb des gemeinsam genutzten Namespaces eindeutig sein, unabhängig davon, welches Konto den Service erstellt.

  • Dienste im gemeinsam genutzten Namespace können Dienste von anderen AWS Konten, die Zugriff auf den Namespace haben, erkennen und eine Verbindung zu ihnen herstellen.

  • Wenn TLS für Service Connect aktiviert und ein gemeinsam genutzter Namespace verwendet wird, ist die AWS Private CA Zertifizierungsstelle (CA) auf den Namespace beschränkt. Wenn der Zugriff auf den gemeinsam genutzten Namespace gesperrt wird, wird der Zugriff auf die CA gestoppt.

  • Bei der Arbeit mit einem gemeinsam genutzten Namespace haben Namespace-Besitzer und -Verbraucher standardmäßig keinen Zugriff auf kontoübergreifende CloudWatch Amazon-Metriken. Target-Metriken werden nur für Konten veröffentlicht, die Kundenservices besitzen. Ein Konto, dem Kundendienste gehören, hat keinen Zugriff auf Messwerte, die von einem Konto empfangen wurden, das Client-Server-Dienste besitzt, und umgekehrt. Um kontoübergreifenden Zugriff auf Messwerte zu ermöglichen, richten Sie die kontenübergreifende Beobachtbarkeit ein. CloudWatch Weitere Informationen zur Konfiguration der kontoübergreifenden Observability finden Sie unter CloudWatch Accountübergreifende Observability im Amazon-Benutzerhandbuch. CloudWatch Weitere Informationen zu den CloudWatch Metriken für Service Connect finden Sie unterAmazon CloudWatch ECS-Metriken .