Amazon ECS Service Connect avec espaces de noms AWS Cloud Map partagés - Amazon Elastic Container Service
Considérations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon ECS Service Connect avec espaces de noms AWS Cloud Map partagés

Amazon ECS Service Connect prend en charge l'utilisation d' AWS Cloud Map espaces de noms partagés sur plusieurs sites Comptes AWS au sein d'un même Région AWS site. Cette fonctionnalité vous permet de créer des applications distribuées dans lesquelles des services exécutés dans différents environnements Comptes AWS peuvent se découvrir et communiquer entre eux via Service Connect. Les espaces de noms partagés sont gérés à l’aide d’ AWS Resource Access Manager (AWS RAM), qui permet un partage sécurisé des ressources entre comptes. Pour plus d'informations sur les espaces de noms partagés, voir Partage d'espaces de AWS Cloud Map noms entre comptes dans le Guide du AWS Cloud Map développeur.

Important

Vous devez utiliser l’autorisation gérée AWSRAMPermissionCloudMapECSFullPermission pour partager l’espace de noms afin que Service Connect fonctionne correctement avec l’espace de noms.

Lorsque vous utilisez des AWS Cloud Map espaces de noms partagés avec Service Connect, les services de plusieurs utilisateurs Comptes AWS peuvent participer au même espace de noms de service. Cela est particulièrement utile pour les organisations qui en ont plusieurs et Comptes AWS qui ont besoin de maintenir service-to-service la communication au-delà des limites de leurs comptes tout en préservant la sécurité et l'isolation.

Note

Pour communiquer avec des services situés dans des environnements différents VPCs, vous devez configurer la connectivité inter-VPC. Cela peut être réalisé à l’aide d’une connexion d’appairage de VPC. Pour plus d’informations, consultez la section Création ou suppression d’une connexion d’appairage de VPC dans le Guide d’appairage de VPC Amazon Virtual Private Cloud.

Considérations

Tenez compte des points suivants lorsque vous utilisez des AWS Cloud Map espaces de noms partagés avec Service Connect :

  • AWS RAM doit être disponible dans l' Région AWS endroit où vous souhaitez utiliser l'espace de noms partagé.

  • L'espace de noms partagé doit être Région AWS identique à celui de vos services et clusters Amazon ECS.

  • Vous devez utiliser l’ARN de l’espace de noms, et non l’ID, lorsque vous configurez Service Connect avec un espace de noms partagé.

  • Tous les types d’espaces de noms sont pris en charge : espaces de noms HTTP, DNS privé et DNS public.

  • Si l’accès à un espace de noms partagé est révoqué, les opérations Amazon ECS qui nécessitent une interaction avec l’espace de noms (telles que CreateService, UpdateService et ListServicesByNamespace) échoueront. Pour plus d’informations sur la résolution des problèmes d’autorisation liés aux espaces de noms partagés, consultez la section Résolution des problèmes liés à Amazon ECS Service Connect avec des espaces de AWS Cloud Map noms partagés.

  • Pour la découverte de service à l’aide de requêtes DNS dans un espace de noms DNS privé partagé :

    • Le propriétaire de l’espace de noms devra appeler create-vpc-association-authorization avec l’ID de la zone hébergée privée associée à l’espace de noms et le VPC du consommateur.

      aws route53 create-vpc-association-authorization --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    • Le consommateur de l’espace de noms devra appeler associate-vpc-with-hosted-zone avec l’ID de la zone hébergée privée.

      aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

  • Seul le propriétaire de l’espace de noms peut gérer le partage des ressources.

  • Les consommateurs de l’espace de noms peuvent créer et gérer des services au sein de l’espace de noms partagé, mais ne peuvent pas modifier l’espace de noms lui-même.

  • Les noms de découverte doivent être uniques dans l’espace de noms partagé, quel que soit le compte qui crée le service.

  • Les services de l'espace de noms partagé peuvent découvrir les services d'autres AWS comptes ayant accès à l'espace de noms et s'y connecter.

  • Lorsque vous activez TLS pour Service Connect et utilisez un espace de noms partagé, l’autorité de certification (CA) AWS CA privée est limitée à l’espace de noms. Lorsque l’accès à l’espace de noms partagé est révoqué, l’accès à l’autorité de certification est interrompu.

  • Lorsqu'ils travaillent avec un espace de noms partagé, les propriétaires et les consommateurs d'espaces de noms n'ont pas accès par défaut aux métriques CloudWatch Amazon entre comptes. Les métriques cibles sont publiées uniquement pour les comptes qui possèdent des services clients. Un compte propriétaire de services client n'a pas accès aux statistiques reçues par un compte propriétaire de services client-serveur, et inversement. Pour permettre l'accès aux métriques entre comptes, configurez l'observabilité CloudWatch entre comptes. Pour plus d'informations sur la configuration de l'observabilité entre comptes, consultez la section Observabilité CloudWatch entre comptes dans le guide de l'utilisateur Amazon. CloudWatch Pour plus d'informations sur les CloudWatch métriques de Service Connect, consultez CloudWatch Métriques Amazon ECS .