Amazon ECS Service Connect con namespace AWS Cloud Map condivisi - Amazon Elastic Container Service
Considerazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amazon ECS Service Connect con namespace AWS Cloud Map condivisi

Amazon ECS Service Connect supporta l'uso di AWS Cloud Map namespace condivisi tra più Account AWS nomi all'interno dello stesso. Regione AWS Questa funzionalità consente di creare applicazioni distribuite in cui i servizi eseguiti in aree diverse Account AWS possono rilevarsi e comunicare tra loro tramite Service Connect. I namespace condivisi vengono gestiti utilizzando AWS Resource Access Manager (AWS RAM), che consente la condivisione sicura delle risorse tra account. Per ulteriori informazioni sugli spazi dei nomi condivisi, consulta Condivisione AWS Cloud Map dello spazio dei nomi tra account nella Guida per gli sviluppatori.AWS Cloud Map

Importante

È necessario utilizzare l'autorizzazione gestita da AWSRAMPermissionCloudMapECSFullPermission per condividere il namespace affinché Service Connect funzioni correttamente con il namespace.

Quando si utilizzano AWS Cloud Map namespace condivisi con Service Connect, i servizi di più nomi Account AWS possono partecipare allo stesso spazio dei nomi di servizio. Ciò è particolarmente utile per le organizzazioni con più account Account AWS che devono mantenere la service-to-service comunicazione oltre i confini degli account preservando al contempo la sicurezza e l'isolamento.

Nota

Per comunicare con servizi diversi VPCs, è necessario configurare la connettività inter-VPC. Ciò si può fare utilizzando una connessione peering VPC. Per ulteriori informazioni, consultare Create or delete a VPC Peering connection nella Guida al peering VPC di Amazon Virtual Private Cloud.

Considerazioni

Considerate quanto segue quando utilizzate AWS Cloud Map namespace condivisi con Service Connect:

  • AWS RAM deve essere disponibile nel luogo in Regione AWS cui desideri utilizzare lo spazio dei nomi condiviso.

  • Lo spazio dei nomi condiviso deve trovarsi nello stesso dei servizi Regione AWS e dei cluster Amazon ECS.

  • È necessario utilizzare l'ARN del namespace, non l'ID, quando si configura Service Connect con un namespace condiviso.

  • Sono supportati tutti i tipi di namespace: HTTP, DNS privato e namespace DNS pubblico.

  • Se l'accesso a un namespace condiviso viene revocato, le operazioni di Amazon ECS che richiedono l'interazione con lo il namespace (come CreateService, UpdateService e ListServicesByNamespace) avranno esito negativo. Per ulteriori informazioni sulle autorizzazioni per la risoluzione dei problemi relativi ai namespace condivisi, consultare Risoluzione dei problemi di Amazon ECS Service Connect con namespace condivisi AWS Cloud Map.

  • Per il rilevamento servizi tramite query DNS in un namespace DNS privato condiviso:

    • Il proprietario del namespace dovrà chiamare create-vpc-association-authorization con l'ID della zona ospitata privata associata al namespace e il VPC del consumer.

      aws route53 create-vpc-association-authorization --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    • Il consumer del namespace dovrà chiamare associate-vpc-with-hosted-zone con l'ID della zona ospitata privata.

      aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

  • Solo il proprietario del namespace può gestire la condivisione delle risorse.

  • I consumer del namespace possono creare e gestire servizi all'interno del namespace condiviso ma non possono modificare il namespace stesso.

  • I nomi Discovery devono essere univoci all'interno del namespace condiviso, indipendentemente dall'account che crea il servizio.

  • I servizi nello spazio dei nomi condiviso possono scoprire e connettersi ai servizi di altri AWS account che hanno accesso allo spazio dei nomi.

  • Quando si abilita TLS per Service Connect e si utilizza un namespace condiviso, l'Autorità di certificazione (CA) AWS Private CA ha l'ambito del namespace. Quando l'accesso al namespace condiviso viene revocato, l'accesso alla CA viene interrotto.

  • Quando si lavora con uno spazio dei nomi condiviso, i proprietari e i consumatori di namespace non hanno accesso ai parametri Amazon tra account diversi per impostazione predefinita. CloudWatch Le metriche di Target vengono pubblicate solo per gli account che possiedono servizi client. Un account proprietario di servizi client non ha accesso alle metriche ricevute da un account che possiede servizi client-server e viceversa. Per consentire l'accesso alle metriche da più account, configura l'osservabilità tra account. CloudWatch Per ulteriori informazioni sulla configurazione dell'osservabilità tra account, consulta l'osservabilità CloudWatch tra account nella Amazon User Guide. CloudWatch Per ulteriori informazioni sulle CloudWatch metriche per Service Connect, vedereMetriche di Amazon ECS CloudWatch .