适用于 Amazon ECS 的 Fargate Linux 平台版本
Amazon Fargate 平台版本用于指代 Fargate 任务基础设施的特定运行时环境。它是内核和容器运行时版本的组合。在运行任务或创建维护多个相同任务的服务时,您可以选择平台版本。
随着运行时环境的发展,例如,如果有内核或操作系统更新、新功能、错误修复或安全更新,将会发布新的平台版本修订版。Fargate 平台版本通过进行新的平台版本修订来更新。每个任务在其生命周期内都在一个平台版本修订版上运行。如果您想使用最新的平台版本修订版,则必须启动新任务。在 Fargate 上运行的新任务始终在平台版本的最新修订版上运行,从而确保了任务始终在安全的、经过修补的基础设施上启动。
如果发现影响现有平台版本的安全问题,Amazon 将为该平台版本创建新的补丁修订版,并停止在有漏洞的修订版上运行的任务。在某些情况下,您可能会收到计划停止您在 Fargate 上的任务的通知。有关更多信息,请参阅 Amazon ECS 上的 Amazon Fargate 任务维护常见问题。
创建任务定义、运行任务或部署服务时,需要指定平台版本。
指定平台版本时请考虑以下事项:
-
可以指定特定版本号,例如
1.4.0
或LATEST
。最新的平台版本是
1.4.0
。 -
如果要更新某个服务的平台版本,请创建部署。例如,假设您有一个在 Linux 平台版本
1.3.0
上运行任务的服务。要将此服务改为在 Linux 平台版本1.4.0
上运行任务,您可以更新此服务并指定新的平台版本。您的任务将使用最新的平台版本和最新的平台版本修订版重新部署。有关部署的更多信息,请参阅 Amazon ECS 服务。 -
如果您的服务扩展而没有更新平台版本,这些任务将收到在服务的当前部署中指定的平台版本。例如,假设您有一个在 Linux 平台版本
1.3.0
上运行任务的服务。如果增加该服务的预期任务数,则服务调度器将使用平台版本1.3.0
的最新平台版本修订版启动新任务。 -
新任务始终在平台版本的最新修订版本上运行。这样可以确保任务始终在安全且经过修补的基础设施上运行。
-
Fargate 上用于 Linux 容器和 Windows 容器的平台版本号是独立的。例如,Fargate 上的 Windows 容器的平台版本
1.0.0
中使用的行为、功能和软件无法与 Fargate 上的 Linux 容器的平台版本1.0.0
相比。
迁移到 Linux 平台版本 1.4.0 的注意事项
将 Fargate 任务上的 Amazon ECS 从平台版本 1.0.0
、1.1.0
、1.2.0
或 1.3.0
迁移到平台版本 1.4.0
时,请考虑以下事项。在迁移任务前,最佳实践是先确认您的任务在平台版本 1.4.0
上可以正常运行。
-
针对任务和来自任务的网络流量行为已更新。从平台版本 1.4.0 开始,Fargate 任务上的所有 Amazon ECS 都会接收单个弹性网络接口(称为任务 ENI),所有网络流量都会流经 VPC 内的此 ENI。您可在 VPC 流日志中看到此流量。有关更多信息,请参阅Fargate 启动类型的 Amazon ECS 任务联网选项。
-
如果您使用的是接口 VPC 端点,请考虑以下事项。
-
对于使用 Amazon ECR 托管的容器映像,您需要以下端点。有关更多信息,请参阅 Amazon Elastic Container Registry 用户指南中的Amazon ECR 接口 VPC 端点 (Amazon PrivateLink)。
-
com.amazonaws.
region
.ecr.dkr Amazon ECR VPC 端点 -
com.amazonaws.
region
.ecr.api Amazon ECR VPC 端点 -
Amazon S3 网关端点
-
-
当任务定义引用 Secrets Manager 密钥来检索容器的敏感数据时,您必须为 Secrets Manager 创建接口 VPC 端点。有关更多信息,请参阅 Amazon Secrets Manager 用户指南中的将 Secrets Manager 与 VPC 端点结合使用。
-
当任务定义引用 Systems Manager Parameter Store 参数来检索容器的敏感数据时,您必须为 Systems Manager 创建接口 VPC 端点。有关更多信息,请参阅《Amazon Systems Manager 用户指南》中的使用适用于 Systems Manager 的 VPC 端点提高 EC2 实例的安全性。
-
与您任务关联的弹性网络接口(ENI)中的安全组需要安全组规则,以允许任务与 VPC 端点之间进行流量传输。
-