适用于 Amazon ECS 的 Fargate Linux 平台版本 - Amazon Elastic Container Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon ECS 的 Fargate Linux 平台版本

Amazon Fargate 平台版本用于指代 Fargate 任务基础设施的特定运行时环境。它是内核和容器运行时版本的组合。在运行任务或创建维护多个相同任务的服务时,您可以选择平台版本。

随着运行时环境的发展,例如,如果有内核或操作系统更新、新功能、错误修复或安全更新,将会发布新的平台版本修订版。Fargate 平台版本通过进行新的平台版本修订来更新。每个任务在其生命周期内都在一个平台版本修订版上运行。如果您想使用最新的平台版本修订版,则必须启动新任务。在 Fargate 上运行的新任务始终在平台版本的最新修订版上运行,从而确保了任务始终在安全的、经过修补的基础设施上启动。

如果发现影响现有平台版本的安全问题,Amazon 将为该平台版本创建新的补丁修订版,并停止在有漏洞的修订版上运行的任务。在某些情况下,您可能会收到计划停止您在 Fargate 上的任务的通知。有关更多信息,请参阅 Amazon ECS 上的 Amazon Fargate 任务维护常见问题

创建任务定义、运行任务或部署服务时,需要指定平台版本。

指定平台版本时请考虑以下事项:

  • 可以指定特定版本号,例如 1.4.0LATEST

    最新的平台版本是 1.4.0

  • 如果要更新某个服务的平台版本,请创建部署。例如,假设您有一个在 Linux 平台版本 1.3.0 上运行任务的服务。要将此服务改为在 Linux 平台版本 1.4.0 上运行任务,您可以更新此服务并指定新的平台版本。您的任务将使用最新的平台版本和最新的平台版本修订版重新部署。有关部署的更多信息,请参阅 Amazon ECS 服务

  • 如果您的服务扩展而没有更新平台版本,这些任务将收到在服务的当前部署中指定的平台版本。例如,假设您有一个在 Linux 平台版本 1.3.0 上运行任务的服务。如果增加该服务的预期任务数,则服务调度器将使用平台版本 1.3.0 的最新平台版本修订版启动新任务。

  • 新任务始终在平台版本的最新修订版本上运行。这样可以确保任务始终在安全且经过修补的基础设施上运行。

  • Fargate 上用于 Linux 容器和 Windows 容器的平台版本号是独立的。例如,Fargate 上的 Windows 容器的平台版本 1.0.0 中使用的行为、功能和软件无法与 Fargate 上的 Linux 容器的平台版本 1.0.0 相比。

迁移到 Linux 平台版本 1.4.0 的注意事项

将 Fargate 任务上的 Amazon ECS 从平台版本 1.0.01.1.01.2.01.3.0 迁移到平台版本 1.4.0 时,请考虑以下事项。在迁移任务前,最佳实践是先确认您的任务在平台版本 1.4.0 上可以正常运行。

  • 针对任务和来自任务的网络流量行为已更新。从平台版本 1.4.0 开始,Fargate 任务上的所有 Amazon ECS 都会接收单个弹性网络接口(称为任务 ENI),所有网络流量都会流经 VPC 内的此 ENI。您可在 VPC 流日志中看到此流量。有关更多信息,请参阅Fargate 启动类型的 Amazon ECS 任务联网选项

  • 如果您使用的是接口 VPC 端点,请考虑以下事项。

    • 对于使用 Amazon ECR 托管的容器映像,您需要以下端点。有关更多信息,请参阅 Amazon Elastic Container Registry 用户指南中的Amazon ECR 接口 VPC 端点 (Amazon PrivateLink)

      • com.amazonaws.region.ecr.dkr Amazon ECR VPC 端点

      • com.amazonaws.region.ecr.api Amazon ECR VPC 端点

      • Amazon S3 网关端点

    • 当任务定义引用 Secrets Manager 密钥来检索容器的敏感数据时,您必须为 Secrets Manager 创建接口 VPC 端点。有关更多信息,请参阅 Amazon Secrets Manager 用户指南中的将 Secrets Manager 与 VPC 端点结合使用

    • 当任务定义引用 Systems Manager Parameter Store 参数来检索容器的敏感数据时,您必须为 Systems Manager 创建接口 VPC 端点。有关更多信息,请参阅《Amazon Systems Manager 用户指南》中的使用适用于 Systems Manager 的 VPC 端点提高 EC2 实例的安全性

    • 与您任务关联的弹性网络接口(ENI)中的安全组需要安全组规则,以允许任务与 VPC 端点之间进行流量传输。