任务定义参数

类型：字符串

必需：是

当您注册任务定义时，将为其提供一个系列，与任务定义的多个版本的名称类似，它是使用修订号指定的。注册到某个特定系列的第一个任务定义将获得修订 1，而随后注册的任何任务定义将获得后续修订号。

类型：字符串

必需：否

注册任务定义时，可以为 IAM 角色提供任务角色，此角色可使任务中的容器有权代表您调用其关联策略中指定的 AWS API。有关更多信息，请参阅任务的 IAM 角色。

Windows 上任务的 IAM 角色需要在您启动Amazon ECS-optimized Windows AMI 时设置 -EnableTaskIAMRole 选项。此外，您的容器必须运行一些配置代码才能利用此功能。有关更多信息，请参阅 任务的 Windows IAM 角色。

类型：字符串

必需：否

注册任务定义时，您可以提供任务执行角色，允许任务中的容器代表您提取容器映像并将容器日志发送到 CloudWatch。有关更多信息，请参阅Amazon ECS 任务执行 IAM 角色。

类型：字符串

必需：否

在任务中用于容器的 Docker 联网模式有效值为 none、bridge、awsvpc 和 host。默认 Docker 网络模式为 bridge。

如果网络模式设置为 none，则任务的容器没有外部连接性，且无法在容器定义中指定端口映射。

如果网络模式为 bridge，该任务利用在每个容器实例内运行的 Docker 的内置虚拟网络。

如果网络模式为 host，则任务将绕过 Docker 的内置虚拟网络，并将容器端口直接映射到 EC2 实例的网络接口。在此模式下，当使用端口映射时，无法在单个容器实例上运行同一任务的多个实例化。

如果网络模式为 awsvpc，则将为任务分配弹性网络接口，且在创建服务或运行具有任务定义的任务时必须指定 NetworkConfiguration。有关更多信息，请参阅awsvpc 网络模式的任务联网。目前，只有Amazon ECS-optimized AMI、包含 ecs-init 程序包的其他 Amazon Linux 变体或 AWS Fargate 基础设施才支持 awsvpc 网络模式。

host 和 awsvpc 网络模式为容器提供最高的联网性能，因为它们使用 Amazon EC2 网络堆栈，而不是 bridge 模式提供的虚拟化网络堆栈。使用 host 和 awsvpc 网络模式，公开的容器端口将直接映射到相应的主机端口 (用于 host 网络模式) 或附加的弹性网络接口端口 (用于 awsvpc 网络模式)，因此您无法利用动态主机端口映射。

Docker for Windows 使用的网络模式（也称为 NAT）不同于 Docker for Linux。在将任务定义注册到 Windows 容器时，您不得指定网络模式。如果使用 AWS 管理控制台将任务定义注册到 Windows 容器，必须选择 default 网络模式。

如果使用 Fargate 启动类型，则需要 awsvpc 网络模式。如果使用 EC2 启动类型，则允许的网络模式取决于底层 EC2 实例的操作系统。对于 Linux，可以使用任何网络模式。对于 Windows，仅允许上面所述的 NAT 模式。

类型：字符串

必需：是

容器的名称。最多能包含 255 个字母 (大写和小写字母)、数字、连字符和下划线。如果您正在任务定义中将多个容器链接在一起，则可在一个容器的 links 中输入另一个容器的 name 以连接容器。此参数将映射到 Docker Remote API 的创建容器部分中的 name 以及 docker run 的 --name 选项。

类型：字符串

必需：是

用于启动容器的映像。此字符串将直接传递给 Docker 守护程序。默认情况下，Docker Hub 注册表中的映像可用。您也可以使用 repository-url/image:tag 或 repository-url/image@digest 指定其他存储库。允许最多 255 个字母 (大写和小写字母)、数字、连字符、下划线、冒号、句点、正斜杠和井号。此参数将映射到 Docker Remote API 的创建容器部分中的 Image 以及 docker run 的 IMAGE 参数。

类型：整数

必需：否

要提供给容器的内存的硬限制（以 MiB 为单位）。如果您的容器尝试使用超出此处指定的内存，该容器将被终止。此参数将映射到 Docker Remote API 的创建容器部分中的 Memory 以及 docker run 的 --memory 选项。

如果您的容器属于使用 Fargate 启动类型的任务，则该字段是可选的，唯一的要求是任务内为所有容器保留的内存总量应低于任务 memory 值。

对于属于使用 EC2 启动类型的任务的容器，您必须在容器定义中为 memory 和/或 memoryReservation 指定非零整数。如果指定两者，则 memory 必须大于 memoryReservation。如果指定 memoryReservation，则将从容器所在的容器实例的可用内存资源中减去该值；否则将使用 memory 的值。

Docker 守护程序将为容器预留最少 4 MiB 的内存，因此，您不应为容器指定 4 MiB 以下的内存。

类型：整数

必需：否

要为容器预留的内存量的软限制（以 MiB 为单位）。当系统内存处于争用状态时，Docker 会尝试将容器内存保持在此软限制内；不过，您的容器可以在需要时使用更多内存，最大量可达 memory 参数指定的硬限制（如果适用），或容器实例上的所有可用内存（以先达到者为准）。此参数将映射到 Docker Remote API 的创建容器部分中的 MemoryReservation 以及 docker run 的 --memory-reservation 选项。

您必须为容器定义中的 memory 和/或 memoryReservation 指定一个非零整数。如果指定两者，则 memory 必须大于 memoryReservation。如果指定 memoryReservation，则将从容器所在的容器实例的可用内存资源中减去该值；否则将使用 memory 的值。

例如，如果您的容器通常使用 128 MiB 内存，但有时会在短时间内会迸发至 256 MiB 内存，则您可以设置 128 MiB 的 memoryReservation 以及 300 MiB 的 memory 硬限制。此配置不仅允许容器从容器实例上的剩余资源中预留 128 MiB 内存，而且允许容器在需要时使用更多内存资源。

Docker 守护程序将为容器预留最少 4 MiB 的内存，因此，您不应为容器指定 4 MiB 以下的内存。

类型：对象数组

必需：否

端口映射可让容器访问主机容器实例上的端口以发送或接收流量。

对于使用 awsvpc 网络模式的任务定义，您只应指定 containerPort。hostPort 可以留空或值必须与 containerPort 相同。

Windows 上的端口映射使用 NetNAT 网关地址而非 localhost。没有针对 Windows 上的端口映射的回环，因此，您无法从主机自身访问容器的映射端口。

此参数将映射到 Docker Remote API 的创建容器部分中的 PortBindings 以及 docker run 的 --publish 选项。如果将任务定义的网络模式设置为 host，则主机端口必须是未定义的或者必须与端口映射中的容器端口匹配。

如果您指定的是主机端口，请使用以下语法：

"portMappings": [
    {
        "containerPort": integer,
        "hostPort": integer
    }
    ...
]

如果您需要自动分配的主机端口，请使用以下语法：

"portMappings": [
    {
        "containerPort": integer
    }
    ...
]

容器的运行状况检查命令和关联的配置参数。此参数将映射到 Docker Remote API 的创建容器部分中的 HealthCheck 以及 docker run 的 HEALTHCHECK 参数。

任务运行状况由任务的 healthStatus 报告，它由任务中的主要容器的运行状况确定。如果任务中的所有主要容器报告为 HEALTHY，则任务状态也报告为 HEALTHY。如果任务中的任意主要容器报告为 UNHEALTHY 或 UNKNOWN，则任务状态也报告为相应报告为 UNHEALTHY 或 UNKNOWN。如果服务的任务报告为不正常，则从服务中删除该任务并替换。

以下是有关容器运行状况检查支持的注意事项：

类型：整数

必需：否

Amazon ECS 容器代理将为容器预留的 cpu 单元的数量。此参数将映射到 Docker Remote API 的创建容器部分中的 CpuShares 以及 docker run 的 --cpu-shares 选项。

此字段对于使用 Fargate 启动类型的任务为可选，而且唯一的要求是任务内为所有容器保留的 CPU 总量低于任务级 cpu 值。

Linux 容器会按照与其分配的量相同的比例，与容器实例上的其他容器共享未分配的 CPU 单元。例如，如果您在单核实例类型上运行一个单容器任务，同时为该容器指定 512 个 CPU 单元，而且这是在容器实例上运行的唯一任务，则该容器可在任何给定间使用完整的 1,024 CPU 单元份额。但是，如果您在该容器实例上启动了同一任务的另一个副本，则保证为每个任务提供最少 512 个 CPU 单元（如果需要），而且每个容器的 CPU 使用量会上浮到更高的值（如果另一容器未在使用它），但如果两个任务都始终处于完全活动状态，则它们将限于 512 个 CPU 单元。

在 Linux 容器实例上，容器实例上的 Docker 守护程序使用 CPU 值来计算正在运行的容器的相对 CPU 共享比例。有关更多信息，请参阅 Docker 文档中的 CPU 共享约束。Linux 内核允许的最小有效 CPU 共享值为 2。不过，CPU 参数不是必需的，您可以在容器定义中使用小于 2 的 CPU 值。对于小于 2 的 CPU 值（包括 null），此行为因您的 Amazon ECS 容器代理版本而异：

在 Windows 容器实例上，此 CPU 限制将作为绝对限制或配额强制实施。Windows 容器只能访问任务定义中所述的指定的 CPU 量。

类型：布尔值

必需：否

如果将容器的 essential 参数标记为 true，并且该容器出于任何原因发生故障或停止，则属于此任务的所有其他容器将停止。如果将容器的 essential 参数标记为 false，则容器发生故障不会影响任务中的剩余容器。如果省略此参数，则假定容器是主要容器。

所有任务都必须具有至少一个主要容器。如果您有一个由多个容器组成的应用程序，则应将用于相同目的的容器分成多个组件，然后将不同的组件分为多个任务定义。有关更多信息，请参阅应用程序架构。

"essential": true|false

类型：字符串数组

必需：否

传递给容器的入口点。此参数将映射到 Docker Remote API 的创建容器部分中的 Entrypoint 以及 docker run 的 --entrypoint 选项。有关 Docker ENTRYPOINT 参数的更多信息，请转到 https://docs.docker.com/engine/reference/builder/#entrypoint。

"entryPoint": ["string", ...]

类型：字符串数组

必需：否

传递给容器的命令。此参数将映射到 Docker Remote API 的创建容器部分中的 Cmd 以及 docker run 的 COMMAND 参数。有关 Docker CMD 参数的更多信息，请转到 https://docs.docker.com/engine/reference/builder/#cmd。

"command": ["string", ...]

类型：字符串

必需：否

容器中用于运行命令的工作目录。此参数将映射到 Docker Remote API 的创建容器部分中的 WorkingDir 以及 docker run 的 --workdir 选项。

"workingDirectory": "string"

类型：对象数组

必需：否

要传递给容器的环境变量。此参数将映射到 Docker Remote API 的创建容器部分中的 Env 以及 docker run 的 --env 选项。

"environment" : [
    { "name" : "string", "value" : "string" },
    { "name" : "string", "value" : "string" }
]

类型：对象数组

必需：否

要作为环境变量传递给容器的密钥。

"secrets": [
    {
        "name": "environment_variable_name",
        "valueFrom": "arn:aws:ssm:region:aws_account_id:parameter/parameter_name"
    }
]

类型：布尔值

必需：否

当此参数设置为 true 时，容器内禁用联网。此参数将映射到 Docker Remote API 的创建容器部分中的 NetworkDisabled。

"disableNetworking": true|false

类型：字符串数组

必需：否

link 参数允许容器相互进行通信，而无需端口映射。只有在任务定义的网络模式设置为 bridge 才支持。name:internalName 构造类似于 Docker 链接中的 name:alias。最多能包含 255 个字母 (大写和小写字母)、数字、连字符和下划线。 有关链接 Docker 容器的更多信息，请转到 https://docs.docker.com/engine/userguide/networking/default_network/dockerlinks/。此参数将映射到 Docker Remote API 的创建容器部分中的 Links 以及 docker run 的 --link 选项。

"links": ["name:internalName", ...]

类型：字符串

必需：否

要对您的容器使用的主机名。此参数将映射到 Docker Remote API 的创建容器部分中的 Hostname 以及 docker run 的 --hostname 选项。

"hostname": "string"

类型：字符串数组

必需：否

提供给容器的 DNS 服务器的列表。此参数将映射到 Docker Remote API 的创建容器部分中的 Dns 以及 docker run 的 --dns 选项。

"dnsServers": ["string", ...]

类型：字符串数组

必需：否

模式：^[a-zA-Z0-9-.]{0,253}[a-zA-Z0-9]$

提供给容器的 DNS 搜索域的列表。此参数将映射到 Docker Remote API 的创建容器部分中的 DnsSearch 以及 docker run 的 --dns-search 选项。

"dnsSearchDomains": ["string", ...]

类型：对象数组

必需：否

要追加到容器上的 /etc/hosts 文件的主机名和 IP 地址映射的列表。

此参数将映射到 Docker Remote API 的创建容器部分中的 ExtraHosts 以及 docker run 的 --add-host 选项。

"extraHosts": [
      {
        "hostname": "string",
        "ipAddress": "string"
      }
      ...
    ]

类型：布尔值

必需：否

当此参数为 true 时，将对此容器提供对其根文件系统的只读访问权。此参数将映射到 Docker Remote API 的创建容器部分中的 ReadonlyRootfs 以及 docker run 的 --read-only 选项。

"readonlyRootFilesystem": true|false

Type: Object

Required: No

The mount points for data volumes in your container.

This parameter maps to Volumes in the 创建容器 section of the Docker Remote API and the --volume option to docker run.

Windows containers can mount whole directories on the same drive as $env:ProgramData. Windows containers cannot mount directories on a different drive, and mount point cannot be across drives.

类型：对象数组

必需：否

要从其他容器挂载的数据卷。此参数将映射到 Docker Remote API 的创建容器部分中的 VolumesFrom 以及 docker run 的 --volumes-from 选项。

"volumesFrom": [
                {
                  "sourceContainer": "string",
                  "readOnly": true|false
                }
              ]

类型：LogConfiguration 对象

必需：否

容器的日志配置规范。

如果使用 Fargate 启动类型，则唯一支持的值为 awslogs。有关在任务定义中使用 awslogs 日志驱动程序以将容器日志发送到 CloudWatch Logs 的更多信息，请参阅使用 awslogs 日志驱动程序。

此参数将映射到 Docker Remote API 的创建容器部分中的 LogConfig 以及 docker run 的 --log-driver 选项。默认情况下，容器使用 Docker 守护程序所用的同一日志记录驱动程序；但容器可能通过在容器定义中使用此参数指定日志驱动程序来使用不同于 Docker 守护程序的日志记录驱动程序。要对容器使用不同的日志记录驱动程序，必须在容器实例上正确配置日志系统（或者在不同的日志服务器上使用远程日志记录选项）。有关其他支持的日志驱动程序选项的更多信息，请参阅 Docker 文档中的配置日志记录驱动程序。

This parameter requires version 1.18 of the Docker Remote API or greater on your container instance.

"logConfiguration": {
      "logDriver": "json-file"|"syslog"|"journald"|"gelf"|"fluentd"|"awslogs"|"splunk",
      "options": {"string": "string"
        ...}

类型：布尔值

必需：否

当此参数为 true 时，将对此容器提供对主机容器实例的提升的特权（类似于 root 用户）。

此参数将映射到 Docker Remote API 的创建容器部分中的 Privileged 以及 docker run 的 --privileged 选项。

"privileged": true|false

类型：字符串

必需：否

要在容器内使用的用户名。此参数将映射到 Docker Remote API 的创建容器部分中的 User 以及 docker run 的 --user 选项。

"user": "string"

类型：字符串数组

必需：否

用于为 SELinux 和 AppArmor 多级别安全系统提供自定义标签的字符串列表。

此参数将映射到 Docker Remote API 的创建容器部分中的 SecurityOpt 以及 docker run 的 --security-opt 选项。

"dockerSecurityOptions": ["string", ...]

类型：对象数组

必需：否

要在容器中设置的 ulimits 的列表。此参数将映射到 Docker Remote API 的创建容器部分中的 Ulimits 以及 docker run 的 --ulimit 选项。

This parameter requires version 1.18 of the Docker Remote API or greater on your container instance.

"ulimits": [
      {
        "name": "core"|"cpu"|"data"|"fsize"|"locks"|"memlock"|"msgqueue"|"nice"|"nofile"|"nproc"|"rss"|"rtprio"|"rttime"|"sigpending"|"stack",
        "softLimit": integer,
        "hardLimit": integer
      }
      ...
    ]

类型：字符串到字符串映射

必需：否

要添加到容器的标签的键值映射。此参数将映射到 Docker Remote API 的创建容器部分中的 Labels 以及 docker run 的 --label 选项。

This parameter requires version 1.18 of the Docker Remote API or greater on your container instance.

"dockerLabels": {"string": "string"
      ...}

类型：LinuxParameters 对象

必需：否

应用于容器的特定于 Linux 的选项，如 KernelCapabilities。

"linuxParameters": {
      "capabilities": {
        "add": ["string", ...],
        "drop": ["string", ...]
        }
      }

类型：SystemControl 对象

必需：否

要在容器中设置的具有命名空间的内核参数的列表。此参数将映射到 Docker Remote API 的创建容器部分中的 Sysctls 以及 docker run 的 --sysctl 选项。

不建议在使用了 awsvpc 或 host 网络模式的单个任务中为多个容器指定与网络相关的 systemControls 参数，原因如下：

如果您要设置 IPC 资源命名空间以用于任务中的容器，则以下内容将适用于您的系统控制。有关更多信息，请参阅 IPC 模式。

"systemControls": [
    {
         "namespace":"string",
         "value":"string"
    }
]

类型：布尔值

必需：否

当此参数为 true 时，您可以部署需要分配 stdin 或 tty 的容器化的应用程序。此参数将映射到 Docker Remote API 的创建容器部分中的 OpenStdin 以及 docker run 的 --interactive 选项。

类型：布尔值

必需：否

当此参数为 true 时，则分配 TTY。此参数将映射到 Docker Remote API 的创建容器部分中的 Tty 以及 docker run 的 --tty 选项。

Type: String

Required: No

The name of the volume. Up to 255 letters (uppercase and lowercase), numbers, hyphens, and underscores are allowed. This name is referenced in the sourceVolume parameter of container definition mountPoints.

Type: Object

Required: No

This parameter is specified when using Docker volumes. Docker volumes are only supported when using the EC2 launch type. Windows containers only support the use of the local driver. To use bind mounts, specify a host instead.

Required: No

This parameter is specified when using bind mounts. To use Docker volumes, specify a dockerVolumeConfiguration instead. The contents of the host parameter determine whether your bind mount data volume persists on the host container instance and where it is stored. If the host parameter is empty, then the Docker daemon assigns a host path for your data volume, but the data is not guaranteed to persist after the containers associated with it stop running.

Bind mount host volumes are supported when using either the EC2 or Fargate launch types.

Windows containers can mount whole directories on the same drive as $env:ProgramData. Windows containers cannot mount directories on a different drive, and mount point cannot be across drives. For example, you can mount C:\my\path:C:\my\path and D:\:D:\, but not D:\my\path:C:\my\path or D:\:C:\my\path.

类型：字符串

必需：否

应用于约束的集群查询语言表达式。有关更多信息，请参阅 集群查询语言。

类型：字符串

必需：是

约束类型。使用 memberOf 将选择限制为一组有效的候选。

类型：字符串数组

必需：否

有效值：EC2 | FARGATE

任务使用的启动类型。这将启用检查以确保任务定义中使用的所有参数均符合启动类型的要求。

有效值为 FARGATE 和 EC2。有关启动类型的更多信息，请参阅 Amazon ECS 启动类型。

类型：字符串

必需：否

任务所使用的 CPU 单元的数量。它在任务定义中可以表示为使用 CPU 单元时的整数（例如 1024），或表示为使用 vCPU 时的字符串（例如 1 vCPU 或 1 vcpu）。注册任务定义时，vCPU 值将转换为指示 CPU 单元的整数。

如果使用的是 EC2 启动类型，则此字段是可选字段。受支持的值介于 128 个 CPU 单元 (0.125 个 vCPU) 和 10240 个 CPU 单元 (10 个 vCPU) 之间。

如果使用 Fargate 启动类型，此字段为必填字段，并且必须使用以下值之一，这决定了 memory 参数支持的值范围：

类型：字符串

必需：否

任务使用的内存量 (以 MiB 为单位)。它在任务定义中可以表示为使用 MiB 时的整数（例如 1024），或表示为使用 GB 时的字符串（例如 1GB 或 1 GB）。注册任务定义时，GB 值将转换为指示 MiB 的整数。

如果使用的是 EC2 启动类型，则此字段是可选字段。

如果使用 Fargate 启动类型，此字段为必填字段，并且必须使用以下值之一，这决定了 cpu 参数支持的值范围：

类型：字符串

必需：否

用于任务中的容器的 IPC 资源命名空间。有效值为 host、task 或 none。如果指定了 host，则在同一容器实例上指定了 host IPC 模式的任务中的所有容器将与主机 Amazon EC2 实例共享相同的 IPC 资源。如果指定了 task，则指定任务中的所有容器将共享相同的 IPC 资源。如果指定了 none，则任务的容器中的 IPC 资源是私有的，不与任务中或容器实例上的其他容器共享。如果未指定任何值，则 IPC 资源命名空间共享取决于容器实例上的 Docker 守护程序设置。有关更多信息，请参阅 Docker 运行参考 中的 IPC 设置。

如果使用了 host IPC 模式，请注意，发生非预期的 IPC 命名空间公开的风险会提高。有关更多信息，请参阅 Docker 安全性。

如果您使用 systemControls 为任务中的容器设置具有命名空间的内核参数，则以下内容将适用于您的 IPC 资源命名空间。有关更多信息，请参阅系统控制。

类型：字符串

必需：否

用于任务中的容器的过程命名空间。有效值为 host 或 task。如果指定了 host，则在同一容器实例上指定了 host PID 模式的任务中的所有容器将与主机 Amazon EC2 实例共享相同的 IPC 资源。如果指定了 task，则指定任务中的所有容器将共享相同的过程命名空间。如果未指定任何值，则默认值为私有命名空间。有关更多信息，请参阅 Docker 运行参考 中的 PID 设置。

如果使用了 host PID 模式，请注意，发生非预期的过程命名空间公开的风险会提高。有关更多信息，请参阅 Docker 安全性。