本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Fargate 任务联网
如果您使用的是在 Amazon ECS 实例上托管的 Amazon EC2 任务,请参阅 中的任务联网。Amazon Elastic Container Service Developer Guide
默认情况下,系统会为 Amazon ECS 上的每个 Fargate 任务提供一个弹性网络接口 (ENI) 和一个主要私有 IP 地址。使用公有子网时,您可以选择向任务的 ENI 分配公有 IP 地址。如果您的 VPC 启用了双堆栈模式,并且您使用具有 IPv6 CIDR 块的子网,则您的任务的 ENI 还将接收 IPv6 地址。一个任务一次只能有一个与之关联的 ENI。有关 VPC 和子网的更多信息,请参阅 https://docs.amazonaws.cn/vpc/latest/userguide/VPC_Subnets.html 中的 VPC 和子网Amazon VPC 用户指南。
要使 Fargate 上的任务能够拉取容器映像,该任务必须具有到 Internet 的路由。下面介绍了如何确保您的任务具有到 Internet 的路由。
-
使用公有子网时,您可以向任务 ENI 分配公有 IP 地址。
-
使用私有子网时,子网可以附加 NAT 网关。
-
当使用 Amazon ECR 中托管的容器映像时,您可以将 Amazon ECR 配置为使用接口 VPC 终端节点,并且映像拉取将针对任务的私有 IPv4 地址进行。有关更多信息,请参阅 中的 Amazon ECR 接口 VPC 终端节点 (AWS PrivateLink)。Amazon Elastic Container Registry 用户指南
由于每个任务都有自己的 ENI,因此您也可以利用 VPC 流日志等联网功能来监控往返于任务之间的流量。此外,属于同一任务的容器可以通过 localhost 接口进行通信。有关更多信息,请参阅 https://docs.amazonaws.cn/vpc/latest/userguide/flow-logs.html 中的 Amazon VPC 用户指南VPC 流日志.
创建的 ENI 由 AWS Fargate 完全托管,并且有一个关联的 IAM 策略用于授予 Fargate 的权限。对于使用 Fargate 平台版本 1.4.0 或更高版本的任务,任务接收单个 ENI(称为任务 ENI),所有网络流量都将流经 VPC 中的这个 ENI,并将通过 VPC 流日志对您可见。对于使用 Fargate
平台版本 1.3.0 及更早版本的任务,除了任务 ENI 之外,任务还会收到单独的 Fargate 拥有的 ENI,该 ENI 用于某些在 VPC 流日志中不可见的网络流量。以下内容介绍网络流量行为以及每个平台版本所需的
IAM 策略。
|
操作 |
平台版本 |
平台版本 |
IAM 许可 |
|---|---|---|---|
|
检索 Amazon ECR 登录凭证 |
Fargate 拥有的 ENI |
任务 ENI |
任务执行 IAM 角色 |
|
映像拉取 |
任务 ENI |
任务 ENI |
任务执行 IAM 角色 |
|
通过日志驱动程序发送日志 |
任务 ENI |
任务 ENI |
任务执行 IAM 角色 |
|
通过适用于 的 FireLens 发送日志Amazon ECS |
任务 ENI |
任务 ENI |
任务 IAM 角色 |
|
从 Secrets Manager 或 Systems Manager 检索密钥 |
Fargate 拥有的 ENI |
任务 ENI |
任务执行 IAM 角色 |
|
Amazon EFS 文件系统流量 |
不可用 |
任务 ENI |
任务 IAM 角色 |
|
应用程序流量 |
任务 ENI |
任务 ENI |
任务 IAM 角色 |
Fargate 任务联网注意事项
使用任务联网时,需要考虑多个因素。
-
向 Amazon ECS 提供代表您调用其他 Amazon ECS 服务的权限需要 AWS 服务相关角色。此角色是在创建集群时 (或者在 中创建或更新服务时) 自动为您创建的。AWS 管理控制台. 有关更多信息,请参阅 用于 Amazon ECS 的服务相关角色. 您也可以使用以下 AWS CLI 命令创建服务相关的角色:
aws iam create-service-linked-role --aws-service-name ecs.amazonaws.com -
当在 VPC 上同时启用 Amazon ECS 和
enableDnsHostnames选项时,enableDnsSupport将使用 Amazon 提供的(内部)DNS 主机名填充任务的主机名。如果未启用这些选项,则任务的 DNS 主机名将是随机主机名。有关 VPC 的 DNS 设置的更多信息,请参阅 https://docs.amazonaws.cn/vpc/latest/userguide/vpc-dns.html 中的在您的 VPC 中使用 DNSAmazon VPC 用户指南。 -
在
awsvpcConfiguration中,限制为 16 个子网和 5 个安全组。有关更多信息,请参阅 https://docs.amazonaws.cn/AmazonECS/latest/APIReference/API_AwsVpcConfiguration.html 中的 AwsVpcConfigurationAmazon Elastic Container Service API Reference。 -
Fargate 创建并附加的 ENI 不能由您的账户手动分离或修改。这是为了防止意外删除与正在运行的任务关联的 ENI。要释放任务的 ENI,请停止该任务。
-
如果 VPC 已更新,例如更改所使用的 DHCP 选项集,并且您希望在使用该 VPC 的任务中使更改生效,则必须停止这些任务并启动新任务。
-
在使用平台版本
1.4.0或更高版本时,在具有 IPv6 CIDR 块的子网中启动的任务仅会收到 IPv6 地址。 -
对于使用平台版本
1.4.0或更高版本的任务,任务 ENI 支持巨型帧。网络接口配置了最大传输单元 (MTU),这是单个帧内将放入的最大负载的大小。MTU 越大,单个帧内可以放入的应用程序负载就越多,这可以减少每帧开销并提高效率。当您的任务和目标之间的网络路径支持巨型帧时,支持巨型帧将减少开销,如保留在您的 VPC 中的所有流量。 -
具有使用 Fargate 启动类型的任务的服务仅支持 应用程序负载均衡器 和 网络负载均衡器。不支持 传统负载均衡器 此外,当您创建任何目标组时,必须选择
ip而不是instance. 作为目标类型。有关更多信息,请参阅 服务负载均衡.
在双堆栈模式下使用 VPC
在双堆栈模式下使用 VPC 时,您的任务可以通过 IPv4 和/或 IPv6 进行通信。IPv4 和 IPv6 地址是相互独立的,并且您必须在 VPC 中针对 IPv4 和 IPv6 分别配置路由和安全。有关为双堆栈模式配置 VPC 的更多信息,请参阅 https://docs.amazonaws.cn/vpc/latest/userguide/vpc-migrate-ipv6.html 中的迁移到 IPv6Amazon VPC 用户指南。
Amazon ECS 上的 Fargate 任务在满足以下条件时分配有 IPv6 地址:
-
您的 VPC 和子网已启用 IPv6。有关为双堆栈模式配置 VPC 的更多信息,请参阅 https://docs.amazonaws.cn/vpc/latest/userguide/vpc-migrate-ipv6.html 中的迁移到 IPv6Amazon VPC 用户指南。
-
任务或服务使用平台版本
1.4.0或更高版本。 -
账户设置已启用。
dualStackIPv6有关更多信息,请参阅 账户设置.
Amazon ECS 上分配了 IPv6 地址的 Fargate 任务可以访问 Internet,条件是 VPC 配置有 Internet 网关或仅出口 Internet 网关。不需要 NAT 网关。有关更多信息,请参阅 中的 Internet 网关和仅出口 Internet 网关。Amazon VPC 用户指南