Wie kann ich eine Amazon ECS-Aufgabe auf Fargate in einem privaten Subnetz ausführen?
Ich möchte eine Amazon Elastic Container Service (Amazon ECS)-Aufgabe auf AWS Fargate in einem privaten Subnetz ausführen.
Kurzbeschreibung
Sie können Fargate-Aufgaben in privaten Subnetzen ausführen. Je nach Anwendungsfall benötigen Sie jedoch möglicherweise für bestimmte Vorgänge einen Internetzugang. Beispielsweise möchten Sie vielleicht ein Bild aus einem öffentlichen Repository abrufen. Oder vielleicht möchten Sie jeglichen Internetzugang für Ihre Aufgaben verhindern.
Verwenden Sie VPC-Endpunkte, um Fargate-Aufgaben in einem privaten Subnetz ohne Internetzugang auszuführen. Mit VPC-Endpunkten können Sie Fargate-Aufgaben ausführen, ohne den Aufgaben Zugriff auf das Internet gewähren zu müssen. Auf die erforderlichen Endpunkte wird über eine private IP-Adresse zugegriffen.
Wenn Ihre Aufgabe von einem privaten Subnetz aus auf das Internet zugreifen muss, verwenden Sie ein NAT-Gateway, um den Internetzugang zu gewähren. Auf die erforderlichen Endpunkte wird über die öffentliche IP-Adresse des NAT-Gateways zugegriffen.
Lösung
Erstellen Sie eine VPC
Erstellen Sie eine Amazon Virtual Private Cloud (Amazon VPC) mit öffentlichen oder privaten Subnetzen. Folgen Sie dann je nach Anwendungsfall den Schritten unter ** Verwenden eines privaten Subnetzes ohne Internetzugang (VPC-Endpunktmethode)**. Oder folgen Sie den Schritten unter Privates Subnetz mit Internetzugang verwenden.
Verwenden Sie ein privates Subnetz ohne Internetzugang (VPC-Endpunkte-Methode)
Gehen Sie wie folgt vor, um Schnittstellenendpunkte und einen Amazon Simple Storage Solution (Amazon S3) -Gateway-Endpunkt zu erstellen:
- Den Amazon S3-Gateway-Endpunkt erstellen.
- Erstellen Sie Endpunkte für die Amazon Elastic Container Registry (Amazon ECR) -Schnittstelle.
- Für Aufgaben, die AWS Secrets Manager verwenden, um Geheimnisse in Aufgaben und Amazon CloudWatch Logs einzufügen, erstellen Sie Schnittstellenendpunkte für beide Dienste.
**Hinweis:**Sicherheitsgruppen für diese VPC-Endpunkte ermöglichen eingehenden Verkehr auf dem TCP-Port 443 aus der Fargate-Task-Sicherheitsgruppe oder dem Fargate-Task-VPC-CIDR-Bereich. - Folgen Sie dann den Anweisungen im Abschnitt Erstellen eines Amazon ECS-Clusters und -Service in diesem Artikel.
Verwenden Sie ein privates Subnetz mit Internetzugang
Erstellen Sie ein NAT-Gateway. Wenn Sie Ihr NAT-Gateway erstellen, führen Sie die folgenden Aufgaben aus:
- Ihr NAT-Gateway im öffentlichen Subnetz platzieren.
- Aktualisieren Sie die Routing-Tabelle des privaten Subnetzes:
Geben Sie als Destination 0.0.0.0/0 ein.
Wählen Sie für Ziel die ID Ihres NAT-Gateways aus.
Folgen Sie dann den Anweisungen im Abschnitt Erstellen eines Amazon ECS-Clusters und -Service in diesem Artikel.
Erstellen Sie einen Amazon ECS-Cluster und -Service
- Erstellen Sie einen Amazon ECS-Cluster. Wählen Sie für Infrastruktur AWS Fargate (serverlos) aus.
- Erstellen Sie einen Amazon ECS-Service.
Wenn Sie das Netzwerk für den Fargate-Dienst konfigurieren, führen Sie die folgenden Aufgaben aus:
- Wählen Sie auf der Grundlage der zuvor ausgewählten Methode das private Subnetz aus, das Sie für die VPC-Endpunkte konfiguriert haben. Oder wählen Sie das Subnetz, das Sie für das NAT-Gateway konfiguriert haben.
- Erlauben Sie Ihrer Sicherheitsgruppe, dass ausgehender Datenverkehr auf Port 443 auf Amazon ECS-Endpunkte zugreift.
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr