Quiero ejecutar una tarea de Amazon Elastic Container Service (Amazon ECS) en AWS Fargate en una subred privada.
Descripción breve
Puede ejecutar tareas de Fargate en subredes privadas. Sin embargo, según su caso de uso, es posible que necesite acceso a Internet para ciertas operaciones. Por ejemplo, es posible que desee extraer una imagen de un repositorio público. O bien, puede que desee impedir que sus tareas accedan a Internet.
Para ejecutar tareas de Fargate en una subred privada sin acceso a Internet, utilice los puntos de enlace de nube virtual privada (VPC). Los puntos de enlace de VPC le permiten ejecutar tareas de Fargate sin conceder a las tareas acceso a Internet. Se accede a los puntos de enlace necesarios mediante una dirección IP privada.
Si necesita que su tarea acceda a Internet desde una subred privada, use una puerta de enlace de NAT para conceder acceso a Internet. Se accede a los puntos de enlace necesarios mediante la dirección IP pública de la puerta de enlace de NAT.
Resolución
Creación de una VPC
Cree una Amazon Virtual Private Cloud (Amazon VPC) con subredes públicas o privadas. Luego, en función de su caso de uso, siga los pasos de la sección Uso de una subred privada sin acceso a Internet (método de puntos de enlace de VPC). O siga los pasos de la sección Uso de una subred privada con acceso a Internet.
Uso de una subred privada sin acceso a Internet (método puntos de enlace de VPC)
Para crear puntos de enlace de interfaz y un punto de enlace de puerta de enlace de Amazon Simple Storage Solution (Amazon S3), complete los pasos siguientes:
- Creación de un punto de enlace de puerta de enlace de Amazon S3.
- Cree puntos de enlace de la interfaz de Amazon Elastic Container Registry (Amazon ECR).
- Para las tareas que utilizan AWS Secrets Manager para inyectar secretos en las tareas y en los registros de Amazon CloudWatch, cree puntos de enlace de interfaz para ambos servicios.
**Nota:**Los grupos de seguridad para estos puntos de enlace de VPC permiten el tráfico entrante en el puerto TCP 443 desde el grupo de seguridad de tareas de Fargate o el rango CIDR de VPC de tareas de Fargate.
- Siga las instrucciones de la sección Creación de un clúster y un servicio de Amazon ECS de este artículo.
Uso de una subred privada con acceso a Internet
Cree una puerta de enlace de NAT. Cuando cree la puerta de enlace NAT, complete las siguientes tareas:
- Coloque la puerta de enlace de NAT dentro de la subred pública.
- Actualice la tabla de enrutamiento de la subred privada:
En Destino, escriba 0.0.0.0/0.
Para Destino, seleccione el ID de su puerta de enlace de NAT.
A continuación, siga las instrucciones de la sección Creación de un clúster y un servicio de Amazon ECS de este artículo.
Creación de un clúster y un servicio de Amazon ECS
- Cree un clúster de Amazon ECS. Para Infraestructura, seleccione AWS Fargate (sin servidor).
- Cree un servicio de Amazon ECS.
Cuando configure la red para el servicio Fargate, complete las siguientes tareas:
- Según el método que haya elegido anteriormente, elija la subred privada que ha configurado para los puntos de enlace de VPC. O bien, elija la subred que configuró para la puerta de enlace NAT.
- Para su grupo de seguridad, permita que el tráfico saliente del puerto 443 acceda a los puntos de enlace de Amazon ECS.