Je souhaite exécuter une tâche Amazon Elastic Container Service (Amazon ECS) sur AWS Fargate dans un sous-réseau privé.
Brève description
Vous pouvez exécuter des tâches Fargate dans des sous-réseaux privés. Toutefois, selon votre cas d'utilisation, il se peut que vous ayez besoin d'un accès à Internet pour certaines opérations. Par exemple, vous souhaiterez peut-être extraire une image d'un répertoire public. Vous pouvez également souhaiter empêcher tout accès à Internet pour vos tâches.
Pour exécuter des tâches Fargate dans un sous-réseau privé sans accès à Internet, utilisez des points de terminaison de cloud privé virtuel (VPC). Les points de terminaison d’un VPC vous permettent d'exécuter des tâches Fargate sans qu'il soit nécessaire de leur accorder l'accès à Internet. Les points de terminaison requis sont accessibles via une adresse IP privée.
Si votre tâche doit permettre d'accéder à Internet à partir d'un sous-réseau privé, utilisez une passerelle NAT pour accorder l'accès à Internet. Les points de terminaison requis sont accessibles via l'adresse IP publique de la passerelle NAT.
Résolution
Créer un VPC
Créez un Amazon Virtual Private Cloud (Amazon VPC) avec des sous-réseaux publics ou privés. Ensuite, selon votre cas d'utilisation, suivez les étapes décrites dans la section Utiliser un sous-réseau privé sans accès à Internet (méthode des points de terminaison VPC). Vous pouvez également suivre les étapes décrites dans la section Utiliser un sous-réseau privé avec accès à Internet.
Utiliser un sous-réseau privé sans accès à Internet (méthode des points de terminaison VPC)
Pour créer des points de terminaison d'interface et un point de terminaison de passerelle Amazon Simple Storage Solution (Amazon S3), procédez comme suit :
- Créer un point de terminaison de passerelle Amazon S3.
- Créer des points de terminaison d'interface Amazon Elastic Container Registry (Amazon ECR).
- Pour les tâches qui utilisent AWS Secrets Manager pour injecter des secrets dans les tâches et Amazon CloudWatch Logs, créez des points de terminaison d'interface pour les deux services.
Remarque : Les groupes de sécurité pour ces points de terminaison VPC autorisent le trafic entrant sur le port TCP 443 à partir du groupe de sécurité des tâches Fargate ou de la plage CIDR VPC des tâches Fargate.
- Suivez les instructions de la section Créer un cluster et un service Amazon ECS de cet article.
Utiliser un sous-réseau privé avec accès à Internet
Créez une passerelle NAT. Lorsque vous créez votre passerelle NAT, effectuez les tâches suivantes :
- Placez votre passerelle NAT dans le sous-réseau public.
- Mettez à jour la table de routage du sous-réseau privé :
Dans le champ Destination, saisissez 0.0.0.0/0.
Pour la Cible, sélectionnez l'ID de votre passerelle NAT.
Suivez ensuite les instructions de la section Créer un cluster et un service Amazon ECS de cet article.
Créer un cluster et un service Amazon ECS
- Créer un cluster Amazon ECS. Pour l’Infrastructure, sélectionnez AWS Fargate (sans serveur).
- Créer un service Amazon ECS.
Lorsque vous configurez le réseau pour le service Fargate, effectuez les tâches suivantes :
- Selon la méthode que vous avez choisie précédemment, choisissez le sous-réseau privé que vous avez configuré pour les points de terminaison du VPC. Vous pouvez également choisir le sous-réseau que vous avez configuré pour la passerelle NAT.
- Pour votre groupe de sécurité, autorisez le trafic sortant sur le port 443 à accéder aux points de terminaison Amazon ECS.