Breve descrizione
-----------------

Puoi eseguire attività Amazon ECS su [Fargate ](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html) in una sottorete privata con o senza accesso a Internet. Per alcune operazioni, le attività richiedono l'accesso a Internet. Ad esempio, Amazon ECS richiede l'accesso a Internet per estrarre immagini da archivi pubblici.

Per eseguire attività Fargate in una sottorete privata senza accesso a Internet, utilizza [endpoint del cloud privato virtuale (VPC)](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-vpc-endpoints). Per eseguire attività che richiedono l'accesso a Internet in una sottorete privata, crea un [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating).

Risoluzione
----------

### Configura gli endpoint VPC per una sottorete privata senza accesso a Internet

Completa i seguenti passaggi:

1. [Crea un VPC con sottoreti pubbliche o private](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html#create-vpc-private-subnets-nat).
2. [Crea un endpoint gateway](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) che si connette ad Amazon Simple Storage Service (Amazon S3).
3. [Crea endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) per Amazon Elastic Container Registry (Amazon ECR).

**Nota:** per le attività che utilizzano [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) e [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) per aggiungere segreti alle attività, crea endpoint VPC di interfaccia per entrambi i servizi. Inoltre, [crea gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) per gli endpoint VPC e consenti il traffico in entrata sulla porta TCP 443 dal gruppo di sicurezza delle attività Fargate o dal blocco CIDR del VPC.

### Configura un gateway NAT per una sottorete privata con accesso a Internet

Per configurare un gateway NAT per una sottorete privata, consulta [Come posso configurare un gateway NAT per una sottorete privata in Amazon VPC?](https://repost.aws/it/knowledge-center/nat-gateway-vpc-private-subnet)

### Crea un cluster e un servizio Amazon ECS

Completa i seguenti passaggi:

1. [Crea un cluster Amazon ECS cluster](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-cluster-console-v2.html#create-cluster-console-v2-procedure).  
   **Nota:** per **Infrastruttura**, seleziona **AWS Fargate (serverless)**.
2. Crea un servizio Amazon ECS. Per istruzioni, consulta [Crea un servizio con le opzioni predefinite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-service-console-v2.html#create-default-service) e [Creazione di un servizio utilizzando parametri definiti](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-service-console-v2.html#create-custom-service).  
   **Nota:** quando selezioni una sottorete, scegli la sottorete privata che hai configurato per gli endpoint VPC o il gateway NAT. Per il gruppo di sicurezza, consenti al traffico in uscita sulla porta 443 di accedere agli endpoint di Amazon ECS.

Voglio eseguire un'attività Amazon Elastic Container Service (Amazon ECS) su AWS Fargate in una sottorete privata.

Esegui attività Amazon ECS su Fargate in una sottorete privata

Come posso eseguire un'attività Amazon ECS su Fargate in una sottorete privata?

Come posso eseguire un'attività Amazon ECS su Fargate in una sottorete privata?

Breve descrizione

Risoluzione

Configura gli endpoint VPC per una sottorete privata senza accesso a Internet

Configura un gateway NAT per una sottorete privata con accesso a Internet

Crea un cluster e un servizio Amazon ECS

Contenuto pertinente