Quero executar uma tarefa do Amazon Elastic Container Service (Amazon ECS) no AWS Fargate em uma sub-rede privada.
Breve descrição
Você pode executar tarefas do Fargate em sub-redes privadas. No entanto, com base no seu caso de uso, você pode precisar de acesso à Internet para determinadas operações. Por exemplo, talvez você queira extrair uma imagem de um repositório público. Ou talvez você queira impedir o acesso à Internet para suas tarefas.
Para executar tarefas do Fargate em uma sub-rede privada sem acesso à Internet, use endpoints da nuvem privada virtual (VPC). Os endpoints da VPC permitem que você execute tarefas do Fargate sem precisar conceder às tarefas acesso à Internet. Os endpoints necessários são acessados por meio de um endereço IP privado.
Se você precisar que sua tarefa acesse a Internet a partir de uma sub-rede privada, use um gateway NAT para conceder acesso à Internet. Os endpoints necessários são acessados pelo endereço IP público do gateway NAT.
Resolução
Crie uma VPC
Crie uma Amazon Virtual Private Cloud (Amazon VPC) com sub-redes públicas ou privadas. Em seguida, dependendo do seu caso de uso, siga as etapas nas seções Usar uma sub-rede privada sem acesso à Internet (método de endpoints da VPC). Ou siga as etapas em Usar uma sub-rede privada com acesso à Internet.
Usar uma sub-rede privada sem acesso à Internet (método de endpoints da VPC)
Para criar endpoints de interface e um endpoint de gateway Amazon Simple Storage Solution (Amazon S3), conclua as seguintes etapas:
- Criar um endpoint do gateway do Amazon S3.
- Crie endpoints de interface do Amazon Elastic Container Registry (Amazon ECR).
- Para tarefas que usam o AWS Secrets Manager para injetar segredos em tarefas e no Amazon CloudWatch Logs, crie endpoints de interface para ambos os serviços.
Observação: os grupos de segurança desses endpoints VPC permitem tráfego de entrada na porta TCP 443 do grupo de segurança de tarefas Fargate ou do intervalo CIDR da VPC da tarefa Fargate.
- Siga as instruções na seção Criar um cluster e serviço do Amazon ECS deste artigo.
Usar uma sub-rede privada com acesso à Internet
Crie um gateway NAT. Ao criar seu gateway NAT, conclua as seguintes tarefas:
- Coloque seu gateway NAT dentro da sub-rede pública.
- Atualize a tabela de rotas da sub-rede privada:
Em Destino, insira 0.0.0.0/0.
Para Alvo, selecione a ID do seu gateway NAT.
Em seguida, siga as instruções na seção Criar um cluster e serviço do Amazon ECS deste artigo.
Criar um cluster e serviço do Amazon ECS
- Crie um cluster do Amazon ECS. Em Infraestrutura, selecione AWS Fargate (sem servidor).
- Crie um serviço do Amazon ECS.
Ao configurar a rede para o serviço Fargate, conclua as seguintes tarefas:
- Com base no método escolhido anteriormente, escolha a sub-rede privada que você configurou para os endpoints da VPC. Ou escolha a sub-rede que você configurou para o gateway NAT.
- Para seu grupo de segurança, permita que o tráfego de saída na porta 443 acesse os endpoints do Amazon ECS.