Como posso executar uma tarefa do Amazon ECS no Fargate em uma sub-rede privada?

3 minuto de leitura
0

Quero executar uma tarefa do Amazon Elastic Container Service (Amazon ECS) no AWS Fargate em uma sub-rede privada.

Breve descrição

Você pode executar tarefas do Fargate em sub-redes privadas. No entanto, com base no seu caso de uso, você pode precisar de acesso à Internet para determinadas operações. Por exemplo, talvez você queira extrair uma imagem de um repositório público. Ou talvez você queira impedir o acesso à Internet para suas tarefas.

Para executar tarefas do Fargate em uma sub-rede privada sem acesso à Internet, use endpoints da nuvem privada virtual (VPC). Os endpoints da VPC permitem que você execute tarefas do Fargate sem precisar conceder às tarefas acesso à Internet. Os endpoints necessários são acessados por meio de um endereço IP privado.

Se você precisar que sua tarefa acesse a Internet a partir de uma sub-rede privada, use um gateway NAT para conceder acesso à Internet. Os endpoints necessários são acessados pelo endereço IP público do gateway NAT.

Resolução

Crie uma VPC

Crie uma Amazon Virtual Private Cloud (Amazon VPC) com sub-redes públicas ou privadas. Em seguida, dependendo do seu caso de uso, siga as etapas nas seções Usar uma sub-rede privada sem acesso à Internet (método de endpoints da VPC). Ou siga as etapas em Usar uma sub-rede privada com acesso à Internet.

Usar uma sub-rede privada sem acesso à Internet (método de endpoints da VPC)

Para criar endpoints de interface e um endpoint de gateway Amazon Simple Storage Solution (Amazon S3), conclua as seguintes etapas:

  1. Criar um endpoint do gateway do Amazon S3.
  2. Crie endpoints de interface do Amazon Elastic Container Registry (Amazon ECR).
  3. Para tarefas que usam o AWS Secrets Manager para injetar segredos em tarefas e no Amazon CloudWatch Logs, crie endpoints de interface para ambos os serviços.
    Observação: os grupos de segurança desses endpoints VPC permitem tráfego de entrada na porta TCP 443 do grupo de segurança de tarefas Fargate ou do intervalo CIDR da VPC da tarefa Fargate.
  4. Siga as instruções na seção Criar um cluster e serviço do Amazon ECS deste artigo.

Usar uma sub-rede privada com acesso à Internet

Crie um gateway NAT. Ao criar seu gateway NAT, conclua as seguintes tarefas:

  • Coloque seu gateway NAT dentro da sub-rede pública.
  • Atualize a tabela de rotas da sub-rede privada:
    Em Destino, insira 0.0.0.0/0.
    Para Alvo, selecione a ID do seu gateway NAT.

Em seguida, siga as instruções na seção Criar um cluster e serviço do Amazon ECS deste artigo.

Criar um cluster e serviço do Amazon ECS

  1. Crie um cluster do Amazon ECS. Em Infraestrutura, selecione AWS Fargate (sem servidor).
  2. Crie um serviço do Amazon ECS.

Ao configurar a rede para o serviço Fargate, conclua as seguintes tarefas:

  • Com base no método escolhido anteriormente, escolha a sub-rede privada que você configurou para os endpoints da VPC. Ou escolha a sub-rede que você configurou para o gateway NAT.
  • Para seu grupo de segurança, permita que o tráfego de saída na porta 443 acesse os endpoints do Amazon ECS.
AWS OFICIAL
AWS OFICIALAtualizada há 8 meses