如何在私有子網路中的 Fargate 上執行 Amazon ECS 任務？

簡短描述

無論是否能夠存取網際網路，您都可以在私有子網路中的 Fargate 上執行 Amazon ECS 任務。對於某些作業，任務需要網路存取。例如，Amazon ECS 需要網路存取才能從公有儲存庫中提取映像檔。

若要在無法存取網際網路的私有子網路中執行任務，請建立虛擬私有雲端 (VPC) 端點。若要在私有子網路中執行需要網際網路存取的任務，請建立 NAT 閘道。

解決方法

為沒有網際網路存取權的私有子網路設定 VPC 端點

請完成下列步驟：

1. 建立具有公有子網路或私有子網路的 VPC。
2. 建立連線到 Amazon Simple Storage Service (Amazon S3) 的閘道端點。
3. 為 Amazon Elastic Container Registry (Amazon ECR) 建立 VPC 介面端點。

**注意：**對於使用 Amazon CloudWatch Logs 和 AWS Secrets Manager 為任務新增機密資訊的任務，請為這兩個服務建立介面 VPC 端點。此外，為 VPC 端點建立安全群組，並允許來自 Fargate 任務安全群組或 VPC CIDR 區塊 TCP 連接埠 443 上的傳入流量。

為具有網際網路存取權的私有子網路設定 NAT 閘道

若要為私有子網路設定 NAT 閘道，請參閱如何在 Amazon VPC 中為私有子網路設定 NAT 閘道？

建立 Amazon ECS 叢集和服務

請完成下列步驟：

1. 建立 Amazon ECS 叢集。
   **注意：**在 Infrastructure (基礎設施) 中，選取 AWS Fargate (serverless) (AWS Fargate (無伺服器))。
2. 建立 Amazon ECS 服務。如需說明，請參閱使用預設選項建立服務和使用定義的參數建立服務。
   **注意：**選取子網路時，請選擇為 VPC 端點或 NAT 閘道設定的私有子網路。建立安全群組時，允許連接埠 443 上的傳出流量存取 Amazon ECS 端點。