如何在私有子網路中的 Fargate 上執行 Amazon ECS 任務?

1 分的閱讀內容
0

我想在私有子網中的 AWS Fargate 上執行 Amazon Elastic Container Service (Amazon ECS) 任務。

簡短說明

您可以在私有子網路中執行 Fargate 任務。但是,根據您的使用案例,您可能需要網際網路存取權才能執行某些操作。例如,您可能要從公有儲存庫中提取影像。或者,您可能想要防止任何網際聯存取來執行您的任務。

若要在沒有網際網路存取權的私有子網路中執行 Fargate 任務,請使用虛擬私有雲端 (VPC) 端點。VPC 端點可讓您執行 Fargate 任務,而無需授予任務對網際網路的存取權。您可透過私有 IP 位址存取必要的端點。

如果您需要從私有子網路存取網際網路的任務,請使用 NAT 閘道授予網際網路存取權。您可以透過 NAT 閘道的公有 IP 位址存取必要的端點。

解決方法

建立 VPC

建立具有公有和私有子網路的 Amazon Virtual Private Cloud (Amazon VPC)。然後,根據您的使用案例,請執行使用沒有網際網路存取權的私有子網路 (VPC 端點方法) 中的步驟。或者,執行使用具有網際網路存取權的私有子網路中的步驟。

使用沒有網際網路存取權的私有子網路 (VPC 端點方法)

若要建立介面端點和 Amazon Simple Storage Solution (Amazon S3) 閘道端點,請完成下列步驟:

  1. 建立 Amazon S3 閘道端點
  2. 建立 Amazon Elastic Container Registry (Amazon ECR) 介面端點
  3. 對於使用 AWS Secrets Manager 將機密注入任務和 Amazon CloudWatch Logs 的任務,請為兩種服務建立介面端點。
    **注意:**這些 VPC 端點的安全群組允許 TCP 連接埠 443 上來自 Fargate 任務安全群組或 Fargate 任務 VPC CIDR 範圍的傳入流量。
  4. 請遵循本文建立 Amazon ECS 叢集和服務一節中的指示進行操作。

使用具有網際網路存取權的私有子網路

建立 NAT 閘道。建立 NAT 閘道時,請完成下列任務:

接著,請依照本文「建立 Amazon ECS 叢集和服務」一節中的指示進行。

建立 Amazon ECS 叢集和服務

  1. 建立 Amazon ECS 叢集。對於基礎設施,選取 AWS Fargate (無伺服器)
  2. 建立 Amazon ECS 服務

設定 Fargate 服務的網路時,請完成下列任務:

  • 根據您先前選擇的方法,選擇您為 VPC 端點設定的私有子網路。或者,選擇您為 NAT 閘道設定的子網路。
  • 對於您的安全群組,允許連接埠 443 上的傳出流量存取 Amazon ECS 端點。
AWS 官方
AWS 官方已更新 9 個月前