Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
Come posso eseguire un'attività Amazon ECS su Fargate in una sottorete privata?
Voglio eseguire un'attività Amazon Elastic Container Service (Amazon ECS) su AWS Fargate in una sottorete privata.
Breve descrizione
È possibile eseguire attività Fargate in sottoreti private. Tuttavia, in base al caso d'uso, potrebbe essere necessario l'accesso a Internet per determinate operazioni. Ad esempio, potresti voler estrarre un'immagine da un archivio pubblico. Oppure potrebbe essere necessario impedire qualsiasi accesso a Internet per le attività.
Per eseguire attività Fargate in una sottorete privata senza accesso a Internet, utilizza gli endpoint VPC. Gli endpoint VPC consentono di eseguire attività Fargate senza concedere l'accesso a Internet alle attività. L'accesso agli endpoint richiesti avviene tramite un indirizzo IP privato.
Se vuoi che l’attività acceda a Internet da una sottorete privata, concedi l'accesso a Internet utilizzando un gateway NAT. Gli endpoint richiesti sono accessibili tramite l'indirizzo IP pubblico del gateway NAT.
Risoluzione
Crea un VPC
Crea un Amazon Virtual Private Cloud (Amazon VPC) con sottoreti pubbliche o private. Quindi, a seconda del caso d'uso, segui i passaggi in **Utilizzare una sottorete privata senza accesso a Internet (metodo degli endpoint VPC) **. In alternativa, segui i passaggi descritti in Utilizzare una sottorete privata con accesso a Internet.
Utilizzare una sottorete privata senza accesso a Internet (metodo degli endpoint VPC)
Per creare endpoint di interfaccia e un endpoint gateway Amazon Simple Storage Solution (Amazon S3), completa i seguenti passaggi:
- Crea un endpoint gateway Amazon S3.
- Crea endpoint di interfaccia Amazon Elastic Container Registry (Amazon ECR).
- Per le attività che utilizzano AWS Secrets Manager per inserire segreti nelle attività e Amazon CloudWatch Logs, crea endpoint di interfaccia per entrambi i servizi.
**Nota:**i gruppi di sicurezza per questi endpoint VPC consentono il traffico in entrata sulla porta TCP 443 dal gruppo di sicurezza delle attività Fargate o dall'intervallo CIDR del task Fargate VPC. - Segui le istruzioni nella sezione Creare un cluster e un servizio Amazon ECS di questo articolo.
Usare una sottorete privata con accesso a Internet
Crea un gateway NAT. Quando crei il tuo gateway NAT, completa le seguenti attività:
- Posiziona il gateway NAT all'interno della sottorete pubblica.
- Aggiorna la tabella di routing della sottorete privata:
In Destinazione inserisci 0.0.0.0/0.
In Target, seleziona l'ID del gateway NAT.
Segui le istruzioni nella sezione Crea un cluster e un servizio Amazon ECS di questo articolo.
Crea un cluster e un servizio Amazon ECS
- Crea un cluster Amazon ECS cluster. Per Infrastruttura, seleziona AWS Fargate (serverless).
- Crea un servizio Amazon ECS.
Quando si configura la rete per il servizio Fargate, completare le seguenti attività:
- In base al metodo scelto in precedenza, scegli la sottorete privata configurata per gli endpoint VPC. Oppure, scegli la sottorete che hai configurato per il gateway NAT.
- Per il tuo gruppo di sicurezza, consenti al traffico in uscita sulla porta 443 di accedere agli endpoint Amazon ECS.
