Вопросы и ответы по Amazon ECS

Подробнее о начале работы с Amazon ECS см. на странице Начало работы. Неважно, новичок ли вы в Amazon ECS или у вас уже есть готовый сценарий использования, вы можете выбрать свой собственный путь и следовать инструкциям, чтобы начать работу с сервисом.

Современная архитектура приложений (например, микросервисов) рекомендует разбивать приложения на отдельные блоки, и сервис Amazon ECS оптимизирован для этой схемы. Задания – это самый маленький вычислительный блок в Amazon ECS. Благодаря им можно определить набор контейнеров, которые требуется разместить вместе, их свойства, а также способ их соединения. Задания содержат все сведения, которые требуются Amazon ECS для принятия решения о размещении. Чтобы запустить один контейнер, в определении задания должно содержаться только одно определение контейнера.

Да. Планировщик Amazon ECS может управлять долго работающими приложениями и сервисами. Планировщик сервисов помогает поддерживать доступность приложений и дает возможность осуществлять масштабирование контейнеров в сторону увеличения или уменьшения, чтобы удовлетворить потребности вашего приложения в ресурсах. Благодаря ему можно распределить трафик между вашими контейнерами, используя ELB. Amazon ECS автоматически зарегистрирует или отменит регистрацию контейнеров в связанном балансировщике нагрузки. Планировщик сервисов также автоматически восстановит контейнеры, работоспособность которых была нарушена (например, для которых проверка работоспособности ELB завершилась неудачно), или остановит их работу, чтобы гарантировать необходимое количество работающих контейнеров для поддержки приложения.

Можно масштабировать приложение в сторону увеличения и уменьшения, изменяя необходимое количество работающих в сервисе контейнеров. Можно обновить приложение путем изменения его определения или использования нового образа. Планировщик автоматически запустит новые контейнеры с использованием нового определения и остановит контейнеры, работающие с предыдущей версией (ожидания соединения ELB, чтобы остановить, если используется ELB).

Приложения и микросервисы, развернутые в Amazon ECS, используют автомасштабирование приложений для выполнения этого задания на основе наблюдаемых данных метрик. Amazon ECS измеряет загрузку сервисов на основе ресурсов ЦП и памяти, потребляемых заданиями, принадлежащими сервису, и публикует вместе с этими данными метрики CloudWatch, а именно: ECSServiceAverageCPUUtilization и ECSServiceAverageMemoryUtilization. Затем автомасштабирование приложений может использовать эти предопределенные метрики в сочетании с политиками масштабирования для пропорционального масштабирования количества заданий в сервисе. Кроме того, существуют случаи, когда среднее использование ЦПУ и памяти сервиса само по себе не является надежным показателем того, когда и в какой степени следует выполнять операцию масштабирования. Для этого автомасштабирование приложений также поддерживает масштабирование сервиса на основе пользовательской спецификации метрики, которая соответствует выбранной нами метрике CloudWatch, что может быть более подходящей. Сюда входят показатели, отслеживающие другие аспекты приложения, такие как количество полученных HTTP-запросов, количество сообщений, полученных из очереди и темы, и количество транзакций базы данных. Теперь вы можете использовать метрики CloudWatch или Prometheus по своему усмотрению.

Чтобы узнать больше, посетите страницу Автомасштабирование сервисов Amazon ECS на основе настраиваемых метрик CloudWatch и Prometheus.

Amazon ECS дает возможность запускать множество приложений с одинаковым интерфейсом и инструментами в различных вычислительных вариантах.

• AWS Fargate. Это бессерверный вычислительный движок с оплатой по факту использования. Он снимает с вас бремя распределения серверов, управления кластерами и оркестрации. Amazon ECS использует контейнеры, предоставляемые AWS Fargate, для автоматического масштабирования, балансировки нагрузки и управления планированием контейнеров клиента, чтобы обеспечить доступность. Это более простой способ создания и эксплуатации контейнерных приложений.
• Amazon EC2. Используя Amazon ECS на EC2, вы владеете инстансами EC2 и полностью контролируете все аспекты инфраструктуры. Например, можно выбрать определенные типы инстансов EC2 или настроить базовую операционную систему. Для управления масштабированием инстансов EC2 можно использовать поставщиков ресурсов группы «Автомасштабирование».
• Локальные виртуальные машины (VM) или серверы.
  • Amazon ECS Anywhere поддерживает регистрацию внешнего инстанса, например локального сервера или виртуальной машины (VM), в кластере Amazon ECS. 
  • Емкость может быть размещена в любом из следующих ресурсов AWS:    
    • Зоны доступности
    • Локальные зоны
    • Зоны Wavelength
    • Регионы AWS
    • AWS Outposts

Да. Amazon ECS поддерживает автоматическое масштабирование вычислительной инфраструктуры как для AWS Fargate, так и для Amazon EC2, поэтому вы можете сосредоточиться на создании приложений и их масштабировании, а не на базовой инфраструктуре.

Amazon ECS с AWS Fargate обеспечивает бессерверную работу, поскольку AWS Fargate автоматически выделяет, масштабирует и обновляет вычислительную инфраструктуру, необходимую для ваших приложений.

Для приложений, которым требуется емкость Amazon EC2, в Amazon ECS предусмотрены поставщики ресурсов группы «Автомасштабирование». Они автоматически масштабируют инстансы Amazon EC2 в соответствии с потребностями приложений в ресурсах. Можно создать группу «Автомасштабирование» (ASG) для Amazon EC2 с желаемой конфигурацией для типов инстансов Amazon EC2, образов машины Amazon (AMI), сетевых настроек и т. д., а также создать поставщика ресурсов для автоматического масштабирования инстансов Amazon EC2 в ASG в соответствии с потребностями в планировании и нагрузкой ваших приложений. Это дает возможность управлять действиями по масштабированию в сторону увеличения и уменьшения ASG в зависимости от нагрузки ваших заданий.

Поставщики ресурсов Amazon ECS – это интерфейс, с помощью которого можно определить необходимый объем ресурсов для приложений. С помощью поставщиков ресурсов можно устанавливать гибкие правила работы приложений на различных типах вычислительных ресурсов и управлять масштабированием ресурсов. Поставщики ресурсов работают как с Amazon EC2, так и с AWS Fargate. Amazon ECS предоставляет предопределенных поставщиков ресурсов для AWS Fargate и Fargate Spot для каждого кластера. Для Amazon EC2 можно создать собственных поставщиков ресурсов ASG, чтобы управлять группой «Автомасштабирование» для Amazon EC2. Запускаемые задания и сервисы Amazon ECS можно разделить между несколькими поставщиками ресурсов. Например, запустить сервис на AWS Fargate и Fargate Spot в предварительно выбранном процентном соотношении ресурсов.

Да. Можно использовать Amazon ECS для запуска одного или сразу нескольких заданий. Запуск задания приводит к выполнению его на инстансе, который отвечает всем требованиям задания, включая требования к ЦПУ, памяти и портам. Пакет AWS также можно использовать для планирования, составления графика и выполнения рабочих нагрузок пакетных вычислений в Amazon ECS, чтобы сосредоточиться на анализе результатов и решении проблем. 

Да. Можно использовать любой AMI, который соответствует спецификации Amazon ECS AMI. Мы рекомендуем начать работу с использования Amazon Linux AMI с поддержкой Amazon ECS. Кроме того, доступны AMI от наших партнеров, совместимые с Amazon ECS. Информацию о спецификации AMI Amazon ECS можно просмотреть в документации.

Amazon ECR интегрирован с Amazon ECS, что дает возможность легко хранить и запускать образы контейнеров для работающих в Amazon ECS приложений, а также управлять ими. Вам необходимо лишь указать репозиторий Amazon ECR в определении задания и прикрепить AmazonEC2ContainerServiceforEC2Role к своим инстансам. После этого Amazon ECS будет извлекать подходящие образы для ваших приложений.

AWS Fargate предлагает бессерверные вычисления для запуска контейнеров в Amazon ECS. AWS Fargate дает возможность клиентам запускать контейнеры, не заботясь о распределении инстансов Amazon EC2 и управлении ими. AWS Fargate – это самый простой способ запускать и использовать контейнеры на AWS. Клиенты, которым требуется больший контроль над инстансами EC2 для соответствия требованиям или дополнительным вариантам настройки, могут выбрать использование Amazon ECS с инстансами Amazon EC2.

Amazon ECS поддерживает сетевые технологии Docker и интегрирован с Amazon VPC для обеспечения изоляции контейнеров. Это позволяет контролировать, как контейнеры подключаются к другим сервисам и внешнему трафику. Amazon ECS позволяет выбрать один из четырех сетевых режимов работы контейнеров, предназначенных для различных сценариев использования.

• Режим VPC. В этом режиме каждому запущенному заданию Amazon ECS назначается эластичный сетевой интерфейс, который обеспечивает полноценную сетевую работу контейнеров в VPC, аналогичную их работе на инстансах Amazon EC2.
• Режим Bridge. В этом режиме создается сетевой мост Linux, объединяющий между собой все контейнеры, которые работают на данном хостинге виртуальной локальной сети и доступны через сетевое подключение хостинга по умолчанию.
• Режим Host. В этом режиме контейнеры добавляются непосредственно в сетевой стек хостинга, в результате чего контейнеры доступны в сети данного хостинга без изоляции.
• Режим None. В этом режиме внешний сетевой функционал контейнеров отключается.

• Service Connect. Amazon ECS Service Connect упрощает обнаружение сервисов, подключения и отслеживания трафика для Amazon ECS. Благодаря этому вы можете быстрее создавать приложения, а также больше сосредоточиться на коде приложения, а не на сетевой инфраструктуре. Вы можете использовать Amazon ECS Service Connect, чтобы определять логические имена для адресов сервиса и использовать их в клиентских приложениях для подключения к зависимостям. Amazon ECS Service Connect помогает направлять трафик на исправные адреса и предоставляет полную телеметрию трафика в консоли Amazon ECS и в Amazon CloudWatch. Собственные развертывания Amazon ECS более надежны с Amazon ECS Service Connect, поскольку поддерживают автоматическое освобождение подключения, которое помогает клиентским приложениям переключаться на новую версию адреса сервиса без ошибок трафика. С Amazon ECS Service Connect вы сможете:
  • устанавливать способ подключения клиентских приложений к зависимостям, выполняя всего одно действие;
  • писать и использовать отказоустойчивые распределенные приложения с логическим именованием;
  • мониторить и распределять трафик между заданиями Amazon ECS без развертывания и настройки балансировщиков нагрузки;
  • быстрее развертывать сервисы и обеспечивать эффективную интеграцию микросервисов Amazon ECS, из которых состоит приложение.
• Обнаружение сервисов. Сервис Amazon ECS интегрирован с AWS Cloud Map. Благодаря этому размещенные в контейнерах сервисы могут легко обнаруживать друг друга и подключаться друг к другу. AWS Cloud Map – сервис обнаружения облачных ресурсов, с помощью которого можно выбирать пользовательские имена для ресурсов приложений. Это повышает доступность приложений, так как веб-сервис всегда обнаруживает последние расположения его динамически меняющихся ресурсов.

• Мониторинг
  • Вы можете выполнять мониторинг ресурсов Amazon ECS с помощью Amazon CloudWatch, который собирает и анализирует необработанные данные из Amazon ECS в читаемые метрики, близкие к реальному времени. Эта статистика записывается в течение двух недель, чтобы вы могли получить доступ к хронологической информации и лучше понять, как работают ваши кластеры или сервисы. Дополнительная плата за это отсутствует. Подробнее см. в разделе Метрики Amazon ECS CloudWatch.
  • Чтобы получить расширенные метрики, используйте CloudWatch Container Insights для сбора, агрегирования и обобщения метрик и журналов контейнерных приложений и микросервисов, доступных для кластеров Amazon ECS, которые работают на Amazon EC2 и AWS Fargate. CloudWatch автоматически собирает метрики для многих ресурсов, таких как ЦПУ, память, диск и сеть. Container Insights также предоставляет диагностическую информацию, такую как сбои при перезапуске контейнера, которая помогает выявлять проблемы и быстро их устранять. Для Amazon ECS Container Insights собирает метрики на уровне кластера, заданий и сервисов на инстансах Linux и Windows Server. Этот сервис может собирать метрики на уровне инстансов только на инстансах Linux. Сетевые метрики доступны только для контейнеров в сетевых режимах bridge и awsvpc. Они недоступны для контейнеров в сетевом режиме host. Чтобы узнать больше, посетите раздел Использование Аналитики контейнеров.
• Ведение журналов
  • С помощью Amazon ECS можно записывать все вызовы API Amazon ECS и получать файлы журналов посредством AWS CloudTrail. В журналы попадает следующая информация: данные оператора, совершившего вызов API, время вызова API, IP-адрес источника, совершившего вызов API, параметры запроса, а также элементы ответа, возвращенные сервисом Amazon ECS. CloudTrail предоставляет историю вызовов API, сделанных с помощью Консоли управления AWS, SDK и интерфейса командной строки AWS. Данный сервис позволяет проводить анализ безопасности и аудит соответствия требованиям, а также отслеживать изменения ресурсов.
• AWS Config
  • AWS Config интегрируется с Amazon ECS, чтобы обеспечить видимость настроек ресурсов AWS в вашем аккаунте AWS. С помощью AWS Config пользователи могут мониторить и отслеживать настройки ресурсов, их взаимосвязи, а также изменения с течением времени. Благодаря AWS Config можно упростить соблюдение требований и стандартов безопасности, операционное устранение неполадок и администрирование ресурсов.
• Сторонние разработчики
  • Amazon ECS поддерживает целую экосистему сторонних поставщиков систем для наблюдаемости, применяя стандарты открытых контейнеров. Дополнительные сведения см. на странице партнеров по Amazon ECS.

Amazon ECS предлагает следующие варианты хранения:

Эластичная файловая система Amazon (EFS): Amazon EFS предоставляет бессерверное, полностью эластичное и масштабируемое файловое хранилище для использования в задачах Amazon ECS. К задачам ECS можно подключить общую файловую систему Amazon EFS для постоянного хранения.

Магазин эластичных блоков Amazon (EBS): Amazon EBS предоставляет масштабируемое высокопроизводительное хранилище для задач Amazon ECS. Можно настроить ECS для выделения и подключения томов EBS с желаемыми характеристиками (размер, производительность, шифрование и т. д.) к задачам Amazon ECS.

Стоимость задач Amazon ECS, выполняемых на AWS Fargate, автоматически отображается в отчетах о расходах и использовании (CUR) AWS и Обозревателе затрат AWS. Можно использовать управляемые и добавленные пользователем теги. Это позволяет агрегировать и распределять затраты на задачи Amazon ECS между новыми и существующими бизнес-подразделениями, командами, а также приложениями.

Подробнее об отчетах об использовании Amazon ECS.

Информацию о стоимости и использовании задач Amazon ECS, выполняемых на инстансах Amazon EC2, можно получить в отчетах о расходах и использовании (CUR) AWS, выбрав данные о распределении затрат для Amazon ECS. Данные о распределении затрат указывают стоимость на уровне заданий для задач Amazon ECS, выполняющихся на инстансах Amazon EC2, анализируя потребление ресурсов для каждой задачи на основе цены инстанса и процентного соотношения ресурсов ЦП и памяти, потребляемых контейнерами, работающими на инстансе. Данные о распределении затрат автоматически используют управляемые и добавленные пользователем теги для ваших задач Amazon ECS. Это позволяет агрегировать и распределять затраты между новыми и существующими бизнес-подразделениями, командами, а также приложениями. В настройках Консоли управления стоимостью AWS можно выбрать данные о распределении затрат для Amazon ECS, а затем – данные о распределении затрат для отдельных отчетов о затратах и использовании (CUR) в настройках отчетов CUR в Консоли оплаты AWS. 

Подробнее о возможности использовать данные о распределении затрат.
 

Amazon ECS планирует запуск контейнеров на инстансах Amazon EC2, управляемых клиентами или сервисом AWS Fargate, при этом использует те же средства управления изоляцией и настройки соответствия требованиям, которые доступны для клиентов Amazon EC2. Ваши вычислительные инстансы располагаются в виртуальном частном облаке (VPC) с указанным вами диапазоном IP-адресов. Вы решаете, какие инстансы будут иметь доступ в Интернет, а какие останутся изолированными.

• Инстансы Amazon EC2 используют роли IAM для доступа к сервису Amazon ECS.
• Задания Amazon ECS используют роли IAM для доступа к сервисам и ресурсам.
• Задания Amazon ECS, выполняемые на AWS Fargate, исполняются на изолированных виртуальных машинах.
• Группы безопасности и списки контроля доступа к сети (network ACL) позволяют контролировать доступ инстанса к сетевым ресурсам.
• Уже имеющуюся ИТ-инфраструктуру можно подключить к ресурсам в виртуальном частном облаке по стандартным защищенным VPN-каналам IPsec.
• Ресурсы Amazon EC2 можно использовать как выделенные инстансы. Выделенные инстансы Amazon EC2 работают на оборудовании, выделенном отдельному клиенту, что обеспечивает дополнительную изоляцию.

Да. Как у клиента Amazon EC2, у вас есть доступ с правами root к операционной системе (ОС) ваших инстансов контейнера. Вы можете взять на себя ответственность за настройки безопасности ОС, равно как и настроить дополнительные программные компоненты для таких функций безопасности, как мониторинг, управление исправлениями и журналами, а также обнаружение вторжений на хостинг. 

Использование Amazon ECS с AWS Fargate обеспечивает высокий уровень безопасности и возможность назначения детальных разрешений для каждого задания, что обеспечивает более высокую степень изоляции, контроля доступа к сети и IAM при создании приложений. В AWS Fargate каждое задание выполняется на отдельной виртуальной машине (VM), что обеспечивает большую изоляцию, чем два задания на одном хостинге. Каждое задание также имеет собственный сетевой интерфейс, с помощью которого можно применять группу безопасности к каждому заданию с контролем входящего и исходящего трафика.

Да. Клиенты могут настроить свои инстансы контейнеров для доступа к частному реестру образов контейнера в VPC или к реестру за пределами VPC, например Amazon ECR.

Сначала нужно создать роль IAM для своего задания. Используйте для этого роль сервиса «Amazon EC2 Container Service Task Role», назначив ей политику с требуемыми разрешениями. Завершив создание нового определения задания или его редактирование, следует задать роль, выбрав ее из выпадающего списка «Task Role» или воспользовавшись полем «taskRoleArn» в формате JSON.

Amazon ECS соответствует стандартам PCI DSS Level 1, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 и HIPAA.

Дополнительную информацию см. на страницах о соответствии требованиям.

Да. Amazon ECS соответствует требованиям HIPAA. Пользователи, заключившие Договор делового партнерства (BAA) с AWS, могут использовать Amazon ECS для обработки закрытой медицинской информации (PHI) в контейнерах, развернутых с помощью типа запуска AWS Fargate или в кластере вычислительных инстансов Amazon EC2.

Дополнительную информацию см. на странице о соответствии требованиям HIPAA. Если вы планируете обрабатывать, хранить или передавать PHI, но еще не заключили BAA с AWS, свяжитесь с нами для получения дополнительной информации.

Да. В регионе AWS GovCloud (США) ваши контейнеры и кластеры, управляемые Amazon ECS, могут соответствовать требованиям к конфиденциальной информации и регулируемым рабочим нагрузкам. Дополнительную информацию см. на странице о AWS GovCloud.

Клиенты также могут развертывать свои рабочие нагрузки в Amazon ECS с помощью AWS Fargate в соответствии с Федеральным стандартом по обработке информации (FIPS), публикация 140‑2. FIPS – это государственный стандарт США и Канады, определяющий требования к безопасности криптографических модулей для защиты конфиденциальных данных.

Amazon ECS разработан с учетом требований безопасности, кроме того, он интегрируется с собственными службами безопасности AWS для обеспечения безопасности, аутентификации и соответствия нормативным требованиям. Например, Amazon GuardDuty можно использовать для мониторинга рабочих нагрузок Amazon ECS, запущенных на AWS Fargate или Amazon EC2, с целью обнаружения потенциально вредоносного или подозрительного поведения.

Соглашение об уровне обслуживания (SLA) гарантирует бесперебойную ежемесячную работу Amazon ECS на уровне не менее 99,99 %. AWS берет на себя два обязательства по SLA для Amazon ECS и AWS Fargate: (1) SLA по контейнерным сервисам, входящим в несколько зон доступности, которое регулирует использование включенных контейнерных сервисов в нескольких зонах доступности; (2) SLA по одному заданию или поду, которое регулирует задания и поды входящих контейнерных сервисов по отдельности. См. страницу AWS Fargate и SLA для Эластичного контейнерного сервиса Amazon.

Компенсация по SLA Amazon ECS по условиям нашего SLA в отношении вычислительных процессов предоставляется, если бесперебойная ежемесячная работа сервиса в рамках одного региона в нескольких зонах доступности, в которых запущено задание, составила менее 99,99 % в течение любого оплачиваемого месяца.

С условиями и положениями соглашения об уровне обслуживания, а также подробностями оформления заявки на компенсацию можно ознакомиться на странице сведений об SLA в отношении вычислительных процессов.