Amazon Elastic Container Service – Häufig gestellte Fragen
Allgemeines
F: Was ist Amazon Elastic Container Service?
Amazon Elastic Container Service (ECS) ist ein hoch skalierbarer, sehr leistungsfähiger Container-Management-Service, der Docker-Container unterstützt und es Ihnen ermöglicht, Anwendungen auf einem verwalteten Cluster von Amazon-Elastic-Compute-Cloud (Amazon EC2)-Instances problemlos zu betreiben. Mit Amazon ECS entfällt das Erfordernis, Ihre eigene Cluster-Managementinfrastruktur zu installieren, zu betreiben oder zu skalieren. Mit einfachen API-Aufrufen können Sie Container-aktivierte Anwendungen starten und beenden sowie den gesamten Zustand Ihres Clusters abfragen. Außerdem erhalten Sie Zugang zu vielen bekannten Funktionen wie beispielsweise Sicherheitsgruppen, Elastic Load Balancing, Elastic-Block-Store (EBS)-Volumes und Identity-Access-Management (IAM)-Rollen. Mit Amazon ECS können Sie die Platzierung von Containern in Ihrem Cluster entsprechend Ihrem Ressourcenbedarf und Ihren Verfügbarkeitserfordernissen planen. Außerdem können Sie Ihren eigenen Planer oder Planer von Drittanbietern integrieren, um geschäftliche oder anwendungsspezifische Anforderungen zu erfüllen.
F: Warum sollte ich Amazon ECS verwenden?
Mit Amazon ECS ist es einfach, Container als Bausteine für Ihre Anwendungen zu verwenden, da die Notwendigkeit entfällt, Ihre eigene Cluster-Managementinfrastruktur zu installieren, zu betreiben oder zu skalieren. Mit Amazon ECS können Sie lange laufende Anwendungen, Services und Batch-Prozesse unter Verwendung von Docker-Containern planen. Amazon ECS hält die Anwendungsverfügbarkeit aufrecht und ermöglicht Ihnen, Ihre Container entsprechend der Kapazitätsanforderungen Ihrer Anwendung nach oben oder nach unten anzupassen. Amazon ECS umfasst bekannte Funktionen wie Elastic Load Balancing, EBS Volumes, Amazon Virtual Private Cloud (VPC) und IAM. Mit einfachen APIs können Sie Ihre eigenen Planer integrieren und verwenden oder Amazon ECS in Ihren eigenen Software-Bereitstellungsprozess einbinden.
F: Wie sieht das Preisangebot für Amazon ECS aus?
Für die Nutzung von Amazon ECS fallen keine zusätzlichen Gebühren an. Sie bezahlen für AWS-Ressourcen (wie Amazon-EC2-Instances oder EBS-Volumes), die Sie erstellen, um Ihre Anwendung zu speichern und auszuführen. Sie zahlen nur für den tatsächlichen Gebrauch. Es fallen keine Mindestgebühren oder Vorauszahlungen an.
F: Wie unterscheidet sich Amazon ECS von AWS Elastic Beanstalk?
AWS Elastic Beanstalk ist eine Plattform für die Anwendungsverwaltung, die Kunden bei der einfachen Bereitstellung und Skalierung von Webanwendungen und Services hilft. Sie abstrahiert die Bereitstellung von Bausteinen (beispielsweise EC2, Amazon RDS, Elastic Load Balancing, AWS Auto Scaling und Amazon CloudWatch), die Bereitstellung von Anwendungen und die Überwachung des Systemzustands von den Benutzern, sodass diese sich auf das Schreiben von Code konzentrieren können. Sie geben einfach an, welche Container-Images bereitgestellt werden sollen, die CPU- und Speicheranforderungen, die Port-Mappings und die Container-Links.
Elastic Beanstalk verarbeitet automatisch alle Details wie beispielsweise Bereitstellung eines Amazon-ECS-Clusters, Lastausgleich, automatische Skalierung, Überwachung und Platzieren Ihrer Container in Ihrem Cluster. Elastic Beanstalk ist ideal, wenn Sie die Vorteile von Containern nutzen möchten, gleichzeitig aber die Einfachheit bei der Übertragung von Anwendungen von der Entwicklung zur Produktion durch Hochladen eines Container-Images wünschen. Sie können direkt mit Amazon ECS arbeiten, wenn Sie eine detailliertere Kontrolle benutzerdefinierter Anwendungsarchitekturen benötigen.
F: Wie unterscheidet sich Amazon ECS von AWS Lambda?
Amazon ECS ist ein hoch skalierbarer Docker-Container-Managementservice, mit dem Sie verteilte Anwendungen in Docker-Containern ausführen und verwalten können. AWS Lambda ist ein ereignisgesteuerter Datenverarbeitungsservice, der Ihren Code beim Eintreten bestimmter „Ereignisse“ wie Datenänderungen, Website-Klicks oder Nachrichten von anderen AWS-Services ausführt, ohne dass Sie dazu irgendeine Datenverarbeitungsinfrastruktur verwalten müssen.
Verwenden von Amazon ECS
F: Was sind die ersten Schritte mit Amazon ECS?
Auf unserer Seite Erste Schritte erhalten Sie weitere Informationen für den Einstieg in die Verwendung von Amazon ECS.
F: Unterstützt Amazon ECS andere Containertypen?
Nein. Docker ist die einzige Containerplattform, die zurzeit von Amazon ECS unterstützt wird.
F: Ich möchte Container in Betrieb nehmen. Warum muss ich Aufgaben starten?
Docker empfiehlt die Aufteilung Ihrer Anwendungen in Ihre Einzelkomponenten, Amazon ECS ist für dieses Muster optimiert. Mit Aufgaben können Sie eine Reihe von Containern definieren, die zusammen platziert werden (oder zur selben Platzierungsentscheidung gehören) sollen, sowie deren Eigenschaften und Verknüpfung untereinander. Aufgaben beinhalten alle Informationen, die Amazon ECS für die Platzierungsentscheidung benötigt. Für den Start eines einzelnen Containers sollte Ihre Aufgabendefinition nur eine Containerdefinition enthalten.
F: Unterstützt Amazon ECS Anwendungen und Services?
Ja. Der Serviceplaner von Amazon ECS Service kann lang andauernde Anwendungen und Services verwalten. Der Serviceplaner hilft Ihnen beim Aufrechterhalten der Anwendungsverfügbarkeit und ermöglicht Ihnen die Skalierung Ihrer Container nach oben oder unten, um die Kapazitätsanforderungen Ihrer Anwendung zu erfüllen. Mit dem Serviceplaner können Sie Datenverkehr mithilfe von Elastic Load Balancing (ELB) auf Ihre Container verteilen. Amazon ECS meldet Ihre Container automatisch beim zugehörigen Load Balancer an und ab.
Der Serviceplaner sorgt außerdem dafür, dass Container, bei denen es Probleme gibt (Prüfung des ELB-Systemzustands nicht bestanden) oder die ausgefallen sind, wieder in Betrieb genommen werden, sodass Ihnen immer die gewünschte Anzahl einwandfreier Container zur Unterstützung Ihrer Anwendung zur Verfügung steht.
Sie können Ihre Anwendungen nach oben oder unten skalieren, indem Sie die Anzahl der Container ändern, die der Service nutzen soll. Sie können Ihre Anwendung aktualisieren, indem Sie ihre Definition ändern oder ein neues Image verwenden. Der Planer startet automatisch neue Container unter Verwendung der neuen Definition und stoppt die Container, die nach der vorherigen Definition laufen (wartet bei Verwendung von ELB auf das Ablaufen der ELB-Verbindungen).
F: Unterstützt Amazon ECS das Zuordnen dynamischer Ports?
Ja. Es ist möglich, einen Service im Amazon ECS für den ELB-Service mit einem Application Load Balancer (ALB) zu verknüpfen. Der ALB unterstützt eine Zielgruppe, die eine Menge von Instance-Ports enthält. Sie können in der ECS-Aufgabendefinition einen dynamischen Port angeben, der dem Container einen unbenutzten Port zuweist, wenn er auf einer EC2 Instance eingeplant wird. Der ECS-Planer fügt die Aufgabe automatisch der Zielgruppe des Application Load Balancer hinzu und verwendet dabei diesen Port.
F: Unterstützt Amazon ECS Batch-Aufträge?
Ja. Sie können die Run-Aufgabe von Amazon ECS verwenden, um eine oder mehrere Aufgaben gleichzeitig auszuführen. Die Run-Aufgabe startet die Aufgabe auf einer Instance, die die Anforderungen der Aufgabe einschließlich CPU, Arbeitsspeicher und Ports erfüllt.
F: Kann ich meinen eigenen Planer mit Amazon ECS verwenden?
ECS stellt Blox bereit, eine Sammlung von Open Source-Projekten für das Container-Management und die Container-Orchestrierung. Blox vereinfacht den Konsum von Ereignissen aus Amazon ECS, das lokale Speichern des Cluster-Status und das Abfragen lokaler Datenspeicher mittels APIs. Darüber hinaus beinhaltet Blox einen Daemon-Planer, der als Referenz für die Verwendung des Cluster-Status-Servers verwendet werden kann. Weitere Informationen hierzu finden Sie auf der Blox GitHub Seite.
F: Kann ich mein eigenes Amazon Machine Image (AMI) verwenden?
Ja. Sie können jedes AMI verwenden, das der Amazon ECS AMI-Spezifikation entspricht. Wir empfehlen, mit dem Amazon ECS-fähigen Amazon Linux AMI zu beginnen. Außerdem sind Partner-AMIs erhältlich, die mit Amazon ECS kompatibel sind. Die Amazon-ECS-AMI-Spezifikation finden Sie in der Dokumentation.
F: Wie konfiguriere ich meine Container-Instances so, dass sie aus Amazon Elastic Container Registry abgerufen werden?
Amazon ECR ist mit Amazon ECS kombiniert, um Ihnen das einfache Speichern, Ausführen und Verwalten von Container-Abbilder für Anwendungen zu ermöglichen, die in Amazon ECS ausgeführt werden. Sie müssen lediglich das Amazon ECR Repository in Ihrer Aufgabendefinition angeben undAmazonEC2ContainerServiceforEC2Role an Ihre Instances anhängen. Amazon ECS ruft dann die entsprechenden Abbilder für Ihre Anwendungen ab.
F: Wie arbeitet AWS Fargate mit Amazon ECS zusammen?
Mit Fargateentfällt das Konzept der Serverbereitstellung, des Cluster-Managements und der Orchestrierung vollständig. Amazon ECS verwendet von Fargate bereitgestellte Container zur automatischen Skalierung, Lastverteilung und Verwaltung der Disposition Ihrer Container für die Verfügbarkeit und bietet so eine einfachere Möglichkeit für die Erstellung und den Betrieb containerisierter Anwendungen.
F: Wie soll ich mich zwischen der Verwendung von AWS Fargate mit Amazon ECS oder der alleinigen Verwendung von ECS entscheiden?
Amazon ECS unterstützt die Fargate-Technologie und Kunden können sich für AWS Fargate entscheiden, um ihre Container zu starten, ohne Amazon-EC2-Instances bereitstellen oder verwalten zu müssen. AWS Fargate ist die einfachste Möglichkeit, Container auf AWS zu starten und auszuführen. Kunden, die eine bessere Kontrolle über ihre EC2-Instances benötigen, um Compliance- und Governance-Anforderungen zu erfüllen, oder erweiterte Anpassungsoptionen benötigen, können ECS ohne Fargate verwenden, um EC2-Instances zu starten.
Sicherheit und Compliance
F: Wie isoliert Amazon ECS Container, die unterschiedlichen Kunden gehören?
Amazon ECS plant Container für die Ausführung in durch Kunden kontrollierten Amazon-EC2-Instances oder mit AWS Fargate und basiert auf den gleichen Isolationskontrollen und der gleichen Compliance, die auch für EC2-Kunden verfügbar ist. Ihre Rechen-Instances befinden sich in einer Virtual Private Cloud (VPC) mit einem von Ihnen festgelegten IP-Bereich. Sie entscheiden, auf welche Instances über das Internet zugegriffen werden kann und welche Instances privat sind.
- Ihre EC2-Instances verwenden eine IAM-Rolle zum Zugriff auf den ECS-Service.
- Ihre ECS-Aufgaben verwenden eine IAM-Rolle zum Zugriff auf Services und Ressourcen.
- Mithilfe von Sicherheitsgruppen und Netzwerk-ACLs können Sie den eingehenden und ausgehenden Netzwerkzugriff Ihrer Instances kontrollieren.
- Sie können Ihre vorhandene IT-Infrastruktur über gemäß Branchenstandard verschlüsselte IPsec-VPN-Verbindungen mit Ressourcen in Ihrer VPC verbinden.
- Sie können Ihre EC2-Ressourcen als Dedicated Instances bereitstellen. Dedizierte Instances sind Amazon EC2-Instances, die auf Hardware ausgeführt werden, die zur zusätzlichen Isolation einem einzelnen Kunden vorbehalten ist.
F: Kann ich zusätzliche Sicherheitskonfigurationen und Isolations-Frameworks auf meine Container-Instances anwenden?
Ja. Als Amazon-EC2-Kunde haben Sie Root-Zugriff auf das Betriebssystem (OS) Ihrer Container-Instances. Sie können Besitz der OS-Sicherheitseinstellungen nehmen und zusätzliche Software-Komponenten für Sicherheitsfunktionen konfigurieren, wie Überwachung, Patch-Verwaltung, Protokoll-Verwaltung und Host-Intrusionsüberwachung.
F: Kann ich Container-Instances mit unterschiedlichen Sicherheitseinstellungen betreiben oder unterschiedliche Aufgaben auf unterschiedliche Umgebungen aufteilen?
Ja. Sie können Ihre unterschiedlichen Container-Instances mit Tools Ihrer Wahl konfigurieren. Amazon ECS ermöglicht Ihnen, die Platzierung von Aufgaben in unterschiedlichen Container-Instances durch die Konstruktion von Clustern und gezielten Inbetriebnahmen zu steuern.
F: Unterstützt Amazon ECS den Abruf von Docker-Images von einer privaten oder internen Quelle?
Ja. Kunden können ihre Container-Instances für den Zugriff auf ein privates Docker-Abbild-Registry in einer VPC oder einem Registry konfigurieren, auf das auch außerhalb einer VPC zugegriffen werden kann, z. B. Amazon Elastic Container Registry (ECR).
F: Wie konfiguriere ich IAM-Rollen für ECS-Aufgaben?
Zuerst müssen Sie eine IAM-Rolle für die Aufgabe über die Service-Rolle „Amazon EC2 Container Service Task Role“ erstellen und eine Richtlinie mit den erforderlichen Berechtigungen hinzufügen. Wenn Sie eine neue Aufgabendefinition erstellen oder eine Aufgabendefinition überarbeiten, können Sie eine Rolle festlegen, indem Sie sie über das Drop-down-Menü „Aufgabenrolle“ auswählen oder die im JSON-Format abgelegte Datei „taskRoleArn“ verwenden.
Q: Welche Compliance-Programme erfüllt Amazon ECS?
Amazon ECS erfüllt die Standards für PCI DSS Level 1, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 und HIPAA.
Weitere Informationen besuchen Sie unseren Compliance-Seiten.
F: Kann ich Amazon ECS für geschützte Gesundheitsinformationen (Protected Health Information, PHI) und andere HIPAA-regulierte Workloads verwenden?
Ja. Amazon ECS ist HIPAA-geeignet. Wenn Sie bereits ein Business Associate Addendum (BAA) mit AWS abgeschlossen haben, können Sie Amazon ECS zur Verwaltung von verschlüsselten geschützten Gesundheitsdaten (Protected Health Information; PHI) in Docker-Containern verwenden, die in einem AWS Fargate Veröffentlichungstyp oder Amazon EC2 Rechen-Instances implementiert sind.
Weitere Informationen finden Sie auf unserer Seite zur HIPAA-Compliance. Wenn Sie beabsichtigen, PHI zu verarbeiten, zu speichern oder zu übertragen, und kein BAA von AWS ausgeführt haben, kontaktieren Sie uns bitte für weitere Informationen.
F: Kann ich Amazon ECS für von der US-Regierung regulierte Workloads verwenden oder damit sensible Controlled Unclassified Information (CUI) verarbeiten?
Ja. Durch Nutzung der AWS GovCloud (US) Region, erreichen Container und Cluster von Amazon ECS die Anforderungen für sensible Daten und regulierte Workloads mit Ihren Containern.
Weitere Informationen finden Sie auf unserer Seite zu AWS GovCloud.
Service Level Agreement (SLA)
F: Was garantiert die Amazon ECS-SLA?
Unsere Computing-SLA garantiert einen monatlichen Verfügbarkeitsprozentsatz von mindestens 99,99 % für Amazon ECS.
F: Wie erfahre ich, ob ich zu einer Gutschrift aus dem SLA berechtigt bin?
Sie kommen für eine SLA-Gutschrift für Amazon ECS im Rahmen der Computing-SLA in Frage, wenn mehr als eine Availability Zone, in der Sie eine Aufgabe ausführen, innerhalb derselben Region während eines beliebigen monatlichen Abrechnungszyklus einen monatlichen Verfügbarkeitsprozentsatz von weniger als 99,99 % aufweist.
Ausführliche Informationen zu allen Bestimmungen des SLA sowie Einzelheiten zur Geltendmachung eines Anspruchs finden Sie auf der Computing-SLA-Detailseite.
Erste Schritte mit Amazon ECS