AWS Fargate – Häufig gestellte Fragen

• Seekable OCI (SOCI) kann dazu beitragen, die Startzeit von Amazon-ECS-Aufgaben in AWS Fargate zu verkürzen. SOCI ist eine Open-Source-Technologie von AWS, die den schnelleren Start von Containern durch verzögertes Laden des Container-Images ermöglicht. Um zu erfahren, wie Sie mit SOCI beginnen, lesen Sie die Dokumentation und den Blogbeitrag.
• Verkürzen der Startup-Zeiten von AWS Fargate mit zstd-komprimierten Container-Images. Die Ebenen eines Container-Images werden aus Effizienzgründen standardmäßig im GZIP-Format komprimiert. Jedoch unterstützt containerd ein alternatives Format namens „zstd“, das sich nachweislich schneller dekomprimieren lässt, was bei Verwendung von AWS Fargate zu schnelleren Aufgabenstartzeiten führt. Weitere Informationen zum Erstellen von Container-Images mit zstd finden Sie in diesem Blogbeitrag.

Es wird empfohlen, Testanwendungen lokal oder in Entwicklungsumgebungen zu laden, um die Anforderungen der Anwendung zu verstehen und die Anfrage entsprechend zu dimensionieren. AWS Compute Optimizer kann zur Bereitstellung von Empfehlungen verwendet werden, wenn ein Workload unter- oder überdimensioniert ist.

Im AWS Fargate erhält jede ECS-Aufgabe oder jeder Kubernetes-Pod eine dedizierte Elastic-Network-Schnittstelle (ENI), die mit Ihrer Virtual Private Cloud (VPC) verknüpft ist. Der gesamte Datenverkehr innerhalb und außerhalb der Container-Workload wird über diese ENI abgewickelt. Daher können VPC-Sicherheitsgruppen und VPC-Netzwerk-ACLs zum Sichern der ENI verwendet werden. VPC-Ablaufprotokolle können zur Überwachung des Datenverkehrs verwendet werden.

Jeder Workload, der in AWS Fargate ausgeführt wird, erhält vollen Zugriff auf 20 GB kurzlebigen Speicher, der während der Ausführung des Workloads als temporärer Speicher verwendet werden kann. Sobald der Workload beendet ist, werden alle auf diesem 20-GB-Volume gespeicherten Daten gelöscht. Dieses kurzlebige Speichervolumen kann in Amazon ECS auf bis zu 200 GB und in Amazon EKS auf 175 GB erweitert werden. Amazon Elastic File System (EFS) kann zur Bereitstellung von dauerhaftem Speicher für Workloads verwendet werden, die in AWS Fargate ausgeführt werden.

Gängige Ansätze zum Erstellen von Containern aus Containern erfordern häufig einen privilegierten Modus ( z. B. mit Docker in Docker), der im Sicherheitsmodell von AWS Fargate nicht verfügbar ist. Das Einbinden des Docker-Sockets in einen Container ist ebenfalls nicht möglich, da AWS Fargate seit der Plattformversion 1.4 containerd verwendet. Alternativ dazu können Projekte zur Erstellung von Images ohne Root-Rechte wie Kaniko innerhalb des Sicherheitsmodells von AWS Fargate bereitgestellt werden. Sie sind eine praktikable Option zur Erstellung von Container-Images.

AWS Fargate erfüllt die Standards für eine Vielzahl von Compliance-Programmen, darunter PCI DSS, SOC, FIPS 140-2, FedRAMP und HIPAA. Weitere Informationen und eine vollständige Liste der Programme finden Sie in der Dokumentation „AWS Cloud Security Services in Scope“. 

Ja. AWS Fargate ist HIPAA-fähig. Wenn Sie ein Business Associate Addendum (BAA) mit AWS ausgeführt haben, können Sie verschlüsselte geschützte Gesundheitsinformationen (Protected Health Information, PHI) mithilfe von in AWS Fargate bereitgestellten Containern verarbeiten. Weitere Informationen finden Sie auf unserer Seite zur HIPAA-Compliance. Wenn Sie beabsichtigen, PHI zu verarbeiten, zu speichern oder zu übertragen und nicht über ein wirksames BAA von AWS verfügen, kontaktieren Sie uns bitte, um weitere Informationen zu erhalten. 

Ja. AWS Fargate ist jetzt in den Regionen AWS GovCloud (USA) verfügbar. Bei AWS GovCloud (USA) handelt es sich um Amazons isolierte Cloud-Infrastruktur und -Services, die auf die spezifischen regulatorischen und Compliance-Anforderungen von US-Regierungsbehörden sowie von Auftragnehmern, Bildungseinrichtungen und anderen US-Kunden, die vertrauliche Workloads in der Cloud ausführen, zugeschnitten sind. Eine vollständige Liste der AWS-Regionen, in denen AWS Fargate verfügbar ist, finden Sie in unserer Regionentabelle oder in der Dokumentation. 

AWS Fargate bietet ein flexibles Integrationsmodell, das sowohl AWS-Services von Erstanbietern als auch Lösungen des Amazon Partner Network (APN) von Drittanbietern umfasst. Der gängige Integrationsmechanismus besteht darin, einen Sidecar-Container innerhalb einer AWS-Fargate-Aufgabe auszuführen, der mit dem primären Anwendungscontainer interagieren kann, z. B. ein Laufzeit-Sicherheitsagent oder ein Protokollrouter. Dieser interagiert mit der primären Anwendung und sendet dann Daten zur Analyse und Anzeige an ein zentrales System.

AWS bietet mehrere Tools zur Überwachung und Reaktion auf verschiedene Aspekte Ihrer AWS-Fargate-Ressourcen, darunter Amazon CloudWatch-Alarme, Amazon CloudWatch Logs, Amazon CloudWatch Events, AWS CloudTrail-Protokolle, AWS Trusted Advisor und AWS Compute Optimizer. Ein beliebter Ansatz ist die Verwendung von CloudWatch Container Insights zum Erfassen und Analysieren von Protokollen und zum Anzeigen von Betriebs-Dashboards. Die Anwendungsprotokollierung verfügt über integrierte Protokolltreiber für CloudWatch und Splunk. FireLens für Amazon ECS kann jedoch mithilfe von Parametern zur Aufgabendefinition verwendet werden, um Protokolle an einen AWS-Service oder ein AWS-Partnernetzwerk (APN) zu leiten.

Mit AWS Fargate zahlen Sie nur für die Menge an vCPU-, Arbeitsspeicher- und Speicherressourcen, die von Ihren containerisierten Anwendungen bereitgestellt werden. Die vCPU- und Arbeitsspeicherressourcen werden vom Zeitpunkt des Abrufs Ihrer Container-Images bis zur Beendigung der Amazon-ECS-Aufgabe oder des EKS-Pods berechnet, aufgerundet auf die nächste Sekunde. Es wird immer mindestens 1 Minute berechnet. Für alle AWS-Fargate-Aufgaben und -Pods stehen standardmäßig 20 GB kurzlebiger Speicher zur Verfügung – Sie zahlen nur für zusätzlichen Speicher, den Sie konfigurieren. Für AWS Fargate gelten dieselben Spot-Preismodelle und Datenverarbeitungs-Savings-Plan-Gebühren wie für Amazon-EC2-Instances. Weitere Informationen finden Sie auf der Seite mit den Preisinformationen.

• AWS bietet Spot Instances für AWS-Fargate-Aufgaben an, die freie Rechenkapazität nutzen. Diese sind zu einem niedrigeren Preis als On-Demand-Instances verfügbar ist. Durch die Verwendung von Spot Instances können Sie unterbrechungstolerante Amazon-ECS-Aufgaben mit bis zu 70 Prozent Rabatt auf den AWS-Fargate-Preis ausführen. 
• AWS hat AWS Fargate Savings Plans eingeführt, ein Rabattmodell, bei dem Sie dieselben Einsparungen wie bei Reserved Instances erhalten, wenn Sie sich verpflichten, über einen Zeitraum von einem oder drei Jahren eine bestimmte Menge (gemessen in Dollar pro Stunde) an Rechenleistung zu verwenden. 
• AWS-Graviton-Prozessoren wurden von AWS entwickelt, um das beste Preis-Leistungs-Verhältnis für Ihre Cloud-Workloads zu bieten, die in Amazon EC2, von AWS verwalteten Containern und anderen verwalteten Services ausgeführt werden. AWS Graviton bietet ein bis zu 40 Prozent besseres Preis-Leistungs-Verhältnis als vergleichbare x86-basierte Instances. AWS-Graviton-Prozessoren sind energieeffizienter und verbrauchen bei gleicher Leistung bis zu 60 Prozent weniger Energie als vergleichbare EC2-Instances. 
• AWS Fargate ist im AWS Compute Optimizer enthalten, mit dem Sie ineffiziente Konfigurationen einfach identifizieren und beheben können.

AWS-Graviton-Prozessoren werden individuell von Amazon-Web-Services-Kernen entwickelt, um das beste Preis-Leistungs-Verhältnis für Ihre Cloud-Workloads zu bieten. AWS Fargate mit AWS-Graviton-Prozessoren bietet ein bis zu 40 % besseres Preis-Leistungs-Verhältnis bei 20 % geringeren Kosten als vergleichbare Intel x86-basierte Fargate für eine Vielzahl von Workloads wie Anwendungsserver, Webservices, Hochleistungsrechner und Medienverarbeitung. Sie erhalten dieselben Serverless-Vorteile von AWS Fargate und optimieren gleichzeitig die Leistung und Kosten für die Ausführung Ihrer containerisierten Workloads.