Aspectos generales

P: ¿Qué es Amazon Elastic Container Service?

Amazon Elastic Container Service (ECS) es un servicio de administración de contenedores de alto desempeño y escalabilidad compatible con los contenedores de Docker que le permite ejecutar fácilmente aplicaciones distribuidas en un clúster administrado de instancias de Amazon EC2. Amazon ECS elimina la necesidad de instalar, utilizar y escalar su propia infraestructura de administración de clústeres. Mediante sencillas llamadas API, puede lanzar y detener aplicaciones con contenedores, realizar consultas del estado completo del clúster y obtener acceso a numerosas características comunes como los grupos de seguridad, Elastic Load Balancing, los volúmenes de EBS y las funciones de IAM. Con Amazon ECS, puede programar la colocación de los contenedores en su clúster en función de las necesidades de los recursos y los requisitos de disponibilidad. También puede integrar su propio programador o programadores de terceros para satisfacer los requisitos específicos de la aplicación o del negocio.

P: ¿Por qué debería utilizar Amazon ECS?

Amazon ECS facilita el uso de los contenedores a modo de bloques de creación para sus aplicaciones al eliminar la necesidad de instalar, operar y escalar su propia infraestructura de administración de clústeres. Amazon ECS le permite programar aplicaciones, servicios y procesos por lotes de larga ejecución mediante contenedores de Docker. Amazon ECS garantiza la disponibilidad de la aplicación y le permite reducir o escalar los contenedores para satisfacer los requisitos de capacidad de su aplicación. Amazon ECS se integra con características familiares, como Elastic Load Balancing, volúmenes de EBS, VPC e IAM. Las sencillas API le permiten integrar y utilizar sus propios programadores o conectar Amazon ECS con su proceso de entrega de software existente.

P: ¿Cuánto cuesta Amazon ECS?

No se aplican cargos adicionales por el uso de Amazon ECS. Solo tiene que pagar por los recursos de AWS (por ejemplo, instancias EC2 o volúmenes de EBS) creados para almacenar y ejecutar la aplicación. Solo pagará por lo que consuma y a medida que lo haga: no se requieren pagos mínimos ni compromisos iniciales.

P: ¿En qué se diferencia Amazon ECS de AWS Elastic Beanstalk?

AWS Elastic Beanstalk es una plataforma de administración de aplicaciones que ayuda a los clientes a implementar y escalar servicios y aplicaciones web con facilidad. Libera al usuario de las tareas de aprovisionamiento de bloques de creación (p. ej., EC2, RDS, Elastic Load Balancing, Auto Scaling y CloudWatch), implementación de aplicaciones y monitorización del estado para que pueda concentrarse en escribir código. Simplemente debe especificar las imágenes de contenedores que han de implementarse, los requisitos de CPU y de memoria, los mapeos de puertos y los enlaces de los contenedores.

Elastic Beanstalk administrará automáticamente todos los detalles, como el aprovisionamiento de un clúster de Amazon ECS, el equilibro de cargas, el escalado automático, la monitorización y la colocación de los contenedores en el clúster. Elastic Beanstalk resulta ideal si desea aprovechar los beneficios de los contenedores, pero busca la simplicidad de implementar aplicaciones de un entorno de desarrollo en uno de producción con tan solo cargar una imagen de contenedor. Si desea disponer de un control más minucioso para arquitecturas de aplicaciones personalizadas, puede utilizar Amazon ECS directamente.

P: ¿En qué se diferencia Amazon ECS de AWS Lambda?

Amazon ECS es un servicio de administración de contenedores de Docker de alta escalabilidad que permite ejecutar y administrar aplicaciones distribuidas que se ejecutan en los contenedores de Docker. AWS Lambda es un servicio informático de tareas controladas por eventos que ejecuta el código en respuesta a “eventos”, como los cambios realizados en datos, los clics en sitios web o los mensajes de otros servicios de AWS sin necesidad de administrar ninguna infraestructura informática.

Uso de Amazon ECS

P: ¿Cómo puedo comenzar a utilizar Amazon ECS?

Visite nuestra página de Introducción para obtener más información sobre cómo comenzar a usar ECS.

P: ¿Amazon ECS admite otros tipos de contenedores?

No. Docker es la única plataforma de contenedores compatible con Amazon ECS por el momento.

P: Quiero lanzar contenedores. ¿Por qué tengo que lanzar tareas?

Docker le insta a dividir las aplicaciones en componentes individuales y Elastic Container Service está optimizado para seguir este patrón. Las tareas le permiten definir un conjunto de contenedores que le gustaría colocar juntos (o parte de la misma decisión de ubicación), sus propiedades y cómo estarán vinculados. Las tareas comprenden toda la información que Amazon ECS necesita para tomar la decisión sobre la ubicación. Para lanzar un único contenedor, la definición de tareas solo debe incluir una única definición de contenedor.

P: ¿Amazon ECS admite aplicaciones y servicios?

Sí. El programador del servicio Amazon ECS puede administrar aplicaciones y servicios de larga ejecución. El programador del servicio le ayuda a garantizar la disponibilidad de la aplicación y le permite ampliar o reducir los contenedores para satisfacer los requisitos de capacidad de su aplicación. El programador del servicio facilita la distribución del tráfico entre sus contenedores a través de Elastic Load Balancing. Amazon ECS activará y anulará automáticamente el registro de sus contenedores a partir del balanceador de carga asociado.

El programador del servicio también recuperará automáticamente contenedores que se encuentren en mal estado (que no aprueben las comprobaciones de estado de ELB) o cuya ejecución se haya interrumpido para garantizar que dispone del número necesario de contenedores en buen estado para su aplicación.

Puede escalar vertical y horizontalmente su aplicación modificando el número de contenedores que desea que ejecute el servicio. Puede actualizar la aplicación si cambia su definición o utiliza una nueva imagen. El programador iniciará contenedores nuevos automáticamente con la nueva definición y eliminará los contenedores que ejecuten la versión anterior (si se usa ELB, esperará a que se purguen las conexiones de ELB).

P: ¿Amazon ECS es compatible con el mapeo de puertos dinámico?

Sí. Es posible asociar un servicio de Amazon ECS con un Application Load Balancer (ALB) para el servicio Elastic Load Balancing (ELB). El ALB admite un grupo de destino que contiene un conjunto de puertos de instancia. Puede especificar un puerto dinámico en la definición de tarea, que asigna a su contenedor un puerto no utilizado cuando se programa en una instancia de EC2. El programador de ECS añadirá automáticamente la tarea al grupo destino del balanceador de carga de aplicaciones usando este puerto.

P: ¿Amazon ECS admite las tareas en lote?

Sí. Puede utilizar la tarea Run de Amazon ECS para ejecutar una o más tareas a la vez. La tarea Run ejecuta la tarea en una instancia que cumple sus requisitos en cuestión de, entre otros, la CPU, la memoria y los puertos.

P: ¿Puedo utilizar mi propio programador con Amazon ECS?

ECS proporciona Blox, una colección de proyectos de código abierto para la administración y organización de contenedores. Blox facilita el consumo de eventos de Amazon ECS, almacenando el estado del clúster a nivel local y realizando consultas en el almacén de datos local mediante API. Blox también incluye un programador daemon que se puede utilizar como referencia sobre cómo usar el servidor de estado de clúster. Para obtener más información, consulte la página de Blox GitHub.

P: ¿Puedo utilizar mi propia AMI?

Sí. Puede usar cualquier AMI que cumpla con la especificación de la AMI de Amazon ECS. Aconsejamos que comience con la AMI de Amazon Linux, que admite Amazon ECS. Las AMI de socios compatibles con Amazon ECS también se encuentran disponibles. Puede consultar las especificaciones de la AMI de Amazon ECS en la documentación.

P: ¿Cómo puedo configurar mis instancias de contenedores para la extracción de Amazon Elastic Container Registry?

Amazon ECR está integrado con Amazon ECS, lo que le permite almacenar, ejecutar y administrar con facilidad imágenes de contenedores para aplicaciones que se ejecutan en Amazon ECS. Todo lo que tiene que hacer es especificar el repositorio de Amazon ECR en su definición de tareas y adjuntar AmazonEC2ContainerServiceforEC2Role a sus instancias. A continuación, Amazon ECS recuperará las imágenes correspondientes para sus aplicaciones.

P: ¿Cómo interactúa AWS Fargate con Amazon ECS?

Con Fargate, el concepto de aprovisionamiento de servidores, administración de clústeres y organización queda obsoleto por completo. Amazon ECS usa contenedores aprovisionados por Fargate para ajustar la escala, equilibrar la carga y administrar la programación automáticamente de los contenedores para lograr disponibilidad, lo que ofrece una manera más fácil de crear y usar aplicaciones en contenedores.

P: ¿Cómo debo decidir entre usar AWS Fargate con Amazon ECS o solo ECS?

Amazon ECS es compatible con la tecnología de Fargate y los clientes podrán elegir AWS Fargate para lanzar sus contenedores sin tener que aprovisionar ni administrar instancias EC2. AWS Fargate es el recurso más sencillo para lanzar y ejecutar contenedores en AWS. Los clientes que necesiten un mayor control de sus instancias EC2 para cumplir requisitos de gobernanza y conformidad u opciones de personalización más amplias pueden optar por usar ECS sin Fargate para lanzar instancias EC2.

Seguridad y conformidad

P: ¿Cómo aísla Amazon ECS los contenedores que pertenecen a clientes distintos?

Amazon ECS programa la ejecución de los contenedores en instancias de Amazon EC2 controladas por clientes o con AWS Fargate y utiliza la misma conformidad y controles de aislamiento disponibles para los clientes de EC2. Sus instancias de informática se ubican en una Virtual Private Cloud (VPC) con el rango de IP que especifique. Usted decide las instancias que se deben exponer en Internet y las que deben permanecer privadas.

  • Las instancias EC2 utilizan una función de IAM para obtener acceso al servicio de ECS.
  • Las tareas de ECS utilizan una función de IAM para obtener acceso a los servicios y recursos.
  • Los grupos de seguridad y las ACL de red le permiten controlar el acceso entrante y saliente a la red a y desde sus instancias.
  • Puede conectar su infraestructura de TI a los recursos de la VPC mediante conexiones VPN cifradas con IPsec estándar del sector.
  • Puede aprovisionar sus recursos de EC2 como instancias dedicadas. Las instancias dedicadas son instancias de Amazon EC2 que se ejecutan en hardware dedicado a un único cliente para ofrecer más aislamiento.

P: ¿Puedo aplicar marcos de aislamiento y parámetros de seguridad adicionales a mis instancias de contenedor?

Sí. Como cliente de Amazon EC2, dispone de acceso raíz al sistema operativo de sus instancias de contenedor, lo que le permite controlar los ajustes de seguridad del sistema operativo, así como cargar y configurar componentes de software adicionales que aportan funciones de seguridad, como la monitorización, la administración de parches, la administración de logs y la detección de intrusiones de host.

P: ¿Puedo usar instancias de contenedor con parámetros de seguridad distintos o separar tareas diferentes en distintos entornos?

Sí. Puede configurar las distintas instancias de contenedor con la herramienta que desee. Amazon ECS le permite controlar la colocación de tareas en diferentes instancias de contenedor a través de la creación de clústeres y lanzamientos dirigidos.

P: ¿Amazon ECS admite la recuperación de imágenes de Docker de una fuente privada o interna?

Sí. Los clientes pueden configurar sus instancias de contenedor para obtener acceso a un registro privado de imágenes de Docker en una VPC o a un registro accesible fuera de una VPC, como Amazon ECR.

P: ¿Cómo configuro funciones de IAM para tareas de ECS?

Primero debe crear una función de IAM para su tarea, con la función de servicio “Función de tarea de Amazon EC2 Container Service” y adjuntando una política con los permisos requeridos. Cuando crea una nueva definición de tarea o revisión de definición de tarea, puede especificar una función al seleccionarla en el menú desplegable “Función de tarea” o mediante la “taskRoleArn” archivada en el formato JSON.

P: ¿Qué estándares de programas de conformidad cumple Amazon ECS?

Amazon ECS cumple los estándares de nivel 1 de PCI DSS, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 y los requisitos de HIPAA.

Si desea obtener más información, visite las páginas sobre temas de conformidad.

P: ¿Puedo usar Amazon ECS con información de salud protegida (PHI) y con otras cargas de trabajo reguladas por HIPAA?

Sí. Amazon ECS cumple los requisitos de HIPAA. Si cuenta con un anexo para socios empresariales (BAA) con AWS ejecutado, puede utilizar Amazon ECS para el procesamiento de información de salud protegida (PHI) cifrada mediante contenedores de Docker implementados en el tipo de lanzamiento AWS Fargate o las instancias de computación de Amazon EC2.

Si desea obtener más información, visite nuestra página sobre conformidad con HIPAA. Si está planificando procesar, almacenar o transmitir información de salud protegida (PHI) y no cuenta con un BAA vigente de AWS, contáctenos para obtener más información.

P: ¿Puedo usar Amazon ECS para cargas de trabajo reguladas por el gobierno de los EE.UU. o para procesar información no clasificada controlada (CUI) confidencial?

Sí. Al utilizar la región AWS GovCloud (EE.UU.), los contenedores y clústeres administrados por Amazon ECS pueden cumplir con los requisitos de información confidencial y cargas de trabajo reguladas con sus contenedores.

Si desea obtener más información, visite nuestra página sobre AWS GovCloud.

Acuerdo de nivel de servicios (SLA)

P: ¿Qué garantiza el SLA de Amazon ECS?

Nuestro SLA informático garantiza un porcentaje de tiempo de funcionamiento mensual de al menos 99,9% para Amazon ECS.

P: ¿Cómo sé si reúno los requisitos para recibir un crédito para servicio del SLA?

Será elegible para recibir un crédito del SLA para Amazon ECS bajo el SLA informático si más de una zona de disponibilidad en las que ejecuta una tarea, dentro de la misma región, tiene un porcentaje de tiempo de funcionamiento mensual inferior al 99,99% durante cualquier ciclo de facturación mensual.

Para obtener información completa sobre los términos y las condiciones del SLA, así como detalles sobre cómo enviar una reclamación, consulte la página con detalles del SLA para servicios informáticos.

Transición a formato nuevo de ID y ARN

P: ¿Qué cambia?

A partir del 15 de noviembre de 2018, los recursos de Amazon ECS comenzarán una transición a un formato nuevo para los nombres de recursos de Amazon (ARN) y los identificadores (ID). La modificación del formato de los nombres de recursos de Amazon afectará las tareas, las instancias de contenedor y los servicios de ECS. La modificación del formato de los identificadores afectará las tareas y las instancias de contenedor de ECS. Estos cambios permitirán usar las características de asignación de costos y etiquetado que se lanzaron recientemente.

A partir de hoy, puede optar por utilizar la nueva característica de etiquetado e incorporar los nuevos formatos de ID y ARN para los recursos de ECS. Una vez que realice la selección, el nuevo formato de ID y ARN se aplicará a los recursos que cree a partir de ese momento. Los recursos existentes no se modificarán y conservarán su ARN e ID. Consulte esta documentación para obtener instrucciones.

P: ¿En qué me afecta?

En muchos casos, no será necesario que realice ninguna modificación en el sistema para poder trabajar con el nuevo formato. Si únicamente utiliza la consola para administrar los recursos de AWS, no se verá afectado de ninguna manera y deberá actualizar los ajustes de configuración para poder usar el nuevo formato de ARN e ID. No obstante, sí puede verse afectado en caso de que interactúe con los recursos de AWS a través de las API, los SDK o la CLI de AWS. Esto dependerá de si el software hace suposiciones sobre el formato de ARN e ID al validar o mantener el ARN o el ID de los recursos. De ser así, es posible que necesite actualizar los sistemas para poder usar el nuevo formato.

Podrían ocurrir algunos errores:

Si los sistemas usan expresiones regulares para validar el formato de ARN o ID o si lo analizan para extraer información, podrían ocurrir errores cuando se encuentren formatos nuevos.

Si hay expectativas sobre la longitud del ARN o el ID en los esquemas de la base de datos, es posible que no pueda almacenarlos. Específicamente, los ARN nuevos tienen más información y, por lo tanto, son más largos. Los ID nuevos son más cortos.

P: ¿El cambio afectará los recursos existentes?

No. El formato nuevo solo se aplicará a los recursos que se creen después de que decida usar el nuevo formato. Una vez que se asigne un ARN o ID (nuevo o anterior) a un recurso, este lo conservará durante todo su ciclo de vida, independientemente de las acciones que tome con posterioridad. Por ejemplo, si cuenta con un servicio de ECS preexistente a la decisión de usar el formato nuevo, dicho servicio conservará su ARN o ID anterior con posterioridad a su elección. Sin embargo, cualquier tarea nueva que lance dicho servicio de ECS con posterioridad a la selección del formato nuevo tendrá el ARN nuevo.

P: ¿Qué ARN de recursos de ECS se modificarán?

La modificación de ARN afectará 3 recursos: servicios, tareas e instancias de contenedor de ECS.

P: ¿Cuál será el formato de los ARN nuevos?

Los ARN nuevos para las tareas, los servicios y las instancias de contenedor de ECS, que se muestran en la siguiente tabla, incluirán el nombre del clúster:

image1

P: ¿Qué ID de recursos de ECS se modificarán?

La modificación de ID afectará 2 recursos: tareas e instancias de contenedor de ECS.

P: ¿Cuál será el formato de los ID nuevos?

Los ID nuevos serán más cortos (32 caracteres) y no incluirán guiones. Consulte la siguiente tabla para ver un ejemplo de un ID nuevo y un ID anterior.

image2

P: Una vez que haya seleccionado el formato nuevo, ¿cómo aplico dicho formato a mis recursos para poder etiquetarlos?

Para garantizar continuidad, todos los recursos de ECS existentes conservarán sus ARN e ID durante todo su ciclo de vida. Esto significa que el nuevo formato solamente se aplicará a los recursos nuevos. Para aplicar el formato nuevo en tareas que se estén ejecutando en un servicio, debe ejecutar una nueva implementación de servicio. Para aplicar el formato nuevo en servicios de ECS existentes, debe eliminar un servicio de ECS y volver a crearlo. Finalmente, para aplicar el formato nuevo en instancias de contenedor de ECS existentes, debe anularlas y registrar instancias nuevas.

P: ¿Cuál es la fecha límite para incorporar los formatos nuevos?

Hasta finales de diciembre de 2019, será posible elegir los ARN e ID nuevos mediante las API y la consola de ECS. Todas las cuentas pueden seleccionar y cancelar los ARN e ID nuevos según sea necesario a los fines de realizar pruebas. A partir del 1 de enero de 2020, la opción de intercambiar formatos ya no se encontrará disponible y se asignarán los formatos de ARN e ID nuevos a los recursos de ECS que se creen a partir de dicho momento.

P: ¿A las cuentas nuevas se les asignarán los formatos nuevos de manera automática?

Hasta el 31 de marzo de 2019, todas las cuentas nuevas de AWS que se creen continuarán recibiendo los formatos vigentes. A partir del 1 de abril de 2019, todas las cuentas nuevas que se creen recibirán automáticamente los formatos nuevos. Sin embargo, podrá anular dicha acción hasta el 31 de diciembre de 2019.

P: ¿Qué debo hacer para empezar a usar los ARN e ID nuevos?

Durante el período de transición (hoy hasta finales de diciembre de 2019), para empezar a usar los formatos nuevos debe recurrir a la consola de EC2 o a las nuevas API de ECS. Las instrucciones se incluyen en esta documentación.

P: ¿Puedo empezar a usar los formatos nuevos únicamente en un rol o usuario de IAM específico de mi cuenta?

Sí. Es posible empezar a usar los formatos nuevos en un rol o usuario de IAM específico. Los recursos creados por un usuario o rol de IAM recibirán un formato de ARN o ID en función de la opción elegida, al momento de la creación, para el usuario o rol que creó el recurso. Además, la selección o anulación del formato nuevo en el usuario raíz aplicará la modificación en la cuenta de AWS completa, a menos que un usuario o rol de IAM invalide explícitamente la elección del formato nuevo para sí mismo.

P: ¿Qué sucederá si no hago nada?

Si no selecciona el formato nuevo durante el período de transición, comenzará a recibir automáticamente los formatos nuevos a partir del 1 de enero de 2020. No recomendamos esta opción. Sugerimos probar de manera anticipada los formatos nuevos durante el período de transición a fin de identificar y resolver posibles problemas.

P: ¿Qué sucederá si prefiero continuar usando los ARN e ID anteriores en los recursos que cree con posterioridad al 31 de diciembre de 2019?

Desafortunadamente, todos los recursos que se creen a partir del 1 de enero de 2020 recibirán el formato nuevo de ARN e ID. Esta modificación le permitirá beneficiarse de características nuevas y existentes de ECS, como el etiquetado y la asignación de costos.

P: Si decido utilizar los ARN e ID nuevos y vuelvo al formato anterior durante el período de transición, ¿qué sucederá con los recursos creados con los formatos nuevos?

Una vez que se asigne un ARN o ID, este no cambiará. Los recursos que se creen con un ARN o ID nuevo lo conservarán independientemente de las acciones posteriores que se realicen. La única manera de quitar el ARN o ID nuevo será mediante la eliminación y finalización de los respectivos recursos. Por este motivo, actúe con precaución y evite crear recursos de vital importancia con el nuevo formato hasta que haya probado las herramientas y la automatización.

P: ¿Qué debería hacer si mis sistemas no funcionan según lo esperado antes de que finalice el período de transición?

Si sus sistemas no funcionan de la manera esperada durante el período de transición, puede cancelar temporalmente la asignación de los formatos nuevos y resolver los problemas. A partir del 1 de enero de 2020, independientemente de cuáles sean los ajustes de su cuenta, todos los recursos nuevos recibirán los formatos nuevos de ARN o ID, por lo que es importante que pruebe sus sistemas con estos formatos antes de que finalice el período de transición. Al realizar las pruebas y adoptar los formatos con anticipación, dispondrá de valioso tiempo para realizar modificaciones en sus herramientas y flujos de trabajo y reducirá el riesgo de impacto en sus sistemas.

P: ¿Qué sucederá si lanzo recursos en varias regiones durante el período de transición?

Tiene la flexibilidad de implementar los formatos nuevos por región. Esto quiere decir que puede tener regiones en las que se apliquen los formatos nuevos y otras en las que no. Si se lanzan nuevas regiones de Amazon ECS durante el período de transición, dichas regiones se comportarán como las existentes. En otras palabras, hasta el 31 de diciembre de 2019 podrá elegir entre usar el formato nuevo o el anterior de ARN.

Introducción a Amazon ECS

Visite la consola de Amazon ECS
¿Listo para comenzar?
Inscribirse
¿Tiene más preguntas?
Contacte con nosotros