Questions fréquentes (FAQ) sur Amazon ECS

Consultez notre page Mise en route pour plus d'informations sur la manière de démarrer avec Amazon ECS. Que vous utilisiez Amazon ECS pour la première fois ou que vous ayez déjà un cas d'utilisation en tête, vous pouvez choisir votre propre voie et suivre les étapes de formation sélectionnées pour commencer.

L'architecture moderne des applications (microservices, par exemple) recommande de diviser vos applications en unités individuelles, et Amazon ECS est optimisé pour ce modèle. Les tâches constituent la plus petite unité de calcul d'Amazon ECS et vous permettent de définir un ensemble de conteneurs que vous souhaitez placer ensemble, leurs propriétés et la manière dont ils peuvent être liés. Les tâches contiennent toutes les informations dont Amazon ECS a besoin pour prendre une décision concernant le placement. Pour lancer un seul conteneur, votre définition de tâche ne doit contenir qu'une seule définition de conteneur.

Oui. Le planificateur de services Amazon ECS peut gérer des applications et des services de longue durée. Le planificateur de services vous permet d'assurer la disponibilité des applications et de dimensionner vos conteneurs pour répondre aux besoins de capacité de votre application. Le planificateur de services vous permet de répartir le trafic entre vos conteneurs à l'aide d'ELB. Amazon ECS enregistrera automatiquement vos conteneurs et annulera aussi ces enregistrements à partir du programme d'équilibrage de charge associé. Le planificateur de services récupérera également automatiquement les conteneurs qui deviennent insalubres (c'est-à-dire ceux qui échouent aux tests de santé ELB) ou qui cessent de fonctionner pour s'assurer que vous disposez du nombre souhaité de conteneurs sains pour prendre en charge votre application.

Vous pouvez dimensionner votre application en modifiant le nombre de conteneurs que vous souhaitez que le service exécute. Vous pouvez mettre à jour votre application en modifiant sa définition ou en utilisant une nouvelle image. Le programmeur démarre automatiquement de nouveaux conteneurs à l'aide de la nouvelle définition et interrompt les conteneurs utilisant la version précédente (en attente de connexions ELB à puiser si ELB est utilisé).

Les applications et microservices déployés sur Amazon ECS tirent parti du service Application Auto Scaling pour effectuer une mise à l'échelle automatique en fonction des données de métriques observées. Amazon ECS mesure l'utilisation des services en fonction des ressources de processeur et de mémoire consommées par les tâches appartenant à un service et publie les métriques CloudWatch, à savoir ECSServiceAverageCPUUtilization et ECSServiceAverageMemoryUtilization, avec ces données. Application Auto Scaling peut ensuite utiliser ces mesures prédéfinies conjointement avec des politiques de dimensionnement pour ajuster proportionnellement le nombre de tâches d'un service. En outre, dans certains cas d'utilisation, l'utilisation moyenne du processeur et de la mémoire d'un service ne constitue pas à elle seule un indicateur fiable du moment et du degré d'exécution d'une action de dimensionnement. Pour cela, Application Auto Scaling prend également en charge le dimensionnement d'un service en fonction d'une spécification de métrique personnalisée qui représente une métrique CloudWatch de notre choix, qui peut être mieux adaptée. Cela inclut des métriques qui suivent d'autres aspects de l'application tels que le nombre de requêtes HTTP reçues, le nombre de messages extraits d'une file d'attente ou d'un sujet et le nombre de transactions de base de données. Vous pouvez désormais utiliser les métriques CloudWatch ou Prometheus de votre choix.

Pour en savoir plus, rendez-vous sur : Mise à l'échelle automatique des services Amazon ECS en fonction des métriques personnalisées de CloudWatch et Prometheus

Amazon ECS vous permet d'exécuter une grande variété d'applications avec la même expérience et les mêmes outils sur un ensemble varié d'options de calcul :

• AWS Fargate : AWS Fargate est un moteur de calcul sans serveur payant à l'utilisation. Il élimine le fardeau du provisionnement des serveurs, de la gestion des clusters et de l'orchestration. Amazon ECS utilise des conteneurs fournis par AWS Fargate pour automatiquement dimensionner, équilibrer la charge et gérer la planification de la disponibilité de vos conteneurs, ce qui facilite la création et l'exploitation d'applications conteneurisées.
• Amazon EC2 : avec Amazon on ECS on EC2, vous êtes propriétaire des instances EC2 et avez un contrôle total sur tous les aspects de la gestion de l'infrastructure. Par exemple, vous pouvez sélectionner des types d'instances EC2 spécifiques ou personnaliser le système d'exploitation sous-jacent. Vous pouvez utiliser les fournisseurs de capacité de groupe Auto Scaling pour gérer le dimensionnement des instances EC2.
• Machines virtuelles (VM) ou serveurs sur site :
  • Amazon ECS Anywhere fournit une assistance pour l'enregistrement d'une instance externe, telle qu'un serveur sur site ou une machine virtuelle (VM), sur votre cluster Amazon ECS. 
  • La capacité peut être située dans l'une des ressources AWS suivantes :    
    • Zones de disponibilité
    • Zones locales
    • Zones Wavelength
    • Régions AWS
    • AWS Outposts

Oui. Amazon ECS prend en charge l'infrastructure de calcul à dimensionnement automatique pour AWS Fargate et Amazon EC2, afin que vous puissiez vous concentrer sur le développement et le dimensionnement de vos applications plutôt que sur l'infrastructure sous-jacente.

Amazon ECS avec AWS Fargate vous offre une expérience sans serveur, car AWS Fargate provisionne, fait évoluer et met à jour automatiquement l'infrastructure de calcul nécessaire à vos applications.

Pour vos applications nécessitant une capacité Amazon EC2, Amazon ECS fournit des fournisseurs de capacité de groupe Auto Scaling qui dimensionnent automatiquement les instances Amazon EC2 en fonction des besoins de capacité de vos applications. Vous pouvez créer un groupe Amazon EC2 Auto Scaling (ASG) avec la configuration que vous souhaitez pour les types d'instances Amazon EC2, Amazon Machine Image (AMI), les paramètres réseau, etc. et créer un fournisseur de capacité pour dimensionner automatiquement les instances Amazon EC2 dans cet ASG en fonction des besoins de planification et de charge de vos applications. Gère les actions d'évolutivité interne et externe de l'ASG en fonction de la charge de vos tâches.

Les fournisseurs de capacité Amazon ECS constituent l'interface par laquelle vous pouvez définir les besoins en capacité de vos applications. Les fournisseurs de capacité vous permettent de définir des règles flexibles pour la manière dont vos applications s'exécutent sur différents types de capacité de calcul et de gérer le dimensionnement de cette capacité. Les fournisseurs des fonctionnalités fonctionnent à la fois avec Amazon EC2 et avec AWS Fargate. Amazon ECS fournit des fournisseurs de capacité prédéfinis pour les capacités AWS Fargate et Fargate-Spot pour chaque cluster. Pour Amazon EC2, vous pouvez créer vos propres fournisseurs de capacité ASG pour gérer le dimensionnement d'un groupe Amazon EC2 Auto Scaling. Lorsque vous exécutez des tâches et des services Amazon ECS, vous pouvez les répartir entre plusieurs fournisseurs de capacité, par exemple pour exécuter un service selon un pourcentage prédéfini entre les capacités AWS Fargate et Fargate Spot.

Oui. Vous pouvez utiliser la tâche Run d'Amazon ECS pour exécuter une ou plusieurs tâches à la fois. La tâche Run exécute la tâche sur une instance qui répond aux exigences de la tâche, notamment en termes de processeur, de mémoire et de ports. Vous pouvez également utiliser AWS Batch pour planifier, programmer et exécuter vos charges de travail de calcul par lots à l'aide d'Amazon ECS, afin de vous concentrer sur l'analyse des résultats et la résolution des problèmes. 

Oui. Vous pouvez utiliser toutes les AMI conformes aux spécifications AMI d'Amazon ECS. Nous vous recommandons de démarrer l'AMI d'Amazon Linux prenant en charge Amazon ECS. Des AMI partenaires compatibles avec Amazon ECS sont également disponibles. Pour découvrir les spécifications AMI d'Amazon ECS, référez-vous à la documentation.

Amazon ECR est intégré à Amazon ECS, ce qui vous permet de stocker, d'exécuter et de gérer très facilement les images de conteneur pour les applications exécutées avec Amazon ECS. Il vous suffit de mentionner le référentiel Amazon ECR dans votre définition de tâches et d'associer AmazonEC2ContainerServiceforEC2Role à vos instances. Amazon ECS récupère ensuite les images appropriées pour vos applications.

AWS Fargate propose des capacités de calcul sans serveur pour exécuter des conteneurs avec Amazon ECS. AWS Fargate permet aux clients de lancer leurs conteneurs sans avoir à provisionner ou à gérer des instances Amazon EC2. AWS Fargate est le moyen le plus simple de lancer et d'exécuter des conteneurs sur AWS. Les clients qui ont besoin d'un meilleur contrôle de leurs instances EC2 (pour répondre aux exigences de conformité et de gouvernance ou pour des options de personnalisation plus larges) peuvent choisir d'utiliser Amazon ECS avec des instances Amazon EC2.

Amazon ECS prend en charge la mise en réseau Docker et intègre Amazon VPC pour assurer l'isolation des conteneurs. Cela vous donne le contrôle sur la façon dont les conteneurs se connectent aux autres services et au trafic externe. Avec Amazon ECS, vous pouvez choisir entre quatre modes de mise en réseau pour vos conteneurs s'appliquant à quatre différents cas d'utilisation :

• Mode VPC : ce mode attribue à chaque tâche Amazon ECS en cours d'exécution une interface réseau élastique dédiée, permettant aux conteneurs de bénéficier de toutes les fonctionnalités réseau dans un VPC, tout comme les instances Amazon EC2.
• Mode pont : ce mode crée un pont Linux qui connecte tous les conteneurs exécutés sur l'hôte dans un réseau virtuel local, accessible via la connexion réseau par défaut de l'hôte.
• Mode hôte : ce mode ajoute des conteneurs directement à la pile réseau de l'hôte, exposant ainsi les conteneurs sur le réseau de l'hôte sans aucune isolation.
• Aucun : ce mode désactive le réseau externe pour les conteneurs.

• Service Connect : Amazon ECS Service Connect simplifie la découverte des services, la connectivité et l'observabilité du trafic pour Amazon ECS. Cela vous aide à créer des applications plus rapidement en vous permettant de vous concentrer sur le code de l'application et non sur votre infrastructure réseau. Vous pouvez utiliser Amazon ECS Service Connect pour définir des noms logiques pour vos points de terminaison de service et les utiliser dans vos applications clientes pour vous connecter aux dépendances. Amazon ECS Service Connect permet d'envoyer votre trafic vers des points de terminaison sains et fournit une télémétrie complète du trafic dans la console Amazon ECS et dans Amazon CloudWatch. Les déploiements natifs d'Amazon ECS sont plus robustes avec Amazon ECS Service Connect, car il prend en charge le drainage automatique des connexions, ce qui permet à vos applications clientes de passer à une nouvelle version du point de terminaison de service sans rencontrer d'erreurs de trafic. Avec Amazon ECS Service Connect, vous pouvez :
  • Définir la manière dont les applications clientes se connectent à leurs dépendances en une seule étape
  • Écrire et exploiter des applications distribuées résilientes avec une dénomination logique
  • Surveiller et répartir le trafic entre les tâches Amazon ECS sans déployer ni configurer d'équilibreurs de charge
  • Déployer les services plus rapidement et offrez une intégration fluide des microservices Amazon ECS comprenant une application
• Découverte des services : Amazon ECS est intégré à AWS Cloud Map pour permettre à vos services conteneurisés de découvrir et de se connecter facilement les uns aux autres. AWS Cloud Map est un service de découverte de ressources cloud qui vous permet de définir des noms personnalisés pour vos ressources d’applications. Il augmente la disponibilité de vos applications, car votre service web découvrira toujours les emplacements les plus récents de ces ressources qui changent dynamiquement.

• Surveillance
  • Vous pouvez surveiller vos ressources Amazon ECS à l'aide d'Amazon CloudWatch, qui collecte et traite les données brutes d'Amazon ECS pour en faire des métriques lisibles en temps quasi réel. Ces statistiques sont enregistrées pendant une période de deux semaines afin que vous puissiez accéder aux informations historiques et avoir une meilleure idée des performances de vos clusters ou services. Il n'y a pas de frais supplémentaires pour cela. Pour en savoir plus, rendez-vous sur Métriques Amazon ECS CloudWatch.
  • Pour des métriques améliorées, utilisez CloudWatch Container Insights pour collecter, agréger et résumer les métriques et les journaux de vos applications conteneurisées et de vos microservices, disponibles pour vos clusters Amazon ECS exécutés sur Amazon EC2 et AWS Fargate. CloudWatch collecte automatiquement des métriques pour de nombreuses ressources, telles que le processeur, la mémoire, le disque et le réseau. Container Insights fournit également des informations de diagnostic, telles que les échecs de redémarrage des conteneurs, pour vous aider à isoler les problèmes et à les résoudre rapidement. Pour Amazon ECS, Container Insights collecte des métriques au niveau du cluster, des tâches et des services sur les instances Linux et Windows Server. Il peut collecter des métriques au niveau de l'instance uniquement sur les instances Linux. Les métriques réseau ne sont disponibles que pour les conteneurs en mode réseau bridge et en mode réseau awsvpc. Ils ne sont pas disponibles pour les conteneurs en mode réseau hôte. Pour en savoir plus, rendez-vous sur Utilisation de Container Insights.
• Journalisation
  • Amazon ECS vous permet d'enregistrer tous les appels d'API Amazon ECS et de recevoir les fichiers journaux correspondants via AWS CloudTrail. Les informations enregistrées incluent l'identité de l'utilisateur à l'origine de l'appel de l'API, l'heure de l'appel, l'adresse IP d'origine, les paramètres de la requête, ainsi que les éléments de réponse renvoyés par Amazon ECS. CloudTrail fournit l'historique des appels d'API effectués depuis AWS Management Console, les kits SDK AWS et l'interface de ligne de commande AWS. Le service permet de réaliser une analyse de sécurité, un suivi des modifications au niveau des ressources, ainsi que des audits de conformité.
• AWS Config
  • AWS Config s'intègre à Amazon ECS pour vous fournir une visibilité sur la configuration des ressources AWS dans votre compte AWS. AWS Config permet aux utilisateurs de surveiller et de suivre la manière dont les ressources ont été configurées, comment elles sont liées les unes aux autres et comment les configurations et les relations évoluent au fil du temps. AWS Config vous permet de simplifier la conformité et la sécurité, le dépannage opérationnel et l'administration des ressources.
• Tierce partie
  • Amazon ECS prend en charge un écosystème complet de fournisseurs d'observabilité tiers en adoptant des normes de conteneurs ouverts. Pour plus d'informations, consultez la page des partenaires Amazon ECS.

Amazon ECS propose les options de stockage suivantes :

Amazon Elastic File System (EFS) : Amazon EFS fournit un stockage de fichiers sans serveur, entièrement élastique et évolutif à utiliser pour vos tâches Amazon ECS. Vous pouvez monter un système de fichiers Amazon EFS partagé sur vos tâches ECS pour un stockage permanent.

Amazon Elastic Block Store (EBS) : Amazon EBS fournit un stockage évolutif et de haute performance pour vos tâches Amazon ECS. Vous pouvez configurer ECS pour provisionner et associer des volumes EBS présentant les caractéristiques souhaitées (taille, performances, chiffrage, etc.) à vos tâches Amazon ECS.

Les coûts des tâches Amazon ECS exécutées sur AWS Fargate sont automatiquement disponibles dans le rapport d'utilisation et de coût AWS (CUR) et l'explorateur de coûts AWS. Vous pouvez utiliser des balises gérées et ajoutées par les utilisateurs pour agréger et attribuer des coûts à des unités commerciales, des équipes ou des applications nouvelles ou existantes pour vos tâches Amazon ECS.

En savoir plus sur les rapports d'utilisation d'Amazon ECS.

Vous pouvez accéder aux informations sur les coûts et l'utilisation des tâches Amazon ECS exécutées sur des instances Amazon EC2 dans les rapports de coûts et d'utilisation AWS (CUR) en optant pour les données de répartition des coûts pour Amazon ECS. Les données de répartition des coûts génèrent des coûts au niveau des tâches pour les tâches Amazon ECS exécutées sur des instances Amazon EC2 en analysant la consommation de ressources de chaque tâche en fonction du prix de l'instance et du pourcentage de ressources CPU et mémoire consommées par les conteneurs exécutés sur l'instance. Les données de répartition des coûts ingèrent automatiquement les balises gérées et ajoutées par les utilisateurs pour vos tâches Amazon ECS, ce qui vous permet d'agréger et d'attribuer les coûts à des unités commerciales, des équipes ou des applications nouvelles ou existantes. Vous pouvez choisir les données de répartition des coûts pour Amazon ECS à partir des préférences de la console de gestion des coûts AWS. Vous pouvez ensuite choisir les données de répartition des coûts pour vos rapports CUR individuels à partir des préférences de rapport CUR dans la console de facturation AWS. 

En savoir plus sur l'activation des données de répartition des coûts.
 

Amazon ECS planifie l'exécution des conteneurs sur des instances Amazon EC2 contrôlées par le client ou avec AWS Fargate et s'appuie sur les mêmes contrôles d'isolement et paramètres de conformité disponibles pour les clients Amazon EC2. Vos instances de calcul figurent au sein d'un Virtual Private Cloud (VPC) dont vous définissez la plage d'adresses IP. Vous décidez quelles sont les instances devant rester privées ou à exposer sur Internet.

• Vos instances Amazon EC2 utilisent un rôle IAM pour accéder au service Amazon ECS.
• Vos tâches Amazon ECS utilisent un rôle IAM pour accéder aux services et aux ressources.
• Vos tâches Amazon ECS exécutées sur AWS Fargate s'exécutent sur des machines virtuelles isolées.
• Les groupes de sécurité et les ACL réseau vous permettent de contrôler les accès réseau en entrée et en sortie de vos instances.
• Vous pouvez relier votre infrastructure informatique existante aux ressources de votre VPC via des connexions VPN IPsec cryptées selon les normes du secteur.
• Vous pouvez provisionner vos ressources Amazon EC2 sous forme d'instances dédiées. Les instances dédiées sont des instances Amazon EC2 qui fonctionnent sur du matériel dédié à un seul client pour un isolement supplémentaire.

Oui. En tant que client Amazon EC2, vous disposez d'un accès administrateur au système d'exploitation (SE) de vos instances de conteneur. Vous pouvez contrôler les paramètres de sécurité du SE et configurer les composants logiciels supplémentaires de fonctionnalités de sécurité telles que la surveillance, la gestion des correctifs, la gestion des journaux et la détection de l'hébergement des intrusions. 

L'utilisation d'Amazon ECS avec AWS Fargate garantit des niveaux de sécurité élevés avec la possibilité d'attribuer des autorisations détaillées à chaque tâche, ce qui vous permet d'obtenir un niveau d'isolation, de contrôle d'accès réseau et de contrôle IAM plus élevé lors de la création d'applications. Avec AWS Fargate, chaque tâche s'exécute sur une machine virtuelle (VM) distincte, ce qui permet une meilleure isolation que deux tâches partageant le même hôte. Chaque tâche possède également sa propre interface réseau qui permet d'appliquer le groupe de sécurité à chaque tâche, tout en contrôlant le trafic entrant et sortant.

Oui. Les clients peuvent configurer leurs instances de conteneur pour accéder à un registre d'images de conteneur privé au sein d'un VPC ou à un registre accessible en dehors d'un VPC tel qu'Amazon ECR.

Vous devez tout d'abord créer un rôle IAM pour votre tâche en utilisant la fonction du service « Amazon EC2 Container Service Task Role » et en associant une politique aux autorisations requises. Lorsque vous créez une nouvelle définition de tâche ou une révision de définition de tâche, vous pouvez spécifier un rôle en le sélectionnant dans la liste déroulante « Rôle de tâche » ou à l'aide du paramètre « taskRoleArn » au format JSON.

Amazon ECS est conforme aux normes PCI DSS niveau 1, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 et est compatible HIPAA.

Pour plus d'informations, consultez nos pages sur la conformité.

Oui. Amazon ECS est compatible HIPAA. Si vous avez exécuté un Business Associate Addendum (BAA) avec AWS, vous pouvez utiliser Amazon ECS pour traiter des informations de santé protégées (PHI) chiffrées à l'aide de conteneurs déployés sur le type de lancement AWS Fargate ou sur des instances de calcul Amazon EC2.

Pour plus d'informations, consultez notre page sur la conformité HIPAA. Si vous envisagez de traiter, de stocker ou de transmettre des PHI et que vous ne disposez pas d'un BAA exécuté par AWS, veuillez nous contacter pour plus d'informations.

Oui. En utilisant la région AWS GovCloud (États-Unis), les conteneurs et les clusters gérés par Amazon ECS peuvent répondre aux exigences pour les données sensibles et les charges de travail régulées avec vos conteneurs. Pour plus d'informations, consultez notre page sur AWS GovCloud.

Les clients peuvent également déployer leurs charges de travail sur Amazon ECS à l'aide d'AWS Fargate conformément à la norme fédérale de traitement de l'information (FIPS) 140-2. La norme FIPS est une norme gouvernementale américaine et canadienne qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles.

Amazon ECS est conçu pour être sécurisé dès sa conception et s'intègre également aux services de sécurité natifs d'AWS en matière de sécurité, d'identité et de conformité. Par exemple, vous pouvez utiliser Amazon GuardDuty pour surveiller vos charges de travail Amazon ECS exécutées sur AWS Fargate ou Amazon EC2 afin de détecter tout comportement potentiellement malveillant ou suspect.

Notre contrat de niveau de service informatique garantit un pourcentage de disponibilité mensuel d'au moins 99,99 % pour Amazon ECS. AWS prend deux engagements de niveau de service pour Amazon ECS et AWS Fargate : (1) un contrat de service de conteneur inclus multi-AZ qui régit les services de conteneurs inclus déployés sur plusieurs AZ ; et (2) un accord de niveau de service à tâche/module unique qui régit les tâches et les pods du service de conteneur inclus individuellement. Consultez la page SLA d'AWS Fargate et d'Amazon Elastic Container Service.

Vous pouvez bénéficier d'un crédit de Contrat de niveau de service pour Amazon ECS dans le cadre du calcul du Contrat de niveau de service si plusieurs zones de disponibilité dans lesquelles vous exécutez une tâche dans la même région ont un pourcentage de temps de fonctionnement mensuel inférieur à 99,99 % pendant un cycle de facturation mensuel.

Pour consulter l'intégralité des conditions générales du SLA et en savoir plus sur la marche à suivre pour envoyer une demande, veuillez consulter la page d'information relative au SLA Compute.