Amazon Elastic Container Service | FAQ 

Q : Qu'est-ce qu'Amazon Elastic Container Service ?

Amazon Elastic Container Service (ECS) est un service de gestion de conteneurs haute performance hautement évolutif qui prend en charge les conteneurs Docker et vous permet d'exécuter aisément des applications sur un cluster géré d'instances Amazon Elastic Compute Cloud (Amazon EC2). Avec Amazon ECS, vous n'avez plus besoin d'installer, d'exploiter et de mettre à l'échelle une infrastructure de gestion pour vos clusters en interne. Grâce à de simples appels d'API, vous pouvez lancer et interrompre les applications activées par le conteneur, demander l'état complet de votre cluster et accéder à de nombreuses fonctions courantes telles que les groupes de sécurité, Elastic Load Balancing, les volumes Amazon Elastic Block Store (EBS) et les rôles Identity Access Management (IAM). Vous pouvez utiliser Amazon ECS pour programmer le placement des conteneurs sur votre cluster en fonction de vos besoins en ressources et de vos exigences en termes de disponibilité. Vous pouvez également intégrer votre propre planificateur ou des planificateurs tiers pour répondre aux besoins spécifiques de votre entreprise ou de votre application.

Q : Pourquoi devrais-je utiliser Amazon ECS ?

Amazon ECS permet d'utiliser facilement des conteneurs en tant que services modulaires pour vos applications et vous évite ainsi de devoir installer, exploiter et adapter votre propre infrastructure de gestion de cluster. Amazon ECS vous permet de programmer des applications de longue durée, des services et des traitements par lot via des conteneurs Docker. Amazon ECS assure la disponibilité des applications et vous permet de dimensionner vos conteneurs pour répondre aux besoins de capacité de votre application. Amazon ECS est intégré à des fonctions courantes telles que Elastic Load Balancing, les volumes EBS, Amazon Virtual Private Cloud (VPC) et IAM. Des API simples vous permettent d'intégrer et d'utiliser vos propres planificateurs ou d'intégrer Amazon ECS à votre processus de diffusion de logiciel existant.

Q : Quelle est la tarification d'Amazon ECS ?

Amazon ECS est disponible sans frais supplémentaires. Vous payez les ressources AWS (par ex., les instances Amazon EC2 ou les volumes Amazon EBS) que vous créez pour stocker et exécuter votre application. Vous payez uniquement ce que vous utilisez, en fonction de votre consommation ; il n'y a pas de frais minimum et aucun engagement initial n'est requis.

Q : En quoi Amazon ECS diffère-t-il d'AWS Elastic Beanstalk ?

AWS Elastic Beanstalk est une plateforme de gestion d'applications qui permet aux clients de déployer et de dimensionner facilement des applications et des services Web. Elle assure l'allocation de modules (comme EC2, RDS, Elastic Load Balancing, AWS Auto Scaling et CloudWatch), le déploiement d'applications et la surveillance de leur état. L'utilisateur n'a donc pas besoin de vérifier ces paramètres et peut se concentrer uniquement sur l'écriture du code. Il vous suffit de spécifier les images de conteneur à déployer, les exigences en termes de processeur et de mémoire, les mappages de ports et les liens des conteneurs.

Elastic Beanstalk gérera automatiquement tous les détails, notamment l'allocation d'un cluster Amazon ECS, l'équilibrage de charge, la scalabilité automatique, la surveillance et le placement des conteneurs sur votre cluster. Elastic Beanstalk est la solution idéale si vous souhaitez profiter des avantages des conteneurs en déployant très facilement des applications, du développement jusqu'à la production, via le chargement d'une image de conteneur. Vous pouvez travailler directement avec Amazon ECS si vous souhaitez contrôler avec précision des architectures d'applications personnalisées.

Q : En quoi Amazon ECS diffère-t-il d'AWS Lambda ?

Amazon ECS est un service de gestion de conteneurs Docker hautement scalable vous permettant d'exécuter et de gérer des applications distribuées exécutées dans des conteneurs Docker. AWS Lambda est un service de calcul de tâche basé sur événement qui exécute votre code en réponse à des « événements » tels que des modifications des données, des clics effectués sur des sites web et des messages d'autres services AWS sans que vous ayez à gérer une infrastructure de calcul.

Q : Comment puis-je commencer à utiliser Amazon ECS ?

Consultez notre page Mise en route pour plus d'informations sur la manière de démarrer avec Amazon ECS.

Q: Amazon ECS prend-il en charge un autre type de conteneur ?

Non. Docker est la seule plateforme de conteneur prise en charge par Amazon ECS à l'heure actuelle.

Q : Je veux lancer des conteneurs. Pourquoi dois-je lancer des tâches ?

Docker vous encourage à scinder vos applications en composants individuels. EC2 Container Service est optimisé pour ce modèle. Les tâches vous permettent de définir un ensemble de conteneurs que vous souhaitez placer ensemble (ou intégrer à la même décision de placement), leurs propriétés, ainsi que la manière de les associer. Les tâches contiennent toutes les informations dont Amazon ECS a besoin pour prendre une décision concernant le placement. Pour lancer un seul conteneur, votre définition de tâche ne doit contenir qu'une seule définition de conteneur.

Q : Amazon ECS prend-il en charge des applications et des services ?

Oui. Le planificateur Amazon ECS Service peut gérer des applications et des services de longue durée. Le planificateur de services vous permet d'assurer la disponibilité des applications et de dimensionner vos conteneurs pour répondre aux besoins de capacité de votre application. Le planificateur de services vous permet de répartir le trafic entre vos conteneurs via Elastic Load Balancing (ELB). Amazon ECS enregistrera automatiquement vos conteneurs et annulera également les enregistrements à partir de l'équilibreur de charge associé.

En outre, le planificateur de services récupérera automatiquement les conteneurs défectueux (ayant échoué aux surveillances de l'état ELB) ou s'arrêtera pour vérifier que vous disposez du nombre de conteneurs opérationnels souhaité pour votre application.

Vous pouvez dimensionner votre application en modifiant le nombre de conteneurs que vous souhaitez que le service exécute. Vous pouvez mettre à jour votre application en modifiant sa définition ou en utilisant une nouvelle image. Le planificateur démarre automatiquement de nouveaux conteneurs à l'aide de la nouvelle définition et interrompt les conteneurs utilisant la version précédente (en attente des connexions ELB à vider si ELB est utilisé).

Q : Amazon ECS prend-il en charge le mappage dynamique des ports ?

Oui. Vous pouvez associer un service s'exécutant sur Amazon ECS à un Application Load Balancer (ALB) pour le service ELB. ALB prend en charge un groupe cible contenant un ensemble de ports d'instance. Vous pouvez spécifier un port dynamique dans la définition des tâches ECS, ce qui fait que le conteneur dispose d'un port vacant lorsqu'il est programmé sur l'instance EC2. Le planificateur ECS ajoute alors automatiquement la tâche au groupe cible de l'équilibreur de charge applicative via ce port.

Q : Amazon ECS prend-il en charge les traitements par lot ?

Oui. Vous pouvez utiliser la tâche Run d'Amazon ECS pour exécuter une ou plusieurs tâches à la fois. La tâche Run exécute la tâche sur une instance qui répond aux exigences de la tâche, notamment en termes de processeur, de mémoire et de ports.

Q : Puis-je utiliser mon propre planificateur avec Amazon ECS ?

ECS fournit Blox, une collection de projets open source pour la gestion et l'orchestration des conteneurs. Blox permet d'utiliser des événements à partir d'Amazon ECS, d'enregistrer l'état du cluster en local et d'interroger les espaces de stockage de données par l'intermédiaire des API en toute simplicité. Blox comprend également un planificateur démon qui fait office de référence quant à l'utilisation du serveur d'état du cluster. Pour en savoir plus, reportez-vous à la page GitHub de Blox.

Q : Puis-je utiliser ma propre image Amazon Machine Image (AMI) ?

Oui. Vous pouvez utiliser toutes les AMI conformes aux spécifications AMI d'Amazon ECS. Nous vous recommandons de démarrer l'AMI d'Amazon Linux prenant en charge Amazon ECS. Des AMI partenaires compatibles avec Amazon ECS sont également disponibles. Pour découvrir les spécifications AMI d'Amazon ECS, référez-vous à la documentation.

Q : Comment puis-je configurer mes instances de conteneur pour les récupérer depuis Amazon Elastic Container Registry ?

Amazon ECR est intégré à Amazon ECS, ce qui vous permet de stocker, d'exécuter et de gérer très facilement les images de conteneur pour les applications exécutées avec Amazon ECS. Il vous suffit de mentionner le référentiel Amazon ECR dans votre définition de tâches et d'associer AmazonEC2ContainerServiceforEC2Role à vos instances. Amazon ECS récupère ensuite les images appropriées pour vos applications.

Q : Comment AWS Fargate fonctionne-t-il avec Amazon ECS ?

Avec Fargate, le concept d'allocation du serveur, de gestion des clusters et d'organisation disparaît complètement. Amazon ECS utilise des conteneurs alloués par Fargate pour mettre automatiquement à l'échelle, équilibrer la charge et gérer la planification de vos conteneurs en matière de disponibilité, ce qui facilite la création et l'exploitation d'applications conteneurisées.

Q : Comment dois-je choisir entre utiliser AWS Fargate avec Amazon ECS ou simplement ECS ?

Amazon ECS prend en charge la technologie Fargate et les clients peuvent choisir de lancer leurs conteneurs AWS Fargate sans avoir à allouer ou à gérer les instances Amazon EC2. AWS Fargate est le moyen le plus simple de lancer et d'exécuter des conteneurs sur AWS. Les clients qui ont besoin d'un meilleur contrôle de leurs instances EC2 pour prendre en charge les exigences de conformité et de gouvernance ou des options de personnalisation plus larges peuvent choisir d'utiliser ECS sans Fargate pour lancer des instances EC2.

Q : Comment Amazon ECS isole-t-il des conteneurs appartenant à des clients différents ?

Amazon ECS programme des conteneurs qui s'exécutent sur des instances Amazon EC2 contrôlées par des clients ou avec AWS Fargate et s'appuie sur les mêmes contrôles d'isolement et paramètres de conformité que ceux qui sont proposés aux clients EC2. Vos instances de calcul figurent au sein d'un Virtual Private Cloud (VPC) dont vous définissez la plage d'adresses IP. Vous décidez quelles sont les instances à exposer sur Internet ou celles qui doivent rester privées.

• Vos instances EC2 utilisent un rôle IAM pour accéder aux services ECS.
• Vos tâches ECS utilisent un rôle IAM pour accéder aux services et aux ressources.
• Les groupes de sécurité et les ACL réseau vous permettent de contrôler les accès réseau en entrée et en sortie de vos instances.
• Vous pouvez relier votre infrastructure informatique existante aux ressources de votre VPC via des connexions VPN IPsec cryptées selon les normes du secteur.
• Vous pouvez mettre en service vos ressources EC2 en tant qu'instances dédiées. Les instances dédiées sont des instances Amazon EC2 qui fonctionnent sur du matériel dédié à un seul client pour un isolement supplémentaire.
  

Q : Puis-je appliquer des infrastructures de configuration de sécurité et d'isolement supplémentaires à mes instances de conteneur ?

Oui. En tant que client Amazon EC2, vous disposez d'un accès administrateur au système d'exploitation (SE) de vos instances de conteneur. Vous pouvez contrôler les paramètres de sécurité du SE et configurer les composants logiciels supplémentaires de fonctionnalités de sécurité telles que la surveillance, la gestion des correctifs, la gestion des journaux et la détection de l'hébergement des intrusions.

Q : Puis-je utiliser les instances de conteneur avec différents paramètres de sécurité ou répartir plusieurs tâches dans différents environnements ?

Oui. Vous pouvez configurer vos différentes instances de conteneurs en utilisant les outils de votre choix. Amazon ECS vous permet de contrôler le placement des tâches dans différentes instances de conteneur grâce à la conception de clusters et de lancements ciblés.

Q : Amazon ECS prend-il en charge l'extraction d'images Docker provenant d'une source privée ou interne ?

Oui. Les clients peuvent configurer leurs instances de conteneurs pour accéder à un registre d'images Docker privées à l'intérieur d'un VPC ou à un registre accessible depuis l'extérieur d'un VPC, tel que Amazon Elastic Container Registry (ECR).

Q : Comment configurer les rôles IAM des tâches ECS ?

Vous devez tout d'abord créer un rôle IAM pour votre tâche en utilisant la fonction du service « Amazon EC2 Container Service Task Role » et en associant une politique aux autorisations requises. Lorsque vous créez une nouvelle définition de tâche ou une révision de définition de tâche, vous pouvez spécifier un rôle en le sélectionnant dans la liste déroulante « Rôle de tâche » ou à l'aide du paramètre « taskRoleArn » au format JSON.

Q : Quels sont les programmes de conformité qu'Amazon ECS respecte ?

Amazon ECS est conforme aux normes PCI DSS niveau 1, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 et est compatible HIPAA.

Pour plus d'informations, consultez nos pages sur la conformité.

Q : Puis-je utiliser Amazon ECS pour traiter des données de santé protégées (PHI) et d'autres charges de travail réglementées selon la norme HIPAA ?

Oui. AWS ECS est compatible HIPAA. Si vous disposez d'un Business Associate Addendum (BAA) auprès d'AWS, vous pouvez utiliser Amazon ECS pour gérer le traitement de données de santé protégées cryptées (PHI) dans des conteneurs Docker déployés sur le type de lancement AWS Fargate ou des instances de calcul Amazon EC2.

Pour plus d'informations, consultez notre page sur la conformité HIPAA. Si vous prévoyez de traiter, stocker ou transmettre des PHI et ne disposez pas de BAA exécuté auprès d'AWS, contactez-nous pour obtenir davantage d'informations.

Q : Puis-je utiliser AWS ECS pour traiter des charges de travail réglementées par le gouvernement américain ou des informations non classifiées et contrôlées (Controlled Unclassified Information, CUI) ?

Oui. En utilisant la région AWS GovCloud (États-Unis), les conteneurs et les clusters gérés par Amazon ECS peuvent répondre aux exigences pour les données sensibles et les charges de travail régulées avec vos conteneurs.

Pour plus d'informations, consultez notre page AWS GovCloud.

Q : Quelle est la garantie d'Amazon ECS SLA ?

Notre Contrat de niveau de service Compute garantit un pourcentage de disponibilité mensuel d'au moins 99,99% pour Amazon ECS.

Q : Comment savoir si je peux bénéficier d'un crédit de service au titre du Contrat de niveau de service ?

Vous pouvez bénéficier d'un crédit de Contrat de niveau de service pour Amazon ECS dans le cadre du calcul du Contrat de niveau de service si plusieurs zones de disponibilité dans lesquelles vous exécutez une tâche dans la même région ont un pourcentage de temps de fonctionnement mensuel inférieur à 99,99 % pendant un cycle de facturation mensuel.

Pour consulter l'intégralité des conditions générales du Contrat de niveau de service et en savoir plus sur la marche à suivre pour envoyer une demande, veuillez consulter la page d'information relative au Contrat de niveau de service Compute.