Questions d'ordre général

Q : Qu'est-ce qu'Amazon Elastic Container Service ?

Amazon Elastic Container Service (ECS) est un service de gestion de conteneurs haute performance hautement évolutif qui prend en charge les conteneurs Docker et vous permet d'exécuter en toute simplicité des applications sur un cluster géré d'instances Amazon EC2. Avec Amazon ECS, vous n'avez plus besoin d'installer, d'exploiter et de mettre à l'échelle une infrastructure de gestion pour vos clusters en interne. Grâce à de simples appels d'API, vous pouvez lancer et interrompre les applications activées par le conteneur, demander l'état complet de votre cluster et accéder à de nombreuses fonctionnalités courantes telles que les groupes de sécurité, Elastic Load Balancing, les volumes EBS et les rôles IAM. Vous pouvez utiliser Amazon ECS pour programmer le placement des conteneurs sur votre cluster en fonction de vos besoins en ressources et de vos exigences en termes de disponibilité. Vous pouvez également intégrer votre propre programmeur ou des programmeurs tiers pour répondre aux besoins spécifiques de votre entreprise ou de votre application.

Q : Pourquoi devrais-je utiliser Amazon ECS ?

Amazon ECS permet d'utiliser facilement des conteneurs en tant que services modulaires pour vos applications et vous évite ainsi de devoir installer, exploiter et adapter votre propre infrastructure de gestion de cluster. Amazon ECS vous permet de programmer des applications de longue durée, des services et des traitements par lot via des conteneurs Docker. Amazon ECS assure la disponibilité des applications et vous permet de dimensionner vos conteneurs pour répondre aux besoins de capacité de votre application. Amazon ECS est intégré à des fonctionnalités courantes telles que Elastic Load Balancing, les volumes EBS, VPC et IAM. Des API simples vous permettent d'intégrer et d'utiliser vos propres programmeurs ou d'intégrer Amazon ECS à votre processus de diffusion de logiciel existant.

Q : Quelle est la tarification d'Amazon ECS ?

Amazon ECS est disponible sans frais supplémentaires. Vous payez les ressources AWS (par ex. les instances EC2 ou les volumes EBS) que vous créez pour stocker et exécuter votre application. Vous payez uniquement ce que vous utilisez et en fonction de votre consommation ; il n'y a pas de frais minimums et aucun engagement initial n'est requis.

Q : En quoi Amazon ECS diffère-t-il d'AWS Elastic Beanstalk ?

AWS Elastic Beanstalk est une plateforme de gestion d'applications qui permet aux clients de déployer et de dimensionner facilement des applications et des services Web. Elle assure la mise en service de modules (comme EC2, RDS, Elastic Load Balancing, Auto Scaling et CloudWatch), le déploiement d'applications et la surveillance de leur état. L'utilisateur n'a donc pas besoin de vérifier ces paramètres et peut se concentrer uniquement sur l'écriture du code. Il vous suffit de spécifier les images de conteneur à déployer, les exigences en termes de processeur et de mémoire, les mappages de ports et les liens des conteneurs.

Elastic Beanstalk gérera automatiquement tous les détails, notamment la mise en service d'un cluster Amazon ECS, l'équilibrage de charge, la mise à l'échelle automatique, la surveillance et le placement des conteneurs sur votre cluster. Elastic Beanstalk est la solution idéale si vous souhaitez profiter des avantages des conteneurs en déployant très facilement des applications, du développement jusqu'à la production, via le chargement d'une image de conteneur. Vous pouvez travailler directement avec Amazon ECS si vous souhaitez contrôler avec précision des architectures d'applications personnalisées.

Q : En quoi Amazon ECS diffère-t-il d'AWS Lambda ?

Amazon ECS est un service de gestion de conteneurs Docker hautement scalable vous permettant d'exécuter et de gérer des applications distribuées exécutées dans des conteneurs Docker. AWS Lambda est un service de calcul de tâche basé sur événement qui exécute votre code en réponse à des « événements » tels que des modifications des données, des clics effectués sur des sites web et des messages d'autres services AWS sans que vous ayez à gérer une infrastructure de calcul.

Utiliser Amazon ECS

Q : Comment puis-je commencer à utiliser Amazon ECS ?

Consultez notre page Mise en route pour plus d'informations sur la manière de démarrer avec ECS.

Q: Amazon ECS prend-il en charge un autre type de conteneur ?

Non. Docker est la seule plateforme de conteneur prise en charge par Amazon ECS à l'heure actuelle.

Q : Je veux lancer des conteneurs. Pourquoi dois-je lancer Tâches ?

Docker vous encourage à scinder vos applications en composants individuels et Elastic Container Service est optimisé pour ce modèle. Les tâches vous permettent de définir un ensemble de conteneurs que vous souhaitez placer ensemble (ou intégrer à la même décision de placement), leurs propriétés, ainsi que la manière de les associer. Les tâches contiennent toutes les informations dont Amazon ECS a besoin pour prendre une décision concernant le placement. Pour lancer un seul conteneur, votre définition de tâche ne doit contenir qu'une seule définition de conteneur.

Q : Amazon ECS prend-il en charge des applications et des services ?

Oui. Le planificateur Amazon ECS Service peut gérer des applications et des services de longue durée. Le planificateur de services vous permet d'assurer la disponibilité des applications et de mettre à l'échelle vos conteneurs pour répondre aux besoins de capacité de votre application. Le planificateur de services vous permet de répartir le trafic entre vos conteneurs via Elastic Load Balancing. Amazon ECS enregistrera automatiquement vos conteneurs et annulera également les enregistrements à partir du programme d'équilibrage de charge associé.

En outre, le planificateur de services récupérera automatiquement les conteneurs défectueux (ayant échoué aux vérifications de l'état ELB) ou s'arrêtera pour vérifier que vous disposez du nombre de conteneurs opérationnels souhaité pour votre application.

Vous pouvez mettre à l'échelle votre application en modifiant le nombre de conteneurs que vous souhaitez que le service exécute. Vous pouvez mettre à jour votre application en modifiant sa définition ou en utilisant une nouvelle image. Le planificateur démarre automatiquement de nouveaux conteneurs à l'aide de la nouvelle définition et interrompt les conteneurs utilisant la version précédente (en attente des connexions ELB à vider si ELB est utilisé).

Q : Amazon ECS prend-il en charge le mappage dynamique des ports ?

Oui. Vous pouvez associer un service s'exécutant sur Amazon (ECS) à un équilibreur de charge applicative (ALB) pour Elastic Load Balancing (ELB). ALB prend en charge un groupe cible contenant un jeu de ports d'instance. Vous pouvez spécifier un port dynamique dans la définition des tâches ECS, ce qui fait que le conteneur dispose d'un port vacant lorsqu'il est programmé sur l'instance EC2. Le planificateur ECS ajoute alors automatiquement la tâche au groupe cible de l'équilibreur de charge applicative via ce port.

Q : Amazon ECS prend-il en charge les traitements par lot ?

Oui. Vous pouvez utiliser la tâche Run d'Amazon ECS pour exécuter une ou plusieurs tâches à la fois. La tâche Run exécute la tâche sur une instance qui répond aux exigences de la tâche, notamment en termes de processeur, de mémoire et de ports.

Q : Puis-je utiliser mon propre planificateur avec Amazon ECS ?

ECS fournit Blox, une collection de projets open source pour la gestion et l'orchestration des conteneurs. Blox permet d'utiliser des événements à partir d'Amazon ECS, d'enregistrer l'état du cluster en local et d'interroger les espaces de stockage de données par l'intermédiaire des API. Blox comprend également un planificateur démon qui fait office de référence quant à l'utilisation du serveur d'état du cluster. Pour en savoir plus, reportez-vous à la page GitHub de Blox.

Q : Puis-je utiliser ma propre AMI ?

Oui. Vous pouvez utiliser toutes les AMI conformes aux spécifications AMI d'Amazon ECS. Nous vous recommandons de démarrer l'AMI d'Amazon Linux prenant en charge Amazon ECS. Des AMI partenaires compatibles avec Amazon ECS sont également disponibles. Pour découvrir les spécifications AMI d'Amazon ECS, référez-vous à la documentation.

Q : Comment puis-je configurer mes instances de conteneur pour les récupérer depuis Amazon Elastic Container Registry ?

Amazon ECR est intégré à Amazon ECS, ce qui vous permet de stocker, d'exécuter et de gérer très facilement les images de conteneur pour les applications exécutées avec Amazon ECS. Il vous suffit de mentionner le référentiel Amazon ECR dans votre définition de tâches et d'associer AmazonEC2ContainerServiceforEC2Role à vos instances. Amazon ECS récupère ensuite les images appropriées pour vos applications.

Q : Comment AWS Fargate fonctionne-t-il avec Amazon ECS ?

Avec Fargate, le concept d'allocation du serveur, de gestion des clusters et d'organisation disparaît complètement. Amazon ECS utilise des conteneurs alloués par Fargate pour mettre automatiquement à l'échelle, équilibrer la charge et gérer la planification de vos conteneurs en matière de disponibilité, ce qui facilite la création et l'exploitation d'applications conteneurisées.

Q : Comment dois-je choisir entre utiliser AWS Fargate avec Amazon ECS ou simplement ECS ?

Amazon ECS prend en charge la technologie Fargate et les clients peuvent choisir de lancer leurs conteneurs AWS Fargate sans avoir à allouer ou à gérer les instances EC2. AWS Fargate est le moyen le plus simple de lancer et d'exécuter des conteneurs sur AWS. Les clients qui ont besoin d'un meilleur contrôle de leurs instances EC2 pour prendre en charge les exigences de conformité et de gouvernance ou des options de personnalisation plus larges peuvent choisir d'utiliser ECS sans Fargate pour lancer des instances EC2.

Sécurité et conformité

Q : Comment Amazon ECS isole-t-il des conteneurs appartenant à des clients différents ?

Amazon ECS programme des conteneurs qui s'exécutent sur des instances Amazon EC2 contrôlées par des clients ou avec AWS Fargate et s'appuie sur les mêmes contrôles d'isolement et exigences de conformité que ceux qui sont proposés aux clients EC2. Vos instances de calcul figurent au sein d'un cloud privé virtuel (VPC) dont vous définissez la plage d'adresses IP. Vous décidez quelles sont les instances à exposer sur Internet ou celles qui doivent rester privées.

  • Vos instances EC2 utilisent un rôle IAM pour accéder aux services ECS.
  • Vos tâches ECS utilisent un rôle IAM pour accéder aux services et aux ressources.
  • Les groupes de sécurité et les ACL réseau vous permettent de contrôler les accès réseau en entrée et en sortie de vos instances.
  • Vous pouvez relier votre infrastructure informatique existante aux ressources de votre VPC via des connexions VPN IPsec cryptées selon les normes du secteur.
  • Vous pouvez mettre en service vos ressources EC2 en tant qu'instances dédiées. Les instances dédiées sont des instances Amazon EC2 qui fonctionnent sur du matériel dédié à un seul client pour un isolement supplémentaire.

Q : Puis-je appliquer des infrastructures de configuration de sécurité et d'isolement supplémentaires à mes instances de conteneur ?

Oui. En tant que client Amazon EC2, vous disposez d'un accès racine au système d'exploitation de vos instances de conteneur, qui vous permet de vous occuper des paramètres de sécurité du système d'exploitation, de charger et de configurer des composants logiciels supplémentaires d'options de sécurité telles que la surveillance, la gestion des correctifs, la gestion des journaux et la détection des intrusions sur l'hôte.

Q : Puis-je utiliser les instances de conteneur avec différents paramètres de sécurité ou répartir plusieurs tâches dans différents environnements ?

Oui. Vous pouvez configurer vos différentes instances de conteneurs en utilisant les outils de votre choix. Amazon ECS vous permet de contrôler le placement des tâches dans différentes instances de conteneur grâce à la conception de clusters et de lancements ciblés.

Q : Amazon ECS prend-il en charge l'extraction d'images Docker provenant d'une source privée ou interne ?

Oui. Les clients peuvent configurer leurs instances de conteneurs pour accéder à un registre d'images Docker privées à l'intérieur d'un VPC ou à un registre accessible depuis l'extérieur d'un VPC, tel qu'Amazon ECR.

Q : Comment configurer les rôles IAM des tâches ECS ?

Vous devez tout d'abord créer un rôle IAM pour votre tâche en utilisant le rôle de service « Amazon EC2 Container Service Task Role » et en associant une stratégie aux autorisations requises. Lorsque vous créez une nouvelle définition de tâche ou une révision de définition de tâche, vous pouvez spécifier un rôle en le sélectionnant dans la liste déroulante « Task Role » ou à l'aide du paramètre « taskRoleArn » au format JSON.

Q : Quels sont les programmes de conformité qu'Amazon ECS respecte ?

Amazon ECS est conforme aux normes PCI DSS niveau 1, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 et est compatible HIPAA.

Pour plus d'informations, consultez nos pages sur la conformité.

Q : Puis-je utiliser AWS ECS pour traiter des données de santé protégées (PHI) et d'autres charges de travail réglementées selon la norme HIPAA ?

Oui. AWS ECS est compatible HIPAA. Si vous disposez d'un Business Associate Addendum (Annexe à l'accord de partenariat - BAA) auprès d'AWS, vous pouvez utiliser Amazon ECS pour gérer le traitement de données de santé protégées cryptées (PHI) dans des conteneurs Docker déployés sur AWS Fargate un ensemble d'instances cluster Amazon EC2.

Pour plus d'informations, consultez notre page sur la conformité HIPAA. Si vous prévoyez de traiter, stocker ou transmettre des données de santé protégées (PHI) et ne disposez pas de BAA actif auprès d'AWS, contactez-nous pour obtenir des informations complémentaires.

Q : Puis-je utiliser AWS ECS pour traiter des charges de travail réglementées par le gouvernement américain ou des informations non classifiées et contrôlées (Controlled Unclassified Information, CUI) ?

Oui. En utilisant la région AWS GovCloud (États-Unis), les conteneurs et les clusters gérés par Amazon ECS peuvent répondre aux exigences pour les données sensibles et les charges de travail régulées avec vos conteneurs.

Pour plus d'informations, consultez notre page AWS GovCloud.

Accord sur les niveaux de service (SLA)

Q : Quelle est la garantie d'Amazon ECS SLA ?

Notre Contrat de niveau de service Compute garantit un pourcentage de disponibilité mensuel d'au moins 99,99% pour Amazon ECS.

Q : Comment savoir si je peux bénéficier d'un avoir de service dans le cadre du contrat de niveau de service (SLA) ?

Vous pouvez bénéficier d'un crédit SLA pour Amazon ECS dans le cadre du contrat SLA si plusieurs zones de disponibilité dans lesquelles vous exécutez une tâche dans la même région ont un pourcentage de disponibilité mensuel inférieur à 99,99% pendant un cycle de facturation mensuel.

Pour consulter l'intégralité des conditions générales de l'accord de niveau de service Compute et en savoir plus sur la marche à suivre pour soumettre une demande, référez-vous à la page d'information du contrat de niveau de service de calcul.

Transition vers un nouveau format d'ARN et d'ID

Q : Qu'est-ce qui change ?

À compter du 15 novembre 2018, les ressources Amazon ECS adopteront un nouveau format pour les Amazon Resource Names (ARN) et les identifiants (ID). La modification du format des Amazon Resource Names aura un impact sur les tâches, les instances de conteneur et les services ECS. La modification du format d'identifiant aura un impact sur les tâches et les instances de conteneur ECS. Ces changements activeront les fonctionnalités de balisage et de réparti ton des coûts lancées récemment.

Vous pouvez choisir de vous inscrire dès aujourd'hui pour utiliser la nouvelle fonctionnalité de balisage et adopter les nouveaux formats d'ARN et d'ID pour vos ressources ECS. Une fois l'inscription effectuée, les nouveaux formats d'ARN et d'ID seront appliqués à vos ressources nouvellement créées ; vos ressources existantes ne seront pas altérées et conserveront leurs ARN et ID existants. Veuillez consulter cette documentation pour obtenir des instructions.

Q : Quel impact ce changement aura-t-il sur moi ?

Dans la plupart des cas, vous n'aurez nul besoin d'apporter des changements à votre système pour gérer le nouveau format. Si vous utilisez uniquement la console pour gérer les ressources AWS, cela n'aura aucune répercussion, mais vous devrez tout de même mettre à jour vos paramètres pour utiliser les nouveaux formats d'ARN et d'ID. Si vous interagissez avec les ressources AWS via des API, des kits SDK ou l'interface de ligne de commande AWS, cela aura peut-être des répercussions, selon que votre logiciel attend ou non un format d'ARN ou d'ID particulier lors de la validation ou de la persistance des ARN ou ID de ressource. Si tel est le cas, vous devrez peut-être mettre à jour vos systèmes pour gérer le nouveau format.

Voici quelques exemples de défaillances :

Si vos systèmes utilisent des expressions régulières pour valider le format d'ARN ou d'ID ou le convertissent de façon à en extraire des informations, il se peut que des erreurs surviennent lors de la confrontation aux nouveaux formats.

Si les schémas de votre base de données attendent des longueurs d'ARN ou d'ID définies, le stockage s'avèrera peut-être impossible. Plus particulièrement avec les nouveaux ARN qui contiennent plus d'informations et sont donc plus longs. Les nouveaux ID sont quant à eux plus courts.

Q : Cela affectera-t-il les ressources existantes ?

Non. Seules les ressources créées après votre adoption du nouveau format seront affectées. Dès lors qu'une ressource s'est vue attribuer un ARN/ID (au nouveau ou à l'ancien format), celui-ci est conservé pour la totalité de son cycle de vie, indépendamment des actions d'inscription ou de désinscription qui s'ensuivent.

Q : Quels ARN de ressource ECS sont affectés par le changement ?

Le changement d'ARN concerne 3 ressources : les services, les tâches et les instances de conteneur ECS.

Q : À quoi ressembleront les nouveaux ARN ?

Les nouveaux ARN des instances de conteneur, de services et de tâches ECS incluront le nom de cluster et adopteront le format ci-dessous :

image1

Q : Quels ID des ressources ECS sont affectés par le changement ?

Le changement d'ID concerne 2 ressources : les tâches et les instances de conteneur ECS.

Q : À quoi ressembleront les nouveaux ID ?

Les nouveaux ID seront plus courts (32 caractères) et ne comporteront aucun tiret. Consultez le tableau ci-dessous pour un exemple d'ancien et de nouvel ID.

image2

Q : J'ai accepté d'utiliser le nouveau format. Comment dois-je procéder pour que mes ressources adoptent les nouveaux formats de façon à pouvoir les baliser ?

Afin d'assurer la continuité, toutes les ressources ECS existantes conserveront leurs ARN et ID existants pour toute la durée de leur cycle de vie. Cela implique que seules les ressources nouvellement créées ou lancées adopteront le nouveau format. Pour convertir vos services ECS et leurs tâches aux nouveaux formats, vous pouvez supprimer et recréer le service ECS. Pour convertir vos instances de conteneur ECS, il vous faudra les supprimer et en enregistrer de nouvelles.

Remarque : Les tâches lancées par un service Amazon ECS service ne peuvent recevoir le nouveau format d'ARN et d'ID de ressource que si le service a été créé à compter du 16 novembre 2018, et si l'utilisateur ou le rôle qui a créé le service a accepté le nouveau format pour les tâches au moment de leur lancement.

Q : Quel est le délai d'adoption des nouveaux formats ?

Les nouveaux ARN/ID seront disponibles pour l'inscription en passant par des API et la console EC2 jusqu'à fin décembre 2019. Tous les comptes peuvent s'inscrire et se désinscrire au besoin pour les tests. À partir du 1er janvier 2020, l'option de changement de format ne sera plus disponible, et les ressources ECS nouvellement créées se verront toutes attribuer les nouveaux formats d'ARN et d'ID.

Q : Les nouveaux comptes seront-ils automatiquement inscrits ?

Jusqu'au 31 mars 2019, tous les nouveaux comptes AWS continueront de se voir attribuer les formats actuels par défaut. Dès le 1er avril 2019, tous les nouveaux comptes seront automatiquement inscrits, tout en ayant la possibilité de se désinscrire avant le 31 décembre 2019.

Q : Comment puis-je décider de recevoir ou non des nouveaux ARN/ID ?

Pendant la période de transition (de maintenant jusqu'à décembre 2019), vous pouvez choisir de recevoir les nouveaux formats en utilisant les nouvelles API ECS ou la console EC2. Les instructions sont fournies dans cette documentation.

Q : Puis-je inscrire uniquement un utilisateur ou un rôle IAM particulier ?

Oui. Vous pouvez inscrire un rôle ou un utilisateur IAM particulier. Les ressources créées par un rôle ou un utilisateur IAM se verront attribuer le format d'ARN/ID conforme à leur statut d'inscription au moment de la création. Par ailleurs, l'inscription et la désinscription d'un utilisateur racine s'appliquera à l'intégralité du compte AWS, à moins qu'un utilisateur ou un rôle IAM particulier ignore spécifiquement ce statut.

Q : Que se passera-t-il si je ne fais rien ?

Si vous ne vous inscrivez pas au nouveau format pendant la période de transition, vous commencerez à le recevoir automatiquement à partir du 1er janvier 2020. Cette approche est déconseillée. Nous recommandons de tester les nouveaux formats au préalable, au cours de la période de transition, afin d'identifier et de résoudre tout problème éventuel.

Q : Que se passera-t-il si je préfère continuer à utiliser les anciens ARN/ID pour mes ressources, même après le 31 décembre 2019 ?

Malheureusement, à compter du 1er janvier 2020, toutes les ressources nouvellement créées se verront attribuer le nouveau format d'ARN et d'ID. Cela vous permettra de profiter à la fois des fonctionnalités actuelles et futures d'ECS, comme le balisage et la répartition des coûts.

Q : Si je choisis d'utiliser les nouveaux formats d'ARN/ID et que je reviens à leur ancienne version pendant la période de transition, qu'arrivera-t-il aux ressources créées avec les nouveaux formats ?

Une fois qu'une ressource s'est vue attribuer un ARN/ID, celui-ci ne change plus. Les ressources créées avec les nouveaux ARN/ID conserveront ces formats, indépendamment des actions qui s'ensuivent. La seule manière de supprimer les nouveaux ARN/ID sera de supprimer ou mettre fin aux ressources correspondantes. Pour cette raison, soyez prudent et évitez de créer des ressources critiques avec le nouveau format tant que vous n'avez pas fini de tester vos outils et processus d'automatisation.

Q : Que faire si mes systèmes ne fonctionnent pas normalement avant la fin de la période de transition ?

Si vos systèmes ne fonctionnent pas comme ils le devraient pendant la période de transition, vous pouvez vous désinscrire temporairement des nouveaux formats et assainir les systèmes en question. À compter du 1er janvier 2020, quels que soient les paramètres de votre compte, chaque ressource nouvellement créée se verra attribuer les nouveaux formats d'ARN et d'ID. Il est donc essentiel que vous testiez vos systèmes avec ces nouveaux formats avant la fin de la période de transition. En testant et en adoptant les nouveaux formats au plus tôt, vous vous laissez du temps pour apporter les modifications nécessaires à vos outils et flux de travail et limitez les risques pour vos systèmes.

Q : Que se passe-t-il si je lance des ressources dans plusieurs régions au cours de la période de transition ?

Vous avez la possibilité de vous inscrire région par région. Cela signifie que toutes vos régions ne doivent pas forcément avoir le même statut d'inscription. Si Amazon ECS lance de nouvelles régions pendant la période de transition, celles-ci se comporteront de la même manière que les régions existantes. En d'autres termes, jusqu'au 31 décembre 2019, vous serez en mesure de choisir si vous souhaitez utiliser le nouveau ou l'ancien format d'ARN.

Démarrez avec Amazon ECS

Visitez la console Amazon ECS
Prêt à vous lancer ?
S'inscrire
D'autres questions ?
Contactez-nous