Comment exécuter une tâche Amazon ECS sur Fargate dans un sous-réseau privé ?

Brève description

Vous pouvez exécuter des tâches sur Fargate dans des sous-réseaux privés. Toutefois, en fonction de votre utilisation, vous pouvez avoir besoin d'un accès Internet pour certaines opérations, comme l'extraction d'une image d'un répertoire public. Vous pouvez également empêcher tout accès à Internet pour vos tâches.

Pour exécuter des tâches sur Fargate dans un sous-réseau privé sans accès à Internet, utilisez des points de terminaison d’un VPC. Les points de terminaison d’un VPC vous permettent d'exécuter des tâches sur Fargate sans leur autoriser l'accès à Internet. Les points de terminaison requis sont accessibles via une adresse IP privée.

Si votre tâche doit accéder à Internet à partir d'un sous-réseau privé, accordez lui l'accès à l'aide d'une passerelle NAT. Les points de terminaison requis sont accessibles via l'adresse IP publique de la passerelle NAT.

Résolution

Créez un VPC

Créez un Amazon Virtual Private Cloud (Amazon VPC) avec un sous-réseau public et privé.

Ensuite, selon votre utilisation, suivez les étapes des sections Utiliser un sous-réseau privé sans accès Internet (méthode des points de terminaison d’un VPC) ou Utiliser un sous-réseau privé avec accès Internet de cet article.

Utiliser un sous-réseau privé sans accès Internet (méthode des points de terminaison d’un VPC)

Pour créer des points de terminaison d'interface et une passerelle S3 :

1. Créez un point de terminaison de passerelle S3.
2. Créez des points de terminaison d'interface ECR.
3. Si votre tâche utilise Secrets Manager pour injecter des secrets dans la tâche et CloudWatch Logs, créez des points de terminaison d'interface pour Secrets Manager et CloudWatch Logs.

Suivez ensuite les instructions de la section Créer un cluster et un service Amazon ECS de cet article.

Utiliser un sous-réseau privé avec accès à Internet

Créez une passerelle NAT.

Lorsque vous créez votre passerelle NAT, assurez-vous que vous :

• Placez votre passerelle NAT dans le sous-réseau public.
• Mettez à jour la table de routage du sous-réseau privé. Dans le champ Destination, saisissez 0.0.0.0/0. Dans Target, sélectionnez l'identifiant de votre passerelle NAT.

Suivez ensuite les instructions de la section Créer un cluster et un service Amazon ECS de cet article.

Créez un cluster et un service Amazon ECS

1. Créez un cluster Amazon ECS à l'aide du modèle Networking only (généré par Fargate).
2. Créer un service Amazon ECS.

Lorsque vous configurez le réseau pour le service, assurez-vous que vous :

1. Choisissez le cluster que vous avez créé à l'étape 1 pour votre VPC de cluster.
2. Selon la méthode que vous avez choisie précédemment, choisissez le sous-réseau privé que vous avez configuré pour les points de terminaison du VPC ou le sous-réseau que vous avez configuré pour la passerelle NAT.

Maintenant, vos nouvelles tâches seront lancées dans le sous-réseau privé.