Domande generali

D: Cos'è Amazon Elastic Container Service?

Amazon Elastic Container Service (ECS) è un servizio di gestione di contenitori altamente scalabile ad elevate prestazioni che supporta i contenitori Docker e consente di eseguire applicazioni su un cluster gestito di istanze Amazon EC2 in modo semplice. Con Amazon ECS viene meno la necessità di installare, avviare e ridimensionare un'infrastruttura per la gestione dei cluster. Bastano semplici chiamate API per avviare e interrompere applicazioni compatibili con contenitori, eseguire query sullo stato del cluster e accedere a molte funzioni comuni come i gruppi di sicurezza, Elastic Load Balancing, i volumi EBS e i ruoli IAM. Puoi usare Amazon ECS per pianificare il posizionamento dei contenitori nel cluster in base alle esigenze di risorse e ai requisiti di disponibilità. Puoi anche integrare il sistema di pianificazione interno o di terze parti in uso per soddisfare specifici requisiti aziendali o applicativi.

D: Qual è il vantaggio di utilizzare Amazon ECS?

Amazon ECS semplifica l'utilizzo di contenitori come elementi costitutivi di applicazioni eliminando la necessità di installare, avviare e ridimensionare un'infrastruttura per la gestione dei cluster. Amazon ECS consente di pianificare applicazioni, servizi ed processi in batch con lunghi tempi di elaborazione tramite contenitori Docker. Amazon ECS mantiene elevata la disponibilità dell'applicazione e consente di ridimensionare i contenitori a seconda dei relativi requisiti di capacità. Amazon ECS integra funzioni comuni quali Elastic Load Balancing, volumi EBS, VPC e IAM. Con semplici API è possibile integrare e utilizzare sistemi di pianificazione interni o connettere Amazon ECS al processo di distribuzione software esistente.

D: Quanto costa Amazon ECS?

Non sono previsti costi aggiuntivi per l'utilizzo di Amazon ECS. I prezzi sono calcolati in base alle risorse AWS, ad esempio istanze EC2 o volumi EBS, che vengono create per memorizzare e gestire l'applicazione. I prezzi sono calcolati solo in base all'uso effettivo, senza tariffe minime né impegni anticipati.

D: In cosa differisce Amazon ECS da AWS Elastic Beanstalk?

AWS Elastic Beanstalk è una piattaforma di gestione delle applicazioni che consente di distribuire e ricalibrare le risorse di servizi e applicazioni Web. Prende in carico il provisioning dei servizi di base (ad esempio EC2, RDS, Elastic Load Balancing, Auto Scaling, CloudWatch), la distribuzione delle applicazioni e il monitoraggio dell'integrità, così potrai concentrarti esclusivamente sul codice. È sufficiente specificare quali immagini di contenitori devono essere distribuite, i requisiti di CPU e di memoria, la mappatura delle porte e i collegamenti ai contenitori.

Elastic Beanstalk gestisce automaticamente tutti i dettagli, tra cui il provisioning del cluster Amazon ECS, il bilanciamento del carico, il ridimensionamento automatico, il monitoraggio e il posizionamento dei contenitori nel cluster. Elastic Beanstalk è ideale quando desideri sfruttare i vantaggi dei contenitori e mantenere la semplicità della distribuzione di applicazioni dalla fase di sviluppo alla produzione, semplicemente caricando un'immagine di contenitore. Puoi usare Amazon ECS se desideri un controllo più granulare di architetture applicative personalizzate.

D: In cosa differisce Amazon ECS da AWS Lambda?

Amazon ECS è un servizio di gestione di contenitori Docker altamente scalabile che consente di eseguire e gestire applicazioni distribuite che operano in contenitori Docker. AWS Lambda è un servizio di elaborazione basato su eventi che esegue codice in risposta a "eventi" quali modifiche ai dati, clic su siti Web o messaggi provenienti da altri servizi AWS, senza dover gestire direttamente un'infrastruttura di elaborazione.

Utilizzo di Amazon ECS

D: Come si inizia a usare Amazon ECS?

Visita la pagina Nozioni di base per ulteriori informazioni sull'utilizzo di ECS.

D: Amazon ECS supporta altri tipi di contenitore?

No. Docker è al momento l'unica piattaforma supportata da Amazon ECS.

D: Desidero avviare dei contenitori. Perché è necessario avviare attività?

Docker consiglia di dividere le applicazioni nei rispettivi componenti fondamentali; Elastic Container Service è stato ottimizzato per seguire questo modello. Le attività consentono di definire un set di contenitori che desideri posizionare insieme (o di cui desideri modificare insieme il posizionamento), le loro proprietà e come sono collegati tra loro. Le attività includono tutte le informazioni necessarie ad Amazon ECS per decidere il posizionamento. Per avviare un singolo contenitore, la definizione di attività deve includere la definizione di un solo contenitore.

D: Amazon ECS supporta applicazioni e servizi?

Sì. Il sistema di pianificazione di Amazon ECS consente di gestire applicazioni e servizi con lunghi tempi di elaborazione. Il servizio di pianificazione consente di mantenere elevata la disponibilità dell'applicazione e di ridimensionare i contenitori a seconda dei relativi requisiti di capacità. Il servizio, inoltre, consente di distribuire il traffico su più contenitori utilizzando Elastic Load Balancing. Amazon ECS attiva e annulla la registrazione dei contenitori dai sistemi di bilanciamento del carico associati in modo automatico.

Il servizio di pianificazione ripristinerà automaticamente i contenitori con errori (che non passano i controlli dello stato di ELB) o interrotti per mantenere sempre il numero desiderato di contenitori integri a supporto dell'applicazione.

È possibile ridimensionare le risorse dell'applicazione modificando il numero di contenitori che il servizio deve eseguire. È anche possibile aggiornare l'applicazione modificandone la definizione o usando una nuova immagine. Il servizio di pianificazione avvierà automaticamente nuovi contenitori usando la nuova definizione e arresterà i contenitori che eseguono la versione precedente (attendendo che le eventuali connessioni ELB si esauriscano).

D: Amazon ECS supporta la mappatura di porte dinamiche?

Sì. È possibile associare un servizio in Amazon ECS a un sistema Application Load Balancer (ALB) per il servizio Elastic Load Balancing (ELB). Il sistema ALB supporta un gruppo di destinazione che contiene una serie di porte delle istanze. È possibile specificare una porta dinamica nella definizione di attività ECS, così il container avrà a disposizione una porta non utilizzata quando viene pianificato per l'esecuzione in un'istanza EC2. Il sistema di pianificazione di ECS aggiungerà automaticamente l'attività al gruppo di destinazione del sistema di bilanciamento del carico per applicazioni usando questa porta.

D: Amazon ECS supporta processi in batch?

Sì. È possibile usare il comando Run task di Amazon ECS per eseguire una o più attività. Run task avvia l'attività su un'istanza che ne soddisfi i requisiti di CPU, memoria e porte.

D: È possibile usare un sistema di pianificazione interno con Amazon ECS?

ECS fornisce Blox, una raccolta di progetti open source per la gestione e l’orchestrazione dei contenitori. Blox facilita l’utilizzo degli eventi da Amazon ECS, l’archiviazione dello stato del cluster a livello locale e l’esecuzione di query sul datastore locale tramite le API. Blox include inoltre un sistema di pianificazione dei daemon che può essere utilizzato come riferimento per informazioni cu come utilizzare il server dello stato del cluster. Per ulteriori informazioni, visita la pagina Blox GitHub.

D: È possibile usare AMI esistenti?

Sì. Puoi usare qualsiasi AMI che soddisfi le specifiche di Amazon ECS per le AMI. Consigliamo di iniziare dall'AMI Amazon Linux compatibile con Amazon ECS. Sono anche disponibili AMI di partner compatibili con Amazon ECS. Consulta le specifiche di Amazon ECS per le AMI nella documentazione.

D: Come si configurano le istanze di container da caricare da Amazon Elastic Container Registry?

Amazon ECR integra Amazon ECS, consentendo di memorizzare, eseguire e gestire immagini di contenitori per applicazioni in esecuzione in Amazon ECS. È sufficiente specificare il repository di Amazon ECR nella definizione di attività e collegare AmazonEC2ContainerServiceforEC2Role alle istanze. Amazon ECS recupererà le immagini specificate per le applicazioni.

D: Come funziona AWS Fargate con Amazon ECS?

Con Fargate, il concetto di provisioning dei server, gestione dei cluster e orchestrazione scompare completamente. Amazon ECS utilizza i contenitori forniti da Fargate per ridimensionare automaticamente, bilanciare il carico e gestire la pianificazione dei contenitori per la disponibilità, fornendo un modo più semplice di costruire e gestire applicazioni in contenitori.

D: Come si sceglie l'utilizzo di AWS Fargate con Amazon ECS o semplicemente l'uso di ECS?

Amazon ECS supporta la tecnologia Fargate e i clienti potranno scegliere AWS Fargate per lanciarne i contenitori senza dover effettuare il provisioning o gestire le istanze EC2. AWS Fargate è il modo più semplice per lanciare e gestire contenitori su AWS. I clienti che desiderano un maggiore controllo delle istanze EC2 per supportare i requisiti di conformità e governance oppure opzioni di personalizzazione più ampie, possono scegliere di utilizzare ECS senza Fargate per lanciare le istanze EC2.

Sicurezza e conformità

D: In che modo Amazon ECS isola i contenitori che appartengono a clienti differenti?

Amazon ECS pianifica l'esecuzione di contenitori su istanze Amazon EC2 controllate dal cliente o con AWS Fargate e si basa sugli stessi controlli di isolamento e di conformità disponibili ai clienti di EC2. Le istanze di calcolo sono ubicate in un VPC (Virtual Private Cloud) con un range di IP specificati dall'utente. Quest'ultimo decide quali istanze esporre su Internet e quali debbano restare private.

  • Le istanze EC2 usano un ruolo IAM per accedere al servizio ECS.
  • Le attività ECS usano un ruolo IAM per accedere a servizi e risorse.
  • I Security Groups e gli ACL di rete permettono di controllare l'accesso alla rete in entrata e in uscita alle e dalle proprie istanze.
  • È possibile connettere la propria infrastruttura IT esistente a risorse sulla propria VPC usando connessioni crittate IPsec VPN standard nel settore.
  • È possibile assegnare le proprie risorse EC2 come istanze dedicate. Le istanze dedicate sono istanze di Amazon EC2 che funzionano su hardware dedicato a un solo cliente per garantirgli ulteriore isolamento.

D: È possibile applicare ulteriori configurazioni di sicurezza e framework di isolamento alle istanze di contenitori?

Sì. In quanto cliente Amazon EC2, disponi di accesso root al sistema operativo delle istanze di contenitori, perciò puoi modificare le impostazioni di sicurezza del sistema operativo e caricare e configurare componenti software aggiuntivi con funzioni di protezione quali monitoraggio, gestione di patch, gestione di log e rilevamento di intrusioni nell'host.

D: È possibile eseguire istanze di contenitori con impostazioni di sicurezza differenti o separare diverse attività su più ambienti?

Sì. Puoi configurare le istanze di contenitori utilizzando gli strumenti più comuni. Amazon ECS consente di controllare il posizionamento delle attività nelle diverse istanze di contenitori tramite cluster e opzioni di avvio selettivo.

D: Amazon ECS supporta il recupero di immagini Docker da origini private o interne?

Sì. Le istanze di contenitori possono essere configurate in modo da accedere ad un registro di immagini Docker privato all'interno di un cloud privato virtuale o ad un registro accessibile all'esterno del cloud, ad esempio Amazon ECR.

D: Come si configurano i ruoli IAM per le attività ECS?

Prima di tutto è necessario creare un ruolo IAM per il task utilizzando il ruolo di servizio "Amazon EC2 Container Service Task Role" e collegando una policy con le corrette autorizzazioni. Una volta creata una nuova definizione di attività o una versione della definizione di attività, è possibile specificare un ruolo selezionandolo dal menu a discesa "Task Role" oppure utilizzando il campo "taskRoleArn" in formato JSON.

D: Con quali programmi di conformità è compatibile AWS ECS?

AWS Fargate soddisfa gli standard ai fini delle conformità PCI DSS Level 1, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 e HIPAA.

Per ulteriori informazioni, consulta le pagine sulla conformità.

D: È possibile utilizzare AWS Fargate per informazioni sanitarie protette e altri carichi di lavoro regolamentati dalla normativa HIPAA?

Sì. AWS Fargate è idoneo ai fini HIPAA. Se possiedi un Business Associate Addendum (BAA) esecutivo con AWS puoi utilizzare Amazon ECS per gestire l'elaborazione di informazioni sanitarie protette crittografate (PHI) nei contenitori Docker distribuiti in un'istanza di avvio di di tipo Amazon EC2 o AWS Fargate.

Per ulteriori informazioni, consulta la pagina sulla conformità HIPAA. Se intendi trattare, memorizzare o trasmettere informazioni sanitarie protette e non disponi di un BAA con AWS, contattaci per saperne di più.

D: È possibile utilizzare AWS Fargate per carichi di lavoro regolamentati dal governo statunitense o per trattare informazioni controllate non classificate?

Sì. Nella regione AWS GovCloud (US), contenitori e cluster gestiti da Amazon ECS possono soddisfare i requisiti dei dati sensibili e dei flussi di lavoro regolati con i tuoi contenitori.

Per ulteriori informazioni, consulta la pagina su AWS GovCloud.

Contratto sul livello di servizio (SLA)

D: Cosa garantisce SLA di Amazon ECS?

SLA Compute garantisce una percentuale di tempo di attività mensile di almeno il 99,99% per AWS ECS.

D: Come posso sapere se ho diritto a un credito di assistenza SLA?

Hai diritto a un credito di assistenza SLA per AWS ECS, secondo l'SLA Compute, se più di una zona di disponibilità in cui stai eseguendo un'attività, all'interno della stessa regione ha una percentuale di tempo di attività mensile inferiore al 99,99% durante un qualsiasi ciclo di fatturazione mensile.

Per dettagli completi sui termini e le condizioni del contratto sul livello di servizio e per indicazioni sulla presentazione di una richiesta, consulta la pagina dei dettagli sul calcolo SLA.

Transizione al nuovo formato di ARN e ID

D: Cosa cambia?

A partire dal 15 novembre 2018, le risorse di Amazon ECS passeranno a un nuovo formato di Amazon Resource Names (ARN) e di identificatori (ID). La modifica del formato di Amazon Resource Names influirà sulle attività, sulle istanze di container e sui servizi ECS, mentre quella relativa al formato identificativo influirà solo sulle attività e sulle istanze di container ECS. Queste modifiche abiliteranno le funzionalità di applicazione di tag e allocazione dei costi lanciate di recente.

A partire da oggi, puoi scegliere di utilizzare la nuova funzione di codifica e adottare i nuovi formati di ARN e ID per le tue risorse ECS. Una volta attivato, il nuovo formato di ARN e ID verrà applicato alle risorse appena create; le risorse esistenti, invece, non subiranno alcuna modifica e conserveranno i loro ARN e ID esistenti. Consulta questa documentazione per le istruzioni.

D: Quali sono le conseguenze?

In molti casi, non è necessario apportare modifiche al sistema per gestire il nuovo formato. Se utilizzi la console esclusivamente per la gestione delle risorse AWS, non subirai nessuna conseguenza e dovrai solo aggiornare le impostazioni del tuo account per iniziare ad utilizzare il nuovo formato di ARN e ID. Se l'interazione con le risorse AWS avviene tramite API, kit SDK o interfaccia a riga di comando di AWS, la modifica potrebbe invece interessarti se il software che usi esegue previsioni che impiegano il formato dell’ARN e dell’ID al momento della convalida o del rinnovo di ARN e ID delle risorse. In questo caso, occorrerà aggiornare i sistemi per garantire la compatibilità con il nuovo formato.

Tra gli errori possibili sono inclusi i seguenti:

Se i tuoi sistemi utilizzano espressioni regolari per la convalida del formato di ARN o ID o lo analizzano per estrarre informazioni da esso, potrebbero visualizzarsi errori al riscontro di nuovi formati.

Se gli schemi di database prevedono l'immissione di ARN o ID di una determinata lunghezza, potrebbe non essere possibile conservarli. Nello specifico, i nuovi ARN contengono più informazioni e, dunque, presentano un formato più lungo. I nuovi ID presentano un formato più breve.

D: Le risorse esistenti sono interessate dalla modifica?

No. Solo le risorse create dopo la transizione presentano il nuovo formato. Una volta assegnato un ARN/ID (nuovo o anteriore) a una risorsa, lo manterrà per tutto il ciclo di vita, indipendentemente da eventuali azioni di attivazione o disattivazione successivamente intraprese. Ad esempio, se si dispone di un servizio ECS esistente prima dell'attivazione, tale servizio manterrà il suo ARN/ID anteriore anche dopo l'attivazione. Tutte le attività lanciate dal servizio ECS dopo la transizione, presenterà un nuovo ARN.

D: Quali ARN delle risorse EC2 subiscono queste modifiche?

La modifica dell’ARN interesserà 3 risorse EC2: servizi, attività e istanze di container.

D: Che caratteristiche presenteranno i nuovi ARN?

I nuovi ARN per istanze di container, servizi e attività ECS includeranno il nome del cluster e si visualizzeranno come nella tabella di seguito:

image1

D: Quali ID delle risorse EC2 subiscono queste modifiche?

La modifica dell'ID interesserà 2 risorse EC2: attività e istanze di container.

D: Che caratteristiche presenteranno i nuovi ID?

I nuovi ID saranno più brevi (32 caratteri) e non includeranno trattini. Consulta la tabella di seguito per un confronto tra il nuovo ID e quello anteriore.

image2

D: Una volta proceduto all’attivazione, come completo la transizione delle mie risorse verso i nuovi formati in modo da poter applicare tag?

Al fine di garantirne la continuità, tutte le risorse ECS esistenti manterranno i loro ARN e ID durante il loro ciclo di vita. Ciò significa che solo le risorse create dopo la transizione, presenteranno il nuovo formato. Per eseguire la transizione delle attività esistenti in esecuzione in un servizio, è possibile attivare una nuova distribuzione dello stesso. Per la transizione dei tuoi servizi ECS, sarà possibile eliminare e ricreare il servizio in questione. Infine, per eseguire la transizione delle tue istanze di container ECS, è necessario esaurire quelle esistenti e registrarne di nuove.

D: Qual è il termine di scadenza per l’adozione dei nuovi formati?

Entro la fine di dicembre 2019, saranno disponibili nuovi ARN/ID attivabili tramite API e console ECS. Tutti gli account possono essere attivati e disattivati in base alle necessità di testing. A partire dal 1 ° gennaio 2020, l'opzione di scegliere tra il nuovo e il formato anteriore non sarà più disponibile e le risorse ECS, create in seguito a questa data, presenteranno tutte i nuovi formati ARN e ID.

D: L’adozione dei nuovi account sarà automatica?

Fino al 31 marzo 2019, tutti gli account AWS appena creati continueranno a essere predefiniti nei formati correnti. A partire dal 1 ° aprile 2019, tutti gli account appena creati verranno automaticamente attivati e conserverai la possibilità di disattivarli entro il 31 dicembre 2019.

D: Come posso scegliere se adottare o meno i nuovi ARN e ID?

Durante il periodo di transizione (da ora fino alla fine di dicembre 2019), è possibile abilitare l’uso di nuovi formati tramite le nuove API ECS o la console EC2. Le istruzioni sono fornite in questa documentazione.

D: È possibile abilitare solo un utente IAM specifico o un ruolo IAM per il mio account?

Sì. È possibile abilitare un utente IAM specifico o un ruolo IAM. Le risorse create da un ruolo IAM o utente IAM presenteranno un formato ARN/ID basato sullo stato di attivazione, al momento della creazione, dell'utente o del ruolo che ha creato la risorsa. Inoltre, l'attivazione o la disattivazione dell'utente root applicherà la modifica all'intero account AWS, a meno che un utente o un ruolo IAM ignori esplicitamente lo stato di attivazione.

D: Cosa accade se non intraprendo alcuna azione?

Se non adotti questo nuovo sistema durante la finestra di transizione, i nuovi formati verranno automaticamente attivati a partire dal 1 ° gennaio 2020. Non consigliamo questo approccio. È consigliabile testare i nuovi formati in anticipo durante le finestre di transizione per identificare e risolvere qualsiasi problema potenziale.

D: Cosa succede se preferisco continuare a utilizzare i vecchi ARN/ID per le risorse create dopo il 31 dicembre 2019?

Purtroppo, a partire dal 1 ° gennaio 2020, tutte le risorse create di recente adotteranno il nuovo formato di ARN e ID. Ciò ti consentirà di beneficiare delle funzionalità ECS attuali e in arrivo, come l’applicazione di tag e l'allocazione dei costi.

D: Se comincio a utilizzare i nuovi formati di ARN/ID e poi opto di nuovo per il formato anteriore durante il periodo di transizione, cosa succede alle risorse create con i nuovi formati?

Una volta assegnato un ARN/ID a una risorsa, esso non subirà alcuna modifica. Le risorse create con il nuovo ARN/ID lo manterranno invariato, indipendentemente dalle azioni successivamente intraprese. L'unico modo per rimuovere il nuovo ARN/ID sarà eliminazione o il termine delle rispettive risorse. Fai quindi molta attenzione quando crei risorse di importanza critica con il nuovo formato, a meno che tu non abbia già provato il corretto funzionamento di strumenti e automazioni.

D: Quale procedura bisogna seguire se i sistemi non funzionano come previsto prima della scadenza del periodo di transizione?

Se i tuoi sistemi non funzionano come previsto durante il periodo di transizione, è possibile disattivare temporaneamente i nuovi formati e correggere i sistemi. A partire dal 1 ° gennaio 2020, indipendentemente dalle impostazioni del tuo account, tutte le nuove risorse presenteranno i nuovi formati ARN e ID: è, quindi, importante testare i tuoi sistemi con il nuovo formato di ARN e ID prima della conclusione del periodo di transizione. Adottando i nuovi formati e testandoli in anticipo, potrai apportare modifiche tempestive ai tuoi strumenti e flussi di lavoro e ridurre al minimo i rischi sui sistemi.

D: Cosa succede se vengono avviate risorse in diverse regioni durante il periodo di transizione?

Questo offre la flessibilità di adozione in base alla regione. Ciò significa che sarà possibile avere diversi status di adozione in base alla regione. Se Amazon ECS lancerà nuove regioni durante il periodo di transizione, queste regioni avranno lo stesso comportamento di quelle esistenti. Dunque, fino al 31 dicembre 2019, sarà possibile scegliere se si desidera utilizzare il formato ARN nuovo o anteriore.

Nozioni di base su Amazon ECS

Visita la console Amazon ECS
Sei pronto per iniziare?
Registrati
Hai altre domande?
Contattaci