Perguntas frequentes sobre o Amazon ECS

Acesse nossa página Conceitos básicos para obter mais informações sobre como começar a usar o Amazon ECS. Quer você seja novo no Amazon ECS ou já tenha um caso de uso em mente, você pode escolher seu próprio caminho e seguir as etapas de aprendizagem selecionadas para começar.

A arquitetura moderna de aplicações (por exemplo, microsserviços) recomenda dividir suas aplicações em unidades individuais, e o Amazon ECS é otimizado para esse padrão. As tarefas são a menor unidade de computação no Amazon ECS e permitem que você defina um conjunto de contêineres que você gostaria de colocar juntos, suas propriedades e como eles podem ser vinculados. As tarefas incluem todas as informações necessárias para o Amazon ECS tomar a decisão de posicionamento. Para executar um único contêiner, a definição de tarefas deve incluir apenas uma definição do contêiner.

Sim. O agendador do Amazon ECS Service pode gerenciar aplicativos e serviços de execução longa. O agendador do serviço ajuda a manter a disponibilidade da aplicação e permite expandir ou reduzir seus contêineres para atender aos requisitos de capacidade da aplicação. Ele permite também distribuir o tráfego por seus contêineres usando o ELB. O Amazon ECS registrará e cancelará automaticamente o registro dos contêineres no load balancer associado. O programador do serviço também recuperará automaticamente os contêineres que não estiverem íntegros (isto é, que falharem nas verificações de integridade do ELB) ou pararem de funcionar, a fim de assegurar que você tenha o número desejado de contêineres íntegros oferecendo suporte às aplicações.

Você pode expandir ou reduzir sua aplicação, alterando o número de contêineres a serem executados pelo serviço. É possível atualizar a aplicação alterando sua definição ou usando uma nova imagem. O agendador iniciará novos contêineres automaticamente utilizando a nova definição e interromperá os contêineres que estiverem executando a versão anterior (aguardando as conexões do ELB serem consumidas se ele for usado).

As aplicações e os microsserviços implantados no Amazon ECS utilizam o serviço Application Auto Scaling para escalar automaticamente com base nos dados de métricas observados. O Amazon ECS mede a utilização do serviço com base nos recursos de CPU e memória consumidos pelas tarefas que pertencem a um serviço e publica as métricas do CloudWatch, a saber, ECSServiceAverageCPUUtilization e ECSServiceAverageMemoryUtilization, com esses dados. O Application Auto Scaling pode então usar essas métricas predefinidas em conjunto com políticas de escalabilidade para escalar proporcionalmente o número de tarefas em um serviço. Além disso, há casos de uso em que o uso médio de CPU e memória de um serviço, por si só, não é um indicador confiável de quando e em que grau executar uma ação de escalabilidade. Para isso, o Application Auto Scaling também oferece suporte à escalabilidade de um serviço com base em uma especificação métrica personalizada que representa uma métrica do CloudWatch de nossa escolha, que pode ser mais adequada. Isso inclui métricas que rastreiam outros aspectos da aplicação, como número de solicitações HTTP recebidas, número de mensagens recuperadas de uma fila/tópico e número de transações de banco de dados. Agora você pode usar as métricas do CloudWatch ou as métricas do Prometheus de sua escolha.

Para saber mais, visite: Escalonamento automático dos serviços do Amazon ECS com base em métricas personalizadas do CloudWatch e do Prometheus

O Amazon ECS permite que você execute uma grande variedade de aplicações com a mesma experiência e ferramentas em um conjunto diversificado de opções de computação:

• AWS Fargate: o AWS Fargate é um mecanismo de computação sem servidor e pago conforme o uso. Ele elimina a carga do provisionamento de servidores, do gerenciamento de clusters e da orquestração. O Amazon ECS usa os contêineres provisionados pelo AWS Fargate para automatizar a escalabilidade, o balanceamento de carga e o gerenciamento da programação de contêineres para assegurar a disponibilidade, oferecendo uma maneira mais fácil de criar e operar aplicativos conteinerizados.
• Amazon EC2: com a Amazon no ECS no EC2, você possui as instâncias do EC2 e tem controle total sobre todos os aspectos do gerenciamento da infraestrutura. Por exemplo, você pode selecionar tipos específicos de instância do EC2 ou personalizar o sistema operacional subjacente. Você pode usar os provedores de capacidade de grupo do Auto Scaling para gerenciar a escalabilidade das instâncias do EC2.
• Máquinas virtuais (VM) ou servidores on-premises:
  • O Amazon ECS Anywhere fornece suporte para registrar uma instância externa, como um servidor on-premises ou uma máquina virtual (VM), em seu cluster do Amazon ECS. 
  • A capacidade pode estar localizada em qualquer um dos seguintes recursos da AWS:    
    • Zonas de disponibilidade
    • Zonas locais
    • Zonas do Wavelength
    • Regiões da AWS
    • AWS Outposts

Sim. O Amazon ECS oferece suporte à infraestrutura computacional de escalonamento automático para o AWS Fargate e o Amazon EC2, para que você possa se concentrar na criação e escalabilidade de suas aplicações, em vez da infraestrutura subjacente.

O Amazon ECS com o AWS Fargate oferece uma experiência sem servidor, pois o AWS Fargate provisiona, escala e atualiza automaticamente a infraestrutura computacional necessária para suas aplicações.

Para suas aplicações que exigem capacidade do Amazon EC2, o Amazon ECS fornece provedores de capacidade de grupo do Auto Scaling que escalam automaticamente as instâncias do Amazon EC2 em resposta aos requisitos de capacidade de suas aplicações. Você pode criar um grupo do Amazon EC2 Auto Scaling (ASG) com a configuração desejada para os tipos de instância do Amazon EC2, Imagem de Máquina da Amazon (AMI), configurações de rede etc., e criar um provedor de capacidade para escalar automaticamente as instâncias do Amazon EC2 nesse ASG com base nas necessidades de agendamento e na carga de suas aplicações e gerenciar as ações de expansão e expansão do ASG com base na carga de suas tarefas.

Fornecedores de capacidade do Amazon ECS são a interface por meio da qual você pode definir as necessidades de capacidade para suas aplicações. Os fornecedores de capacidade permitem definir regras flexíveis sobre como suas aplicações são executadas em diferentes tipos de capacidade computacional e gerenciar a escalabilidade da capacidade. Os Capacity Providers funcionam com o Amazon EC2 e AWS Fargate. O Amazon ECS fornece fornecedores de capacidade predefinidos para capacidades do AWS Fargate e Fargate-Spot para cada cluster. Para o Amazon EC2, você pode criar seus próprios fornecedores de capacidade ASG para gerenciar a escalabilidade de um grupo do Amazon EC2 Auto Scaling. Ao executar tarefas e serviços do Amazon ECS, você pode dividi-los entre vários provedores de capacidade, por exemplo, para executar um serviço em uma porcentagem de divisão predefinida entre capacidades AWS Fargate e Fargate Spot.

Sim. Você pode usar o comando Run task do Amazon ECS para executar uma ou mais tarefas de uma vez. O comando Run task inicia a tarefa em uma instância que atenda aos requisitos da tarefa, incluindo CPU, memória e portas. Você também pode usar o AWS Batch para planejar, programar e executar suas workloads de computação em lotes usando o Amazon ECS, para que você possa se concentrar na análise de resultados e na solução de problemas. 

Sim. Você pode usar qualquer AMI que atenda à especificação da AMI do Amazon ECS. Recomendamos começar com o Amazon Linux AMI habilitado para Amazon ECS. AMIs de parceiros compatíveis com o Amazon ECS também estão disponíveis. Consulte a especificação da AMI do Amazon ECS na documentação.

O Amazon ECR é integrado ao Amazon ECS, o que permite que você armazene, execute e gerencie facilmente imagens de contêiner para aplicações em execução no Amazon ECS. Tudo o que você precisa fazer é especificar o repositório do Amazon ECR na sua definição de tarefa e conectar AmazonEC2ContainerServiceforEC2Role às suas instâncias. Em seguida, o Amazon ECS recuperará as imagens adequadas para suas aplicações.

O AWS Fargate oferece computação sem servidor para executar contêineres com o Amazon ECS. O AWS Fargate permite que os clientes iniciem seus contêineres sem precisar provisionar ou gerenciar instâncias do Amazon EC2. O AWS Fargate é a maneira mais fácil de iniciar e executar contêineres na AWS. Os clientes que exigem maior controle de suas instâncias do EC2 (para dar suporte a requisitos de conformidade e governança ou opções de personalização mais amplas) podem optar por usar o Amazon ECS com instâncias do Amazon EC2.

O Amazon ECS oferece suporte às redes do Docker e é integrado à Amazon VPC para oferecer isolamento para contêineres. Dessa forma, você pode controlar a forma como os contêineres se conectam a outros serviços e ao tráfego externo. O Amazon ECS permite optar entre quatro modos de redes para contêineres que atendem a diferentes casos de uso:

• Modo VPC: este modo atribui a cada tarefa do Amazon ECS em execução uma interface de rede elástica dedicada, o que disponibiliza recursos completos de rede aos contêineres em uma VPC, da mesma forma que em instâncias Amazon EC2.
• Modo Bridge: este modo cria um bridge Linux que conecta todos os contêineres executados no host em uma rede local virtual, que pode ser acessada por meio da conexão de rede padrão do host.
• Modo Host: este modo adiciona contêineres diretamente à pilha de redes do host, o que os expõe na rede do host, sem isolamento.
• Nenhum: este modo desabilita redes externas para contêineres.

• Service Connect: o Amazon ECS Service Connect simplifica a descoberta de serviços, a conectividade e a observabilidade de tráfego para o Amazon ECS. Ele ajuda você a criar aplicações com mais rapidez, permitindo que você se concentre no código da aplicação e não na sua infraestrutura de rede. Você pode usar o Amazon ECS Service Connect para definir nomes lógicos para seus endpoints de serviço e usá-los em suas aplicações cliente para se conectar às dependências. O Amazon ECS Service Connect ajuda a enviar seu tráfego para endpoints íntegros e fornece telemetria de tráfego avançada no console do Amazon ECS e no Amazon CloudWatch. As implantações do Amazon ECS ficam mais robustas com o Amazon ECS Service Connect, que oferece drenagem automática de conexões para ajudar as aplicações cliente a alternar para uma nova versão do endpoint de serviço sem enfrentar erros de tráfego. Com o Amazon ECS Service Connect, você pode:
  • Definir o caminho pelo qual as aplicações cliente se conectam às suas dependências em apenas uma etapa
  • Escrever e operar aplicações distribuídas resilientes com nomenclatura lógica
  • Monitorar e distribuir o tráfego entre tarefas do Amazon ECS sem implantar e configurar balanceadores de carga
  • Implantar serviços com mais rapidez e oferecer uma integração perfeita dos microsserviços do Amazon ECS que compreendem uma aplicação
• Service Discovery: o Amazon ECS é integrado ao AWS Cloud Map para facilitar a descoberta e a conexão entre seus serviços conteinerizados. O AWS Cloud Map é um serviço de descoberta de recursos de nuvem que permite definir nomes personalizados para os recursos da sua aplicação. Ele aumenta a disponibilidade da sua aplicação porque seu serviço da Web sempre descobrirá os locais mais atualizados desses recursos que mudam dinamicamente.

• Monitoramento
  • Você pode monitorar seus recursos do Amazon ECS usando o Amazon CloudWatch, que coleta e processa dados brutos do Amazon ECS em métricas legíveis e quase em tempo real. Essas estatísticas são registradas por um período de duas semanas para que você possa acessar informações históricas e ter uma perspectiva melhor sobre o desempenho de seus clusters ou serviços. Não há cobrança adicional para isso. Para saber mais, acesse as métricas do Amazon ECS CloudWatch.
  • Para obter métricas aprimoradas, use o CloudWatch Container Insights para coletar, agregar e resumir métricas e logs de suas aplicações e microsserviços em contêineres, disponíveis para seus clusters do Amazon ECS em execução no Amazon EC2 e no AWS Fargate. O CloudWatch coleta automaticamente métricas para vários recursos, como CPU, memória, disco e rede. O Container Insights também fornece informações de diagnóstico, como falhas na reinicialização do contêiner, para ajudá-lo a isolar problemas e resolvê-los rapidamente. Para o Amazon ECS, o Container Insights coleta métricas nos níveis de cluster, tarefa e serviço nas instâncias Linux e Windows Server. Ele pode coletar métricas no nível da instância somente em instâncias do Linux. As métricas de rede estão disponíveis somente para contêineres no modo de rede bridge e no modo de rede awsvpc. Eles não estão disponíveis para contêineres no modo de rede host. Para saber mais, acesse Usando o Container Insights.
• Registro em log
  • O Amazon ECS permite registrar todas as suas chamadas de API do Amazon ECS e ter os arquivos de log entregues por meio do AWS CloudTrail. As informações registradas incluem a identidade do chamador da API, a hora da chamada da API, o endereço IP de origem do chamador da API, os parâmetros da solicitação e os elementos de resposta retornados pelo Amazon ECS. O CloudTrail oferece um histórico das chamadas de APIs efetuadas do Console de Gerenciamento da AWS, dos SDKs da AWS e da ILC da AWS. O serviço proporciona análises de segurança, rastreamento de alterações de recursos e auditoria de conformidade.
• AWS Config
  • O AWS Config se integra ao Amazon ECS para fornecer visibilidade da sua configuração dos recursos da AWS na sua conta da AWS. O AWS Config permite monitorar e rastrear como os recursos foram configurados, como eles se relacionam entre si e como as configurações e os relacionamentos mudam com o tempo. O AWS Config permite que você simplifique a compatibilidade e a segurança, a solução de problemas operacionais e a administração de recursos.
• Terceiro partido
  • O Amazon ECS oferece suporte a todo um ecossistema de fornecedores terceirizados de observabilidade adotando padrões de contêineres abertos. Para obter mais informações, consulte a página de parceiros do Amazon ECS.

O Amazon ECS oferece as seguintes opções de armazenamento:

Amazon Elastic File System (EFS): o Amazon EFS fornece armazenamento de arquivos sem servidor, totalmente elástico e escalável para uso com suas tarefas do Amazon ECS. Você pode montar um sistema de arquivos do Amazon EFS compartilhado nas suas tarefas do ECS para armazenamento persistente.

Amazon Elastic Block Store (EBS): o Amazon EBS fornece armazenamento escalável e de alta performance para suas tarefas do Amazon ECS. Você pode configurar o ECS para provisionar e anexar volumes do EBS com as características desejadas (tamanho, performance, criptografia etc.) às suas tarefas do Amazon ECS.

Os custos das tarefas do Amazon ECS executadas no AWS Fargate estão disponíveis automaticamente nos relatórios de Custo e uso da AWS (CUR) e no Explorador de Custos da AWS. Você pode usar etiquetas gerenciadas e adicionadas pelo usuário para agregar e alocar custos para unidades de negócios, equipes ou aplicações novas e existentes para suas tarefas do Amazon ECS.

Saiba mais sobre os relatórios de uso do Amazon ECS.

Você pode acessar informações de custo e uso de tarefas do Amazon ECS executadas em instâncias do Amazon EC2 nos Relatórios de Custo e Uso (CUR) da AWS, optando por Dados de alocação de custos divididos para o Amazon ECS. Dados de alocação de custos divididos geram custos em nível de tarefa para tarefas do Amazon ECS executadas em instâncias do Amazon EC2, analisando o consumo de recursos de cada tarefa com base no preço da instância e na porcentagem de recursos de CPU e memória consumidos pelos contêineres em execução na instância. Os dados de alocação de custos divididos ingerem automaticamente etiquetas gerenciadas e adicionadas pelo usuário para suas tarefas do Amazon ECS, permitindo que você agregue e aloque custos para unidades de negócios, equipes ou aplicações novas e existentes. Você pode optar por Dados de alocação de custos divididos para o Amazon ECS nas preferências do console de Gerenciamento de custos da AWS. Em seguida, pode optar por Dados de alocação de custos divididos para seus relatórios de CUR individuais a partir das preferências de relatórios de CUR no Console de Faturamento da AWS. 

Saiba mais sobre como habilitar dados de alocação de custos divididos.
 

O Amazon ECS programa os contêineres para execução em instâncias do Amazon EC2 controladas pelo cliente ou com o AWS Fargate e complementa os mesmos controles de isolamento e configurações de conformidade disponíveis para clientes do Amazon EC2. Suas instâncias de computação estão localizadas em uma Nuvem Privada Virtual (VPC) com o intervalo de IP que você especificou. Você decide quais instâncias são expostas para a Internet e quais permanecem privadas.

• Suas instâncias do Amazon EC2 usam um perfil do IAM para acessar o serviço do Amazon ECS.
• Suas tarefas do ECS usam um perfil do IAM para acessar serviços e recursos.
• Suas tarefas do Amazon ECS executadas no AWS Fargate são executadas em máquinas virtuais isoladas.
• Os grupos de segurança e os ACLs de rede permitem controlar o acesso de entrada/saída pela rede para/de suas instâncias.
• Você pode conectar a sua infraestrutura de TI existente aos recursos da sua VPC usando conexões VPN IPsec com criptografia padrão do setor.
• Você pode provisionar seus recursos do Amazon EC2 como instâncias dedicadas. Instâncias dedicadas são instâncias do Amazon EC2 que são executadas em hardware dedicado a um único cliente para proporcionar isolamento adicional.

Sim. Como cliente do Amazon EC2, você tem acesso root ao sistema operacional (SO) de suas instâncias de contêiner. Você pode assumir a propriedade das configurações de segurança do SO, bem como configurar outros componentes de software para recursos de segurança, como monitoramento, gerenciamento de patches, gerenciamento de logs e detecção de intrusão de host. 

O uso do Amazon ECS com o AWS Fargate gera altos níveis de segurança com a capacidade de atribuir permissões granulares a cada tarefa, oferecendo um maior isolamento, controle de acesso à rede e controle do IAM ao criar aplicações. Com o AWS Fargate, cada tarefa é executada em uma máquina virtual (VM) separada, fornecendo mais isolamento do que duas tarefas compartilhando o mesmo host. Cada tarefa também tem sua própria interface de rede, permitindo que o grupo de segurança seja aplicado a cada tarefa, com controle sobre o tráfego de entrada e saída.

Sim. Os clientes podem configurar instâncias de contêiner para acessar um registro privado de imagem de contêiner em uma VPC ou um registro que pode ser acessado fora da VPC, como o Amazon ECR.

Primeiro, você precisa criar um perfil do IAM para sua tarefa usando o perfil de serviço “Amazon EC2 Container Service Task Role” e anexando uma política às permissões necessárias. Ao criar uma nova definição de tarefa ou uma revisão de definição de tarefa, é possível especificar uma função ao selecioná-la na lista suspensa “Task Role” ou usando a opção “taskRoleArn” arquivada no formato JSON.

O Amazon ECS cumpre os padrões de qualificação para PCI DSS nível 1, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 e HIPAA.

Para obter mais informações, acesse as nossas páginas de conformidade.

Sim. O Amazon ECS é qualificado para a HIPAA. Se tiver um Business Associate Addendum (BAA) assinado com a AWS, você pode usar o Amazon ECS para processar informações de saúde protegidas (PHI) criptografadas usando contêineres implantados nas instâncias de computação do Amazon EC2 ou de tipo de execução do AWS Fargate.

Para obter mais informações, acesse a nossa página sobre conformidade com a HIPAA. Se você pretende processar, armazenar ou transmitir PHI e não tem um BAA assinado com a AWS, entre em contato conosco para obter mais informações.

Sim. Usando a região AWS GovCloud (EUA), os contêineres e clusters gerenciados pelo Amazon ECS podem satisfazer aos requisitos de dados sigilosos e cargas de trabalho regulamentadas de seus contêineres. Para obter mais informações, visite a nossa página sobre a região AWS GovCloud.

Os clientes também podem implantar workloads no Amazon ECS usando o AWS Fargate mantendo a conformidade com o Federal Information Processing Standard (FIPS – Norma federal de processamento de informações) 140-2. O FIPS é uma norma do governo dos EUA e do Canadá que especifica os requisitos de segurança para módulos criptográficos que protegem informações confidenciais.

O Amazon ECS foi projetado para ser seguro desde o início e também se integra aos serviços de segurança nativos da AWS para segurança, identidade e conformidade. Por exemplo, você pode usar o Amazon GuardDuty para monitorar suas workloads do Amazon ECS em execução no AWS Fargate ou no Amazon EC2 para detectar comportamentos potencialmente mal-intencionados ou suspeitos.

Nosso SLA de computação garante uma porcentagem de tempo de disponibilidade mensal de pelo menos 99,99% para o Amazon ECS. A AWS assume dois compromissos de SLA para o Amazon ECS e o AWS Fargate: (1) um SLA de serviço de contêiner incluído Multi-AZ que rege os serviços de contêineres incluídos implantados em várias AZs; e (2) um único SLA de tarefa/pod que rege tarefas e pods do serviço de contêiner incluído individualmente. Consulte a página AWS Fargate e Amazon Elastic Container Service SLA.

Você estará qualificado para um crédito de SLA para o Amazon ECS nos termos do SLA de computação se mais de uma zona de disponibilidade na qual você executar uma tarefa, na mesma região, tiver uma porcentagem de tempo de atividade inferior a 99,99% durante qualquer ciclo de faturamento mensal.

Para obter detalhes completos sobre todos os termos e condições do SLA, bem como detalhes sobre como enviar uma reivindicação, consulte a página de detalhes do SLA de computação.