Geral

P: O que é o Amazon Elastic Container Service?

O Amazon Elastic Container Service (ECS) é um serviço de gerenciamento de contêineres altamente escalável e de alta performance com suporte a contêineres do Docker, o que permite executar facilmente aplicativos em um cluster gerenciado de instâncias do Amazon EC2. O Amazon ECS elimina a necessidade de instalar, operar e alterar a escala de sua própria infraestrutura de gerenciamento de clusters. Com chamadas de API simples, você pode executar e interromper aplicações habilitadas para contêiner, consultar o estado completo do seu cluster e acessar muitos recursos familiares, como grupos de segurança, Elastic Load Balancing, volumes do EBS e funções do IAM. Você pode usar o Amazon ECS para programar a colocação de contêineres no cluster com base em suas necessidades de recursos e requisitos de disponibilidade. Você também pode integrar agendadores próprios ou de terceiros para atender a requisitos específicos dos negócios ou da aplicação.

P: Por que devo usar o Amazon ECS?

O Amazon ECS facilita a utilização de contêineres como um bloco de construção para as suas aplicações, eliminando a necessidade de você instalar, operar e dimensionar sua própria infraestrutura de gerenciamento de cluster. O Amazon ECS permite programar aplicações, serviços e processos de lotes de longa duração usando contêineres Docker. O Amazon ECS mantém a disponibilidade da aplicação e permite expandir ou reduzir seus contêineres para atender aos requisitos de capacidade da aplicação. O Amazon ECS é integrado a recursos familiares como Elastic Load Balancing, volumes do EBS, VPC e IAM. APIs simples permitem integrar e usar seus próprios agendadores ou conectar o Amazon ECS ao seu processo existente de distribuição de software.

P: Qual é a definição de preço do Amazon ECS?

Não há cobrança adicional para o Amazon ECS. Você paga pelos recursos da AWS (como instâncias EC2 ou volumes do EBS) que criar para armazenar e executar seu aplicativo. O pagamento é feito conforme o uso. Não há taxas mínimas nem compromissos antecipados.

P: Qual é a diferença entre o Amazon ECS e o AWS Elastic Beanstalk?

O AWS Elastic Beanstalk é uma plataforma de gerenciamento de aplicações que ajuda os clientes a implantar e dimensionar web services e aplicações web com facilidade. Ele evita que o usuário precise se preocupar com o provisionamento de blocos de construção (por exemplo, EC2, RDS, Elastic Load Balancing, Auto Scaling, CloudWatch), a implantação de aplicações e o monitoramento de saúde, e possa se concentrar apenas em escrever código. Basta especificar quais imagens de contêiner devem ser implantadas, os requisitos de CPU e memória, os mapeamentos de porta e os vínculos do contêiner.

O Elastic Beanstalk cuida automaticamente de todos os detalhes, como provisionamento de um cluster do Amazon ECS, balanceamento de carga, auto scaling, monitoramento e posicionamento dos contêineres em seu cluster. O Elastic Beanstalk é ideal se você deseja aproveitar os benefícios dos contêineres, mas quer simplesmente poder implantar aplicações desde o desenvolvimento até a produção fazendo o upload de uma imagem de contêiner. Você pode trabalhar com o Amazon ECS diretamente se quiser ter um controle mais refinado para arquiteturas de aplicações personalizadas.

P: Qual é a diferença entre o Amazon ECS e o AWS Lambda?

O Amazon ECS é um serviço de gerenciamento de contêineres do Docker altamente escalável que permite executar e gerenciar aplicativos distribuídos em contêineres do Docker. O AWS Lambda é um serviço de computação de tarefas orientadas por eventos que executa seu código em resposta a “eventos”, como mudanças em dados, cliques em sites ou mensagens de outros Serviços da AWS sem necessidade de gerenciamento de qualquer infraestrutura de computação.

Como usar o Amazon ECS

P: Como faço para começar a usar o Amazon ECS?

Visite nossa página Conceitos Básicos para obter mais informações sobre como começar a usar o ECS.

P: O Amazon ECS oferece suporte a outros tipos de contêiner?

Não. No momento, o Docker é a única plataforma de contêineres com suporte do Amazon ECS.

P: Quero iniciar contêineres. Por que tenho que iniciar tarefas?

O Docker recomenda que você separe os aplicativos em componentes individuais, e o Elastic Container Service é otimizado para esse padrão. As tarefas permitem definir um conjunto de contêineres que você gostaria que fossem posicionados juntos (ou que fossem parte da mesma decisão de posicionamento), suas propriedades e como eles podem ser vinculados. As tarefas incluem todas as informações de que o Amazon ECS precisa para tomar a decisão de posicionamento. Para lançar um único contêiner, a definição de tarefas deve incluir apenas uma definição de contêiner.

P: O Amazon ECS oferece suporte para aplicativos e serviços?

Sim. O agendador do Amazon ECS Service pode gerenciar aplicações e serviços de longa duração. O agendador do serviço ajuda a manter a disponibilidade da aplicação e permite expandir ou reduzir seus contêineres para atender aos requisitos de capacidade da aplicação. Ele permite também distribuir o tráfego por seus contêineres usando o Elastic Load Balancing. O Amazon ECS registrará e cancelará automaticamente o registro dos contêineres no load balancer associado.

O programador do serviço também recuperará automaticamente os contêineres que não estiverem íntegros (que falharem nas verificações de integridade do ELB) ou pararem de funcionar, a fim de assegurar que você tenha o número desejado de contêineres íntegros oferecendo suporte aos aplicativos.

Você pode expandir ou reduzir sua aplicação, alterando o número de contêineres a serem executados pelo serviço. É possível atualizar a aplicação alterando sua definição ou usando uma nova imagem. O agendador iniciará novos contêineres automaticamente utilizando a nova definição e interromperá os contêineres que estiverem executando a versão anterior (aguardando as conexões do ELB serem consumidas se ele for usado).

P: O Amazon ECS oferece suporte ao mapeamento de porta dinâmica?

Sim. É possível associar um serviço no Amazon ECS a um Application Load Balancer (ALB) para o serviço Elastic Load Balancing (ELB). O ALB oferece suporte a um grupo de destino que contém um conjunto de portas de instância. É possível especificar uma porta dinâmica na definição de tarefa do ECS, que disponibiliza ao contêiner uma porta não utilizada quando estiver programada em uma instância EC2. O programador do ECS adicionará automaticamente a tarefa ao grupo de destino do Application Load Balancer que está usando essa porta.

P: O Amazon ECS oferece suporte para trabalhos em lote?

Sim. Você pode usar o comando Run task do Amazon ECS para executar uma ou mais tarefas de uma vez. O comando Executar tarefa inicia a tarefa em uma instância que atenda aos requisitos da tarefa, incluindo CPU, memória e portas.

P: Posso usar meu próprio programador com o Amazon ECS?

O ECS disponibiliza ao Blox, um conjunto de projetos de código aberto para gerenciar e orquestrar contêineres. O Blox facilita consumir eventos do Amazon ECS, armazenar o estado do cluster localmente e consultar o armazenamento de dados local por meio de APIs. O Blox também inclui um programador daemon que pode ser usado como referência sobre como usar o servidor de estado do cluster. Consulte a página do Blox GitHub para saber mais.

P: Posso usar minha própria AMI?

Sim. Você pode usar qualquer AMI que atenda à especificação da AMI do Amazon ECS. Recomendamos começar com o Amazon Linux AMI habilitado para Amazon ECS. AMIs de parceiros compatíveis com o Amazon ECS também estão disponíveis. Consulte a especificação da AMI do Amazon ECS na documentação.

P: Como posso configurar as instâncias de contêineres para recuperar imagens do Amazon Elastic Container Registry?

O Amazon ECR é integrado ao Amazon ECS, o que permite que você armazene, execute e gerencie facilmente imagens de contêiner para aplicações em execução no Amazon ECS. Tudo o que você precisa fazer é especificar o repositório do Amazon ECR na sua definição de tarefa e conectar o AmazonEC2ContainerServiceforEC2Role às suas instâncias. Em seguida, o Amazon ECS recuperará as imagens adequadas para suas aplicações.

P: Como o AWS Fargate funciona com o Amazon ECS?

Com o Fargate, o conceito de provisionamento de servidores, gerenciamento de clusters e orquestração desaparece completamente. O Amazon ECS usa os contêineres provisionados pelo Fargate para automatizar a escalabilidade, o load balancing e o gerenciamento da programação de contêineres para assegurar a disponibilidade, oferecendo uma maneira mais fácil de criar e operar aplicativos conteinerizados.

P: Como devo escolher entre usar o AWS Fargate com o Amazon ECS ou usar apenas o ECS?

O Amazon ECS oferece suporte à tecnologia do Fargate. Os clientes poderão optar pelo AWS Fargate para executar contêineres sem necessidade de provisionar ou gerenciar instâncias EC2. O AWS Fargate é a maneira mais fácil de iniciar e executar contêineres na AWS. Os clientes que exigem maior controle sobre as instâncias EC2 para cumprir requisitos de conformidade ou governança ou precisam de opções de personalização mais amplas podem optar por executar instâncias EC2 usando o ECS sem o Fargate.

Segurança e conformidade

P: Como o Amazon ECS isola contêineres pertencentes a diferentes clientes?

O Amazon ECS programa os contêineres para execução em instâncias do Amazon EC2 controladas pelo cliente ou com o AWS Fargate e complementa os mesmos controles de isolamento e a conformidade disponíveis para clientes do EC2. As suas instâncias de computação estão localizadas em uma Virtual Private Cloud (VPC) com o intervalo de IP que você especificou. Você decide quais instâncias são expostas para a Internet e quais permanecem privadas.

  • Suas instâncias do EC2 usam uma função do IAM para acessar o serviço ECS.
  • Suas tarefas do ECS usam uma função do IAM para acessar serviços e recursos.
  • Os grupos de segurança e os ACLs de rede permitem controlar o acesso de entrada/saída pela rede para/de suas instâncias.
  • Você pode conectar a sua infraestrutura de TI existente aos recursos da sua VPC usando conexões VPN IPsec com criptografia padrão do setor.
  • Você pode provisionar seus recursos do EC2 como instâncias dedicadas. Instâncias dedicadas são instâncias do Amazon EC2 que são executadas em hardware dedicado a um único cliente para proporcionar isolamento adicional.

P: Posso aplicar estruturas adicionais de isolamento e configuração de segurança às minhas instâncias de contêiner?

Sim. Como cliente do Amazon EC2, você tem acesso root ao sistema operacional de suas instâncias de contêiner, permitindo que você assuma a propriedade das configurações de segurança do sistema operacional, além de carregar e configurar componentes de software adicionais para recursos de segurança como monitoramento, gerenciamento de patch, gerenciamento de log e detecção de invasões de host.

P: Posso operar instâncias de contêiner com diferentes configurações de segurança ou segregar tarefas diferentes em ambientes diferentes?

Sim. Você pode configurar suas diferentes instâncias de contêiner utilizando as ferramentas de sua escolha. O Amazon ECS permite controlar a colocação de tarefas em diferentes instâncias de contêiner por meio da construção de clusters e execuções direcionadas.

P: O Amazon ECS oferece suporte para a recuperação de imagens de Docker de uma fonte privada ou interna?

Sim. Os clientes podem configurar instâncias do contêiner para acessar um registro privado de imagem de Docker em uma VPC ou um registro que pode ser acessado fora da VPC, como o Amazon ECR.

P: Como devo configurar funções do IAM para tarefas do ECS?

Primeiro, você precisa criar uma função do IAM para a sua tarefa usando a função de serviço "Amazon EC2 Container Service Task Role" e anexando uma política às permissões exigidas. Ao criar uma nova definição de tarefa ou uma revisão de definição de tarefa, é possível especificar uma função ao selecioná-la na lista suspensa "Task Role" ou usando a opção "taskRoleArn" arquivada no formato JSON.

P: Quais programas de conformidade são atendidos pelo Amazon ECS?

O Amazon ECS cumpre os padrões de qualificação para PCI DSS nível 1, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 e HIPAA.

Para obter mais informações, acesse as nossas páginas de conformidade.

P: Posso usar o Amazon ECS para Protected Health Information (PHI – Informações de saúde protegidas) e outras cargas de trabalho regulamentadas pela HIPAA?

Sim. O AWS ECS é qualificado para a HIPAA. Se tiver um Business Associate Addendum (BAA) sendo executado com a AWS, você pode usar o Amazon ECS para processar Protected Health Information (PHI - Informações protegidas de saúde) criptografado usando contêineres do Docker implantados nas instâncias de computação do Amazon EC2 ou de tipo de execução do AWS Fargate.

Para obter mais informações, acesse a nossa página sobre conformidade com a HIPAA. Se você pretende processar, armazenar ou transmitir PHI e não tem um BAA assinado com a AWS, entre em contato conosco para obter mais informações.

P: Posso usar o Amazon ECS para cargas de trabalho regulamentadas pelo governo dos EUA ou para processar Controlled Unclassified Information (CUI – Informações controladas não confidenciais) sigilosas?

Sim. Usando a região AWS GovCloud (EUA), os contêineres e clusters gerenciados pelo Amazon ECS podem satisfazer aos requisitos de dados sigilosos e cargas de trabalho regulamentadas de seus contêineres.

Para obter mais informações, visite a nossa página sobre a região AWS GovCloud.

Acordo de Nível de Serviço (SLA)

P: Qual é a garantia do SLA do Amazon ECS?

Nosso SLA de computação garante uma porcentagem de tempo de disponibilidade mensal de pelo menos 99,99% para o Amazon ECS.

P: Como saberei se me qualifico para um crédito de serviço do SLA?

Você estará qualificado para um crédito de SLA para o Amazon ECS nos termos do SLA de computação se mais de uma zona de disponibilidade na qual você executar uma tarefa, na mesma região, tiver uma porcentagem de tempo de disponibilidade inferior a 99,99% durante qualquer ciclo de faturamento mensal.

Para obter detalhes completos sobre todos os termos e condições do SLA, bem como detalhes sobre como enviar uma reivindicação, consulte a página de detalhes do SLA de computação.

Transição para o novo formato de ARN e ID

P: O que está mudando?

A partir de 15 de novembro de 2018, os recursos do Amazon ECS farão a transição para um novo formato de nome de recurso da Amazon (ARN) e identificadores (ID). A alteração do formato dos nomes de recurso da Amazon afetará as tarefas do ECS, as instâncias de contêiner do ECS e os serviços do ECS. A alteração do formato de identificador afetará as tarefas do ECS e as instâncias de contêiner do ECS. Essas alterações habilitarão os recursos de marcação e alocação de custos lançados recentemente.

A partir de hoje, você pode optar por usar o novo recurso de marcação e adotar os novos formatos de ARN e ID para recursos do ECS. Após a opção, o novo formato de ARN e ID será aplicado aos novos recursos. Os recursos existentes não serão afetados e manterão o ARN e o ID atuais. Consulte este documento para obter instruções.

P: Como isso me afeta?

Em muitos casos, não será necessário fazer alterações de sistema para processar o novo formato. Se você usar o console apenas para gerenciar recursos da AWS, não será afetado e deve atualizar as configurações para usar o novo formato de ARN e ID. Se você interagir com os recursos da AWS por meio de APIs, SDKs ou ILC da AWS, poderá haver impacto se seu software fizer suposições sobre o formato do ARN ou ID na validação ou persistência do ARN ou ID dos recursos. Se esse for o caso, pode ser necessária uma atualização dos sistemas para processar o novo formato.

Alguns modos de falha podem incluir:

Se os sistemas usarem expressões regulares para validar o formato do ARN ou do ID, ou analisá-los para extrair informações, poderão ocorrer erros quando os novos formatos forem encontrados.

Se houver expectativas sobre o tamanho do ARN ou ID em esquemas de banco de dados, poderá ser impossível armazená-los. Mais especificamente, os novos ARNs contêm mais informações e são, portanto, mais longos. Os novos IDs são mais curtos.

P: Isso afetará recursos atuais?

Não. Somente os recursos criados após a opção pelo novo formato serão afetados. Depois que um recurso recebe um ARN/ID (no formato antigo ou novo), mantém esse ARN/ID durante todo o seu ciclo de vida, independentemente de qualquer ação de opção ou cancelamento de opção executada posteriormente. Por exemplo, se você tiver um serviço do ECS antes de fazer a opção, esse serviço do ECS manterá o ARN/ID antigo depois que você fizer a opção. No entanto, todas as tarefas novas lançadas por esse serviço do ECS após a opção terão o novo ARN.

P: Quais ARNs de recursos do ECS estão sendo alterados?

A alteração de ARN afetará 3 recursos: serviços do ECS, tarefas do ECS e instâncias de contêiner do ECS.

P: Como serão os novos ARNs?

Os novos ARNs para instâncias de contêiner, serviços e tarefas do ECS incluirão o nome do cluster, como mostrado na tabela abaixo:

image1

P: Quais IDs de recursos do ECS estão sendo alterados?

A alteração de ID afetará 2 recursos: serviços do ECS, tarefas do ECS e instâncias de contêiner do ECS.

P: Como serão os novos IDs?

Os novos IDs serão mais curtos (32 caracteres) e não incluirão hifens. Veja na tabela abaixo um exemplo de um ID antigo e um ID novo.

image2

P: Optei pelo novo formato. Como faço a transição dos meus recursos para os novos formatos para poder marcá-los?

Para garantir a continuidade, todos os recursos do ECS atuais manterão seus ARNs e IDs durante todo o seu ciclo de vida. Isso significa que apenas os recursos recém-criados terão o novo formato. Para fazer a transição de tarefas existentes executando em um serviço, você pode iniciar uma nova implantação de serviço. Para fazer a transição de serviços do ECS, você pode excluir e recriar o serviço do ECS. Finalmente, para fazer a transição de instâncias de contêiner do ECS, será necessário drenar as instâncias de contêiner e registrar novas instâncias de contêiner.

P: Qual é o prazo para adotar os novos formatos?

Até o final do dezembro de 2019, os novos ARNs/IDs estarão disponíveis para opção por meio das APIs e do console do EC2. Todas as contas podem optar ou cancelar a opção, conforme a necessidade dos testes. A partir de 1 de janeiro de 2020, a opção de alternar formatos não estará mais disponível. Todos os recursos recém-criados do ECS receberão os novos formatos de ARN e ID.

P: A opção será feita automaticamente nas novas contas?

Até 31 de março de 2019, todas as contas da AWS recém-criadas continuarão a usar os formatos atuais por padrão. A partir de 1 de abril de 2019, a opção será feita automaticamente para todas as contas recém-criadas, mas você ainda terá a opção de cancelar a opção até 31 de dezembro de 2019.

P: Como posso optar por receber novos ARNs/IDs e cancelar essa opção?

Durante o período de transição (de agora até o final de dezembro de 2019), você poderá cancelar a opção por receber novos formatos usando as novas APIs do ECS ou o console do EC2. As instruções são fornecidas nesta documentação.

P: Posso fazer a opção apenas para um usuário ou uma função do IAM em minha conta?

Sim. Você pode fazer a opção para uma função ou um usuário do IAM. Os recursos criados por uma função ou um usuário do IAM obterão o formato de ARN/ID de acordo com o status da opção desse usuário ou dessa função no momento da criação do recurso. Além disso, a opção ou o cancelamento da opção do usuário raiz aplicará a mudança para toda a conta da AWS, a menos que o usuário ou a função do IAM altere explicitamente seu status de opção.

P: O que acontecerá se eu não fizer nenhuma alteração?

Se você não optar pelo novo formato durante o período de transição, passará a receber automaticamente os novos formatos a partir de 1 de janeiro de 2020. Não recomendamos o uso desta abordagem. Recomendamos testar antecipadamente os novos formatos durante o período de transição para identificar e resolver qualquer possível problema.

P: E se eu preferir continuar a usar os ARN/IDs antigos para os recursos criados após 31 de dezembro de 2019?

Infelizmente, a partir de 1 de janeiro de 2020, todos os recursos criados obterão o novo formato de ARN e ID. Isso permitirá que você se beneficie com recursos atuais e futuros do ECS, como marcação e alocação de custos.

P: Se eu optar pelos novos formatos de ARN/ID e depois cancelar a opção durante o período de transição, o que acontecerá com os recursos criados com os novos formatos?

Depois que um recurso recebe um ARN/ID, esse ARN/ID não é modificado. Recursos criados com o novo ARN/ID manterão o novo ARN/ID, independentemente de ações posteriores. O único modo de remover o novo ARN/ID será excluindo ou encerrando os respectivos recursos. Por esta razão, recomendamos atenção e que a criação de recursos essenciais usando o novo formato seja evitada até que você tenha testado suas ferramentas e sua automação.

P: O que devo fazer se os meus sistemas não funcionarem conforme o esperado antes do final do período de transição?

Se os sistemas não funcionarem da forma esperada durante o período de transição, você poderá cancelar temporariamente a opção pelos novos formatos e corrigir os sistemas. A partir de 1 de janeiro de 2020, independentemente das configurações da sua conta, todos os novos recursos receberão os novos formatos de ARN e ID. Portanto, é importante que você teste os sistemas com os novos formatos de ARN/ID antes do final do período de transição. Ao testar e optar antecipadamente, você obtém um tempo precioso para suas ferramentas e seus fluxos de trabalho e minimizar o risco de impactos em seus sistemas.

P: O que acontecerá se eu iniciar recursos em várias regiões durante o período de transição?

Você pode fazer a opção por região. Isso significa que você pode ter uma combinação de regiões em que o status de opção é diferente. Se o Amazon ECS lançar novas regiões durante o período de transição, essas regiões se comportarão como regiões existentes. Em outras palavras, até 31 de dezembro de 2019, você poderá optar por usar o formato antigo ou novo de ARN.

Comece a usar o Amazon ECS

Acesse o console do Amazon ECS
Pronto para começar?
Cadastrar-se
Mais dúvidas?
Entre em contato conosco