Общие вопросы

Вопрос. Что такое Эластичный сервис контейнеров Amazon (Amazon ECS)?

Amazon ECS – это полностью управляемый автономный сервис оркестрации контейнеров, который предоставляет организациям самый простой способ создавать контейнерные приложения любого масштаба на AWS и развертывать их. Это можно выполнять на традиционных инстансах Amazon EC2 или на бессерверной вычислительной плоскости с помощью AWS Fargate. Amazon ECS является полностью управляемым сервисом и не требует версий. Он предоставляет инструменты и встроенную поддержку, что упрощает создание контейнерных приложений на AWS и их запуск. Например, Amazon ECS Service Connect делает проще обнаружение сервисов, подключение и отслеживание трафика, а аналитика контейнеров Amazon CloudWatch собирает метрики и журналы, агрегирует их, а также суммирует. Благодаря Amazon ECS вам не нужно выделять или масштабировать серверы либо кластеры, выбирать типы серверов, на которых вы хотите запускать контейнеры, или оптимизировать пакеты кластеров. Вы сохраняете контроль над эксплуатационными свойствами контейнеров с возможностью указания требований к ЦПУ и памяти, а также над политиками сети и IAM, типом запуска и объемами данных. С помощью простых вызовов API вы сможете запускать и останавливать контейнерные приложения, получать данные о состоянии всего кластера и пользоваться многими знакомыми вам функциями, например группами безопасности, эластичной балансировкой нагрузки (ELB), томами магазина эластичных блоков Amazon (EBS) и ролями управления идентификацией и доступом (IAM). Используя сервис Amazon ECS, можно запланировать размещение контейнеров в вашем кластере с учетом потребности в ресурсах и требований к доступности.

Вопрос. Какие задания дают возможность решить Amazon ECS?

Amazon ECS – это полностью управляемый сервис оркестрации контейнеров, с помощью которого можно легко использовать контейнеры для развертывания и управления долго работающими приложениями, сервисами и процессами пакетной обработки без необходимости устанавливать, эксплуатировать и масштабировать собственную инфраструктуру управления кластерами. Amazon ECS поддерживает доступность приложений и дает возможность осуществлять масштабирование контейнеров в сторону увеличения или уменьшения для соответствия требованиям вашего приложения к ресурсам. Используя Amazon ECS вместе с AWS Fargate, вы сможете развертывать приложения без необходимости выделять вычислительную инфраструктуру, управлять ею или масштабировать ее. Это сокращает время, необходимое для успешного создания контейнерных приложений, их развертывания или миграции. Кроме того, в сервис Amazon ECS интегрированы такие известные функции, как ELB, виртуальное частное облако (VPC), IAM, автомасштабирование приложений, Amazon CloudWatch и EFS, с помощью которых можно обойтись без создания и поддержки обобщенных абстракций.

Вопрос. Какую роль Amazon ECS играет в AWS?

Amazon ECS – это полностью управляемый автономный сервис оркестрации контейнеров, который предоставляет организациям самый простой способ создавать контейнерные приложения любого масштаба. Amazon ECS является полностью управляемым сервисом и не требует версий. Он предоставляет инструменты и встроенную поддержку, что упрощает создание контейнерных приложений на AWS и их запуск. Например, благодаря Amazon ECS вам не нужно выделять или масштабировать серверы либо кластеры, выбирать типы серверов, на которых вы хотите запускать контейнеры, или оптимизировать пакеты кластеров. Вы сохраняете контроль над эксплуатационными свойствами контейнеров с возможностью указания требований к ЦПУ и памяти, а также над политиками сети и IAM, вычислительными платформами (AWS Fargate или Amazon EC2) и объемами данных. 

Благодаря AWS Fargate сервис Amazon ECS поддерживает бессерверную оркестрацию контейнеров, поэтому вы можете в большей степени использовать преимущества AWS при масштабировании, поддержании доступности и защите контейнерных рабочих нагрузок. Если вы хотите модернизировать свои контейнерные приложения практически без рефакторинга, но при этом воспользоваться многочисленными преимуществами масштабируемости, гибкости и стоимости, которые обеспечивают бессерверные вычисления, Amazon ECS вместе с AWS Fargate – это идеальный выбор для вычислений.

Amazon ECS Service Connect упрощает обнаружение сервисов, подключение и отслеживание трафика, а аналитика контейнеров Amazon ECS CloudWatch собирает метрики и журналы, агрегирует их, а также суммирует. Если вы хотите получить больший контроль над характеристиками работы приложений, можно воспользоваться Amazon ECS на Эластичном облаке вычислений Amazon (Amazon EC2), а также Amazon ECS Anywhere для запуска контейнерных рабочих нагрузок на своей инфраструктуре. В совокупности с Amazon ECS на AWS Fargate, Amazon ECS на Amazon EC2 и Amazon ECS Anywhere можно запускать множество приложений с одинаковым интерфейсом и инструментами. Учитывая это, более 65 % всех новых клиентов контейнеров AWS используют Amazon ECS.

Благодаря AWS у вас есть широкий выбор вариантов бессерверных вычислений, включая Amazon ECS с AWS Fargate и AWS Lambda – сервис бессерверных вычислений, который запускает ваш код в ответ на события с помощью архитектуры Event-Driving Architecture (EDA) и автоматически управляет базовыми вычислительными ресурсами. В зависимости от сценария применения можно использовать один или несколько из этих вариантов вычислений. Будь то Amazon ECS с AWS Fargate или AWS Lambda, варианты бессерверных вычислений AWS обеспечивают преимущества масштабирования, гибкости и стоимости, которые дают бессерверные вычисления.

Вопрос. Какие цены установлены на Amazon ECS?

Дополнительная плата за использование Amazon ECS отсутствует. Оплате подлежат ресурсы AWS (например, инстансы Amazon EC2, ресурсы по AWS Fargate или тома Amazon EBS), которые создаются для хранения и запуска приложения. Вы платите только за то, чем пользуетесь, без минимальных платежей или авансовых обязательств. Существуют две различные модели оплаты сервиса ECS. Amazon ECS для AWS Outposts использует ту же модель, что и тип запуска Amazon EC2. 

  • Модель оплаты при запуске через Amazon EC2. При запуске через Amazon EC2 дополнительная плата не взимается. Оплате подлежат ресурсы AWS (например, инстансы Amazon EC2 или тома Amazon EBS), которые создаются для хранения и запуска приложения. Вы платите только за то, чем пользуетесь, без минимальных платежей или авансовых обязательств. Подробнее о ценах см. на странице цен на Amazon EC2.
  • Модель оплаты при запуске через AWS Fargate. При использовании AWS Fargate вы платите только за потребляемые вашим контейнеризованным приложением ресурсы виртуальных ЦПУ и памяти. Потребление ресурсов виртуальных ЦПУ и памяти вычисляется с момента вызова ваших образов контейнера и до тех пор, пока задание Amazon ECS не завершится (с округлением до ближайшей секунды). Предусмотрен минимальный обязательный платеж за одну минуту использования. Подробнее о ценах см. на странице цен на AWS Fargate.

Вопрос. Чем Amazon ECS отличается от сервиса AWS Lambda?

Amazon ECS – это высокомасштабируемый сервис оркестрации контейнеров, с помощью которого можно запускать распределенные приложения, работающие в контейнерах, и управлять ими. AWS Lambda – это управляемый событиями сервис вычислений, который запускает код в ответ на события, такие как изменение данных, действия пользователей на сайте или сообщения от других сервисов AWS, и не требует управления вычислительной инфраструктурой. Многие приложения используют обе эти конструкции в производстве, и клиенты часто применяют обе из них, чтобы воспользоваться соответствующими преимуществами этих конструкций.

Использование Amazon ECS

Вопрос. Как начать работу с Amazon ECS?

Подробнее о начале работы с Amazon ECS см. на странице Начало работы. Неважно, новичок ли вы в Amazon ECS или у вас уже есть готовый сценарий использования, вы можете выбрать свой собственный путь и следовать инструкциям, чтобы начать работу с сервисом.

Вопрос. Что такое задание Amazon ECS?

Современная архитектура приложений (например, микросервисов) рекомендует разбивать приложения на отдельные блоки, и сервис Amazon ECS оптимизирован для этой схемы. Задания – это самый маленький вычислительный блок в Amazon ECS. Благодаря им можно определить набор контейнеров, которые требуется разместить вместе, их свойства, а также способ их соединения. Задания содержат все сведения, которые требуются Amazon ECS для принятия решения о размещении. Чтобы запустить один контейнер, в определении задания должно содержаться только одно определение контейнера.

Вопрос. Как запускать приложения и сервисы на Amazon ECS?

Да. Планировщик Amazon ECS может управлять долго работающими приложениями и сервисами. Планировщик сервисов помогает поддерживать доступность приложений и дает возможность осуществлять масштабирование контейнеров в сторону увеличения или уменьшения, чтобы удовлетворить потребности вашего приложения в ресурсах. Благодаря ему можно распределить трафик между вашими контейнерами, используя ELB. Amazon ECS автоматически зарегистрирует или отменит регистрацию контейнеров в связанном балансировщике нагрузки. Планировщик сервисов также автоматически восстановит контейнеры, работоспособность которых была нарушена (например, для которых проверка работоспособности ELB завершилась неудачно), или остановит их работу, чтобы гарантировать необходимое количество работающих контейнеров для поддержки приложения.

Можно масштабировать приложение в сторону увеличения и уменьшения, изменяя необходимое количество работающих в сервисе контейнеров. Можно обновить приложение путем изменения его определения или использования нового образа. Планировщик автоматически запустит новые контейнеры с использованием нового определения и остановит контейнеры, работающие с предыдущей версией (ожидая соединения ELB, чтобы остановить, если такое используется).

Вопрос. Как Amazon ECS поддерживает автомасштабирование приложений?

Приложения и микросервисы, развернутые в Amazon ECS, используют сервис Application Auto Scaling для автомасштабирования на основе наблюдаемых данных метрик. Amazon ECS измеряет загрузку сервисов на основе ресурсов ЦПУ и памяти, потребляемых заданиями, принадлежащими сервису, и публикует вместе с этими данными метрики CloudWatch, а именно: ECSServiceAverageCPUUtilization и ECSServiceAverageMemoryUtilization. Затем Application Auto Scaling может использовать эти предопределенные метрики в сочетании с политиками масштабирования для пропорционального масштабирования количества заданий в сервисе. Кроме того, существуют случаи, когда среднее использование ЦПУ и памяти сервиса само по себе не является надежным показателем того, когда и в какой степени следует выполнять операцию масштабирования. Для этого Application Auto Scaling также поддерживает масштабирование сервиса на основе пользовательской спецификации метрики, которая соответствует выбранной нами метрике CloudWatch, что может быть более подходящей. Сюда входят показатели, отслеживающие другие аспекты приложения, такие как количество полученных HTTP-запросов, количество сообщений, полученных из очереди и темы, и количество транзакций базы данных. Теперь вы можете использовать метрики CloudWatch или Prometheus по своему усмотрению.

Чтобы узнать больше, посетите страницу Автомасштабирование сервисов Amazon ECS на основе настраиваемых метрик CloudWatch и Prometheus.

Вопрос. Какие варианты вычислений доступны в Amazon ECS?

Amazon ECS дает возможность запускать множество приложений с одинаковым интерфейсом и инструментами в различных вычислительных вариантах.

  • AWS Fargate. Это бессерверный вычислительный движок с оплатой по факту использования. Он снимает с вас бремя распределения серверов, управления кластерами и оркестрации. Amazon ECS использует контейнеры, предоставляемые AWS Fargate, для автоматического масштабирования, балансировки нагрузки и управления планированием контейнеров клиента, чтобы обеспечить доступность. Это более простой способ создания и эксплуатации контейнерных приложений.
  • Amazon EC2. Используя Amazon ECS на EC2, вы владеете инстансами EC2 и полностью контролируете все аспекты инфраструктуры. Например, можно выбрать определенные типы инстансов EC2 или настроить базовую операционную систему. Для управления масштабированием инстансов EC2 можно использовать поставщиков ресурсов группы «Автомасштабирование».
  • Локальные виртуальные машины (VM) или серверы.
    • Amazon ECS Anywhere поддерживает регистрацию внешнего инстанса, например локального сервера или виртуальной машины (VM), в кластере Amazon ECS. 
    • Емкость может быть размещена в любом из следующих ресурсов AWS:    
      • Зоны доступности
      • Локальные зоны
      • Зоны Wavelength
      • Регионы AWS
      • AWS Outposts

 

Вопрос. Поддерживает ли Amazon ECS автомасштабирование вычислительной инфраструктуры?

Да. Amazon ECS поддерживает автоматическое масштабирование вычислительной инфраструктуры как для AWS Fargate, так и для Amazon EC2, поэтому вы можете сосредоточиться на создании приложений и их масштабировании, а не на базовой инфраструктуре.

Amazon ECS с AWS Fargate обеспечивает бессерверную работу, поскольку AWS Fargate автоматически выделяет, масштабирует и обновляет вычислительную инфраструктуру, необходимую для ваших приложений.

Для приложений, которым требуется емкость Amazon EC2, в Amazon ECS предусмотрены поставщики ресурсов группы «Автомасштабирование». Они автоматически масштабируют инстансы Amazon EC2 в соответствии с потребностями приложений в ресурсах. Можно создать группу «Автомасштабирование» (ASG) для Amazon EC2 с желаемой конфигурацией для типов инстансов Amazon EC2, образов машины Amazon (AMI), сетевых настроек и т. д., а также создать поставщика ресурсов для автоматического масштабирования инстансов Amazon EC2 в ASG в соответствии с потребностями в планировании и нагрузкой ваших приложений. Это дает возможность управлять действиями по масштабированию в сторону увеличения и уменьшения ASG в зависимости от нагрузки ваших заданий.

Вопрос. Что такое поставщики ресурсов Amazon ECS?

Поставщики ресурсов Amazon ECS – это интерфейс, с помощью которого можно определить необходимый объем ресурсов для приложений. С помощью поставщиков ресурсов можно устанавливать гибкие правила работы приложений на различных типах вычислительных ресурсов и управлять масштабированием ресурсов. Поставщики ресурсов работают как с Amazon EC2, так и с AWS Fargate. Amazon ECS предоставляет предопределенных поставщиков ресурсов для AWS Fargate и Fargate Spot для каждого кластера. Для Amazon EC2 можно создать собственных поставщиков ресурсов ASG, чтобы управлять группой «Автомасштабирование» для Amazon EC2. Запускаемые задания и сервисы Amazon ECS можно разделить между несколькими поставщиками ресурсов. Например, запустить сервис на AWS Fargate и Fargate Spot в предварительно выбранном процентном соотношении ресурсов.

Вопрос. Поддерживает ли Amazon ECS пакетные задания?

Да. Можно использовать Amazon ECS для запуска одного или сразу нескольких заданий. Запуск задания приводит к выполнению его на инстансе, который отвечает всем требованиям задания, включая требования к ЦПУ, памяти и портам. Пакет AWS также можно использовать для планирования, составления графика и выполнения рабочих нагрузок пакетных вычислений в Amazon ECS, чтобы сосредоточиться на анализе результатов и решении проблем. 

Вопрос. Могу ли я использовать собственный Amazon Machine Image (AMI)?

Да. Можно использовать любой AMI, который соответствует спецификации Amazon ECS AMI. Мы рекомендуем начать работу с использования Amazon Linux AMI с поддержкой Amazon ECS. Кроме того, доступны AMI от наших партнеров, совместимые с Amazon ECS. Информацию о спецификации AMI Amazon ECS можно просмотреть в документации.

Вопрос. Как настроить инстансы контейнеров для извлечения образов из Amazon Elastic Container Registry (ECR)?

Amazon ECR интегрирован с Amazon ECS, что дает возможность легко хранить и запускать образы контейнеров для работающих в Amazon ECS приложений, а также управлять ими. Вам необходимо лишь указать репозиторий Amazon ECR в определении задания и прикрепить AmazonEC2ContainerServiceforEC2Role к своим инстансам. После этого Amazon ECS будет извлекать подходящие образы для ваших приложений.

Вопрос. В каких случаях следует использовать Amazon ECS с AWS Fargate?

AWS Fargate предлагает бессерверные вычисления для запуска контейнеров в Amazon ECS. AWS Fargate дает возможность клиентам запускать контейнеры, не заботясь о распределении инстансов Amazon EC2 и управлении ими. AWS Fargate – это самый простой способ запускать и использовать контейнеры на AWS. Клиенты, которым требуется больший контроль над инстансами EC2 для соответствия требованиям или дополнительным вариантам настройки, могут выбрать использование Amazon ECS с инстансами Amazon EC2.

Вопрос. Как Amazon ECS поддерживает входящий трафик?

Amazon ECS интегрирован с Эластичной балансировкой нагрузки, что дает возможность распределять трафик между контейнерами с помощью Балансировщика нагрузки приложений или Балансировщика сетевой нагрузки. Требуется только указать определение задания и выбрать балансировщика нагрузки, после чего Amazon ECS начнет автоматически добавлять контейнеры в балансировщик нагрузки и удалять контейнеры из него. В определении задания можно указать динамический порт – в этом случае контейнеру, запланированному для инстанса Amazon EC2, будет передан неиспользуемый порт. Дополнительно для совместного использования балансировщика нагрузки с несколькими сервисами можно применять маршрутизацию на основе путей.

Вопрос. Какие варианты сетевых ресурсов поддерживает Amazon ECS? 

Amazon ECS поддерживает сетевые технологии Docker и интегрирован с Amazon VPC для обеспечения изоляции контейнеров. Это позволяет контролировать, как контейнеры подключаются к другим сервисам и внешнему трафику. Amazon ECS дает возможность выбрать один из четырех сетевых режимов работы контейнеров, предназначенных для различных сценариев использования.

  • Режим VPC. В этом режиме каждому запущенному заданию Amazon ECS назначается эластичный сетевой интерфейс, который обеспечивает полноценную сетевую работу контейнеров в VPC, аналогичную их работе на инстансах Amazon EC2.
  • Режим Bridge. В этом режиме создается сетевой мост Linux, объединяющий между собой все контейнеры, которые работают на данном хостинге виртуальной локальной сети и доступны через сетевое подключение хостинга по умолчанию.
  • Режим Host. В этом режиме контейнеры добавляются непосредственно в сетевой стек хостинга, в результате чего контейнеры доступны в сети данного хостинга без изоляции.
  • Режим None. В этом режиме внешний сетевой функционал контейнеров отключается.

Вопрос. Как Amazon ECS поддерживает обмен данными между сервисами? 

  • Service Connect. Amazon ECS Service Connect упрощает обнаружение сервисов, подключения и отслеживания трафика для Amazon ECS. Благодаря этому вы можете быстрее создавать приложения, а также больше сосредоточиться на коде приложения, а не на сетевой инфраструктуре. Вы можете использовать Amazon ECS Service Connect, чтобы определять логические имена для адресов сервиса и использовать их в клиентских приложениях для подключения к зависимостям. Amazon ECS Service Connect помогает направлять трафик на исправные адреса и предоставляет полную телеметрию трафика в консоли Amazon ECS и в Amazon CloudWatch. Собственные развертывания Amazon ECS более надежны с Amazon ECS Service Connect, поскольку поддерживают автоматическое освобождение подключения, которое помогает клиентским приложениям переключаться на новую версию адреса сервиса без ошибок трафика. С Amazon ECS Service Connect вы сможете:
    • устанавливать способ подключения клиентских приложений к зависимостям, выполняя всего одно действие;
    • писать и использовать отказоустойчивые распределенные приложения с логическим именованием;
    • мониторить и распределять трафик между заданиями Amazon ECS без развертывания и настройки балансировщиков нагрузки;
    • быстрее развертывать сервисы и обеспечивать эффективную интеграцию микросервисов Amazon ECS, из которых состоит приложение.
  • Обнаружение сервисов. Сервис Amazon ECS интегрирован с AWS Cloud Map. Благодаря этому размещенные в контейнерах сервисы могут легко обнаруживать друг друга и подключаться друг к другу. AWS Cloud Map – сервис обнаружения облачных ресурсов, с помощью которого можно выбирать пользовательские имена для ресурсов приложений. Это повышает доступность приложений, так как веб-сервис всегда обнаруживает последние расположения его динамически меняющихся ресурсов.

Вопрос. Как Amazon ECS обеспечивает наблюдаемость приложений?

  • Мониторинг
    • Вы можете выполнять мониторинг ресурсов Amazon ECS с помощью Amazon CloudWatch, который собирает и анализирует необработанные данные из Amazon ECS в читаемые метрики, близкие к реальному времени. Эта статистика записывается в течение двух недель, чтобы вы могли получить доступ к хронологической информации и лучше понять, как работают ваши кластеры или сервисы. Дополнительная плата за это отсутствует. Подробнее см. в разделе Метрики Amazon ECS CloudWatch.
    • Чтобы получить расширенные метрики, используйте CloudWatch Container Insights для сбора, агрегирования и обобщения метрик и журналов контейнерных приложений и микросервисов, доступных для кластеров Amazon ECS, которые работают на Amazon EC2 и AWS Fargate. CloudWatch автоматически собирает метрики для многих ресурсов, таких как ЦПУ, память, диск и сеть. Container Insights также предоставляет диагностическую информацию, такую как сбои при перезапуске контейнера, которая помогает выявлять проблемы и быстро их устранять. Для Amazon ECS Container Insights собирает метрики на уровне кластера, заданий и сервисов на инстансах Linux и Windows Server. Этот сервис может собирать метрики на уровне инстансов только на инстансах Linux. Сетевые метрики доступны только для контейнеров в сетевых режимах bridge и awsvpc. Они недоступны для контейнеров в сетевом режиме host. Чтобы узнать больше, посетите раздел Использование Container Insights.
  • Ведение журналов
    • С помощью Amazon ECS можно записывать все вызовы API Amazon ECS и получать файлы журналов посредством AWS CloudTrail. В журналы попадает следующая информация: данные оператора, совершившего вызов API, время вызова API, IP-адрес источника, совершившего вызов API, параметры запроса, а также элементы ответа, возвращенные сервисом Amazon ECS. CloudTrail предоставляет историю вызовов API, сделанных с помощью Консоли управления AWS, SDK и интерфейса командной строки AWS. Данный сервис дает возможность проводить анализ безопасности и аудит соответствия требованиям, а также отслеживать изменения ресурсов.
  • AWS Config
    • AWS Config интегрируется с Amazon ECS, чтобы обеспечить видимость настроек ресурсов AWS в вашей учетной записи AWS. С помощью AWS Config пользователи могут мониторить и отслеживать настройки ресурсов, их взаимосвязи, а также изменения с течением времени. Благодаря AWS Config можно упростить соблюдение требований и стандартов безопасности, операционное устранение неполадок и администрирование ресурсов.
  • Сторонние разработчики
    • Amazon ECS поддерживает целую экосистему сторонних поставщиков систем для наблюдаемости, применяя стандарты открытых контейнеров. Дополнительные сведения см. на странице партнеров по Amazon ECS.

Безопасность и соответствие требованиям

Вопрос. Как Amazon ECS изолирует контейнеры, принадлежащие разным клиентам?

Amazon ECS планирует запуск контейнеров на инстансах Amazon EC2, управляемых клиентами или сервисом AWS Fargate, при этом использует те же средства управления изоляцией и настройки соответствия требованиям, которые доступны для клиентов Amazon EC2. Ваши вычислительные инстансы располагаются в виртуальном частном облаке (VPC) с указанным вами диапазоном IP-адресов. Вы решаете, какие инстансы будут иметь доступ в Интернет, а какие останутся изолированными.

  • Инстансы Amazon EC2 используют роли IAM для доступа к сервису Amazon ECS.
  • Задания Amazon ECS используют роли IAM для доступа к сервисам и ресурсам.
  • Задания Amazon ECS, выполняемые на AWS Fargate, исполняются на изолированных виртуальных машинах.
  • С помощью групп безопасности и списков контроля доступа к сети (network ACL) можно контролировать доступ инстанса к сетевым ресурсам.
  • Уже имеющуюся ИТ-инфраструктуру можно подключить к ресурсам в VPC по стандартным защищенным VPN-каналам IPsec.
  • Ресурсы Amazon EC2 можно использовать как выделенные инстансы. Выделенные инстансы Amazon EC2 работают на оборудовании, выделенном отдельному клиенту, что обеспечивает дополнительную изоляцию.

Вопрос. Можно ли применять дополнительные настройки безопасности и инструменты изоляции к моим инстансам контейнеров?

Да. Как у клиента Amazon EC2, у вас есть доступ с правами root к операционной системе (ОС) ваших инстансов контейнера. Вы можете взять на себя ответственность за настройки безопасности ОС, равно как и настроить дополнительные программные компоненты для таких функций безопасности, как мониторинг, управление исправлениями и журналами, а также обнаружение вторжений на хостинг. 

Использование Amazon ECS с AWS Fargate обеспечивает высокий уровень безопасности и возможность назначения детальных разрешений для каждого задания, что обеспечивает более высокую степень изоляции, контроля доступа к сети и IAM при создании приложений. В AWS Fargate каждое задание выполняется на отдельной виртуальной машине (VM), что обеспечивает большую изоляцию, чем два задания на одном хостинге. Каждое задание также имеет собственный сетевой интерфейс, с помощью которого можно применять группу безопасности к каждому заданию с контролем входящего и исходящего трафика.

Вопрос. Можно ли разделить рабочие нагрузки с разными требованиями к безопасности в разных средах?

Да. С помощью подходящих инструментов можно настроить разные инстансы контейнеров. С помощью Amazon ECS можно контролировать размещение заданий в разных инстансах контейнеров путем построения кластеров и целенаправленных запусков.

Вопрос. Поддерживает ли Amazon ECS получение образов контейнера из частного или внутреннего источника?

Да. Клиенты могут настроить свои инстансы контейнеров для доступа к частному реестру образов контейнера в VPC или к реестру за пределами VPC, например Amazon ECR.

Вопрос. Как настроить роли IAM для заданий Amazon ECS?

Сначала нужно создать роль IAM для своего задания. Используйте для этого роль сервиса «Amazon EC2 Container Service Task Role», назначив ей политику с требуемыми разрешениями. Завершив создание нового определения задания или его редактирование, следует задать роль, выбрав ее из выпадающего списка «Task Role» или воспользовавшись полем «taskRoleArn» в формате JSON.

Вопрос. С какими программами соответствия требованиям совместим сервис Amazon ECS?

Amazon ECS соответствует стандартам PCI DSS Level 1, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 и HIPAA.

Дополнительную информацию см. на страницах о соответствии требованиям.

Вопрос. Можно ли использовать Amazon ECS для обработки закрытой медицинской информации (PHI) и других рабочих нагрузок, подпадающих под действие HIPAA?

Да. Amazon ECS соответствует требованиям HIPAA. Пользователи, заключившие Договор делового партнерства (BAA) с AWS, могут использовать Amazon ECS для обработки закрытой медицинской информации (PHI) в контейнерах, развернутых с помощью типа запуска AWS Fargate или в кластере вычислительных инстансов Amazon EC2.


Дополнительную информацию см. на странице о соответствии требованиям HIPAA. Если вы планируете обрабатывать, хранить или передавать PHI, но еще не заключили BAA с AWS, свяжитесь с нами для получения дополнительной информации.

Вопрос. Можно ли использовать Amazon ECS для рабочих нагрузок, регулируемых требованиями правительства США, или для обработки конфиденциальной контролируемой некритичной информации (CUI)?

Да. В регионе AWS GovCloud (США) ваши контейнеры и кластеры, управляемые Amazon ECS, могут соответствовать требованиям к конфиденциальной информации и регулируемым рабочим нагрузкам. Дополнительную информацию см. на странице о AWS GovCloud.

Клиенты также могут развертывать свои рабочие нагрузки в Amazon ECS с помощью AWS Fargate в соответствии с Федеральным стандартом по обработке информации (FIPS), публикация 140‑2. FIPS – это государственный стандарт США и Канады, определяющий требования к безопасности криптографических модулей для защиты конфиденциальных данных.

Соглашение об уровне обслуживания

Вопрос. Что гарантирует соглашение об уровне обслуживания (SLA) Amazon ECS?

Соглашение об уровне обслуживания (SLA) гарантирует бесперебойную ежемесячную работу Amazon ECS на уровне не менее 99,99 %. AWS берет на себя два обязательства по SLA для Amazon ECS и AWS Fargate: (1) SLA по контейнерным сервисам, входящим в несколько зон доступности, которое регулирует использование включенных контейнерных сервисов в нескольких зонах доступности; (2) SLA по одному заданию или поду, которое регулирует задания и поды входящих контейнерных сервисов по отдельности. См. страницу AWS Fargate и SLA для Эластичного контейнерного сервиса Amazon.

Вопрос. Как узнать, могу ли я претендовать на компенсацию по соглашению об уровне обслуживания?

Компенсация по SLA Amazon ECS по условиям нашего SLA в отношении вычислительных процессов предоставляется, если бесперебойная ежемесячная работа сервиса в рамках одного региона в нескольких зонах доступности, в которых запущено задание, составила менее 99,99 % в течение любого оплачиваемого месяца.

С условиями и положениями соглашения об уровне обслуживания, а также подробностями оформления заявки на компенсацию можно ознакомиться на странице сведений о SLA в отношении вычислительных процессов.

Начать работу с Amazon ECS

Перейти в консоль Amazon ECS
Готовы начать работу?
Регистрация
Возникли дополнительные вопросы?
Связаться с нами