Вопросы и ответы по AWS Fargate

• Seekable OCI (SOCI) помогает сократить время запуска задач Amazon ECS в AWS Fargate. SOCI – это технология AWS с открытым исходным кодом, которая позволяет контейнерам запускаться быстрее за счет медленной загрузки образа контейнера. Чтобы узнать, как начать работу с SOCI, ознакомьтесь с  документацией и публикацией в блоге.
• Сокращение времени запуска AWS Fargate с помощью сжатых образов контейнеров zstd. Для повышения эффективности слои образа контейнера по умолчанию сжимаются в формате gzip. Однако containerd поддерживает альтернативный формат, известный как zstd, который, как было показано, распаковывается быстрее, что приводит к сокращению времени запуска задач при использовании AWS Fargate. Подробнее о том, как создавать образы контейнеров с помощью zstd, читайте в этом блоге.

Рекомендуется загружать тестовые приложения локально или в средах разработки, чтобы понять требования приложения к соответствующему размеру запроса. Оптимизатор вычислительных ресурсов AWS можно использовать для предоставления рекомендаций в случае недостаточного или слишком большого размера рабочей нагрузки.

В AWS Fargate для каждой задачи ECS или пода Kubernetes предусмотрен специальный эластичный сетевой интерфейс (ENI), подключенный к виртуальному частному облаку (VPC). Весь трафик, входящий и исходящий из контейнерной рабочей нагрузки, проходит через этот ENI. Поэтому группы безопасности VPC и списки управления доступом к сети VPC можно использовать для защиты ENI, а журналы потоков VPC можно использовать для мониторинга потоков трафика.

Каждой рабочей нагрузке, выполняемой в AWS Fargate, предоставляется полный доступ к краткосрочному хранилищу объемом 20 ГиБ, которое можно использовать в качестве временного хранилища во время выполнения рабочей нагрузки. После прекращения рабочей нагрузки все данные, хранящиеся в этом хранилище объемом 20 ГиБ, стираются. Такое краткосрочное хранилище можно увеличить до 200 ГиБ в Amazon ECS и до 175 ГиБ в Amazon EKS. Эластичную файловую систему Amazon (EFS) можно использовать для предоставления постоянного хранилища рабочим нагрузкам, работающим в AWS Fargate.

Обычные подходы к созданию контейнеров из контейнеров часто требуют использования привилегированного режима (как, например, с Docker на платформе Docker), недоступного в модели безопасности AWS Fargate, или монтирования присоединительного сокета в контейнер, что невозможно из-за использования containerd в AWS Fargate (начиная с версии платформы 1.4). В качестве альтернативы можно использовать проект создания образов без root, например Kaniko, который можно развернуть в рамках модели безопасности AWS Fargate. Он является целесообразным вариантом для создания образов контейнеров.

AWS Fargate отвечает стандартам широкого спектра программ соответствия требованиям, включая PCI DSS, SOC, FIPS 140-2, FedRAMP и HIPAA. Более подробная информация и полный список таких программ приведены в документации о сервисах облачной безопасности AWS, включенных в программу обеспечения соответствия. 

Да. AWS Fargate соответствует требованиям HIPAA. Если вы заключили с AWS договор делового партнерства (BAA), вы можете обрабатывать PHI в контейнерах, развернутых с помощью AWS Fargate. Дополнительную информацию см. на странице о соответствии требованиям HIPAA. Если вы планируете обрабатывать, хранить или передавать PHI, но еще не заключили BAA с AWS, свяжитесь с нами для получения дополнительной информации. 

Да. Ядро AWS Fargate доступно в регионах AWS GovCloud (США). AWS GovCloud (США) – это изолированная облачная инфраструктура и сервисы Amazon, помогающие добиться соответствия нормативным и законодательным требованиям государственных органов США, а также подрядчиков, учебных заведений и других клиентов из США, выполняющих конфиденциальные рабочие нагрузки в облаке. Полный список регионов AWS, в которых доступно ядро AWS Fargate, см. в этой таблице или документации. 

AWS Fargate предлагает гибкую модель интеграции, включающую как собственные сервисы AWS, так и сторонние решения от партнерской сети Amazon (APN). Общим механизмом интеграции является запуск в рамках задачи AWS Fargate дополнительного контейнера, который может взаимодействовать с контейнером основного приложения. Например, можно запустить на время выполнения основного приложения агент безопасности или маршрутизатор журналов, который взаимодействует с ним, а затем отправляет данные в централизованную систему для анализа и проверки.

AWS предоставляет несколько инструментов для мониторинга и реагирования на различные аспекты работы ресурсов AWS Fargate, включая Предупреждения Amazon CloudWatch, Журналы Amazon CloudWatch, События Amazon CloudWatch, Журналы AWS CloudTrail, AWS Trusted Advisor и Оптимизатор вычислительных ресурсов AWS. Распространенным подходом является использование аналитики контейнеров Amazon CloudWatch для сбора и анализа журналов, а также просмотра операционных панелей. Для ведения журналов приложений есть встроенные драйверы журналов для CloudWatch и Splunk, но FireLens для Amazon ECS можно использовать с помощью параметров определения задачи для маршрутизации журналов в службу AWS или точку назначения Партнерской сети AWS (APN).

При использовании AWS Fargate вы платите только за потребляемые вашими контейнеризованными приложениями ресурсы виртуальных ЦПУ, памяти и хранилища. Потребление ресурсов виртуальных ЦПУ и памяти вычисляется с момента вызова ваших образов контейнера и до тех пор, пока задача Amazon ECS или под EKS не завершится (с округлением до ближайшей секунды). Предусмотрен минимальный обязательный платеж за 1 минуту использования. 20 ГБ краткосрочного хранилища доступно для всех задач и подов AWS Fargate по умолчанию, и вы платите только за дополнительные ресурсы хранилища, которые запрошены. Как и в случае с инстансами Amazon EC2, в сервисе AWS Fargate можно выбрать как спотовые цены, так и план для экономии вычислительных ресурсов. Подробные сведения см. на странице цен.

• AWS предлагает спотовые инстансы для задач AWS Fargate, в которых используются свободные вычислительные ресурсы, доступные по более низкой цене, чем инстансы по требованию. Использование спотовых инстансов позволяет запускать устойчивые к прерыванию работы задачи Amazon ECS со скидкой до 70 % от цен на AWS Fargate. 
• Служба AWS представила экономичные планы AWS Fargate – модель скидок, которая предоставляет те же скидки, что и зарезервированные инстансы, в обмен на обязательство использовать определенный объем (измеряемый в долларах в час) вычислительной мощности в период от одного года до трех лет. 
• Разработанные AWS процессоры AWS Graviton – это лучшее соотношение цены и производительности для облачных рабочих нагрузок, запускаемых в Amazon EC2, управляемых контейнерах AWS и других управляемых сервисах. Соотношение цены и производительности AWS Graviton улучшено на 40 % по сравнению с сопоставимыми инстансами на базе x86. Процессоры AWS Graviton более энергоэффективны и потребляют на 60 % меньше энергии при той же производительности, чем сопоставимые инстансы EC2. 
• AWS Fargate поддерживается Оптимизатором вычислительных ресурсов AWS, что позволяет легко выявлять и исправлять неэффективные конфигурации.

Процессоры AWS Graviton созданы по оригинальной разработке Amazon Web Services, чтобы обеспечить лучшее соотношение цены и качества для облачных рабочих нагрузок. AWS Fargate с процессорами AWS Graviton предлагает до 40 % более выгодное соотношение цены и производительности и на 20 % более низкую стоимость, чем с Fargate на базе Intel x86. При этом сервис поддерживает множество рабочих нагрузок, таких как серверы приложений, веб-сервисы, высокопроизводительные вычисления и обработка мультимедиа. Вы получаете преимущества бессерверных вычислений AWS Fargate, при этом оптимизируя производительность и затраты на работу контейнерных рабочих нагрузок.