#amazon-web-services #amazon-vpc #aws-fargate
#amazon-web-services #amazon-vpc #aws-fargate
Вопрос:
Я хочу использовать AWS ECS fargate, но у меня есть требование от службы безопасности ограничить диапазон частных IP-адресов моих экземпляров fargate в пределах подсети.
Из сетевых документов AWS кажется, что можно использовать отдельный неуправляемый ENI для указания частного IP-адреса. Есть ли способ использовать статический диапазон IP-адресов для экземпляров fargate?
Для задач, использующих тип запуска Fargate, создаваемый ENI задачи полностью управляется AWS Fargate. В зависимости от того, какую версию платформы Fargate использует ваша задача, сетевой трафик для вашей задачи может также использовать отдельный ENI, принадлежащий Fargate.
Ответ №1:
Диапазон фиксированных частных IP-адресов определяется в зависимости от подсети (ов), в которых вы будете развертывать свои задачи Fargate.
Если вы создадите отдельные подсети для своих задач Fargate, а затем убедитесь, что в этих подсетях запускаются только задачи Fargate, вы сможете затем предоставить этот диапазон своей службе безопасности.
Fargate создает ENI при запуске задачи со случайным частным IP-адресом из пула доступных IP-адресов в диапазоне ваших подсетей.
Комментарии:
1. Теперь мне дали подсеть, но сказали использовать фиксированный диапазон IP. Означает ли это, что это невозможно?
2. Подсеть определяет диапазон CIDR подсети при ее настройке. 🙂
3. Я имею в виду фиксированный диапазон IP-адресов в пределах диапазона CIDR подсети…
4. Если вы используете подсеть совместно с другими ресурсами, трудно определить диапазон, поскольку в этом диапазоне также могут существовать другие ресурсы, которые не являются контейнерами Fargate. Было бы проще создать новые диапазоны только для Fargate. Вы можете использовать минимальный диапазон
/28, если хотите, чтобы подсеть была небольшой 🙂