ECS Anywhere で必要なオンプレミス側のネットワーク要件を教えてください

2022.11.29

困っていた内容

自社データセンター内で ECS Anywhere を利用して ECS タスクを実行することを検討しています。
データセンターには既に Direct Connect が敷設済みで AWS と通信ができる状態ですが、インターネット接続も必要でしょうか。ECS Anywhere で必要なネットワーク要件を教えてください。

どう対応すればいいの?

次のドメインにアクセス可能かご確認ください。

外部インスタンス(Amazon ECS Anywhere) - Amazon Elastic Container Service

次のドメインは、Amazon ECS サービスと外部インスタンスにインストールされている Amazon ECS エージェント間の通信に使用されます。

…(中略)…

  • ecs-a-*.region.amazonaws.com— このエンドポイントは、タスクを管理するときに使用されます。
  • ecs-t-*.region.amazonaws.com— このエンドポイントは、タスクとコンテナのメトリクスを管理するために使用されます。
  • ecs.region.amazonaws.com — これは、Amazon ECS のサービスエンドポイントです。
  • ssm.region.amazonaws.com — これは、AWS Systems Manager のサービスエンドポイントです。
  • ec2messages.region.amazonaws.com — これは、AWS Systems Manager がクラウド内の Systems Manager エージェントと Systems Manager サービスの間の通信に使用するサービスエンドポイントです。
  • ssmmessages.region.amazonaws.com — これは、クラウド内の Session Manager サービスでセッションチャネルを作成および削除するために必要なサービスエンドポイントです。

regionはAWS リージョンのリージョン識別子となります。(例:東京リージョンの場合はap-northeast-1

ECS Anywhere をオンプレミスで実行する際のネットワーク要件として、上記ドメインへのアクセス経路が必要となります。具体的なアクセス経路の制限はありませんので、上記ドメインへアクセス可能であれば、インターネット経由に限らず Direct Connect も選択できます。

なお、ECS タスクが ECR や CloudWatch Logs 等にアクセスする場合は、上記に加えて利用する AWS サービスへのアクセス経路も必要となりますので、ご注意ください。

参考資料

Amazon Elastic Container Service (Amazon ECS) Anywhere AWS Black Belt Online Seminar

オンプレミスで管理されるインスタンスの前提条件

AWS API サービスエンドポイントへのアウトバウンド接続

  • インターネット
  • Direct Connect または VPN を経由した VPC (PrivateLink)

Amazon ECS Anywhere の料金 – アマゾン ウェブ サービス

VPN または Direct Connect を介して発生する ECS Anywhere コントロールプレーンと ECS エージェント間の通信の標準 AWS データ転送料金に基づいて、データ転送の料金をお支払いいただきます。Amazon ECS Anywhere コントロールプレーンと ECS エージェント間の通信がオープンインターネット経由で発生する場合、データ転送の課金は発生しません。