在最近的一篇博客中,亞馬遜宣佈爲其彈性容器服務(ECS)和彈性容器註冊表(ECR)提供 AWS PrivateLink 支持。 藉助 AWS PrivateLink,客戶可以爲 ECS 和 ECR 創建端點,這些端點在其虛擬私有云(VPC)中顯示爲具有私有IP地址的彈性網絡接口。
AWS PrivateLink 是一種網絡技術,旨在以高度可擴展和高可用的方式訪問 AWS 服務,同時將網絡流量限制在 AWS 網絡內。 如果沒有這項技術,Amazon EC2 實例需要通過公共網絡下載 保存在 ECR 中的 Docker 鏡像或者與 ECS 控制平面進行通信。
藉助 PrivateLink,Amazon EC2 實例既可以通過私有子網從 Amazon ECR 獲取這些鏡像,也可以通過公共子網獲取。 實例還可以通過 AWS PrivateLink 端點與 ECS 控制平面通信,無需使用公網網關或 NAT 網關。最後,由於流量不經過公網,極大降低了遭到分佈式拒絕服務攻擊和暴力破解的風險。
在這篇博客中,AWS 容器服務開發人員Nathan Peck 表示,帶有 AWS PrivateLink 的網絡架構變得更加簡單。此外,他寫道:
它允許你拒絕私有 EC2 實例訪問 AWS 服務之外的其它任何內容,從而增強了安全性。 當然,這是假設你想要屏蔽那些實例對公網的訪問。
要實現這種網絡架構,客戶需要創建多個 AWS PrivateLink 資源:
- 用於 ECR 的 AWS PrivateLink 端點——允許 VPC中 的實例與 ECR 通信,以便下載鏡像清單。
- 用於 Amazon S3 的Gateway VPC 端點——允許實例從託管它們的底層私有 Amazon S3 存儲桶下載鏡像層。
- 用於 ECS 的 AWS PrivateLink 端點——允許實例與 ECS 控制平面中的遙測和代理服務通信。
創建用於 ECR 的 AWS PrivateLink 接口的典型方式是通過 VPC 控制檯中的端點創建嚮導。 ECR 本身需要兩個接口端點:
- com.amazonaws.region.ecr.api
- com.amazonaws.region.ecr.dkr
如博客中所述,用戶需要通過一系列步驟來創建這些端點:
- 選擇 AWS 服務和端點
- 指定應添加 AWS PrivateLink 接口的 VPC 和子網
- 啓用端點所需的私有 DNS 名稱
- 爲接口本身定義安全組
- 創建端點
接下來,爲了創建 ECR 端點,用戶還需要爲 S3 創建網關 VPC 端點,讓 ECR 可以存儲 Docker 鏡像層。 在 AWS 服務列表中選擇“com.amazonaws.region.s3”,並選擇 VPC 託管,ECS 集羣用戶就可以完成 S3 網關端點的添加。 最後,用戶可以爲ECS創建 AWS PrivateLink 接口端點,方法是創建三個接口端點,就像爲ECR創建接口端點那樣,這些端點是:
- com.amazonaws.region.ecs-agent
- *com.amazonaws.region.ecs-*telemetry
- com.amazonaws.region.ecs
通過使用這些 AWS PrivateLink 資源,所有容器編排流量都保留在 VPC 內,並且 ECS 集羣中的實例可以直接與 ECS 控制平面通信。 此外,實例可以直接下載 Docker 鏡像,而無需在VPC之外使用公網網關或 NAT 網關進行任何連接。 一個針對Amazon ECR PrivateLink 問題的Reddit帖子提到,後者可以節省成本:
6至7TB 數據通過 NAT 網關的連接時間費用約爲 32.85 美元/月,加上數據傳輸費用 270 美元(數據處理費率爲 0.045 美元/GB,假設 ECR 在同一地區)。 PrivateLink 的費用是其 1/4。連接時間費用爲 7.30 美元/月,6至7TB 數據的處理費用爲 60至70 美元。
更多有關 AWS PrivateLink 定價的詳細信息,請參閱定價頁面。
查看英文原文:https://www.infoq.com/news/2019/02/aws-privatelink-ecr-ecs