AWS ECS如何将服务从一个容器调用到另一个容器
AWS ECS how to call services from one container to another one
我有一个 ECS 集群,它有一个带有 2 个 EC2 实例的 Auto Scaling 组。我还有 3 个服务,每个服务都有自己的任务定义。每个 EC2 实例 运行 每个服务一个 docker 容器。因此我在每个 EC2 实例中有 3 docker 个容器。
每个 docker 容器只是 运行 一个 spring 启动应用程序。因为我有 3 个服务,所以我有 3 个 spring 启动应用程序。同样,一个容器仅 运行 是这 3 个 spring 启动应用程序之一。每个应用程序都公开了一个 rest ful API,其中包含 POST、GET 等服务,在 URLs 下,如 /service1 或 /service1/resource1。 这里有一点很重要,我在容器主机中使用了动态端口映射。
我在端口 443 上有一个外部(面向互联网)ALB,它有 3 个目标组。根据 URL,请求将转到 3 个应用程序(或容器)之一。
我的问题是有时应用程序 A 需要向应用程序 B 发出 http 请求。我的 EC2 实例位于私有子网中,而我的 ALB 位于 public 子网中。因此,如果我使用我的 ALB 从一个容器内部向另一个容器发出 http 请求,将会发生的情况是该请求将通过 NAT,并且由于 NAT 的 public ip 不是安全组的一部分ALB 然后它无法连接到端口 443。我有 2 种方法来完成这项工作:
在ALB白名单0.0.0.0/0的安全组中。我不想这样做,因为全世界都可以访问。
在ALB的安全组白名单中public NAT的IP。我不确定这种方法。值得推荐吗?
我尝试实施的第三个选项是拥有第三个负载平衡器,一个内部负载平衡器。但我在这里迷路了,根据 AWS 文档,您只能为您的服务分配 1 个负载均衡器。而且由于我们使用的是动态端口映射,所以我看不到手动创建 ALB 并使用动态自动分配端口的方法。
你们如何在容器之间建立这种连接,其中一个容器使用另一个容器提供的服务?
作为最后的评论,我对所有人都使用云形成。无需从控制台进行手动设置。
谢谢,
您可以尝试将您的 nat 网关 public IP 作为具有 /32 掩码的主机列入白名单。这是一种非常正常的方法,因为您已经通过 ALB 将端点暴露给 public 互联网。你只需要关心安全规则的更新,以防NAT网关被破坏或改变,因为它的IP可能会改变。
我有一个 ECS 集群,它有一个带有 2 个 EC2 实例的 Auto Scaling 组。我还有 3 个服务,每个服务都有自己的任务定义。每个 EC2 实例 运行 每个服务一个 docker 容器。因此我在每个 EC2 实例中有 3 docker 个容器。
每个 docker 容器只是 运行 一个 spring 启动应用程序。因为我有 3 个服务,所以我有 3 个 spring 启动应用程序。同样,一个容器仅 运行 是这 3 个 spring 启动应用程序之一。每个应用程序都公开了一个 rest ful API,其中包含 POST、GET 等服务,在 URLs 下,如 /service1 或 /service1/resource1。 这里有一点很重要,我在容器主机中使用了动态端口映射。
我在端口 443 上有一个外部(面向互联网)ALB,它有 3 个目标组。根据 URL,请求将转到 3 个应用程序(或容器)之一。
我的问题是有时应用程序 A 需要向应用程序 B 发出 http 请求。我的 EC2 实例位于私有子网中,而我的 ALB 位于 public 子网中。因此,如果我使用我的 ALB 从一个容器内部向另一个容器发出 http 请求,将会发生的情况是该请求将通过 NAT,并且由于 NAT 的 public ip 不是安全组的一部分ALB 然后它无法连接到端口 443。我有 2 种方法来完成这项工作:
在ALB白名单0.0.0.0/0的安全组中。我不想这样做,因为全世界都可以访问。
在ALB的安全组白名单中public NAT的IP。我不确定这种方法。值得推荐吗?
我尝试实施的第三个选项是拥有第三个负载平衡器,一个内部负载平衡器。但我在这里迷路了,根据 AWS 文档,您只能为您的服务分配 1 个负载均衡器。而且由于我们使用的是动态端口映射,所以我看不到手动创建 ALB 并使用动态自动分配端口的方法。
你们如何在容器之间建立这种连接,其中一个容器使用另一个容器提供的服务?
作为最后的评论,我对所有人都使用云形成。无需从控制台进行手动设置。
谢谢,
您可以尝试将您的 nat 网关 public IP 作为具有 /32 掩码的主机列入白名单。这是一种非常正常的方法,因为您已经通过 ALB 将端点暴露给 public 互联网。你只需要关心安全规则的更新,以防NAT网关被破坏或改变,因为它的IP可能会改变。