问题描述
我想利用AWS ECS Fargate,但是安全团队有一个要求,就是要限制我的Fargate实例在子网内的私有IP范围。
在AWS networking docs中,似乎可以使用单独的非托管ENI来指定私有IP地址。是否有一种方法可以对Fargate实例使用静态IP范围?
对于使用Fargate启动类型的任务,任务ENI为 创建的内容完全由AWS Fargate进行管理。取决于哪个Fargate 任务使用的平台版本,任务的网络流量可能 还可以使用Fargate拥有的独立ENI。
解决方法
固定私有IP范围是根据将Fargate任务部署到的子网来决定的。
如果为Fargate任务创建单独的子网,然后确保仅在这些子网中启动Fargate任务,则可以将此范围提供给安全团队。
Fargate在启动任务时会创建ENI,该ENI具有一个随机的私有IP地址,该IP地址是您子网范围内可用IP的池。