自分用メモとして残す
運用
- latestタグはダメ、絶対。(脳死)
- latestを指定していると、タスクが停止して新タスクが起動した際に、その時点での最新バージョンを取得する。したがって、ECR へのイメージ push が別プロセス (例えば、CodePipelineを使用していてビルドの承認フローと、デプロイの承認フローをわけていた場合など) として行われていた場合、誤って最新のイメージを取得してしまう可能性がある。また、ロールバックもしづらい。
ECR エンドポイントについて
-
複数サブネット(例えば、サブネットA、サブネットB、サブネットC)がある場合、1つのサブネットAにエンドポイントを作成すると、サブネット間でルーティングができていれば、サブネットB、サブネットCからもサブネットAにあるエンドポイントを使って、ECRとアクセスできる。
-
1AZ、インターフェース型のエンドポイントは1つという制限がある
-
VPC内で service-code.region-code.amazonaws.com 形式のDNS名を名前解決したときにグローバルIPが返却される。
-
エンドポイント作成の際は、プライベートDNSが有効になっているか確認
Transit Gatewayを跨いだエンドポイントへの通信
- VPC A => TGW => VPC B の構成で、AからBのエンドポイントへの通信を想定する場合
- 跨ぐと言うことは、VPC外からの通信である。その場合、Route 53 Private Hosted Zone の VPC A に対する関連付けが必要。(自分の理解が怪しい、、、)
- https://aws.amazon.com/jp/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/
- https://qiita.com/holidayworking/items/1051898c30b3c08c0c1a
- VPC Aからすると、VPC Bのservice-code.region-code.amazonaws.com 形式の DNS 名はグローバル IP で帰って来てしまう。そのため、Route 53 Private Hosted Zone 作成して、上記のエンドポイントのAレコードをvpce- から始まる DNS 名に解決することで、プライベートIPが返ってくるようになる