Amazon ECS Anywhere

Amazon ECS Anywhere は、AWS の外にあるオンプレミスのサーバーや仮想マシン、エッジ環境のホストを Amazon ECS のデータプレーンとして登録し、クラウド上の ECS と同じ仕組みでコンテナを運用できるようにする機能です。コントロールプレーンは AWS のマネージドな ECS を利用しつつ、実際にコンテナが動く場所だけを手元の環境に置けるため、ハイブリッドなコンテナ運用を一貫した操作で実現できます。

解決する課題

コンテナをクラウドへ寄せたい一方で、データの所在やレイテンシ、規制、既存設備の活用といった理由から、どうしてもオンプレミスやエッジで動かし続けたいワークロードが残ることがあります。こうした環境ごとに別々のオーケストレーション基盤を持つと、デプロイ手順や監視、権限管理がそれぞれ独自化し、運用が二重化して負担が増えます。

ECS Anywhere は、オンプレミスのホストを ECS の外部インスタンスとして登録することで、この分断を解消します。利用者はクラウドの ECS で慣れたタスク定義やサービス、API、CLI をそのまま使い、配置先として外部インスタンスを選ぶだけで手元の環境にコンテナを展開できます。クラウドとオンプレで運用フローを統一したい場合や、段階的にクラウドへ移行する過渡期の基盤として適しています。

主要概念と用語

• 外部インスタンス: ECS Anywhere で ECS クラスタに登録された、AWS の外にあるホスト。クラスタ上では起動タイプが EXTERNAL のインスタンスとして扱われる。
• EXTERNAL 起動タイプ: タスクやサービスを外部インスタンス上で実行することを示す起動タイプ。EC2 や Fargate と並ぶ選択肢の一つ。
• SSM Agent: AWS Systems Manager のエージェント。外部インスタンスをマネージドインスタンスとして登録し、AWS との制御経路を確立するために導入する。
• ECS Agent: ECS のタスク配置やライフサイクルを担うエージェント。外部インスタンス上でコンテナランタイムと連携してタスクを実行する。
• アクティベーション: SSM に外部ホストを登録するための一時的な資格情報。登録コードと ID を使ってホストをマネージドインスタンス化する。
• コントロールプレーン: タスクのスケジューリングや状態管理を行う ECS の中枢。ECS Anywhere ではこの部分は AWS のマネージド側に置かれる。
• データプレーン: 実際にコンテナを実行する層。ECS Anywhere では手元のオンプレミスやエッジのホストがこれにあたる。

仕様・制限・クォータ

ECS Anywhere の外部インスタンスは、対応する OS とコンテナランタイムを備えたホストであれば、物理サーバーでも仮想マシンでも利用できます。登録には SSM Agent と ECS Agent の導入が必要で、ホストから AWS のエンドポイントへ向けたアウトバウンドの接続性が前提になります。コントロールプレーンは AWS リージョンにあるため、外部インスタンスは制御通信のためにそのリージョンへ到達できる必要があります。

外部インスタンス上のタスクには、クラウドのデータプレーンと異なる制約があります。たとえば AWS のマネージドなロードバランサとの直接的な統合や、一部のネットワークモードなど、クラウド前提の機能には利用できないものがあります。クラスタあたりのインスタンス数や登録に関わる上限などのクォータは、リージョンや時期によって変わり得るため、最新の値や利用可能な OS の組み合わせは公式ドキュメントで確認してください。

内部の仕組み

外部ホストには、まず SSM Agent を入れて Systems Manager のマネージドインスタンスとして登録し、続いて ECS Agent を導入して対象の ECS クラスタへ外部インスタンスとして参加させます。この一連の手順は、ECS が払い出す登録スクリプトを実行することでまとめて行えます。登録が完了すると、ホストはクラスタ上で EXTERNAL 起動タイプのインスタンスとして見えるようになります。

タスクのスケジューリングは AWS 側のコントロールプレーンが担い、どのタスクをどの外部インスタンスへ配置するかを決めます。ホスト上の ECS Agent はその指示を受け取り、ローカルのコンテナランタイムを使ってコンテナを起動・監視します。制御や状態報告の通信はホストからのアウトバウンド接続を通じて行われるため、ホスト側でインバウンドの口を開ける必要は基本的にありません。コンテナイメージの取得やアプリケーションが必要とする外部リソースへのアクセスは、ホストのネットワーク経路に依存します。

設計パターン / ベストプラクティス

タスク定義やデプロイの仕組みはクラウドの ECS と共通化し、配置先を起動タイプで切り替える設計にすると、クラウドとオンプレで運用を統一できます。状態を持つデータはホストローカルに固定せず、外部のデータストアに委ねておくと、ホストの入れ替えや障害時の復旧がしやすくなります。

外部インスタンスは AWS のマネージドなインフラほど可用性を自動で担保できないため、ホスト自体の冗長化や監視は利用者側の責任になります。複数のホストを登録して配置を分散し、ローカルのロードバランシングやサービスディスカバリの仕組みを併用すると、単一ホスト障害の影響を抑えられます。ネットワークが切れた状況での挙動も事前に確認し、制御通信が一時的に途絶しても既存タスクが動き続けられる前提で設計しておくと安全です。

運用・監視

外部インスタンスは Systems Manager のマネージドインスタンスとして扱われるため、インベントリの把握やリモートからのコマンド実行といった SSM の運用機能を活用できます。ECS 側ではタスクやサービスの状態をクラウドの ECS と同じ画面・API で確認でき、コンテナのログは CloudWatch Logs などのログドライバ経由で集約する構成を取れます。

ホストの死活や OS・ランタイムのパッチ適用は利用者側の運用範囲です。エージェントのバージョン管理やホストのリソース監視を継続的に行い、制御通信に必要なアウトバウンド接続性が維持されているかも監視対象に含めておくと、障害の予兆を捉えやすくなります。

コスト

ECS Anywhere では、外部インスタンスとして管理されるホスト 1 台あたりに対して管理料金が時間課金で発生する形が基本です。ホストそのものの調達・電力・保守といったインフラ費用は利用者側の負担であり、AWS の課金対象ではありません。クラウド側の関連サービス、たとえばログ集約やイメージ保管などを併用する場合は、それぞれの料金が別途かかります。

具体的な単価はリージョンや時期によって変動するため、見積もりは公式の料金ページと料金計算ツールで確認してください。多数のホストを長期間登録する場合は、管理料金の総額が無視できない規模になり得る点を考慮してください。

セキュリティ

外部インスタンスは AWS の責任共有モデルにおいて利用者側の管理範囲が広く、ホストの OS やランタイム、物理的な保護は利用者が担います。タスクが AWS の他サービスへアクセスする際は、外部インスタンス用に用意した IAM ロールの権限を用い、長期的なアクセスキーをホストへ直接埋め込まない運用が安全です。ホストと AWS の間の制御通信は SSM の経路で行われ、ホストからのアウトバウンド接続を基本とするため、外部公開の口を増やさずに済みます。

登録に使うアクティベーションの資格情報は短期間で扱い、不要になったら速やかに無効化します。退役したホストはクラスタおよび SSM の登録から確実に解除し、放置されたマネージドインスタンスが残らないようにします。機密情報は Secrets Manager や Systems Manager パラメータストアで管理し、タスクから安全に参照する構成が推奨されます。

関連サービス・比較

同じく AWS の外でコンテナを動かす選択肢として、Kubernetes ベースの Amazon EKS Anywhere があります。オーケストレーションの方式と運用モデルの違いを押さえると選択しやすくなります。

ハンズオン / CLI例

外部インスタンスを登録するためのアクティベーションを SSM で作成する例です。ロール名やリージョンは自分の環境の値に置き換えてください。発行された登録コードと ID は、ホスト上で実行する登録スクリプトに渡します。

aws ssm create-activation \
  --default-instance-name ecs-anywhere-host \
  --iam-role ecsAnywhereRole \
  --registration-limit 5 \
  --region ap-northeast-1