我如何在 AWS ECS Fargate 上构建生产级多层应用（完整案例研究）

Source: Dev.to

项目概述

系统是一个简单的双服务架构：

• React 前端 由 Nginx 提供服务
• Node.js 后端 API

结果：后端完全私有，前端公开可访问，并在 VPC 内部安全通信。

高层架构

• 公共 ALB → 接收互联网流量
• 内部 ALB → 将流量路由到后端（对公网零暴露）

网络设计

• VPC
• 子网（公共 & 私有）
• 路由表
• 安全组

流量路径：

1. 互联网 → 公共 ALB
2. 公共 ALB → 前端服务（公共子网）
3. 前端 → 内部 ALB → 后端服务（私有子网）

容器与 Dockerfile

• 前端： Nginx 多阶段构建
• 后端： Node.js

两个镜像均在本地构建后推送至 Amazon ECR。

ECR + IAM 设置

• 两个仓库：frontend、backend
• 具备从 ECR 拉取镜像权限的 IAM 角色
• 为 ECR 添加 VPC 端点，以消除私有子网中的镜像拉取超时

ECS 设计

• 集群（Fargate）
• 前端和后端的 任务定义
• 带滚动部署的 服务 用于更新

负载均衡与路由

• 前端服务 绑定到公共 ALB
• 后端服务 绑定到内部 ALB
• 前端通过内部 ALB 与后端通信

滚动部署

新镜像发布流程：

1. 将新镜像推送至 ECR
2. 使用新镜像标签更新任务定义
3. 服务执行滚动更新：
   • 启动新任务，在私有子网中分配 ENI
   • 新任务向内部 ALB 注册
   • 老任务被排空并停止

测试验证了 ENI 正确分配、ALB 注册、日志流以及优雅的连接排空。

部署关键指标

• 0 个公共 IP 在 ECS 任务上（所有任务均运行在私有子网）

挑战与解决方案

• ENI 附加延迟 – 通过调整任务放置策略缓解。
• 镜像拉取超时 – 通过为 ECR 添加 VPC 端点解决。
• ALB 健康检查失败 – 通过调优健康检查路径和阈值修复。

学到的经验

• Fargate 如何在私有子网内部署 ENI。
• 私有镜像拉取时 VPC 端点配置的重要性。
• 在 ECS/Fargate 上实现零停机滚动部署的策略。

项目意义

这不仅是一次部署，更是对真实云系统的深度探索——处理故障、调试网络、管理 IAM 限制，并根据需要重新设计架构。它融合了：

• VPC 网络基础
• 容器镜像生命周期（Docker → ECR → Fargate）
• 服务发现与负载均衡
• 自动化、生产级的发布流程

代码仓库

GitHub – node-app-jenkins1

结论

任何学习 DevOps 或 AWS 的人都应该尝试类似的项目。它迫使你像工程师一样设计真实系统，而不仅仅是执行命令。它还能帮助你建立从零开始构建和调试生产级系统的信心。

如果你正在进行类似项目或想讨论云架构，欢迎随时联系。