SST项目中ECS服务部署到公有子网的优化方案

背景介绍

在AWS云环境中，VPC(虚拟私有云)的网络架构设计是应用部署的关键环节。传统上，ECS(弹性容器服务)任务通常被部署在私有子网中，通过NAT网关访问互联网资源。这种架构虽然安全，但会产生额外的NAT网关费用。

SST框架的aws.Cluster组件在v3.1.16版本前存在一个限制：当VPC配置为无NAT网关时，无法将ECS服务部署到公有子网。这导致用户即使应用不需要访问私有资源，也必须配置NAT网关，增加了不必要的成本。

问题分析

在AWS网络架构中，公有子网和私有子网的主要区别在于路由表配置：

• 公有子网：包含一条指向互联网网关的路由，允许直接访问互联网
• 私有子网：通常通过NAT网关间接访问互联网

当VPC配置为nat: false时，传统架构会遇到以下挑战：

1. 无法为私有子网提供出站互联网访问
2. 但某些容器化应用可能只需要入站访问，不需要出站互联网连接
3. 强制要求NAT网关增加了不必要的运营成本

解决方案

SST v3.1.16版本对Cluster组件进行了重要优化：

1. 默认行为变更：现在Cluster组件默认将服务部署到公有子网
2. 简化配置：当VPC配置为无NAT时，自动使用公有子网和分配公网IP
3. 向后兼容：旧版本功能保留在Cluster.v1中，确保平滑升级

新的部署模式具有以下优势：

• 成本节约：省去NAT网关费用
• 简化架构：适合仅需入站访问的服务
• 灵活性：仍可通过配置选择私有子网部署

实现示例

以下是一个典型的使用案例：

// 创建无NAT的VPC
const vpc = new sst.aws.Vpc("MyVpc", {
  nat: false,
});

// 创建集群(自动使用公有子网)
const cluster = new sst.aws.Cluster("MyCluster", { vpc });

// 添加服务(无需特殊配置即可使用公有子网)
cluster.addService("MyService", {
  image: ".",
  public: {
    ports: [{ listen: "80/http" }]
  }
});

最佳实践

1. 安全考虑：部署到公有子网的服务应：

   • 使用安全组严格控制入站流量
   • 考虑结合WAF提供额外保护
   • 敏感服务仍建议使用私有子网

2. 适用场景：这种模式特别适合：

   • 前端Web服务
   • 公开API端点
   • 不需要访问私有资源的无状态服务

3. 监控建议：即使使用公有子网，也应：

   • 监控ECS任务的网络流量
   • 设置适当的自动扩展策略
   • 定期检查安全组规则

总结

SST框架的这一优化体现了云原生架构的灵活性，允许开发者根据实际需求选择最合适的网络部署模式。通过支持无NAT场景下的公有子网部署，不仅降低了运营成本，还简化了不需要出站互联网访问的服务的部署流程。这一改进使得SST在构建高效、经济的云原生应用方面又向前迈进了一步。