ECS vs. Kubernetes: När väljer du vad?

Det här är den vanligaste frågan vi får i migreringsworkshops. Svaret beror inte på teknik i sig, utan på organisatorisk kontext.

Välj ECS om:

• Er hela infrastruktur redan ligger i AWS
• Teamet har AWS-kompetens men begränsad Kubernetes-erfarenhet
• Ni prioriterar snabb time-to-production framför portabilitet
• Ni vill minimera driftskomplexitet (färre rörliga delar)

Välj EKS (Kubernetes på AWS) om:

• Ni har befintlig Kubernetes-kompetens och Helm-charts
• Multi-cloud är ett verkligt krav (inte bara teoretiskt)
• Ni behöver ekosystemet av CNCF-verktyg (Istio, Argo, etc.)
• Applikationsarkitekturen redan bygger på Kubernetes-primitiver

Enligt CNCF:s årliga undersökning har Kubernetes-adoptionen ökat stadigt, men det betyder inte att det är rätt val för alla. ECS löser containerorkestrering med färre abstraktionslager – och för team som inte behöver Kubernetes portabilitet är det en fördel, inte en begränsning.

Vad ingår i hanterad ECS från en MSP?

Att köra containrar i produktion handlar om mer än docker run. Här är vad Opsio levererar som hanterad ECS-tjänst:

Infrastrukturkonfiguration och härdning

• Task definitions med minsta-privilegium IAM-roller
• VPC-design med privata subnät för ECS-tasks
• Kryptering i transit (TLS) och i vila (KMS-nycklar)
• Säkerhetsgrupper konfigurerade enligt principen om noll tillit per tjänst
• Container image-scanning via ECR med automatisk blockering av sårbara images

24/7 övervakning och incidenthantering

Opsios NOC i Karlstad och Bangalore övervakar ECS-kluster dygnet runt. Det inkluderar:

• Task-hälsa – omstart av tasks som fastnar i PENDING eller STOPPED
• Resursutnyttjande – larm vid CPU/minnes-anomalier, underlag för rightsizing
• Applikationsloggar – centraliserad logghantering via CloudWatch Logs eller OpenSearch
• Deployment-övervakning – automatisk rollback vid misslyckade deploys via CodeDeploy blue/green

FinOps och kostnadsoptimering

Flexeras State of the Cloud har konsekvent visat att kostnadshantering rankas som den främsta molnutmaningen bland organisationer. För ECS specifikt ser vi tre återkommande kostnadsfällor:

1. Överdimensionerade task definitions – team allokerar 2 vCPU och 4 GB minne "för säkerhets skull" när applikationen faktiskt använder 0,25 vCPU

2. Missade Savings Plans – Fargate Compute Savings Plans kan ge upp till 50 % rabatt men kräver commit-analys baserad på verklig förbrukning

3. Oanvända tjänster – gammalt ECS-tjänster som kör med desired count > 0 trots att ingen trafik når dem

Opsios Cloud FinOps-team analyserar ECS-kostnader veckovis och levererar konkreta åtgärdsförslag.

Efterlevnad och säkerhet

Med EU:s NIS2-direktiv och GDPR:s krav på tekniska skyddsåtgärder behöver du dokumenterade säkerhetskontroller för din containerplattform. Opsios molnsäkerhetstjänster inkluderar:

• AWS Config-regler för ECS-konfigurationsavvikelser
• Security Hub-integration med automatiserad rapportering
• Regelbundna penetrationstester av containerexponerade endpoints
• Incidentrespons-runbooks specifika för containermiljöer

Migrering till ECS: Steg-för-steg

Att flytta befintliga applikationer till containrar på ECS är sällan ett "lift-and-shift"-projekt. Här är den process Opsio använder:

1. Applikationsinventering och bedömning

Vi kartlägger befintliga applikationer, deras beroenden, dataflöden och nuvarande driftkrav. Varje applikation klassificeras som:

• Containerredo – redan dockeriserad eller enkelt att containerisera
• Kräver refaktorering – monoliter som behöver brytas ner
• Olämplig – legacy-applikationer som bättre körs på EC2 eller som bör avvecklas

2. Containerisering och pipeline-uppbyggnad

Docker-images byggs med multi-stage builds för minimala attack-ytor. CI/CD-pipelines konfigureras med:

• ECR som image registry
• CodePipeline eller GitHub Actions för bygg och test
• CodeDeploy med blue/green deployment till ECS

3. Gradvis utrullning

Vi migrerar tjänst för tjänst, aldrig allt på en gång. Varje tjänst körs parallellt i den gamla och nya miljön tills vi verifierat prestanda, loggning och larmering.

4. Optimering och överlämning

Efter go-live finjusterar vi task definitions, autoskalningsregler och larmtrösklar baserat på verklig produktionsdata. Dokumentation och runbooks överlämnas till er – eller så tar Opsios managerade molntjänster över löpande drift.

Vanliga misstag vi ser i ECS-produktionsmiljöer

Från Opsios SOC/NOC-perspektiv återkommer vissa mönster:

• Inga health checks konfigurerade – ECS kan inte ersätta trasiga containers om den inte vet att de är trasiga
• Allt i samma VPC-subnät – container-till-container-trafik bör segmenteras med säkerhetsgrupper
• Logging till stdout utan aggregering – loggar försvinner när tasks stoppas om de inte skickas till CloudWatch eller en extern lösning
• Manuella deploys via konsolen – fungerar för experiment, aldrig för produktion. IaC med Terraform eller CloudFormation är ett minimikrav

Managerad DevOps från Opsio adresserar just dessa problem systematiskt.

Vanliga frågor

Vad är skillnaden mellan Amazon ECS och Amazon EKS?

ECS är AWS eget containerorkestreringsverktyg med djup integration i AWS-tjänster som ALB, CloudWatch och IAM. EKS kör Kubernetes, vilket ger portabilitet mellan molnleverantörer men kräver mer kompetens att drifta. Välj ECS om du är helt i AWS, EKS om du behöver multi-cloud eller redan har Kubernetes-kompetens.

Behöver jag hantera servrar med ECS?

Inte om du väljer Fargate-starttypen. Med Fargate hanterar AWS all underliggande infrastruktur – du definierar bara CPU, minne och nätverkskrav per task. Vill du ha mer kontroll kan du köra ECS på EC2, men då ansvarar du för patching och kapacitetsplanering.

Vad kostar hanterad ECS via en MSP som Opsio?

Kostnaden varierar beroende på antalet tjänster, kluster och övervakningskrav. Typiskt ligger MSP-avgiften som en bråkdel av vad ett internt containerplattformsteam kostar, samtidigt som du får 24/7 SOC/NOC, FinOps-rapportering och incidenthantering inkluderat.

Kan jag migrera från Kubernetes till ECS?

Ja, men det kräver omarbetning av orkestreringsdefinitonerna. Docker-images fungerar rakt av, men Kubernetes-manifester (Deployments, Services, Ingress) behöver översättas till ECS task definitions och service-konfigurationer. Opsio erbjuder molnmigrering för exakt den typen av projekt.

Hur hanterar ECS säkerhet och efterlevnad enligt NIS2 och GDPR?

ECS stöder IAM-roller per task, VPC-nätverksisolering, kryptering i transit och i vila, samt integrerar med AWS Config och Security Hub för efterlevnadsövervakning. Med eu-north-1 (Stockholm) som region och en MSP som konfigurerar guardrails uppfylls typiska krav under NIS2 och GDPR.