今天，我们宣布 Amazon Elastic Container Service（Amazon ECS）Managed Instances 支持托管守护进程。这项新能力扩展了我们在 2025 年 9 月推出的托管实例体验，使平台工程师能够独立控制监控、日志记录和追踪工具等软件代理，而无需与应用开发团队协调；同时，通过确保每个实例始终运行所需守护进程，并支持全面的主机级监控，提高可靠性。

在大规模运行容器化工作负载时，平台工程师承担着广泛职责，从扩展和修补基础设施，到确保应用可靠运行，以及维护支撑这些应用的运维代理。直到现在，许多此类事项仍然紧密耦合。更新一个监控代理意味着要与应用团队协调、修改任务定义并重新部署整个应用；当你管理数百或数千个服务时，这会带来显著的运维负担。

守护进程的解耦生命周期管理 Amazon ECS 现在引入了专用的托管守护进程构造，使平台团队能够集中管理运维工具。这种关注点分离使平台工程师能够独立地将监控、日志记录和追踪代理部署并更新到基础设施中，同时在所有实例上强制一致使用所需工具，而无需应用团队重新部署其服务。守护进程保证会先于应用任务启动，并在最后排空，从而确保日志记录、追踪和监控在应用需要时始终可用。

平台工程师可以在多个容量提供程序之间部署托管守护进程，也可以定位到特定容量提供程序，从而灵活地在其基础设施中推出代理。资源管理也实现了集中化，使团队能够将守护进程的 CPU 和内存参数与应用配置分开定义，无需重建 AMI 或更新任务定义；同时还能优化资源利用率，因为每个实例只运行一个守护进程副本，并由多个应用任务共享。

试用一下 为了体验 ECS Managed Daemons，我决定先将 Amazon CloudWatch Agent 作为我的第一个托管守护进程。我此前已根据文档设置了一个带有 Managed Instance 容量提供程序的 Amazon ECS 集群。

在 Amazon Elastic Container Service 控制台中，我注意到导航窗格里新增了一个 Daemon task definitions 选项，可用于定义我的托管守护进程。

我选择 Create new daemon task definition 开始操作。在这个示例中，我为 CloudWatch Agent 配置了 1 个 vCPU 和 0.5 GB 内存。在 Daemon task definition family 字段中，我输入了一个之后能识别的名称。

对于 Task execution role，我从下拉菜单中选择了 ecsTaskExecutionRole。在 Container 部分，我为容器指定了一个描述性名称，并粘贴了镜像 URI：public.ecr.aws/cloudwatch-agent/cloudwatch-agent:latest，以及一些其他详细信息。

检查所有内容后，我选择 Create。

创建守护进程任务定义后，我导航到 Clusters 页面，选择此前创建的集群，并找到了新的 Daemons 选项卡。

在这里，我只需点击 Create daemon 按钮并填写表单，即可配置我的守护进程。

在 Daemon configuration 下，我选择了新创建的守护进程任务定义系列，然后为守护进程指定了名称。对于 Environment configuration，我选择了此前设置的 ECS Managed Instances 容量提供程序。确认设置后，我选择 Create。

现在，ECS 会自动确保在我所选容量提供程序中，每个已预置的 ECS 托管实例上首先启动守护进程任务。为了查看实际效果，我部署了一个示例 nginx Web 服务作为测试工作负载。工作负载部署后，我可以在控制台中看到，ECS Managed Daemons 已自动在我的应用旁部署了 CloudWatch Agent 守护进程，无需任何手动干预。

后来当我更新守护进程时，ECS 通过预置带有更新后守护进程的新实例来自动处理滚动部署，先启动守护进程，然后将应用任务迁移到新实例，最后终止旧实例。这种“先启动后停止”的方法可确保守护进程覆盖不中断：你的日志记录、监控和追踪代理在整个更新过程中保持运行，数据收集不会出现空档。我配置的排空百分比控制了替换节奏，使我能够完全控制附加组件更新，而不会造成应用停机。

工作原理 托管守护进程体验引入了一种新的守护进程任务定义，它与任务定义分离，具有自己的参数和验证方案。新的 daemon_bridge 网络模式使守护进程能够与应用任务通信，同时与应用网络配置保持隔离。

托管守护进程支持高级主机级访问能力，这对运维工具至关重要。平台工程师可以将守护进程任务配置为特权容器、添加额外的 Linux capability，并挂载底层主机文件系统中的路径。这些能力对于需要深入了解主机级指标、进程和系统调用的监控与安全代理尤其有价值。

部署守护进程时，ECS 会在放置应用任务之前，为每个容器实例启动且仅启动一个守护进程进程。这保证了应用开始接收流量之前，运维工具已经就位。ECS 还支持带自动回滚的滚动部署，因此你可以放心更新代理。

现已可用 Amazon ECS Managed Instances 的托管守护进程支持现已在所有 AWS 区域提供。要开始使用，请访问 Amazon ECS 控制台或查看 Amazon ECS 文档。你也可以访问该网站，了解新的托管守护进程应用程序编程接口（API）。

使用托管守护进程无需额外费用。你只需为守护进程任务消耗的标准计算资源付费。