Einrichten mit Amazon ECS - Amazon Elastic Container Service

Einrichten mit Amazon ECS

Wenn Sie bereits für Amazon Web Services (AWS) registriert sind und Amazon Elastic Compute Cloud (Amazon EC2) schon verwendet haben, müssen Sie nur wenige Schritte ausführen, um Amazon ECS nutzen zu können. Der Einrichtungsprozess für die beiden Services ist ähnlich. Der folgende Leitfaden bereitet Sie auf den Start Ihres ersten Amazon ECS-Clusters vor.

Führen Sie zum Einrichten von Amazon ECS die folgenden Schritte aus.

Registrieren Sie sich für AWS

Bei der Registrierung AWS wird Ihr AWS-Konto automatisch für alle Dienste registriert, einschließlich Amazon EC2 und Amazon ECS. Berechnet werden Ihnen aber nur die Services, die Sie nutzen.

Wenn Sie bereits ein AWS-Konto haben, wechseln Sie zur nächsten Aufgabe. Wenn Sie kein AWS-Konto haben, führen Sie die folgenden Schritte zum Erstellen eines Kontos aus.

So erstellen Sie ein AWS-Konto

  1. Öffnen Sie https://portal.aws.amazon.com/billing/signup.

  2. Folgen Sie den Online-Anweisungen.

    Der Anmeldeprozess beinhaltet auch einen Telefonanruf und die Eingabe eines Verifizierungscodes über die Telefontastatur.

Notieren Sie die AWS-Kontonummer. Sie benötigen sie im nächsten Schritt.

Erstellen eines IAM-Benutzers

Wenn Sie auf Services wie Amazon EC2 und Amazon ECS in AWS zugreifen, müssen Sie Anmeldeinformationen eingeben. So kann der Service bestimmen, ob Sie über die Berechtigung für den Zugriff auf dessen Ressourcen verfügen. Für die Konsole müssen Sie Ihr Passwort eingeben. Sie können für Ihr AWS-Konto Zugriffsschlüssel erstellen, um auf die Befehlszeilenschnittstelle oder API zuzugreifen. Wir empfehlen jedoch nicht, dass Sie für den Zugriff auf AWS die Anmeldeinformationen für Ihr AWS-Konto verwenden. Wir empfehlen, stattdessen AWS Identity and Access Management (IAM) zu verwenden. Erstellen Sie einen IAM-Benutzer und fügen Sie diesen zu einer IAM-Gruppe mit Administratorberechtigungen hinzu oder erteilen Sie ihm die entsprechenden Administratorberechtigungen. Sie können dann mithilfe einer speziellen URL und mit den Anmeldeinformationen für den IAM-Benutzer auf AWS zugreifen.

Wenn Sie sich zwar bei AWS angemeldet, aber für sich selbst keinen IAM-Benutzer erstellt haben, können Sie mithilfe der IAM-Konsole einen Benutzer erstellen.

So erstellen Sie einen Administratorbenutzer für sich selbst und fügen ihn einer Administratorengruppe hinzu (Konsole)

  1. Melden Sie sich bei der IAM-Konsole als Kontoinhaber an, indem Sie Root user (Stammbenutzer) auswählen und die E-Mail-Adresse Ihres AWS-Konto eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

    Anmerkung

    Wir empfehlen ausdrücklich, die bewährten Verfahren mithilfe des IAM-AdministratorBenutzers unten zu verwenden und die Anmeldeinformationen des Stammbenutzers an einem sicheren Ort auzubewahren. Melden Sie sich als Stammbenutzer an, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen.

  2. Wählen Sie im Navigationsbereich Users und dann Add User.

  3. Geben Sie unter User Name (Benutzername) den Text Administrator ein.

  4. Aktivieren Sie das Kontrollkästchen neben AWS Management Console access (Konsolenzugriff). Wählen Sie dann Custom password (Benutzerdefiniertes Passwort) aus und geben Sie danach ein neues Passwort in das Textfeld ein.

  5. (Optional) Standardmäßig erfordert AWS, dass der neue Benutzer bei der ersten Anmeldung ein neues Passwort erstellt. Sie können das Kontrollkästchen neben User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen) deaktivieren, damit der neue Benutzer sein Kennwort nach der Anmeldung zurücksetzen kann.

  6. Wählen Sie Next: Permissions (Weiter: Berechtigungen) aus.

  7. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Add user to group (Benutzer der Gruppe hinzufügen) aus.

  8. Wählen Sie Create group (Gruppe erstellen) aus.

  9. Geben Sie im Dialogfeld Create group (Gruppe erstellen) unter Group name (Gruppenname) den Wert Administrators ein.

  10. Wählen Sie Filter policies (Filterrichtlinien) und anschließend AWSmanaged - job function (verwaltet – Auftragsfunktion) aus, um den Tabelleninhalt zu filtern.

  11. Aktivieren Sie in der Richtlinienliste das Kontrollkästchen AdministratorAccess. Wählen Sie dann Create group (Gruppe erstellen) aus.

    Anmerkung

    Sie müssen den Zugriff der IAM-Benutzer und -Rollen auf die Fakturierung aktivieren, bevor Sie die AdministratorAccess-Berechtigungen verwenden können, um auf die AWS Billing and Cost Management-Konsole zuzugreifen. Befolgen Sie hierzu die Anweisungen in Schritt 1 des Tutorials zum Delegieren des Zugriffs auf die Abrechnungskonsole.

  12. Kehren Sie zur Gruppenliste zurück und aktivieren Sie das Kontrollkästchen der neuen Gruppe. Möglicherweise müssen Sie Refresh (Aktualisieren) auswählen, damit die Gruppe in der Liste angezeigt wird.

  13. Wählen Sie Next: Tags (Weiter: Tags) aus.

  14. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Markierungen als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von IAM-Entitäten im IAM-Benutzerhandbuch.

  15. Wählen Sie Next: Review (Weiter: Prüfen) aus, damit die Liste der Gruppenmitgliedschaften angezeigt wird, die dem neuen Benutzer hinzugefügt werden soll. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.

Mit diesen Schritten können Sie weitere Gruppen und Benutzer erstellen und Ihren Benutzern Zugriff auf Ihre AWS-Konto-Ressourcen gewähren. Informationen zur Verwendung von Richtlinien, die die Benutzerrechte auf bestimmte AWS-Ressourcen beschränken, finden Sie unter Zugriffsverwaltung und Beispielrichtlinien.

Um sich als diesen neuen IAM-Benutzer anzumelden, melden Sie sich zunächst aus der AWS-Konsole ab. Verwenden Sie dann die folgende URL, wobei your_aws_account_id Ihre AWS-Kontonummer ohne Bindestriche darstellt. (Wenn beispielsweise Ihre AWS-Kontonummer 1234-5678-9012 lautet, ist Ihre AWS-Konto-ID 123456789012.)

https://your_aws_account_id.signin.aws.amazon.com/console/

Geben Sie den IAM-Benutzernamen und das von Ihnen soeben erstellte Passwort ein. Nachdem Sie sich angemeldet haben, wird in der Navigationsleiste „your_user_name @ your_aws_account_id“ angezeigt.

Wenn Sie nicht möchten, dass die URL für Ihre Anmeldeseite Ihre AWS-Konto-ID enthält, können Sie einen Konto-Alias erstellen. Wählen Sie oben im IAM-Dashboard, rechts neben Ihrem Anmelde-Link, die Option Customize (Anpassen) und geben Sie ein Alias ein, beispielsweise Ihren Firmennamen. Nach dem Erstellen eines Konto-Alias verwenden Sie die folgende URL, um sich anzumelden:

https://your_account_alias.signin.aws.amazon.com/console/

Um den Anmeldelink der IAM-Benutzer Ihres Kontos zu verifizieren, öffnen Sie die IAM-Konsole und prüfen dies im Dashboard unter IAM users sign-in link.

Weitere Informationen zu IAM finden Sie im AWS-Identity and Access Management-Benutzerhandbuch.

Erstellen eines Schlüsselpaares

Für Amazon ECS wird ein Schlüsselpaar nur dann benötigt, wenn Sie den Starttyp EC2 verwenden.

AWS verwendet Kryptografie für öffentliche Schlüssel, um die Anmeldeinformationen für Ihre Instance zu sichern. Eine Linux-Instance, wie beispielsweise eine Amazon ECS-Container-Instance, hat kein Passwort, das für den SSH-Zugriff verwendet werden kann. Sie verwenden ein Schlüsselpaar, um sich sicher an Ihrer Instance anzumelden. Beim Starten Ihrer Container-Instance geben Sie den Namen des Schlüsselpaares und dann bei der Anmeldung über SSH den privaten Schlüssel an.

Wenn Sie nicht bereits ein Schlüsselpaar erstellt haben, können Sie mit der Amazon EC2-Konsole eines erstellen. Wenn Sie planen, Instances in mehreren Regionen zu starten, müssen Sie in jeder Region ein Schlüsselpaar erstellen. Weitere Informationen über Regionen finden Sie unter Regionen und Availability Zones im Benutzerhandbuch zu Amazon EC2 für Linux-Instances.

Erstellen eines Schlüsselpaares

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie in der Navigationsleiste eine Region für das Schlüsselpaar aus. Sie können unabhängig von Ihrem Standort jede verfügbare Region auswählen. Die Schlüsselpaare sind jedoch für eine Region spezifisch. Wenn Sie beispielsweise eine Container-Instance in der Region USA-Ost (Ohio) starten möchten, müssen Sie ein Schlüsselpaar für die Instance in USA-Ost (Ohio) erstellen.

    
						Region auswählen
  3. Klicken Sie im Navigationsbereich unter NETWORK & SECURITY auf Key Pairs.

    Tipp

    Der Navigationsbereich befindet sich auf der linken Seite der -Konsole. Falls Sie den Bereich nicht sehen, ist er möglicherweise minimiert. Klicken Sie auf den Pfeil, um den Bereich zu erweitern. Möglicherweise müssen Sie ganz nach unten scrollen, um den Link Key Pairs zu sehen.

    
						Öffnen der Seite „Key Pairs”
  4. Wählen Sie Create Key Pair aus.

  5. Geben Sie für das neue Schlüsselpaar im Feld Key pair name (Schlüsselpaarname) des Dialogfelds Create Key Pair (Schlüsselpaar erstellen) einen Namen ein, und wählen Sie dann Create (Erstellen). Wählen Sie einen Namen aus, den Sie sich leicht merken können, wie z. B. Ihren IAM-Benutzernamen, gefolgt von -key-pair und dem Namen der Region. Beispiel: me-key-pair-useast2.

  6. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Der Basisdateiname ist der Name, den Sie als Namen für Ihr Schlüsselpaar festgelegt haben, und die Dateinamenerweiterung lautet .pem. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.

    Wichtig

    Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern. Geben Sie beim Start einer Instance den Namen Ihres Schlüsselpaares und bei jeder Verbindung mit der Instance den entsprechenden privaten Schlüssel an.

  7. Wenn Sie einen SSH-Client auf einem MacOS- oder Linux-Computer verwenden, um sich mit Ihrer Linux-Instance zu verbinden, verwenden Sie den folgenden Befehl, um die Berechtigungen Ihrer privaten Schlüsseldatei so einzustellen, dass nur Sie sie lesen können.

    chmod 400 your_user_name-key-pair-region_name.pem

Weitere Informationen finden Sie unter Amazon EC2-Schlüsselpaare im Benutzerhandbuch zu Amazon EC2 für Linux-Instances.

So stellen Sie über Ihr Schlüsselpaar eine Verbindung zu Ihrer Instance her

Wenn Sie von einem Computer mit macOS oder Linux eine Verbindung zu Ihrer Linux-Instance herstellen möchten, geben Sie die .pem-Datei für Ihren SSH-Client mit der Option -i und dem Pfad zu Ihrem privaten Schlüssel an. Wenn Sie von einem Computer mit Windows eine Verbindung zu Ihrer Linux-Instance herstellen möchten, können Sie MindTerm oder PuTTY verwenden. Wenn Sie PuTTY verwenden möchten, müssen Sie es installieren und die .pem-Datei wie im Folgenden beschrieben zu einer .ppk-Datei konvertieren.

So bereiten Sie die Verbindung mit einer Linux-Instance über Windows mithilfe von PuTTY vor

  1. Laden Sie PuTTY unter http://www.chiark.greenend.org.uk/~sgtatham/putty/ herunter und installieren Sie die Anwendung. Vergewissern Sie sich, dass Sie die gesamte Suite installieren.

  2. Starten Sie PuTTYgen (z. B. indem Sie imStart-Menü All Programs (Alle Programme) > PuTTY > PuTTYgen wählen).

  3. Wählen Sie unter Type of key to generate die Option RSA.

    
						SSH-2-RSA-Schlüssel in PuTTYgen
  4. Wählen Sie Load (Laden) aus. PuTTYgen zeigt standardmäßig nur Dateien mit der Erweiterung .ppk an. Wählen Sie die Option zum Anzeigen aller Dateitypen aus, damit Ihre .pem-Datei angezeigt wird.

    
						Auswählen der Option zum Anzeigen aller Dateitypen
  5. Wählen Sie die Datei mit dem privaten Schlüssel aus, die Sie im vorherigen Schritt erstellt haben, und klicken Sie auf Open. Klicken Sie auf OK, um das Bestätigungsdialogfeld zu verlassen.

  6. Wählen Sie Save private key (Privaten Schlüssel speichern) aus. PuTTYgen zeigt einen Warnhinweis zur Speicherung des Schlüssels ohne Passphrase an. Wählen Sie Yes (Ja).

  7. Geben Sie für den Schlüssel denselben Namen an wie für das Schlüsselpaar. PuTTY fügt automatisch die Dateierweiterung .ppk hinzu.

Erstellen einer Virtual Private Cloud

Mit Amazon Virtual Private Cloud (Amazon VPC) können Sie AWS-Ressourcen in einem virtuellen Netzwerk starten, das Sie definiert haben. Wir empfehlen dringend, Ihre Container-Instances in einer VPC zu starten.

Anmerkung

Bei der ersten Ausführung der Amazon ECS-Konsole wird eine VPC für Ihren Cluster erstellt. Wenn Sie also vorhaben, die Amazon ECS-Konsole zu verwenden, können Sie direkt zum nächsten Abschnitt übergehen.

Wenn Sie über eine standardmäßige VPC verfügen, können Sie diesen Abschnitt ebenfalls überspringen und zur nächsten Aufgabe, Erstellen einer Sicherheitsgruppe, übergehen. Wie Sie herausfinden, ob Sie über eine Standard-VPC verfügen, wird im Abschnitt Unterstützte Plattformen in der Amazon EC2-Konsole im Benutzerhandbuch zu Amazon EC2 für Linux-Instances erläutert. Andernfalls können Sie unter Berücksichtigung der nachfolgenden Schritte eine nicht standardmäßige VPC in Ihrem Konto erstellen.

Wichtig

Wenn Ihr Konto in einer Region Amazon EC2 Classic unterstützt, haben Sie in der betreffenden Region keine Standard-VPC.

Informationen zum Erstellen einer VPC finden Sie unter Nur VPC erstellen im Amazon-VPC-Benutzerhandbuch. Verwenden Sie die folgende Tabelle, um zu bestimmen, welche Optionen auszuwählen sind.

Option Value (Wert)

Zu erstellende Ressourcen

Nur VPC
Name

Geben Sie optional einen Namen für Ihre VPC ein.

IPv4-CIDR-Block

Manuelle IPv4-CIDR-Eingabe

Die CIDR-Blockgröße muss eine Größe zwischen /16 und /28. haben.

IPv6-CIDR-Block

Kein IPv6-CIDR-Block

Tenancy

Standard

Weitere Informationen über Amazon VPC finden Sie unter Was ist Amazon VPC? im Amazon VPC-Benutzerhandbuch.

Erstellen einer Sicherheitsgruppe

Sicherheitsgruppen fungieren als Firewall für zugehörige Container-Instances. Sie kontrollieren den ein- und ausgehenden Datenverkehr auf Container-Instance-Ebene. Sie können einer Sicherheitsgruppe Regeln hinzufügen, die es Ihnen ermöglichen, von Ihrer IP-Adresse über SSH eine Verbindung zu Ihrer Container-Instance herzustellen. Sie können auch Regeln hinzufügen, die den ein- und ausgehenden HTTP- und HTTPS-Zugriff von überall zulassen. Fügen Sie alle Regeln zum Öffnen von Ports hinzu, die für Ihre Aufgaben benötigt werden. Container-Instances benötigen einen externen Netzwerkzugriff, um mit dem Amazon ECS Service-Endpunkt zu kommunizieren.

Anmerkung

Bei der ersten Ausführung der Amazon ECS-Konsole wird basierend auf der von Ihnen verwendeten Aufgabendefinition eine Sicherheitsgruppe für Ihre Instances und den Load Balancer erstellt. Wenn Sie also vorhaben, die Amazon ECS-Konsole zu verwenden, können Sie direkt zum nächsten Abschnitt übergehen.

Wenn Sie planen, Container-Instances in mehreren Regionen zu starten, müssen Sie in jeder Region eine Sicherheitsgruppe erstellen. Weitere Informationen finden Sie unter Regionen und Availability Zones im Benutzerhandbuch zu Amazon EC2 für Linux-Instances.

Tipp

Sie benötigen die öffentliche IP-Adresse Ihres lokalen Computers, die Sie mithilfe eines Service abrufen können. Wir stellen z. B. folgenden Service bereit: http://checkip.amazonaws.com/ oder https://checkip.amazonaws.com/. Wenn Sie einen anderen Service suchen möchten, der Ihnen Ihre IP-Adresse nennt, verwenden Sie den Suchausdruck "wie ist meine IP-Adresse". Wenn Sie eine Verbindung über einen InternetServiceanbieter (ISP) oder hinter einer Firewall ohne statische IP-Adresse herstellen, müssen Sie herausfinden, welchen IP-Adressbereich die Client-Computer verwenden.

So erstellen Sie eine Sicherheitsgruppe auf der Grundlage der geringsten Rechte

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie in der Navigationsleiste eine Region für die Sicherheitsgruppe aus. Sicherheitsgruppen gelten spezifisch für eine Region, daher müssen Sie die gleiche Region auswählen, in der Sie Ihr Schlüsselpaar erstellt haben.

  3. Wählen Sie im Navigationsbereich Create Security Group (Sicherheitsgruppe erstellen) aus.

  4. Geben Sie einen Namen und eine Beschreibung für die neue Sicherheitsgruppe ein. Wählen Sie einen Namen aus, den Sie sich leicht merken können, wie etwa ecs-instances-default-cluster.

  5. Vergewissern Sie sich, dass in der Liste VPC Ihre Standard-VPC ausgewählt ist. Sie ist mit einem Sternchen (*) gekennzeichnet.

    Anmerkung

    Wenn Ihr Konto Amazon EC2 Classic unterstützt, wählen Sie die VPC aus, die Sie in der vorherigen Aufgabe erstellt haben.

  6. Für Amazon ECS-Container-Instances müssen keine eingehenden Ports geöffnet sein. Allerdings empfiehlt es sich, eine SSH-Regel hinzuzufügen, sodass Sie sich bei der Container-Instance anmelden und die Aufgaben mit Docker-Befehlen prüfen können. Sie können auch Regeln für HTTP und HTTPS hinzufügen, wenn Ihre Container-Instance eine Aufgabe hosten soll, die auf einem Webserver ausgeführt wird. Container-Instances benötigen Zugriff auf ein externes Netzwerk, um mit dem Amazon ECS-Service-Endpunkt kommunizieren zu können. Führen Sie die folgenden Schritte aus, um diese optionale Regeln für die Sicherheitsgruppe hinzuzufügen.

    Erstellen Sie auf der Registerkarte Inbound (Eingehend) die folgenden Regeln (wählen Sie für jede neue Regel Add Rule (Regel hinzufügen) aus) und wählen Sie anschließend Create (Erstellen) aus:

    • Wählen Sie in der Liste Type (Typ) die Option HTTP aus und stellen Sie sicher, dass für Source (Quelle) die Option Anywhere (Beliebig) (0.0.0.0/0) festgelegt ist. Diese Option fügt automatisch den IPv4-CIDR-Block 0.0.0.0/0 als Quelle hinzu. Dies ist zwar für kurze Zeit in einer Testumgebung akzeptabel, aber für Produktionsumgebungen sehr unsicher. Autorisieren Sie in Produktionsumgebungen nur eine bestimmte IP-Adresse bzw. einen bestimmten Adressbereich für den Zugriff auf Ihre Instance.

    • Wählen Sie in der Liste Type (Typ) die Option HTTPS aus und stellen Sie sicher, dass für Source (Quelle) die Option Anywhere (Beliebig) (0.0.0.0/0) festgelegt ist. Dies ist zwar für kurze Zeit in einer Testumgebung akzeptabel, aber für Produktionsumgebungen sehr unsicher. Autorisieren Sie in Produktionsumgebungen nur eine bestimmte IP-Adresse bzw. einen bestimmten Adressbereich für den Zugriff auf Ihre Instance.

    • Wählen Sie SSH aus der Liste Type aus. Stellen Sie sicher, dass im Feld Source die Option Custom IP ausgewählt ist, und geben Sie die öffentliche IP-Adresse Ihres Computers oder Netzwerks in CIDR-Notation an. Um eine einzelne IP-Adresse in CIDR-Notation anzugeben, fügen Sie das Routing-Präfix /32 hinzu. Beispiel: Wenn Ihre IP-Adresse 203.0.113.25 lautet, geben Sie 203.0.113.25/32 an. Wenn Ihr Unternehmen Adressen aus einem Bereich zuweist, geben Sie den gesamten Bereich an, z. B. 203.0.113.0/24.

      Wichtig

      Aus Sicherheitsgründen empfehlen wir, dass Sie den SSH-Zugriff nicht von allen IP-Adressen (0.0.0.0/0) zu Ihrer Instance erlauben, es sei denn für Testzwecke und nur für kurze Zeit.

Installieren Sie AWS CLI

AWS Management Console kann zur manuellen Verwaltung aller Vorgänge mit Amazon ECS verwendet werden. Wenn allerdings AWS CLI auf Ihrem lokalen Desktop oder einer Developer-Box installiert wird, können Sie Skripts zur Automatisierung allgemeiner Verwaltungsaufgaben in Amazon ECS erstellen.

Um AWS CLI mit Amazon ECS zu verwenden, installieren Sie die aktuelle AWS CLI-Version. Informationen zur Installation von AWS CLI oder zum Upgrade auf die neueste Version finden Sie unter Installieren der AWS-Befehlszeilenschnittstelle im AWS Command Line Interface-Benutzerhandbuch.