Configuración con Amazon ECS - Amazon Elastic Container Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración con Amazon ECS

Si ya se ha inscrito en Amazon Web Services (AWS) y ha empezado a usar Amazon Elastic Compute Cloud (Amazon EC2), está muy de cerca de poder usar Amazon ECS. El proceso de configuración para los dos servicios es similar. La siguiente guía le prepara para lanzar su primer Amazon ECS clúster.

Lleve a cabo las siguientes tareas para obtener la configuración de Amazon ECS.

Inscripción en AWS

Al registrarse en AWS, su cuenta de AWS se registra automáticamente en todos los servicios, incluidos Amazon EC2 y Amazon ECS. Solo se le cobrará por los servicios que utilice.

Si ya dispone de una cuenta de AWS, pase a la siguiente tarea. Si no dispone de una cuenta de AWS, utilice el siguiente procedimiento para crear una.

Para crear una cuenta de AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones en línea.

    Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

Anote su número de cuenta de AWS porque lo necesitará en la siguiente tarea.

Creación de un usuario de IAM

Cuando obtenga acceso a los servicios de AWS, como Amazon EC2 y Amazon ECS, debe proporcionar credenciales para que estos puedan determinar si tiene permiso de acceso a sus recursos. La consola requiere que especifique la contraseña. Puede crear claves de acceso para su cuenta de AWS para tener acceso a la interfaz de línea de comandos o API. No obstante, no recomendamos que obtenga acceso a AWS con las credenciales de su cuenta de AWS; es mejor que utilice AWS Identity and Access Management (IAM) en su lugar. Cree un usuario de IAM y agréguelo a un grupo de IAM con permisos administrativos, o conceda al usuario permisos administrativos. Después podrá obtener acceso a AWS mediante una dirección URL especial y las credenciales del usuario de IAM

Si se ha inscrito en AWS pero no ha creado un usuario de IAM para usted, puede crearlo en la consola de IAM

Para crearse usted mismo un usuario administrador y agregarlo a un grupo de administradores (consola)

  1. Inicie sesión en la consola de IAM como el propietario de la cuenta; para ello, elija usuario raíz y escriba su dirección de correo electrónico de la cuenta de AWS. En la siguiente página, escriba su contraseña.

    nota

    Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAM Administrator como se indica a continuación y guardar de forma segura las credenciales de usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas de administración de servicios y de cuentas.

  2. En el panel de navegación, elija Users (Usuarios) y, a continuación, elija Add user (Añadir usuario).

  3. En User name (Nombre de usuario), escriba Administrator.

  4. Marque la casilla situada junto a Consola de administración de AWS access (Acceso a la Consola de administración de AWS). A continuación, seleccione Custom password (Contraseña personalizada) y luego escriba la nueva contraseña en el cuadro de texto.

  5. (Opcional) De forma predeterminada, AWS requiere al nuevo usuario que cree una nueva contraseña la primera vez que inicia sesión. Puede quitar la marca de selección de la casilla de verificación situada junto a User must create a new password at next sign-in (El usuario debe crear una nueva contraseña en el siguiente inicio de sesión) para permitir al nuevo usuario restablecer su contraseña después de iniciar sesión.

  6. Elija Next: Permissions.

  7. En Set permissions (Establecer persmisos), elija Add user to group (Añadir usuario a grupo).

  8. Elija Create group (Crear grupo).

  9. En el cuadro de diálogo Create group (Crear grupo), en Group name (Nombre del grupo) escriba Administrators.

  10. Elija Filter policies (Filtrar políticas) y, a continuación, seleccione AWS managed -job function (Función de trabajo administrada por AWS) para filtrar el contenido de la tabla.

  11. En la lista de políticas, active la casilla de verificación AdministratorAccess. A continuación, elija Create group (Crear grupo).

    nota

    Debe activar el acceso de usuarios y roles de IAM a Facturación para poder utilizar la los permisos AdministratorAccess para el acceso a la consola de AWS Billing and Cost Management. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.

  12. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si es necesario para ver el grupo en la lista.

  13. Elija Next: Tags (Siguiente: Etiquetas).

  14. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de entidades de IAM en la Guía del usuario de IAM.

  15. Elija Next: Review para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario. Cuando esté listo para continuar, elija Create user (Crear usuario).

Puede usar este mismo proceso para crear más grupos y usuarios y para conceder a los usuarios acceso a los recursos de la cuenta de AWS. Para obtener información sobre cómo usar las políticas que restringen los permisos de los usuarios a recursos de AWS específicos, consulte Administración de acceso y Políticas de ejemplo.

Para iniciar sesión como este nuevo usuario de IAM, cierre la sesión de la consola de AWS y después utilice la siguiente dirección URL, donde su_id_de_cuenta_de_aws será su número de cuenta de AWS sin los guiones (por ejemplo, si su número de cuenta de AWS es 1234-5678-9012, su ID de cuenta de AWS será 123456789012):

https://your_aws_account_id.signin.aws.amazon.com/console/

Escriba el nombre y la contraseña del usuario de IAM que acaba de crear. Cuando haya iniciado sesión, en la barra de navegación se mostrará "su_nombre_de_usuario @ su_id_de_cuenta_de_aws".

Si no desea que la dirección URL de la página de inicio de sesión contenga el ID de su cuenta de AWS, puede crear un alias de cuenta. En la parte superior del IAM panel, a la derecha del enlace de inicio de sesión, elija Customize (Personalizar) y escriba un alias, como el nombre de su empresa. Para iniciar sesión después de crear un alias de cuenta, use la siguiente dirección URL:

https://your_account_alias.signin.aws.amazon.com/console/

Para verificar el enlace de inicio de sesión de IAM los usuarios de de su cuenta, abra la IAM consola de y compruebe el enlace de inicio de sesión IAM de los usuarios de en el panel.

Para obtener más información sobre IAM, consulte la guía del usuario de AWS Identity and Access Management.

Crear un par de claves

Para Amazon ECS, solo se necesita un par de claves si va a utilizar el tipo de lanzamiento EC2

AWS utiliza criptografía de clave pública para proteger la información de inicio de sesión de la instancia. Una instancia de Linux como, por ejemplo, una instancia de contenedor de Amazon ECS, no tiene contraseña para acceder a SSH. Utilice un par de claves para iniciar sesión de forma segura en la instancia. Usted especifica el nombre del par de claves cuando lanza la instancia de contenedor, luego proporciona la clave privada cuando inicia sesión con SSH.

Si aún no ha creado un par de claves, puede crear uno con la consola de Amazon EC2 Si pretende lanzar instancias en varias regiones deberá crear un par de claves en cada una de ellas. Para obtener más información sobre las regiones, consulte Regiones y zonas de disponibilidad en la Guía del usuario de Amazon EC2 para instancias de Linux.

Para crear un par de claves

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En la barra de navegación, seleccione una región para el par de claves. Puede seleccionar cualquier región disponible, independientemente de su ubicación. Sin embargo, los pares de claves son específicos de una región. Por ejemplo, si tiene previsto lanzar una instancia de contenedor en la Región EE.UU Este (Ohio), debe crear un par de claves para la instancia en la Región EE.UU Este (Ohio).

    
						Seleccione una región
  3. En el panel de navegación, en NETWORK & SECURITY, seleccione Key Pairs.

    sugerencia

    El panel de navegación se encuentra en el lado izquierdo de la consola de . Si no ve el panel, puede que este se haya minimizado; elija la flecha para ampliar el panel. Es posible que tenga que desplazarse hacia abajo para ver el enlace Key Pairs (Pares de claves).

    
						Apertura de la página de pares de claves
  4. Seleccione Create Key Pair.

  5. Escriba un nombre para el nuevo par de claves en el campo Key pair name (Nombre del par de claves) del cuadro de diálogo Create Key Pair (Crear par de claves) y, a continuación, seleccione Create (Crear). Utilice un nombre fácil de recordar, como su nombre de usuario de IAM, seguido de -key-pair y del nombre de la región. Por ejemplo, me-key-pairuseast2.

  6. Su navegador descargará el archivo de clave privada automáticamente. El nombre del archivo base es el nombre que especificó como nombre del par de claves y la extensión del archivo es .pem. Guarde el archivo de clave privada en un lugar seguro.

    importante

    Esta es la única oportunidad para guardar el archivo de clave privada. Proporcione el nombre de su par de claves al lanzar una instancia y la clave privada correspondiente cada vez que se conecte a dicha instancia.

  7. Si utiliza un cliente SSH en un equipo macOS o Linux para conectarse a su instancia de Linux, utilice el siguiente comando para establecer los permisos de su archivo de clave privada de modo que solo usted pueda leerlo.

    chmod 400 your_user_name-key-pair-region_name.pem

Para obtener más información, consulte Pares de claves de Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

Para conectarse a la instancia mediante el par de claves

Para conectarse a la instancia de Linux desde un equipo que ejecute macOS o Linux, especifique el .pem archivo a su cliente SSH con la -i opción y la ruta a su clave privada. Para conectarse a la instancia de Linux desde un equipo con Windows, puede utilizar MindTerm o PuTTY. Si tiene previsto utilizar PuTTY, deberá instalarlo y utilizar el siguiente procedimiento para convertir el archivo .pem en un archivo .ppk

Para prepararse para conectarse a una instancia de Linux desde Windows mediante PuTTY

  1. Descargue PuTTY desde http://www.chiark.greenend.org.uk/~sgtatham/putty/. e instálelo. Asegúrese de instalar el conjunto completo.

  2. Inicie PuTTYgen (por ejemplo, desde el menú Inicio, elija Todos los programas > PuTTY > PuTTYgen).

  3. En Type of key to generate (Tipo de clave a generar), elija RSA.

    
						SSH-2 RSA en PuTTYgen
  4. Elija Load (Cargar). De forma predeterminada, PuTTYgen muestra solo archivos con la extensión .ppk. Para localizar el .pem archivo, seleccione la opción para mostrar todos los tipos de archivos.

    
						Selección de todos los tipos de archivos
  5. Seleccione el archivo de clave privada que creó en el procedimiento anterior y elija Open (Abrir). Elija OK (Aceptar) para descartar el cuadro de diálogo de confirmación.

  6. Elija Save private key (Guardar clave privada). PuTTYgen muestra una advertencia sobre guardar la clave sin contraseña. Elija Yes (Sí).

  7. Especifique mismo el nombre de clave que utilizó para el par de claves. PuTTY añade automáticamente la extensión de archivo .ppk

Crear una nube virtual privada

Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual que haya definido. Sugerimos lanzar las instancias de contenedor en una VPC.

nota

La experiencia de primera ejecución de la consola de Amazon ECS crea una VPC para el clúster. Por lo tanto, si va a utilizar la consola de Amazon ECS, vaya directamente a la sección siguiente.

Si dispone de una VPC predeterminada, también puede omitir esta sección y pasar a la siguiente tarea Crear un grupo de seguridad. Para determinar si dispone de una VPC predeterminada, consulte Plataformas admitidas en la consola de Amazon Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux. Si no tiene, puede crear una no predeterminada en su cuenta. Para ello, siga los pasos que se indican a continuación.

importante

Si su cuenta admite Amazon EC2 Classic en una región, entonces no dispone de una VPC predeterminada en esa región.

Para crear una VPC no predeterminada

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En la barra de navegación, seleccione una región para la VPC. VPCs son específicos de una región, por lo que debe seleccionar la misma región en la que creó el par de claves.

  3. En el panel de VPC, elija Launch VPC Wizard (Lanzar el asistente de VPC).

  4. En la página Step 1: Select a VPC Configuration (Paso 1: Seleccionar una configuración de la VPC), asegúrese de que esté seleccionada la opción VPC with a Single Public Subnet (VPC con una única subred pública) y elija Select (Seleccionar).

  5. En la página Step 2: VPC with a Single Public Subnet (Paso 2: VPC con una única subred pública), escriba un nombre fácil de recordar para la VPC en el campo VPC name (Nombre de VPC). Deje los valores predeterminados en las demás opciones de configuración y elija Create VPC (Crear VPC). En la página de confirmación, seleccione OK.

Para obtener más información sobre las Amazon VPC, consulte ¿Qué es Amazon VPC? en la Guía del usuario de Amazon VPC.

Crear un grupo de seguridad

Los grupos de seguridad actúan como un cortafuegos para las instancias de contenedor asociadas, al controlar el tráfico entrante y saliente en el nivel de instancia del contenedor. Es posible añadir reglas a un grupo de seguridad que le permita conectarse a la instancia de contenedor desde su dirección IP mediante SSH. También se pueden añadir reglas que permitan HTTP de entrada y salida y acceso HTTPS desde cualquier lugar. Añada reglas para abrir los puertos requeridos por las tareas. Las instancias de contenedor necesitan acceso de red externo para comunicarse con el punto de enlace de servicio de Amazon ECS.

nota

La experiencia de primer uso de la consola de Amazon ECS crea un grupo de seguridad para las instancias y un balanceador de carga basado en la definición de tarea que utilice. Por tanto, si va utilizar la consola de Amazon ECS puede pasar a la sección siguiente.

Si pretende lanzar instancias de contenedor en varias regiones deberá crear un grupo de seguridad por región. Para obtener más información, consulte Regiones y zonas de disponibilidad en la Guía del usuario de Amazon EC2 para instancias de Linux.

sugerencia

Necesitará la dirección IP pública de su equipo local, que puede obtener mediante un servicio. Por ejemplo, proporcionamos el siguiente servicio: http://checkip.amazonaws.com/ o https://checkip.amazonaws.com/. Para buscar otro servicio que le brinde su dirección IP, utilice la frase de búsqueda "what is my IP address" (cuál es mi dirección IP). Si se conecta a través de un proveedor de Internet (ISP) o protegido por un firewall sin una dirección IP estática, debe identificar el rango de direcciones IP utilizadas por los equipos cliente.

Para crear un grupo de seguridad con los privilegios mínimos

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En la barra de navegación, seleccione una región para el grupo de seguridad. Cada grupo de seguridad corresponde a una región específica, así que deberá seleccionar la región en la que creó el par de claves.

  3. En el panel de navegación, seleccione Security Groups, Create Security Group.

  4. Escriba un nombre y una descripción para el nuevo grupo de seguridad. Elija un nombre que sea fácil de recordar, como ecs-instances-default-cluster.

  5. En la lista VPC, asegúrese de que su VPC predeterminada esté seleccionada. Está marcada con un asterisco (*).

    nota

    Si su cuenta admite Amazon EC2 Classic;, seleccione la VPC que haya creado en la tarea anterior.

  6. Amazon ECSLas instancias de contenedor de no requieren la apertura de ningún puerto de entrada. Sin embargo, probablemente desee añadir una regla SSH para iniciar sesión en la instancia del contenedor y examinar las tareas con comandos de Docker. También puede añadir reglas para HTTP y HTTPS si desea que su instancia de contenedor pueda alojar una tarea que se ejecuta un servidor web. Las instancias de contenedor necesitan acceso de red externo para comunicarse con el punto de enlace de servicio de Amazon ECS. Siga los pasos a continuación para añadir estas reglas de grupo de seguridad opcionales.

    En la pestaña Inbound (Entrada), cree las siguientes reglas (elija Add Rule (Añadir regla) para cada nueva regla) y, a continuación, elija Create (Crear):

    • Seleccione HTTP en la lista Type y asegúrese de que Source está ajustado en Anywhere (0.0.0.0/0).

    • Seleccione HTTPS en la lista Type y asegúrese de que Source está ajustado en Anywhere (0.0.0.0/0).

    • Elija SSH en la lista Type (Tipo). En el campo Source (Origen), asegúrese de que la opción Custom IP (IP personalizada) esté seleccionada y especifique la dirección IP pública de su equipo o red en notación CIDR. Para especificar una dirección IP individual en notación CIDR, añada el prefijo de enrutamiento /32. Por ejemplo, si su dirección IP es 203.0.113.25, especifique 203.0.113.25/32. Si su empresa asigna direcciones de un rango, especifique el rango completo, como 203.0.113.0/24.

      importante

      Por motivos de seguridad, recomendamos que no permita acceso SSH desde todas las direcciones IP (0.0.0.0/0) a la instancia, excepto con fines de prueba y solamente durante un breve periodo.

Instale la AWS CLI

La Consola de administración de AWS se puede utilizar para administrar todas las operaciones manualmente con Amazon ECS. Sin embargo, la instalación de la AWS CLI en su escritorio local o en un equipo de desarrollo le permite crear scripts que pueden automatizar tareas de administración comunes en Amazon ECS.

Para utilizar la AWS CLI con Amazon ECS, instale la última versión de la AWS CLI Para obtener más información sobre cómo instalar la AWS CLI o cómo actualizarla a la versión más reciente, consulte Instalación de la interfaz de línea de comandos de AWS en la AWS Command Line Interface Guía del usuario.