Configurer l'utilisation d'Amazon ECS

Si vous êtes déjà inscrit à Amazon Web Services (AWS) et que vous avez utilisé Amazon Elastic Compute Cloud (Amazon EC2), vous pouvez presque utiliser Amazon ECS. Le processus de configuration est très similaire pour les deux services. Le guide suivant vous prépare au lancement de votre premier cluster Amazon ECS.

Effectuez les tâches suivantes pour vous préparer à utiliser Amazon ECS.

Inscrivez-vous pour un Compte AWS

Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.

Pour vous inscrire à un Compte AWS

1. Ouvrez https://portal.aws.amazon.com/billing/signup.

2. Suivez les instructions en ligne.

   Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

   Lorsque vous vous inscrivez à un Compte AWS, un Utilisateur racine d'un compte AWSest créé. Par défaut, seul l’utilisateur root a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur administratif, et à uniquement utiliser l’utilisateur root pour effectuer tâches nécessitant un accès utilisateur root.

AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. Vous pouvez afficher l’activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en cliquant sur Mon compte.

Création d'un utilisateur administratif

Après vous être inscrit à un Compte AWS, sécurisez Utilisateur racine d'un compte AWS AWS IAM Identity Center, activez et créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisez votre Utilisateur racine d'un compte AWS

1. Connectez-vous en AWS Management Consoletant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.

   Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur root, consultez Connexion en tant qu’utilisateur root dans le Guide de l’utilisateur Connexion à AWS .

2. Activez l’authentification multifactorielle (MFA) pour votre utilisateur root.

   Pour obtenir des instructions, voir Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console) dans le guide de l'utilisateur IAM.

Création d’un utilisateur administratif

1. Activez IAM Identity Center.

   Pour obtenir des instructions, consultez Activation d’ AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

2. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur administratif.

   Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center dans le Guide de AWS IAM Identity Center l'utilisateur.

Connexion en tant qu’utilisateur administratif

• Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.

  Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section Connexion au portail AWS d'accès dans le guide de l'Connexion à AWS utilisateur.

Créer un Virtual Private Cloud

Vous pouvez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour lancer AWS des ressources dans un réseau virtuel que vous avez défini. Nous vous recommandons de lancer vos instances de conteneurs dans un VPC.

Si vous avez un VPC par défaut, vous pouvez ignorer cette section et passer à la tâche suivante, Création d’un groupe de sécurité. Pour déterminer si vous disposez d'un VPC par défaut, veuillez consulter Plateformes prises en charge sur la console Amazon EC2 dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux. Sinon, vous pouvez créer dans votre compte un VPC autre qu'un VPC par défaut en suivant les étapes ci-après.

Important

Si votre compte prend en charge Amazon EC2 Classic dans une région, vous n'avez pas de VPC par défaut dans cette région.

Pour plus d'informations sur la création d'un VPC, veuillez consulter Créer un VPC uniquement dans le Guide de l'utilisateur Amazon VPC et utilisez le tableau suivant pour déterminer quelles options sélectionner.

Option	Valeur
Ressources à créer	VPC uniquement
Nom	Vous pouvez, si vous le souhaitez, nommer votre VPC.
Bloc d'adresse CIDR IPv4	Entrée manuelle CIDR IPv4 La taille du bloc d'adresse CIDR doit être comprise entre /16 et /28.
Bloc d'adresse CIDR IPv6	Pas de bloc d'adresse CIDR IPv6
Location	Par défaut

Pour plus d'informations sur Amazon VPC, consultez Qu'est-ce qu'Amazon VPC ? dans le Guide de l'utilisateur Amazon VPC.

Création d’un groupe de sécurité

Les groupes de sécurité font office de pare-feu pour les instances de conteneur associées, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance de conteneur. Vous pouvez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter à votre instance de conteneur à partir de votre adresse IP avec SSH. Vous pouvez aussi ajouter des règles qui permettent les accès HTTP et HTTPS entrants et sortants depuis n'importe quel emplacement. Ajoutez des règles pour ouvrir les ports qui sont requis par vos tâches. Les instances de conteneur ont besoin d'un accès réseau externe pour communiquer avec le point de terminaison d'Amazon ECS service.

Si vous prévoyez de lancer des instances de conteneur dans plusieurs régions, vous devez créer un groupe de sécurité dans chaque région. Pour de plus amples 'informations, veuillez consulter Régions et zones de disponibilité dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Astuce

Vous avez besoin de l'adresse IP publique de votre ordinateur local, que vous pouvez obtenir à l'aide d'un service. Par exemple, nous fournissons le service suivant : http://checkip.amazonaws.com/ ou https://checkip.amazonaws.com/. Pour trouver un autre service qui fournit votre adresse IP, utilisez l'expression de recherche « what is my IP address » (quelle est mon adresse IP). Si votre connexion s'effectue via un fournisseur d'accès Internet (FAI) ou derrière un pare-feu sans adresse IP statique, vous devez déterminer la plage d'adresses IP utilisée par les ordinateurs clients.

Pour plus d'informations sur la création d'un groupe de sécurité, consultez Création d'un groupe de sécurité dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux et utilisez le tableau suivant pour déterminer quelles options sélectionner.

Option	Valeur
Région	La même région que celle que vous avez créée avec votre paire de clés.
Nom	Un nom facile à retenir, tel que ecs-instances-default-cluster.
VPC	VPC par défaut (marqué par « (par défaut) »). Note Si votre compte prend en charge Amazon EC2 Classic, sélectionnez le VPC créé lors de l'étape précédente.

Pour obtenir des informations sur les règles de trafic sortant à ajouter pour vos cas d'utilisation, veuillez consulter Règles de groupe de sécurité pour différents cas d'utilisation dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Les instances de conteneur Amazon ECS ne nécessitent pas que tous les ports entrants soient ouverts. Vous pouvez toutefois ajouter une règle SSH, afin de vous connecter à l'instance de conteneur et d'examiner les tâches avec les commandes Docker. Vous pouvez également ajouter des règles pour HTTP et HTTPS si vous voulez que votre instance de conteneur héberge une tâche qui exécute un serveur web. Les instances de conteneur ont besoin d'un accès réseau externe pour communiquer avec le point de terminaison d'Amazon ECS service. Appliquez la procédure suivante pour ajouter ces règles de groupe de sécurité facultatives.

Ajoutez les trois règles entrantes suivantes à votre groupe de sécurité. Pour plus d'informations sur le mode de création d'un groupe de sécurité, consultez la section Ajout de règles à votre groupe de sécurité dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Option	Valeur
Règle HTTP	Type : HTTP Source : n'importe où (0.0.0.0/0) Cette option ajoute automatiquement le bloc d'adresse CIDR IPv4 0.0.0.0/0 en tant que source. Cette solution est acceptable pour une brève durée dans un environnement de test, mais n'est pas sûre dans des environnements de production. Dans un environnement de production, vous autorisez uniquement l'accès à votre instance pour une adresse IP ou une plage d'adresses spécifiques.
Règle HTTP	Type : HTTPS Source : n'importe où (0.0.0.0/0) Cette solution est acceptable pour une brève durée dans un environnement de test, mais n'est pas sûre dans des environnements de production. Dans un environnement de production, vous autorisez uniquement l'accès à votre instance pour une adresse IP ou une plage d'adresses spécifiques.
Règle SSH	Type : SSH Source : choisissez Custom (Personnalisée) et spécifiez l'adresse IP publique de votre ordinateur ou réseau en notation CIDR. Pour spécifier une adresse IP individuelle en notation CIDR, ajoutez le préfixe de routage /32. Par exemple, si votre adresse IP est 203.0.113.25, spécifiez 203.0.113.25/32. Si votre entreprise alloue des adresses à partir d'une plage, spécifiez la plage complète, telle que 203.0.113.0/24. Important Pour des raisons de sécurité, il est déconseillé d'autoriser l'accès de SSH à votre instance à partir de toutes les adresses IP (0.0.0.0/0), si ce n'est à titre de test et pour une très brève durée.

Créer les informations d'identification pour vous connecter à votre instance EC2

Pour Amazon ECS, une paire de clés n'est nécessaire que si vous avez l'intention d'utiliser le type de lancement EC2.

AWS utilise le chiffrement à clé publique pour sécuriser les informations de connexion de votre instance. Une instance Linux, comme une instance de conteneur Amazon ECS, n'a aucun mot de passe à utiliser pour l'accès SSH. Une paire de clés vous permet de vous connecter en toute sécurité à votre instance. Vous devez indiquer le nom de la paire de clés au lancement de votre instance de conteneur, puis fournir la clé privée lorsque vous vous connectez avec SSH.

Si vous n'avez pas encore créé de paire de clés, vous pouvez le faire à l'aide de la console Amazon EC2. Si vous prévoyez de lancer des instances dans plusieurs régions, vous devez créer une paire de clés dans chaque région. Pour de plus amples informations sur les régions, veuillez consulter Régions et zones de disponibilité dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Création d’une paire de clés

• Utilisez la console Amazon EC2 pour créer une paire de clés. Pour plus d'informations sur la création d'une paire de clés, consultez Create a key pair (Création d'une paire de clés) dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Pour plus d'informations sur la façon de se connecter à votre instance, consultez Connect to your Linux instance dans le guide de l'utilisateur Amazon EC2 pour les instances Linux.

Installez le AWS CLI

Il AWS Management Console peut être utilisé pour gérer toutes les opérations manuellement avec Amazon ECS. Cependant, vous pouvez l'installer AWS CLI sur votre bureau local ou sur un boîtier de développement afin de créer des scripts capables d'automatiser les tâches de gestion courantes dans Amazon ECS.

Pour l'utiliser AWS CLI avec Amazon ECS, installez la dernière AWS CLI version. Pour plus d'informations sur l'installation AWS CLI ou la mise à niveau vers la dernière version, consultez la section Installation de l'interface de ligne de AWS commande dans le guide de AWS Command Line Interface l'utilisateur.