Découvrez comment configurer les systèmes de fichiers FSx for Windows File Server pour Amazon ECS - Amazon Elastic Container Service
Prérequis pour le didacticielÉtape 1 : Créer des rôles IAM d'accèsÉtape 2 : Créer un Active Directory (AD) WindowsÉtape 3 : Vérifier et mettre à jour votre groupe de sécuritéÉtape 4 :Créer un système de fichiers Amazon FSx for Windows File ServerÉtape 5 : créer un cluster Amazon ECSÉtape 6 : créer une instance Amazon EC2 optimisée pour Amazon ECSÉtape 7 : Enregistrement d'une définition de tâche WindowsÉtape 8 : Exécuter une tâche et afficher les résultatsÉtape 9 : nettoyer

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Découvrez comment configurer les systèmes de fichiers FSx for Windows File Server pour Amazon ECS

Découvrez comment lancer une instance Windows optimisée pour Amazon ECS qui héberge un système de fichiers FSx for Windows File Server et des conteneurs pouvant accéder au système de fichiers. Pour ce faire, vous devez d'abord créer un Microsoft Active Directory AWS Directory Service AWS géré. Vous créez ensuite un système de fichiers et un cluster de serveurs de fichiers FSx for Windows File Server avec une instance Amazon EC2 et une définition de tâche. Vous configurez la définition de tâche pour vos conteneurs afin qu'ils utilisent le système de fichiers FSx for Windows File Server. Enfin, vous testez le système de fichiers.

Il faut 20 à 45 minutes chaque fois que vous lancez ou supprimez le système de fichiers Active Directory ou FSx for Windows File Server. Préparez-vous à réserver au moins 90 minutes pour terminer le didacticiel ou le compléter en quelques sessions.

Prérequis pour le didacticiel

  • Un utilisateur administratif. veuillez consulter Configurer l'utilisation d'Amazon ECS.

  • (Facultatif) Une paire de clés PEM permettant de vous connecter à votre instance Windows EC2 via un accès RDP. Pour de plus amples informations sur la création d'une paire de clés, veuillez consulter Paires de clés Amazon EC2 et instances Windows dans le Guide de l'utilisateur Amazon EC2 pour les instances Windows.

  • Un VPC avec au moins un sous-réseau public et un sous-réseau privé et un groupe de sécurité. Vous pouvez utiliser votre VPC par défaut. Vous n'avez pas besoin d'une passerelle ou d'un périphérique NAT. AWS Directory Service ne prend pas en charge la traduction d'adresses réseau (NAT) avec Active Directory. Pour que cela fonctionne, le répertoire Active Directory, le système de fichiers FSx for Windows File Server, le cluster ECS et l'instance EC2 doivent se trouver dans votre VPC. Pour plus d'informations sur les VPC et Active Directory, consultez Configurations de l'assistant de la console Amazon VPC et AWS Managed Microsoft AD Prerequisites.

  • Les autorisations IAM ecsInstanceRole et ecsTaskExecution Role sont associées à votre compte. Ces rôles liés à un service permettent aux services d'effectuer des appels d'API et d'accéder aux conteneurs, secrets, répertoires et serveurs de fichiers en votre nom.

Étape 1 : Créer des rôles IAM d'accès

Créez un cluster avec la AWS Management Console.

  1. Vérifiez si vous en avez un ecsInstanceRole et comment vous pouvez en créer un si vous n'en avez pas. Rôle IAM d'instance de conteneur Amazon ECS

  2. Nous recommandons que les stratégies de rôle soient personnalisées pour les autorisations minimales dans un environnement de production réel. Pour suivre ce didacticiel, vérifiez que la politique AWS gérée suivante est attachée à votre ecsInstanceRole. Joignez la stratégie si elle n'est pas déjà attachée.

    • Rôle Amazon EC2 EC2 ContainerServicefor

    • Noyau Amazon SSM ManagedInstance

    • Accès Amazon SSM DirectoryService

    Pour associer des politiques AWS gérées.

    1. Ouvrez la console IAM.

    2. Dans le panneau de navigation, choisissez Roles (Rôles).

    3. Choisissez un rôle géré par AWS .

    4. Choisissez Autorisations, Attacher des stratégies.

    5. Pour réduire le nombre de stratégies disponibles à attacher, utilisez Filter (Filtrer).

    6. Sélectionnez la stratégie appropriée, puis choisissez Attach policy (Attacher la stratégie).

  3. Vérifiez si vous avez un ecs TaskExecutionRole et comment vous pouvez en créer un si vous n'en avez pas. Rôle IAM d'exécution de tâche Amazon ECS

    Nous recommandons que les stratégies de rôle soient personnalisées pour les autorisations minimales dans un environnement de production réel. Pour suivre ce didacticiel, vérifiez que les politiques AWS gérées suivantes sont associées à votre TaskExecution rôle ecs. Attachez les stratégies si elles ne sont pas déjà attachées. Utilisez la procédure décrite dans la section précédente pour associer les politiques AWS gérées.

    • SecretsManagerReadWrite

    • Amazon F SxRead OnlyAccess

    • Accès Amazon SSM ReadOnly

    • AmazonECS TaskExecution RolePolicy

Étape 2 : Créer un Active Directory (AD) Windows

  1. Suivez les étapes décrites dans la section Create Your AWS Managed AD Directory Directory Guide du Guide d'administration du AWS Directory Service. Utilisez le VPC que vous avez désigné pour ce didacticiel. À l'étape 3 de Create Your AWS Managed AD Directory, enregistrez le nom d'utilisateur et le mot de passe à utiliser dans une étape ultérieure. Notez également le nom de domaine complet pour les prochaines étapes. Vous pouvez effectuer l'étape suivante pendant la création du répertoire Active Directory.

  2. Créez un AWS secret du Gestionnaire de Secrets à utiliser dans les étapes suivantes. Pour plus d'informations, consultez Getting Started with AWS Secrets Manager dans le guide de l'utilisateur de AWS Secrets Manager.

    1. Ouvrez la console Secrets Manager.

    2. Cliquez sur Store a new secret (Stocker un nouveau secret).

    3. Sélectionnez Other type of secrets (Autres types de secrets).

    4. Pour Secret key/value (Valeur clé secrète) dans la première ligne, créez une clé username avec la valeur admin. Cliquez sur + Add row (+ Ajouter une ligne).

    5. Dans la nouvelle ligne, créez une clé password. Pour obtenir de la valeur, saisissez le mot de passe que vous avez saisi à l'étape 3 de la section Création de votre annuaire AD AWS géré.

    6. Cliquez sur Next (Suivant).

    7. Fournissez un nom et une description de secret. Cliquez sur Next (Suivant).

    8. Cliquez sur Next (Suivant). Cliquez sur Store (Stocker).

    9. À partir de la page Secrets, cliquez sur le secret que vous venez de créer.

    10. Enregistrez l'ARN du nouveau secret pour l'utiliser dans les étapes suivantes.

    11. Vous pouvez passer à l'étape suivante pendant la création de votre répertoire Active Directory.

Étape 3 : Vérifier et mettre à jour votre groupe de sécurité

Dans cette étape, vous vérifiez et mettez à jour les règles du groupe de sécurité que vous utilisez. Pour cela, vous pouvez utiliser le groupe de sécurité par défaut qui a été créé pour votre VPC.

Vérifiez et mettez à jour le groupe de sécurité.

Vous devez créer ou modifier votre groupe de sécurité pour envoyer des données depuis et vers les ports. Celles-ci sont décrites dans la section Groupes de sécurité Amazon VPC du Guide de l'utilisateur FSx for Windows File Server. Pour ce faire, créez la règle entrante du groupe de sécurité affichée dans la première ligne du tableau suivant des règles entrantes. Cette règle autorise le trafic entrant à partir d'interfaces réseau (et de leurs instances associées) affectées au groupe de sécurité. Toutes les ressources cloud que vous créez se trouvent au sein du même VPC et sont rattachées au même groupe de sécurité. Par conséquent, cette règle autorise l'envoi du trafic vers et depuis le système de fichiers FSx for Windows File Server, Active Directory et l'instance ECS selon les besoins. Les autres règles entrantes autorisent le trafic à servir le site web et l'accès RDP pour la connexion à votre instance ECS.

Le tableau suivant indique les règles entrantes de groupe de sécurité requises pour ce didacticiel.

Type Protocole Plage de ports Source

Tout le trafic

Tous

Tous

sg-securitygroup

HTTPS

TCP

443

0.0.0.0/0

RDP

TCP

3389

l'adresse IP de votre ordinateur portable

Le tableau suivant indique les règles sortantes du groupe de sécurité requises pour ce didacticiel.

Type Protocole Plage de ports Destination

Tout le trafic

Tous

Tous

0.0.0.0/0

  1. Ouvrez la console EC2 et sélectionnez Security groups (Groupes de sécurité) depuis le menu de gauche.

  2. Dans la liste des groupes de sécurité qui s'affiche, cochez la case située à gauche du groupe de sécurité que vous utilisez pour ce didacticiel.

    Les informations de votre groupe de sécurité s'affichent.

  3. Modifiez les règles entrantes et sortantes en sélectionnant l'onglet Inbound rules (Règles entrantes) ou Outbound rules (Règles sortantes) et en cliquant sur Edit inbound rules (Modifier les règles entrantes) ou Edit outbound rules (Modifier les règles sortantes). Modifiez les règles pour qu'elles correspondent à celles affichées dans les tableaux précédents. Après avoir créé votre instance EC2 ultérieurement dans ce didacticiel, modifiez la source RDP de la règle entrante avec l'adresse IP publique de votre instance EC2 tel que décrit dans la section Connectez-vous à votre instance Windows du Guide de l'utilisateur Amazon EC2 pour les instances Windows.

Étape 4 :Créer un système de fichiers Amazon FSx for Windows File Server

Une fois que votre groupe de sécurité est vérifié et mis à jour et que votre répertoire Active Directory est créé avec l'état active (actif), créez le système de fichiers FSx for Windows File Server dans le même VPC que votre répertoire Active Directory. Suivez les étapes suivantes pour créer un système de fichiers FSx for Windows File Server.

Créez votre premier système de fichiers.

  1. Ouvrez la console Amazon FSx.

  2. Dans Sur le tableau de bord, choisissez Create file system (Créer un système de fichiers) pour ouvrir l'assistant de création de système de fichiers.

  3. Sur la page Select file system type (Sélectionner le type de système de fichiers), choisissez FSx for Windows File Server, puis Next (Suivant). La page Create file system (Créer un système de fichiers) s'affiche.

  4. Dans la section File system details (Informations du système de fichiers), indiquez un nom pour votre système de fichiers. Donner un nom à vos systèmes de fichiers facilite leur recherche et leur gestion. Vous pouvez utiliser jusqu'à 256 caractères Unicode. Les caractères autorisés sont les lettres, les chiffres, les espaces et les caractères spéciaux suivants : signe plus (+), signe moins (-), signe égal (=), point (.), trait de soulignement (_), deux points (:) et barre oblique (/).

  5. Pour Deployment type (Type de déploiement), choisissez Single-AZ (Mono-AZ) afin de déployer un système de fichiers qui est déployé dans une seule zone de disponibilité. Mono-AZ 2 est la dernière génération de systèmes de fichiers de zone de disponibilité unique et prend en charge le stockage SSD et HDD.

  6. Pour Storage type (Type de stockage), choisissez HDD.

  7. Pour Storage capacity (Capacité de stockage), saisissez la capacité de stockage minimale.

  8. Conservez la valeur par défaut de Throughput capacity (Capacité de débit).

  9. Dans la section Réseau et sécurité, choisissez le même Amazon VPC que celui que vous avez choisi pour votre AWS Directory Service annuaire.

  10. Pour VPC Security Groups (Groupes de sécurité VPC), choisissez le groupe de sécurité que vous avez vérifié à l'Étape 3 : Vérifier et mettre à jour votre groupe de sécurité.

  11. Pour Windows authentication (Authentification Windows), choisissez AWS Managed Microsoft Active Directory (Annuaire Microsoft Active Directory géré par ), puis choisissez votre répertoire AWS Directory Service dans la liste.

  12. Pour Encryption (Chiffrement), conservez la valeur par défaut du paramètre Encryption key (Clé de chiffrement), aws/fsx (default) (aws/fsx [par défaut]).

  13. Conservez les paramètres par défaut pour Maintenance preferences (Préférences de maintenance).

  14. Cliquez sur Next (Suivant).

  15. Vérifiez la configuration du système de fichiers qui s'affiche sur la page Create file system (Créer un système de fichiers). Pour référence, notez les paramètres du système de fichiers que vous pouvez modifier une fois le système de fichiers créé. Choisissez Create file system (Créer un système de fichiers).

  16. Notez l'ID du système de fichiers. Vous en aurez besoin dans une étape ultérieure.

    Vous pouvez passer aux étapes suivantes pour créer un cluster et une instance EC2 pendant la création du système de fichiers FSx for Windows File Server.

Étape 5 : créer un cluster Amazon ECS

Création d'un cluster à l'aide de la console Amazon ECS

  1. Ouvrez la console à partir de l'adresse https://console.aws.amazon.com/ecs/v2.

  2. Dans la barre de navigation, sélectionnez la région à utiliser.

  3. Dans le panneau de navigation, choisissez Clusters.

  4. Sur la page Clusters, choisissez Create Cluster (Créer un cluster).

  5. Sous Configuration de cluster, pour Nom du cluster, saisissez windows-fsx-cluster.

  6. Étendez l'infrastructure, AWS Fargate effacez (sans serveur), puis sélectionnez les instances Amazon EC2.

    1. Pour créer un groupe Auto Scaling, depuis Auto Scaling group (ASG) (Groupe Auto Scaling [ASG]), sélectionnez Create new group (Créer un nouveau groupe), puis fournissez les détails suivants sur le groupe :

      • Dans Système d'exploitation/Architecture, choisissez Windows Server 2019 Core.

      • Pour Type d'instance EC2, choisissez t2.medium ou t2.micro.

  7. Choisissez Créer.

Étape 6 : créer une instance Amazon EC2 optimisée pour Amazon ECS

Créez une instance de conteneur Windows Amazon ECS.

Pour créer une instance Amazon ECS

  1. Utilisez la commande aws ssm get-parameters pour récupérer le nom d'AMI de la région qui héberge votre VPC. Pour plus d'informations, consultez Extraction des métadonnées d'AMI optimisée pour Amazon ECS.

  2. Utilisez la console Amazon EC2 pour lancer l'instance.

    1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

    2. Dans la barre de navigation, sélectionnez la région à utiliser.

    3. Sur le tableau de bord EC2, sélectionnez Launch instance (Lancer une instance).

    4. Pour Name (Nom), saisissez un nom unique.

    5. Pour Images de l'application et du SE (Amazon Machine Image), dans le champ de recherche, saisissez le nom de l'AMI que vous avez récupérée.

    6. Pour Type d'instance, choisissez t2.medium ou t2.micro.

    7. Pour Key pair (login) (Paire de clés (connexion)), choisissez une paire de clés. Si vous ne spécifiez pas de paire de clés, vous

    8. Sous Paramètres réseau, pour VPC et Sous-réseau, choisissez votre VPC et un sous-réseau public.

    9. Sous Network Settings (Paramètres réseau), pour Security group (Groupe de sécurité), choisissez un groupe de sécurité existant ou créez-en un nouveau. Assurez-vous que le groupe de sécurité que vous choisissez possède les règles entrantes et sortantes définies dans Prérequis pour le didacticiel.

    10. Sous Network settings (Paramètres réseau), pour Auto-assign Public IP (Attribuer automatiquement l'adresse IP publique), sélectionnez Enable (Activer).

    11. Développez Détails avancés, puis pour Répertoire de jonction de domaines, sélectionnez l'ID de l'Active Directory que vous avez créé. Cette option de jonction de domaines joint votre répertoire AD lorsque l'instance EC2 est lancée.

    12. Sous Détails avancés, pour le profil d'instance IAM, sélectionnez ecs. InstanceRole

    13. Configurez votre instance de conteneur Amazon ECS avec les données utilisateur suivantes. Sous Advanced Details (Détails avancés), collez le script suivant dans le champ User data (Données utilisateur), en remplaçant cluster_name par le nom de votre cluster.

      <powershell>
Initialize-ECSAgent -Cluster windows-fsx-cluster -EnableTaskIAMRole
</powershell>

    14. Lorsque vous êtes prêt, cochez la case de confirmation, puis sélectionnez Launch Instances (Lancer des instances).

    15. Une page de confirmation indique que l'instance est en cours de lancement. Sélectionnez View Instances (Afficher les instances) pour fermer la page de confirmation et revenir à la console.

  3. Ouvrez la console à partir de l'adresse https://console.aws.amazon.com/ecs/v2.

  4. Dans le panneau de navigation, choisissez Clusters, puis choisissez windows-fsx-cluster.

  5. Choisissez l'onglet Infrastructure et vérifiez que votre instance a été enregistrée dans le cluster windows-fsx-cluster.

Étape 7 : Enregistrement d'une définition de tâche Windows

Avant de pouvoir exécuter des conteneurs Windows dans votre cluster Amazon ECS, vous devez enregistrer une définition de tâche. L'exemple de définition de tâche suivant affiche une page Web simple. La tâche lance deux conteneurs qui ont accès au système de fichiers FSx. Le premier conteneur écrit un fichier HTML dans le système de fichiers. Le deuxième conteneur télécharge le fichier HTML à partir du système de fichiers et sert la page web.

  1. Ouvrez la console à partir de l'adresse https://console.aws.amazon.com/ecs/v2.

  2. Dans le panneau de navigation, choisissez Task definitions (Définition des tâches).

  3. Choisissez Create new task definition (Créer une nouvelle définition de tâche), puis Create new task definition with JSON (Créer une nouvelle définition de tâche avec JSON).

  4. Dans la zone de l'éditeur JSON, remplacez les valeurs pour votre rôle d'exécution de tâche et les détails sur votre système de fichiers FSx, puis choisissez Enregistrer.

    {
    "containerDefinitions": [
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [],
            "command": ["New-Item -Path C:\\fsx-windows-dir\\index.html -ItemType file -Value '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>It Works!</h2> <p>You are using Amazon FSx for Windows File Server file system for persistent container storage.</p>' -Force"],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": false,
            "name": "container1",
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ]
        },
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [
                {
                    "hostPort": 443,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": ["Remove-Item -Recurse C:\\inetpub\\wwwroot\\* -Force; Start-Sleep -Seconds 120; Move-Item -Path C:\\fsx-windows-dir\\index.html -Destination C:\\inetpub\\wwwroot\\index.html -Force; C:\\ServiceMonitor.exe w3svc"],
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": true,
            "name": "container2"
        }
    ],
    "family": "fsx-windows",
    "executionRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    "volumes": [
        {
            "name": "fsx-windows-dir",
            "fsxWindowsFileServerVolumeConfiguration": {
                "fileSystemId": "fs-0eeb5730b2EXAMPLE",
                "authorizationConfig": {
                    "domain": "example.com",
                    "credentialsParameter": "arn:arn-1234"
                },
                "rootDirectory": "share"
            }
        }
    ]
}

Étape 8 : Exécuter une tâche et afficher les résultats

Avant d'exécuter la tâche, vérifiez que l'état de votre système de fichiers FSx for Windows File Server est Available (Disponible). Si c'est le cas, vous pouvez exécuter une tâche à l'aide de la définition de tâche que vous avez créée. La tâche commence par créer des conteneurs qui remanient un fichier HTML sur eux à l'aide du système de fichiers. Après le remaniement, un serveur web sert la page HTML simple.

Note

Il se peut que vous ne parveniez pas à vous connecter au site web depuis un VPN.

Exécutez une tâche et affichez les résultats à l'aide de la console Amazon ECS.

  1. Ouvrez la console à partir de l'adresse https://console.aws.amazon.com/ecs/v2.

  2. Dans le panneau de navigation, choisissez Clusters, puis choisissez windows-fsx-cluster.

  3. Choisissez l'onglet Tâches, puis Exécuter une nouvelle tâche.

  4. Pour Launch Type (Type de lancement), choisissez EC2.

  5. Sous Configuration du déploiement, pour Définition de tâche, sélectionnez fsx-windows, puis sélectionnez Créer.

  6. Lorsque le statut de votre tâche est EN COURS D'EXÉCUTION, sélectionnez l'ID de la tâche.

  7. Sous Conteneurs, lorsque le statut container1 est ARRÊTÉ, sélectionnez container2 pour afficher les détails du conteneur.

  8. Dans Informations sur le conteneur pour container2, sélectionnez Liaisons réseau, puis cliquez sur l'adresse IP externe associée au conteneur. Votre navigateur s'ouvre et affiche le message suivant.

    Amazon ECS Sample App
It Works! 
You are using Amazon FSx for Windows File Server file system for persistent container storage.
    Note

    L'affichage du message peut prendre quelques minutes. Si ce message ne s'affiche pas après plusieurs minutes, vérifiez que vous n'exécutez pas dans un VPN et assurez-vous que le groupe de sécurité de votre instance de conteneur autorise le trafic HTTP réseau entrant sur le port 443.

Étape 9 : nettoyer

Note

La suppression du système de fichiers FSx for Windows File Server ou du répertoire AD prend 20 à 45 minutes. Vous devez attendre que les opérations de suppression du système de fichiers FSx for Windows File Server soient terminées avant de lancer les opérations de suppression du répertoire AD.

Supprimez le système de fichiers FSx for Windows File Server.

  1. Ouvrez la console Amazon FSx.

  2. Cliquez sur la case d'option située à gauche du système de fichiers FSx for Windows File Server que vous venez de créer.

  3. Choisissez Actions.

  4. Sélectionnez Delete file system (Supprimer le système de fichiers).

Supprimez le répertoire AD.

  1. Ouvrez la AWS Directory Service console.

  2. Cliquez sur la case d'option située à gauche du répertoire AD que vous venez de créer.

  3. Choisissez Actions.

  4. Sélectionnez Delete directory (Supprimer le répertoire).

Supprimez le cluster.

  1. Ouvrez la console à partir de l'adresse https://console.aws.amazon.com/ecs/v2.

  2. Dans le panneau de navigation, choisissez Clusters, puis choisissez fsx-windows-cluster.

  3. Choisissez Supprimer le cluster.

  4. Saisissez l'expression, puis choisissez Supprimer.

Résiliez l'instance EC2.

  1. Ouvrez la console Amazon EC2.

  2. Dans le menu de gauche, sélectionnez Instances.

  3. Cochez la case située à gauche de l'instance EC2 que vous avez créée.

  4. Cliquez sur État de l'instance, puis sur Résilier l'instance.

Supprimez le secret.

  1. Ouvrez la console Secrets Manager.

  2. Sélectionnez le secret que vous avez créé pour cette démonstration.

  3. Cliquez sur Actions.

  4. Sélectionnez Delete secret (Supprimer le secret).