Pelajari cara mengonfigurasi sistem file FSx for Windows File Server untuk Amazon ECS - Amazon Elastic Container Service
Prasyarat untuk tutorialLangkah 1: Buat peran akses IAMLangkah 2: Membuat Direktori Aktif Windows (AD)Langkah 3: Verifikasi dan perbarui grup keamananLangkah 4: Buat sistem file FSx for Windows File ServerLangkah 5: Buat cluster Amazon ECSLangkah 6: Buat instans Amazon EC2 Amazon ECS yang dioptimalkan oleh AmazonLangkah 7: Daftarkan ketentuan tugas WindowsLangkah 8: Jalankan tugas dan lihat hasilnyaLangkah 9: Membersihkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pelajari cara mengonfigurasi sistem file FSx for Windows File Server untuk Amazon ECS

Pelajari cara meluncurkan instans Windows yang dioptimalkan Amazon ECS yang menghosting sistem file dan wadah FSx for Windows File Server yang dapat mengakses sistem file. Untuk melakukan ini, pertama-tama Anda membuat Direktori Aktif Microsoft AWS Directory Service AWS Terkelola. Kemudian, Anda membuat sistem file dan cluster FSx for Windows File Server File Server dengan instans Amazon EC2 dan definisi tugas. Anda mengonfigurasi definisi tugas untuk kontainer Anda untuk menggunakan sistem file FSx for Windows File Server. Akhirnya, Anda menguji sistem file.

Dibutuhkan 20 hingga 45 menit setiap kali Anda meluncurkan atau menghapus baik Active Directory atau FSx for Windows File Server sistem file. Bersiaplah untuk menyimpan setidaknya 90 menit untuk menyelesaikan tutorial atau menyelesaikan tutorial selama beberapa sesi.

Prasyarat untuk tutorial

  • Pengguna administratif. Lihat Siapkan untuk menggunakan Amazon ECS.

  • (Opsional) Sebuah PEM key pair untuk menghubungkan ke instans Windows EC2 Anda melalui akses RDP. Untuk informasi tentang cara membuat pasangan kunci, lihat pasangan kunci dan instans Windows Amazon EC2 dalam Panduan Pengguna untuk Instans Windows.

  • Sebuah VPC dengan setidaknya satu subnet publik dan satu subnet privat, dan satu grup keamanan. Anda dapat menggunakan VPC default Anda. Anda tidak memerlukan gateway atau perangkat NAT. AWS Directory Service tidak mendukung Network Address Translation (NAT) dengan Direktori Aktif. Agar ini berfungsi, Active Directory, FSx for Windows File Server sistem file, ECS Cluster, dan instans EC2 harus berada di dalam VPC Anda. Untuk informasi lebih lanjut mengenai VPC dan Direktori Aktif, lihat Konfigurasi wizard konsol Amazon VPC dan Prasyarat Microsoft AD Terkelola AWS.

  • Izin IAM ecsInstanceRole dan ecsTaskExecution Peran dikaitkan dengan akun Anda. Peran terkait layanan ini memungkinkan layanan melakukan panggilan API dan mengakses kontainer, rahasia, direktori, dan server file atas nama Anda.

Langkah 1: Buat peran akses IAM

Buat klaster dengan AWS Management Console.

  1. Lihat Peran IAM instans wadah Amazon ECS untuk memeriksa apakah Anda memiliki ecsInstanceRole dan untuk melihat bagaimana Anda dapat membuatnya jika Anda tidak memilikinya.

  2. Kami merekomendasikan bahwa kebijakan peran disesuaikan untuk izin minimum di lingkungan produksi aktual. Untuk tujuan mengerjakan tutorial ini, verifikasi bahwa kebijakan AWS terkelola berikut ini melekat pada ecs InstanceRole Anda. Lampirkan kebijakan jika belum dilampirkan.

    • AmazonEC2 EC2peran ContainerServicefor

    • Inti AmazonSSM ManagedInstance

    • Akses AmazonSSM DirectoryService

    Untuk melampirkan kebijakan AWS terkelola.

    1. Buka konsol IAM.

    2. Di panel navigasi, pilih Peran.

    3. Pilih peran yang AWS dikelola.

    4. Pilih Izin, Lampirkan kebijakan.

    5. Untuk mempersempit kebijakan tersedia yang akan dilampirkan, gunakan Filter.

    6. Pilih kebijakan yang sesuai dan pilih Lampirkan kebijakan.

  3. Lihat Peran IAM eksekusi tugas Amazon ECS untuk memeriksa apakah Anda memiliki ecs TaskExecutionRole dan untuk melihat bagaimana Anda dapat membuatnya jika Anda tidak memilikinya.

    Kami merekomendasikan bahwa kebijakan peran disesuaikan untuk izin minimum di lingkungan produksi aktual. Untuk tujuan mengerjakan tutorial ini, verifikasi bahwa kebijakan AWS terkelola berikut dilampirkan ke TaskExecution Peran ecs Anda. Lampirkan kebijakan jika mereka belum dilampirkan. Gunakan prosedur yang diberikan di bagian sebelumnya untuk melampirkan kebijakan yang AWS dikelola.

    • SecretsManagerReadWrite

    • AmazonF SxRead OnlyAccess

    • Akses AmazonSSM ReadOnly

    • AmazonECS TaskExecution RolePolicy

Langkah 2: Membuat Direktori Aktif Windows (AD)

  1. Ikuti langkah-langkah yang dijelaskan dalam Create Your AWS Managed AD Directory di AWS Directory Service Administration Guide. Gunakan VPC yang telah Anda tunjuk untuk tutorial ini. Pada Langkah 3 Buat Direktori AD Terkelola AWS Anda, simpan nama pengguna dan kata sandi untuk digunakan dalam langkah berikut. Selain itu, perhatikan nama domain yang sepenuhnya memenuhi syarat untuk langkah berikutnya. Anda dapat melanjutkan untuk menyelesaikan langkah berikut selagi Direktori Aktif sedang dibuat.

  2. Buat AWS rahasia Secrets Manager untuk digunakan dalam langkah-langkah berikut. Untuk informasi selengkapnya, lihat Memulai AWS Secrets Manager di Panduan Pengguna AWS Secrets Manager.

    1. Buka konsol Secrets Manager.

    2. Klik Menyimpan rahasia baru.

    3. Pilih Tipe rahasia lainnya.

    4. Untuk Kunci/nilai rahasia, di baris pertama, buat kunci username dengan nilai admin. Klik pada + Tambahkan baris.

    5. Di baris baru, buat kunci password. Untuk nilai, ketik kata sandi yang Anda masukkan di Langkah 3 Buat Direktori AD AWS Terkelola Anda.

    6. Klik pada tombol Selanjutnya.

    7. Masukkan nama dan deskripsi. Klik Berikutnya.

    8. Klik Berikutnya. Klik Simpan.

    9. Dari daftar halaman Rahasia, klik pada rahasia yang baru saja Anda buat.

    10. Simpan ARN rahasia baru untuk digunakan dalam langkah-langkah berikut.

    11. Anda dapat melanjutkan ke langkah berikutnya selagi Direktori Aktif sedang dibuat.

Langkah 3: Verifikasi dan perbarui grup keamanan

Pada langkah ini, Anda memverifikasi dan memperbarui aturan untuk grup keamanan yang Anda gunakan. Untuk hal ini, Anda dapat menggunakan grup keamanan default yang dibuat untuk VPC Anda.

Verifikasi dan perbarui grup keamanan.

Anda perlu membuat atau mengedit grup keamanan untuk mengirim data dari dan ke port, yang dijelaskan dalam Grup Keamanan VPC Amazon di Panduan Pengguna FSx for Windows File Server. Anda dapat melakukan ini dengan membuat aturan grup keamanan inbound ditampilkan di baris pertama dari tabel aturan inbound berikut. Mengizinkan lalu lintas masuk dari antarmuka jaringan (dan instans terkait-nya) yang ditugaskan ke grup keamanan. Semua sumber daya cloud yang Anda buat berada dalam VPC yang sama dan melekat pada grup keamanan yang sama. Oleh karena itu, aturan ini memungkinkan lalu lintas dikirim ke dan dari sistem file FSx for Windows File Server, Active Directory, dan instance ECS sesuai kebutuhan. Aturan inbound lainnya mengizinkan lalu lintas untuk melayani situs web dan akses RDP untuk menghubungkan ke instans ECS Anda.

Tabel berikut menunjukkan aturan grup keamanan inbound mana yang diperlukan untuk tutorial ini.

Tipe Protokol Rentang port Sumber

Semua Lalu lintas

Semua

Semua

sg-securitygroup

HTTPS

TCP

443

0.0.0.0/0

RDP

TCP

3389

alamat IP laptop Anda

Tabel berikut menunjukkan aturan grup keamanan inbound mana yang diperlukan untuk tutorial ini.

Tipe Protokol Rentang Port Tujuan

Semua lalu lintas

Semua

Semua

0.0.0.0/0

  1. Buka Konsol EC2 dan pilih Grup Keamanan dari menu sebelah kiri.

  2. Dari daftar grup keamanan yang sekarang ditampilkan, pilih centang pada kotak centang di sebelah kiri grup keamanan yang Anda gunakan untuk tutorial ini.

    Detail grup keamanan Anda ditampilkan.

  3. Edit aturan inbound dan outbound dengan memilih tab Aturan inbound atau Aturan outbound dan memilih tombol Edit aturan inbound atau Edit aturan outbound. Edit aturan untuk mencocokkan yang ditampilkan dalam tabel sebelumnya. Setelah Anda membuat instans EC2 Anda nanti dalam tutorial ini, edit aturan inbound sumber RDP dengan alamat IP publik dari instans EC2 Anda seperti yang dijelaskan dalam Connect ke instans Windows Anda dari Panduan Pengguna Amazon EC2 untuk Instans Windows.

Langkah 4: Buat sistem file FSx for Windows File Server

Setelah grup keamanan Anda diverifikasi dan diperbarui dan Direktori Aktif Anda dibuat dan dalam status aktif, buat sistem file FSx for Windows File Server di VPC yang sama dengan Direktori Aktif Anda. Gunakan langkah-langkah berikut untuk membuat sistem file FSx for Windows File Server untuk tugas Windows Anda.

Buat sistem file pertama Anda.

  1. Buka konsol Amazon FSx.

  2. Pada dasbor, pilih Buat sistem file untuk memulai wizard pembuatan sistem file.

  3. Pada halaman Pilih jenis sistem file, pilih FSx for Windows File Server, lalu pilih Berikutnya. Halaman Buat sistem file akan muncul.

  4. Pada bagian Detail sistem file, berikan nama untuk sistem file Anda. Penamaan sistem file Anda membuatnya lebih mudah untuk menemukan dan mengelola sistem file tersebut. Anda dapat menggunakan hingga 256 karakter Unicode. Karakter yang diizinkan adalah huruf, angka, spasi, dan karakter khusus plus tanda (+). tanda minus (-), tanda sama dengan (=), titik (.), garis bawah (_), titik dua (:), garis miring (/).

  5. Untuk Tipe deployment Pilih Single-AZ untuk men-deploy sistem file yang di-deploy di Availability Zone tunggal. Single-Az 2 adalah generasi terbaru dari sistem file Availability Zone tunggal, dan mendukung penyimpanan SSD dan HDD.

  6. Untuk jenis Penyimpanan, pilih HDD.

  7. Untuk kapasitas penyimpanan, masukkan kapasitas penyimpanan minimum.

  8. Pertahankan Kapasitas throughput pada pengaturan default-nya.

  9. Di bagian Jaringan & keamanan, pilih VPC Amazon yang sama dengan yang Anda pilih untuk direktori Anda AWS Directory Service .

  10. Untuk Grup Keamanan VPC, pilih grup keamanan yang Anda verifikasi di Langkah 3: Verifikasi dan perbarui grup keamanan.

  11. Untuk otentikasi Windows, pilih Direktori Aktif Microsoft AWS Terkelola, lalu pilih AWS Directory Service direktori Anda dari daftar.

  12. Untuk Enkripsi, simpan default pengaturan Kunci enkripsi dari aws/fsx (default).

  13. Simpan pengaturan default untuk Preferensi pemeliharaan.

  14. Klik pada tombol Selanjutnya.

  15. Tinjau konfigurasi sistem file yang ditampilkan pada halaman Buat sistem file. Untuk referensi Anda, perhatikan pengaturan sistem file mana yang dapat Anda modifikasi setelah sistem file dibuat. Pilih Buat sistem file.

  16. Catat ID sistem file. Anda perlu menggunakannya di langkah selanjutnya.

    Anda dapat melanjutkan ke langkah berikutnya untuk membuat cluster dan instans EC2 sementara sistem file FSx for Windows File Server sedang dibuat.

Langkah 5: Buat cluster Amazon ECS

Buat cluster menggunakan konsol Amazon ECS

  1. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  2. Dari bilah navigasi, pilih Wilayah untuk digunakan.

  3. Di panel navigasi, pilih Klaster.

  4. Pada halaman Klaster, pilih Buat klaster.

  5. Di bawah konfigurasi Cluster, untuk nama Cluster, masukkan windows-fsx-cluster.

  6. Perluas Infrastruktur, hapus AWS Fargate (tanpa server) lalu pilih instans Amazon EC2.

    1. Untuk membuat grup Auto Scaling, dari grup Auto Scaling (ASG), pilih Buat grup baru, lalu berikan detail berikut tentang grup:

      • Untuk Sistem Operasi/Arsitektur, pilih Windows Server 2019 Core.

      • Untuk jenis instans EC2, pilih t2.medium atau t2.micro.

  7. Pilih Buat.

Langkah 6: Buat instans Amazon EC2 Amazon ECS yang dioptimalkan oleh Amazon

Buat instance penampung Amazon ECS Windows.

Untuk membuat instans Amazon ECS

  1. Gunakan aws ssm get-parameters perintah untuk mengambil nama AMI untuk Wilayah yang menghosting VPC Anda. Untuk informasi selengkapnya, lihat Mengambil metadata AMI yang dioptimalkan Amazon ECS.

  2. Gunakan konsol Amazon EC2 untuk meluncurkan instans.

    1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

    2. Dari bilah navigasi, pilih Wilayah untuk digunakan.

    3. Dari Dasbor EC2, pilih Meluncurkan instans.

    4. Untuk Nama, masukkan nama unik.

    5. Untuk Gambar Aplikasi dan OS (Gambar Mesin Amazon), di bidang pencarian, masukkan nama AMI yang Anda ambil.

    6. Untuk jenis Instance, pilih t2.medium atau t2.micro.

    7. Untuk Key pair (login), pilih key pair. Jika Anda tidak menentukan key pair, Anda

    8. Di bawah Pengaturan jaringan, untuk VPC dan Subnet, pilih VPC Anda dan subnet publik.

    9. Di bawah Pengaturan jaringan, untuk grup Keamanan, pilih grup keamanan yang ada, atau buat yang baru. Pastikan grup keamanan yang Anda pilih memiliki aturan masuk dan keluar yang ditentukan Prasyarat untuk tutorial

    10. Di bawah Pengaturan jaringan, untuk Auto-assign IP Publik, pilih Aktifkan.

    11. Perluas Detail lanjutan, lalu untuk direktori Gabung Domain, pilih ID Direktori Aktif yang Anda buat. Domain opsi ini bergabung dengan AD Anda ketika instans EC2 diluncurkan.

    12. Di bawah Detail lanjutan, untuk profil instans IAM, pilih InstanceRoleecs.

    13. Konfigurasikan instans penampung Amazon ECS Anda dengan data pengguna berikut. Di bawah Detail Lanjutan, tempelkan skrip berikut ke bidang data Pengguna, ganti cluster_name dengan nama cluster Anda.

      <powershell>
Initialize-ECSAgent -Cluster windows-fsx-cluster -EnableTaskIAMRole
</powershell>

    14. Saat Anda siap, pilih bidang pengakuan, lalu pilih Luncurkan Instans.

    15. Halaman konfirmasi memberi tahu Anda bahwa instans Anda akan diluncurkan. Pilih Lihat Instans untuk menutup halaman konfirmasi dan kembali ke konsol tersebut.

  3. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  4. Di panel navigasi, pilih Clusters, lalu pilih windows-fsx-cluster.

  5. Pilih tab Infrastructure dan verifikasi bahwa instans Anda telah terdaftar di klaster windows-fsx-cluster.

Langkah 7: Daftarkan ketentuan tugas Windows

Sebelum Anda dapat menjalankan wadah Windows di cluster Amazon ECS Anda, Anda harus mendaftarkan definisi tugas. Contoh definisi tugas berikut menampilkan halaman web sederhana. Tugas meluncurkan dua kontainer yang memiliki akses ke sistem file FSx. Kontainer pertama menulis file HTML ke sistem file. Kontainer kedua mengunduh file HTML dari sistem file dan menyediakan halaman web.

  1. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  2. Di panel navigasi, pilih Definisi tugas.

  3. Pilih Buat definisi tugas baru, Buat definisi tugas baru dengan JSON.

  4. Di kotak editor JSON, ganti nilai untuk peran eksekusi tugas Anda dan detail tentang sistem file FSx Anda, lalu pilih Simpan.

    {
    "containerDefinitions": [
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [],
            "command": ["New-Item -Path C:\\fsx-windows-dir\\index.html -ItemType file -Value '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>It Works!</h2> <p>You are using Amazon FSx for Windows File Server file system for persistent container storage.</p>' -Force"],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": false,
            "name": "container1",
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ]
        },
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [
                {
                    "hostPort": 443,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": ["Remove-Item -Recurse C:\\inetpub\\wwwroot\\* -Force; Start-Sleep -Seconds 120; Move-Item -Path C:\\fsx-windows-dir\\index.html -Destination C:\\inetpub\\wwwroot\\index.html -Force; C:\\ServiceMonitor.exe w3svc"],
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": true,
            "name": "container2"
        }
    ],
    "family": "fsx-windows",
    "executionRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    "volumes": [
        {
            "name": "fsx-windows-dir",
            "fsxWindowsFileServerVolumeConfiguration": {
                "fileSystemId": "fs-0eeb5730b2EXAMPLE",
                "authorizationConfig": {
                    "domain": "example.com",
                    "credentialsParameter": "arn:arn-1234"
                },
                "rootDirectory": "share"
            }
        }
    ]
}

Langkah 8: Jalankan tugas dan lihat hasilnya

Sebelum menjalankan tugas, verifikasi bahwa status sistem file FSx for Windows File Server Anda Tersedia. Setelah tersedia, Anda dapat menjalankan tugas menggunakan ketentuan tugas yang Anda buat. Tugas dimulai dengan membuat kontainer yang mengacak file HTML di antara mereka menggunakan sistem file. Setelah pengacakan, web server melayani halaman HTML sederhana.

catatan

Anda mungkin tidak dapat terhubung ke situs web dari VPN.

Jalankan tugas dan lihat hasilnya dengan konsol Amazon ECS.

  1. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  2. Di panel navigasi, pilih Clusters, lalu pilih windows-fsx-cluster.

  3. Pilih tab Tugas, lalu pilih Jalankan tugas baru.

  4. Untuk Tipe peluncuran, pilih EC2.

  5. Di bawah konfigurasi Deployment, untuk Task Definition, pilih fsx-windows, lalu pilih Create.

  6. Saat status tugas Anda SEDANG BERJALAN, pilih ID tugas.

  7. Di bawah Container, saat status container1 STOPTED, pilih container2 untuk melihat detail container.

  8. Di bawah rincian Container untuk container2, pilih Network binding dan kemudian klik pada alamat IP eksternal yang terkait dengan container. Peramban Anda akan membuka dan menampilkan pesan berikut.

    Amazon ECS Sample App
It Works! 
You are using Amazon FSx for Windows File Server file system for persistent container storage.
    catatan

    Mungkin perlu beberapa menit agar pesan ditampilkan. Jika Anda tidak melihat pesan ini setelah beberapa menit, periksa apakah Anda tidak menjalankan VPN dan pastikan bahwa grup keamanan untuk instance container Anda mengizinkan lalu lintas HTTP jaringan masuk pada port 443.

Langkah 9: Membersihkan

catatan

Dibutuhkan 20 hingga 45 menit untuk menghapus sistem file FSx for Windows File Server atau AD. Anda harus menunggu hingga operasi penghapusan sistem file FSx for Windows File Server selesai sebelum memulai operasi penghapusan AD.

Hapus sistem file FSx for Windows File Server.

  1. Buka konsol Amazon FSx

  2. Pilih tombol radio di sebelah kiri sistem file FSx for Windows File Server yang baru saja Anda buat.

  3. Pilih Tindakan.

  4. Pilih sistem file untuk dihapus.

Hapus iklan.

  1. Buka konsol AWS Directory Service.

  2. Pilih tombol radio di sebelah kiri AD yang baru saja Anda buat.

  3. Pilih Tindakan.

  4. Pilih Hapus direktori.

Hapus klaster .

  1. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  2. Di panel navigasi, pilih Clusters, lalu pilih fsx-windows-cluster.

  3. Pilih Hapus klaster.

  4. Masukkan frasa dan kemudian pilih Hapus.

Mengakhiri instans EC2.

  1. Buka konsol Amazon EC2.

  2. Dari menu sebelah kiri, pilih Instans.

  3. Centang kotak di sebelah kiri instans EC2 yang Anda buat.

  4. Klik status Instance, Terminate instance.

Hapus rahasia.

  1. Buka konsol Secrets Manager.

  2. Pilih rahasia yang Anda buat untuk perjalanan ini.

  3. Klik Tindakan.

  4. Pilih Hapus rahasia.