Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pantau wadah Amazon ECS dengan ECS Exec
Dengan Amazon ECS Exec, Anda dapat langsung berinteraksi dengan kontainer tanpa perlu terlebih dahulu berinteraksi dengan sistem operasi wadah host, membuka port masuk, atau mengelola kunci SSH. Anda dapat menggunakan ECS Exec untuk menjalankan perintah di atau mendapatkan shell ke wadah yang berjalan pada instans Amazon EC2 atau di. AWS Fargate Hal tersebut mempermudah pengumpulan informasi diagnostik dan memecahkan masalah kesalahan dengan cepat. Misalnya, dalam konteks pengembangan, Anda dapat menggunakan ECS Exec untuk berinteraksi dengan mudah dengan berbagai proses dalam wadah Anda dan memecahkan masalah aplikasi Anda. Dan dalam skenario produksi, Anda dapat menggunakannya untuk mendapatkan akses break-glass ke kontainer Anda untuk men-debug masalah.
Anda dapat menjalankan perintah dalam wadah Linux atau Windows yang sedang berjalan menggunakan ECS Exec dari Amazon ECS API, AWS Command Line Interface (AWS CLI), AWS SDK, atau CLI Copilot. AWS Untuk detail tentang penggunaan ECS Exec, serta panduan video, menggunakan Copilot AWS CLI, lihat dokumentasi Copilot. GitHub
Anda juga dapat menggunakan ECS Exec untuk mempertahankan kebijakan kontrol akses yang lebih ketat dan mengaudit akses kontainer. Dengan mengaktifkan fitur ini secara selektif, Anda dapat mengendalikan siapa yang dapat menjalankan perintah dan ditugas mana mereka dapat menjalankan perintah tersebut. Dengan log dari setiap perintah dan outputnya, Anda dapat menggunakan ECS Exec untuk mengaudit tugas mana yang dijalankan dan Anda dapat menggunakan CloudTrail untuk mengaudit siapa yang mengakses wadah.
Pertimbangan untuk menggunakan ECS Exec
Untuk topik ini, Anda harus terbiasa dengan aspek-aspek berikut yang terlibat dengan penggunaan ECS Exec:
-
ECS Exec saat ini tidak didukung menggunakan file. AWS Management Console
-
ECS Exec didukung untuk tugas-tugas yang berjalan pada infrastruktur berikut:
-
Wadah Linux di Amazon EC2 pada AMI yang dioptimalkan Amazon ECS, termasuk Bottlerocket
-
Wadah Linux dan Windows pada instance eksternal (Amazon ECS Anywhere)
-
Wadah Linux dan Windows di AWS Fargate
-
Kontainer Windows di Amazon EC2 pada AMI yang dioptimalkan Windows Amazon ECS berikut (dengan versi
1.56agen kontainer atau yang lebih baru):-
Amazon ECS yang dioptimalkan Windows Server 2022 AMI Penuh
-
Server Windows 2022 AMI Inti yang dioptimalkan Amazon ECS
-
Amazon ECS yang dioptimalkan Windows Server 2019 AMI Penuh
-
Amazon ECS yang dioptimalkan Windows Server 2019 Core AMI
-
Amazon ECS yang dioptimalkan Windows Server 20H2 Core AMI
-
-
-
ECS Exec dan Amazon VPC
-
Jika Anda menggunakan antarmuka titik akhir Amazon VPC dengan Amazon ECS, Anda harus membuat antarmuka titik akhir Amazon VPC untuk Systems Manager Session Manager ().
ssmmessagesUntuk informasi selengkapnya tentang titik akhir VPC Systems Manager, lihat Menggunakan AWS PrivateLink untuk menyiapkan titik akhir VPC untuk Session Manager di Panduan Pengguna.AWS Systems Manager -
Jika Anda menggunakan antarmuka titik akhir Amazon VPC dengan Amazon ECS, dan Anda menggunakan AWS KMS key untuk enkripsi, maka Anda harus membuat antarmuka titik akhir Amazon VPC untuk. AWS KMS keyUntuk informasi selengkapnya, lihat Menghubungkan ke AWS KMS key melalui titik akhir VPC di Panduan Pengembang.AWS Key Management Service
-
Jika Anda memiliki tugas yang berjalan di instans Amazon EC2, gunakan
awsvpcmode jaringan. Jika Anda tidak memiliki akses internet, seperti tidak dikonfigurasi untuk menggunakan gateway NAT), Anda harus membuat antarmuka titik akhir Amazon VPC untuk Systems Manager Session Manager ().ssmmessagesUntuk informasi selengkapnya tentang pertimbangan modeawsvpcjaringan, lihat Pertimbangan. Untuk informasi selengkapnya tentang titik akhir VPC Systems Manager, lihat Menggunakan AWS PrivateLink untuk menyiapkan titik akhir VPC untuk Session Manager di Panduan Pengguna.AWS Systems Manager
-
-
ECS Exec dan SSM
-
Ketika pengguna menjalankan perintah pada wadah menggunakan ECS Exec, perintah ini dijalankan sebagai pengguna.
rootAgen SSM dan proses turunannya berjalan sebagai root bahkan ketika Anda menentukan ID pengguna untuk wadah. -
Agen SSM mengharuskan sistem file kontainer dapat ditulis untuk membuat direktori dan file yang diperlukan. Oleh karena itu, membuat sistem file root hanya-baca menggunakan parameter ketentuan tugas
readonlyRootFilesystem, atau metode lainnya, tidak didukung. -
Meskipun memulai sesi SSM di luar
execute-commandtindakan dimungkinkan, ini mengakibatkan sesi tidak dicatat dan dihitung terhadap batas sesi. Kami menyarankan untuk membatasi akses ini dengan menolakssm:start-sessiontindakan menggunakan kebijakan IAM. Untuk informasi selengkapnya, lihat Membatasi akses ke tindakan Memulai Sesi.
-
-
Fitur berikut berjalan sebagai wadah sespan. Oleh karena itu, Anda harus menentukan nama kontainer untuk menjalankan perintah.
-
Pemantauan Runtime
-
Layanan Connect
-
-
Pengguna dapat menjalankan semua perintah yang tersedia dalam konteks kontainer. Tindakan berikut mungkin mengakibatkan proses tanpa induk dan zombie: mengakhiri proses utama kontainer, mengakhiri agen perintah, dan menghapus dependensi. Untuk membersihkan proses zombie, sebaiknya tambahkan flag
initProcessEnableduntuk ketentuan tugas Anda. -
ECS Exec menggunakan beberapa CPU dan memori. Anda akan ingin mengakomodasinya saat menentukan alokasi sumber daya CPU dan memori dalam ketentuan tugas Anda.
-
Anda harus menggunakan AWS CLI versi
1.22.3atau yang lebih baru atau AWS CLI versi2.3.6atau yang lebih baru. Untuk informasi tentang cara memperbarui AWS CLI, lihat Menginstal atau memperbarui versi terbaru dari AWS CLI Panduan AWS Command Line Interface Pengguna Versi 2. -
Anda hanya dapat memiliki satu sesi ECS Exec per namespace ID proses (PID). Jika Anda berbagi namespace PID dalam tugas, Anda hanya dapat memulai sesi ECS Exec ke dalam satu wadah.
-
Sesi ECS Exec memiliki waktu tunggu idle 20 menit. Nilai ini tidak dapat diubah.
-
Anda tidak dapat mengaktifkan ECS Exec untuk tugas yang ada. Itu hanya dapat dihidupkan untuk tugas-tugas baru.
-
Anda tidak dapat menggunakan ECS Exec saat digunakan
run-taskuntuk meluncurkan tugas di klaster yang menggunakan penskalaan terkelola dengan penempatan asinkron (meluncurkan tugas tanpa instance). -
Anda tidak dapat menjalankan ECS Exec terhadap kontainer Microsoft Nano Server. Untuk informasi selengkapnya tentang kontainer Server Nano, lihat Server Nano di situs web
Docker.
Prasyarat untuk menggunakan ECS Exec
Sebelum Anda mulai menggunakan ECS Exec, pastikan Anda telah menyelesaikan tindakan ini:
-
Instal dan konfigurasikan AWS CLI. Untuk informasi selengkapnya, lihat AWS CLI.
-
Instal plugin Session Manager untuk file AWS CLI. Untuk informasi selengkapnya, lihat Instal plugin Pengelola Sesi untuk AWS CLI.
-
Anda harus menggunakan peran tugas dengan izin yang sesuai untuk ECS Exec. Untuk informasi selengkapnya, lihat Peran IAM Tugas.
-
ECS Exec memiliki persyaratan versi tergantung pada apakah tugas Anda di-host di Amazon EC2 atau: AWS Fargate
-
Jika Anda menggunakan Amazon EC2, Anda harus menggunakan AMI Amazon ECS yang dioptimalkan yang dirilis setelah 20 Januari 2021, dengan versi agen 1.50.2 atau lebih tinggi. Untuk informasi selengkapnya, lihat AMI yang dioptimalkan Amazon ECS.
-
Jika Anda menggunakan AWS Fargate, Anda harus menggunakan versi platform
1.4.0atau lebih tinggi (Linux) atau1.0.0(Windows). Untuk informasi selengkapnya, lihat Versi platform AWS Fargate.
-
Arsitektur
ECS Exec menggunakan Manajer Sesi AWS Systems Manager (SSM) untuk membuat koneksi dengan wadah yang sedang berjalan dan menggunakan kebijakan AWS Identity and Access Management (IAM) untuk mengontrol akses ke perintah yang sedang berjalan dalam wadah yang sedang berjalan. Hal ini dimungkinkan dengan mengikat pemasangan biner SSM agent yang diperlukan ke dalam kontainer. Amazon ECS atau AWS Fargate agen bertanggung jawab untuk memulai agen inti SSM di dalam wadah bersama kode aplikasi Anda. Untuk informasi selengkapnya, lihat Systems Manager Session Manager.
Anda dapat mengaudit pengguna mana yang mengakses container menggunakan ExecuteCommand event in AWS CloudTrail dan mencatat setiap perintah (dan outputnya) ke Amazon S3 atau Amazon CloudWatch Logs. Untuk mengenkripsi data antara klien lokal dan wadah dengan kunci enkripsi Anda sendiri, Anda harus memberikan kunci AWS Key Management Service (AWS KMS).
Menggunakan ECS Exec
Perubahan ketentuan tugas opsional
Jika Anda menyetel parameter definisi tugas initProcessEnabled ketrue, ini memulai proses init di dalam wadah. Ini menghapus proses anak agen SSM zombie yang ditemukan. Contoh disediakan seperti berikut.
{ "taskRoleArn": "ecsTaskRole", "networkMode": "awsvpc", "requiresCompatibilities": [ "EC2", "FARGATE" ], "executionRoleArn": "ecsTaskExecutionRole", "memory": ".5 gb", "cpu": ".25 vcpu", "containerDefinitions": [ { "name": "amazon-linux", "image": "amazonlinux:latest", "essential": true, "command": ["sleep","3600"], "linuxParameters": { "initProcessEnabled":true} } ], "family": "ecs-exec-task" }
Mengaktifkan ECS Exec untuk tugas dan layanan Anda
Anda dapat mengaktifkan fitur ECS Exec untuk layanan dan tugas mandiri Anda dengan menentukan --enable-execute-command tanda saat menggunakan salah satu AWS CLI perintah berikut: create-service,,, update-serviceatau. start-taskrun-task
Misalnya, jika Anda menjalankan perintah berikut, fitur ECS Exec diaktifkan untuk layanan yang baru dibuat yang berjalan di Fargate. Untuk informasi selengkapnya tentang membuat layanan, lihat buat-layanan.
aws ecs create-service \ --clustercluster-name\ --task-definitiontask-definition-name\ --enable-execute-command \ --service-nameservice-name\ --launch-type FARGATE --network-configuration "awsvpcConfiguration={subnets=[subnet-12344321],securityGroups=[sg-12344321],assignPublicIp=ENABLED}" \ --desired-count 1
Setelah Anda mengaktifkan ECS Exec untuk tugas, Anda dapat menjalankan perintah berikut untuk mengonfirmasi tugas siap digunakan. Jika properti lastStatus dari ExecuteCommandAgent terdaftar sebagai RUNNING dan properti enableExecuteCommand diatur ke true, maka tugas Anda sudah siap.
aws ecs describe-tasks \ --clustercluster-name\ --taskstask-id
Potongan output berikut adalah contoh apa yang mungkin Anda lihat.
{ "tasks": [ { ... "containers": [ { ... "managedAgents": [ { "lastStartedAt": "2021-03-01T14:49:44.574000-06:00", "name": "ExecuteCommandAgent", "lastStatus": "RUNNING" } ] } ], ... "enableExecuteCommand": true, ... } ] }
Menjalankan perintah menggunakan ECS Exec
Setelah Anda telah mengonfirmasi bahwa ExecuteCommandAgent sedang berjalan, Anda dapat membuka shell interaktif pada kontainer Anda dengan menggunakan perintah berikut. Jika tugas Anda berisi beberapa kontainer, Anda harus menentukan nama kontainer menggunakan --container bendera. Amazon ECS hanya mendukung memulai sesi interaktif, jadi Anda harus menggunakan bendera. --interactive
Perintah berikut akan menjalankan /bin/sh perintah interaktif terhadap kontainer bernama container-name
Task-id adalah Nama Sumber Daya Amazon (ARN) dari tugas tersebut.
aws ecs execute-command --clustercluster-name\ --tasktask-id\ --containercontainer-name\ --interactive \ --command"/bin/sh"
Logging dan Audit menggunakan ECS Exec
Mengaktifkan pencatatan dan audit dalam tugas dan layanan Anda
penting
Untuk informasi selengkapnya tentang CloudWatch harga, lihat CloudWatch Harga
Amazon ECS menyediakan konfigurasi default untuk perintah logging yang dijalankan menggunakan ECS Exec dengan mengirimkan log ke CloudWatch Log menggunakan driver awslogs log yang dikonfigurasi dalam definisi tugas Anda. Jika Anda ingin menyediakan konfigurasi kustom, AWS CLI
mendukung flag --configuration untuk kedua perintah create-cluster dan update-cluster. Penting juga untuk mengetahui bahwa image kontainer memerlukan script dan cat diinstal agar log perintah diunggah dengan benar ke Amazon S3 CloudWatch atau Log. Untuk informasi selengkapnya tentang pembuatan klaster, lihat buat-klaster.
catatan
Konfigurasi ini hanya menangani pencatatan sesi execute-command. Konfigurasi tersebut tidak memengaruhi pencatatan aplikasi Anda.
Contoh berikut membuat klaster dan kemudian mencatat output ke CloudWatch Log LogGroup bernama cloudwatch-log-group-name dan bucket Amazon S3 Anda bernama. s3-bucket-name
Anda harus menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi grup log saat Anda mengatur CloudWatchEncryptionEnabled opsi ketrue. Untuk informasi tentang cara mengenkripsi grup log, lihat Mengenkripsi data CloudWatch log di Log menggunakan AWS Key Management Service, di Amazon CloudWatch Logs Panduan Pengguna.
aws ecs create-cluster \ --cluster-namecluster-name\ --configuration executeCommandConfiguration="{ \ kmsKeyId=string, \ logging=OVERRIDE, \ logConfiguration={ \ cloudWatchLogGroupName=cloudwatch-log-group-name, \ cloudWatchEncryptionEnabled=true, \ s3BucketName=s3-bucket-name, \ s3EncryptionEnabled=true, \ s3KeyPrefix=demo\ } \ }"
loggingProperti menentukan perilaku kemampuan logging ECS Exec:
-
NONE: logging dimatikan. -
DEFAULT: log dikirim keawslogsdriver yang dikonfigurasi. Jika driver tidak dikonfigurasi, maka tidak ada log yang disimpan. -
OVERRIDE: log dikirim ke CloudWatch Log Amazon yang disediakan LogGroup, bucket Amazon S3, atau keduanya.
Izin IAM diperlukan untuk Amazon CloudWatch Log atau Amazon S3 Logging
Untuk mengaktifkan logging, peran tugas Amazon ECS yang direferensikan dalam definisi tugas Anda harus memiliki izin tambahan. Izin tambahan ini dapat ditambahkan sebagai kebijakan untuk peran tugas. Mereka berbeda tergantung pada apakah Anda mengarahkan log Anda ke Amazon CloudWatch Log atau Amazon S3.
Izin IAM diperlukan untuk enkripsi menggunakan milik Anda sendiri AWS KMS key (kunci KMS)
Secara default, data yang ditransfer antara klien lokal Anda dan penampung menggunakan enkripsi TLS 1.2 yang AWS menyediakan. Untuk mengenkripsi data lebih lanjut menggunakan kunci KMS Anda sendiri, Anda harus membuat kunci KMS dan menambahkan kms:Decrypt izin ke peran IAM tugas Anda. Izin ini digunakan oleh kontainer Anda untuk mendekripsi data. Untuk informasi selengkapnya tentang membuat kunci KMS, lihat Membuat kunci.
Anda menambahkan kebijakan sebaris berikut ke peran IAM tugas yang memerlukan izin. AWS KMS Untuk informasi selengkapnya, lihat Izin IAM diperlukan untuk ECS Exec.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "kms-key-arn" } ] }
Agar data dienkripsi menggunakan kunci KMS Anda sendiri, pengguna atau grup yang menggunakan execute-command tindakan harus diberikan izin. kms:GenerateDataKey
Contoh kebijakan berikut untuk pengguna atau grup Anda berisi izin yang diperlukan untuk menggunakan kunci KMS Anda sendiri. Anda harus menentukan Nama Sumber Daya Amazon (ARN) dari kunci KMS Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "kms-key-arn" } ] }
Menggunakan kebijakan IAM untuk membatasi akses ke ECS Exec
Anda membatasi akses pengguna ke tindakan API perintah eksekusi dengan menggunakan satu atau beberapa kunci kondisi kebijakan IAM berikut:
-
aws:ResourceTag/clusterTagKey -
ecs:ResourceTag/clusterTagKey -
aws:ResourceTag/taskTagKey -
ecs:ResourceTag/taskTagKey -
ecs:container-name -
ecs:cluster -
ecs:task -
ecs:enable-execute-command
Dengan contoh berikut kebijakan IAM, pengguna dapat menjalankan perintah dalam wadah yang berjalan dalam tugas dengan tag yang memiliki environment kunci dan development nilai dan dalam klaster yang diberi cluster-name nama.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ExecuteCommand", "ecs:DescribeTasks" ], "Resource": [ "arn:aws:ecs:region:aws-account-id:task/cluster-name/*", "arn:aws:ecs:region:aws-account-id:cluster/*" ], "Condition": { "StringEquals": { "ecs:ResourceTag/environment": "development" } } } ] }
Dengan contoh kebijakan IAM berikut, pengguna tidak dapat menggunakan execute-command API saat nama kontainer. production-app
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ecs:ExecuteCommand" ], "Resource": "*", "Condition": { "StringEquals": { "ecs:container-name": "production-app" } } } ] }
Dengan kebijakan IAM berikut, pengguna hanya dapat meluncurkan tugas ketika ECS Exec dimatikan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:RunTask", "ecs:StartTask", "ecs:CreateService", "ecs:UpdateService" ], "Resource": "*", "Condition": { "StringEquals": { "ecs:enable-execute-command": "false" } } } ] }
catatan
Karena tindakan API execute-command hanya berisi sumber daya tugas dan klaster dalam sebuah permintaan, maka yang dievaluasi adalah tanda klaster dan tugas.
Untuk informasi selengkapnya tentang kunci kondisi kebijakan IAM, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon Elastic Container Service di Referensi Otorisasi Layanan.
Membatasi akses ke tindakan Memulai Sesi
Meskipun memulai sesi SSM di wadah Anda di luar ECS Exec dimungkinkan, ini berpotensi mengakibatkan sesi tidak dicatat. Sesi yang dimulai di luar ECS Exec juga dihitung terhadap kuota sesi. Sebaiknya batasi akses ini dengan menolak ssm:start-session tindakan secara langsung untuk tugas Amazon ECS Anda menggunakan kebijakan IAM. Anda dapat menolak akses ke semua tugas Amazon ECS atau ke tugas tertentu berdasarkan tag yang digunakan.
Berikut ini adalah contoh kebijakan IAM yang menolak akses ke ssm:start-session tindakan untuk tugas di semua Wilayah dengan nama cluster tertentu. Anda dapat menyertakan wildcard dengan cluster-name
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:StartSession", "Resource": [ "arn:aws:ecs:region:aws-account-id:task/cluster-name/*", "arn:aws:ecs:region:aws-account-id:cluster/*" ] } ] }
Berikut ini adalah contoh kebijakan IAM yang menolak akses ke ssm:start-session tindakan pada sumber daya di semua Wilayah yang ditandai dengan kunci tag Task-Tag-Key dan nilai tag. Exec-Task
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:StartSession", "Resource": "arn:aws:ecs:*:*:task/*", "Condition": { "StringEquals": { "aws:ResourceTag/Task-Tag-Key": "Exec-Task" } } } ] }
Untuk bantuan terkait masalah apa pun yang mungkin Anda hadapi saat menggunakan Amazon ECS Exec, lihat Memecahkan masalah dengan Exec.
