Scopri come configurare FSx i file system Windows File Server per Amazon ECS - Amazon Elastic Container Service
Prerequisiti per il tutorialFase 1: Creazione dei ruoli di accesso IAMFase 2: Creazione di Windows Active Directory (AD)Fase 3: Verifica e aggiornamento del gruppo di sicurezzaPassaggio 4: crea un file system FSx per Windows File ServerFase 5: Creazione di un cluster Amazon ECSFase 6: creare un'istanza Amazon ottimizzata per Amazon EC2 ECSFase 7: Registrazione di una definizione di attività di WindowsFase 8: Esecuzione di un processo e visualizzazione dei risultatiFase 9: Pulizia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scopri come configurare FSx i file system Windows File Server per Amazon ECS

Scopri come avviare un'istanza Windows ottimizzata per Amazon ECS che ospita un file system FSx per Windows File Server e contenitori in grado di accedere al file system. A tale scopo, è innanzitutto necessario creare un Microsoft Active Directory AWS Directory Service AWS gestito. Quindi, crei un file system e un cluster FSx per Windows File Server File Server con un' EC2 istanza Amazon e una definizione di attività. Configurate la definizione delle attività per i contenitori in modo che utilizzino il file system FSx per Windows File Server. Infine, esegui il test del file system.

Occorrono dai 20 ai 45 minuti ogni volta che si avvia o si elimina il file system Active Directory o il file system FSx per Windows File Server. Considera almeno 90 minuti per completare il tutorial oppure completalo in più sessioni.

Prerequisiti per il tutorial

  • Un utente amministratore. Consultare Configurazione per l'uso di Amazon ECS.

  • (Facoltativo) Una PEM key pair per la connessione all'istanza di EC2 Windows tramite accesso RDP. Per informazioni su come creare coppie di chiavi, consulta le coppie di EC2 chiavi Amazon e EC2 le istanze Amazon nella Amazon EC2 User Guide.

  • Un VPC con almeno una sottorete pubblica e una sottorete privata e un gruppo di sicurezza. È possibile utilizzare il VPC di default. Non è necessario un gateway o un dispositivo NAT. AWS Directory Service non supporta Network Address Translation (NAT) con Active Directory. Perché ciò funzioni, il file system Active Directory, FSx per Windows File Server, il cluster ECS e l'EC2 istanza devono trovarsi all'interno del VPC. Per ulteriori informazioni su VPCs Active Directory, consulta Creazione di un VPC e Prerequisiti per la creazione di un Microsoft AWS AD gestito.

  • Le autorizzazioni IAM ecsInstanceRole e ecsTaskExecution Role sono associate al tuo account. Questi ruoli collegati ai servizi consentono ai servizi di effettuare chiamate API e accedere a container, segreti, directory e server di file per tuo conto.

Fase 1: Creazione dei ruoli di accesso IAM

Crea un cluster con la AWS Management Console.

  1. Verifica se ne possiedi uno ecsInstanceRole e scopri come puoi crearne uno se non ne hai uno. Ruolo IAM delle istanze di container Amazon ECS

  2. Consigliamo di personalizzare le policy dei ruoli per ottenere autorizzazioni minime in un ambiente di produzione effettivo. Per completare questo tutorial, verifica che la seguente politica AWS gestita sia allegata al tuoecsInstanceRole. Collega la policy, se non è già collegata.

    • EC2ContainerServiceforEC2Ruolo di Amazon

    • Amazon SSMManaged InstanceCore

    • Amazon SSMDirectory ServiceAccess

    Per allegare politiche AWS gestite.

    1. Aprire la console IAM.

    2. Nel pannello di navigazione, selezionare Ruoli.

    3. Scegli un ruolo gestito da AWS .

    4. Scegli Autorizzazioni, Collega policy.

    5. Per limitare le policy disponibili da collegare, utilizza Filtro.

    6. Seleziona la policy appropriata, quindi scegli Collega policy.

  3. Verifica se hai un ecsTaskExecution ruolo e scopri come puoi crearne uno se non ne hai uno. Ruolo IAM di esecuzione di attività Amazon ECS

    Consigliamo di personalizzare le policy dei ruoli per ottenere autorizzazioni minime in un ambiente di produzione effettivo. Per completare questo tutorial, verifica che le seguenti politiche AWS gestite siano allegate al tuo ecsTaskExecution ruolo. Collega le policy, se non sono già collegate. Utilizza la procedura indicata nella sezione precedente per allegare le politiche AWS gestite.

    • SecretsManagerReadWrite

    • Amazon FSx ReadOnlyAccess

    • Amazon SSMRead OnlyAccess

    • Amazon ECSTask ExecutionRolePolicy

Fase 2: Creazione di Windows Active Directory (AD)

  1. Segui i passaggi descritti in Creazione di AWS Managed Microsoft AD nella AWS Directory Service Administration Guide. Utilizza il VPC designato per questo tutorial. Nella fase 3 della creazione di AWS Managed Microsoft AD, salva il nome utente e la password di amministratore da utilizzare nel passaggio successivo. Inoltre, prendi nota del nome DNS di directory completo per i passaggi futuri. È possibile completare il passaggio seguente durante la creazione di Active Directory.

  2. Crea un segreto di AWS Secrets Manager da utilizzare nei passaggi seguenti. Per ulteriori informazioni, consulta Guida introduttiva a Secrets Manager nella Guida per l'utente di AWS Secrets Manager.

    1. Apri la console Secrets Manager.

    2. Fai clic su Archivia un nuovo segreto.

    3. Seleziona Altro tipo di segreti.

    4. Per Chiave/valore segreto, nella prima riga, crea una chiave username con valore admin. Fai clic su + Aggiungi riga.

    5. Nella nuova riga, crea una chiave password. Per ulteriori informazioni, digitate la password inserita nel passaggio 3 di Create Your AWS Managed AD Directory.

    6. Fai clic sul pulsante Successivo.

    7. Specifica un nome e una descrizione per il segreto. Fai clic su Next (Successivo).

    8. Fai clic su Next (Successivo). Fai clic su Archivia.

    9. Dall'elenco nella pagina Segreti, seleziona il segreto appena creato.

    10. Salva l'ARN del nuovo segreto per utilizzarlo nelle fasi seguenti.

    11. Durante la creazione di Active Directory, è possibile procedere alla fase successiva.

Fase 3: Verifica e aggiornamento del gruppo di sicurezza

In questa fase è possibile verificare e aggiornare le regole per il gruppo di sicurezza in uso. Pertanto è possibile utilizzare il gruppo di sicurezza di default creato per il VPC.

Verifica e aggiorna il gruppo di sicurezza.

È necessario creare o modificare il gruppo di sicurezza per inviare dati da e verso le porte, descritti in Amazon VPC Security Groups nella Guida FSx per l'utente di Windows File Server. A tale scopo, è possibile creare la regola in ingresso del gruppo di sicurezza visualizzata nella prima riga della tabella di regole in entrata riportata di seguito. Questa regola consente il traffico in ingresso dalle interfacce di rete (e le relative istanze associate) assegnate al gruppo di sicurezza. Tutte le risorse cloud create si trovano all'interno dello stesso VPC e collegate allo stesso gruppo di sicurezza. Pertanto, questa regola consente l'invio di traffico da e verso il file system FSx per Windows File Server, Active Directory e l'istanza ECS, se necessario. Le altre regole in entrata consentono al traffico di servire il sito Web e l'accesso RDP per la connessione all'istanza ECS.

Nella tabella seguente vengono illustrate le regole in entrata del gruppo di sicurezza necessarie per questo tutorial.

Tipo Protocollo Intervallo porte Origine

Tutto il traffico

Tutti

Tutti

sg-securitygroup

HTTPS

TCP

443

0.0.0.0/0

RDP

TCP

3389

indirizzo IP del laptop

Nella tabella seguente vengono illustrate le regole in uscita del gruppo di sicurezza necessarie per questo tutorial.

Tipo Protocollo Intervallo porte Destinazione

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

  1. Apri la EC2 console e seleziona Security Groups dal menu a sinistra.

  2. Dall'elenco dei gruppi di sicurezza ora visualizzati, seleziona la casella di controllo a sinistra del gruppo di sicurezza utilizzato per questo tutorial.

    Vengono visualizzati i dettagli del gruppo di sicurezza.

  3. Modifica le regole in ingresso e in uscita selezionando le schede Inbound rules (Regole in entrata) o Outbound rules (Regole in uscita) e scegliendo l'opzione Edit inbound rules (Modifica regole in entrata) o Edit outbound rules (Modifica regole in uscita). Modifica le regole in base a quelle visualizzate nelle tabelle precedenti. Dopo aver creato l' EC2 istanza più avanti in questo tutorial, modifica l'origine RDP della regola in entrata con l'indirizzo IP pubblico dell' EC2 istanza, come descritto in Connect to your Windows using RDP dalla Amazon EC2 User Guide.

Passaggio 4: crea un file system FSx per Windows File Server

Dopo aver verificato e aggiornato il gruppo di sicurezza e aver creato Active Directory e aver raggiunto lo stato attivo, crea il file system FSx per Windows File Server nello stesso VPC di Active Directory. Utilizza i passaggi seguenti per creare un file system FSx per Windows File Server per le tue attività Windows.

Creare il tuo primo file system.

  1. Apri la FSx console Amazon.

  2. Nel pannello di controllo, scegli Crea file system per avviare la procedura guidata di creazione del file system.

  3. Nella pagina Seleziona il tipo di file system, scegli FSx Windows File Server, quindi scegli Avanti. Viene visualizzata la pagina Crea file system.

  4. Nella sezione Dettagli file system, specifica un nome per il file system. La denominazione dei file system ne semplifica la ricerca e la gestione. Puoi utilizzare fino a 256 caratteri Unicode. I caratteri consentiti sono lettere, numeri, spazi e caratteri speciali segno più (+), segno meno (-), segno uguale (=), punto (.), trattino basso (_), due punti (:) e barra (/).

  5. Per Tipo di implementazione, scegli Single-AZ per implementare un file system distribuito in una zona di disponibilità singola. Single-AZ 2 è l'ultima generazione di file system a zona di disponibilità singola e supporta l'archiviazione SSD e HDD.

  6. Per Tipo di archiviazione, scegli HDD.

  7. In Capacità di archiviazione, specifica la capacità di archiviazione minima.

  8. Mantieni Capacità di velocità effettiva sul valore di default.

  9. Nella sezione Rete e sicurezza, scegli lo stesso Amazon VPC che hai scelto per la tua AWS Directory Service directory.

  10. Per Gruppi di sicurezza VPC, scegli il gruppo di sicurezza verificato in Fase 3: Verifica e aggiornamento del gruppo di sicurezza.

  11. Per Autenticazione Windows, scegli AWS Managed Microsoft Active Directory, quindi seleziona la tua directory AWS Directory Service dall'elenco.

  12. Per Crittografia, mantieni l'impostazione di default Chiave di crittografia su aws/fsx (default).

  13. Mantieni le impostazioni di default per Preferenze di manutenzione.

  14. Fai clic sul pulsante Successivo.

  15. Rivedi la configurazione del file system riportata nella pagina Crea file system. Come riferimento, prendi nota delle impostazioni del file system che è possibile modificare dopo la sua creazione. Scegliere Create file system (Crea file system).

  16. Prendi nota dell'ID file system. Sarà utile in una fase successiva.

    Puoi passare ai passaggi successivi per creare un cluster e un' EC2istanza durante la creazione del file system FSx per Windows File Server.

Fase 5: Creazione di un cluster Amazon ECS

Creazione di un cluster tramite la console Amazon ECS

  1. Apri la console nella https://console.aws.amazon.com/ecs/versione 2.

  2. Seleziona la Regione da utilizzare nella barra di navigazione.

  3. Nel pannello di navigazione scegli Cluster.

  4. Nella pagina Clusters (Cluster), scegli Create cluster (Crea cluster).

  5. In Configurazione del cluster, per Nome cluster, inserisci windows-fsx-cluster.

  6. Espandi l'infrastruttura, cancella AWS Fargate (senza server) e seleziona le EC2 istanze Amazon.

    1. Per creare un gruppo Auto Scaling, da Auto Scaling group (ASG) (Gruppo di Auto Scaling (ASG)), seleziona Create new group (Crea nuovo gruppo) e quindi fornisci i seguenti dettagli sul gruppo:

      • Per Sistema operativo/architettura, scegli Windows Server 2019 Core.

      • Ad EC2 esempio, scegli t2.medium o t2.micro.

  7. Scegli Create (Crea).

Fase 6: creare un'istanza Amazon ottimizzata per Amazon EC2 ECS

Creazione di un'istanza di container Windows di Amazon ECS

Creazione di un'istanza Amazon ECS

  1. Usa il comando aws ssm get-parameters per recuperare il nome dell'AMI per la regione che ospita il VPC. Per ulteriori informazioni, consulta Recupero dei metadati dell'AMI ottimizzata per Amazon ECS.

  2. Usa la EC2 console Amazon per avviare l'istanza.

    1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

    2. Seleziona la Regione da utilizzare nella barra di navigazione.

    3. Dalla EC2 dashboard, scegli Launch instance.

    4. Per Name (Nome), inserisci un nome univoco.

    5. Per Immagini di applicazioni e sistema operativo (Amazon Machine Image), nel campo cerca, inserisci il nome dell'AMI recuperata.

    6. In Tipo di istanza, scegli t2.medium o t2.micro.

    7. Per Key pair (login) (Coppia di chiavi [accesso]), scegli una coppia di chiavi. Se non specifici una coppia di chiavi,

    8. In Impostazioni di rete, per VPC e Sottorete, scegli il VPC e una sottorete pubblica.

    9. In Network settings (Impostazioni di rete), per Security group (Gruppo di sicurezza), scegli un gruppo di sicurezza esistente o creane uno nuovo. Assicurati che il gruppo di sicurezza scelto disponga delle regole in entrata e in uscita definite in Prerequisiti per il tutorial

    10. In Network settings (Impostazioni di rete), per Auto-assign Public IP (Assegna automaticamente un IP pubblico), seleziona Enable (Abilita).

    11. Espandi Dettagli avanzati e in Directory aggiunta dominio, seleziona l'ID dell'Active Directory creata. Il dominio di questa opzione si aggiunge al tuo AD all'avvio dell' EC2 istanza.

    12. In Dettagli avanzati, per il profilo dell'istanza IAM, scegli ecsInstanceRole.

    13. Configura la tua istanza di container Amazon ECS con i seguenti dati utente. In Dettagli avanzati, incolla lo script seguente nel campo Dati utente, sostituendolo cluster_name con il nome del cluster.

      <powershell>
Initialize-ECSAgent -Cluster windows-fsx-cluster -EnableTaskIAMRole
</powershell>

    14. Quando sei pronto, seleziona il campo di conferma e scegli Launch Instances (Avvia istanze).

    15. Una pagina di conferma indicherà che l'istanza si sta avviando. Scegliere View Instances (Visualizza istanze) per chiudere la pagina di conferma e tornare alla console.

  3. Apri la console nella https://console.aws.amazon.com/ecs/versione 2.

  4. Nel riquadro di navigazione, scegli Cluster, quindi scegli. windows-fsx-cluster

  5. Scegli la scheda Infrastruttura e verifica che l'istanza sia stata registrata nel windows-fsx-clustercluster.

Fase 7: Registrazione di una definizione di attività di Windows

Prima di eseguire i container Windows nel cluster Amazon ECS, devi registrare una definizione di attività. Il seguente esempio di definizione di attività mostra una pagina Web semplice. L'attività avvia due contenitori che hanno accesso al FSx file system. Il primo container scrive un file HTML nel file system. Il secondo container scarica il file HTML dal file system e serve la pagina Web.

  1. Apri la console nella versione 2https://console.aws.amazon.com/ecs/.

  2. Nel pannello di navigazione, scegli Task Definitions (Definizioni di processo).

  3. Scegli Create new task definition (Crea nuova definizione di attività), Create new task definition with JSON (Crea nuova definizione di attività con JSON).

  4. Nella casella dell'editor JSON, sostituisci i valori per il tuo ruolo di esecuzione delle attività e i dettagli sul tuo FSx file system, quindi scegli Salva.

    {
    "containerDefinitions": [
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [],
            "command": ["New-Item -Path C:\\fsx-windows-dir\\index.html -ItemType file -Value '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>It Works!</h2> <p>You are using Amazon FSx for Windows File Server file system for persistent container storage.</p>' -Force"],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": false,
            "name": "container1",
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ]
        },
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [
                {
                    "hostPort": 443,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": ["Remove-Item -Recurse C:\\inetpub\\wwwroot\\* -Force; Start-Sleep -Seconds 120; Move-Item -Path C:\\fsx-windows-dir\\index.html -Destination C:\\inetpub\\wwwroot\\index.html -Force; C:\\ServiceMonitor.exe w3svc"],
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": true,
            "name": "container2"
        }
    ],
    "family": "fsx-windows",
    "executionRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    "volumes": [
        {
            "name": "fsx-windows-dir",
            "fsxWindowsFileServerVolumeConfiguration": {
                "fileSystemId": "fs-0eeb5730b2EXAMPLE",
                "authorizationConfig": {
                    "domain": "example.com",
                    "credentialsParameter": "arn:arn-1234"
                },
                "rootDirectory": "share"
            }
        }
    ]
}

Fase 8: Esecuzione di un processo e visualizzazione dei risultati

Prima di eseguire l'operazione, verificate che lo stato del file system FSx per Windows File Server sia Disponibile. Una volta disponibile, è possibile eseguire un processo utilizzando la definizione di attività creata. Il processo inizia creando container che mescolano un file HTML utilizzando il file system. Dopo il mescolamento, un server Web serve la pagina HTML semplice.

Nota

Potresti non essere in grado di connetterti al sito Web da una VPN.

Esegui un'attività e visualizza i risultati tramite la console Amazon ECS.

  1. Apri la console nella https://console.aws.amazon.com/ecs/versione 2.

  2. Nel riquadro di navigazione, scegli Cluster, quindi scegli. windows-fsx-cluster

  3. Seleziona la scheda Attività, quindi Esegui nuova attività.

  4. Per Launch Type, scegli EC2.

  5. In Configurazione dell'implementazione, per Definizione dell'attività, scegli fsx-windows, quindi scegli Crea.

  6. Quando lo stato dell'attività è IN ESECUZIONE, scegli l'ID attività.

  7. In Container, quando lo stato di container1 è ARRESTATO, seleziona container2 per visualizzarne i dettagli.

  8. In Dettagli del container per container2, seleziona Associazioni di rete e fai clic sull'indirizzo IP esterno associato al container. Si aprirà il browser e sarà visualizzato il seguente messaggio.

    Amazon ECS Sample App
It Works! 
You are using Amazon FSx for Windows File Server file system for persistent container storage.
    Nota

    Possono essere necessari alcuni minuti per visualizzare il messaggio. Se dopo qualche minuto non viene visualizzato il messaggio, assicurati che non stai utilizzando una VPN e che il gruppo di sicurezza per l'istanza di container consenta il traffico di rete in entrata sulla porta 443.

Fase 9: Pulizia

Nota

Sono necessari dai 20 ai 45 minuti FSx per eliminare il file system Windows File Server o l'AD. È necessario attendere il completamento delle operazioni di eliminazione del file system FSx for Windows File Server prima di iniziare le operazioni di eliminazione di AD.

Elimina FSx per il file system Windows File Server.

  1. Apri la FSx console Amazon

  2. Scegli il pulsante di opzione a sinistra del file system FSx per Windows File Server che hai appena creato.

  3. Scegli Azioni.

  4. Seleziona Elimina file system.

Elimina l'AD.

  1. Apri la AWS Directory Service console.

  2. Scegli il pulsante di opzione a sinistra dell'AD appena creato.

  3. Scegli Azioni.

  4. Seleziona Elimina directory.

Elimina il cluster.

  1. Apri la console alla https://console.aws.amazon.com/ecs/v2.

  2. Nel riquadro di navigazione, scegli Cluster, quindi scegli. windows-fsx-cluster

  3. Scegli Delete cluster (Elimina cluster).

  4. Inserisci la frase, quindi scegli Elimina.

Termina l'istanza. EC2

  1. Apri la EC2 console Amazon.

  2. Nel menu a sinistra, seleziona Istanze.

  3. Seleziona la casella a sinistra dell' EC2 istanza che hai creato.

  4. Fai clic su Stato istanza, Termina istanza.

Elimina il segreto.

  1. Apri la console Secrets Manager.

  2. Seleziona il segreto creato per questa procedura.

  3. Fai clic su Operazioni.

  4. Seleziona Elimina segreto.