Scopri come configurare i file system FSx for Windows File Server per Amazon ECS - Amazon Elastic Container Service
Prerequisiti per il tutorialFase 1: Creazione dei ruoli di accesso IAMFase 2: Creazione di Windows Active Directory (AD)Fase 3: Verifica e aggiornamento del gruppo di sicurezzaFase 4: Creazione di un file system FSx for Windows File ServerFase 5: Creazione di un cluster Amazon ECSFase 6: creazione di un'istanza Amazon EC2 ottimizzata per Amazon ECSFase 7: Registrazione di una definizione di attività di WindowsFase 8: Esecuzione di un processo e visualizzazione dei risultatiFase 9: Pulizia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scopri come configurare i file system FSx for Windows File Server per Amazon ECS

Scopri come avviare un'istanza Windows ottimizzata per Amazon ECS che ospita un file system FSx for Windows File Server e contenitori in grado di accedere al file system. A tale scopo, è innanzitutto necessario creare un Microsoft Active Directory AWS Directory Service AWS gestito. Quindi, crei un file system e un cluster FSx for Windows File Server File Server con un'istanza Amazon EC2 e una definizione di attività. Configura la definizione di attività per i container per utilizzare il file system FSx for Windows File Server. Infine, esegui il test del file system.

Ogni volta che si avvia o elimina Active Directory o il file system FSx for Windows File Server occorrono da 20 a 45 minuti. Considera almeno 90 minuti per completare il tutorial oppure completalo in più sessioni.

Prerequisiti per il tutorial

  • Un utente amministratore. Per informazioni, consulta Configurazione per l'uso di Amazon ECS.

  • (Facoltativo) Una coppia di chiavi PEM per la connessione all'istanza Windows di EC2 tramite l'accesso RDP. Per ulteriori informazioni sulla creazione di coppie di chiavi, consulta Coppie di chiavi Amazon EC2 e istanze Windows nella Guida per l'utente di Amazon EC2 per le istanze Windows.

  • Un VPC con almeno una sottorete pubblica e una sottorete privata e un gruppo di sicurezza. È possibile utilizzare il VPC di default. Non è necessario un gateway o un dispositivo NAT. AWS Directory Service non supporta Network Address Translation (NAT) con Active Directory. Affinché ciò funzioni, Active Directory, il file system FSx per Windows File Server, il cluster ECS e l'istanza EC2 devono trovarsi all'interno del VPC. Per ulteriori informazioni relative ai VPC e alle Active Directory, consulta Configurazioni della procedura guidata per la console Amazon VPC e Prerequisiti di AWS Managed Microsoft AD.

  • Le autorizzazioni IAM ecsInstanceRole e ecsTaskExecution Role sono associate al tuo account. Questi ruoli collegati ai servizi consentono ai servizi di effettuare chiamate API e accedere a container, segreti, directory e server di file per tuo conto.

Fase 1: Creazione dei ruoli di accesso IAM

Crea un cluster con la AWS Management Console.

  1. Verifica se ne possiedi uno ecsInstanceRole e scopri come puoi crearne uno se non ne hai uno. Ruolo IAM delle istanze di container Amazon ECS

  2. Consigliamo di personalizzare le policy dei ruoli per ottenere autorizzazioni minime in un ambiente di produzione effettivo. Per completare questo tutorial, verifica che la seguente politica AWS gestita sia allegata al tuo ecs. InstanceRole Collega la policy, se non è già collegata.

    • Ruolo EC2 di Amazon EC2 ContainerServicefor

    • Amazon SSM ManagedInstance Core

    • Accesso ad DirectoryService AmazonSSM

    Per AWS allegare politiche gestite.

    1. Aprire la console IAM.

    2. Nel pannello di navigazione, selezionare Ruoli.

    3. Scegli un ruolo gestito da AWS .

    4. Scegli Autorizzazioni, Collega policy.

    5. Per limitare le policy disponibili da collegare, utilizza Filtro.

    6. Seleziona la policy appropriata, quindi scegli Collega policy.

  3. Verifica se Ruolo IAM di esecuzione di attività Amazon ECS disponi di un ecs TaskExecutionRole e scopri come puoi crearne uno se non ne hai uno.

    Consigliamo di personalizzare le policy dei ruoli per ottenere autorizzazioni minime in un ambiente di produzione effettivo. Allo scopo di seguire questo tutorial, verifica che le seguenti politiche AWS gestite siano allegate al tuo ruolo ecs. TaskExecution Collega le policy, se non sono già collegate. Utilizza la procedura indicata nella sezione precedente per allegare le politiche AWS gestite.

    • SecretsManagerReadWrite

    • AmazonF SxRead OnlyAccess

    • Accesso ad AmazonSSM ReadOnly

    • Amazonecs TaskExecution RolePolicy

Fase 2: Creazione di Windows Active Directory (AD)

  1. Segui i passaggi descritti in Create Your AWS Managed AD Directory nella AWS Directory Service Administration Guide. Utilizza il VPC designato per questo tutorial. Nella fase 3 di Creazione della tua AWS Managed AD Directory, salva il nome utente e la password da utilizzare nella fase successiva. Prendi nota anche del nome di dominio completo per le operazioni successive. Puoi completare la fase seguente durante la creazione di Active Directory.

  2. Crea un segreto di AWS Secrets Manager da utilizzare nei passaggi seguenti. Per ulteriori informazioni, consulta Getting Started with AWS Secrets Manager nella Guida per l'utente di AWS Secrets Manager.

    1. Apri la console Secrets Manager.

    2. Fai clic su Archivia un nuovo segreto.

    3. Seleziona Altro tipo di segreti.

    4. Per Chiave/valore segreto, nella prima riga, crea una chiave username con valore admin. Fai clic su + Aggiungi riga.

    5. Nella nuova riga, crea una chiave password. Per ulteriori informazioni, digitate la password inserita nel passaggio 3 di Create Your AWS Managed AD Directory.

    6. Fai clic sul pulsante Successivo.

    7. Specifica un nome e una descrizione per il segreto. Fai clic su Next (Successivo).

    8. Fai clic su Next (Successivo). Fai clic su Archivia.

    9. Dall'elenco nella pagina Segreti, seleziona il segreto appena creato.

    10. Salva l'ARN del nuovo segreto per utilizzarlo nelle fasi seguenti.

    11. Durante la creazione di Active Directory, è possibile procedere alla fase successiva.

Fase 3: Verifica e aggiornamento del gruppo di sicurezza

In questa fase è possibile verificare e aggiornare le regole per il gruppo di sicurezza in uso. Pertanto è possibile utilizzare il gruppo di sicurezza di default creato per il VPC.

Verifica e aggiorna il gruppo di sicurezza.

È necessario creare o modificare il gruppo di sicurezza per inviare i dati da e verso le porte, operazioni descritte in Gruppi di sicurezza di Amazon VPC nella Guida per l'utente di FSx for Windows File Server. A tale scopo, è possibile creare la regola in ingresso del gruppo di sicurezza visualizzata nella prima riga della tabella di regole in entrata riportata di seguito. Questa regola consente il traffico in ingresso dalle interfacce di rete (e le relative istanze associate) assegnate al gruppo di sicurezza. Tutte le risorse cloud create si trovano all'interno dello stesso VPC e collegate allo stesso gruppo di sicurezza. Pertanto, questa regola consente di inviare traffico da e verso il file system FSx for Windows File Server, Active Directory e l'istanza ECS come richiesto. Le altre regole in entrata consentono al traffico di servire il sito Web e l'accesso RDP per la connessione all'istanza ECS.

Nella tabella seguente vengono illustrate le regole in entrata del gruppo di sicurezza necessarie per questo tutorial.

Type Protocollo Intervallo porte Origine

Tutto il traffico

Tutti

Tutti

sg-securitygroup

HTTPS

TCP

443

0.0.0.0/0

RDP

TCP

3389

indirizzo IP del laptop

Nella tabella seguente vengono illustrate le regole in uscita del gruppo di sicurezza necessarie per questo tutorial.

Type Protocollo Intervallo porte Destinazione

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

  1. Apri la Console EC2 e seleziona Gruppi di sicurezza dal menu sulla sinistra.

  2. Dall'elenco dei gruppi di sicurezza ora visualizzati, seleziona la casella di controllo a sinistra del gruppo di sicurezza utilizzato per questo tutorial.

    Vengono visualizzati i dettagli del gruppo di sicurezza.

  3. Modifica le regole in ingresso e in uscita selezionando le schede Inbound rules (Regole in entrata) o Outbound rules (Regole in uscita) e scegliendo l'opzione Edit inbound rules (Modifica regole in entrata) o Edit outbound rules (Modifica regole in uscita). Modifica le regole in base a quelle visualizzate nelle tabelle precedenti. Dopo aver creato l'istanza EC2 più avanti in questa esercitazione, modifica l'origine RDP della regola in ingresso con l'indirizzo IP pubblico dell'istanza EC2 come descritto in Connessione all'istanza Windows nella Guida per l'utente di Amazon EC2 per le istanze Windows.

Fase 4: Creazione di un file system FSx for Windows File Server

Dopo la verifica e l'aggiornamento del gruppo di sicurezza e dopo aver creato Active Directory nello stato attivo, crea il file system FSx for Windows File Server nello stesso VPC di Active Directory. Completa la procedura seguente per creare un file system FSx for Windows File Server per i processi di Windows.

Creare il tuo primo file system.

  1. Apri la console Amazon FSx.

  2. Nel pannello di controllo, scegli Crea file system per avviare la procedura guidata di creazione del file system.

  3. Sulla pagina Seleziona tipo di file system, seleziona FSx for Windows File Server, quindi seleziona Successivo. Viene visualizzata la pagina Crea file system.

  4. Nella sezione Dettagli file system, specifica un nome per il file system. La denominazione dei file system ne semplifica la ricerca e la gestione. Puoi utilizzare fino a 256 caratteri Unicode. I caratteri consentiti sono lettere, numeri, spazi e caratteri speciali segno più (+), segno meno (-), segno uguale (=), punto (.), trattino basso (_), due punti (:) e barra (/).

  5. Per Tipo di implementazione, scegli Single-AZ per implementare un file system distribuito in una zona di disponibilità singola. Single-AZ 2 è l'ultima generazione di file system a zona di disponibilità singola e supporta l'archiviazione SSD e HDD.

  6. Per Tipo di archiviazione, scegli HDD.

  7. In Capacità di archiviazione, specifica la capacità di archiviazione minima.

  8. Mantieni Capacità di velocità effettiva sul valore di default.

  9. Nella sezione Rete e sicurezza, scegli lo stesso Amazon VPC che hai scelto per la tua AWS Directory Service directory.

  10. Per Gruppi di sicurezza VPC, scegli il gruppo di sicurezza verificato in Fase 3: Verifica e aggiornamento del gruppo di sicurezza.

  11. Per Autenticazione Windows, scegli AWS Managed Microsoft Active Directory, quindi seleziona la tua directory AWS Directory Service dall'elenco.

  12. Per Crittografia, mantieni l'impostazione di default Chiave di crittografia su aws/fsx (default).

  13. Mantieni le impostazioni di default per Preferenze di manutenzione.

  14. Fai clic sul pulsante Successivo.

  15. Rivedi la configurazione del file system riportata nella pagina Crea file system. Come riferimento, prendi nota delle impostazioni del file system che è possibile modificare dopo la sua creazione. Scegliere Create file system (Crea file system).

  16. Prendi nota dell'ID file system. Sarà utile in una fase successiva.

    Puoi passare alla procedura successiva per creare un cluster e un'istanza EC2 durante la creazione del file system FSx for Windows File Server.

Fase 5: Creazione di un cluster Amazon ECS

Creazione di un cluster tramite la console Amazon ECS

  1. Apri la console all'indirizzo https://console.aws.amazon.com/ecs/v2.

  2. Seleziona la Regione da utilizzare nella barra di navigazione.

  3. Nel pannello di navigazione scegli Cluster.

  4. Nella pagina Clusters (Cluster), scegli Create cluster (Crea cluster).

  5. In Configurazione del cluster, per Nome del cluster immetti windows-fsx-cluster.

  6. Espandi l'infrastruttura, cancella AWS Fargate (senza server) e seleziona le istanze Amazon EC2.

    1. Per creare un gruppo Auto Scaling, da Auto Scaling group (ASG) (Gruppo di Auto Scaling (ASG)), seleziona Create new group (Crea nuovo gruppo) e quindi fornisci i seguenti dettagli sul gruppo:

      • Per Sistema operativo/architettura, scegli Windows Server 2019 Core.

      • In Tipo di istanza EC2, scegli t2.medium o t2.micro.

  7. Scegli Crea.

Fase 6: creazione di un'istanza Amazon EC2 ottimizzata per Amazon ECS

Creazione di un'istanza di container Windows di Amazon ECS

Creazione di un'istanza Amazon ECS

  1. Usa il comando aws ssm get-parameters per recuperare il nome dell'AMI per la regione che ospita il VPC. Per ulteriori informazioni, consulta Recupero dei metadati dell'AMI ottimizzata per Amazon ECS.

  2. Utilizza la console di Amazon EC2 per avviare l'istanza.

    1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

    2. Seleziona la Regione da utilizzare nella barra di navigazione.

    3. Da Pannello di controllo EC2, scegli Avvia istanza.

    4. Per Name (Nome), inserisci un nome univoco.

    5. Per Immagini di applicazioni e sistema operativo (Amazon Machine Image), nel campo cerca, inserisci il nome dell'AMI recuperata.

    6. In Tipo di istanza, scegli t2.medium o t2.micro.

    7. Per Key pair (login) (Coppia di chiavi [accesso]), scegli una coppia di chiavi. Se non specifici una coppia di chiavi,

    8. In Impostazioni di rete, per VPC e Sottorete, scegli il VPC e una sottorete pubblica.

    9. In Network settings (Impostazioni di rete), per Security group (Gruppo di sicurezza), scegli un gruppo di sicurezza esistente o creane uno nuovo. Assicurati che il gruppo di sicurezza scelto disponga delle regole in entrata e in uscita definite in Prerequisiti per il tutorial

    10. In Network settings (Impostazioni di rete), per Auto-assign Public IP (Assegna automaticamente un IP pubblico), seleziona Enable (Abilita).

    11. Espandi Dettagli avanzati e in Directory aggiunta dominio, seleziona l'ID dell'Active Directory creata. Questo dominio si unisce all'AD quando viene avviata l'istanza EC2.

    12. In Dettagli avanzati, per il profilo dell'istanza IAM, scegli ecs. InstanceRole

    13. Configura la tua istanza di container Amazon ECS con i seguenti dati utente. In Advanced Details (Dettagli avanzati), incolla il seguente script nel campo User data (Dati utente), sostituendo cluster_name con il nome del tuo cluster.

      <powershell>
Initialize-ECSAgent -Cluster windows-fsx-cluster -EnableTaskIAMRole
</powershell>

    14. Quando sei pronto, seleziona il campo di conferma e scegli Launch Instances (Avvia istanze).

    15. Una pagina di conferma indicherà che l'istanza si sta avviando. Scegliere View Instances (Visualizza istanze) per chiudere la pagina di conferma e tornare alla console.

  3. Apri la console all'indirizzo https://console.aws.amazon.com/ecs/v2.

  4. Nel pannello di navigazione, seleziona Cluster, quindi scegli windows-fsx-cluster.

  5. Scegli la scheda Infrastruttura e verifica che l'istanza sia stata registrata nel cluster windows-fsx-cluster.

Fase 7: Registrazione di una definizione di attività di Windows

Prima di eseguire i container Windows nel cluster Amazon ECS, devi registrare una definizione di attività. Il seguente esempio di definizione di attività mostra una pagina Web semplice. Il processo avvia due container che hanno accesso al file system FSx. Il primo container scrive un file HTML nel file system. Il secondo container scarica il file HTML dal file system e serve la pagina Web.

  1. Apri la console all'indirizzo https://console.aws.amazon.com/ecs/v2.

  2. Nel pannello di navigazione, scegli Task Definitions (Definizioni di processo).

  3. Scegli Create new task definition (Crea nuova definizione di attività), Create new task definition with JSON (Crea nuova definizione di attività con JSON).

  4. Nella casella dell'editor JSON, sostituisci i valori per il ruolo di esecuzione dell'attività e i dettagli sul file system FSx, quindi scegli Salva.

    {
    "containerDefinitions": [
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [],
            "command": ["New-Item -Path C:\\fsx-windows-dir\\index.html -ItemType file -Value '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>It Works!</h2> <p>You are using Amazon FSx for Windows File Server file system for persistent container storage.</p>' -Force"],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": false,
            "name": "container1",
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ]
        },
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [
                {
                    "hostPort": 443,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": ["Remove-Item -Recurse C:\\inetpub\\wwwroot\\* -Force; Start-Sleep -Seconds 120; Move-Item -Path C:\\fsx-windows-dir\\index.html -Destination C:\\inetpub\\wwwroot\\index.html -Force; C:\\ServiceMonitor.exe w3svc"],
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": true,
            "name": "container2"
        }
    ],
    "family": "fsx-windows",
    "executionRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    "volumes": [
        {
            "name": "fsx-windows-dir",
            "fsxWindowsFileServerVolumeConfiguration": {
                "fileSystemId": "fs-0eeb5730b2EXAMPLE",
                "authorizationConfig": {
                    "domain": "example.com",
                    "credentialsParameter": "arn:arn-1234"
                },
                "rootDirectory": "share"
            }
        }
    ]
}

Fase 8: Esecuzione di un processo e visualizzazione dei risultati

Prima di eseguire il processo, verifica che lo stato del file system FSx for Windows File Server sia Disponibile. Una volta disponibile, è possibile eseguire un processo utilizzando la definizione di attività creata. Il processo inizia creando container che mescolano un file HTML utilizzando il file system. Dopo il mescolamento, un server Web serve la pagina HTML semplice.

Nota

Potresti non essere in grado di connetterti al sito Web da una VPN.

Esegui un'attività e visualizza i risultati tramite la console Amazon ECS.

  1. Apri la console all'indirizzo https://console.aws.amazon.com/ecs/v2.

  2. Nel pannello di navigazione, seleziona Cluster, quindi scegli windows-fsx-cluster.

  3. Seleziona la scheda Attività, quindi Esegui nuova attività.

  4. In Tipo di avvio, scegli EC2.

  5. In Configurazione dell'implementazione, per Definizione dell'attività, scegli fsx-windows, quindi scegli Crea.

  6. Quando lo stato dell'attività è IN ESECUZIONE, scegli l'ID attività.

  7. In Container, quando lo stato di container1 è ARRESTATO, seleziona container2 per visualizzarne i dettagli.

  8. In Dettagli del container per container2, seleziona Associazioni di rete e fai clic sull'indirizzo IP esterno associato al container. Si aprirà il browser e sarà visualizzato il seguente messaggio.

    Amazon ECS Sample App
It Works! 
You are using Amazon FSx for Windows File Server file system for persistent container storage.
    Nota

    Possono essere necessari alcuni minuti per visualizzare il messaggio. Se dopo qualche minuto non viene visualizzato il messaggio, assicurati che non stai utilizzando una VPN e che il gruppo di sicurezza per l'istanza di container consenta il traffico di rete in entrata sulla porta 443.

Fase 9: Pulizia

Nota

L'eliminazione del file system FSx for Windows File Server o dell'AD richiede da 20 a 45 minuti. Prima di avviare le operazioni di eliminazione dell'AD, è necessario attendere il completamento delle operazioni di eliminazione del file system FSx for Windows File Server.

Cancella il file system FSx per Windows File Server.

  1. Apri la console Amazon FSx.

  2. Scegli il pulsante di opzione a sinistra del file system FSx per Windows File Server appena creato.

  3. Scegli Azioni.

  4. Seleziona Elimina file system.

Elimina l'AD.

  1. Apri la AWS Directory Service console.

  2. Scegli il pulsante di opzione a sinistra dell'AD appena creato.

  3. Scegli Azioni.

  4. Seleziona Elimina directory.

Elimina il cluster.

  1. Apri la console all'indirizzo https://console.aws.amazon.com/ecs/v2.

  2. Nel pannello di navigazione, seleziona Cluster, quindi scegli fsx-windows-cluster.

  3. Scegli Delete cluster (Elimina cluster).

  4. Inserisci la frase, quindi scegli Elimina.

Termina l'istanza EC2.

  1. Aprire la console di Amazon EC2.

  2. Nel menu a sinistra, seleziona Istanze.

  3. Seleziona la casella a sinistra dell'istanza EC2 creata.

  4. Fai clic su Stato istanza, Termina istanza.

Elimina il segreto.

  1. Apri la console Secrets Manager.

  2. Seleziona il segreto creato per questa procedura.

  3. Fai clic su Operazioni.

  4. Seleziona Elimina segreto.