Instalar oAmazon ECSAgente do contêiner - Amazon Elastic Container Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Instalar oAmazon ECSAgente do contêiner

Se a instância de contêiner não tiver sido executada usando uma Amazon ECS-optimized AMI, você poderá instalar o agente de contêiner do Amazon ECS manualmente usando um dos procedimentos a seguir. O agente de contêiner do Amazon ECS está incluído nas Amazon ECS-optimized AMIs e não requer instalação.

nota

OsystemdAs unidades para os serviços ECS e Docker têm uma diretiva para aguardarcloud-initpara terminar antes de iniciar ambos os serviços. O processo cloud-init só será considerado concluído quando a execução dos dados do usuário do Amazon EC2 terminar. Portanto, iniciar o ECS ou o Docker por meio dos dados do usuário do Amazon EC2 pode causar um bloqueio. Para iniciar o agente de contêiner usando dados do usuário do Amazon EC2, é possível usar systemctl enable --now --no-block ecs.service.

Instalar oAmazon ECSAgente do contêinerAmazon Linux 2instância EC2

Para instalar o agente de contêiner do Amazon ECS em uma instância do EC2 do Amazon Linux 2 usando o comando amazon-linux-extras, execute as etapas a seguir.

Para instalar o agente de contêiner do Amazon ECS em uma instância do EC2 do Amazon Linux 2

  1. Execute uma instância do EC2 do Amazon Linux 2 com uma função do IAM que permita acesso ao Amazon ECS. Para obter mais informações, consulte Amazon ECSinstância de contêinerIAMfunção do.

  2. Conecte-se à sua instância.

  3. Desative o repositório extra docker do Amazon Linux. O repositório extra ecs do Amazon Linux é fornecido com sua própria versão do Docker, portanto, o docker extra deve ser desativado para evitar possíveis conflitos futuros. Isso garante que você esteja sempre usando a versão do Docker que o Amazon ECS pretende usar com uma versão específica do agente de contêiner.

    [ec2-user ~]$ sudo amazon-linux-extras disable docker
  4. Instale e ative o repositório extra ecs do Amazon Linux.

    [ec2-user ~]$ sudo amazon-linux-extras install -y ecs; sudo systemctl enable --now ecs
  5. (Opcional) Você pode verificar se o agente está em execução e consultar algumas informações sobre sua nova instância de contêiner com a API de introspecção do agente. Para obter mais informações, consulte Amazon ECSIntrospecção de agente de contêiner.

    [ec2-user ~]$ curl -s http://localhost:51678/v1/metadata | python -mjson.tool
    nota

    Se você não receber nenhuma resposta, certifique-se de que tenha associado a função do IAM de instância de contêiner do Amazon ECS ao executar a instância. Para obter mais informações, consulte Amazon ECSinstância de contêinerIAMfunção do.

Instalar oAmazon ECSAgente do contêinerAmazon Linux AMIinstância EC2

Para instalar o agente de contêiner do Amazon ECS em uma instância do EC2 do Amazon Linux AMI usando o repositório do Amazon YUM, execute as etapas a seguir.

Para instalar o agente de contêiner do Amazon ECS em uma instância do EC2 do Amazon Linux AMI

  1. Execute uma instância do EC2 do Amazon Linux AMI com uma função do IAM que permita acesso ao Amazon ECS. Para obter mais informações, consulte Amazon ECSinstância de contêinerIAMfunção do.

  2. Conecte-se à sua instância.

  3. Instale o pacote ecs-init. Para obter mais informações sobre o ecs-init, consulte o código-fonte no GitHub.

    [ec2-user ~]$ sudo yum install -y ecs-init
  4. Inicie o daemon do Docker.

    [ec2-user ~]$ sudo service docker start

    Resultado:

    Starting cgconfig service:                                 [  OK  ]
    Starting docker:	                                   [  OK  ]
  5. Inicie o trabalho de inicialização ecs-init.

    [ec2-user ~]$ sudo start ecs

    Resultado:

    ecs start/running, process 2804
  6. (Opcional) Você pode verificar se o agente está em execução e consultar algumas informações sobre sua nova instância de contêiner com a API de introspecção do agente. Para obter mais informações, consulte Amazon ECSIntrospecção de agente de contêiner.

    [ec2-user ~]$ curl -s http://localhost:51678/v1/metadata | python -mjson.tool

Instalar oAmazon ECSAgente do contêinerAmazon Linuxinstância EC2

Para instalar o agente de contêiner do Amazon ECS em uma instância do EC2 que não seja do Amazon Linux, você pode fazer download do agente de um dos buckets regionais do S3 ou do Docker Hub. Se fizer download em um dos buckets regionais do S3, você poderá verificar opcionalmente a validade do arquivo do agente de contêiner usando a assinatura PGP.

Importante

O download do agente ECS do Docker Hub estará sujeito aos limites de taxa do Docker Hub. Os limites de taxa podem ser evitados baixando o agente ECS diretamente doAmazon S3Em vez de Docker Hub. Para obter mais informações, consulteDocker Hub - limite de taxa de download.

nota

Ao usar um Linux que não seja da AmazonAMI, seuAmazon EC2Instância docgroupfsSuporte do para ocgrouppara que o agente ECS suporte limites de recursos de nível de tarefa. Para obter mais informações, consulteAgente ECS no GitHub.

Os arquivos do agente de contêiner do Amazon ECS mais recentes, por região, são listados a seguir para referência.

Região Nome da região Agente do contêiner Assinatura do agente do contêiner
us-east-2 Leste dos EUA (Ohio) Agente do contêiner do ECS Assinatura PGP
us-east-1 Leste dos EUA (Norte da Virgínia) Agente do contêiner do ECS Assinatura PGP
us-west-1 Oeste dos EUA (Norte da Califórnia) Agente do contêiner do ECS Assinatura PGP
us-west-2 Oeste dos EUA (Oregon) Agente do contêiner do ECS Assinatura PGP
ap-east-1 Ásia-Pacífico (Hong Kong) Agente do contêiner do ECS Assinatura PGP
ap-northeast-1 Ásia-Pacífico (Tóquio) Agente do contêiner do ECS Assinatura PGP
ap-northeast-2 Ásia-Pacífico (Seul) Agente do contêiner do ECS Assinatura PGP
ap-south-1 Ásia Pacífico (Mumbai) Agente do contêiner do ECS Assinatura PGP
ap-southeast-1 Ásia-Pacífico (Cingapura) Agente do contêiner do ECS Assinatura PGP
ap-southeast-2 Ásia-Pacífico (Sydney) Agente do contêiner do ECS Assinatura PGP
ca-central-1 Canadá (Central) Agente do contêiner do ECS Assinatura PGP
eu-central-1 Europa (Frankfurt) Agente do contêiner do ECS Assinatura PGP
eu-west-1 Europa (Irlanda) Agente do contêiner do ECS Assinatura PGP
eu-west-2 Europa (Londres) Agente do contêiner do ECS Assinatura PGP
eu-west-3 Europa (Paris) Agente do contêiner do ECS Assinatura PGP
sa-east-1 América do Sul (São Paulo) Agente do contêiner do ECS Assinatura PGP
us-gov-east-1 GovCloud (Leste dos EUA) da AWS Agente do contêiner do ECS Assinatura PGP
us-gov-west-1 GovCloud (Oeste dos EUA) da AWS Agente do contêiner do ECS Assinatura PGP

Para instalar o agente de contêiner do Amazon ECS em uma instância que não seja do Amazon Linux EC2

  1. Execute uma instância do Amazon EC2 com uma função do IAM que permita acesso ao Amazon ECS. Para obter mais informações, consulte Amazon ECSinstância de contêinerIAMfunção do.

  2. Conecte-se à sua instância.

  3. Instale a versão mais recente do Docker na instância.

    nota

    A Amazon Linux AMI sempre inclui a versão recomendada do Docker para uso com o Amazon ECS. Você pode instalar o Docker no Amazon Linux com o comando sudo yum install docker -y.

  4. Verifique a versão do Docker para verificar se seu sistema atende à exigência de versão mínima.

    ubuntu:~$ sudo docker version

    Resultado:

    Client version: 1.4.1
    Client API version: 1.16
    Go version (client): go1.3.3
    Git commit (client): 5bc2ff8
    OS/Arch (client): linux/amd64
    Server version: 1.4.1
    Server API version: 1.16
    Go version (server): go1.3.3
    Git commit (server): 5bc2ff8

    Neste exemplo, a versão do Docker é 1.4.1, que está abaixo da versão mínima de 1.9.0. Essa instância precisa atualizar sua versão do Docker antes de prosseguir. Para obter informações sobre a instalação da versão mais recente do Docker em sua distribuição específica do Linux, consulte https://docs.docker.com/engine/installation/.

  5. Execute os seguintes comandos em sua instância de contêiner para permitir que a porta proxy direcione o tráfego usando endereços de loopback.

    ubuntu:~$ sudo sh -c "echo 'net.ipv4.conf.all.route_localnet = 1' >> /etc/sysctl.conf" ubuntu:~$ sudo sysctl -p /etc/sysctl.conf
  6. Execute os seguintes comandos em sua instância de contêiner para habilitar funções do IAM para tarefas. Para obter mais informações, consulte Funções do IAM para tarefas.

    ubuntu:~$ sudo apt-get install iptables-persistent ubuntu:~$ sudo iptables -t nat -A PREROUTING -p tcp -d 169.254.170.2 --dport 80 -j DNAT --to-destination 127.0.0.1:51679 ubuntu:~$ sudo iptables -t nat -A OUTPUT -d 169.254.170.2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 51679
  7. Adicione uma rota iptables para bloquear o acesso fora do host ao endpoint da API de introspecção.

    ubuntu:~$ sudo iptables -A INPUT -i eth0 -p tcp --dport 51678 -j DROP
  8. Grave a nova configuração iptables no local específico do seu sistema operacional.

    • Para Debian/Ubuntu:

      sudo sh -c 'iptables-save > /etc/iptables/rules.v4'
    • Para CentOS/RHEL:

      sudo sh -c 'iptables-save > /etc/sysconfig/iptables'
  9. Crie o diretório /etc/ecs e crie o arquivo de configuração do agente de contêiner do Amazon ECS.

    ubuntu:~$ sudo mkdir -p /etc/ecs && sudo touch /etc/ecs/ecs.config
  10. Edite o arquivo /etc/ecs/ecs.config e adicione o seguinte conteúdo. Se você não quiser que sua instância de contêiner seja registrada no cluster padrão, especifique seu nome de cluster como o valor para ECS_CLUSTER.

    ECS_DATADIR=/data ECS_ENABLE_TASK_IAM_ROLE=true ECS_ENABLE_TASK_IAM_ROLE_NETWORK_HOST=true ECS_LOGFILE=/log/ecs-agent.log ECS_AVAILABLE_LOGGING_DRIVERS=["json-file","awslogs"] ECS_LOGLEVEL=info ECS_CLUSTER=default

    Para obter mais informações sobre essas e outras opções de tempo de execução de agente, consulte Amazon ECSConfiguração do agente de contê.

    nota

    Você também pode armazenar suas variáveis de ambiente do agente no Amazon S3 (que podem ser baixadas para suas instâncias de contêiner no momento da inicialização usando os dados de usuário do Amazon EC2). Isso é recomendado para informações confidenciais, como credenciais de autenticação para repositórios privados. Para obter mais informações, consulte Como armazenar a configuração da instância de contêiner no Amazon S3 e Autenticação de registro privado para.

  11. Puxe e execute o agente de contêiner do Amazon ECS mais recente em sua instância de contêiner.

    nota

    Use políticas de reinicialização do Docker ou um gerenciador de processos (como upstart ou systemd) para tratar o agente de contêiner como um serviço ou um daemon e garantir que ele seja reiniciado após sair. Para obter mais informações, consulte Iniciar contêineres automaticamente e Reiniciar políticas na documentação do Docker. As variantes Linux doAmazon ECS-optimized AMIUse oecs-initRPM para essa finalidade, e você pode visualizar ocódigo-fonte para este RPMno GitHub

    O comando de execução de agente do exemplo a seguir é dividido em linhas separadas para mostrar cada opção. Para obter mais informações sobre essas e outras opções de tempo de execução de agente, consulte Amazon ECSConfiguração do agente de contê.

    Importante

    Os sistemas operacionais com o SELinux habilitado requerem a opção --privileged em seu comando docker run. Além disso, para instâncias de contêiner habilitadas para SELinux, recomendamos que você adicione a opção :Z às montagens de volume /log e /data. No entanto, as montagens de host para esses volumes devem existir para que você execute o comando; caso contrário, você receberá um erro no such file or directory. Execute a seguinte ação se você tiver dificuldade para executar o agente do Amazon ECS em uma instância de contêiner habilitada para o SELinux:

    • Crie os pontos de montagem de volume de host na instância de contêiner.

      ubuntu:~$ sudo mkdir -p /var/log/ecs /var/lib/ecs/data
    • Adicione a opção --privileged ao comando docker run abaixo.

    • Anexe a opção :Z às montagens de volume de contêiner /log e /data (por exemplo, --volume=/var/log/ecs/:/log:Z) ao comando docker run abaixo.

    1. (Opcional) Faça download do tarball do agente de contêiner do ECS da URL regional do S3 e carregue-o. Se você não fizer download do tarball do agente do S3, o comando docker run na próxima etapa fará download dele do Docker Hub para você automaticamente.

      ubuntu:~$ curl -o ecs-agent.tar https://s3.amazonaws.com/amazon-ecs-agent-us-east-1/ecs-agent-latest.tar
      nota

      Para fazer download de outras versões do agente de contêiner do Amazon ECS, use um dos seguintes formatos alterando o número da versão na URL:

      ecs-agent-<version>.tar ecs-agent-<SHA>.tar

      Por exemplo:

      https://s3.amazonaws.com/amazon-ecs-agent-us-east-1/ecs-agent-v1.18.0.tar https://s3.amazonaws.com/amazon-ecs-agent-us-east-1/ecs-agent-c0defea9.tar

      Carregue a imagem do agente de contêiner do ECS.

      ubuntu:~$ sudo docker load --input ./ecs-agent.tar
    2. Execute a imagem do agente de contêiner do ECS.

      ubuntu:~$ sudo docker run --name ecs-agent \ --detach=true \ --restart=on-failure:10 \ --volume=/var/run:/var/run \ --volume=/var/log/ecs/:/log \ --volume=/var/lib/ecs/data:/data \ --volume=/etc/ecs:/etc/ecs \ --net=host \ --env-file=/etc/ecs/ecs.config \ amazon/amazon-ecs-agent:latest
      Importante

      O modo de rede host é o único modo de rede com suporte para o contêiner do agente de contêiner. Para obter mais informações, consulte Execução do agente de contêiner do Amazon ECS com o modo de rede de host.

      nota

      Se você receber uma mensagem Error response from daemon: Cannot start container, poderá excluir o contêiner com falha com o comando sudo docker rm ecs-agent e tentar executar o comando novamente.

  12. (Opcional) Se tiver feito download do arquivo do agente de contêiner do Amazon ECS do S3, você poderá verificar a validade do arquivo.

    1. Faça download e instale a GnuPG. Para obter mais informações sobre a GNUpg, consulte o site da GnuPG. Para sistemas Linux, instale gpg usando o gerenciador de pacotes no seu tipo de Linux.

    2. Recupere a chave pública PGP do Amazon ECS. Você pode usar um comando para fazer isso ou pode criar a chave manualmente e depois importá-la.

      1. Opção 1: Recupere a chave com o seguinte comando.

        gpg --keyserver hkp://keys.gnupg.net --recv BCE9D9A42D51784F
      2. Opção 2: Crie um arquivo com o seguinte conteúdo doAmazon ECSChave pública PGP e, em seguida, importá-la:

        -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v2 mQINBFq1SasBEADliGcT1NVJ1ydfN8DqebYYe9ne3dt6jqKFmKowLmm6LLGJe7HU jGtqhCWRDkN+qPpHqdArRgDZAtn2pXY5fEipHgar4CP8QgRnRMO2fl74lmavr4Vg 7K/KH8VHlq2uRw32/B94XLEgRbGTMdWFdKuxoPCttBQaMj3LGn6Pe+6xVWRkChQu BoQAhjBQ+bEm0kNy0LjNgjNlnL3UMAG56t8E3LANIgGgEnpNsB1UwfWluPoGZoTx N+6pHBJrKIL/1v/ETU4FXpYw2zvhWNahxeNRnoYj3uycHkeliCrw4kj0+skizBgO 2K7oVX8Oc3j5+ZilhL/qDLXmUCb2az5cMM1mOoF8EKX5HaNuq1KfwJxqXE6NNIcO lFTrT7QwD5fMNld3FanLgv/ZnIrsSaqJOL6zRSq8O4LN1OWBVbndExk2Kr+5kFxn 5lBPgfPgRj5hQ+KTHMa9Y8Z7yUc64BJiN6F9Nl7FJuSsfqbdkvRLsQRbcBG9qxX3 rJAEhieJzVMEUNl+EgeCkxj5xuSkNU7zw2c3hQZqEcrADLV+hvFJktOz9Gm6xzbq lTnWWCz4xrIWtuEBA2qE+MlDheVd78a3gIsEaSTfQq0osYXaQbvlnSWOoc1y/5Zb zizHTJIhLtUyls9WisP2s0emeHZicVMfW61EgPrJAiupgc7kyZvFt4YwfwARAQAB tCRBbWF6b24gRUNTIDxlY3Mtc2VjdXJpdHlAYW1hem9uLmNvbT6JAhwEEAECAAYF AlrjL0YACgkQHivRXs0TaQrg1g/+JppwPqHnlVPmv7lessB8I5UqZeD6p6uVpHd7 Bs3pcPp8BV7BdRbs3sPLt5bV1+rkqOlw+0gZ4Q/ue/YbWtOAt4qY0OcEo0HgcnaX lsB827QIfZIVtGWMhuh94xzm/SJkvngml6KB3YJNnWP61A9qJ37/VbVVLzvcmazA McWB4HUMNrhd0JgBCo0gIpqCbpJEvUc02Bjn23eEJsS9kC7OUAHyQkVnx4d9UzXF 4OoISF6hmQKIBoLnRrAlj5Qvs3GhvHQ0ThYq0Grk/KMJJX2CSqt7tWJ8gk1n3H3Y SReRXJRnv7DsDDBwFgT6r5Q2HW1TBUvaoZy5hF6maD09nHcNnvBjqADzeT8Tr/Qu bBCLzkNSYqqkpgtwv7seoD2P4n1giRvDAOEfMZpVkUr+C252IaH1HZFEz+TvBVQM Y8OWWxmIJW+J6evjo3N1eO19UHv71jvoF8zljbI4bsL2c+QTJmOv7nRqzDQgCWyp Id/v2dUVVTk1j9omuLBBwNJzQCB+72LcIzJhYmaP1HC4LcKQG+/f41exuItenatK lEJQhYtyVXcBlh6Yn/wzNg2NWOwb3vqY/F7m6u9ixAwgtIMgPCDE4aJ86zrrXYFz N2HqkTSQh77Z8KPKmyGopsmN/reMuilPdINb249nA0dzoN+nj+tTFOYCIaLaFyjs Z0r1QAOJAjkEEwECACMFAlq1SasCGwMHCwkIBwMCAQYVCAIJCgsEFgIDAQIeAQIX gAAKCRC86dmkLVF4T9iFEACEnkm1dNXsWUx34R3c0vamHrPxvfkyI1FlEUen8D1h uX9xy6jCEROHWEp0rjGK4QDPgM93sWJ+s1UAKg214QRVzft0y9/DdR+twApA0fzy uavIthGd6+03jAAo6udYDE+cZC3P7XBbDiYEWk4XAF9I1JjB8hTZUgvXBL046JhG eM17+crgUyQeetkiOQemLbsbXQ40Bd9V7zf7XJraFd8VrwNUwNb+9KFtgAsc9rk+ YIT/PEf+YOPysgcxI4sTWghtyCulVnuGoskgDv4v73PALU0ieUrvvQVqWMRvhVx1 0X90J7cC1KOyhlEQQ1aFTgmQjmXexVTwIBm8LvysFK6YXM41KjOrlz3+6xBIm/qe bFyLUnf4WoiuOplAaJhK9pRY+XEnGNxdtN4D26Kd0F+PLkm3Tr3Hy3b1Ok34FlGr KVHUq1TZD7cvMnnNKEELTUcKX+1mV3an16nmAg/my1JSUt6BNK2rJpY1s/kkSGSE XQ4zuF2IGCpvBFhYAlt5Un5zwqkwwQR3/n2kwAoDzonJcehDw/C/cGos5D0aIU7I K2X2aTD3+pA7Mx3IMe2hqmYqRt9X42yF1PIEVRneBRJ3HDezAgJrNh0GQWRQkhIx gz6/cTR+ekr5TptVszS9few2GpI5bCgBKBisZIssT89aw7mAKWut0Gcm4qM9/yK6 1bkCDQRatUmrARAAxNPvVwreJ2yAiFcUpdRlVhsuOgnxvs1QgsIw3H7+Pacr9Hpe 8uftYZqdC82KeSKhpHq7c8gMTMucIINtH25x9BCc73E33EjCL9Lqov1TL7+QkgHe T+JIhZwdD8Mx2K+LVVVu/aWkNrfMuNwyDUciSI4D5QHa8T+F8fgN4OTpwYjirzel 5yoICMr9hVcbzDNv/ozKCxjx+XKgnFc3wrnDfJfntfDAT7ecwbUTL+viQKJ646s+ psiqXRYtVvYInEhLVrJ0aV6zHFoigE/Bils6/g7ru1Q6CEHqEw++APs5CcE8VzJu WAGSVHZgun5Y9N4quR/M9Vm+IPMhTxrAg7rOvyRN9cAXfeSMf77I+XTifigNna8x t/MOdjXr1fjF4pThEi5u6WsuRdFwjY2azEv3vevodTi4HoJReH6dFRa6y8c+UDgl 2iHiOKIpQqLbHEfQmHcDd2fix+AaJKMnPGNku9qCFEMbgSRJpXz6BfwnY1QuKE+I R6jA0frUNt2jhiGG/F8RceXzohaaC/Cx7LUCUFWc0n7z32C9/Dtj7I1PMOacdZzz bjJzRKO/ZDv+UN/c9dwAkllzAyPMwGBkUaY68EBstnIliW34aWm6IiHhxioVPKSp VJfyiXPO0EXqujtHLAeChfjcns3I12YshT1dv2PafG53fp33ZdzeUgsBo+EAEQEA AYkCHwQYAQIACQUCWrVJqwIbDAAKCRC86dmkLVF4T+ZdD/9x/8APzgNJF3o3STrF jvnV1ycyhWYGAeBJiu7wjsNWwzMFOv15tLjB7AqeVxZn+WKDD/mIOQ45OZvnYZuy X7DR0JszaH9wrYTxZLVruAu+t6UL0y/XQ4L1GZ9QR6+r+7t1Mvbfy7BlHbvX/gYt Rwe/uwdibI0CagEzyX+2D3kTOlHO5XThbXaNf8AN8zha91Jt2Q2UR2X5T6JcwtMz FBvZnl3LSmZyE0EQehS2iUurU4uWOpGppuqVnbi0jbCvCHKgDGrqZ0smKNAQng54 F365W3g8AfY48s8XQwzmcliowYX9bT8PZiEi0J4QmQh0aXkpqZyFefuWeOL2R94S XKzr+gRh3BAULoqF+qK+IUMxTip9KTPNvYDpiC66yBiT6gFDji5Ca9pGpJXrC3xe TXiKQ8DBWDhBPVPrruLIaenTtZEOsPc4I85yt5U9RoPTStcOr34s3w5yEaJagt6S Gc5r9ysjkfH6+6rbi1ujxMgROSqtqr+RyB+V9A5/OgtNZc8llK6u4UoOCde8jUUW vqWKvjJB/Kz3u4zaeNu2ZyyHaOqOuH+TETcW+jsY9IhbEzqN5yQYGi4pVmDkY5vu lXbJnbqPKpRXgM9BecV9AMbPgbDq/5LnHJJXg+G8YQOgp4lR/hC1TEFdIp5wM8AK CWsENyt2o1rjgMXiZOMF8A5oBLkCDQRatUuSARAAr77kj7j2QR2SZeOSlFBvV7oS mFeSNnz9xZssqrsm6bTwSHM6YLDwc7Sdf2esDdyzONETwqrVCg+FxgL8hmo9hS4c rR6tmrP0mOmptr+xLLsKcaP7ogIXsyZnrEAEsvW8PnfayoiPCdc3cMCR/lTnHFGA 7EuR/XLBmi7Qg9tByVYQ5Yj5wB9V4B2yeCt3XtzPqeLKvaxl7PNelaHGJQY/xo+m V0bndxf9IY+4oFJ4blD32WqvyxESo7vW6WBh7oqv3Zbm0yQrr8a6mDBpqLkvWwNI 3kpJR974tg5o5LfDu1BeeyHWPSGm4U/G4JB+JIG1ADy+RmoWEt4BqTCZ/knnoGvw D5sTCxbKdmuOmhGyTssoG+3OOcGYHV7pWYPhazKHMPm201xKCjH1RfzRULzGKjD+ yMLT1I3AXFmLmZJXikAOlvE3/wgMqCXscbycbLjLD/bXIuFWo3rzoezeXjgi/DJx jKBAyBTYO5nMcth1O9oaFd9d0HbsOUDkIMnsgGBE766Piro6MHo0T0rXl07Tp4pI rwuSOsc6XzCzdImj0Wc6axS/HeUKRXWdXJwno5awTwXKRJMXGfhCvSvbcbc2Wx+L IKvmB7EB4K3fmjFFE67yolmiw2qRcUBfygtH3eL5XZU28MiCpue8Y8GKJoBAUyvf KeM1rO8Jm3iRAc5a/D0AEQEAAYkEPgQYAQIACQUCWrVLkgIbAgIpCRC86dmkLVF4 T8FdIAQZAQIABgUCWrVLkgAKCRDePL1hra+LjtHYD/9MucxdFe6bXO1dQR4tKhhQ P0LRqy6zlBY9ILCLowNdGZdqorogUiUymgn3VhEhVtxTOoHcN7qOuM01PNsRnOeS EYjf8Xrb1clzkD6xULwmOclTb9bBxnBc/4PFvHAbZW3QzusaZniNgkuxt6BTfloS Of4inq71kjmGK+TlzQ6mUMQUg228NUQC+a84EPqYyAeY1sgvgB7hJBhYL0QAxhcW 6m20Rd8iEc6HyzJ3yCOCsKip/nRWAbf0OvfHfRBp0+m0ZwnJM8cPRFjOqqzFpKH9 HpDmTrC4wKP1+TL52LyEqNh4yZitXmZNV7giSRIkk0eDSko+bFy6VbMzKUMkUJK3 D3eHFAMkujmbfJmSMTJOPGn5SB1HyjCZNx6bhIIbQyEUB9gKCmUFaqXKwKpF6rj0 iQXAJxLR/shZ5Rk96VxzOphUl7T90m/PnUEEPwq8KsBhnMRgxa0RFidDP+n9fgtv HLmrOqX9zBCVXh0mdWYLrWvmzQFWzG7AoE55fkf8nAEPsalrCdtaNUBHRXA0OQxG AHMOdJQQvBsmqMvuAdjkDWpFu5y0My5ddU+hiUzUyQLjL5Hhd5LOUDdewlZgIw1j xrEAUzDKetnemM8GkHxDgg8koev5frmShJuce7vSjKpCNg3EIJSgqMOPFjJuLWtZ vjHeDNbJy6uNL65ckJy6WhGjEADS2WAW1D6Tfekkc21SsIXk/LqEpLMR/0g5OUif wcEN1rS9IJXBwIy8MelN9qr5KcKQLmfdfBNEyyceBhyVl0MDyHOKC+7PofMtkGBq 13QieRHv5GJ8LB3fclqHV8pwTTo3Bc8z2g0TjmUYAN/ixETdReDoKavWJYSE9yoM aaJu279ioVTrwpECse0XkiRyKToTjwOb73CGkBZZpJyqux/rmCV/fp4ALdSW8zbz FJVORaivhoWwzjpfQKhwcU9lABXi2UvVm14v0AfeI7oiJPSU1zM4fEny4oiIBXlR zhFNih1UjIu82X16mTm3BwbIga/s1fnQRGzyhqUIMii+mWra23EwjChaxpvjjcUH 5ilLc5Zq781aCYRygYQw+hu5nFkOH1R+Z50Ubxjd/aqUfnGIAX7kPMD3Lof4KldD Q8ppQriUvxVo+4nPV6rpTy/PyqCLWDjkguHpJsEFsMkwajrAz0QNSAU5CJ0G2Zu4 yxvYlumHCEl7nbFrm0vIiA75Sa8KnywTDsyZsu3XcOcf3g+g1xWTpjJqy2bYXlqz 9uDOWtArWHOis6bq8l9RE6xr1RBVXS6uqgQIZFBGyq66b0dIq4D2JdsUvgEMaHbc e7tBfeB1CMBdA64e9Rq7bFR7Tvt8gasCZYlNr3lydh+dFHIEkH53HzQe6l88HEic +0jVnLkCDQRa55wJARAAyLya2Lx6gyoWoJN1a6740q3o8e9d4KggQOfGMTCflmeq ivuzgN+3DZHN+9ty2KxXMtn0mhHBerZdbNJyjMNT1gAgrhPNB4HtXBXum2wS57WK DNmade914L7FWTPAWBG2Wn448OEHTqsClICXXWy9IICgclAEyIq0Yq5mAdTEgRJS Z8t4GpwtDL9gNQyFXaWQmDmkAsCygQMvhAlmu9xOIzQG5CxSnZFk7zcuL60k14Z3 Cmt49k4T/7ZU8goWi8tt+rU78/IL3J/fF9+1civ1OwuUidgfPCSvOUW1JojsdCQA L+RZJcoXq7lfOFj/eNjeOSstCTDPfTCL+kThE6E5neDtbQHBYkEX1BRiTedsV4+M ucgiTrdQFWKf89G72xdv8ut9AYYQ2BbEYU+JAYhUH8rYYui2dHKJIgjNvJscuUWb +QEqJIRleJRhrO+/CHgMs4fZAkWF1VFhKBkcKmEjLn1f7EJJUUW84ZhKXjO/AUPX 1CHsNjziRceuJCJYox1cwsoq6jTE50GiNzcIxTn9xUc0UMKFeggNAFys1K+TDTm3 Bzo8H5ucjCUEmUm9lhkGwqTZgOlRX5eqPX+JBoSaObqhgqCa5IPinKRa6MgoFPHK 6sYKqroYwBGgZm6Js5chpNchvJMs/3WXNOEVg0J3z3vP0DMhxqWm+r+n9zlW8qsA EQEAAYkEPgQYAQgACQUCWuecCQIbAgIpCRC86dmkLVF4T8FdIAQZAQgABgUCWuec CQAKCRBQ3szEcQ5hr+ykD/4tOLRHFHXuKUcxgGaubUcVtsFrwBKma1cYjqaPms8u 6Sk0wfGRI32G/GhOrp0Ts/MOkbObq6VLTh8N5Yc/53MEl8zQFw9Y5AmRoW4PZXER ujs5s7p4oR7xHMihMjCCBn1bvrR+34YPfgzTcgLiOEFHYT8UTxwnGmXOvNkMM7md xD3CV5q6VAte8WKBo/220II3fcQlc9r/oWX4kXXkb0v9hoGwKbDJ1tzqTPrp/xFt yohqnvImpnlz+Q9zXmbrWYL9/g8VCmW/NN2gju2G3Lu/TlFUWIT4v/5OPK6TdeNb VKJO4+S8bTayqSG9CML1S57KSgCo5HUhQWeSNHI+fpe5oX6FALPT9JLDce8OZz1i cZZ0MELP37mOOQun0AlmHm/hVzf0f311PtbzcqWaE51tJvgUR/nZFo6Ta3O5Ezhs 3VlEJNQ1Ijf/6DH87SxvAoRIARCuZd0qxBcDK0avpFzUtbJd24lRA3WJpkEiMqKv RDVZkE4b6TW61f0o+LaVfK6E8oLpixegS4fiqC16mFrOdyRk+RJJfIUyz0WTDVmt g0U1CO1ezokMSqkJ7724pyjr2xf/r9/sC6aOJwB/lKgZkJfC6NqL7TlxVA31dUga LEOvEJTTE4gl+tYtfsCDvALCtqL0jduSkUo+RXcBItmXhA+tShW0pbS2Rtx/ixua KohVD/0R4QxiSwQmICNtm9mw9ydIl1yjYXX5a9x4wMJracNY/LBybJPFnZnT4dYR z4XjqysDwvvYZByaWoIe3QxjX84V6MlI2IdAT/xImu8gbaCI8tmyfpIrLnPKiR9D VFYfGBXuAX7+HgPPSFtrHQONCALxxzlbNpS+zxt9r0MiLgcLyspWxSdmoYGZ6nQP RO5Nm/ZVS+u2imPCRzNUZEMa+dlE6kHx0rS0dPiuJ4O7NtPeYDKkoQtNagspsDvh cK7CSqAiKMq06UBTxqlTSRkm62eOCtcs3p3OeHu5GRZF1uzTET0ZxYkaPgdrQknx ozjP5mC7X+45lcCfmcVt94TFNL5HwEUVJpmOgmzILCI8yoDTWzloo+i+fPFsXX4f kynhE83mSEcr5VHFYrTY3mQXGmNJ3bCLuc/jq7ysGq69xiKmTlUeXFm+aojcRO5i zyShIRJZ0GZfuzDYFDbMV9amA/YQGygLw//zP5ju5SW26dNxlf3MdFQE5JJ86rn9 MgZ4gcpazHEVUsbZsgkLizRp9imUiH8ymLqAXnfRGlU/LpNSefnvDFTtEIRcpOHc bhayG0bk51Bd4mioOXnIsKy4j63nJXA27x5EVVHQ1sYRN8Ny4Fdr2tMAmj2O+X+J qX2yy/UX5nSPU492e2CdZ1UhoU0SRFY3bxKHKB7SDbVeav+K5g== =Gi5D -----END PGP PUBLIC KEY BLOCK-----

        The details of the Amazon ECS PGP public key for reference:

        Key ID: BCE9D9A42D51784F
        Type: RSA
        Size: 4096/4096
        Expires: Never
        User ID: Amazon ECS
        Key fingerprint: F34C 3DDA E729 26B0 79BE AEC6 BCE9 D9A4 2D51 784F

        Importe a chave pública PGP do Amazon ECS usando o seguinte comando.

        gpg --import <public_key_filename>
    3. Faça download da assinatura do agente de contêiner do ECS. As assinaturas do agente de contêiner do ECS são assinaturas PGP ascii desanexadas armazenadas em arquivos com a extensão .asc. O arquivo de assinaturas tem o mesmo nome do executável correspondente, com .asc adicionado.

      SubstitutoREGIONCom a Região que hospeda o bucket do S3, por exemplo,us-east-1.

      curl -o ecs-agent.asc https://s3.amazonaws.com/amazon-ecs-agent-REGION/ecs-agent-latest.tar.asc
    4. Verifique a assinatura.

      gpg --verify ecs-agent.asc ./ecs-agent.tar

      Saída esperada:

      gpg: Signature made Wed 16 May 2018 08:21:06 PM UTC using RSA key ID 710E61AF
      gpg: Good signature from "Amazon ECS <ecs-security@amazon.com>" [unknown]
      gpg: WARNING: This key is not certified with a trusted signature!
      gpg:          There is no indication that the signature belongs to the owner.
      Primary key fingerprint: F34C 3DDA E729 26B0 79BE  AEC6 BCE9 D9A4 2D51 784F
           Subkey fingerprint: D64B B6F9 0CF3 77E9 B5FB  346F 50DE CCC4 710E 61AF
      nota

      O aviso na saída é esperado e não é problemático. Isso ocorre porque não há uma cadeia de confiança entre sua chave PGP pessoal (se você tiver uma) e a chave PGP do Amazon ECS. Para obter mais informações, consulte Web of trust.

Execução do agente de contêiner do Amazon ECS com o modo de rede de host

Durante a execução do agente de contêiner do Amazon ECS, ecs-init criará o contêiner do agente de contêiner com o modo de rede host. Esse é o único modo de rede com suporte para o contêiner do agente de contêiner.

Isso permite que você bloqueie o acesso ao endpoint de serviço de metadados da instância do Amazon EC2 (http://169.254.169.254) para os contêineres iniciados pelo agente de contêiner. Isso garante que os contêineres não possam acessar as credenciais de função do IAM do perfil da instância de contêiner e impõe que as tarefas usem apenas as credenciais de função de tarefa do IAM. Para obter mais informações, consulte Funções do IAM para tarefas.

Isso também permite que o agente de contêiner não dispute conexões e tráfego de rede na ponte docker0.