Configuração com o Amazon ECS - Amazon Elastic Container Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração com o Amazon ECS

Caso já tenha se cadastrado na Amazon Web Services (AWS) e usado o Amazon Elastic Compute Cloud (Amazon EC2), você está próximo de poder usar o Amazon ECS. O processo de configuração para os dois serviços é semelhante. O guia a seguir prepara você para iniciar seu primeiroAmazon ECSCluster do.

Conclua as tarefas a seguir para configuração do Amazon ECS.

Cadastre-se no AWS

Ao se cadastrar na AWS, sua conta da AWS é automaticamente cadastrada em todos os serviços, inclusive Amazon EC2 e Amazon ECS. Você será cobrado apenas pelos serviços que usar.

Se já tiver uma conta da AWS, passe para a próxima tarefa. Se você ainda não possuir uma conta da AWS, use o procedimento a seguir para criar uma.

Para criar uma conta da AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções online.

    Parte do procedimento de cadastro envolve uma chamada telefônica e a digitação de um código de verificação usando o teclado do telefone.

Anote o número da conta da AWS, pois você precisará dele na próxima tarefa.

Criar um usuário do IAM

Os serviços na AWS, como Amazon EC2 e Amazon ECS, exigem que você forneça credenciais ao acessá-los, de maneira que o serviço possa determinar se você tem permissão para acessar os recursos. O console requer sua senha. Você pode criar chaves de acesso para sua conta da AWS para acessar a interface de linha de comando ou a API. Contudo, não recomendamos que você acesse a AWS usando as credenciais de sua conta da AWS; em vez disso, recomendamos que você use o AWS Identity and Access Management (IAM). Crie um usuário do IAM e adicione o usuário a um grupo do IAM com permissões administrativas ou conceda permissões administrativas a esse usuário. Em seguida, você poderá acessar a AWS usando uma URL especial e as credenciais do usuário do IAM.

Se você tiver se cadastrado na AWS, mas não criou um usuário do IAM para você mesmo, poderá criar um usando o console do IAM.

Para criar um usuário administrador para você mesmo e adicionar o usuário a um grupo de administradores (console)

  1. Entre no console do IAM como o proprietário da conta escolhendo usuário raiz e inserindo o endereço de e-mail de sua da conta AWS. Na próxima página, insira sua senha.

    nota

    Recomendamos que você siga as melhores práticas para utilizar o usuário do Administrator IAM abaixo e armazene as credenciais do usuário raiz com segurança. Cadastre-se como usuário raiz para executar somente algumas tarefas de gerenciamento de serviços e contas.

  2. No painel de navegação, escolha Usuários e depois Adicionar usuário.

  3. Em User name (Nome do usuário), digite Administrator.

  4. Marque a caixa de seleção ao lado de Console de gerenciamento da AWS access (Acesso ao &console;). Então, selecione Custom password (Senha personalizada), e insira sua nova senha na caixa de texto.

  5. (Opcional) Por padrão, a AWS exige que o novo usuário crie uma senha ao fazer login pela primeira vez. Você pode desmarcar a caixa de seleção próxima de User must create a new password at next sign-in (O usuário deve criar uma senha no próximo login) para permitir que o novo usuário redefina a senha depois de fazer login.

  6. Escolha Próximo: Permissões.

  7. Em Set permissions (Conceder permissões), escolha Add user to group (Adicionar usuário ao grupo).

  8. Escolha Create group (Criar grupo).

  9. Na caixa de diálogo Create group (Criar grupo), em Group name (Nome do grupo), digite Administrators.

  10. Escolha Filter policies (Filtrar políticas) e, depois, selecione AWS managed -job function (Função de trabalho gerenciado pela &AWS;) para filtrar o conteúdo de tabelas.

  11. Na lista de políticas, marque a caixa de seleção AdministratorAccess. A seguir escolha Criar grupo.

    nota

    Você deve ativar o acesso de usuário e função do IAM ao faturamento para poder usar as permissões do AdministratorAccess a fim de acessar o console do AWS Billing and Cost Management. Para fazer isso, siga as instruções na etapa 1 do tutorial sobre como delegar acesso ao console de faturamento.

  12. Suporte a lista de grupos, selecione a caixa de seleção para seu novo grupo. Escolha Refresh (Atualizar) caso necessário, para ver o grupo na lista.

  13. Escolha Next: Tags (Próximo: tags).

  14. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Marcar entidades do IAM no Guia do usuário do IAM.

  15. Escolha Next: Review (Próximo: Análise) para ver uma lista de associações de grupos a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, selecione Criar usuário.

Você pode usar esse mesmo processo para criar mais grupos e usuários e conceder aos seus usuários acesso aos recursos de sua conta da AWS. Para saber como usar políticas para restringir as permissões de usuário a recursos específicos da AWS, acesse Gerenciamento de acesso e Políticas de exemplo.

Para fazer login como esse novo usuário do IAM, faça logout no console da AWS e use a seguinte URL, em que your_aws_account_id é o número de sua conta da AWS sem hifens (por exemplo, se o número da conta da AWS é 1234-5678-9012, o ID da conta da AWS é 123456789012):

https://your_aws_account_id.signin.aws.amazon.com/console/

Insira o nome e a senha de usuário do IAM que você acabou de criar. Quando você está conectado, a barra de navegação exibe "your_user_name @ your_aws_account_id".

Se você não quiser que a URL da página de cadastro contenha o ID da sua conta da AWS, crie um alias da conta. Na parte superior daIAM, à direita do seu link de login, selecionePersonalizare insira um alias, como o nome da sua empresa. Para fazer o login depois de criar o alias de uma conta, use o seguinte URL:

https://your_account_alias.signin.aws.amazon.com/console/

Para verificar o link de login de usuários do IAM para sua conta, abra o console do IAM e verifique no link de login de usuários do IAM no painel.

Para obter mais informações sobre o IAM, consulte o Guia do usuário do AWS Identity and Access Management.

Criar um par de chaves

Para Amazon ECS, o par de chaves só será necessário se você tiver a intenção de usar o tipo de inicialização EC2.

AWS A usa criptografia de chave pública para proteger as informações de logon da instância. Uma instância do Linux, como uma instância de contêiner do Amazon ECS não possui senha a ser usada para acesso SSH. Você usa um par de chaves para fazer login na sua instância com segurança. Você especifica o nome do par de chaves ao ativar a instância de contêiner e, em seguida, fornece a chave privada ao fazer logon usando SSH.

Se ainda não tiver criado um par de chaves, você poderá criar um usando o console do Amazon EC2. Se você planeja iniciar instâncias em várias regiões, você precisará criar um par de chaves em cada região. Para obter mais informações sobre as regiões, consulte Regiões e zonas de disponibilidade no Guia do usuário do Amazon EC2 para instâncias do Linux.

Para criar um par de chaves

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação, selecione uma região para o par de chaves. Selecione qualquer região que estiver disponível para você, independentemente do seu local. No entanto, os pares de chaves são específicos de uma região. Por exemplo, se você planeja executar uma instância de contêiner em Região do Leste dos EUA (Ohio), deve criar um par de chaves para a instância em Região do Leste dos EUA (Ohio).

    
						Selecione uma região
  3. No painel de navegação, em REDE E SEGURANÇA, escolha Pares de chaves.

    dica

    O painel de navegação fica do lado esquerdo do console do . Se você não vir o painel, ele pode estar minimizado; selecione a seta para expandir o painel. Pode ser necessário rolar para baixo para ver o link Key Pairs.

    
						Abrir a página pares de chaves
  4. Escolha Criar par de chaves.

  5. Digite um nome para o novo par de chaves no campo Nome do par de chaves da caixa de diálogo Criar par de chaves e selecione Criar. Use um nome que seja fácil de lembrar, como o nome de usuário do IAM, seguido de -key-pair mais o nome da região. Por exemplo, me-key-pair-useast2.

  6. O arquivo de chave privada é baixado automaticamente pelo navegador. O nome do arquivo base é o nome especificado como sendo o nome do par de chaves e a extensão do nome do arquivo é .pem. Salve o arquivo de chave privada em um lugar seguro.

    Importante

    Esta é a única chance de você salvar o arquivo de chave privada. Forneça o nome do par de chaves ao iniciar uma instância e a chave privada correspondente sempre que se conectar à instância.

  7. Se você usar um cliente de SSH em um computador macOS ou Linux para se conectar à instância do Linux, use o seguinte comando para definir as permissões do arquivo de chave privada, de maneira que apenas você possa lê-lo.

    chmod 400 your_user_name-key-pair-region_name.pem

Para obter mais informações, consulte Pares deAmazon EC2 chaves do no Guia do usuário do Amazon EC2 para instâncias do Linux.

Para se conectar à instância usando o par de chaves

Para se conectar à instância do Linux em um computador no qual o macOS ou o Linux esteja em execução, especifique o arquivo .pem ao cliente SSH com a opção -i e o caminho para a chave privada. Para se conectar à instância do Linux em um computador no qual o Windows esteja em execução, você pode usar MindTerm ou PuTTY. Se quiser usar PuTTY, você precisará instalá-lo e usar o procedimento a seguir para converter o arquivo .pem em um arquivo .ppk.

Para se preparar para se conectar a uma instância do Linux no Windows usando PuTTY

  1. Faça download e instale o PuTTY em http://www.chiark.greenend.org.uk/~sgtatham/putty/. Instale o pacote inteiro.

  2. Inicie o PuTTYgen (por exemplo, no menu Start (Iniciar), selecione All Programs (Todos os programas) > PuTTY > PuTTYgen).

  3. Em Tipo de chave a ser gerada, escolha RSA.

    
						A chave SSH-2 RSA no PuTTYgen
  4. Escolha Load (Carregar). Por padrão, o PuTTYgen exibe somente arquivos com a extensão .ppk. Para localizar o arquivo .pem, selecione a opção para exibir arquivos de todos os tipos.

    
						Selecionar todos os tipos de arquivo
  5. Selecione o arquivo de chave privada que você criou no procedimento anterior e escolha Abrir. Escolha OK para descartar a caixa de diálogo de confirmação.

  6. Escolha Save private key (Salvar chave privada). PuTTYgen exibe um aviso sobre salvar a chave sem uma senha. Escolha Sim.

  7. Especifique o mesmo nome da chave usado para o par de chaves. O PuTTY adiciona automaticamente a extensão de arquivo .ppk.

Criar uma nuvem privada virtual

A Amazon Virtual Private Cloud (Amazon VPC) permite executar os recursos da AWS em uma rede virtual definida por você. É altamente recomendável ativar as instâncias de contêiner em um VPC.

nota

A primeira execução do console do Amazon ECS cria uma VPC para o cluster. Assim, caso pretenda usar o console do Amazon ECS, você pode avançar para a próxima seção.

Caso tenha uma VPC padrão, você também pode ignorar esta seção e avançar à próxima tarefa, Crie um grupo de segurança. Para determinar se você tem uma VPC padrão, consulte Plataformas compatíveis com o console do Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux. Do contrário, você pode criar uma VPC não padrão na conta usando as etapas abaixo.

Importante

Caso a conta dê suporte ao Amazon EC2 Classic em uma região, você não tem uma VPC padrão nessa região.

Para criar um VPC não padrão

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. Na barra de navegação, selecione uma região para a VPC. Os VPCs são específicos para uma região, portanto, você deve selecionar a mesma região em que criou o par de chaves.

  3. No painel da VPC, selecione Launch VPC Wizard (Iniciar assistente da VPC).

  4. NoEtapa 1: Selecione uma configuração da VPC, certifique-se de queVPC com uma única sub-rede públicaestiver selecionado e escolhaSelect.

  5. NoEtapa 2: VPC com uma única sub-rede pública, insira um nome amigável para a VPC naVPC name (Nome da VPC)field. Deixe as outras definições de configuração padrão e escolha Create VPC. Na página de confirmação, escolha OK.

Para obter mais informações sobre a Amazon VPC, consulte O que é a Amazon VPC? no Guia do usuário da Amazon VPC.

Crie um grupo de segurança

Os grupos de segurança funcionam como um firewall para instâncias de contêiner associadas, controlando o tráfego de entrada e de saída no nível de instância de contêiner. Você pode adicionar regras a um grupo de segurança que permite a você se conectar à instância de contêiner do endereço IP usando SSH. Você também pode adicionar regras que permitam o acesso HTTP e HTTPS de entrada e saída de qualquer lugar. Adicione eventuais regras a portas abertas exigidas pelas tarefas. As instâncias de contêiner precisam de acesso de rede externo para se comunicar com o endpoint de serviço do Amazon ECS.

nota

A primeira execução do console do Amazon ECS cria um grupo de segurança para as instâncias e os load balancers com base na definição de tarefa que você usa. Assim, caso pretenda usar o console do Amazon ECS, você pode avançar à próxima seção.

Se você pretende executar instâncias de contêiner em várias regiões, será necessário criar um grupo de segurança em cada região. Para obter mais informações, consulte Regiões e zonas de disponibilidade no Guia do usuário do Amazon EC2 para instâncias do Linux.

dica

Você precisa do endereço IP público do computador local, obtido usando-se um serviço. Por exemplo, fornecemos o seguinte serviço: http://checkip.amazonaws.com/ ou https://checkip.amazonaws.com/. Para localizar outro serviço que forneça o endereço IP, use a frase de busca "qual é o meu endereço IP". Caso esteja se conectando por meio de um Internet Service Provider (ISP – Provedor de serviços de Internet) ou atrás de um firewall sem um endereço IP estático, você deve descobrir o intervalo de endereços IP usados por computadores cliente.

Para criar um security group com o menor privilégio

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação, selecione uma região para o grupo de segurança. Os grupos de segurança são específicos para uma região, portanto, você deve selecionar a mesma região em que criou o par de chaves.

  3. No painel de navegação, escolha Security groups, Criar security group.

  4. Insira um nome para o novo security group e uma descrição. Escolha um nome que seja fácil de lembrar, como ecs-instances-default-cluster.

  5. Na lista VPC, verifique se a VPC padrão está selecionada. Ela é marcada com um asterisco (*).

    nota

    Se sua conta oferecer suporte ao Amazon EC2 Classic, selecione a VPC que você criou na tarefa anterior.

  6. As instâncias de contêiner do Amazon ECS não exigem que nenhuma porta de entrada esteja aberta. No entanto, você pode adicionar uma regra SSH para fazer login na instância de contêiner e examinar as tarefas com comandos do Docker. Você também pode adicionar regras para HTTP e HTTPS se desejar que sua instância de contêiner hospede uma tarefa que execute um servidor da Web. As instâncias de contêiner precisam de acesso de rede externa para se comunicar com o endpoint de serviço do Amazon ECS. Conclua as seguintes etapas para adicionar essas regras de security group opcionais.

    Na guia Entrada, crie as seguintes regras (escolha Adicionar regra para cada nova regra) e selecione Criar:

    • Selecione HTTP na lista Tipo e verifique se Origem está definida como Qualquer lugar (0.0.0.0/0).

    • Selecione HTTPS na lista Tipo e verifique se Origem está definida como Qualquer lugar (0.0.0.0/0).

    • Escolha SSH na lista Tipo. No campo Origem, verifique se IP personalizado está selecionado e especifique o endereço IP público de seu computador ou rede na notação CIDR. Para especificar um único endereço IP em notação CIDR, adicione o prefixo de roteamento /32. Por exemplo, se o endereço IP for 203.0.113.25, especifique 203.0.113.25/32. Se sua empresa alocar endereços de um intervalo, especifique o intervalo inteiro, como 203.0.113.0/24.

      Importante

      Por motivos de segurança, não recomendamos que você permita acesso SSH de todos os endereços IP (0.0.0.0/0) à sua instância, exceto para fins de teste e somente por um curto período.

Instalar a AWS CLI

O Console de gerenciamento da AWS pode ser usado para gerenciar manualmente todas as operações com o Amazon ECS. Porém, a instalação da AWS CLI na área de trabalho local ou na caixa de um desenvolvedor permite criar scripts que podem automatizar tarefas de gerenciamento comuns no Amazon ECS.

Para usar a AWS CLI com o Amazon ECS, instale a versão mais recente da AWS CLI. Para obter informações sobre a instalação da AWS CLI ou atualização para a versão mais recente, consulte Instalar a interface da linha de comando da AWS no Guia do usuário do AWS Command Line Interface.