Configurar com o Amazon ECS - Amazon Elastic Container Service

Configurar com o Amazon ECS

Se você já tiver se cadastrado no Amazon Web Services (AWS) e usado o Amazon Elastic Compute Cloud (Amazon EC2), estará próximo de poder usar o Amazon ECS. O processo de configuração para os dois serviços é semelhante. O guia a seguir prepara você para iniciar seu primeiro cluster do Amazon ECS.

Conclua as tarefas a seguir para estar preparado para o Amazon ECS.

Cadastre-se no AWS

Quando você se cadastrar na AWS, sua conta da AWS será automaticamente cadastrada em todos os serviços, inclusive no Amazon EC2 e no Amazon ECS. Você será cobrado apenas pelos serviços que usar.

Se já tiver uma conta da AWS, passe para a próxima tarefa. Se você ainda não possuir uma conta da AWS, use o procedimento a seguir para criar uma.

Para criar uma conta da AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções online.

    Parte do procedimento de cadastro envolve uma chamada telefônica e a digitação de um código de verificação usando o teclado do telefone.

Anote o número da conta da AWS, pois você precisará dele na próxima tarefa.

Criar um usuário do IAM

Serviços na AWS, como o Amazon EC2 e Amazon ECS, exigem que você forneça credenciais ao acessá-los para que o serviço possa determinar se você tem permissão para acessar os recursos. O console requer sua senha. Você pode criar chaves de acesso para sua conta da AWS para acessar a interface de linha de comando ou a API. Contudo, não recomendamos que você acesse a AWS usando as credenciais da sua conta da AWS; em vez disso, recomendamos que você use o AWS Identity and Access Management (IAM). Crie um usuário do IAM e adicione o usuário a um grupo do IAM com permissões administrativas ou conceda permissões administrativas a esse usuário. Em seguida, você pode acessar a AWS usando um URL especial e as credenciais do usuário do IAM.

Se você se cadastrou na AWS, mas não criou um usuário do IAM para você, crie um usando o console do IAM.

Para criar um usuário administrador para você mesmo e adicionar o usuário a um grupo de administradores (console)

  1. Faça login no console do IAM como proprietário da conta escolhendo Root user (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS . Na próxima página, insira sua senha.

    nota

    Recomendamos seguir as práticas recomendadas para utilizar o usuário do IAM Administrator a seguir e armazenar as credenciais do usuário raiz com segurança. Cadastre-se como o usuário raiz apenas para executar algumas tarefas de gerenciamento de serviços e contas.

  2. No painel de navegação, escolha Usuários e depois Adicionar usuário.

  3. Em User name (Nome do usuário), digite Administrator.

  4. Marque a caixa de seleção ao lado do acesso ao AWS Management Console. Então, selecione Custom password (Senha personalizada), e insira sua nova senha na caixa de texto.

  5. (Opcional) Por padrão, a AWS exige que o novo usuário crie uma senha ao fazer login pela primeira vez. Você pode desmarcar a caixa de seleção próxima de User must create a new password at next sign-in (O usuário deve criar uma senha no próximo login) para permitir que o novo usuário redefina a senha depois de fazer login.

  6. Escolha Próximo: Permissões.

  7. Em Set permissions (Conceder permissões), escolha Add user to group (Adicionar usuário ao grupo).

  8. Escolha Create group (Criar grupo).

  9. Na caixa de diálogo Create group (Criar grupo), em Group name (Nome do grupo), digite Administrators.

  10. Selecione Filter policies (Filtrar políticas) e, em seguida, selecione AWS managed - job function (Função de trabalho gerenciada da AWS) para filtrar o conteúdo da tabela.

  11. Na lista de políticas, marque a caixa de seleção AdministratorAccess. A seguir escolha Criar grupo.

    nota

    Você deve ativar o acesso de usuário do IAM e da função para Billing (Faturamento) antes de usar as permissões de AdministratorAccess para acessar o console do AWS Billing and Cost Management. Para fazer isso, siga as instruções na etapa 1 do tutorial sobre como delegar acesso ao console de faturamento.

  12. Suporte a lista de grupos, selecione a caixa de seleção para seu novo grupo. Escolha Refresh (Atualizar) caso necessário, para ver o grupo na lista.

  13. Escolha Next: Tags (Próximo: tags).

  14. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Marcar entidades do IAM no Guia do usuário do IAM.

  15. Escolha Next: Review (Próximo: Análise) para ver uma lista de associações de grupos a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, selecione Criar usuário.

Você pode usar esse mesmo processo para criar mais grupos e usuários e conceder aos seus usuários acesso aos recursos da sua Conta da AWS . Para saber como usar políticas para restringir as permissões de usuário a recursos específicos da AWS, consulte Gerenciamento de acesso e Exemplos de políticas.

Para fazer login como esse novo usuário do IAM, faça logout no console da AWS e use a seguinte URL, em que your_aws_account_id é o número de sua conta da AWS sem hifens (por exemplo, se o número da conta da AWS é 1234-5678-9012, o ID da conta da AWS é 123456789012):

https://your_aws_account_id.signin.aws.amazon.com/console/

Insira o nome e a senha de usuário do IAM que você acabou de criar. Quando você está conectado, a barra de navegação exibe "your_user_name @ your_aws_account_id".

Se você não quiser que a URL da página de cadastro contenha o ID da sua conta da AWS, crie um alias da conta. Na parte superior do painel do IAM, à direita do link de login, escolha Customize (Personalizar) e insira um alias, como o nome da sua empresa. Para fazer o login depois de criar o alias de uma conta, use o seguinte URL:

https://your_account_alias.signin.aws.amazon.com/console/

Para verificar o link de cadastro para usuários do IAM para a conta, abra o console do IAM e marque IAM users sign-in link no painel.

Para obter mais informações sobre o IAM, consulte o Guia do usuário do AWS Identity and Access Management.

Criar um par de chaves

Para o Amazon ECS, o par de chaves só será necessário se você tiver a intenção de usar o tipo de inicialização do EC2.

AWSA usa criptografia de chave pública para proteger as informações de logon da instância. Uma instância do Linux, como uma instância de contêiner do Amazon ECS, não possui senha a ser usada para acesso SSH. Você usa um par de chaves para fazer login na sua instância com segurança. Você especifica o nome do par de chaves ao ativar a instância de contêiner e, em seguida, fornece a chave privada ao fazer logon usando SSH.

Se ainda não tiver criado um par de chaves, você poderá criar um usando o console do Amazon EC2. Se você planeja iniciar instâncias em várias regiões, você precisará criar um par de chaves em cada região. Para obter mais informações sobre regiões, consulte Regiões e zonas de disponibilidade no Guia do usuário do Amazon EC2 para instâncias do Linux.

Para criar um par de chaves

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação, selecione uma região para o par de chaves. Selecione qualquer região que estiver disponível para você, independentemente do seu local. No entanto, os pares de chaves são específicos de uma região. Por exemplo, se você planeja iniciar uma instância de contêiner na região Leste dos EUA (Ohio), deve criar um par de chaves para a instância na mesma região.

    
						Selecione uma região
  3. No painel de navegação, em REDE E SEGURANÇA, escolha Pares de chaves.

    dica

    O painel de navegação está no lado esquerdo do console. Se você não vir o painel, ele pode estar minimizado; selecione a seta para expandir o painel. Pode ser necessário rolar para baixo para ver o link Key Pairs.

    
						Abrir a página pares de chaves
  4. Escolha Criar par de chaves.

  5. Digite um nome para o novo par de chaves no campo Nome do par de chaves da caixa de diálogo Criar par de chaves e selecione Criar. Use um nome que seja fácil de lembrar, como o nome de usuário do IAM, seguido de -key-pair mais o nome da região. Por exemplo, me-key-pair-useast2.

  6. O arquivo de chave privada é baixado automaticamente pelo navegador. O nome do arquivo base é o nome especificado como sendo o nome do par de chaves e a extensão do nome do arquivo é .pem. Salve o arquivo de chave privada em um lugar seguro.

    Importante

    Esta é a única chance de você salvar o arquivo de chave privada. Forneça o nome do par de chaves ao iniciar uma instância e a chave privada correspondente sempre que se conectar à instância.

  7. Se você usar um cliente de SSH em um computador macOS ou Linux para se conectar à instância do Linux, use o seguinte comando para definir as permissões do arquivo de chave privada, de maneira que apenas você possa lê-lo.

    chmod 400 your_user_name-key-pair-region_name.pem

Para obter mais informações, consulte Pares de chaves do Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux.

Para se conectar à instância usando o par de chaves

Para se conectar à instância do Linux em um computador no qual o macOS ou o Linux esteja em execução, especifique o arquivo .pem ao cliente SSH com a opção -i e o caminho para a chave privada. Para se conectar à instância do Linux em um computador no qual o Windows esteja em execução, você pode usar MindTerm ou PuTTY. Se você planeja usar PuTTY, precisa instalá-lo e usar o procedimento a seguir para converter o arquivo .pem em um arquivo .ppk.

Para se preparar para se conectar a uma instância do Linux no Windows usando PuTTY

  1. Baixe e instale o PuTTY em http://www.chiark.greenend.org.uk/~sgtatham/putty/. Instale o pacote inteiro.

  2. Inicie o PuTTYgen (por exemplo: no menu Start (Iniciar), escolha All Programs > PuTTY > PuTTYgen [Todos os programas > PuTTY > PuTTYgen]).

  3. Em Tipo de chave a ser gerada, escolha RSA.

    
						A chave SSH-2 RSA no PuTTYgen
  4. Escolha Load (Carregar). Por padrão, o PuTTYgen exibe somente arquivos com a extensão .ppk. Para localizar o arquivo .pem, selecione a opção para exibir arquivos de todos os tipos.

    
						Selecionar todos os tipos de arquivo
  5. Selecione o arquivo de chave privada que você criou no procedimento anterior e escolha Abrir. Escolha OK para descartar a caixa de diálogo de confirmação.

  6. Escolha Save private key (Salvar chave privada). A PuTTYgen exibe um aviso sobre salvar a chave sem uma senha. Escolha Sim.

  7. Especifique o mesmo nome da chave usado para o par de chaves. O PuTTY adiciona automaticamente a extensão de arquivo .ppk.

Criar uma nuvem privada virtual

A Amazon Virtual Private Cloud (Amazon VPC) permite iniciar recursos da AWS em uma rede virtual definida por você. É altamente recomendável ativar as instâncias de contêiner em um VPC.

nota

A primeira execução do console do Amazon ECS cria uma VPC para o cluster. Portanto, se você pretende usar o console do Amazon ECS, pode avançar para a próxima seção.

Caso tenha uma VPC padrão, você também pode ignorar esta seção e avançar à próxima tarefa, Crie um grupo de segurança. Para determinar se você tem uma VPC padrão, consulte Plataformas compatíveis no console do Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux. Do contrário, você pode criar uma VPC não padrão na conta usando as etapas abaixo.

Importante

Se sua conta oferece suporte ao Amazon EC2 Classic em uma região, significa que você não tem uma VPC padrão nesta região.

Para criar um VPC não padrão

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. Na barra de navegação, selecione uma região para a VPC. Os VPCs são específicos para uma região, portanto, você deve selecionar a mesma região em que criou o par de chaves.

  3. No painel da VPC, selecione Launch VPC Wizard (Iniciar assistente da VPC).

  4. Na página Etapa 1: selecione uma configuração de VPC, verifique se VPC com uma única sub-rede pública está selecionado e escolha Selecionar.

  5. Na página Step 2: VPC with a Single Public Subnet, insira um nome amigável para a VPC no campo VPC name. Deixe as outras definições de configuração padrão e escolha Create VPC. Na página de confirmação, escolha OK.

Para saber mais sobre a Amazon VPC, consulte O que é a Amazon VPC? no Guia do usuário da Amazon VPC.

Crie um grupo de segurança

Os grupos de segurança funcionam como um firewall para instâncias de contêiner associadas, controlando o tráfego de entrada e de saída no nível de instância de contêiner. Você pode adicionar regras a um grupo de segurança que permite a você se conectar à instância de contêiner do endereço IP usando SSH. Você também pode adicionar regras que permitam o acesso HTTP e HTTPS de entrada e saída de qualquer lugar. Adicione eventuais regras a portas abertas exigidas pelas tarefas. As instâncias de contêiner precisam de acesso de rede externo para se comunicar com o endpoint de serviço do Amazon ECS.

nota

A primeira execução do console do Amazon ECS cria um grupo de segurança para as instâncias e os balanceadores de carga com base na definição de tarefa que você usa. Portanto, se você pretende usar o console do Amazon ECS, pode avançar para a próxima seção.

Se você pretende executar instâncias de contêiner em várias regiões, será necessário criar um grupo de segurança em cada região. Para obter mais informações, consulte Regiões e zonas de disponibilidade no Guia do usuário do Amazon EC2 para instâncias do Linux.

dica

Você precisa do endereço IP público do computador local, obtido usando-se um serviço. Por exemplo, fornecemos o seguinte serviço: http://checkip.amazonaws.com/ ou https://checkip.amazonaws.com/. Para localizar outro serviço que forneça o endereço IP, use a frase de busca "qual é o meu endereço IP". Caso esteja se conectando por meio de um Internet Service Provider (ISP – Provedor de serviços de Internet) ou atrás de um firewall sem um endereço IP estático, você deve descobrir o intervalo de endereços IP usados por computadores cliente.

Para criar um security group com o menor privilégio

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação, selecione uma região para o grupo de segurança. Os grupos de segurança são específicos para uma região, portanto, você deve selecionar a mesma região em que criou o par de chaves.

  3. No painel de navegação, escolha Security groups, Criar security group.

  4. Insira um nome para o novo security group e uma descrição. Escolha um nome que seja fácil de lembrar, como ecs-instances-default-cluster.

  5. Na lista VPC, verifique se a VPC padrão está selecionada. Ela é marcada com um asterisco (*).

    nota

    Se sua conta oferecer suporte ao Amazon EC2 Classic, selecione a VPC que você criou na tarefa anterior.

  6. As instâncias de contêiner do Amazon ECS não exigem que alguma porta de entrada esteja aberta. No entanto, você pode adicionar uma regra SSH para fazer login na instância de contêiner e examinar as tarefas com comandos do Docker. Você também pode adicionar regras para HTTP e HTTPS se desejar que sua instância de contêiner hospede uma tarefa que execute um servidor da Web. As instâncias de contêiner precisam de acesso de rede externa para se comunicar com o endpoint de serviço do Amazon ECS. Conclua as seguintes etapas para adicionar essas regras de security group opcionais.

    Na guia Entrada, crie as seguintes regras (escolha Adicionar regra para cada nova regra) e selecione Criar:

    • Selecione HTTP na lista Tipo e verifique se Origem está definida como Qualquer lugar (0.0.0.0/0).

    • Selecione HTTPS na lista Tipo e verifique se Origem está definida como Qualquer lugar (0.0.0.0/0).

    • Escolha SSH na lista Tipo. No campo Origem, verifique se IP personalizado está selecionado e especifique o endereço IP público de seu computador ou rede na notação CIDR. Para especificar um único endereço IP em notação CIDR, adicione o prefixo de roteamento /32. Por exemplo, se o endereço IP for 203.0.113.25, especifique 203.0.113.25/32. Se sua empresa alocar endereços de um intervalo, especifique o intervalo inteiro, como 203.0.113.0/24.

      Importante

      Por motivos de segurança, não recomendamos que você permita acesso SSH de todos os endereços IP (0.0.0.0/0) à sua instância, exceto para fins de teste e somente por um curto período.

Instalar a AWS CLI

O AWS Management Console pode ser usado para gerenciar manualmente todas as operações com o Amazon ECS. Porém, a instalação da AWS CLI no desktop local ou na caixa de um desenvolvedor permite criar scripts que podem automatizar tarefas de gerenciamento comuns no Amazon ECS.

Para usar a AWS CLI com o Amazon ECS, instale a versão mais recente da AWS CLI. Para obter informações sobre a instalação da AWS CLI ou a atualização para a versão mais recente, consulte Interface da linha de comando da AWS no Guia do usuário da AWS Command Line Interface.