設定方式 AWS Batch

如果您已經註冊了 Amazon Web Services（AWS）並且正在使用 Amazon Elastic Compute Cloud (Amazon EC2) 或 Amazon Elastic Container Service (Amazon ECS)，則可以很快使用 AWS Batch。這些服務的設定程序類似。這是因為在其運算環境中 AWS Batch 使用 Amazon ECS 容器執行個體。若要 AWS CLI 與配合使用 AWS Batch ，您必須使用支援最新 AWS Batch 功能的版本。 AWS CLI 如果在中看不到 AWS Batch 功能的支援 AWS CLI，請升級至最新版本。如需詳細資訊，請參閱 http://aws.amazon.com/cli/。

注意

由於 AWS Batch 使用 Amazon EC2 的元件，因此您可以使用 Amazon EC2 主控台執行許多這些步驟。

完成下列工作以進行設定 AWS Batch。如果您已完成上述任何步驟，則可以直接跳到安裝 AWS CLI.

註冊一個 AWS 帳戶

如果您沒有 AWS 帳戶，請完成以下步驟來建立一個。

若要註冊成為 AWS 帳戶

1. 開啟 https://portal.aws.amazon.com/billing/signup。

2. 請遵循線上指示進行。

   部分註冊程序需接收來電，並在電話鍵盤輸入驗證碼。

   當您註冊時 AWS 帳戶，會建立AWS 帳戶根使用者一個。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。安全性最佳做法是將管理存取權指派給使用者，並僅使用 root 使用者來執行需要 root 使用者存取權的工作。

AWS 註冊過程完成後，會向您發送確認電子郵件。您可以隨時登錄 https://aws.amazon.com/ 並選擇 我的帳戶，以檢視您目前的帳戶活動並管理帳戶。

建立具有管理權限的使用者

註冊後，請保護 AWS 帳戶 AWS 帳戶根使用者、啟用和建立系統管理使用者 AWS IAM Identity Center，這樣您就不會將 root 使用者用於日常工作。

保護您的 AWS 帳戶根使用者

1. 選擇 Root 使用者並輸入您的 AWS 帳戶 電子郵件地址，以帳戶擁有者身分登入。AWS Management Console在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 AWS 登入 使用者指南中的以根使用者身分登入。

2. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需指示，請參閱《IAM 使用者指南》中的為 AWS 帳戶 根使用者啟用虛擬 MFA 裝置 (主控台)。

建立具有管理權限的使用者

1. 啟用 IAM Identity Center。

   如需指示，請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center。

2. 在 IAM 身分中心中，將管理存取權授予使用者。

   若要取得有關使用 IAM Identity Center 目錄 做為身分識別來源的自學課程，請參閱《使用指南》 IAM Identity Center 目錄中的「以預設值設定使用AWS IAM Identity Center 者存取」。

以具有管理權限的使用者身分登入

• 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM 身分中心使用者登入的說明，請參閱使用AWS 登入 者指南中的登入 AWS 存取入口網站。

指派存取權給其他使用者

1. 在 IAM 身分中心中，建立遵循套用最低權限許可的最佳做法的權限集。

   如需指示，請參閱《AWS IAM Identity Center 使用指南》中的「建立權限集」。

2. 將使用者指派給群組，然後將單一登入存取權指派給群組。

   如需指示，請參閱《AWS IAM Identity Center 使用指南》中的「新增群組」。

為您的運算環境和容器執行個體建立 IAM 角色

您的 AWS Batch 運算環境和容器執行個體需要 AWS 帳戶 憑證，才能代表您呼叫其他 AWS API。建立將這些登入資料提供給您的運算環境和容器執行個體的 IAM 角色，然後將該角色與您的運算環境建立關聯。

注意

在主控台首次執行體驗中，會自動為您建立運 AWS Batch 算環境和容器執行個體角色。因此，如果您打算使用 AWS Batch 控制台，則可以繼續進行下一部分。如果您打算 AWS CLI 改用，請在使用服務連結角色 AWS Batch建立您的第一個計算環境Amazon ECS 執行個體角色之前完成所述程序。

建立金鑰對

AWS 使用公開金鑰加密技術來保護執行個體的登入資訊。Linux 執行個體 (例如 AWS Batch 運算環境容器執行個體) 沒有用於 SSH 存取的密碼。您需要使用金鑰對，以安全地登入執行個體。當建立運算環境時，您會先指定金鑰對名稱，然後再提供使用 SSH 登入時的私有金鑰。

如果您尚未建立 key pair，可以使用 Amazon EC2 主控台建立金鑰組。請注意，如果您計劃啟動多個執行個體 AWS 區域，請在每個區域中建立一個 key pair。如需區域的詳細資訊，請參閱 Amazon EC2 使用者指南中的區域和可用區域。

建立一組金鑰對

1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

2. 從導覽列中，選 AWS 區域 取 key pair 的。無論您的位置為何，您都可以選取任何可用的區域：不過，金鑰配對是特定於某個區域。例如，如果您計劃在美國西部 (奧勒岡) 區域啟動執行個體，請在相同區域中為該執行個體建立 key pair。

3. 在導覽窗格中，選擇 Key Pairs (金鑰對)、Create Key Pair (建立金鑰對)。

4. 在 Create Key Pair (建立金鑰對) 對話方塊中，在 Key pair name (金鑰對名稱) 為新的金鑰對輸入名稱，然後選擇 Create (建立)。選擇您可以記住的名稱，例如您的使用者名稱，然後再加上區域名稱。-key-pair例如，me-key-pair-uswest2。

5. 您的瀏覽器會自動下載私有金鑰檔案。基礎檔案名稱為您所指定的金鑰對名稱，副檔名為 .pem。將私有金鑰檔案存放在安全的地方。

   重要

   這是您儲存私有金鑰檔案的唯一機會。您必須在啟動執行個體時提供 key pair 的名稱，並在每次連線至執行個體時提供對應的私密金鑰。

6. 如果您在 Mac 或 Linux 電腦上使用 SSH 用戶端連線到 Linux 執行個體，請使用下列指令來設定私密金鑰檔案的權限。這樣，只有你能閱讀它。

   $ chmod 400 your_user_name-key-pair-region_name.pem

如需詳細資訊，請參閱 Amazon EC2 使用者指南中的 Amazon EC2 金鑰配對。

使用金鑰對連線至執行個體

若要從執行 Mac 或 Linux 的電腦連線至您的 Linux 執行個體，請使用.pem 選項與您私有金鑰的路徑，將 -i 檔案指定給您的 SSH 用戶端。若要從執行 Windows 的電腦連線到 Linux 執行個體，請使用 MindTerm 或 PuTTY。如果您打算使用 PuTTY，請安裝它並使用下列程序將檔案轉換為.pem.ppk檔案。

(選擇性) 若要準備使用 PuTTY 從 Windows 連線至 Linux 執行個體

1. 從 http://www.chiark.greenend.org.uk/~sgtatham/putty/ 下載並安裝 PuTTY。務必安裝整個套件。

2. 啟動 PuTTYgen（例如，從「開始」功能表中選擇「所有程式」、「膩子」和「Pu ttyGen」）。

3. 在 Type of key to generate (要產生的金鑰類型) 下，選擇 RSA (SSH-2 RSA)。如果您使用的是早期版本，PuTTYgen 選擇 SSH-2 RSA。

   

4. 選擇 Load (載入)。根據預設，PuTTYgen 只會顯示副檔名為 .ppk 的檔案。若要尋找您的 .pem 檔案，請選擇顯示所有類型之檔案的選項。

   

5. 選取您在先前程序中建立的私有金鑰檔案，然後選擇 Open (開啟)。選擇 OK (確定) 關閉確認對話方塊。

6. 選擇 Save private key (儲存私有金鑰)。PuTTYgen 會顯示有關儲存沒有密碼短語之金鑰的警告。選擇 Yes (是)。

7. 為您用於金鑰對的金鑰指定相同名稱。PuTTY 會自動新增 .ppk 副檔名。

建立 VPC

使用 Amazon Virtual Private Cloud (Amazon VPC)，您可以在已定義的虛擬網路中啟動 AWS 資源。強烈建議您在 VPC 中啟動容器執行個體。

如果您有預設 VPC，也可以略過本節並移至下一個工作建立安全群組。若要判斷您是否擁有預設 VPC，請參閱 Amazon EC2 使用者指南中的 Amazon EC2 主控台支援的平台

如需如何建立 Amazon VPC 的詳細資訊，請參閱 Amazon VPC 使用者指南中的「僅建立 VPC」。請參閱下表以決定要選取的選項。

選項	Value
要建立的資源	僅 VPC
名稱	可以選擇為 VPC 提供名稱。
IPv4 CIDR 區塊	IPv4 CIDR 手動輸入 CIDR 區塊大小必須為介於 /16 和 /28 之間的大小。
IPv6 CIDR 區塊	無 IPv6 CIDR 區塊
租用	預設

如需有關 Amazon VPC 的詳細資訊，請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC？。

建立安全群組

安全群組就像是防火牆，用於關聯的運算環境容器執行個體，可在容器執行個體層級控制傳入及傳出流量。安全群組只能在建立該群組的 VPC 中使用。

您可以新增規則至安全群組，讓您從您的 IP 地址使用 SSH 連接到您的容器執行個體。您也可以新增允許任何位置之傳入和傳出 HTTP 和 HTTPS 存取的規則。依您的任務所需在開放連接埠新增任何規則。

請注意，如果您計劃在多個區域中啟動容器執行個體，則需要在每個區域中建立安全性群組。如需詳細資訊，請參閱 Amazon EC2 使用者指南中的區域和可用區域。

注意

您需要本機電腦的公有 IP 地址 (可以使用服務來取得)。例如，我們提供下列服務：http://checkip.amazonaws.com/ 或 https://checkip.amazonaws.com/。若要尋找其他能夠提供您 IP 地址的服務，請使用搜尋片語 "what is my IP address" (我的 IP 地址為何)。如果您透過網際網路服務供應商 (ISP) 或從沒有靜態 IP 位址的防火牆後方進行連線，請找出用戶端電腦所使用的 IP 位址範圍。

使用主控台建立安全群組

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Security Groups (安全群組)。

3. 選擇 Create Security Group (建立安全群組)。

4. 輸入安全群組的名稱和說明。您無法在建立安全群組之後變更安全群組的名稱和說明。

5. 從 VPC 中選擇 VPC。

6. (選擇性) 依預設，新安全群組只會從允許所有流量離開資源的輸出規則開始。您必須新增規則啟用任何傳入流量，或是限制傳出流量。

   AWS Batch 容器執行個體不需要開啟任何輸入連接埠。不過，您可能想要新增 SSH 規則。如此一來，您就可以登入容器執行個體，並使用 Docker 命令檢查工作中的容器。如果您希望容器執行個體託管執行 Web 伺服器的工作，也可以新增 HTTP 規則。完成下列步驟，以新增這些選用的安全群組規則。

   在 Inbound (內送) 標籤，建立以下規則然後選擇 Create (建立)：

   • 選擇 Add Rule (新增規則)。針對 Type (類型)，選擇 HTTP。針對 Source (來源)，選擇 Anywhere (隨處) (0.0.0.0/0)。

   • 選擇 Add Rule (新增規則)。針對 Type (類型)，選擇 SSH。在 [來源] 中，選擇 [自訂 IP]，並以無類別網域間路由 (CIDR) 標記法指定電腦或網路的公用 IP 位址。如果您的公司會分配某個範圍的地址，請指定整個範圍 (例如 203.0.113.0/24)。若要以 CIDR 標記法指定個別 IP 位址，請選擇 [我的 IP]。這會將路由前置詞新增/32至公用 IP 位址。

     注意

     基於安全理由，我們不建議您允許從所有 IP 位址 (0.0.0.0/0) 進行 SSH 存取您的執行個體，但只能用於測試目的，且只能在短時間內存取。

7. 您可以立即新增標籤，也可以稍後再新增。若要新增標籤，請選擇 Add new tag (新增標籤)，然後輸入標籤的索引鍵和值。

8. 選擇 Create Security Group (建立安全群組)。

若要使用命令列建立安全性群組，請參閱建立安全性群組 ()AWS CLI

如需有關安全性群組的詳細資訊，請參閱使用安全性群組。

安裝 AWS CLI

若要使用 AWS CLI 與 AWS Batch，請安裝最新 AWS CLI 版本。若要取得有關安裝 AWS CLI 或升級至最新版本的資訊，請參閱《AWS Command Line Interface 使用指南》中的〈安裝指 AWS 令行介面〉。