使用 AWS PrivateLink 和 Network Load Balancer 在 Amazon ECS 上私下存取容器應用程式

由 Kirankumar Chandrashekar (AWS) 建立

Summary

此模式說明如何在 Network Load Balancer 後方的 Amazon Elastic Container Service (Amazon ECS) 上私有託管 Docker 容器應用程式，並使用 AWS PrivateLink 存取應用程式。然後，您可以使用私有網路安全地存取 Amazon Web Services (AWS) 雲端上的服務。Amazon Relational Database Service (Amazon RDS) 以高可用性 (HA) 託管在 Amazon ECS 上執行之應用程式的關聯式資料庫。如果應用程式需要持久性儲存，則會使用 Amazon Elastic File System (Amazon EFS)。

執行 Docker 應用程式的 Amazon ECS 服務與前端的 Network Load Balancer 可以與虛擬私有雲端 (VPC) 端點建立關聯，以便透過 AWS PrivateLink 存取。然後，您可以使用 VPC 端點與其他 VPCs 共用此 VPC 端點服務。

您也可以使用 AWS Fargate 而非 Amazon EC2 Auto Scaling 群組。如需詳細資訊，請參閱使用 AWS Fargate、AWS PrivateLink 和 Network Load Balancer 在 Amazon ECS 上私下存取容器應用程式。

先決條件和限制

先決條件

作用中的 AWS 帳戶
在 Linux、macOS 或 Windows 上安裝和設定 AWS Command Line Interface (AWS CLI) 第 2 版 macOS
在 Linux、macOS 或 Windows 上安裝和設定的 Docker
在 Docker 上執行的應用程式

架構

使用 AWS PrivateLink 存取 Network Load Balancer 後方 Amazon ECS 上的容器應用程式。

技術堆疊

Amazon CloudWatch
Amazon Elastic Compute Cloud (Amazon EC2)
Amazon EC2 Auto Scaling
Amazon Elastic Container Registry (Amazon ECR)
Amazon ECS
Amazon RDS
Amazon Simple Storage Service (Amazon S3)
AWS Lambda
AWS PrivateLink
AWS Secrets Manager
Application Load Balancer
Network Load Balancer
VPC

自動化和擴展

您可以使用 AWS CloudFormation 建立此模式，方法是使用基礎設施做為程式碼。

工具

Amazon EC2 – Amazon Elastic Compute Cloud (Amazon EC2) 在 AWS 雲端中提供可擴展的運算容量。
Amazon EC2 Auto Scaling – Amazon EC2 Auto Scaling 可協助您確保有正確數量的 Amazon EC2 執行個體可用於處理應用程式的負載。
Amazon ECS – Amazon Elastic Container Service (Amazon ECS) 是一種高度可擴展、快速的容器管理服務，可讓您輕鬆執行、停止和管理叢集上的容器。
Amazon ECR – Amazon Elastic Container Registry (Amazon ECR) 是安全、可擴展且可靠的受管 AWS 容器映像登錄服務。
Amazon EFS – Amazon Elastic File System (Amazon EFS) 提供簡單、可擴展、全受管的彈性 NFS 檔案系統，可與 AWS 雲端服務和內部部署資源搭配使用。
AWS Lambda – Lambda 是一種運算服務，無需佈建或管理伺服器即可執行程式碼。
Amazon RDS – Amazon Relational Database Service (Amazon RDS) 是一種 Web 服務，可讓您更輕鬆地在 AWS 雲端中設定、操作和擴展關聯式資料庫。
Amazon S3 – Amazon Simple Storage Service (Amazon S3) 是網際網路的儲存體。此服務旨在降低開發人員進行網路規模運算的難度。
AWS Secrets Manager – Secrets Manager 透過向 Secrets Manager 提供 API 呼叫以程式設計方式擷取秘密，協助您取代程式碼中的硬式編碼登入資料，包括密碼。
Amazon VPC – Amazon Virtual Private Cloud (Amazon VPC) 可協助您在已定義的虛擬網路中啟動 AWS 資源。
Elastic Load Balancing – Elastic Load Balancing 會將傳入的應用程式或網路流量分散到多個可用區域中的多個目標，例如 Amazon EC2 執行個體、容器和 IP 地址。
Docker – Docker 可協助開發人員封裝、運送和執行任何應用程式，做為輕量、可攜式且自給自足的容器。

史詩

任務	描述	所需的技能
建立 VPC。	登入 AWS 管理主控台並開啟 Amazon VPC 主控台。選擇建立 VPC，然後選擇 VPC 等。輸入 VPC 的名稱，然後選擇適當的 CIDR 區塊範圍。指定兩個可用區域、兩個公有子網路、四個私有子網路。兩個私有子網路用於 Amazon ECS 任務，而兩個私有子網路用於 Amazon RDS 資料庫。為每個可用區域指定一個 NAT 閘道。選擇建立 VPC。	雲端管理員

任務	描述	所需的技能
建立 Network Load Balancer。	開啟 Amazon EC2 主控台，然後選擇包含 VPC 的 AWS 區域。在負載平衡下，選擇負載平衡器，然後選擇建立負載平衡器。選擇 Network Load Balancer，然後選擇建立。在設定負載平衡器頁面上，設定 Network Load Balancer 和接聽程式。重要：請確定您將 Network Load Balancer 的方案選擇為內部。選擇適用的安全設定，設定安全群組和目標群組。在設定路由區段中選擇執行個體或 IP 做為目標類型。請確定您未註冊目標。設定所有設定後，選擇下一步：檢閱，然後選擇建立。	雲端管理員
建立 Application Load Balancer。	在 Amazon EC2 主控台上，選擇包含 VPC 的相同區域。在負載平衡下，選擇負載平衡器，然後選擇建立負載平衡器。選擇 Application Load Balancer，然後選擇建立。重要設定 Application Load Balancer 及其接聽程式。請務必將 Application Load Balancer 的方案選擇為內部。選擇適用的安全設定，設定安全群組和目標群組。在設定路由區段中選擇執行個體或 IP 做為目標類型。請確定您未註冊目標。設定所有設定後，請選擇下一步：檢閱，然後選擇建立。	雲端管理員

任務	描述	所需的技能
建立 Amazon EFS 檔案系統。	開啟 Amazon EFS 主控台，然後選擇建立檔案系統。在建立檔案系統對話方塊中，輸入檔案系統的名稱，然後選擇您的 VPC。選擇建立以建立檔案系統。設定您的 Amazon EFS 檔案系統。	雲端管理員
掛載子網路的目標。	返回 Amazon EFS 主控台，然後選擇檔案系統。檔案系統頁面會顯示您帳戶中的 Amazon EFS 檔案系統。選擇您建立的檔案系統，然後選擇管理以顯示可用區域。若要新增掛載目標，請選擇新增掛載目標，然後新增您建立的四個私有子網路。	雲端管理員
確認子網路已掛載為目標。	在 Amazon EFS 主控台上，選擇檔案系統。選擇網路以顯示現有掛載目標的清單。請確定這些包含您建立的四個子網路。	雲端管理員

任務	描述	所需的技能
建立 S3 儲存貯體。	開啟 Amazon S3 主控台，並視需要建立 S3 儲存貯體來存放應用程式的靜態資產。	雲端管理員

任務	描述	所需的技能
建立 AWS KMS 金鑰來加密 Secrets Manager 秘密。	開啟 AWS Key Management Service (AWS KMS) 主控台並建立 KMS 金鑰。	雲端管理員
建立 Secrets Manager 秘密來存放 Amazon RDS 密碼。	開啟 AWS Secrets Manager 主控台，然後選擇儲存新的秘密來建立新的秘密。選擇您建立的 KMS 金鑰，並存放您的新秘密。	雲端管理員

任務	描述	所需的技能
建立資料庫子網路群組。	開啟 Amazon RDS 主控台，然後選擇子網路群組。選擇建立資料庫子網路群組，然後輸入資料庫子網路群組的名稱和描述。選擇您先前建立的 VPC，然後選擇可用區域和子網路。然後選擇 Create (建立)。	雲端管理員
建立 Amazon RDS 執行個體。	在私有子網路內建立和設定 Amazon RDS 執行個體。確定已針對 HA 開啟異地同步備份。	雲端管理員
將資料載入 Amazon RDS 執行個體。	將應用程式所需的關聯式資料載入 Amazon RDS 執行個體。此程序會根據應用程式的需求，以及資料庫結構描述的定義和設計方式而有所不同。	雲端管理員，DBA

任務	描述	所需的技能
建立 ECS 叢集。	開啟 Amazon ECS 主控台，然後選擇叢集。選擇建立叢集，並根據所需的規格設定 ECS 叢集。	雲端管理員
建立 Docker 影像。	遵循相關資源區段中的指示建立 Docker 映像。	雲端管理員
建立 Amazon ECR 儲存庫。	在 Amazon ECR 主控台上，選擇儲存庫。選擇建立儲存庫，然後輸入儲存庫的唯一名稱。根據您的規格設定儲存庫，包括必要時的 AWS KMS 加密。	雲端管理員、DevOps 工程師
驗證 Amazon ECR 儲存庫的 Docker 用戶端。	若要驗證 Amazon ECR 儲存庫的 Docker 用戶端，請在 AWS CLI 中執行「`aws ecr get-login-password`命令。	雲端管理員
將 Docker 映像推送至 Amazon ECR 儲存庫。	識別您要推送的 Docker 映像，並在 AWS CLI 中執行 `docker images`命令。使用 Amazon ECR 登錄檔、儲存庫和選用的映像標籤名稱組合來標記您的映像。執行 `docker push`命令來推送 Docker 映像。針對所有必要的影像重複這些步驟。	雲端管理員
建立 Amazon ECS 任務定義。	在 Amazon ECS 中執行 Docker 容器所需的任務定義。返回 Amazon ECS 主控台，選擇任務定義，然後選擇建立新任務定義。在選取相容性頁面上，選取任務應使用的啟動類型，然後選擇下一步。重要如需設定任務定義的協助，請參閱相關資源區段中的「建立任務定義」。請務必提供您推送到 Amazon ECR 的 Docker 映像。	雲端管理員
建立 Amazon ECS 服務。	使用您先前建立的 ECS 叢集來建立 Amazon ECS 服務。請務必選擇 Amazon EC2 做為啟動類型，然後選擇在上一個步驟中建立的任務定義，以及 Application Load Balancer 的目標群組。	雲端管理員

任務	描述	所需的技能
建立啟動組態。	開啟 Amazon EC2 主控台，並建立啟動組態。確定使用者資料具有允許 EC2 執行個體加入所需 ECS 叢集的程式碼。如需所需程式碼的範例，請參閱相關資源一節。	雲端管理員
建立 Amazon EC2 Auto Scaling 群組。	返回 Amazon EC2 主控台，然後在 Auto Scaling 下，選擇 Auto Scaling 群組。設定 Amazon EC2 Auto Scaling 群組。請務必選擇先前建立的私有子網路和啟動組態。	雲端管理員

任務	描述	所需的技能
設定 AWS PrivateLink 端點。	在 Amazon VPC 主控台上，建立 AWS PrivateLink 端點。將此端點與 Network Load Balancer 建立關聯，讓託管在 Amazon ECS 上的應用程式可私下提供給客戶。如需詳細資訊，請參閱相關資源一節。	雲端管理員

任務	描述	所需的技能
建立 VPC 端點。	為您先前建立的 AWS PrivateLink 端點建立 VPC 端點。VPC 端點完整網域名稱 (FQDN) 會指向 AWS PrivateLink 端點 FQDN。這會為 DNS 端點可存取的 VPC 端點服務建立彈性網路界面。	雲端管理員

任務	描述	所需的技能
建立 Lambda 函數。	在 AWS Lambda 主控台上，建立 Lambda 函數，將 Application Load Balancer IP 地址更新為 Network Load Balancer 的目標。如需詳細資訊，請參閱使用 AWS Lambda 為 Application Load Balancer 啟用靜態 IP 地址部落格文章。	應用程式開發人員

使用 AWS PrivateLink 和 Network Load Balancer 在 Amazon ECS 上私下存取容器應用程式

Summary

先決條件和限制

架構

工具

史詩

重要

重要

相關資源