Utilice las acciones AWS FIS aws:ecs:task - AWS Servicio de inyección de averías

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilice las acciones AWS FIS aws:ecs:task

Puedes usar las acciones aws:ecs:task para introducir errores en tus tareas de Amazon. ECS Se admiten EC2 los tipos de capacidad de Amazon y Fargate.

Estas acciones utilizan documentos de AWS Systems Manager (SSM) para detectar errores. Para utilizar aws:ecs:task las acciones, tendrás que añadir un contenedor con un SSM agente a la definición de tareas de Amazon Elastic Container Service (AmazonECS). El contenedor ejecuta un script AWS FIS definido que registra la ECS tarea de Amazon como instancia gestionada en el SSM servicio. Además, el script recupera los metadatos de la tarea para añadir etiquetas a la instancia administrada. La configuración permitirá AWS FIS resolver la tarea de destino. Este párrafo se refiere a la configuración del siguiente diagrama.

Cuando ejecutes la segmentación de un AWS FIS experimentoaws:ecs:task, AWS FIS asigna las ECS tareas de Amazon objetivo que especifiques en una plantilla de AWS FIS experimento a un conjunto de instancias SSM gestionadas mediante una etiqueta de recurso,ECS_TASK_ARN. El valor de la etiqueta es el ARN de la ECS tarea de Amazon asociada en la que se deben ejecutar SSM los documentos. Este párrafo se refiere a la inyección de errores en el diagrama siguiente.

En el siguiente diagrama se muestra un ejemplo de configuración e inyección de errores en una tarea con un contenedor existente.

Diagram showing ECS task setup and fault injection process with containers and AWS FIS.

Acciones

Limitaciones

  • Las siguientes acciones no se pueden ejecutar en paralelo:

    • aws:ecs:task-network-blackhole-port

    • aws:ecs:task-network-latency

    • aws:ecs:task-network-packet-loss

  • Si ha activado Amazon ECS Exec, debe deshabilitarlo antes de poder utilizar estas acciones.

  • Es posible que la ejecución del SSM documento tenga el estado Cancelada incluso si el experimento tiene el estado Finalizado. Al ejecutar ECS las acciones de Amazon, la duración proporcionada por el cliente se utiliza tanto para la duración de la acción en el experimento como para la duración del documento Amazon EC2 Systems Manager (SSM). Una vez iniciada la acción, el SSM documento tarda un tiempo en empezar a ejecutarse. En consecuencia, cuando se alcance la duración de la acción especificada, es posible que al SSM documento aún le queden unos segundos para completar su ejecución. Cuando se alcanza la duración de la acción del experimento, la acción se detiene y la ejecución del SSM documento se cancela. Con ello, la inyección de errores se habrá realizado correctamente.

Requisitos

  • Añada los siguientes permisos a la función del AWS FIS experimento:

    • ssm:SendCommand

    • ssm:ListCommands

    • ssm:CancelCommand

  • Añada los siguientes permisos a la IAMfunción de ECS tarea de Amazon:

    • ssm:CreateActivation

    • ssm:AddTagsToResource

    • iam:PassRole

    Ten en cuenta que puedes especificar la función ARN de instancia gestionada como recursoiam:PassRole.

  • Cree un IAMrol de ejecución de ECS tareas de Amazon y añada la política mazonECSTask ExecutionRolePolicy gestionada A.

  • En la definición de la tarea, defina la variable de entorno MANAGED_INSTANCE_ROLE_NAME con el nombre del rol de instancia administrada. Este es el rol que se asignará a las tareas registradas como instancias administradas enSSM.

  • Agregue los siguientes permisos al rol de instancia administrada:

    • ssm:DeleteActivation

    • ssm:DeregisterManagedInstance

  • Agrega la política mazonSSMManaged InstanceCore administrada A al rol de instancia administrada.

  • Añada un contenedor de SSM agentes a la definición de ECS tareas de Amazon. El script de comandos registra ECS las tareas de Amazon como instancias gestionadas.

    { "name": "amazon-ssm-agent", "image": "public.ecr.aws/amazon-ssm-agent/amazon-ssm-agent:latest", "cpu": 0, "links": [], "portMappings": [], "essential": false, "entryPoint": [], "command": [ "/bin/bash", "-c", "set -e; dnf upgrade -y; dnf install jq procps awscli -y; term_handler() { echo \"Deleting SSM activation $ACTIVATION_ID\"; if ! aws ssm delete-activation --activation-id $ACTIVATION_ID --region $ECS_TASK_REGION; then echo \"SSM activation $ACTIVATION_ID failed to be deleted\" 1>&2; fi; MANAGED_INSTANCE_ID=$(jq -e -r .ManagedInstanceID /var/lib/amazon/ssm/registration); echo \"Deregistering SSM Managed Instance $MANAGED_INSTANCE_ID\"; if ! aws ssm deregister-managed-instance --instance-id $MANAGED_INSTANCE_ID --region $ECS_TASK_REGION; then echo \"SSM Managed Instance $MANAGED_INSTANCE_ID failed to be deregistered\" 1>&2; fi; kill -SIGTERM $SSM_AGENT_PID; }; trap term_handler SIGTERM SIGINT; if [[ -z $MANAGED_INSTANCE_ROLE_NAME ]]; then echo \"Environment variable MANAGED_INSTANCE_ROLE_NAME not set, exiting\" 1>&2; exit 1; fi; if ! ps ax | grep amazon-ssm-agent | grep -v grep > /dev/null; then if [[ -n $ECS_CONTAINER_METADATA_URI_V4 ]] ; then echo \"Found ECS Container Metadata, running activation with metadata\"; TASK_METADATA=$(curl \"${ECS_CONTAINER_METADATA_URI_V4}/task\"); ECS_TASK_AVAILABILITY_ZONE=$(echo $TASK_METADATA | jq -e -r '.AvailabilityZone'); ECS_TASK_ARN=$(echo $TASK_METADATA | jq -e -r '.TaskARN'); ECS_TASK_REGION=$(echo $ECS_TASK_AVAILABILITY_ZONE | sed 's/.$//'); ECS_TASK_AVAILABILITY_ZONE_REGEX='^(af|ap|ca|cn|eu|me|sa|us|us-gov)-(central|north|(north(east|west))|south|south(east|west)|east|west)-[0-9]{1}[a-z]{1}$'; if ! [[ $ECS_TASK_AVAILABILITY_ZONE =~ $ECS_TASK_AVAILABILITY_ZONE_REGEX ]]; then echo \"Error extracting Availability Zone from ECS Container Metadata, exiting\" 1>&2; exit 1; fi; ECS_TASK_ARN_REGEX='^arn:(aws|aws-cn|aws-us-gov):ecs:[a-z0-9-]+:[0-9]{12}:task/[a-zA-Z0-9_-]+/[a-zA-Z0-9]+$'; if ! [[ $ECS_TASK_ARN =~ $ECS_TASK_ARN_REGEX ]]; then echo \"Error extracting Task ARN from ECS Container Metadata, exiting\" 1>&2; exit 1; fi; CREATE_ACTIVATION_OUTPUT=$(aws ssm create-activation --iam-role $MANAGED_INSTANCE_ROLE_NAME --tags Key=ECS_TASK_AVAILABILITY_ZONE,Value=$ECS_TASK_AVAILABILITY_ZONE Key=ECS_TASK_ARN,Value=$ECS_TASK_ARN Key=FAULT_INJECTION_SIDECAR,Value=true --region $ECS_TASK_REGION); ACTIVATION_CODE=$(echo $CREATE_ACTIVATION_OUTPUT | jq -e -r .ActivationCode); ACTIVATION_ID=$(echo $CREATE_ACTIVATION_OUTPUT | jq -e -r .ActivationId); if ! amazon-ssm-agent -register -code $ACTIVATION_CODE -id $ACTIVATION_ID -region $ECS_TASK_REGION; then echo \"Failed to register with AWS Systems Manager (SSM), exiting\" 1>&2; exit 1; fi; amazon-ssm-agent & SSM_AGENT_PID=$!; wait $SSM_AGENT_PID; else echo \"ECS Container Metadata not found, exiting\" 1>&2; exit 1; fi; else echo \"SSM agent is already running, exiting\" 1>&2; exit 1; fi" ], "environment": [ { "name": "MANAGED_INSTANCE_ROLE_NAME", "value": "SSMManagedInstanceRole" } ], "environmentFiles": [], "mountPoints": [], "volumesFrom": [], "secrets": [], "dnsServers": [], "dnsSearchDomains": [], "extraHosts": [], "dockerSecurityOptions": [], "dockerLabels": {}, "ulimits": [], "logConfiguration": {}, "systemControls": [] }

    Para obtener una versión más legible del script, consulte Versión de referencia del script.

  • Habilite la inyección ECS de errores de APIs Amazon configurando el enableFaultInjection campo en la definición de la ECS tarea de Amazon:

    "enableFaultInjection": true,
  • Al utilizar las aws:ecs:task-network-packet-loss accionesaws:ecs:task-network-blackhole-port,aws:ecs:task-network-latency, o en las tareas de Fargate, la acción debe tener el useEcsFaultInjectionEndpoints parámetro establecido en. true

  • Al utilizar las aws:ecs:task-network-packet-loss accionesaws:ecs:task-kill-process, aws:ecs:task-network-blackhole-portaws:ecs:task-network-latency, y, la definición de la ECS tarea de Amazon debe estar pidMode configurada entask.

  • Al utilizar las aws:ecs:task-network-packet-loss acciones aws:ecs:task-network-blackhole-portaws:ecs:task-network-latency, y, la definición de la ECS tarea de Amazon networkMode debe tener un valor distinto debridge.

Versión de referencia del script

La siguiente es una versión más legible del script en la sección Requisitos, para su consulta.

#!/usr/bin/env bash # This is the activation script used to register ECS tasks as Managed Instances in SSM # The script retrieves information form the ECS task metadata endpoint to add three tags to the Managed Instance # - ECS_TASK_AVAILABILITY_ZONE: To allow customers to target Managed Instances / Tasks in a specific Availability Zone # - ECS_TASK_ARN: To allow customers to target Managed Instances / Tasks by using the Task ARN # - FAULT_INJECTION_SIDECAR: To make it clear that the tasks were registered as managed instance for fault injection purposes. Value is always 'true'. # The script will leave the SSM Agent running in the background # When the container running this script receives a SIGTERM or SIGINT signal, it will do the following cleanup: # - Delete SSM activation # - Deregister SSM managed instance set -e # stop execution instantly as a query exits while having a non-zero dnf upgrade -y dnf install jq procps awscli -y term_handler() { echo "Deleting SSM activation $ACTIVATION_ID" if ! aws ssm delete-activation --activation-id $ACTIVATION_ID --region $ECS_TASK_REGION; then echo "SSM activation $ACTIVATION_ID failed to be deleted" 1>&2 fi MANAGED_INSTANCE_ID=$(jq -e -r .ManagedInstanceID /var/lib/amazon/ssm/registration) echo "Deregistering SSM Managed Instance $MANAGED_INSTANCE_ID" if ! aws ssm deregister-managed-instance --instance-id $MANAGED_INSTANCE_ID --region $ECS_TASK_REGION; then echo "SSM Managed Instance $MANAGED_INSTANCE_ID failed to be deregistered" 1>&2 fi kill -SIGTERM $SSM_AGENT_PID } trap term_handler SIGTERM SIGINT # check if the required IAM role is provided if [[ -z $MANAGED_INSTANCE_ROLE_NAME ]] ; then echo "Environment variable MANAGED_INSTANCE_ROLE_NAME not set, exiting" 1>&2 exit 1 fi # check if the agent is already running (it will be if ECS Exec is enabled) if ! ps ax | grep amazon-ssm-agent | grep -v grep > /dev/null; then # check if ECS Container Metadata is available if [[ -n $ECS_CONTAINER_METADATA_URI_V4 ]] ; then # Retrieve info from ECS task metadata endpoint echo "Found ECS Container Metadata, running activation with metadata" TASK_METADATA=$(curl "${ECS_CONTAINER_METADATA_URI_V4}/task") ECS_TASK_AVAILABILITY_ZONE=$(echo $TASK_METADATA | jq -e -r '.AvailabilityZone') ECS_TASK_ARN=$(echo $TASK_METADATA | jq -e -r '.TaskARN') ECS_TASK_REGION=$(echo $ECS_TASK_AVAILABILITY_ZONE | sed 's/.$//') # validate ECS_TASK_AVAILABILITY_ZONE ECS_TASK_AVAILABILITY_ZONE_REGEX='^(af|ap|ca|cn|eu|me|sa|us|us-gov)-(central|north|(north(east|west))|south|south(east|west)|east|west)-[0-9]{1}[a-z]{1}$' if ! [[ $ECS_TASK_AVAILABILITY_ZONE =~ $ECS_TASK_AVAILABILITY_ZONE_REGEX ]] ; then echo "Error extracting Availability Zone from ECS Container Metadata, exiting" 1>&2 exit 1 fi # validate ECS_TASK_ARN ECS_TASK_ARN_REGEX='^arn:(aws|aws-cn|aws-us-gov):ecs:[a-z0-9-]+:[0-9]{12}:task/[a-zA-Z0-9_-]+/[a-zA-Z0-9]+$' if ! [[ $ECS_TASK_ARN =~ $ECS_TASK_ARN_REGEX ]] ; then echo "Error extracting Task ARN from ECS Container Metadata, exiting" 1>&2 exit 1 fi # Create activation tagging with Availability Zone and Task ARN CREATE_ACTIVATION_OUTPUT=$(aws ssm create-activation \ --iam-role $MANAGED_INSTANCE_ROLE_NAME \ --tags Key=ECS_TASK_AVAILABILITY_ZONE,Value=$ECS_TASK_AVAILABILITY_ZONE Key=ECS_TASK_ARN,Value=$ECS_TASK_ARN Key=FAULT_INJECTION_SIDECAR,Value=true \ --region $ECS_TASK_REGION) ACTIVATION_CODE=$(echo $CREATE_ACTIVATION_OUTPUT | jq -e -r .ActivationCode) ACTIVATION_ID=$(echo $CREATE_ACTIVATION_OUTPUT | jq -e -r .ActivationId) # Register with AWS Systems Manager (SSM) if ! amazon-ssm-agent -register -code $ACTIVATION_CODE -id $ACTIVATION_ID -region $ECS_TASK_REGION; then echo "Failed to register with AWS Systems Manager (SSM), exiting" 1>&2 exit 1 fi # the agent needs to run in the background, otherwise the trapped signal # won't execute the attached function until this process finishes amazon-ssm-agent & SSM_AGENT_PID=$! # need to keep the script alive, otherwise the container will terminate wait $SSM_AGENT_PID else echo "ECS Container Metadata not found, exiting" 1>&2 exit 1 fi else echo "SSM agent is already running, exiting" 1>&2 exit 1 fi

Ejemplo de plantilla de experimento

A continuación, se muestra un ejemplo de plantilla de experimento para la acción aws:ecs:task-cpu-stress.

{ "description": "Run CPU stress on the target ECS tasks", "targets": { "myTasks": { "resourceType": "aws:ecs:task", "resourceArns": [ "arn:aws:ecs:us-east-1:111122223333:task/my-cluster/09821742c0e24250b187dfed8EXAMPLE" ], "selectionMode": "ALL" } }, "actions": { "EcsTask-cpu-stress": { "actionId": "aws:ecs:task-cpu-stress", "parameters": { "duration": "PT1M" }, "targets": { "Tasks": "myTasks" } } }, "stopConditions": [ { "source": "none", } ], "roleArn": "arn:aws:iam::111122223333:role/fis-experiment-role", "tags": {} }