Configurer l'utilisation d'Amazon ECS - Amazon Elastic Container Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer l'utilisation d'Amazon ECS

Si vous êtes déjà inscrit à Amazon Web Services (AWS) et que vous avez utilisé Amazon Elastic Compute Cloud (AmazonEC2), vous pouvez presque utiliser AmazonECS. Le processus de configuration est très similaire pour les deux services. Le guide suivant vous prépare au lancement de votre premier ECS cluster Amazon.

Effectuez les tâches suivantes pour vous préparer à utiliser AmazonECS.

AWS Management Console

La AWS Management Console est une interface basée sur un navigateur qui permet de gérer les ressources AmazonECS. Elle offre une vue d'ensemble du service, ce qui facilite l'exploration des ECS fonctions et rôles d'Amazon sans avoir besoin d'outils supplémentaires. Une multitude de didacticiels et de démonstrations sont disponibles pour vous guider dans l'utilisation de la console.

Pour obtenir un didacticiel pour vous guider dans la console, consultez Découvrez comment créer et utiliser les ECS ressources Amazon.

Au début, de nombreux clients préfèrent utiliser la console, car elle fournit un retour visuel instantané sur la réussite des actions effectuées. AWS les clients qui les connaissent peuvent facilement gérer AWS Management Console les ressources associées telles que les équilibreurs de charge et les EC2 instances Amazon.

Commencez par le AWS Management Console.

S'inscrire à un Compte AWS

Si vous n'avez pas de compte Compte AWS, complétez les étapes suivantes pour en créer un.

Pour s'inscrire à un Compte AWS
  1. Ouvrez l'https://portal.aws.amazon.com/billing/inscription.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous vous inscrivez à un Compte AWS, un Utilisateur racine d'un compte AWSest créé. Par défaut, seul l‘utilisateur racine a accès à l‘ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l‘utilisateur racine pour effectuer les tâches nécessitant un accès utilisateur racine.

AWS vous envoie un e-mail de confirmation lorsque le processus d'inscription est terminé. Vous pouvez afficher l'activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/et en cliquant sur My Account (Mon compte).

Création d'un utilisateur doté d'un accès administratif

Une fois que vous êtes inscrit à un Compte AWS, sécurisez Utilisateur racine d'un compte AWS l' AWS IAM Identity Center, activez et créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisez votre Utilisateur racine d'un compte AWS
  1. Connectez-vous à la en AWS Management Consoletant que propriétaire du compte en choisissant Root user (Utilisateur racine) et en saisissant l'adresse Compte AWS e-mail de. Sur la page suivante, saisissez votre mot de passe.

    Pour obtenir de l‘aide pour vous connecter en utilisant l‘utilisateur racine, consultez Connexion en tant qu‘utilisateur racine dans le Guide de l‘utilisateur Connexion à AWS .

  2. Activez l'authentification multifactorielle (MFA) pour votre utilisateur root.

    Pour obtenir des instructions, voir Activer un MFA périphérique virtuel pour votre utilisateur Compte AWS root (console) dans le guide de IAM l'utilisateur.

Création d'un utilisateur doté d'un accès administratif
  1. Activez IAM Identity Center.

    Pour obtenir des instructions, consultez Activation d’ AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

  2. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.

    Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center dans le Guide de AWS IAM Identity Center l'utilisateur.

Connexion en tant qu‘utilisateur doté d'un accès administratif
  • Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l'identifiant URL qui a été envoyé à votre adresse e-mail lorsque vous avez créé l'utilisateur IAM Identity Center.

    Pour obtenir de l'aide pour vous connecter à l'aide d'un utilisateur IAM Identity Center, consultez Connexion au portail AWS d'accès dans le Guide de Connexion à AWS l'utilisateur.

Attribution d'un accès à d'autres utilisateurs
  1. Dans IAM Identity Center, créez un ensemble d'autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.

    Pour obtenir des instructions, consultez Création d’un ensemble d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center .

  2. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.

    Pour obtenir des instructions, consultez Ajout de groupes dans le Guide de l’utilisateur AWS IAM Identity Center .

Créer un Virtual Private Cloud

Vous pouvez utiliser Amazon Virtual Private Cloud (AmazonVPC) pour lancer AWS des ressources dans un réseau virtuel défini par vos soins. Nous vous conseillons vivement de lancer vos instances de conteneur dans unVPC.

Si vous avez une tâche par défautVPC, vous pouvez ignorer cette section et passer à la tâche suivante,Création d’un groupe de sécurité. Pour déterminer si vous avez un sous-réseau par défautVPC, consultez la section Utiliser vos sous-réseaux par défaut VPC et par défaut dans le guide de l'VPCutilisateur Amazon. Sinon, vous pouvez créer une adresse autre que par défaut VPC dans votre compte en suivant les étapes ci-dessous.

Pour plus d'informations sur la création d'unVPC, consultez Create a VPC dans le guide de VPC l'utilisateur Amazon, et utilisez le tableau suivant pour déterminer les options à sélectionner.

Option Valeur

Ressources à créer

VPCseulement
Nom

Vous pouvez, si vous le souhaitez, nommer votreVPC.

IPv4CIDRbloquer

IPv4CIDRsaisie manuelle

La taille de CIDR bloc doit être comprise entre /16 et /28.

IPv6CIDRbloquer

Pas de IPv6 CIDR blocage

Location

Par défaut

Pour plus d'informations sur AmazonVPC, consultez Qu'est-ce qu'Amazon VPC ? dans le guide de VPC l'utilisateur Amazon.

Création d’un groupe de sécurité

Les groupes de sécurité font office de pare-feu pour les instances de conteneur associées, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance de conteneur. Vous pouvez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter à votre instance de conteneur depuis votre adresse IP avecSSH. Vous pouvez aussi ajouter des règles qui permettent les entrées et sorties et l'HTTPSaccès depuis n'HTTPimporte quel emplacement. Ajoutez des règles pour ouvrir les ports qui sont requis par vos tâches. Les instances de conteneur ont besoin d'un accès réseau externe pour communiquer avec le point de terminaison d'Amazon ECS service.

Si vous prévoyez de lancer des instances de conteneur dans plusieurs régions, vous devez créer un groupe de sécurité dans chaque région. Pour plus d'informations, consultez la section Régions et zones de disponibilité dans le guide de EC2 l'utilisateur Amazon.

Astuce

Vous avez besoin de l'adresse IP publique de votre ordinateur local, que vous pouvez obtenir à l'aide d'un service. Par exemple, nous fournissons le service suivant : http://checkip.amazonaws.com/ ou https://checkip.amazonaws.com/. Pour trouver un autre service qui fournit votre adresse IP, utilisez l'expression de recherche « what is my IP address » (quelle est mon adresse IP). Si votre connexion s'effectue via un fournisseur de services Internet (ISP) ou derrière un pare-feu sans adresse IP statique, vous devez déterminer la plage d'adresses IP utilisée par les ordinateurs clients.

Pour plus d'informations sur la création d'un groupe de sécurité, veuillez consulter Création d'un groupe de sécurité pour votre EC2 instance Amazon dans le Guide de l'EC2utilisateur Amazon et utilisez le tableau suivant pour déterminer quelles options sélectionner.

Option Valeur

Région

La même région que celle que vous avez créée avec votre paire de clés.
Nom Un nom facile à retenir, tel que ecs-instances-default-cluster.
VPC La valeur par défaut VPC (marquée par « (par défaut) »).
Note

Si votre compte prend en charge Amazon EC2 Classic, sélectionnez VPC celui créé lors de l'étape précédente.

Pour en savoir plus sur les règles de trafic sortant à ajouter pour vos cas d'utilisation, veuillez consulter Règles de groupe de sécurité pour différents cas d'utilisation dans le Guide de l'EC2utilisateur Amazon.

Les instances de ECS conteneur Amazon ne nécessitent pas que tous les ports entrants soient ouverts. Cependant, vous souhaiterez peut-être ajouter une SSH règle afin de pouvoir vous connecter à l'instance de conteneur et examiner les tâches à l'aide des commandes Docker. Vous pouvez également ajouter des règles pour HTTP et HTTPS si vous souhaitez que votre instance de conteneur héberge une tâche qui exécute un serveur Web. Les instances de conteneur ont besoin d'un accès réseau externe pour communiquer avec le point de terminaison d'Amazon ECS service. Appliquez la procédure suivante pour ajouter ces règles de groupe de sécurité facultatives.

Ajoutez les trois règles entrantes suivantes à votre groupe de sécurité. Pour plus d'informations sur la création d'un groupe de sécurité, veuillez consulter Configuration des règles de groupe de sécurité dans le Guide de l'utilisateur Amazon EC2.

Option Valeur

HTTPrègle

Type : HTTP

Source : n'importe où (0.0.0.0/0)

Cette option ajoute automatiquement le IPv4 CIDR bloc 0.0.0.0/0 en tant que source. Cette solution est acceptable pour une brève durée dans un environnement de test, mais n'est pas sûre dans des environnements de production. Dans un environnement de production, vous autorisez uniquement l'accès à votre instance pour une adresse IP ou une plage d'adresses spécifiques.

HTTPSrègle

Type : HTTPS

Source : n'importe où (0.0.0.0/0)

Cette solution est acceptable pour une brève durée dans un environnement de test, mais n'est pas sûre dans des environnements de production. Dans un environnement de production, vous autorisez uniquement l'accès à votre instance pour une adresse IP ou une plage d'adresses spécifiques.

SSHrègle

Type : SSH

Source : choisissez Custom (Personnalisée) et spécifiez l'adresse IP publique de votre ordinateur ou réseau en CIDR notation. Pour spécifier une adresse IP individuelle en CIDR notation, ajoutez le préfixe /32 de routage. Par exemple, si votre adresse IP est 203.0.113.25, spécifiez 203.0.113.25/32. Si votre entreprise alloue des adresses à partir d'une plage, spécifiez la plage complète, telle que 203.0.113.0/24.

Important

Pour des raisons de sécurité, il est déconseillé d'autoriser l'SSHaccès de à votre instance à partir de toutes les adresses IP (0.0.0.0/0), si ce n'est à titre de test et pour une très brève durée.

Créer les informations d'identification pour vous connecter à votre EC2 instance

Pour AmazonECS, une paire de clés n'est nécessaire que si vous avez l'intention d'utiliser le type de EC2 lancement.

AWS utilise le chiffrement de clé publique pour sécuriser les informations de connexion de votre instance. Une instance Linux, comme une instance de ECS conteneur Amazon, n'a aucun mot de passe à utiliser pour SSH l'accès. Une paire de clés vous permet de vous connecter en toute sécurité à votre instance. Vous indiquez le nom de la paire de clés au lancement de votre instance de conteneur, puis fournissez la clé privée lorsque vous vous connectez avecSSH.

Si vous n'avez pas encore créé de paire de clés, vous pouvez le faire à l'aide de la EC2 console Amazon. Si vous prévoyez de lancer des instances dans plusieurs régions, vous devez créer une paire de clés dans chaque région. Pour plus d'informations sur les régions, consultez Régions et zones de disponibilité dans le guide de EC2 l'utilisateur Amazon.

Création d’une paire de clés
  • Utilisez la EC2 console Amazon pour créer une paire de clés. Pour plus d'informations sur la création d'une paire de clés, consultez Create a key pair dans le Amazon EC2 User Guide.

Pour en savoir plus sur la façon de se connecter à votre instance, veuillez consulter Connect to Your Linux Instance (Connexion à votre instance Linux) dans le Guide de EC2 l'utilisateur Amazon.

Installez le AWS CLI

La AWS Management Console peut être utilisée pour gérer toutes les opérations manuellement avec AmazonECS. Cependant, vous pouvez installer l' AWS CLI sur votre bureau local ou dans une zone de développeurs pour créer des scripts pouvant automatiser les tâches de gestion courantes sur AmazonECS.

Pour l'utiliser AWS CLI avec AmazonECS, installez la dernière AWS CLI version. Pour en savoir plus sur l'installation de la AWS CLI ou sur la mise à niveau vers la dernière version, consultez Installer ou mettre à jour vers la dernière version de la AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.

L' AWS Command Line Interface (AWS CLI) est un outil unifié que vous pouvez utiliser pour gérer vos AWS services. Avec cet outil seul, vous pouvez à la fois contrôler plusieurs AWS services et automatiser ces services par le biais de scripts. Les ECS commandes Amazon contenues dans le AWS CLI sont le reflet d'Amazon ECSAPI.

La AWS CLI convient aux clients qui préfèrent et sont habitués à l'écriture de scripts et à l'interfaçage avec un outil de ligne de commande et qui savent exactement quelles actions ils veulent effectuer sur leurs ressources AmazonECS. La AWS CLI est également utile pour les clients qui souhaitent se familiariser avec Amazon ECSAPIs. Les clients peuvent utiliser la AWS CLI pour effectuer un certain nombre d'opérations sur les ECS ressources Amazon, y compris les opérations Create, Read, Update et Delete, directement à partir de l'interface de ligne de commande.

Utilisez la AWS CLI si vous êtes familiarisé ou souhaitez vous familiariser avec Amazon ECS APIs et les CLI commandes correspondantes et que vous souhaitez écrire des scripts automatisés et effectuer des actions spécifiques sur les ECS ressources Amazon.

AWS fournit également les outils de ligne de commande AWS Tools for Windows PowerShell. Pour plus d’informations, consultez le AWS Tools for Windows PowerShell Guide de l’utilisateur .

Prochaines étapes pour utiliser Amazon ECS

Après l'avoir installé AWS CLI, il existe de nombreux outils que vous pouvez utiliser tout en continuant à utiliser AmazonECS. Les liens suivants expliquent en quoi consistent certains de ces outils et donnent des exemples de leur utilisation avec AmazonECS.