Découvrez comment configurer FSx les systèmes de fichiers Windows File Server pour Amazon ECS - Amazon Elastic Container Service
Prérequis pour le didacticielÉtape 1 : créer des rôles IAM d'accèsÉtape 2 : Créer un Active Directory (AD) WindowsÉtape 3 : Vérifier et mettre à jour votre groupe de sécuritéÉtape 4 : Création d'un système de fichiers FSx pour Windows File ServerÉtape 5 : Création d'un ECS cluster AmazonÉtape 6 : créer une EC2 instance Amazon ECS optimisée pour AmazonÉtape 7 : Enregistrement d'une définition de tâche WindowsÉtape 8 : Exécuter une tâche et afficher les résultatsÉtape 9 : Nettoyer

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Découvrez comment configurer FSx les systèmes de fichiers Windows File Server pour Amazon ECS

Découvrez comment lancer une instance Windows ECS optimisée pour Amazon qui héberge un système de fichiers FSx pour Windows File Server et des conteneurs pouvant accéder au système de fichiers. Pour ce faire, vous devez d'abord créer un Microsoft Active Directory AWS Directory Service AWS géré. Ensuite, vous créez un système de fichiers et un cluster FSx pour Windows File Server File Server avec une EC2 instance Amazon et une définition de tâche. Vous configurez la définition de tâche pour vos conteneurs afin qu'ils utilisent le système de fichiers FSx for Windows File Server. Enfin, vous testez le système de fichiers.

Cela prend 20 à 45 minutes chaque fois que vous lancez ou supprimez le système FSx de fichiers Active Directory ou Windows File Server. Préparez-vous à réserver au moins 90 minutes pour terminer le didacticiel ou le compléter en quelques sessions.

Prérequis pour le didacticiel

  • Un utilisateur administratif. Consultez Configurer pour utiliser Amazon ECS.

  • (Facultatif) Une paire de PEM clés pour vous connecter à votre instance EC2 Windows via RDP Access. Pour plus d'informations sur la création de paires de clés, consultez la section Paires de EC2 clés Amazon et instances Windows dans le Guide de l'utilisateur pour les instances Windows.

  • A VPC avec au moins un sous-réseau public, un sous-réseau privé et un groupe de sécurité. Vous pouvez utiliser votre valeur par défautVPC. Vous n'avez pas besoin d'une NAT passerelle ou d'un appareil. AWS Directory Service ne prend pas en charge la traduction d'adresses réseau (NAT) avec Active Directory. Pour que cela fonctionne, le système de fichiers, le ECS cluster et l'EC2instance Active Directory FSx pour Windows File Server doivent se trouver dans votreVPC. Pour plus d'informations sur Active Directories VPCs et sur Active Directories, consultez les sections Configurations de l'assistant de VPC console Amazon et Conditions préalables à la AWS gestion de Microsoft AD.

  • Les autorisations IAM ecsInstanceRole et ecsTaskExecution Role sont associées à votre compte. Ces rôles liés aux services permettent aux services de passer des API appels et d'accéder à des conteneurs, à des secrets, à des répertoires et à des serveurs de fichiers en votre nom.

Étape 1 : créer des rôles IAM d'accès

Créez un cluster avec la AWS Management Console.

  1. Vérifiez si vous en avez un ecsInstanceRole et comment vous pouvez en créer un si vous n'en avez pas. IAMRôle de l'instance de ECS conteneur Amazon

  2. Nous recommandons que les stratégies de rôle soient personnalisées pour les autorisations minimales dans un environnement de production réel. Pour suivre ce didacticiel, vérifiez que la politique AWS gérée suivante est attachée à votreecsInstanceRole. Joignez la stratégie si elle n'est pas déjà attachée.

    • Amazon EC2ContainerServiceforEC2Role

    • UN mazonSSMManaged InstanceCore

    • UN mazonSSMDirectory ServiceAccess

    Pour associer des politiques AWS gérées.

    1. Ouvrez la IAMconsole.

    2. Dans le panneau de navigation, choisissez Roles (Rôles).

    3. Choisissez un rôle géré par AWS .

    4. Choisissez Autorisations, Attacher des stratégies.

    5. Pour réduire le nombre de stratégies disponibles à attacher, utilisez Filter (Filtrer).

    6. Sélectionnez la stratégie appropriée, puis choisissez Attach policy (Attacher la stratégie).

  3. Consultez IAMRôle d'exécution des ECS tâches Amazon pour vérifier si vous avez un ecsTaskExecution rôle et comment vous pouvez en créer un si vous n'en avez pas.

    Nous recommandons que les stratégies de rôle soient personnalisées pour les autorisations minimales dans un environnement de production réel. Pour suivre ce didacticiel, vérifiez que les politiques AWS gérées suivantes sont associées à votre ecsTaskExecution rôle. Attachez les stratégies si elles ne sont pas déjà attachées. Utilisez la procédure décrite dans la section précédente pour associer les politiques AWS gérées.

    • SecretsManagerReadWrite

    • UN mazonFSx ReadOnlyAccess

    • UN mazonSSMRead OnlyAccess

    • UN mazonECSTask ExecutionRolePolicy

Étape 2 : Créer un Active Directory (AD) Windows

  1. Suivez les étapes décrites dans la section Create Your AWS Managed AD Directory Directory Guide du Guide d'administration du AWS Directory Service. Utilisez le VPC que vous avez désigné pour ce didacticiel. À l'étape 3 de Create Your AWS Managed AD Directory, enregistrez le nom d'utilisateur et le mot de passe à utiliser dans une étape ultérieure. Notez également le nom de domaine complet pour les prochaines étapes. Vous pouvez effectuer l'étape suivante pendant la création du répertoire Active Directory.

  2. Créez un AWS secret du Gestionnaire de Secrets à utiliser dans les étapes suivantes. Pour plus d'informations, consultez Getting Started with AWS Secrets Manager dans le guide de l'utilisateur de AWS Secrets Manager.

    1. Ouvrez la console Secrets Manager.

    2. Cliquez sur Store a new secret (Stocker un nouveau secret).

    3. Sélectionnez Other type of secrets (Autres types de secrets).

    4. Pour Secret key/value (Valeur clé secrète) dans la première ligne, créez une clé username avec la valeur admin. Cliquez sur + Add row (+ Ajouter une ligne).

    5. Dans la nouvelle ligne, créez une clé password. Pour obtenir de la valeur, saisissez le mot de passe que vous avez saisi à l'étape 3 de la section Création de votre annuaire AD AWS géré.

    6. Cliquez sur Next (Suivant).

    7. Fournissez un nom et une description de secret. Cliquez sur Next (Suivant).

    8. Cliquez sur Next (Suivant). Cliquez sur Store (Stocker).

    9. À partir de la page Secrets, cliquez sur le secret que vous venez de créer.

    10. Enregistrez le ARN nouveau secret pour l'utiliser dans les étapes suivantes.

    11. Vous pouvez passer à l'étape suivante pendant la création de votre répertoire Active Directory.

Étape 3 : Vérifier et mettre à jour votre groupe de sécurité

Dans cette étape, vous vérifiez et mettez à jour les règles du groupe de sécurité que vous utilisez. Pour cela, vous pouvez utiliser le groupe de sécurité par défaut créé pour votreVPC.

Vérifiez et mettez à jour le groupe de sécurité.

Vous devez créer ou modifier votre groupe de sécurité pour envoyer des données depuis et vers les ports, comme indiqué dans la section Groupes de VPC sécurité Amazon du guide de l'utilisateur FSx pour Windows File Server. Pour ce faire, créez la règle entrante du groupe de sécurité affichée dans la première ligne du tableau suivant des règles entrantes. Cette règle autorise le trafic entrant à partir d'interfaces réseau (et de leurs instances associées) affectées au groupe de sécurité. Toutes les ressources cloud que vous créez font partie du même groupe de sécurité VPC et sont associées au même groupe de sécurité. Par conséquent, cette règle permet d'envoyer du trafic vers et FSx depuis le système de fichiers Windows File Server, Active Directory et l'ECSinstance selon les besoins. Les autres règles entrantes autorisent le trafic à desservir le site Web et l'RDPaccès pour se connecter à votre ECS instance.

Le tableau suivant indique les règles entrantes de groupe de sécurité requises pour ce didacticiel.

Type Protocole Plage de ports Source

Tout le trafic

Tous

Tous

sg-securitygroup

HTTPS

TCP

443

0.0.0.0/0

RDP

TCP

3389

l'adresse IP de votre ordinateur portable

Le tableau suivant indique les règles sortantes du groupe de sécurité requises pour ce didacticiel.

Type Protocole Plage de ports Destination

Tout le trafic

Tous

Tous

0.0.0.0/0

  1. Ouvrez la EC2console et sélectionnez Security Groups dans le menu de gauche.

  2. Dans la liste des groupes de sécurité qui s'affiche, cochez la case située à gauche du groupe de sécurité que vous utilisez pour ce didacticiel.

    Les informations de votre groupe de sécurité s'affichent.

  3. Modifiez les règles entrantes et sortantes en sélectionnant l'onglet Inbound rules (Règles entrantes) ou Outbound rules (Règles sortantes) et en cliquant sur Edit inbound rules (Modifier les règles entrantes) ou Edit outbound rules (Modifier les règles sortantes). Modifiez les règles pour qu'elles correspondent à celles affichées dans les tableaux précédents. Après avoir créé votre EC2 instance ultérieurement dans ce didacticiel, modifiez la RDP source des règles entrantes avec l'adresse IP publique de votre EC2 instance, comme décrit dans Connect to your Windows instance du guide de l'EC2utilisateur Amazon pour les instances Windows.

Étape 4 : Création d'un système de fichiers FSx pour Windows File Server

Une fois que votre groupe de sécurité a été vérifié et mis à jour et que votre Active Directory a été créé et est en état actif, créez le système de fichiers FSx pour Windows File Server de la même manière VPC que votre Active Directory. Suivez les étapes ci-dessous pour créer un système de fichiers FSx pour serveur de fichiers Windows pour vos tâches Windows.

Créez votre premier système de fichiers.

  1. Ouvrez la FSxconsole Amazon.

  2. Dans Sur le tableau de bord, choisissez Create file system (Créer un système de fichiers) pour ouvrir l'assistant de création de système de fichiers.

  3. Sur la page Sélectionner le type de système FSx de fichiers, choisissez Windows File Server, puis Next. La page Create file system (Créer un système de fichiers) s'affiche.

  4. Dans la section File system details (Informations du système de fichiers), indiquez un nom pour votre système de fichiers. Donner un nom à vos systèmes de fichiers facilite leur recherche et leur gestion. Vous pouvez utiliser jusqu'à 256 caractères Unicode. Les caractères autorisés sont les lettres, les chiffres, les espaces et les caractères spéciaux suivants : signe plus (+), signe moins (-), signe égal (=), point (.), trait de soulignement (_), deux points (:) et barre oblique (/).

  5. Pour Deployment type (Type de déploiement), choisissez Single-AZ (Mono-AZ) afin de déployer un système de fichiers qui est déployé dans une seule zone de disponibilité. Single-AZ 2 est la dernière génération de systèmes de fichiers à zone de disponibilité unique. Il prend en charge SSD le HDD stockage.

  6. Pour Type de stockage, sélectionnez HDD.

  7. Pour Storage capacity (Capacité de stockage), saisissez la capacité de stockage minimale.

  8. Conservez la valeur par défaut de Throughput capacity (Capacité de débit).

  9. Dans la section Réseau et sécurité, choisissez le même Amazon VPC que celui que vous avez choisi pour votre AWS Directory Service annuaire.

  10. Pour les groupes VPC de sécurité, choisissez le groupe de sécurité que vous avez vérifié à l'étape 3 : Vérifiez et mettez à jour votre groupe de sécurité.

  11. Pour Windows authentication (Authentification Windows), choisissez AWS Managed Microsoft Active Directory (Annuaire Microsoft Active Directory géré par ), puis choisissez votre répertoire AWS Directory Service dans la liste.

  12. Pour Encryption (Chiffrement), conservez la valeur par défaut du paramètre Encryption key (Clé de chiffrement), aws/fsx (default) (aws/fsx [par défaut]).

  13. Conservez les paramètres par défaut pour Maintenance preferences (Préférences de maintenance).

  14. Cliquez sur Next (Suivant).

  15. Vérifiez la configuration du système de fichiers qui s'affiche sur la page Create file system (Créer un système de fichiers). Pour référence, notez les paramètres du système de fichiers que vous pouvez modifier une fois le système de fichiers créé. Choisissez Create file system (Créer un système de fichiers).

  16. Notez l'ID du système de fichiers. Vous en aurez besoin dans une étape ultérieure.

    Vous pouvez passer aux étapes suivantes pour créer un cluster et une EC2 instance lors de la création du système de fichiers FSx for Windows File Server.

Étape 5 : Création d'un ECS cluster Amazon

Création d'un cluster à l'aide de la ECS console Amazon

  1. Ouvrez la console à la https://console.aws.amazon.com/ecs/version 2.

  2. Dans la barre de navigation, sélectionnez la région à utiliser.

  3. Dans le panneau de navigation, choisissez Clusters.

  4. Sur la page Clusters, choisissez Create Cluster (Créer un cluster).

  5. Sous Configuration du cluster, pour Nom du cluster, entrez windows-fsx-cluster.

  6. Développez l'infrastructure, AWS Fargate effacez (sans serveur), puis sélectionnez les EC2instances Amazon.

    1. Pour créer un groupe Auto Scaling, dans Auto Scaling group (ASG), sélectionnez Create new group, puis fournissez les informations suivantes sur le groupe :

      • Dans Système d'exploitation/Architecture, choisissez Windows Server 2019 Core.

      • EC2Par type d'instance, choisissez t2.medium ou t2.micro.

  7. Sélectionnez Create (Créer).

Étape 6 : créer une EC2 instance Amazon ECS optimisée pour Amazon

Créez une instance de conteneur Amazon ECS Windows.

Pour créer une ECS instance Amazon

  1. Utilisez la aws ssm get-parameters commande pour récupérer le AMI nom de la région qui héberge votreVPC. Pour plus d'informations, consultez la section Extraction de métadonnées ECS optimisées pour AMI Amazon.

  2. Utilisez la EC2 console Amazon pour lancer l'instance.

    1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

    2. Dans la barre de navigation, sélectionnez la région à utiliser.

    3. Dans le EC2tableau de bord, choisissez Launch instance.

    4. Pour Name (Nom), saisissez un nom unique.

    5. Pour les images d'applications et de systèmes d'exploitation (Amazon Machine Image), dans le champ de recherche, entrez le AMI nom que vous avez récupéré.

    6. Pour Type d'instance, choisissez t2.medium ou t2.micro.

    7. Pour Key pair (login) (Paire de clés (connexion)), choisissez une paire de clés. Si vous ne spécifiez pas de paire de clés, vous

    8. Sous Paramètres réseau, pour VPCet Sous-réseau, choisissez votre sous-réseau VPC et un sous-réseau public.

    9. Sous Network Settings (Paramètres réseau), pour Security group (Groupe de sécurité), choisissez un groupe de sécurité existant ou créez-en un nouveau. Assurez-vous que le groupe de sécurité que vous choisissez possède les règles entrantes et sortantes définies dans Prérequis pour le didacticiel.

    10. Sous Network settings (Paramètres réseau), pour Auto-assign Public IP (Attribuer automatiquement l'adresse IP publique), sélectionnez Enable (Activer).

    11. Développez Détails avancés, puis pour Répertoire de jonction de domaines, sélectionnez l'ID de l'Active Directory que vous avez créé. Ce domaine optionnel rejoint votre AD lorsque l'EC2instance est lancée.

    12. Sous Détails avancés, IAMpar exemple profil, sélectionnez ecsInstanceRole.

    13. Configurez votre instance de ECS conteneur Amazon avec les données utilisateur suivantes. Sous Détails avancés, collez le script suivant dans le champ Données utilisateur, en remplaçant cluster_name avec le nom de votre cluster.

      <powershell>
Initialize-ECSAgent -Cluster windows-fsx-cluster -EnableTaskIAMRole
</powershell>

    14. Lorsque vous êtes prêt, cochez la case de confirmation, puis sélectionnez Launch Instances (Lancer des instances).

    15. Une page de confirmation indique que l'instance est en cours de lancement. Sélectionnez View Instances (Afficher les instances) pour fermer la page de confirmation et revenir à la console.

  3. Ouvrez la console à la https://console.aws.amazon.com/ecs/version 2.

  4. Dans le volet de navigation, choisissez Clusters, puis choisissez windows-fsx-cluster.

  5. Choisissez l'onglet Infrastructure et vérifiez que votre instance a été enregistrée dans le windows-fsx-clustercluster.

Étape 7 : Enregistrement d'une définition de tâche Windows

Avant de pouvoir exécuter des conteneurs Windows dans votre ECS cluster Amazon, vous devez enregistrer une définition de tâche. L'exemple de définition de tâche suivant affiche une page Web simple. La tâche lance deux conteneurs qui ont accès au système de FSx fichiers. Le premier conteneur écrit un HTML fichier dans le système de fichiers. Le second conteneur télécharge le HTML fichier depuis le système de fichiers et diffuse la page Web.

  1. Ouvrez la console à la https://console.aws.amazon.com/ecs/version 2.

  2. Dans le panneau de navigation, choisissez Task definitions (Définition des tâches).

  3. Choisissez Créer une nouvelle définition de tâche, Créer une nouvelle définition de tâche avec JSON.

  4. Dans la boîte de l'JSONéditeur, remplacez les valeurs de votre rôle d'exécution des tâches et les informations relatives à votre système de FSx fichiers, puis choisissez Enregistrer.

    {
    "containerDefinitions": [
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [],
            "command": ["New-Item -Path C:\\fsx-windows-dir\\index.html -ItemType file -Value '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>It Works!</h2> <p>You are using Amazon FSx for Windows File Server file system for persistent container storage.</p>' -Force"],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": false,
            "name": "container1",
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ]
        },
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [
                {
                    "hostPort": 443,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": ["Remove-Item -Recurse C:\\inetpub\\wwwroot\\* -Force; Start-Sleep -Seconds 120; Move-Item -Path C:\\fsx-windows-dir\\index.html -Destination C:\\inetpub\\wwwroot\\index.html -Force; C:\\ServiceMonitor.exe w3svc"],
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": true,
            "name": "container2"
        }
    ],
    "family": "fsx-windows",
    "executionRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    "volumes": [
        {
            "name": "fsx-windows-dir",
            "fsxWindowsFileServerVolumeConfiguration": {
                "fileSystemId": "fs-0eeb5730b2EXAMPLE",
                "authorizationConfig": {
                    "domain": "example.com",
                    "credentialsParameter": "arn:arn-1234"
                },
                "rootDirectory": "share"
            }
        }
    ]
}

Étape 8 : Exécuter une tâche et afficher les résultats

Avant d'exécuter la tâche, vérifiez que l'état de votre système de fichiers FSx pour Windows File Server est disponible. Si c'est le cas, vous pouvez exécuter une tâche à l'aide de la définition de tâche que vous avez créée. La tâche commence par créer des conteneurs qui mélangent un HTML fichier entre eux à l'aide du système de fichiers. Après le shuffle, un serveur Web diffuse la page simpleHTML.

Note

Il se peut que vous ne puissiez pas vous connecter au site Web depuis unVPN.

Exécutez une tâche et visualisez les résultats à l'aide de la ECS console Amazon.

  1. Ouvrez la console à la https://console.aws.amazon.com/ecs/version 2.

  2. Dans le volet de navigation, choisissez Clusters, puis choisissez windows-fsx-cluster.

  3. Choisissez l'onglet Tâches, puis Exécuter une nouvelle tâche.

  4. Pour Type de lancement, choisissez EC2.

  5. Sous Configuration du déploiement, pour Définition de tâche, sélectionnez fsx-windows, puis sélectionnez Créer.

  6. Lorsque le statut de votre tâche est RUNNINGdéfini, choisissez l'ID de la tâche.

  7. Sous Conteneurs, lorsque le statut container1 est défini STOPPED, sélectionnez container2 pour afficher les détails du conteneur.

  8. Dans Informations sur le conteneur pour container2, sélectionnez Liaisons réseau, puis cliquez sur l'adresse IP externe associée au conteneur. Votre navigateur s'ouvre et affiche le message suivant.

    Amazon ECS Sample App
It Works! 
You are using Amazon FSx for Windows File Server file system for persistent container storage.
    Note

    L'affichage du message peut prendre quelques minutes. Si ce message ne s'affiche pas au bout de quelques minutes, vérifiez que vous n'utilisez pas un VPN et assurez-vous que le groupe de sécurité de votre instance de conteneur autorise le HTTP trafic réseau entrant sur le port 443.

Étape 9 : Nettoyer

Note

La suppression du système de fichiers Windows File Server ou FSx de l'AD prend 20 à 45 minutes. Vous devez attendre que les opérations FSx de suppression du système de fichiers du serveur de fichiers Windows soient terminées avant de démarrer les opérations de suppression AD.

Supprimer FSx pour le système de fichiers Windows File Server.

  1. Ouvrez la FSxconsole Amazon

  2. Cliquez sur le bouton radio situé à gauche du système FSx de fichiers Windows File Server que vous venez de créer.

  3. Choisissez Actions.

  4. Sélectionnez Delete file system (Supprimer le système de fichiers).

Supprimez le répertoire AD.

  1. Ouvrez la AWS Directory Service console.

  2. Cliquez sur la case d'option située à gauche du répertoire AD que vous venez de créer.

  3. Choisissez Actions.

  4. Sélectionnez Delete directory (Supprimer le répertoire).

Supprimez le cluster.

  1. Ouvrez la console à la https://console.aws.amazon.com/ecs/version 2.

  2. Dans le volet de navigation, choisissez Clusters, puis choisissez fsx-windows-cluster.

  3. Choisissez Supprimer le cluster.

  4. Saisissez l'expression, puis choisissez Supprimer.

Mettre fin à EC2 l'instance.

  1. Ouvrez la EC2console Amazon.

  2. Dans le menu de gauche, sélectionnez Instances.

  3. Cochez la case située à gauche de l'EC2instance que vous avez créée.

  4. Cliquez sur État de l'instance, puis sur Résilier l'instance.

Supprimez le secret.

  1. Ouvrez la console Secrets Manager.

  2. Sélectionnez le secret que vous avez créé pour cette démonstration.

  3. Cliquez sur Actions.

  4. Sélectionnez Delete secret (Supprimer le secret).