Pelajari cara mengonfigurasi FSx sistem file Windows File Server untuk Amazon ECS - Amazon Elastic Container Service
Prasyarat untuk tutorialLangkah 1: Buat peran akses IAMLangkah 2: Membuat Direktori Aktif Windows (AD)Langkah 3: Verifikasi dan perbarui grup keamananLangkah 4: Buat sistem file Windows File Server FSx untuk WindowsLangkah 5: Buat cluster Amazon ECSLangkah 6: Buat instans Amazon Amazon ECS yang dioptimalkan EC2Langkah 7: Daftarkan ketentuan tugas WindowsLangkah 8: Jalankan tugas dan lihat hasilnyaLangkah 9: Membersihkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pelajari cara mengonfigurasi FSx sistem file Windows File Server untuk Amazon ECS

Pelajari cara meluncurkan instans Windows Amazon ECS yang dioptimalkan FSx untuk menghosting sistem file Windows File Server dan container yang dapat mengakses sistem file. Untuk melakukan ini, pertama-tama Anda membuat Direktori Aktif Microsoft AWS Directory Service AWS Terkelola. Kemudian, Anda membuat sistem file Server File Server File Server FSx untuk Windows dan cluster dengan EC2 instance Amazon dan definisi tugas. Anda mengonfigurasi definisi tugas untuk kontainer Anda untuk menggunakan sistem file Windows File Server FSx untuk Windows. Akhirnya, Anda menguji sistem file.

Dibutuhkan 20 hingga 45 menit setiap kali Anda meluncurkan atau menghapus baik Active Directory atau FSx untuk sistem file Windows File Server. Bersiaplah untuk menyimpan setidaknya 90 menit untuk menyelesaikan tutorial atau menyelesaikan tutorial selama beberapa sesi.

Prasyarat untuk tutorial

  • Pengguna administratif. Lihat Siapkan untuk menggunakan Amazon ECS.

  • (Opsional) Sebuah PEM key pair untuk menghubungkan ke instance EC2 Windows Anda melalui akses RDP. Untuk informasi tentang cara membuat pasangan kunci, lihat pasangan EC2 kunci Amazon dan EC2 instans Amazon di Panduan EC2 Pengguna Amazon.

  • Sebuah VPC dengan setidaknya satu subnet publik dan satu subnet privat, dan satu grup keamanan. Anda dapat menggunakan VPC default Anda. Anda tidak memerlukan gateway atau perangkat NAT. AWS Directory Service tidak mendukung Network Address Translation (NAT) dengan Direktori Aktif. Agar ini berfungsi, Active Directory, FSx untuk sistem file Windows File Server, ECS Cluster, dan EC2 instance harus berada di dalam VPC Anda. Untuk informasi selengkapnya mengenai VPCs dan Direktori Aktif, lihat Membuat VPC dan Prasyarat untuk membuat iklan Microsoft Terkelola. AWS

  • Izin IAM ecsInstanceRole dan ecsTaskExecution Peran dikaitkan dengan akun Anda. Peran terkait layanan ini memungkinkan layanan melakukan panggilan API dan mengakses container, rahasia, direktori, dan server file atas nama Anda.

Langkah 1: Buat peran akses IAM

Buat klaster dengan AWS Management Console.

  1. Lihat Peran IAM instance wadah Amazon ECS untuk memeriksa apakah Anda memiliki ecsInstanceRole dan untuk melihat bagaimana Anda dapat membuatnya jika Anda tidak memilikinya.

  2. Kami merekomendasikan bahwa kebijakan peran disesuaikan untuk izin minimum di lingkungan produksi aktual. Untuk tujuan mengerjakan tutorial ini, verifikasi bahwa kebijakan AWS terkelola berikut ini terlampir pada AndaecsInstanceRole. Lampirkan kebijakan jika belum dilampirkan.

    • EC2ContainerServiceforEC2Peran Amazon

    • Amazon SSMManaged InstanceCore

    • Amazon SSMDirectory ServiceAccess

    Untuk melampirkan kebijakan AWS terkelola.

    1. Buka konsol IAM.

    2. Di panel navigasi, pilih Peran.

    3. Pilih peran yang AWS dikelola.

    4. Pilih Izin, Lampirkan kebijakan.

    5. Untuk mempersempit kebijakan tersedia yang akan dilampirkan, gunakan Filter.

    6. Pilih kebijakan yang sesuai dan pilih Lampirkan kebijakan.

  3. Lihat Peran IAM eksekusi tugas Amazon ECS untuk memeriksa apakah Anda memiliki ecsTaskExecution Peran dan untuk melihat bagaimana Anda dapat membuatnya jika Anda tidak memilikinya.

    Kami merekomendasikan bahwa kebijakan peran disesuaikan untuk izin minimum di lingkungan produksi aktual. Untuk tujuan mengerjakan tutorial ini, verifikasi bahwa kebijakan AWS terkelola berikut dilampirkan ke ecsTaskExecution Peran Anda. Lampirkan kebijakan jika mereka belum dilampirkan. Gunakan prosedur yang diberikan di bagian sebelumnya untuk melampirkan kebijakan yang AWS dikelola.

    • SecretsManagerReadWrite

    • Amazon FSx ReadOnlyAccess

    • Amazon SSMRead OnlyAccess

    • Amazon ECSTask ExecutionRolePolicy

Langkah 2: Membuat Direktori Aktif Windows (AD)

  1. Ikuti langkah-langkah yang dijelaskan dalam Membuat Microsoft AD yang AWS Dikelola di Panduan Administrasi Layanan AWS Direktori. Gunakan VPC yang telah Anda tunjuk untuk tutorial ini. Pada Langkah 3 Membuat iklan Microsoft AWS Terkelola Anda, simpan nama pengguna dan kata sandi admin untuk digunakan dalam langkah berikut. Juga, perhatikan nama DNS direktori yang sepenuhnya memenuhi syarat untuk langkah-langkah masa depan. Anda dapat menyelesaikan langkah berikut saat Active Directory sedang dibuat.

  2. Buat AWS rahasia Secrets Manager untuk digunakan dalam langkah-langkah berikut. Untuk informasi selengkapnya, lihat Memulai Secrets Manager di Panduan Pengguna AWS Secrets Manager.

    1. Buka konsol Secrets Manager.

    2. Klik Menyimpan rahasia baru.

    3. Pilih Tipe rahasia lainnya.

    4. Untuk Kunci/nilai rahasia, di baris pertama, buat kunci username dengan nilai admin. Klik pada + Tambahkan baris.

    5. Di baris baru, buat kunci password. Untuk nilai, ketik kata sandi yang Anda masukkan di Langkah 3 Buat Direktori AD AWS Terkelola Anda.

    6. Klik pada tombol Selanjutnya.

    7. Masukkan nama dan deskripsi. Klik Berikutnya.

    8. Klik Berikutnya. Klik Simpan.

    9. Dari daftar halaman Rahasia, klik pada rahasia yang baru saja Anda buat.

    10. Simpan ARN rahasia baru untuk digunakan dalam langkah-langkah berikut.

    11. Anda dapat melanjutkan ke langkah berikutnya selagi Direktori Aktif sedang dibuat.

Langkah 3: Verifikasi dan perbarui grup keamanan

Pada langkah ini, Anda memverifikasi dan memperbarui aturan untuk grup keamanan yang Anda gunakan. Untuk hal ini, Anda dapat menggunakan grup keamanan default yang dibuat untuk VPC Anda.

Verifikasi dan perbarui grup keamanan.

Anda perlu membuat atau mengedit grup keamanan untuk mengirim data dari dan ke port, yang dijelaskan dalam Grup Keamanan VPC Amazon di Panduan Pengguna Server File Windows FSx untuk Windows. Anda dapat melakukan ini dengan membuat aturan grup keamanan inbound ditampilkan di baris pertama dari tabel aturan inbound berikut. Mengizinkan lalu lintas masuk dari antarmuka jaringan (dan instans terkait-nya) yang ditugaskan ke grup keamanan. Semua sumber daya cloud yang Anda buat berada dalam VPC yang sama dan melekat pada grup keamanan yang sama. Oleh karena itu, aturan ini memungkinkan lalu lintas dikirim ke dan dari sistem file Windows File Server, Active Directory, dan ECS seperti yang diperlukan. FSx Aturan inbound lainnya mengizinkan lalu lintas untuk melayani situs web dan akses RDP untuk menghubungkan ke instans ECS Anda.

Tabel berikut menunjukkan aturan grup keamanan inbound mana yang diperlukan untuk tutorial ini.

Tipe Protokol Rentang port Sumber

Semua Lalu lintas

Semua

Semua

sg-securitygroup

HTTPS

TCP

443

0.0.0.0/0

RDP

TCP

3389

alamat IP laptop Anda

Tabel berikut menunjukkan aturan grup keamanan inbound mana yang diperlukan untuk tutorial ini.

Tipe Protokol Rentang Port Tujuan

Semua lalu lintas

Semua

Semua

0.0.0.0/0

  1. Buka EC2 konsol dan pilih Grup Keamanan dari menu sebelah kiri.

  2. Dari daftar grup keamanan yang sekarang ditampilkan, pilih centang pada kotak centang di sebelah kiri grup keamanan yang Anda gunakan untuk tutorial ini.

    Detail grup keamanan Anda ditampilkan.

  3. Edit aturan inbound dan outbound dengan memilih tab Aturan inbound atau Aturan outbound dan memilih tombol Edit aturan inbound atau Edit aturan outbound. Edit aturan untuk mencocokkan yang ditampilkan dalam tabel sebelumnya. Setelah Anda membuat EC2 instans nanti dalam tutorial ini, edit sumber RDP aturan masuk dengan alamat IP publik EC2 instans Anda seperti yang dijelaskan dalam Connect to Windows instance menggunakan RDP dari Amazon User Guide. EC2

Langkah 4: Buat sistem file Windows File Server FSx untuk Windows

Setelah grup keamanan Anda diverifikasi dan diperbarui dan Direktori Aktif Anda dibuat dan dalam status aktif, buat sistem file FSx untuk Windows File Server di VPC yang sama dengan Direktori Aktif Anda. Gunakan langkah-langkah berikut FSx untuk membuat sistem file Windows File Server untuk tugas Windows Anda.

Buat sistem file pertama Anda.

  1. Buka FSx konsol Amazon.

  2. Pada dasbor, pilih Buat sistem file untuk memulai wizard pembuatan sistem file.

  3. Pada halaman Pilih jenis sistem file, pilih FSx untuk Windows File Server, lalu pilih Berikutnya. Halaman Buat sistem file akan muncul.

  4. Pada bagian Detail sistem file, berikan nama untuk sistem file Anda. Penamaan sistem file Anda membuatnya lebih mudah untuk menemukan dan mengelola sistem file tersebut. Anda dapat menggunakan hingga 256 karakter Unicode. Karakter yang diizinkan adalah huruf, angka, spasi, dan karakter khusus plus tanda (+). tanda minus (-), tanda sama dengan (=), titik (.), garis bawah (_), titik dua (:), garis miring (/).

  5. Untuk Tipe deployment Pilih Single-AZ untuk men-deploy sistem file yang di-deploy di Availability Zone tunggal. Single-Az 2 adalah generasi terbaru dari sistem file Availability Zone tunggal, dan mendukung penyimpanan SSD dan HDD.

  6. Untuk jenis Storage, pilih HDD.

  7. Untuk kapasitas penyimpanan, masukkan kapasitas penyimpanan minimum.

  8. Pertahankan Kapasitas throughput pada pengaturan default-nya.

  9. Di bagian Jaringan & keamanan, pilih VPC Amazon yang sama dengan yang Anda pilih untuk direktori Anda AWS Directory Service .

  10. Untuk Grup Keamanan VPC, pilih grup keamanan yang Anda verifikasi di Langkah 3: Verifikasi dan perbarui grup keamanan.

  11. Untuk otentikasi Windows, pilih Direktori Aktif Microsoft AWS Terkelola, lalu pilih AWS Directory Service direktori Anda dari daftar.

  12. Untuk Enkripsi, simpan default pengaturan Kunci enkripsi dari aws/fsx (default).

  13. Simpan pengaturan default untuk Preferensi pemeliharaan.

  14. Klik pada tombol Selanjutnya.

  15. Tinjau konfigurasi sistem file yang ditampilkan pada halaman Buat sistem file. Untuk referensi Anda, perhatikan pengaturan sistem file mana yang dapat Anda modifikasi setelah sistem file dibuat. Pilih Buat sistem file.

  16. Catat ID sistem file. Anda perlu menggunakannya di langkah selanjutnya.

    Anda dapat melanjutkan ke langkah berikutnya untuk membuat cluster dan EC2 instance saat sistem file FSx untuk Windows File Server sedang dibuat.

Langkah 5: Buat cluster Amazon ECS

Buat cluster menggunakan konsol Amazon ECS

  1. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  2. Dari bilah navigasi, pilih Wilayah untuk digunakan.

  3. Di panel navigasi, pilih Klaster.

  4. Pada halaman Klaster, pilih Buat klaster.

  5. Di bawah konfigurasi Cluster, untuk nama Cluster, masukkan windows-fsx-cluster.

  6. Perluas Infrastruktur, hapus AWS Fargate (tanpa server) lalu pilih instans Amazon EC2 .

    1. Untuk membuat grup Auto Scaling, dari grup Auto Scaling (ASG), pilih Buat grup baru, lalu berikan detail berikut tentang grup:

      • Untuk Sistem Operasi/Arsitektur, pilih Windows Server 2019 Core.

      • EC2 Misalnya jenis, pilih t2.medium atau t2.micro.

  7. Pilih Buat.

Langkah 6: Buat instans Amazon Amazon ECS yang dioptimalkan EC2

Buat instance penampung Amazon ECS Windows.

Untuk membuat instans Amazon ECS

  1. Gunakan aws ssm get-parameters perintah untuk mengambil nama AMI untuk Wilayah yang menghosting VPC Anda. Untuk informasi selengkapnya, lihat Mengambil metadata AMI yang dioptimalkan Amazon ECS.

  2. Gunakan EC2 konsol Amazon untuk meluncurkan instance.

    1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

    2. Dari bilah navigasi, pilih Wilayah untuk digunakan.

    3. Dari EC2 Dasbor, pilih Launch instance.

    4. Untuk Nama, masukkan nama unik.

    5. Untuk Gambar Aplikasi dan OS (Gambar Mesin Amazon), di bidang pencarian, masukkan nama AMI yang Anda ambil.

    6. Untuk jenis Instance, pilih t2.medium atau t2.micro.

    7. Untuk Key pair (login), pilih key pair. Jika Anda tidak menentukan key pair, Anda

    8. Di bawah Pengaturan jaringan, untuk VPC dan Subnet, pilih VPC Anda dan subnet publik.

    9. Di bawah Pengaturan jaringan, untuk grup Keamanan, pilih grup keamanan yang ada, atau buat yang baru. Pastikan grup keamanan yang Anda pilih memiliki aturan masuk dan keluar yang ditentukan Prasyarat untuk tutorial

    10. Di bawah Pengaturan jaringan, untuk Auto-assign IP Publik, pilih Aktifkan.

    11. Perluas Detail lanjutan, lalu untuk direktori Gabung Domain, pilih ID Direktori Aktif yang Anda buat. Domain opsi ini bergabung dengan AD Anda saat EC2 instans diluncurkan.

    12. Di bawah Detail lanjutan, untuk profil instans IAM, pilih ecsInstanceRole.

    13. Konfigurasikan instans penampung Amazon ECS Anda dengan data pengguna berikut. Di bawah Detail Lanjutan, tempelkan skrip berikut ke bidang Data pengguna, ganti cluster_name dengan nama cluster Anda.

      <powershell>
Initialize-ECSAgent -Cluster windows-fsx-cluster -EnableTaskIAMRole
</powershell>

    14. Saat Anda siap, pilih bidang pengakuan, lalu pilih Luncurkan Instans.

    15. Halaman konfirmasi memberi tahu Anda bahwa instans Anda akan diluncurkan. Pilih Lihat Instans untuk menutup halaman konfirmasi dan kembali ke konsol tersebut.

  3. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  4. Di panel navigasi, pilih Cluster, lalu pilih. windows-fsx-cluster

  5. Pilih tab Infrastructure dan verifikasi bahwa instans Anda telah terdaftar di windows-fsx-clustercluster.

Langkah 7: Daftarkan ketentuan tugas Windows

Sebelum Anda dapat menjalankan wadah Windows di cluster Amazon ECS Anda, Anda harus mendaftarkan definisi tugas. Contoh definisi tugas berikut menampilkan halaman web sederhana. Tugas meluncurkan dua kontainer yang memiliki akses ke sistem FSx file. Kontainer pertama menulis file HTML ke sistem file. Kontainer kedua mengunduh file HTML dari sistem file dan menyediakan halaman web.

  1. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  2. Di panel navigasi, pilih Definisi tugas.

  3. Pilih Buat definisi tugas baru, Buat definisi tugas baru dengan JSON.

  4. Di kotak editor JSON, ganti nilai untuk peran eksekusi tugas Anda dan detail tentang sistem FSx file Anda, lalu pilih Simpan.

    {
    "containerDefinitions": [
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [],
            "command": ["New-Item -Path C:\\fsx-windows-dir\\index.html -ItemType file -Value '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>It Works!</h2> <p>You are using Amazon FSx for Windows File Server file system for persistent container storage.</p>' -Force"],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": false,
            "name": "container1",
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ]
        },
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [
                {
                    "hostPort": 443,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": ["Remove-Item -Recurse C:\\inetpub\\wwwroot\\* -Force; Start-Sleep -Seconds 120; Move-Item -Path C:\\fsx-windows-dir\\index.html -Destination C:\\inetpub\\wwwroot\\index.html -Force; C:\\ServiceMonitor.exe w3svc"],
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": true,
            "name": "container2"
        }
    ],
    "family": "fsx-windows",
    "executionRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    "volumes": [
        {
            "name": "fsx-windows-dir",
            "fsxWindowsFileServerVolumeConfiguration": {
                "fileSystemId": "fs-0eeb5730b2EXAMPLE",
                "authorizationConfig": {
                    "domain": "example.com",
                    "credentialsParameter": "arn:arn-1234"
                },
                "rootDirectory": "share"
            }
        }
    ]
}

Langkah 8: Jalankan tugas dan lihat hasilnya

Sebelum menjalankan tugas, verifikasi bahwa status sistem file Windows File Server Anda FSx tersedia. Setelah tersedia, Anda dapat menjalankan tugas menggunakan ketentuan tugas yang Anda buat. Tugas dimulai dengan membuat kontainer yang mengacak file HTML di antara mereka menggunakan sistem file. Setelah pengacakan, web server melayani halaman HTML sederhana.

catatan

Anda mungkin tidak dapat terhubung ke situs web dari VPN.

Jalankan tugas dan lihat hasilnya dengan konsol Amazon ECS.

  1. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  2. Di panel navigasi, pilih Cluster, lalu pilih. windows-fsx-cluster

  3. Pilih tab Tugas, lalu pilih Jalankan tugas baru.

  4. Untuk Jenis Peluncuran, pilih EC2.

  5. Di bawah konfigurasi Deployment, untuk Task Definition, pilih fsx-windows, lalu pilih Create.

  6. Saat status tugas Anda SEDANG BERJALAN, pilih ID tugas.

  7. Di bawah Container, saat status container1 STOPTED, pilih container2 untuk melihat detail container.

  8. Di bawah rincian Container untuk container2, pilih Network binding dan kemudian klik pada alamat IP eksternal yang terkait dengan container. Peramban Anda akan membuka dan menampilkan pesan berikut.

    Amazon ECS Sample App
It Works! 
You are using Amazon FSx for Windows File Server file system for persistent container storage.
    catatan

    Mungkin perlu beberapa menit agar pesan ditampilkan. Jika Anda tidak melihat pesan ini setelah beberapa menit, periksa apakah Anda tidak menjalankan VPN dan pastikan bahwa grup keamanan untuk instance container Anda mengizinkan lalu lintas HTTP jaringan masuk pada port 443.

Langkah 9: Membersihkan

catatan

Dibutuhkan 20 hingga 45 menit FSx untuk menghapus sistem file Windows File Server atau AD. Anda harus menunggu sampai operasi penghapusan sistem file Windows File Server selesai sebelum memulai operasi penghapusan AD. FSx

Hapus FSx untuk sistem file Windows File Server.

  1. Buka FSx konsol Amazon

  2. Pilih tombol radio di sebelah kiri FSx untuk sistem file Windows File Server yang baru saja Anda buat.

  3. Pilih Tindakan.

  4. Pilih sistem file untuk dihapus.

Hapus iklan.

  1. Buka konsol AWS Directory Service.

  2. Pilih tombol radio di sebelah kiri AD yang baru saja Anda buat.

  3. Pilih Tindakan.

  4. Pilih Hapus direktori.

Hapus klaster .

  1. Buka konsol di https://console.aws.amazon.com/ecs/v2.

  2. Di panel navigasi, pilih Cluster, lalu pilih. fsx-windows-cluster

  3. Pilih Hapus klaster.

  4. Masukkan frasa dan kemudian pilih Hapus.

Mengakhiri EC2 contoh.

  1. Buka EC2 konsol Amazon.

  2. Dari menu sebelah kiri, pilih Instans.

  3. Centang kotak di sebelah kiri EC2 instance yang Anda buat.

  4. Klik status Instance, Terminate instance.

Hapus rahasia.

  1. Buka konsol Secrets Manager.

  2. Pilih rahasia yang Anda buat untuk perjalanan ini.

  3. Klik Tindakan.

  4. Pilih Hapus rahasia.