Archiviazione della configurazione dell'istanza del ECS contenitore Amazon in Amazon S3 - Amazon Elastic Container Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Archiviazione della configurazione dell'istanza del ECS contenitore Amazon in Amazon S3

La configurazione di Amazon ECS Container Agent è controllata con la variabile di ambiente. Le varianti Linux ECS ottimizzate per Amazon AMI cercano queste variabili all'/etc/ecs/ecs.configavvio dell'agente contenitore e configurano l'agente di conseguenza. Alcune variabili di ambiente innocue, ad esempioECS_CLUSTER, possono essere passate all'istanza del contenitore all'avvio tramite i dati EC2 utente di Amazon e scritte in questo file senza conseguenze. Tuttavia, altre informazioni sensibili, come le AWS credenziali o la ECS_ENGINE_AUTH_DATA variabile, non devono mai essere passate a un'istanza nei dati dell'utente o scritte /etc/ecs/ecs.config in un modo che consenta loro di essere visualizzate in un file. .bash_history

L'archiviazione delle informazioni di configurazione in un bucket privato in Amazon S3 e la concessione dell'accesso in sola lettura al ruolo dell'istanza di contenitore sono un modo sicuro e conveniente per consentire la configurazione dell'IAMistanza di contenitore all'avvio. È possibile memorizzare una copia del file ecs.config in un bucket privato. Puoi quindi utilizzare i dati EC2 utente di Amazon per installare AWS CLI e copiare le informazioni di configurazione all'/etc/ecs/ecs.configavvio dell'istanza.

Come memorizzare un file ecs.config in Amazon S3

  1. È necessario concedere all'istanza del contenitore le autorizzazioni role (ecsInstanceRole) per avere accesso in sola lettura ad Amazon S3. Puoi farlo assegnando AmazonS3 al ruolo ReadOnlyAccess. ecsInstanceRole Per informazioni su come allegare una politica a un ruolo, consulta Modifica della politica di autorizzazione di un ruolo (console) nella Guida per l'utente AWS Identity and Access Management

  2. Crea un ecs.config file con variabili di configurazione ECS dell'agente Amazon valide utilizzando il seguente formato. In questo esempio viene configurata l'autenticazione di un registro privato. Per ulteriori informazioni, consulta Utilizzo di immagini non AWS containerizzate in Amazon ECS.

    ECS_ENGINE_AUTH_TYPE=dockercfg
ECS_ENGINE_AUTH_DATA={"https://index.docker.io/v1/":{"auth":"zq212MzEXAMPLE7o6T25Dk0i","email":"email@example.com"}}
    Nota

    Per un elenco completo delle variabili di configurazione dell'ECSagente Amazon disponibili, consulta Amazon ECS Container Agent su GitHub.

  3. Per archiviare il file di configurazione, crea un bucket privato in Amazon S3. Per ulteriori informazioni, consulta Create a Bucket (Creazione di un bucket) nella Guida per l'utente di Amazon Simple Storage Service.

  4. Carica il file ecs.config nel bucket S3. Per ulteriori informazioni, consulta Aggiunta di un oggetto a un bucket nella Guida per l'utente di Amazon Simple Storage Service.

Come caricare un file ecs.config da Amazon S3 all'avvio

  1. Procedi come indicato in questa sezione per consentire l'accesso Amazon S3 in sola lettura alle istanze di container e archiviare un file ecs.config in un bucket privato S3.

  2. Avvia nuove istanze di container e usa il seguente script di esempio nei dati EC2 utente. Lo script installa AWS CLI e copia il file di configurazione in. /etc/ecs/ecs.config Per ulteriori informazioni, consulta Avvio di un'istanza di container Amazon ECS Linux.

    #!/bin/bash
yum install -y aws-cli
aws s3 cp s3://your_bucket_name/ecs.config /etc/ecs/ecs.config