Amazon ECS 用の FSx for Windows File Server ファイルシステムを設定する方法について説明します。 - Amazon Elastic Container Service

Amazon ECS 用の FSx for Windows File Server ファイルシステムを設定する方法について説明します。

FSx for Windows File Server ファイルシステムと、ファイルシステムにアクセスできるコンテナをホストする Amazon ECS に最適化された Windows インスタンスを起動する方法について説明します。これを行うには、最初に AWS Directory Service AWS Managed Microsoft Active Directory を作成します。次に、Amazon EC2 インスタンスとタスク定義を使用して、FSx for Windows File Server ファイルシステムとクラスターを作成します。FSx for Windows File Server ファイルシステムを使用するために、コンテナのタスク定義を設定します。最後に、ファイルシステムをテストします。

アクティブディレクトリ または FSx for Windows File Server ファイルシステムのいずれかを起動または削除するのに、毎回 20~45 分かかります。90 分以上予約して、チュートリアルを完了するか、いくつかのセッションでチュートリアルを完了する準備をしてください。

チュートリアルの前提条件

  • 管理ユーザー。「Amazon ECS を使用するようにセットアップする」を参照してください。

  • (オプション) RDP アクセスを介して EC2 Windows インスタンスに接続するための PEM キーペア。キーペアの作成方法については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 のキーペアと Amazon EC2 インスタンス」を参照してください。

  • 少なくとも 1 つのパブリックサブネットと 1 つのプライベートサブネット、および 1 つのセキュリティグループを持つ VPC。デフォルトの VPC を使用できます。NAT ゲートウェイやデバイスは必要ありません。AWS Directory Service は、Active Directory でのネットワークアドレス変換 (NAT) をサポートしていません。これを機能させるには、アクティブディレクトリ、FSx for Windows File Server ファイルシステム、ECS クラスター、および EC2 インスタンスが VPC 内に配置されている必要があります。VPC と Active Directory の詳細については、「VPC を作成する」および「AWS Managed Microsoft AD を作成するための前提条件」を参照してください。

  • IAM ecsInstanceRole および ecsTaskExecutionRole アクセス許可は、お客様のアカウントに関連付けられています。このようなサービスリンクロールを使用すると、サービスが API 呼び出しを行い、ユーザーに代わってコンテナ、シークレット、ディレクトリ、ファイルサーバーにアクセスできます。

ステップ 1: IAM アクセスロールを作成する

AWS Management Console を使用してクラスターを作成します。
  1. Amazon ECS コンテナインスタンスの IAM ロールを参照して ecsInstanceRole があるかどうかを確認し、持っていない場合はどのように作成できるかを確認してください。

  2. 実際の本番環境では、ロールポリシーを最小限のアクセス許可に合わせてカスタマイズすることをお勧めします。このチュートリアルを通じて取り組むために、次の AWS マネージド ポリシーが ecsInstanceRole に添付されていることを確認します。ポリシーがまだアタッチされていない場合は、ポリシーをアタッチします。

    • AmazonEC2ContainerServiceforEC2Role

    • AmazonSSMManagedInstanceCore

    • AmazonSSMDirectoryServiceAccess

    AWS マネージド ポリシーをアタッチするには

    1. IAM コンソールを開きます。

    2. ナビゲーションペインで [Roles (ロール) ] を選択します。

    3. [AWS 管理ロール] を選択します。

    4. [アクセス許可]、[ポリシーのアタッチ] の順に選択します。

    5. アタッチする利用可能なポリシーを絞り込むには、[Filter] を使用します。

    6. 適切なポリシーを選択し、[Attach policy] を選択します。

  3. Amazon ECS タスク実行IAM ロール を参照して ecsTaskExecutionRole があるかどうかを確認し、持っていない場合はどのように作成できるかを確認してください。

    実際の本番環境では、ロールポリシーを最小限のアクセス許可に合わせてカスタマイズすることをお勧めします。このチュートリアルを通じて取り組むために、次の AWSマネージド ポリシーが ecsTaskExecutionRole に添付されていることを確認します。ポリシーがまだアタッチされていない場合は、ポリシーをアタッチします。AWSマネージド ポリシーをアタッチするには、前のセクションで説明した手順を使用します。

    • SecretsManagerReadWrite

    • AmazonFSxReadOnlyAccess

    • AmazonSSMReadOnlyAccess

    • AmazonECSTaskExecutionRolePolicy

手順 2: Windows Active Directory (AD) を作成する

  1. 「Directory Service 管理ガイド」の「AWS マネージド AD の作成]で説明されている手順に従います。このチュートリアル用に指定した VPC を使用します。「AWS マネージド AD の作成」のステップ 3 で、次のステップで使用するためにユーザー名と管理者パスワードを保存します。また、今後の手順の完全修飾ディレクトリ DNS 名をメモしておきます。Active Directory の作成中に、次の手順を実行できます。

  2. 次のステップで使用する AWS Secrets Manager のシークレットを作成します。詳細については、「Secrets Manager ユーザーガイド」の 「Secrets Manager の使用を開始する」を参照してください。

    1. Secrets Managerコンソール を開きます。

    2. [新しいシークレットを保存する] を選択します。

    3. [その他のシークレット] を選択します。

    4. [シークレットキー/値] では、最初の行に値 admin を含むキー username を作成します。[+ 行を追加] をクリックします。

    5. 新しい行で、キー password を作成します。値には、AWSマネージド AD ディレクトリ の作成 の手順 3 で入力したパスワードを入力します。

    6. [Next] ボタンをクリックします。

    7. シークレットの名前と説明を入力します。[次へ] をクリックします。

    8. [次へ] をクリックします。[保存] をクリックします。

    9. [シークレット] ページのリストから、作成したシークレットをクリックします。

    10. 次の手順で使用するために、新しいシークレットの ARN を保存します。

    11. Active Directory の作成中に、次の手順に進むことができます。

ステップ 3: セキュリティグループを確認および更新する

このステップでは、使用しているセキュリティグループのルールを確認および更新します。このためには、VPC 用に作成されたデフォルトのセキュリティグループを使用できます。

セキュリティグループを確認および更新します。

ポートとの間でデータを送信するには、セキュリティグループを作成または編集する必要があります。これについては、[FSx for Windows File Server ユーザーガイド]の[Amazon VPC セキュリティグループ]で説明されています。これを行うには、インバウンドルールの次の表の最初の行に示されているセキュリティグループインバウンドルールを作成します。このルールでは、同じセキュリティグループに割り当てられているネットワークインターフェイス (および関連付けられているインスタンス) からのインバウンドトラフィックを使用できます。作成したクラウドリソースはすべて同じ VPC 内にあり、同じセキュリティグループにアタッチされます。したがって、このルールでは、必要に応じて、FSx for Windows File Server ファイルシステム、アクティブディレクトリ、ECSインスタンスとの間でトラフィックを送信することができます。その他のインバウンドルールでは、ウェブサイトでトラフィックを利用し、ECS インスタンスに接続するための RDP アクセスが行えます。

次の表に、このチュートリアルに必要なセキュリティグループのインバウンドルールを示します。

タイプ プロトコル ポート範囲 ソース

すべてのトラフィック

すべて

すべて

sg-securitygroup

HTTPS

TCP

443

0.0.0.0/0

RDP

TCP

3389

ラップトップの IP アドレス

次の表に、このチュートリアルに必要なセキュリティグループのアウトバウンドルールを示します。

タイプ プロトコル ポート範囲 デスティネーション

すべてのトラフィック

すべて

すべて

0.0.0.0/0

  1. EC2 コンソールを開き、左側のメニューから [セキュリティグループ] を選択します。

  2. 表示されるセキュリティグループのリストから、このチュートリアルで使用しているセキュリティグループの左側にあるチェックボックスをオンにします。

    セキュリティグループの詳細が表示されます。

  3. [Inbound rules] (インバウンドルール) または [Outbound rules] (アウトバウンドルール) タブを選択して、[Edit inbound rules] (インバウンドルールの編集) または [Edit outbound rules] (アウトバウンドルールの編集) ボタンを選択して、インバウンドルールおよびアウトバウンドルールを編集します。前の表に表示されたルールと一致するようにルールを編集します。このチュートリアルの後半で EC2 インスタンスを作成した後、「Amazon EC2 ユーザーガイド」の「RDP を使用して Windows インスタンスに接続する」の説明に従って、EC2 インスタンスのパブリック IP アドレスを使用してインバウンドルールの RDP ソースを編集します。

ステップ 4: FSx for Windows File Server ファイルシステムを作成する

セキュリティグループが検証および更新され、アクティブディレクトリ が作成され、アクティブステータスになったら、Active Directory と同じ VPC に FSx for Windows File Server ファイルシステムを作成します。次のステップを使用して、Windows タスク用の FSx for Windows File Server ファイルシステムを作成します。

最初のファイルシステムを作成します。
  1. [Amazon FSx コンソール] を開きます。

  2. ダッシュボードで [Create file system] (ファイルシステムの作成) を選択して、ファイルシステム作成ウィザードをスタートします。

  3. [Select file system type] (ファイルシステムのタイプを選択) のページで、[FSx for Windows File Server] (FSx for Windows ファイルサーバー) を選択し、[Next] (次へ) を選択します。[Create file system] (ファイルシステムを作成) ページが表示されます。

  4. [File system details] (ファイルシステム詳細) セクションで、ファイルシステムの名前を入力します。ファイルシステムに名前を付けると、ファイルの検索と管理が容易になります。最大 256 文字の Unicode 文字を使用できます。使用できる文字は、文字、数字、スペース、および特殊文字のプラス記号 (+)、マイナス記号 (-)、等号 (=)、ピリオド (.)、アンダースコア (_)、コロン (:)、スラッシュ (/) です。

  5. [Deployment type] で [Single-AZ] を選択して、1 つのアベイラビリティーゾーンにデプロイされたファイルシステムをデプロイします。[Single-AZ 2] (シングル AZ 2) は、最新世代の単一アベイラビリティーゾーンファイルシステムで、SSD および HDD ストレージをサポートします。

  6. [Storage type] で、 [HDD] を選択します。

  7. [Storage capacity] に、ストレージの最小容量を入力します。

  8. [Throughput capacity] はデフォルト設定のままにします。

  9. [ネットワーク & セキュリティ] セクションで、AWS Directory Service ディレクトリに対して選択したものと同じ Amazon VPC を選択します。

  10. [VPC Security Groups] で、ステップ 3: セキュリティグループを確認および更新するで検証したセキュリティグループを選択します。

  11. [Windows 認証] では、[AWSマネージド Microsoft アクティブディレクトリ] を選択し、リストからお使いの AWS Directory Service ディレクトリを選択します。

  12. [Encryption] (暗号化) では、[aws / fsx (default)] (aws / fsx (デフォルト) の [Encryption key] (暗号化キー) 設定をデフォルトのままにします。

  13. [Maintenance preferences] ではデフォルト設定のままにします。

  14. [Next] ボタンをクリックします。

  15. [Create file system] (ファイルシステムの作成) ページで表示されるファイルシステム設定を確認します。参照のために、ファイルシステム作成後に変更できるファイルシステム設定を書き留めます。[Create file system] (ファイルシステムの作成) を選択します。

  16. ファイルシステム ID をメモします。ID は後の手順で使用する必要があります。

    FSx for Windows File Server ファイルシステムの作成中に、クラスターと EC2 インスタンスを作成するには、次のステップに進みます。

ステップ 5: Amazon ECS クラスターを作成する

Amazon ECS コンソールを使用してクラスターを作成する
  1. コンソール (https://console.aws.amazon.com/ecs/v2) を開きます。

  2. ナビゲーションバーから、使用するリージョンを選択します。

  3. ナビゲーションペインで [Clusters] (クラスター) を選択します。

  4. [Clusters] (クラスター) ページで、[Create Cluster] (クラスターの作成) を選択します。

  5. [クラスター設定] の [クラスター名] に「windows-fsx-cluster」と入力します。

  6. [インフラストラクチャ] を展開し、[AWS Fargate (サーバーレス)] をクリアして、[Amazon EC2 インスタンス] を選択します。

    1. Auto Scaling グループを作成するには、Auto Scaling group(ASG) (Auto Scaling グループ) から、[Create new group] (新しいグループの作成) を選択し、グループに関する以下の詳細情報を入力します。

      • [オペレーティングシステム/アーキテクチャ] で [Windows Server 2019 Core] を選択します。

      • [EC2 インスタンスタイプ] で [t2.medium] または [t2.micro] を選択します。

  7. [Create] (作成) を選択します。

ステップ 6: Amazon ECS に最適化された Amazon EC2 インスタンスを作成する

Amazon ECS Windows コンテナインスタンスを作成します。

Amazon ECS インスタンスを作成するには
  1. aws ssm get-parameters コマンドを使用して、VPC をホストするリージョン用の AMI 名を取得します。詳細については、「Amazon ECS に最適化された AMI メタデータを取得する」を参照してください。

  2. Amazon EC2 コンソールを使用して、インスタンスを起動します。

    1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

    2. ナビゲーションバーから、使用するリージョンを選択します。

    3. EC2 ダッシュボードから、[Launch Instance] を選択します。

    4. [Name (名前)] に一意の名前を入力します。

    5. [アプリケーションと OS イメージ (Amazon マシンイメージ)] の [検索] フィールドに、取得した AMI 名を入力します。

    6. [インスタンスタイプ] で [t2.medium] または [t2.micro] を選択します。

    7. [Key pair (login)] (キーペア (ログイン)) には、キーペアを選択します。キーペアを指定しない場合、

    8. [ネットワーク設定] の [VPC] と [サブネット]で VPC とパブリックサブネットを選択します。

    9. [Network settings] (ネットワーク設定) にある [Security group] (セキュリティグループ) には、既存のセキュリティグループを選択することも、新しいセキュリティグループを作成することもできます。選択したセキュリティグループに チュートリアルの前提条件 で定義されたインバウンドルールとアウトバウンドルールがあることを確認してください。

    10. [Network settings] (ネットワーク設定) の [Auto-assign Public IP] (パブリック IP の自動割り当て) で、[Enable] (有効にする) を選択します。

    11. [高度な詳細] を展開し、作成した Active Directory の ID を [ドメイン結合ディレクトリ] で選択します。このオプションドメインは、EC2 インスタンスの起動時に AD に参加します。

    12. [Advanced details] (高度な詳細) で、[IAM instance profile] (IAM インスタンスプロファイル) として [ecsInstanceRole] を選択します。

    13. 次のユーザーデータを使用して、Amazon ECS コンテナインスタンスを設定します。[Advanced Details] (詳細情報) にある [User data] (ユーザーデータ) フィールドに以下のスクリプトを貼り付け、cluster_name をクラスターの名前に置き換えます。

      <powershell> Initialize-ECSAgent -Cluster windows-fsx-cluster -EnableTaskIAMRole </powershell>
    14. 準備ができたら、確認フィールドを選択してから、[Launch Instances] を選択します。

    15. 確認ページは、インスタンスが起動中であることを通知します。[View Instances] (インスタンスを表示) を選択して確認ページを閉じ、コンソールに戻ります。

  3. コンソール (https://console.aws.amazon.com/ecs/v2) を開きます。

  4. ナビゲーションペインで、[クラスター] を選択し、[windows-fsx-cluster] を選択します。

  5. [インフラストラクチャ] タブを選択し、インスタンスが windows-fsx-cluster クラスターに登録されていることを確認します。

ステップ 7: Windows タスク定義を登録する

Amazon ECS クラスターで Windows コンテナを実行する前に、タスク定義を登録する必要があります。次のタスク定義の例では、シンプルなウェブページを表示します。このタスクは、FSx ファイルシステムにアクセスできる 2 つのコンテナを起動します。最初のコンテナは HTML ファイルをファイルシステムに書き込みます。2 番目のコンテナは、ファイルシステムから HTML ファイルをダウンロードし、ウェブページを提供します。

  1. コンソール (https://console.aws.amazon.com/ecs/v2) を開きます。

  2. ナビゲーションペインで、タスクの定義 を選択します。

  3. [Create new task definition] (新しいタスク定義の作成)、[Create new task definition with JSON] (JSON で新しいタスク定義を作成) の順に選択します。

  4. JSON エディタボックスで、タスク実行ロールの値と FSx ファイルシステムの詳細を置き換えてから [保存] を選択します。

    { "containerDefinitions": [ { "entryPoint": [ "powershell", "-Command" ], "portMappings": [], "command": ["New-Item -Path C:\\fsx-windows-dir\\index.html -ItemType file -Value '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>It Works!</h2> <p>You are using Amazon FSx for Windows File Server file system for persistent container storage.</p>' -Force"], "cpu": 512, "memory": 256, "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019", "essential": false, "name": "container1", "mountPoints": [ { "sourceVolume": "fsx-windows-dir", "containerPath": "C:\\fsx-windows-dir", "readOnly": false } ] }, { "entryPoint": [ "powershell", "-Command" ], "portMappings": [ { "hostPort": 443, "protocol": "tcp", "containerPort": 80 } ], "command": ["Remove-Item -Recurse C:\\inetpub\\wwwroot\\* -Force; Start-Sleep -Seconds 120; Move-Item -Path C:\\fsx-windows-dir\\index.html -Destination C:\\inetpub\\wwwroot\\index.html -Force; C:\\ServiceMonitor.exe w3svc"], "mountPoints": [ { "sourceVolume": "fsx-windows-dir", "containerPath": "C:\\fsx-windows-dir", "readOnly": false } ], "cpu": 512, "memory": 256, "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019", "essential": true, "name": "container2" } ], "family": "fsx-windows", "executionRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole", "volumes": [ { "name": "fsx-windows-dir", "fsxWindowsFileServerVolumeConfiguration": { "fileSystemId": "fs-0eeb5730b2EXAMPLE", "authorizationConfig": { "domain": "example.com", "credentialsParameter": "arn:arn-1234" }, "rootDirectory": "share" } } ] }

ステップ 8: タスクを実行して結果を表示する

タスクを実行する前に、FSx for Windows File Server ファイルシステムのステータスが [Available] であることを確認します。利用可能になったら、作成したタスク定義を使用してタスクを実行できます。タスクはコンテナを作成することから始まります。コンテナはファイルシステムを使用してコンテナ間で HTML ファイルをシャッフルします。シャッフル後、ウェブサーバーは単純な HTML ページを提供します。

注記

VPN 内からそのウェブサイトに接続できない場合があります。

Amazon ECS コンソールを使用して、タスクを実行して結果を表示します。
  1. コンソール (https://console.aws.amazon.com/ecs/v2) を開きます。

  2. ナビゲーションペインで、[クラスター] を選択し、[windows-fsx-cluster] を選択します。

  3. [タスク] タブを選択し、[新しいタスクを実行] を選択します。

  4. [起動タイプ] で、[EC2] を選択します。

  5. デプロイ設定の [タスク定義] で [fsx-windows] を選択し、[作成] を選択します。

  6. タスクのステータスが [実行中] の場合は、タスク ID を選択します。

  7. [コンテナ] で container1 のステータスが [停止] の場合、 container2 を選択してコンテナの詳細を表示します。

  8. [container2 のコンテナの詳細] で [ネットワークバインディング] を選択し、コンテナに関連付けられている外部 IP アドレスをクリックします。ブラウザが開き、次のメッセージが表示されます。

    Amazon ECS Sample App
    It Works! 
    You are using Amazon FSx for Windows File Server file system for persistent container storage.
    注記

    メッセージが表示されるまでに数分かかることがあります。このメッセージが数分経っても表示されない場合は、VPN で実行していないことを確認し、コンテナインスタンスのセキュリティグループがポート 443 でのインバウンドネットワーク HTTP トラフィックを許可していることを確認します。

ステップ 9: クリーンアップする。

注記

FSx for Windows File Server ファイルシステムまたは AD の削除には、20~45分かかります。AD の削除操作を開始する前に、FSx for Windows File Server ファイルシステムの削除操作が完了するまで待たなければなりません。

FSx for Windows File Server ファイルシステムを削除します。
  1. [Amazon FSxコンソール] を開きます。

  2. 作成した FSx for Windows File Server ファイルシステムの左側にあるラジオボタンを選択します。

  3. [アクション] を選択します。

  4. [Delete file system] をクリックします。

AD を削除します。
  1. AWS Directory Service コンソールを開きます。

  2. 作成した AD の左側にあるラジオボタンを選択します。

  3. [アクション] を選択します。

  4. [Delete directory] を選択します。

クラスターを削除します。
  1. コンソール (https://console.aws.amazon.com/ecs/v2) を開きます。

  2. ナビゲーションペインで、[クラスター] を選択し、[fsx-windows-cluster] を選択します。

  3. [クラスターを削除] を選択します。

  4. フレーズを入力し、[削除] を選択します。

EC2 インスタンスを終了します。
  1. Amazon EC2 コンソールを開きます。

  2. 左側のメニューから、[Instances] を選択します。

  3. 作成した EC2 インスタンスの左側にあるボックスをチェックします。

  4. [インスタンス状態][インスタンスを終了] の順にクリックします。

シークレットを削除します。
  1. Secrets Managerコンソール を開きます。

  2. このチュートリアル用に作成したシークレットを選択します。

  3. [Actions] をクリックします。

  4. [Delete secret] を選択します。