Execute AWS IoT Greengrass em um contêiner Docker com provisionamento automático de recursos - AWS IoT Greengrass
Pré-requisitosConfigurar as credenciais da AWSCriar um arquivo de ambienteExecute o software AWS IoT Greengrass CorePróximas etapas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Execute AWS IoT Greengrass em um contêiner Docker com provisionamento automático de recursos

Este tutorial mostra como instalar e executar o software AWS IoT Greengrass Core em um contêiner Docker com AWS recursos provisionados automaticamente e ferramentas de desenvolvimento local. Você pode usar esse ambiente de desenvolvimento para explorar os AWS IoT Greengrass recursos em um contêiner do Docker. O software requer AWS credenciais para provisionar esses recursos e implantar as ferramentas de desenvolvimento local.

Se você não puder fornecer AWS credenciais para o contêiner, poderá provisionar os AWS recursos que o dispositivo principal precisa para operar. Você também pode implantar as ferramentas de desenvolvimento em um dispositivo principal para usar como dispositivo de desenvolvimento. Isso permite que você forneça menos permissões ao dispositivo ao executar o contêiner. Para ter mais informações, consulte Execute AWS IoT Greengrass em um contêiner Docker com provisionamento manual de recursos.

Pré-requisitos

Para concluir este tutorial, você precisa do seguinte.

  • Uma Conta da AWS. Se você não tiver uma, consulte Configurar um Conta da AWS.

  • Um usuário AWS do IAM com permissões para provisionar os recursos do IAM AWS IoT e do IAM para um dispositivo principal do Greengrass. O instalador do software AWS IoT Greengrass Core usa suas AWS credenciais para provisionar automaticamente esses recursos. Para obter informações sobre a política mínima do IAM para provisionar recursos automaticamente, consultePolítica mínima de IAM para o instalador provisionar recursos.

  • Uma imagem AWS IoT Greengrass do Docker. Você pode criar uma imagem a partir do AWS IoT Greengrass Dockerfile.

  • O computador host em que você executa o contêiner Docker deve atender aos seguintes requisitos:

    • Um sistema operacional baseado em Linux com conexão à Internet.

    • Docker Engine versão 18.09 ou posterior.

    • (Opcional) Docker Compose versão 1.22 ou posterior. O Docker Compose é necessário somente se você quiser usar a CLI do Docker Compose para executar suas imagens do Docker.

Configurar as credenciais da AWS

Nesta etapa, você cria um arquivo de credencial no computador host que contém suas credenciais AWS de segurança. Ao executar a imagem do AWS IoT Greengrass Docker, você deve montar a pasta que contém esse arquivo de credencial /root/.aws/ no contêiner do Docker. O AWS IoT Greengrass instalador usa essas credenciais para provisionar recursos no seuConta da AWS. Para obter informações sobre a política mínima do IAM que o instalador exige para provisionar recursos automaticamente, consultePolítica mínima de IAM para o instalador provisionar recursos.

  1. Recupere um dos seguintes.

  2. Crie uma pasta onde você coloca seu arquivo de credencial.

    mkdir ./greengrass-v2-credentials

  3. Use um editor de texto para criar um arquivo de configuração nomeado credentials na ./greengrass-v2-credentials pasta.

    Por exemplo, você pode executar o comando a seguir para usar o GNU nano para criar o credentials arquivo. 

    nano ./greengrass-v2-credentials/credentials

  4. Adicione suas AWS credenciais ao credentials arquivo no formato a seguir.

    [default]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPy...truncated...zrkuWJOgQs8IZZaIv2BXIa2R4Olgk

    aws_session_tokenInclua somente para credenciais temporárias.

Importante

Remova o arquivo de credencial do computador host depois de iniciar o AWS IoT Greengrass contêiner. Se você não remover o arquivo de credenciais, suas AWS credenciais permanecerão montadas dentro do contêiner. Para ter mais informações, consulte Execute o software AWS IoT Greengrass principal em um contêiner.

Criar um arquivo de ambiente

Este tutorial usa um arquivo de ambiente para definir as variáveis de ambiente que serão passadas para o instalador do software AWS IoT Greengrass Core dentro do contêiner Docker. Você também pode usar o --env argumento -e ou em seu docker run comando para definir variáveis de ambiente no contêiner do Docker ou definir as variáveis em um environment bloco no docker-compose.yml arquivo.

  1. Use um editor de texto para criar um arquivo de ambiente chamado.env.

    Por exemplo, em um sistema baseado em Linux, você pode executar o seguinte comando para usar o GNU nano para criar o no .env diretório atual.

    nano .env

  2. Copie o conteúdo a seguir no arquivo.

    GGC_ROOT_PATH=/greengrass/v2
AWS_REGION=region
PROVISION=true
THING_NAME=MyGreengrassCore
THING_GROUP_NAME=MyGreengrassCoreGroup
TES_ROLE_NAME=GreengrassV2TokenExchangeRole
TES_ROLE_ALIAS_NAME=GreengrassCoreTokenExchangeRoleAlias
COMPONENT_DEFAULT_USER=ggc_user:ggc_group

    Em seguida, substitua os valores a seguir.

    • /greengrass/v2. A pasta raiz do Greengrass que você deseja usar para instalação. Você usa a variável de GGC_ROOT ambiente para definir esse valor.

    • região. O Região da AWS local onde você criou os recursos.

    • MyGreengrassCore. O nome da coisa da AWS IoT. Se a coisa não existir, o instalador a cria. O instalador baixa os certificados para autenticar a AWS IoT coisa.

    • MyGreengrassCoreGroup. O nome do grupo de AWS IoT coisas. Se o grupo de coisas não existir, o instalador o cria e adiciona a coisa a ele. Se o grupo de coisas existir e tiver uma implantação ativa, o dispositivo principal baixará e executará o software especificado pela implantação.

    • Greengrass TokenExchangeRole V2. Substitua pelo nome da função de troca de tokens do IAM que permite que o dispositivo principal do Greengrass obtenha credenciais temporáriasAWS. Se a função não existir, o instalador a cria, cria e anexa uma política chamada TokenExchangeRoleGreengrassV2 Access. Para ter mais informações, consulte Autorize os dispositivos principais a interagir com os serviços AWS.

    • GreengrassCoreTokenExchangeRoleAlias. O alias da função de troca de tokens. Se o alias da função não existir, o instalador o cria e o direciona para a função de troca de tokens do IAM que você especifica. Para obter mais informações, consulte

    nota

    Você pode definir a variável de DEPLOY_DEV_TOOLS ambiente true para implantar o componente CLI do Greengrass, que permite desenvolver componentes personalizados dentro do contêiner do Docker. Recomendamos que você use esse componente somente em ambientes de desenvolvimento, não em ambientes de produção. Esse componente fornece acesso a informações e operações que você normalmente não precisará em um ambiente de produção. Siga o princípio do menor privilégio implantando esse componente somente nos dispositivos principais onde você precisar dele.

Execute o software AWS IoT Greengrass principal em um contêiner

Este tutorial mostra como iniciar a imagem do Docker que você criou em um contêiner do Docker. Você pode usar a CLI do Docker ou a CLI do Docker Compose para AWS IoT Greengrass executar a imagem do software Core em um contêiner do Docker.

Docker

  1. Execute o comando a seguir para iniciar o contêiner Docker. 

    docker run --rm --init -it --name docker-image \
 -v path/to/greengrass-v2-credentials:/root/.aws/:ro \
 --env-file .env \
 -p 8883 \
 your-container-image:version

    Esse exemplo de comando usa os seguintes argumentos para docker run:

    • --rm. Limpa o contêiner quando ele sai.

    • --init. Usa um processo de inicialização no contêiner.

      nota

      O --init argumento é necessário para desligar o software AWS IoT Greengrass Core quando você interrompe o contêiner Docker.

    • -it. (Opcional) Executa o contêiner Docker em primeiro plano como um processo interativo. Em vez disso, você pode substituir isso pelo -d argumento para executar o contêiner do Docker no modo desanexado. Para obter mais informações, consulte Desanexado versus primeiro plano na documentação do Docker.

    • --name. Executa um contêiner chamado aws-iot-greengrass

    • -v. Monta um volume no contêiner do Docker para disponibilizar o arquivo de configuração e os arquivos de certificado para AWS IoT Greengrass execução dentro do contêiner.

    • --env-file. (Opcional) Especifica o arquivo de ambiente para definir as variáveis de ambiente que serão passadas para o instalador do software AWS IoT Greengrass Core dentro do contêiner Docker. Esse argumento é necessário somente se você criou um arquivo de ambiente para definir variáveis de ambiente. Se você não criou um arquivo de ambiente, pode usar --env argumentos para definir variáveis de ambiente diretamente no comando de execução do Docker.

    • -p. (Opcional) Publica a porta do contêiner 8883 na máquina host. Esse argumento é necessário se você quiser se conectar e se comunicar pelo MQTT porque AWS IoT Greengrass usa a porta 8883 para tráfego MQTT. Para abrir outras portas, use -p argumentos adicionais.

    nota

    Para executar seu contêiner Docker com maior segurança, você pode usar os --cap-add argumentos --cap-drop e para habilitar seletivamente os recursos do Linux para seu contêiner. Para obter mais informações, consulte Privilégio de tempo de execução e recursos do Linux na documentação do Docker.

  2. Remova as credenciais ./greengrass-v2-credentials do dispositivo host.

    rm -rf ./greengrass-v2-credentials
    Importante

    Você está removendo essas credenciais porque elas fornecem amplas permissões que o dispositivo principal precisa somente durante a configuração. Se você não remover essas credenciais, os componentes do Greengrass e outros processos em execução no contêiner poderão acessá-las. Se você precisar fornecer AWS credenciais para um componente do Greengrass, use o serviço de troca de tokens. Para ter mais informações, consulte Interaja com AWS os serviços.

Docker Compose

  1. Use um editor de texto para criar um arquivo Docker Compose chamado. docker-compose.yml

    Por exemplo, em um sistema baseado em Linux, você pode executar o seguinte comando para usar o GNU nano para criar o no docker-compose.yml diretório atual.

    nano docker-compose.yml
    nota

    Você também pode baixar e usar a versão mais recente do arquivo Compose AWS fornecido em. GitHub

  2. Adicione o conteúdo a seguir ao arquivo Compose. O arquivo deve ser semelhante ao exemplo a seguir. Substitua docker-image pelo nome da sua imagem Docker. 

    version: '3.7'
 
services:
  greengrass:
    init: true
    container_name: aws-iot-greengrass
    image: docker-image
    volumes:
      - ./greengrass-v2-credentials:/root/.aws/:ro 
    env_file: .env
    ports:
      - "8883:8883"

    Os seguintes parâmetros neste exemplo de arquivo Compose são opcionais:

    • ports—Publica as portas do contêiner 8883 na máquina host. Esse parâmetro é necessário se você quiser se conectar e se comunicar pelo MQTT porque AWS IoT Greengrass usa a porta 8883 para tráfego MQTT.

    • env_file—Especifica o arquivo de ambiente para definir as variáveis de ambiente que serão passadas para o instalador do software AWS IoT Greengrass Core dentro do contêiner Docker. Esse parâmetro é necessário somente se você criou um arquivo de ambiente para definir variáveis de ambiente. Se você não criou um arquivo de ambiente, pode usar o parâmetro de ambiente para definir as variáveis diretamente no seu arquivo Compose.

    nota

    Para executar seu contêiner Docker com maior segurança, você pode usar cap_drop e cap_add em seu arquivo Compose para habilitar seletivamente os recursos do Linux para seu contêiner. Para obter mais informações, consulte Privilégio de tempo de execução e recursos do Linux na documentação do Docker.

  3. Execute o comando a seguir para iniciar o contêiner Docker.

    docker-compose -f docker-compose.yml up

  4. Remova as credenciais ./greengrass-v2-credentials do dispositivo host.

    rm -rf ./greengrass-v2-credentials
    Importante

    Você está removendo essas credenciais porque elas fornecem amplas permissões que o dispositivo principal precisa somente durante a configuração. Se você não remover essas credenciais, os componentes do Greengrass e outros processos em execução no contêiner poderão acessá-las. Se você precisar fornecer AWS credenciais para um componente do Greengrass, use o serviço de troca de tokens. Para ter mais informações, consulte Interaja com AWS os serviços.

Próximas etapas

AWS IoT GreengrassO software principal agora está sendo executado em um contêiner Docker. Execute o comando a seguir para recuperar o ID do contêiner em execução no momento.

docker ps

Em seguida, você pode executar o comando a seguir para acessar o contêiner e explorar o software AWS IoT Greengrass principal executado dentro do contêiner.

docker exec -it container-id /bin/bash

Para obter informações sobre como criar um componente simples, consulte Etapa 4: desenvolver e testar um componente em seu dispositivo em Tutorial: Conceitos básicos do AWS IoT Greengrass V2

nota

Quando você usa docker exec para executar comandos dentro do contêiner do Docker, esses comandos não são registrados nos registros do Docker. Para registrar seus comandos nos registros do Docker, anexe um shell interativo ao contêiner do Docker. Para ter mais informações, consulte Anexe um shell interativo ao contêiner Docker.

O arquivo de log AWS IoT Greengrass principal é chamado greengrass.log e está localizado em/greengrass/v2/logs. Os arquivos de log de componentes também estão localizados no mesmo diretório. Para copiar os registros do Greengrass para um diretório temporário no host, execute o seguinte comando:

docker cp container-id:/greengrass/v2/logs /tmp/logs

Se você quiser manter os registros após a saída ou remoção de um contêiner, recomendamos que você vincule e monte somente o /greengrass/v2/logs diretório no diretório de registros temporários no host, em vez de montar todo o diretório Greengrass. Para ter mais informações, consulte Persiste os registros do Greengrass fora do contêiner Docker.

Para interromper a execução de um contêiner AWS IoT Greengrass Docker, execute docker stop oudocker-compose -f docker-compose.yml stop. Essa ação é enviada SIGTERM para o processo do Greengrass e encerra todos os processos associados que foram iniciados no contêiner. O contêiner Docker é inicializado com o docker-init executável como processo PID 1, o que ajuda a remover qualquer processo zumbi restante. Para obter mais informações, consulte Especificar um processo de inicialização na documentação do Docker.

Para obter informações sobre como solucionar problemas com a execução AWS IoT Greengrass em um contêiner Docker, consulteSolução de problemas do AWS IoT Greengrass em um contêiner do Docker.