建立 Spot 機群

為 Spot 機群建立政策

1. 在以下網址開啟 IAM 主控台：https://console.aws.amazon.com/iam/。

2. 在導覽窗格中，選擇政策、建立政策。

3. 在建立政策頁面上，選擇 JSON，使用下列內容來替代其文字。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:RunInstances",
                   "ec2:CreateTags",
                   "ec2:RequestSpotFleet",
                   "ec2:ModifySpotFleetRequest",
                   "ec2:CancelSpotFleetRequests",
                   "ec2:DescribeSpotFleetRequests",
                   "ec2:DescribeSpotFleetInstances",
                   "ec2:DescribeSpotFleetRequestHistory"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::*:role/aws-ec2-spot-fleet-tagging-role"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "iam:CreateServiceLinkedRole",
                   "iam:ListRoles",
                   "iam:ListInstanceProfiles"
               ],
               "Resource": "*"
           }
       ]
   }

   上述範例政策會向使用者授予大多數 Spot Fleet 使用案例所需的許可。若要將使用者限制於特定的 API 動作，請改為僅指定這些 API 動作。

   需要的 EC2 和 IAM API

   必須在原則中包含下列 API：

   • ec2:RunInstances – 在 Spot Fleet 中啟動執行個體所需

   • ec2:CreateTags – 標記 Spot Fleet 請求、執行個體或磁碟區所需

   • iam:PassRole – 指定 Spot Fleet 角色所需

   • iam:CreateServiceLinkedRole – 建立服務連結角色所需

   • iam:ListRoles – 列舉現有 IAM 角色所需

   • iam:ListInstanceProfiles – 列舉現有執行個體描述檔所需

   重要

   如果您在啟動規格或啟動範本中為 IAM 執行個體設定檔指定角色，您必須授予使用者許可，以將角色傳遞到服務。若要執行此操作，請在 IAM 政策中包含 "arn:aws:iam::*:role/IamInstanceProfile-role"，做為 iam:PassRole 動作的資源。如需詳細資訊，請參閱《IAM 使用者指南》中的授予使用者將角色傳遞至 AWS 服務的許可。

   Spot Fleet API

   視需要將下列 Spot Fleet API 動作新增至您的政策：

   • ec2:RequestSpotFleet

   • ec2:ModifySpotFleetRequest

   • ec2:CancelSpotFleetRequests

   • ec2:DescribeSpotFleetRequests

   • ec2:DescribeSpotFleetInstances

   • ec2:DescribeSpotFleetRequestHistory

   選用的 IAM API

   (選用) 若要讓使用者能夠使用 IAM 主控台建立角色或執行個體設定檔，您必須將下列動作新增至政策中：

   • iam:AddRoleToInstanceProfile

   • iam:AttachRolePolicy

   • iam:CreateInstanceProfile

   • iam:CreateRole

   • iam:GetRole

   • iam:ListPolicies

4. 選擇檢閱政策。

5. 在 Review policy (檢閱政策) 頁面上，輸入政策名稱和說明，然後選擇 Create policy (建立政策)。

6. 若要提供存取權，請新增權限至您的使用者、群組或角色：

   • 中的使用者和群組 AWS IAM Identity Center：

     建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

   • 透過身分提供者在 IAM 中管理的使用者：

     建立聯合身分的角色。遵循「IAM 使用者指南」的為第三方身分提供者 (聯合) 建立角色中的指示。

   • IAM 使用者：

     • 建立您的使用者可擔任的角色。請按照「IAM 使用者指南」的為 IAM 使用者建立角色中的指示。

     • (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循 IAM 使用者指南的新增許可到使用者 (主控台) 中的指示。

使用主控台為 Spot 機群建立 AWSServiceRoleForEC2SpotFleet 角色

1. 在以下網址開啟 IAM 主控台：https://console.aws.amazon.com/iam/。

2. 在導覽窗格中，選擇角色。

3. 選擇 Create Role (建立角色)。

4. 在 Select trusted entity (選取信任的實體) 頁面上，執行以下作業：

   1. 針對信任的實體類型，請選擇 AWS 服務。

   2. 在使用案例下，針對服務或使用案例，選擇 EC2。

   3. 針對使用案例，請選擇 EC2 - Spot 機群。

      注意

      EC2 - Spot 機群使用案例會自動建立具有必要 IAM 許可的政策，並將 AWSEC2SpotFleetServiceRolePolicy 建議做為角色名稱。

   4. 選擇 Next (下一步)。

5. 在 Add permissions (新增許可) 頁面上，選擇 Next (下一步)。

6. 在命名、檢閱和建立頁面上，選擇建立角色。

授與 AWSServiceRoleForEC2SpotFleet 角色許可以使用 CMK

• 使用 create-grant 命令來新增授與至 CMK，並指定獲授與許可能夠執行授與所允許作業的委託人 (AWSServiceRoleForEC2SpotFleet 服務連結角色)。CMK 是透過 key-id 參數和 CMK 的 ARN 指定。委託人是透過 grantee-principal 參數和 AWSServiceRoleForEC2SpotFleet 服務連結角色的 ARN 指定。

  aws kms create-grant \
      --region us-east-1 \
      --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
      --grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2SpotFleet \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

若要建立用於標記 Spot Fleet 的 IAM 角色

1. 在以下網址開啟 IAM 主控台：https://console.aws.amazon.com/iam/。

2. 在導覽窗格中，選擇角色。

3. 選擇 Create Role (建立角色)。

4. 在 Select trusted entity (選取受信任實體) 頁面，於 Trusted entity type (受信任實體的類型) 下，選擇 AWS service ( 服務)。

5. 在使用案例下，從其他服務的使用案例 AWS 選擇 EC2，然後選擇 EC2 - Spot Fleet 標記。

6. 選擇 Next (下一步)。

7. 在 Add permissions (新增許可) 頁面上，選擇 Next (下一步)。

8. 在 Name, review, and create (名稱，檢閱和建立) 頁面上，針對 Role name (角色名稱) 輸入角色的名稱 (例如 aws-ec2-spot-fleet-tagging-role)。

9. 檢視頁面上的資訊，然後選擇 Create role (建立角色)。

將 aws:SourceArn 和 aws:SourceAccount 條件金鑰新增至 aws-ec2-spot-fleet-tagging-role 信任政策

1. 在以下網址開啟 IAM 主控台：https://console.aws.amazon.com/iam/。

2. 在導覽窗格中，選擇角色。

3. 尋找您先前建立的 aws-ec2-spot-fleet-tagging-role，並選擇連結 (而非核取方塊)。

4. 在 Summary (摘要) 下，選擇 Trust relationships (信任關係) 索引標籤，然後選擇 Edit trust policy (編輯信任政策)。

5. 在 JSON 陳述式中，加入一個 Condition 元素，其中包含 aws:SourceAccount 和 aws:SourceArn 全域條件內容金鑰來防止混淆代理問題，如下所式：

   "Condition": {
         "ArnLike": {
           "aws:SourceArn": "arn:aws:ec2:us-east-1:account_id:spot-fleet-request/sfr-*"
         },
         "StringEquals": {
           "aws:SourceAccount": "account_id"
         }

   注意

   如果 aws:SourceArn 值包含帳戶 ID，且同時使用這兩個全域條件內容金鑰，則在相同政策陳述式中使用 aws:SourceAccount 值和 aws:SourceArn 值中的帳戶時，必須使用相同的帳戶 ID。

   最終信任政策如下所示：

   {
     "Version": "2012-10-17",
     "Statement": {
       "Sid": "ConfusedDeputyPreventionExamplePolicy",
       "Effect": "Allow",
       "Principal": {
         "Service": "spotfleet.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
         "ArnLike": {
           "aws:SourceArn": "arn:aws:ec2:us-east-1:account_id:spot-fleet-request/sfr-*"
         },
         "StringEquals": {
           "aws:SourceAccount": "account_id"
         }
       }
     }
   }

6. 選擇更新政策。

若要使用建議的設定建立 Spot Fleet 請求 (主控台)

1. 在 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

2. 在瀏覽窗格中，選擇 Spot 請求。

3. 如果您是第一次使用 Spot，將會顯示歡迎頁面；請選擇開始使用。否則，請選擇請求競價型執行個體。

4. 在 Launch parameters (啟動參數) 下，選擇 Manually configure launch parameters (手動設定啟動參數)。

5. 對於 AMI，選擇 AMI。

6. 在 Target capacity (目標容量) 下， 針對 Total target capacity (總目標容量)，指定要請求的單位數目。對於單位類型，您可以選擇執行個體、vCPU 或記憶體 (GiB)。

7. 對於 Your fleet request at a glance (您的機群請求一覽)，檢閱您的機群組態，然後選擇 Launch (啟動)。

若要使用已定義的參數建立 Spot Fleet 請求 (主控台)

1. 在 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

2. 在瀏覽窗格中，選擇 Spot 請求。

3. 如果您是第一次使用 Spot，將會顯示歡迎頁面；請選擇開始使用。否則，請選擇請求競價型執行個體。

4. 對於啟動參數，您可以手動設定啟動參數，也可以使用啟動範本，如下所示：

   1. [手動設定] 若要在 Amazon EC2 主控台中定義啟動參數，請選擇手動設定啟動參數，然後執行下列動作：

      1. 對於 AMI，請選擇 提供的基本 AMIs AWS，或選擇搜尋 AMI，以使用來自我們使用者社群 AWS Marketplace、 或您自己的 AMI。

         注意

         如果取消註冊或停用啟動參數中指定的 AMI，則無法從 AMI 啟動新的執行個體。對於設定為維持目標容量的機群，將不會維持目標容量。

      2. (選用) 針對金鑰對名稱，選擇現有的金鑰對或建立新的金鑰對。

         [現有的金鑰對] 選擇金鑰對。

         [新的金鑰對] 選擇建立新的金鑰對，以前往金鑰對頁面。當您完成時，請返回 Spot Requests (Spot 請求) 頁面並重新整理清單。

      3. (選用) 展開 Additional launch parameters (其他啟動參數)，並執行下列動作：

         1. (選用) 若要啟用 Amazon EBS 最佳化，請針對 EBS-optimized (EBS 最佳化)，選取 Launch EBS-optimized instances (啟動 EBS 最佳化的執行個體)。

         2. (選用) 若要新增執行個體的暫時區塊層級儲存，請針對執行個體存放區，選擇連接啟動。

         3. (選用) 若要新增儲存空間，請選擇 Add new volume (新增磁碟區)，並指定其他的執行個體存放區磁碟區或 Amazon EBS 磁碟區，取決於執行個體類型。

         4. (選用) 執行個體預設為啟用基本監控。若要啟用詳細的監控，請針對 Monitoring (監控)，選取 Enable CloudWatch detailed monitoring (啟用 CloudWatch 詳細監控)。

         5. (選用) 若要執行專用 Spot 執行個體，對於租用，請選擇 Dedicated - run a dedicated instance (專用 - 執行專用執行個體)。

         6. (選用) 針對安全群組，選擇一或多個安全群組或建立新的安全群組。

            [現有的安全群組] 選擇一或多個安全群組。

            [新的安全群組] 選擇 Create new security group (建立新安全群組) 以前往 Security Groups (安全群組) 頁面。當您完成時，請返回 Spot Requests (Spot 請求) 並重新整理清單。

         7. (選用) 若要從網際網路連線到您的執行個體，請針對自動指派 IPv4 公有 IP，選擇啟用。

         8. (選用) 若要啟動包含 IAM 角色的 競價型執行個體，請針對 IAM 執行個體描述檔，選擇該角色。

         9. (選用) 若要執行啟動指令碼，請將指令碼複製到使用者資料。

         10. (選用) 若要新增標籤，請選擇 Create tag (建立標籤) 並輸入標籤的鍵和值，然後選擇 Create (建立)。針對每個標籤，重複執行上述動作。

             對於每個標籤，若要使用相同標籤標記執行個體和 Spot Fleet 請求，請確定同時選取 Instances (執行個體) 和 Fleet (機群)。若只要標記由機群啟動的執行個體，請清除 Fleet (機群)。若只要標記 Spot Fleet 請求，請清除 Instances (執行個體)。

   2. [啟動範本] 若要使用您在啟動範本中建立的組態，請選擇使用啟動範本，對於啟動範本，請選擇一個啟動範本。

      注意

      如果您想要 Spot 機群中的隨需容量，則必須指定啟動範本。

5. 針對其他請求詳細資訊，執行下列操作：

   1. 檢閱其他的請求詳細資訊。若要進行變更，請清除套用預設值。

   2. (選用) 針對 IAM 叢集角色，您可使用預設角色或選擇不同的角色。若要在變更角色後使用預設角色，請選擇使用預設角色。

   3. (選用) 若要建立僅在特定期間內有效的請求，請編輯請求有效性起始日期和請求有效性結束日期。

   4. (選用) 根據預設，當 Spot 機群請求過期時，Amazon EC2 會終止您的 Spot 執行個體。若要在請求過期後繼續執行這些執行個體，請清除在請求過期時終止執行個體。

   5. (選用) 若要登錄 競價型執行個體與負載平衡器，請選擇從一個或多個負載平衡器接收流量，然後選擇一個或多個 Classic Load Balancer 或目標群組。

6. 針對 Target capacity (目標容量)，執行下列動作：

   1. 針對 Total target capacity (總目標容量)，指定目標容量要請求的單位數目。對於單位類型，您可以選擇 Instances (執行個體)、vCPUs, 或 Memory (MiB) (記憶體 (MiB))。若要指定目標容量為 0，以便稍後可新增容量，您必須先選取維持目標容量。

   2. (選用) 針對 Include On-Demand base capacity (包含隨需基礎容量)，指定要請求的隨需單位數量。數量必須小於總目標容量。Amazon EC2 會計算差額，並將差額分配給要請求的 Spot 單位。

      重要

      若要指定選用的隨需容量，您必須先選擇啟動範本。

   3. (選用) Amazon EC2 預設會在 Spot 執行個體中斷時終止。若要維持目標容量，請選取維持目標容量。然後您就可以在 Spot 執行個體中斷時，指定 Amazon EC2 終止、停止或休眠。若要這麼做，請在中斷行為中選擇對應的選項。

      注意

      如果取消註冊或停用啟動參數中指定的 AMI，則無法從 AMI 啟動新的執行個體。在此情況下，對於設定為維持目標容量的機群，將不會維持目標容量。

   4. (選用) 若要允許 Spot Fleet 在機群中為現有的 Spot 執行個體發出執行個體重新平衡通知時啟動替代 Spot 執行個體，請選取 Capacity rebalance (容量重新平衡)，然後選擇執行個體取代策略。如果選擇終止前啟動，請指定 Amazon EC2 終止舊執行個體之前的延遲 (以秒為單位)。如需詳細資訊，請參閱在 EC2 機群和 Spot 機群中使用容量重新平衡，來取代具有風險的 Spot 執行個體。

   5. (選用) 若要控制您為了在機群中所有的 Spot 執行個體所支付的每小時金額，請選取 Set maximum cost for Spot Instances (設定 Spot 執行個體的最大成本)，然後輸入您願意支付的每小時金額上限。達到總額上限時，Spot Fleet 會停止啟動 Spot 執行個體，即使它未符合目標容量亦然。如需詳細資訊，請參閱設定 EC2 機群或 Spot 機群的花費限制。

7. 針對 Network (網路)，請執行下列動作：

   1. 針對網路，選擇現有的 VPC 或建立新的 VPC。

      [現有的 VPC] 選擇 VPC。

      [新的 VPC] 選擇建立新的 VPC 以進入 Amazon VPC 主控台。當您完成時，請返回此畫面，並重新整理清單。

   2. (選用) 對於可用區域，讓 Amazon EC2 為您的 Spot 執行個體選擇可用區域，或指定一個或多個可用區域。

      如果您在可用區域中擁有一或多個子網，請從子網選擇適當的子網。若要新增子網，請選擇建立新的子網，以進入 Amazon VPC 主控台。當您完成時，請返回此畫面，並重新整理清單。

8. 針對 Instance type requirements (執行個體類型需求)，您可以指定執行個體屬性，並讓 Amazon EC2 利用這些屬性識別最的執行個體類型，或者您可以指定執行個體清單。如需詳細資訊，請參閱指定屬性，為 EC2 機群或 Spot 機群選取執行個體類型。

   1. 如果選擇 Specify instance attributes that match your compute requirements (指定符合運算需求的執行個體屬性)，請指定您的執行個體屬性，如下所示：

      1. 對於 vCPUs，輸入所需的 vCPU 數量下限和上限。若要指定無限制，請選取無下限和/或無上限。

      2. 對於 Memory (GiB) (記憶體 (GiB))，輸入所需記憶體數量的下限和上限。若要指定無限制，請選取無下限和/或無上限。

      3. (選用) 對於其他執行個體屬性，您可以選擇性地指定一或多個屬性，以更詳細地表達您的運算需求。每個額外屬性都會將進一步的限制新增至您的請求。您可以省略額外屬性；省略時，就會使用預設值。如需每個屬性及其預設值的說明，請參閱 get-spot-placement-scores。

      4. (選用) 若要檢視具有所指定屬性的執行個體類型，請展開 Preview matching instance types (預覽相符的執行個體類型)。若要排除執行個體類型，使其不在請求中使用，請選取執行個體，然後選擇 Exclude selected instance types (排除選取的執行個體類型)。

   2. 如果選擇 Manually select instance types (手動選取執行個體類型)，Spot Fleet 會提供預設的執行個體類型清單。若要選取更多執行個體類型，請選擇 Add instance types (新增執行個體類型)、選取要在請求中使用的執行個體類型，然後選擇 Select (選取)。若要刪除執行個體類型，請選取執行個體類型並選擇 Delete (刪除)。

9. 對於配置策略，選擇符合您需求的 Spot 配置策略和隨需配置策略。如需詳細資訊，請參閱使用配置策略來判斷 EC2 機群或 Spot 機群如何達成 Spot 和隨需容量。

10. 針對 Your fleet request at a glance (您的機群請求一覽)，檢閱您的機群配置，並視需要進行任何調整。

11. (選用) 若要下載啟動組態的複本，以搭配 AWS CLI使用，請選擇 JSON 組態。

12. 當您準備好啟動 Spot 機群時，選擇啟動。

    Spot 機群請求類型為 fleet。請求處理完成時，會新增類型為 instance 的請求，其狀態為 active 和 fulfilled。