Simplificación de la autenticación de aplicaciones con TLS mutuo en Amazon ECS mediante el equilibrador de carga de aplicación - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaTools (Herramientas)Prácticas recomendadasEpicsRecursos relacionadosInformación adicional

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Simplificación de la autenticación de aplicaciones con TLS mutuo en Amazon ECS mediante el equilibrador de carga de aplicación

Olawale Olaleye y Shamanth Devagari, Amazon Web Services

Resumen

Este patrón le permite simplificar la autenticación de sus aplicaciones y a reducir las cargas de seguridad con el TLS mutuo en Amazon Elastic Container Service (Amazon ECS) mediante el equilibrador de carga de aplicación (ALB). Con ALB, puede autenticar los certificados de cliente X.509 desde. AWS Private Certificate Authority Esta eficiente combinación ayuda a lograr una comunicación segura entre sus servicios, lo que reduce la necesidad de mecanismos de autenticación complejos en las aplicaciones. Además, el patrón utiliza Amazon Elastic Container Registry (Amazon ECR) para almacenar imágenes de contenedor.

En el ejemplo de este patrón se utilizan imágenes de Docker de una galería pública para crear las cargas de trabajo de muestra desde un inicio. Posteriormente, se crean nuevas imágenes de Docker para almacenarlas en Amazon ECR. Para la fuente, considere un sistema basado en Git como GitHub GitLab, o Bitbucket, o utilice Amazon Simple Storage Service Amazon S3 (Amazon S3). Para crear las imágenes de Docker, considere utilizarlas AWS CodeBuild para las imágenes siguientes.

Requisitos previos y limitaciones

Requisitos previos 

  • Un activo Cuenta de AWS con acceso a las pilas de despliegue AWS CloudFormation . Asegúrese de tener permisos de usuario o rol AWS Identity and Access Management (de IAM) para realizar la implementación. CloudFormation

  • AWS Command Line Interface (AWS CLI) instalado. Configure sus AWS credenciales en su máquina local o en su entorno utilizando AWS CLI o configurando las variables de entorno del ~/.aws/credentials archivo.

  • OpenSSL instalado.

  • Docker instalado.

  • Familiaridad con lo Servicios de AWS descrito en Herramientas.

  • Conocimientos de Docker y NGINX.

Limitaciones

  • La TLS mutua para el equilibrador de carga de aplicación solo admite certificados de cliente X.509v3. No se admiten los certificados de cliente X.509v1.

  • La CloudFormation plantilla que se proporciona en el repositorio de código de este patrón no incluye el aprovisionamiento de un CodeBuild proyecto como parte de la pila.

  • Algunas Servicios de AWS no están disponibles en todos Regiones de AWS. Para obtener información sobre la disponibilidad en regiones, consulte AWS Services by Region. Para ver los puntos de conexión específicos, consulte Service endpoints and quotas y elija el enlace del servicio.

Versiones de producto

  • La versión 27.3.1 o posterior de Docker

  • AWS CLI versión 2.14.5 o posterior

Arquitectura

En el diagrama siguiente se muestran los componentes de la arquitectura de este patrón.

Flujo de trabajo para autenticarse con la TLS mutua mediante el equilibrador de carga de aplicación.

En el diagrama, se muestra el siguiente flujo de trabajo:

  1. Cree un repositorio de Git y confirme el código de la aplicación en el repositorio.

  2. Cree una autoridad de certificación (CA) privada en. AWS Private CA

  3. Cree un CodeBuild proyecto. CodeBuildproject Se activa mediante cambios de confirmación y crea la imagen de Docker y publica la imagen creada en Amazon ECR.

  4. Copie la cadena del certificado y el cuerpo del certificado de la autoridad de certificación y cargue la agrupación de certificados en Amazon S3.

  5. Cree un almacén de confianza con la agrupación de CA que cargó en Amazon S3. Asocie el almacén de confianza a los oyentes de la TLS mutua del equilibrador de carga de aplicación (ALB).

  6. Utilice la CA privada para emitir certificados de cliente para las cargas de trabajo del contenedor. Cree también un certificado TLS privado utilizando. AWS Private CA

  7. Importe el certificado TLS privado a AWS Certificate Manager (ACM) y utilícelo con el ALB.

  8. La carga de trabajo del contenedor en ServiceTwo utiliza el certificado de cliente emitido para autenticarse con el equilibrador de carga de aplicación cuando se comunica con la carga de trabajo del contenedor en ServiceOne.

  9. La carga de trabajo del contenedor en ServiceOne utiliza el certificado de cliente emitido para autenticarse con el equilibrador de carga de aplicación cuando se comunica con la carga de trabajo del contenedor en ServiceTwo.

Automatización y escala

Este patrón se puede automatizar por completo mediante el uso CloudFormation de operaciones de API desde un SDK para aprovisionar los recursos. AWS Cloud Development Kit (AWS CDK) AWS

Se puede utilizar AWS CodePipeline para implementar una canalización de integración e implementación continuas (CI/CD) CodeBuild para automatizar el proceso de creación de imágenes de contenedores y la implementación de nuevas versiones en los servicios de clúster de Amazon ECS.

Tools (Herramientas)

Servicios de AWS

  • AWS Certificate Manager (ACM) le ayuda a crear, almacenar y renovar claves y certificados SSL/TLS X.509 públicos y privados que protegen sus AWS sitios web y aplicaciones.

  • AWS CloudFormationle ayuda a configurar AWS los recursos, aprovisionarlos de forma rápida y coherente y gestionarlos a lo largo de su ciclo de vida en todo el territorio y. Cuentas de AWS Regiones de AWS

  • AWS CodeBuild es un servicio de compilación completamente administrado que le permite compilar código fuente, poner en marcha pruebas unitarias y producir artefactos listos para implementar.

  • Amazon Elastic Container Registry (Amazon ECR) es un servicio de registro de imágenes de contenedor administrado que es seguro, escalable y fiable.

  • Amazon Elastic Container Service (Amazon ECS) es un servicio de administración de contenedores altamente escalable y rápido que permite ejecutar, detener y administrar contenedores en un clúster. Puede ejecutar sus tareas y servicios en una infraestructura sin servidores gestionada por AWS Fargate. Como alternativa, para tener más control sobre su infraestructura, puede ejecutar sus tareas y servicios en un clúster de instancias de Amazon Elastic Compute Cloud (Amazon EC2) que administre.

  • Amazon ECS Exec le permite interactuar de manera directa con los contenedores sin necesidad de interactuar primero con el sistema operativo del contenedor host, abrir puertos entrantes o administrar claves SSH. Puedes usar ECS Exec para ejecutar comandos u obtener un shell para un contenedor que se ejecute en una EC2 instancia de Amazon o en AWS Fargateél.

  • Elastic Load Balancing (ELB) distribuye el tráfico entrante de aplicaciones o redes entre varios destinos. Por ejemplo, puede distribuir el tráfico entre EC2 instancias, contenedores y direcciones IP de Amazon, en una o más zonas de disponibilidad. ELB supervisa el estado de los destinos registrados y enruta el tráfico solo a los destinos con un estado correcto. ELB escala el equilibrador de carga a medida que el tráfico entrante va cambiando con el tiempo. Puede escalarse automáticamente para adaptarse a la mayoría de las cargas de trabajo.

  • AWS Fargatele ayuda a ejecutar contenedores sin necesidad de gestionar servidores o EC2 instancias de Amazon. Fargate es compatible tanto con Amazon ECS como con Amazon Elastic Kubernetes Service (Amazon EKS). Puede ejecutar las tareas y servicios de Amazon ECS con el tipo de lanzamiento de Fargate o con un proveedor de capacidad de Fargate. Todo lo que tiene que hacer es empaquetar su aplicación en contenedores, especificar los requisitos de CPU y de memoria, definir las políticas de IAM y de redes, y lanzar la aplicación. Cada tarea de Fargate tiene su propio límite de aislamiento y no comparte el kernel subyacente, los recursos de CPU, los recursos de memoria ni la interfaz de red elástica con otra tarea.

  • AWS Private Certificate Authoritypermite la creación de jerarquías de autoridades de certificación (CA) privadas, incluidas las principales y las subordinadas CAs, sin los costes de inversión y mantenimiento que implica operar una CA local.

Otras herramientas

  • Docker es un conjunto de productos de plataforma como servicio (PaaS) que utiliza la virtualización a nivel del sistema operativo para entregar software en contenedores.

  • GitHubGitLab, y Bitbucket son algunos de los sistemas de control de código fuente basados en Git más utilizados para realizar un seguimiento de los cambios en el código fuente.

  • NGINX Open Source es un equilibrador de carga, caché de contenido y servidor web de código abierto. Este patrón lo utiliza como servidor web.

  • OpenSSL es una biblioteca de código abierto que proporciona servicios que utilizan las implementaciones OpenSSL de TLS y CMS.

Repositorio de código

El código de este patrón está disponible en el repositorio GitHub MTLS-with-Application-Load-Balancer-in-Amazon-ECS.

Prácticas recomendadas

  • Utilice Amazon ECS Exec para ejecutar comandos en un contenedor u obtener un intérprete de comandos en un contenedor que se ejecute en Fargate. Puede también utilizar ECS Exec como ayuda para recopilar información de diagnóstico para la depuración.

  • Utilice grupos de seguridad y listas de control de acceso a la red () para controlar el tráfico entrante y saliente entre los servicios. ACLs Las tareas de Fargate reciben una dirección IP de la subred configurada en la nube privada virtual (VPC).

Epics

TareaDescripciónHabilidades requeridas

Descargue el código fuente.

Para descargar el código fuente de este patrón, bifurque o clone el repositorio GitHub MTLS-with-Application-Load-Balancer-in-Amazon-ECS.

DevOps ingeniero

Cree un repositorio de Git.

Para crear un repositorio de Git que contenga el Dockerfile y los archivos buildspec.yaml, haga lo siguiente:

  1. Cree una carpeta en su entorno virtual. Póngale el nombre del proyecto.

  2. Abra un terminal en la máquina local y vaya a la carpeta.

  3. Para clonar el repositorio MTLS-with-Application-Load-Balancer-in-Amazon-ECS en el directorio de su proyecto, introduzca el comando siguiente:

git clone https://github.com/aws-samples/mTLS-with-Application-Load-Balancer-in-Amazon-ECS.git

DevOps ingeniero
TareaDescripciónHabilidades requeridas

Cree una CA privada en AWS Private CA.

Para crear una autoridad de certificación (CA) privada, ejecute los siguientes comandos en su terminal. Sustituya los valores de las variables de ejemplo por sus propios valores. 

export AWS_DEFAULT_REGION="us-west-2"
export SERVICES_DOMAIN="www.example.com"

export ROOT_CA_ARN=`aws acm-pca create-certificate-authority \
    --certificate-authority-type ROOT \
    --certificate-authority-configuration \
    "KeyAlgorithm=RSA_2048,
    SigningAlgorithm=SHA256WITHRSA,
    Subject={
        Country=US,
        State=WA,
        Locality=Seattle,
        Organization=Build on AWS,
        OrganizationalUnit=mTLS Amazon ECS and ALB Example,
        CommonName=${SERVICES_DOMAIN}}" \
        --query CertificateAuthorityArn --output text`

Para obtener más información, consulte Crear una CA privada AWS Private CA en la AWS documentación.

DevOps ingeniero, AWS DevOps

Cree e instale su certificado CA privado.

Para crear e instalar un certificado para su CA raíz privada, ejecute los comandos siguientes en su terminal:

  1. Genere una solicitud de firma de certificado (CSR).

    ROOT_CA_CSR=`aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Csr --output text`

  2. Emita el certificado raíz.

    AWS_CLI_VERSION=$(aws --version 2>&1 | cut -d/ -f2 | cut -d. -f1)
[[ ${AWS_CLI_VERSION} -gt 1 ]] && ROOT_CA_CSR="$(echo ${ROOT_CA_CSR} | base64)"

ROOT_CA_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
    --signing-algorithm SHA256WITHRSA \
    --validity Value=10,Type=YEARS \
    --csr "${ROOT_CA_CSR}" \
    --query CertificateArn --output text`

  3. Recupere el certificado de raíz.

    ROOT_CA_CERT=`aws acm-pca get-certificate \
    --certificate-arn ${ROOT_CA_CERT_ARN} \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Certificate --output text`

# store for later use
aws acm-pca get-certificate \
    --certificate-arn ${ROOT_CA_CERT_ARN} \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Certificate --output text > ca-cert.pem

  4. Importe el certificado de CA raíz para instalarlo en la CA.

    [[ ${AWS_CLI_VERSION} -gt 1 ]] && ROOT_CA_CERT="$(echo ${ROOT_CA_CERT} | base64)"

aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $ROOT_CA_ARN \
    --certificate "${ROOT_CA_CERT}"

    Para obtener más información, consulte Instalación del certificado de CA en la AWS documentación.

AWS DevOps, DevOps ingeniero

Solicite un certificado administrado.

Para solicitar un certificado privado AWS Certificate Manager para usarlo con su ALB privado, utilice el siguiente comando:

export TLS_CERTIFICATE_ARN=`aws acm request-certificate \
    --domain-name "*.${DOMAIN_DOMAIN}" \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query CertificateArn --output text`
DevOps ingeniero, AWS DevOps

Utilice la CA privada para emitir un certificado de cliente.

  • Para crear una solicitud de firma de certificado (CSR) para los dos servicios, utilice el siguiente AWS CLI comando:

openssl req -out client_csr1.pem -new -newkey rsa:2048 -nodes -keyout client_private-key1.pem

openssl req -out client_csr2.pem -new -newkey rsa:2048 -nodes -keyout client_private-key2.pem

Este comando devuelve la CSR y la clave privada de los dos servicios.

  • Para emitir un certificado para los servicios, ejecute los comandos siguientes para utilizar la CA privada que creó:

SERVICE_ONE_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --csr fileb://client_csr1.pem \
    --signing-algorithm "SHA256WITHRSA" \
    --validity Value=5,Type="YEARS" --query CertificateArn --output text` 

echo "SERVICE_ONE_CERT_ARN: ${SERVICE_ONE_CERT_ARN}"

aws acm-pca get-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --certificate-arn ${SERVICE_ONE_CERT_ARN} \
     | jq -r '.Certificate' > client_cert1.cert

SERVICE_TWO_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --csr fileb://client_csr2.pem \
    --signing-algorithm "SHA256WITHRSA" \
    --validity Value=5,Type="YEARS" --query CertificateArn --output text` 

echo "SERVICE_TWO_CERT_ARN: ${SERVICE_TWO_CERT_ARN}"

aws acm-pca get-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --certificate-arn ${SERVICE_TWO_CERT_ARN} \
     | jq -r '.Certificate' > client_cert2.cert

Para obtener más información, consulte Emitir certificados de entidades finales privadas en la AWS documentación.

DevOps ingeniero, AWS DevOps
TareaDescripciónHabilidades requeridas

Servicios de AWS Aprovisione con la CloudFormation plantilla.

Para aprovisionar la nube privada virtual (VPC), el clúster de Amazon ECS, los servicios de Amazon ECS, Application Load Balancer y Amazon Elastic Container Registry (Amazon ECR), utilice la plantilla. CloudFormation

DevOps ingeniero

Obtenga las variables.

Verifique que tiene un clúster de Amazon ECS con dos servicios en ejecución. Para recuperar los detalles del recurso y almacenarlos como variables, utilice los comandos siguientes:


export LoadBalancerDNS=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`LoadBalancerDNS`].OutputValue')

export ECRRepositoryUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryUri`].OutputValue')

export ECRRepositoryServiceOneUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceOneUri`].OutputValue')

export ECRRepositoryServiceTwoUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceTwoUri`].OutputValue')

export ClusterName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ClusterName`].OutputValue')

export BucketName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`BucketName`].OutputValue')

export Service1ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`Service1ListenerArn`].OutputValue')

export Service2ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`Service2ListenerArn`].OutputValue')
DevOps ingeniero

Crea un CodeBuild proyecto.

Para usar un CodeBuild proyecto para crear las imágenes de Docker para sus servicios de Amazon ECS, haga lo siguiente:

  1. Inicie sesión en y abra Consola de administración de AWS la CodeBuild consola en https://console.aws.amazon.com/codesuite/codebuild/.

  2. Cree un nuevo proyecto de . En Origen, elija el repositorio de Git que creó. Para obtener información sobre los distintos tipos de integración de repositorios de Git, consulta Cómo trabajar con conexiones en la AWS documentación.

  3. Confirme que el modo con privilegios esté habilitado. Este modo es necesario para crear imágenes de Docker. De lo contrario, la imagen no se compilará correctamente.

  4. Utilice el archivo personalizado buildspec.yaml que se comparte para cada servicio.

  5. Proporcione valores para el nombre y la descripción del proyecto.

Para obtener más información, consulta Cómo crear un proyecto de compilación AWS CodeBuild en la AWS documentación.

AWS DevOps, DevOps ingeniero

Cree las imágenes de Docker.

Se puede utilizar CodeBuild para realizar el proceso de creación de imágenes. CodeBuild necesita permisos para interactuar con Amazon ECR y trabajar con Amazon S3.

Como parte del proceso, la imagen de Docker se compila y envía al registro de Amazon ECR. Para obtener información sobre la plantilla y el código, consulte Información adicional.

(Opcional) Para compilar localmente con fines de prueba, utilice el siguiente comando:

# login to ECR
aws ecr get-login-password | docker login --username AWS --password-stdin $ECRRepositoryUri

# build image for service one
cd /service1
aws s3 cp s3://$BucketName/serviceone/ service1/ --recursive
docker build -t $ECRRepositoryServiceOneUri .
docker push $ECRRepositoryServiceOneUri

# build image for service two
cd ../service2
aws s3 cp s3://$BucketName/servicetwo/ service2/ --recursive
docker build -t $ECRRepositoryServiceTwoUri .
docker push $ECRRepositoryServiceTwoUri
DevOps ingeniero
TareaDescripciónHabilidades requeridas

Cargue el certificado CA en Amazon S3.

Para cargar el certificado CA en el bucket de Amazon S3, utilice el comando de ejemplo siguiente:

aws s3 cp ca-cert.pem s3://$BucketName/acm-trust-store/

AWS DevOps, DevOps ingeniero

Cree un almacén de confianza.

Para crear el almacén de confianza, utilice el comando de ejemplo siguiente:

TrustStoreArn=`aws elbv2 create-trust-store --name acm-pca-trust-certs \
    --ca-certificates-bundle-s3-bucket $BucketName \
    --ca-certificates-bundle-s3-key acm-trust-store/ca-cert.pem --query 'TrustStores[].TrustStoreArn' --output text`
AWS DevOps, DevOps ingeniero

Cargue los certificados de cliente.

Para cargar los certificados de cliente en Amazon S3 para las imágenes de Docker, utilice el comando de ejemplo siguiente:

# for service one
aws s3 cp client_cert1.cert s3://$BucketName/serviceone/
aws s3 cp client_private-key1.pem s3://$BucketName/serviceone/

# for service two
aws s3 cp client_cert2.cert s3://$BucketName/servicetwo/
aws s3 cp client_private-key2.pem s3://$BucketName/servicetwo/
AWS DevOps, DevOps ingeniero

Modifique el oyente.

Para habilitar el TLS mutuo en el ALB, modifique los oyentes HTTPS con los comandos siguientes:

aws elbv2 modify-listener \
    --listener-arn $Service1ListenerArn \
    --certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \
    --ssl-policy ELBSecurityPolicy-2016-08 \
    --protocol HTTPS \
    --port 8080 \
    --mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false

aws elbv2 modify-listener \
    --listener-arn $Service2ListenerArn \
    --certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \
    --ssl-policy ELBSecurityPolicy-2016-08 \
    --protocol HTTPS \
    --port 8090 \
    --mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false

Para obtener más información, consulte Configuración del TLS mutuo en un Application Load Balancer en AWS la documentación.

AWS DevOps, DevOps ingeniero
TareaDescripciónHabilidades requeridas

Actualice la definición de tareas de Amazon ECS.

Para actualizar la definición de tareas de Amazon ECS, modifique el parámetro image en la revisión nueva.

Para obtener los valores de los servicios respectivos, actualice las definiciones de tareas con la nueva URI de imágenes de Docker que creó en los pasos anteriores: echo $ECRRepositoryServiceOneUri o echo $ECRRepositoryServiceTwoUri


    "containerDefinitions": [
        {
            "name": "nginx",
            "image": "public.ecr.aws/nginx/nginx:latest",   # <----- change to new Uri
            "cpu": 0,

Para obtener más información, consulte Actualización de una definición de tarea de Amazon ECS mediante la consola en la AWS documentación.

AWS DevOps, DevOps ingeniero

Actualice el servicio Amazon ECS.

Actualice el servicio con la última definición de tareas. Esta definición de tareas es el esquema de las imágenes de Docker recién creadas y contiene el certificado de cliente que se requiere para la autenticación de TLS mutua.

Para actualizar el servicio, proceda de la manera siguiente:

  1. Abra la consola Amazon ECS en la https://console.aws.amazon.com/ecs/versión 2.

  2. En la página Clusters (Clústeres), elija el clúster.

  3. En la página de detalles del clúster, en la sección Servicios, seleccione la casilla situada junto al servicio y, a continuación, elija Actualizar.

  4. Para que su servicio inicie una nueva implementación, seleccione Force new deployment (Forzar una nueva implementación).

  5. En Definición de tareas, elija la familia y la última revisión de definiciones de tareas.

  6. Elija Actualizar.

Repita los pasos para el otro servicio.

Administrador de AWS DevOps, DevOps ingeniero de AWS
TareaDescripciónHabilidades requeridas

Copie la URL de la aplicación.

Utilice la consola de Amazon ECS para ver la tarea. Cuando el estado de la tarea se haya actualizado a En ejecución, seleccione la tarea. En la sección Tarea, copie el ID de la tarea.

Administrador de AWS, AWS DevOps

Pruebe su aplicación.

Para probar la aplicación, utilice ECS Exec para acceder a las tareas.

  1. Para el servicio uno, utilice el comando siguiente:

    container="nginx"

ECS_EXEC_TASK_ARN="<TASK ARN>"
aws ecs execute-command --cluster $ClusterName \
    --task $ECS_EXEC_TASK_ARN \
    --container $container \
    --interactive \
    --command "/bin/bash"

  2. En el contenedor de la tarea del servicio uno, utilice el comando siguiente para introducir el equilibrador de carga interno url y el puerto del oyente que apunta al servicio dos. A continuación, especifique la ruta al certificado del cliente para probar la aplicación:

    curl -kvs https://<internal-alb-url>:8090 --key /usr/local/share/ca-certificates/client.key --cert /usr/local/share/ca-certificates/client.crt

  3. En el contenedor de la tarea del servicio dos, utilice el comando siguiente para introducir el equilibrador de carga interno url y el puerto del oyente que apunta al servicio uno. A continuación, especifique la ruta al certificado del cliente para probar la aplicación:

    curl -kvs https://<internal-alb-url>:8080 --key /usr/local/share/ca-certificates/client.key --cert /usr/local/share/ca-certificates/client.crt
    nota

    El indicador -k de los comandos curl (como parte de -kvs) inhabilita la validación del certificado SSL. Puede eliminar este indicador cuando utilice un certificado SSL que coincida con el nombre de su dominio, lo que permitirá una validación adecuada del certificado.

Administrador de AWS, AWS DevOps

Recursos relacionados

Documentación de Amazon ECS

Otros AWS recursos

Información adicional

Edición del Dockerfile

El siguiente código muestra los comandos que edita en el Dockerfile para el servicio 1:

FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 1: Ok" > /usr/share/nginx/html/index.html
ADD client_cert1.cert client_private-key1.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/

El siguiente código muestra los comandos que edita en el Dockerfile para el servicio 2:

FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 2: Ok" > /usr/share/nginx/html/index.html
ADD client_cert2.cert client_private-key2.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/

Si está creando las imágenes de Docker CodeBuild, el buildspec archivo utiliza el número de CodeBuild compilación para identificar de forma exclusiva las versiones de las imágenes como un valor de etiqueta. Puede cambiar el archivo buildspec para adaptarlo a sus necesidades, como se muestra en el código personalizado buildspec : 

version: 0.2

phases:
  pre_build:
    commands:
      - echo Logging in to Amazon ECR...
      - aws ecr get-login-password --region $AWS_DEFAULT_REGION | docker login --username AWS --password-stdin $ECR_REPOSITORY_URI
      - COMMIT_HASH=$(echo $CODEBUILD_RESOLVED_SOURCE_VERSION | cut -c 1-7)
      - IMAGE_TAG=${COMMIT_HASH:=latest}
  build:
    commands:
        # change the S3 path depending on the service
      - aws s3 cp s3://$YOUR_S3_BUCKET_NAME/serviceone/ $CodeBuild_SRC_DIR/ --recursive 
      - echo Build started on `date`
      - echo Building the Docker image...
      - docker build -t $ECR_REPOSITORY_URI:latest .
      - docker tag $ECR_REPOSITORY_URI:latest $ECR_REPOSITORY_URI:$IMAGE_TAG
  post_build:
    commands:
      - echo Build completed on `date`
      - echo Pushing the Docker images...
      - docker push $ECR_REPOSITORY_URI:latest
      - docker push $ECR_REPOSITORY_URI:$IMAGE_TAG
      - echo Writing image definitions file...
      # for ECS deployment reference
      - printf '[{"name":"%s","imageUri":"%s"}]' $CONTAINER_NAME $ECR_REPOSITORY_URI:$IMAGE_TAG > imagedefinitions.json   

artifacts:
  files:
    - imagedefinitions.json