Découvrez comment configurer FSx les systèmes de fichiers Windows File Server pour Amazon ECS - Amazon Elastic Container Service
Prérequis pour le didacticielÉtape 1 : Créer des rôles IAM d'accèsÉtape 2 : Créer un Active Directory (AD) WindowsÉtape 3 : Vérifier et mettre à jour votre groupe de sécuritéÉtape 4 : Création d'un système de fichiers FSx pour Windows File ServerÉtape 5 : créer un cluster Amazon ECSÉtape 6 : créer une EC2 instance Amazon optimisée pour Amazon ECSÉtape 7 : Enregistrement d'une définition de tâche WindowsÉtape 8 : Exécuter une tâche et afficher les résultatsÉtape 9 : nettoyer

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Découvrez comment configurer FSx les systèmes de fichiers Windows File Server pour Amazon ECS

Découvrez comment lancer une instance Windows optimisée pour Amazon ECS qui héberge un système de fichiers FSx pour Windows File Server et des conteneurs pouvant accéder au système de fichiers. Pour ce faire, vous devez d'abord créer un Microsoft Active Directory AWS Directory Service AWS géré. Ensuite, vous créez un système de fichiers et un cluster FSx pour Windows File Server File Server avec une EC2 instance Amazon et une définition de tâche. Vous configurez la définition de tâche pour vos conteneurs afin qu'ils utilisent le système de fichiers FSx for Windows File Server. Enfin, vous testez le système de fichiers.

Cela prend 20 à 45 minutes chaque fois que vous lancez ou supprimez le système FSx de fichiers Active Directory ou Windows File Server. Préparez-vous à réserver au moins 90 minutes pour terminer le didacticiel ou le compléter en quelques sessions.

Prérequis pour le didacticiel

  • Un utilisateur administratif. Consultez Configurer l'utilisation d'Amazon ECS.

  • (Facultatif) Une paire de PEM clés pour la connexion à votre instance EC2 Windows via un accès RDP. Pour plus d'informations sur la création de paires de clés, consultez la section relative aux paires de EC2 clés Amazon et aux EC2 instances Amazon dans le guide de EC2 l'utilisateur Amazon.

  • Un VPC avec au moins un sous-réseau public et un sous-réseau privé et un groupe de sécurité. Vous pouvez utiliser votre VPC par défaut. Vous n'avez pas besoin d'une passerelle ou d'un périphérique NAT. AWS Directory Service ne prend pas en charge la traduction d'adresses réseau (NAT) avec Active Directory. Pour que cela fonctionne, le système de fichiers Active Directory FSx pour Windows File Server, le cluster ECS et l'EC2 instance doivent se trouver dans votre VPC. Pour plus d'informations concernant VPCs Active Directories, voir Création d'un VPC et Conditions préalables à la création d'un AWS Microsoft AD géré.

  • Les autorisations IAM ecsInstanceRole et ecsTaskExecution Role sont associées à votre compte. Ces rôles liés à un service permettent aux services d'effectuer des appels d'API et d'accéder aux conteneurs, secrets, répertoires et serveurs de fichiers en votre nom.

Étape 1 : Créer des rôles IAM d'accès

Créez un cluster avec la AWS Management Console.

  1. Vérifiez si vous en avez un ecsInstanceRole et comment vous pouvez en créer un si vous n'en avez pas. Rôle IAM d'instance de conteneur Amazon ECS

  2. Nous recommandons que les stratégies de rôle soient personnalisées pour les autorisations minimales dans un environnement de production réel. Dans le cadre de ce didacticiel, vérifiez que la politique AWS gérée suivante est attachée à votreecsInstanceRole. Joignez la stratégie si elle n'est pas déjà attachée.

    • EC2ContainerServiceforEC2Rôle Amazon

    • Amazon SSMManaged InstanceCore

    • Amazon SSMDirectory ServiceAccess

    Pour associer des politiques AWS gérées.

    1. Ouvrez la console IAM.

    2. Dans le panneau de navigation, choisissez Roles (Rôles).

    3. Choisissez un rôle géré par AWS .

    4. Choisissez Autorisations, Attacher des stratégies.

    5. Pour réduire le nombre de stratégies disponibles à attacher, utilisez Filter (Filtrer).

    6. Sélectionnez la stratégie appropriée, puis choisissez Attach policy (Attacher la stratégie).

  3. Consultez Rôle IAM d'exécution de tâche Amazon ECS pour vérifier si vous avez un ecsTaskExecution rôle et comment vous pouvez en créer un si vous n'en avez pas.

    Nous recommandons que les stratégies de rôle soient personnalisées pour les autorisations minimales dans un environnement de production réel. Pour suivre ce didacticiel, vérifiez que les politiques AWS gérées suivantes sont associées à votre ecsTaskExecution rôle. Attachez les stratégies si elles ne sont pas déjà attachées. Utilisez la procédure décrite dans la section précédente pour associer les politiques AWS gérées.

    • SecretsManagerReadWrite

    • Amazon FSx ReadOnlyAccess

    • Amazon SSMRead OnlyAccess

    • Amazon ECSTask ExecutionRolePolicy

Étape 2 : Créer un Active Directory (AD) Windows

  1. Suivez les étapes décrites dans la section Création de votre Microsoft AD AWS géré dans le Guide d'administration du AWS Directory Service. Utilisez le VPC que vous avez désigné pour ce didacticiel. À l'étape 3 de la création de votre Microsoft AD AWS géré, enregistrez le nom d'utilisateur et le mot de passe administrateur à utiliser lors de l'étape suivante. Notez également le nom DNS complet du répertoire pour les étapes futures. Vous pouvez effectuer l'étape suivante lors de la création d'Active Directory.

  2. Créez un AWS secret du Gestionnaire de Secrets à utiliser dans les étapes suivantes. Pour plus d'informations, voir Commencer à utiliser Secrets Manager dans le Guide de l'utilisateur de AWS Secrets Manager.

    1. Ouvrez la console Secrets Manager.

    2. Cliquez sur Store a new secret (Stocker un nouveau secret).

    3. Sélectionnez Other type of secrets (Autres types de secrets).

    4. Pour Secret key/value (Valeur clé secrète) dans la première ligne, créez une clé username avec la valeur admin. Cliquez sur + Add row (+ Ajouter une ligne).

    5. Dans la nouvelle ligne, créez une clé password. Pour obtenir de la valeur, saisissez le mot de passe que vous avez saisi à l'étape 3 de la section Création de votre annuaire AD AWS géré.

    6. Cliquez sur Next (Suivant).

    7. Fournissez un nom et une description de secret. Cliquez sur Next (Suivant).

    8. Cliquez sur Next (Suivant). Cliquez sur Store (Stocker).

    9. À partir de la page Secrets, cliquez sur le secret que vous venez de créer.

    10. Enregistrez l'ARN du nouveau secret pour l'utiliser dans les étapes suivantes.

    11. Vous pouvez passer à l'étape suivante pendant la création de votre répertoire Active Directory.

Étape 3 : Vérifier et mettre à jour votre groupe de sécurité

Dans cette étape, vous vérifiez et mettez à jour les règles du groupe de sécurité que vous utilisez. Pour cela, vous pouvez utiliser le groupe de sécurité par défaut qui a été créé pour votre VPC.

Vérifiez et mettez à jour le groupe de sécurité.

Vous devez créer ou modifier votre groupe de sécurité pour envoyer des données depuis et vers les ports, comme indiqué dans la section Groupes de sécurité Amazon VPC du guide de l'utilisateur FSx pour les serveurs de fichiers Windows. Pour ce faire, créez la règle entrante du groupe de sécurité affichée dans la première ligne du tableau suivant des règles entrantes. Cette règle autorise le trafic entrant à partir d'interfaces réseau (et de leurs instances associées) affectées au groupe de sécurité. Toutes les ressources cloud que vous créez se trouvent au sein du même VPC et sont rattachées au même groupe de sécurité. Par conséquent, cette règle permet d'envoyer du trafic vers et FSx depuis le système de fichiers Windows File Server, Active Directory et l'instance ECS selon les besoins. Les autres règles entrantes autorisent le trafic à servir le site web et l'accès RDP pour la connexion à votre instance ECS.

Le tableau suivant indique les règles entrantes de groupe de sécurité requises pour ce didacticiel.

Type Protocole Plage de ports Source

Tout le trafic

Tous

Tous

sg-securitygroup

HTTPS

TCP

443

0.0.0.0/0

RDP

TCP

3389

l'adresse IP de votre ordinateur portable

Le tableau suivant indique les règles sortantes du groupe de sécurité requises pour ce didacticiel.

Type Protocole Plage de ports Destination

Tout le trafic

Tous

Tous

0.0.0.0/0

  1. Ouvrez la EC2 console et sélectionnez Security Groups dans le menu de gauche.

  2. Dans la liste des groupes de sécurité qui s'affiche, cochez la case située à gauche du groupe de sécurité que vous utilisez pour ce didacticiel.

    Les informations de votre groupe de sécurité s'affichent.

  3. Modifiez les règles entrantes et sortantes en sélectionnant l'onglet Inbound rules (Règles entrantes) ou Outbound rules (Règles sortantes) et en cliquant sur Edit inbound rules (Modifier les règles entrantes) ou Edit outbound rules (Modifier les règles sortantes). Modifiez les règles pour qu'elles correspondent à celles affichées dans les tableaux précédents. Après avoir créé votre EC2 instance ultérieurement dans ce didacticiel, modifiez la source RDP de la règle entrante avec l'adresse IP publique de votre EC2 instance, comme décrit dans Connect to your Windows instance using RDP du Amazon EC2 User Guide.

Étape 4 : Création d'un système de fichiers FSx pour Windows File Server

Une fois que votre groupe de sécurité a été vérifié et mis à jour et que votre Active Directory a été créé et est en état actif, créez le système de fichiers FSx pour Windows File Server dans le même VPC que votre Active Directory. Suivez les étapes ci-dessous pour créer un système de fichiers FSx pour serveur de fichiers Windows pour vos tâches Windows.

Créez votre premier système de fichiers.

  1. Ouvrez la FSx console Amazon.

  2. Dans Sur le tableau de bord, choisissez Create file system (Créer un système de fichiers) pour ouvrir l'assistant de création de système de fichiers.

  3. Sur la page Sélectionner le type de système FSx de fichiers, choisissez Windows File Server, puis Next. La page Create file system (Créer un système de fichiers) s'affiche.

  4. Dans la section File system details (Informations du système de fichiers), indiquez un nom pour votre système de fichiers. Donner un nom à vos systèmes de fichiers facilite leur recherche et leur gestion. Vous pouvez utiliser jusqu'à 256 caractères Unicode. Les caractères autorisés sont les lettres, les chiffres, les espaces et les caractères spéciaux suivants : signe plus (+), signe moins (-), signe égal (=), point (.), trait de soulignement (_), deux points (:) et barre oblique (/).

  5. Pour Deployment type (Type de déploiement), choisissez Single-AZ (Mono-AZ) afin de déployer un système de fichiers qui est déployé dans une seule zone de disponibilité. Mono-AZ 2 est la dernière génération de systèmes de fichiers de zone de disponibilité unique et prend en charge le stockage SSD et HDD.

  6. Pour Storage type (Type de stockage), choisissez HDD.

  7. Pour Storage capacity (Capacité de stockage), saisissez la capacité de stockage minimale.

  8. Conservez la valeur par défaut de Throughput capacity (Capacité de débit).

  9. Dans la section Réseau et sécurité, choisissez le même Amazon VPC que celui que vous avez choisi pour votre AWS Directory Service annuaire.

  10. Pour VPC Security Groups (Groupes de sécurité VPC), choisissez le groupe de sécurité que vous avez vérifié à l'Étape 3 : Vérifier et mettre à jour votre groupe de sécurité.

  11. Pour Windows authentication (Authentification Windows), choisissez AWS Managed Microsoft Active Directory (Annuaire Microsoft Active Directory géré par ), puis choisissez votre répertoire AWS Directory Service dans la liste.

  12. Pour Encryption (Chiffrement), conservez la valeur par défaut du paramètre Encryption key (Clé de chiffrement), aws/fsx (default) (aws/fsx [par défaut]).

  13. Conservez les paramètres par défaut pour Maintenance preferences (Préférences de maintenance).

  14. Cliquez sur Next (Suivant).

  15. Vérifiez la configuration du système de fichiers qui s'affiche sur la page Create file system (Créer un système de fichiers). Pour référence, notez les paramètres du système de fichiers que vous pouvez modifier une fois le système de fichiers créé. Choisissez Create file system (Créer un système de fichiers).

  16. Notez l'ID du système de fichiers. Vous en aurez besoin dans une étape ultérieure.

    Vous pouvez passer aux étapes suivantes pour créer un cluster et une EC2 instance lors de la création du système de fichiers FSx for Windows File Server.

Étape 5 : créer un cluster Amazon ECS

Création d'un cluster à l'aide de la console Amazon ECS

  1. Ouvrez la console à la https://console.aws.amazon.com/ecs/version 2.

  2. Dans la barre de navigation, sélectionnez la région à utiliser.

  3. Dans le panneau de navigation, choisissez Clusters.

  4. Sur la page Clusters, choisissez Create Cluster (Créer un cluster).

  5. Sous Cluster configuration (Configuration de cluster), pour Cluster name (Nom du cluster), saisissez windows-fsx-cluster.

  6. Développez l'infrastructure, AWS Fargate effacez (sans serveur), puis sélectionnez les EC2 instances Amazon.

    1. Pour créer un groupe Auto Scaling, depuis Auto Scaling group (ASG) (Groupe Auto Scaling [ASG]), sélectionnez Create new group (Créer un nouveau groupe), puis fournissez les détails suivants sur le groupe :

      • Dans Système d'exploitation/Architecture, choisissez Windows Server 2019 Core.

      • EC2 Par type d'instance, choisissez t2.medium ou t2.micro.

  7. Choisissez Créer.

Étape 6 : créer une EC2 instance Amazon optimisée pour Amazon ECS

Créez une instance de conteneur Windows Amazon ECS.

Pour créer une instance Amazon ECS

  1. Utilisez la commande aws ssm get-parameters pour récupérer le nom d'AMI de la région qui héberge votre VPC. Pour plus d'informations, consultez Extraction des métadonnées d'AMI optimisée pour Amazon ECS.

  2. Utilisez la EC2 console Amazon pour lancer l'instance.

    1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

    2. Dans la barre de navigation, sélectionnez la région à utiliser.

    3. Dans le EC2 tableau de bord, choisissez Launch instance.

    4. Pour Name (Nom), saisissez un nom unique.

    5. Pour Images de l'application et du SE (Amazon Machine Image), dans le champ de recherche, saisissez le nom de l'AMI que vous avez récupérée.

    6. Pour Type d'instance, choisissez t2.medium ou t2.micro.

    7. Pour Key pair (login) (Paire de clés (connexion)), choisissez une paire de clés. Si vous ne spécifiez pas de paire de clés, vous

    8. Sous Paramètres réseau, pour VPC et Sous-réseau, choisissez votre VPC et un sous-réseau public.

    9. Sous Network Settings (Paramètres réseau), pour Security group (Groupe de sécurité), choisissez un groupe de sécurité existant ou créez-en un nouveau. Assurez-vous que le groupe de sécurité que vous choisissez possède les règles entrantes et sortantes définies dans Prérequis pour le didacticiel.

    10. Sous Network settings (Paramètres réseau), pour Auto-assign Public IP (Attribuer automatiquement l'adresse IP publique), sélectionnez Enable (Activer).

    11. Développez Détails avancés, puis pour Répertoire de jonction de domaines, sélectionnez l'ID de l'Active Directory que vous avez créé. Ce domaine optionnel rejoint votre AD lorsque l' EC2 instance est lancée.

    12. Sous Détails avancés, pour le profil d'instance IAM, sélectionnez ecsInstanceRole.

    13. Configurez votre instance de conteneur Amazon ECS avec les données utilisateur suivantes. Sous Détails avancés, collez le script suivant dans le champ Données utilisateur, en le cluster_name remplaçant par le nom de votre cluster.

      <powershell>
Initialize-ECSAgent -Cluster windows-fsx-cluster -EnableTaskIAMRole
</powershell>

    14. Lorsque vous êtes prêt, cochez la case de confirmation, puis sélectionnez Launch Instances (Lancer des instances).

    15. Une page de confirmation indique que l'instance est en cours de lancement. Sélectionnez View Instances (Afficher les instances) pour fermer la page de confirmation et revenir à la console.

  3. Ouvrez la console à la https://console.aws.amazon.com/ecs/version 2.

  4. Dans le volet de navigation, choisissez Clusters, puis choisissez windows-fsx-cluster.

  5. Choisissez l'onglet Infrastructure et vérifiez que votre instance a été enregistrée dans le windows-fsx-clustercluster.

Étape 7 : Enregistrement d'une définition de tâche Windows

Avant de pouvoir exécuter des conteneurs Windows dans votre cluster Amazon ECS, vous devez enregistrer une définition de tâche. L'exemple de définition de tâche suivant affiche une page Web simple. La tâche lance deux conteneurs qui ont accès au système de FSx fichiers. Le premier conteneur écrit un fichier HTML dans le système de fichiers. Le deuxième conteneur télécharge le fichier HTML à partir du système de fichiers et sert la page web.

  1. Ouvrez la console à la https://console.aws.amazon.com/ecs/version 2.

  2. Dans le panneau de navigation, choisissez Task definitions (Définition des tâches).

  3. Choisissez Create new task definition (Créer une nouvelle définition de tâche), puis Create new task definition with JSON (Créer une nouvelle définition de tâche avec JSON).

  4. Dans la zone de l'éditeur JSON, remplacez les valeurs de votre rôle d'exécution des tâches et les informations relatives à votre système de FSx fichiers, puis choisissez Enregistrer.

    {
    "containerDefinitions": [
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [],
            "command": ["New-Item -Path C:\\fsx-windows-dir\\index.html -ItemType file -Value '<html> <head> <title>Amazon ECS Sample App</title> <style>body {margin-top: 40px; background-color: #333;} </style> </head><body> <div style=color:white;text-align:center> <h1>Amazon ECS Sample App</h1> <h2>It Works!</h2> <p>You are using Amazon FSx for Windows File Server file system for persistent container storage.</p>' -Force"],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": false,
            "name": "container1",
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ]
        },
        {
            "entryPoint": [
                "powershell",
                "-Command"
            ],
            "portMappings": [
                {
                    "hostPort": 443,
                    "protocol": "tcp",
                    "containerPort": 80
                }
            ],
            "command": ["Remove-Item -Recurse C:\\inetpub\\wwwroot\\* -Force; Start-Sleep -Seconds 120; Move-Item -Path C:\\fsx-windows-dir\\index.html -Destination C:\\inetpub\\wwwroot\\index.html -Force; C:\\ServiceMonitor.exe w3svc"],
            "mountPoints": [
                {
                    "sourceVolume": "fsx-windows-dir",
                    "containerPath": "C:\\fsx-windows-dir",
                    "readOnly": false
                }
            ],
            "cpu": 512,
            "memory": 256,
            "image": "mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019",
            "essential": true,
            "name": "container2"
        }
    ],
    "family": "fsx-windows",
    "executionRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    "volumes": [
        {
            "name": "fsx-windows-dir",
            "fsxWindowsFileServerVolumeConfiguration": {
                "fileSystemId": "fs-0eeb5730b2EXAMPLE",
                "authorizationConfig": {
                    "domain": "example.com",
                    "credentialsParameter": "arn:arn-1234"
                },
                "rootDirectory": "share"
            }
        }
    ]
}

Étape 8 : Exécuter une tâche et afficher les résultats

Avant d'exécuter la tâche, vérifiez que l'état de votre système de fichiers FSx pour Windows File Server est disponible. Si c'est le cas, vous pouvez exécuter une tâche à l'aide de la définition de tâche que vous avez créée. La tâche commence par créer des conteneurs qui remanient un fichier HTML sur eux à l'aide du système de fichiers. Après le remaniement, un serveur web sert la page HTML simple.

Note

Il se peut que vous ne parveniez pas à vous connecter au site web depuis un VPN.

Exécutez une tâche et affichez les résultats à l'aide de la console Amazon ECS.

  1. Ouvrez la console à la https://console.aws.amazon.com/ecs/version 2.

  2. Dans le volet de navigation, choisissez Clusters, puis choisissez windows-fsx-cluster.

  3. Choisissez l'onglet Tâches, puis Exécuter une nouvelle tâche.

  4. Pour Type de lancement, choisissez EC2.

  5. Sous Configuration du déploiement, pour Définition de tâche, sélectionnez fsx-windows, puis sélectionnez Créer.

  6. Lorsque le statut de votre tâche est EN COURS D'EXÉCUTION, sélectionnez l'ID de la tâche.

  7. Sous Conteneurs, lorsque le statut container1 est ARRÊTÉ, sélectionnez container2 pour afficher les détails du conteneur.

  8. Dans Informations sur le conteneur pour container2, sélectionnez Liaisons réseau, puis cliquez sur l'adresse IP externe associée au conteneur. Votre navigateur s'ouvre et affiche le message suivant.

    Amazon ECS Sample App
It Works! 
You are using Amazon FSx for Windows File Server file system for persistent container storage.
    Note

    L'affichage du message peut prendre quelques minutes. Si ce message ne s'affiche pas après plusieurs minutes, vérifiez que vous n'exécutez pas dans un VPN et assurez-vous que le groupe de sécurité de votre instance de conteneur autorise le trafic HTTP réseau entrant sur le port 443.

Étape 9 : nettoyer

Note

La suppression du système de fichiers Windows File Server ou FSx de l'AD prend 20 à 45 minutes. Vous devez attendre que les opérations FSx de suppression du système de fichiers du serveur de fichiers Windows soient terminées avant de démarrer les opérations de suppression AD.

Supprimer FSx pour le système de fichiers Windows File Server.

  1. Ouvrez la FSx console Amazon

  2. Cliquez sur le bouton radio situé à gauche du système FSx de fichiers Windows File Server que vous venez de créer.

  3. Choisissez Actions.

  4. Sélectionnez Delete file system (Supprimer le système de fichiers).

Supprimez le répertoire AD.

  1. Ouvrez la AWS Directory Service console.

  2. Cliquez sur la case d'option située à gauche du répertoire AD que vous venez de créer.

  3. Choisissez Actions.

  4. Sélectionnez Delete directory (Supprimer le répertoire).

Supprimez le cluster.

  1. Ouvrez la console à la https://console.aws.amazon.com/ecs/version 2.

  2. Dans le volet de navigation, choisissez Clusters, puis choisissez fsx-windows-cluster.

  3. Choisissez Supprimer le cluster.

  4. Saisissez l'expression, puis choisissez Supprimer.

Mettre fin à EC2 l'instance.

  1. Ouvrez la EC2 console Amazon.

  2. Dans le menu de gauche, sélectionnez Instances.

  3. Cochez la case située à gauche de l' EC2 instance que vous avez créée.

  4. Cliquez sur État de l'instance, puis sur Résilier l'instance.

Supprimez le secret.

  1. Ouvrez la console Secrets Manager.

  2. Sélectionnez le secret que vous avez créé pour cette démonstration.

  3. Cliquez sur Actions.

  4. Sélectionnez Delete secret (Supprimer le secret).