Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risorse correlate

Accedi alle applicazioni container in modo privato su Amazon ECS utilizzando AWS Fargate, PrivateLink AWS e un Network Load Balancer

Creato da Kirankumar Chandrashekar (AWS)

Riepilogo

Questo modello descrive come ospitare privatamente un'applicazione contenitore Docker sul cloud Amazon Web Services (AWS) utilizzando Amazon Elastic Container Service (Amazon ECS) con un tipo di avvio AWS Fargate, con un Network Load Balancer, e accedere all'applicazione utilizzando AWS. PrivateLink Amazon Relational Database Service (Amazon RDS) ospita il database relazionale per l'applicazione in esecuzione su Amazon ECS con alta disponibilità (HA). Puoi usare Amazon Elastic File System (Amazon EFS) se l'applicazione richiede uno storage persistente.

Questo modello utilizza un tipo di avvio Fargate per il servizio Amazon ECS che esegue le applicazioni Docker, con un Network Load Balancer nel front-end. Può quindi essere associato a un endpoint di cloud privato virtuale (VPC) per l'accesso tramite AWS. PrivateLink Questo servizio di endpoint VPC può quindi essere condiviso con altri utenti utilizzando i rispettivi VPCs endpoint VPC.

Puoi usare Fargate con Amazon ECS per eseguire container senza dover gestire server o cluster di istanze Amazon Elastic Compute Cloud ( EC2Amazon). Puoi anche utilizzare un gruppo Amazon EC2 Auto Scaling anziché Fargate. Per ulteriori informazioni, consulta Accesso privato alle applicazioni container su Amazon ECS utilizzando AWS PrivateLink e un Network Load Balancer.

Prerequisiti e limitazioni

Prerequisiti

Un account AWS attivo
AWS Command Line Interface (AWS CLI) versione 2, installata e configurata su Linux, macOS o Windows
Docker, installato e configurato su Linux, macOS o Windows
Un'applicazione in esecuzione su Docker

Architettura

Utilizzo PrivateLink per accedere a un'app contenitore su Amazon ECS con un tipo di lancio AWS Fargate.

Stack tecnologico

Amazon CloudWatch
Amazon Elastic Container Registry (Amazon ECR)
Amazon ECS
Amazon EFS
Amazon RDS
Amazon Simple Storage Service (Amazon S3)
AWS Fargate
AWS PrivateLink
AWS Secrets Manager
Application Load Balancer
Network Load Balancer
VPC

Automazione e scalabilità

Puoi usare AWS CloudFormation per creare questo modello utilizzando Infrastructure as Code.

Strumenti

Servizi AWS

Amazon Elastic Container Registry (Amazon ECR) è un servizio di registro di immagini di container AWS gestito che è sicuro, scalabile e affidabile.
Amazon Elastic Container Service (Amazon ECS) è un servizio di gestione dei container veloce e altamente scalabile che semplifica l'esecuzione, l'arresto e la gestione dei container su un cluster.
Amazon Elastic File System (Amazon EFS) fornisce un file system NFS elastico semplice, scalabile e completamente gestito da utilizzare con i servizi cloud AWS e le risorse locali.
AWS Fargateè una tecnologia che puoi usare con Amazon ECS per eseguire container senza dover gestire server o cluster di istanze Amazon EC2 .
Amazon Relational Database Service (Amazon RDS) è un servizio Web che semplifica la configurazione, il funzionamento e la scalabilità di un database relazionale in. Cloud AWS
Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) è uno storage per Internet. È concepito per rendere più accessibili agli sviluppatori risorse informatiche su grande scala per il Web.
Con AWS Secrets Manager puoi sostituire le credenziali nel codice,incluse le password, con una chiamata API a Secrets Manager in modo da recuperare il segreto a livello di codice.
Amazon Virtual Private Cloud (Amazon VPC) ti aiuta a lanciare le risorse AWS in una rete virtuale che hai definito.
Elastic Load Balancing (ELB) distribuisce il traffico di applicazioni o di rete in entrata su più destinazioni, come EC2 istanze, contenitori e indirizzi IP, in più zone di disponibilità.

Altri strumenti

Docker aiuta gli sviluppatori a imballare, spedire ed eseguire facilmente qualsiasi applicazione come contenitore leggero, portatile e autosufficiente.

Epiche

Attività	Descrizione	Competenze richieste
Crea un VPC.	Accedi alla Console di gestione AWS e apri la console Amazon VPC. Scegli Crea VPC e scegli VPC e altro ancora. Inserisci un nome per il tuo VPC e scegli un intervallo di blocchi CIDR appropriato. Specificate due zone di disponibilità, due sottoreti pubbliche, quattro sottoreti private. Due sottoreti private sono per le attività di Amazon ECS e due sottoreti private sono per i database Amazon RDS. Specificare un gateway NAT per ogni zona di disponibilità. Seleziona Crea VPC.	Amministratore cloud

Attività	Descrizione	Competenze richieste
Crea un Network Load Balancer.	Apri la EC2 console Amazon e scegli la regione AWS che contiene il tuo VPC. In Load balancing, scegli Load balancer e scegli Crea load balancer. Scegli Network Load Balancer e scegli Crea. Nella pagina Configure load balancer, configura Network Load Balancer e listener. Importante: assicurati di scegliere lo schema del Network Load Balancer come Interno. Scegli le impostazioni di sicurezza applicabili, configura un gruppo di sicurezza e un gruppo target. Scegli IP come tipo di destinazione nella sezione Configura il routing. Assicurati di non registrare un obiettivo. Dopo aver configurato tutte le impostazioni, scegli Avanti: Revisione, quindi scegli Crea. Per informazioni su questa e altre storie, consulta la sezione Risorse correlate.	Amministratore cloud
Crea un Application Load Balancer.	Sulla EC2 console Amazon, scegli la stessa regione che contiene il tuo VPC. In Load balancing, scegli Load balancer e scegli Crea load balancer. Scegliete Application Load Balancer e scegliete Crea. Importante Configura l'Application Load Balancer e il relativo listener. Assicurati di scegliere lo schema di Application Load Balancer come Interno. Scegliete le impostazioni di sicurezza applicabili, configurate un gruppo di sicurezza e un gruppo target. Scegli IP come tipo di destinazione nella sezione Configura il routing. Assicurati di non registrare un obiettivo. Dopo aver configurato tutte le impostazioni, scegli Avanti: Revisione, quindi scegli Crea.	Amministratore cloud

Attività	Descrizione	Competenze richieste
Crea un file system Amazon EFS.	Apri la console Amazon EFS e scegli Crea file system. Nella finestra di dialogo Crea file system, inserisci un nome per il tuo file system e scegli il tuo VPC. Scegli Crea per creare il file system. Configura e configura il tuo file system Amazon EFS.	Amministratore cloud
Monta obiettivi per le sottoreti.	Torna alla console Amazon EFS e scegli File system. La pagina File system mostra i file system Amazon EFS presenti nel tuo account. Scegli il file system che hai creato e scegli Gestisci per visualizzare la zona di disponibilità. Per aggiungere una destinazione di montaggio, scegli Aggiungi destinazione di montaggio e aggiungi le quattro sottoreti private che hai creato.	Amministratore cloud
Verifica che le sottoreti siano montate come destinazioni.	Sulla console Amazon EFS, scegli File system. Scegli Rete per visualizzare l'elenco dei target di montaggio esistenti. Assicurati che includano le quattro sottoreti che hai creato.	Amministratore cloud

Attività	Descrizione	Competenze richieste
Crea un bucket S3.	Apri la console Amazon S3 e crea un bucket S3 per archiviare gli asset statici dell'applicazione, se necessario.	Amministratore cloud

Attività	Descrizione	Competenze richieste
Crea una chiave AWS KMS per crittografare il segreto di Secrets Manager.	Apri la console AWS Key Management Service (AWS KMS) e crea una chiave KMS.	Amministratore del cloud
Crea un segreto di Secrets Manager per archiviare la password di Amazon RDS.	Apri la console AWS Secrets Manager e crea un nuovo segreto scegliendo Archivia un nuovo segreto. Scegli la chiave KMS che hai creato e archivia il tuo nuovo segreto.	Amministratore cloud

Attività	Descrizione	Competenze richieste
Creare un gruppo di sottoreti DB.	Apri la console Amazon RDS e scegli Gruppi di sottorete. Scegli Crea gruppo di sottoreti DB e inserisci un nome e una descrizione per il tuo gruppo di sottoreti DB. Scegli il VPC che hai creato in precedenza e scegli le zone di disponibilità e le sottoreti. Quindi, scegli Crea.	Amministratore cloud
Crea un'istanza Amazon RDS.	Crea e configura un'istanza Amazon RDS all'interno delle sottoreti private. Assicurati che Multi-AZ sia attivato per l'alta disponibilità (HA).	Amministratore cloud
Carica i dati sull'istanza Amazon RDS.	Carica i dati relazionali richiesti dall'applicazione nella tua istanza Amazon RDS. Questo processo varierà in base alle esigenze dell'applicazione e al modo in cui lo schema del database viene definito e progettato.	DBA

Attività	Descrizione	Competenze richieste
Crea un cluster ECS.	Apri la console Amazon ECS e scegli Clusters. Scegli Crea cluster e configura un cluster ECS in base alle specifiche richieste.	Amministratore cloud
Crea le immagini Docker.	Crea le immagini Docker seguendo le istruzioni nella AWS documentazione.	Amministratore cloud
Crea un repository Amazon ECR.	Apri la console Amazon ECR e seleziona Repositories. Scegli Crea repository e inserisci un nome univoco per il tuo repository. Configura il repository in base alle tue specifiche, inclusa la crittografia AWS KMS, se richiesta.	Amministratore del cloud, ingegnere DevOps
Invia le immagini Docker al repository Amazon ECR.	Identifica l'immagine Docker che desideri inviare ed esegui il `docker images` comando nella CLI di AWS. Aggiungi tag alla tua immagine con il registro Amazon ECR, il repository e la combinazione opzionale del nome del tag di immagine. Invia l'immagine Docker eseguendo il comando. `docker push` Ripeti questi passaggi per tutte le immagini richieste.	Amministratore cloud
Crea una definizione di attività Amazon ECS.	Per eseguire i container Docker in Amazon ECS è necessaria una definizione di attività. Torna alla console Amazon ECS, scegli Definizioni attività, quindi scegli Crea nuova definizione di attività. Nella pagina Seleziona compatibilità, seleziona il tipo di avvio che l'attività deve utilizzare e scegli Passaggio successivo. Importante Per informazioni sull'impostazione della definizione dell'attività, consulta «Creazione di una definizione di attività» nella sezione Risorse correlate. Assicurati di fornire le immagini Docker che hai inviato ad Amazon ECR.	Amministratore cloud
Crea un servizio ECS e scegli Fargate come tipo di lancio.	Crea un servizio Amazon ECS utilizzando il cluster ECS creato in precedenza. Assicurati di scegliere Fargate come tipo di lancio. Scegliete la definizione dell'attività creata nel passaggio precedente e scegliete il gruppo target dell'Application Load Balancer.	Amministratore cloud

Attività	Descrizione	Competenze richieste
Configura l' PrivateLink endpoint AWS.	Apri la console Amazon VPC e crea un AWS PrivateLink endpoint. Associa questo endpoint al Network Load Balancer, che rende l'applicazione ospitata su Amazon ECS disponibile privatamente per i clienti.	Amministratore cloud

Attività	Descrizione	Competenze richieste
Crea un endpoint VPC.	Crea un endpoint VPC per l'endpoint AWS che hai creato in PrivateLink precedenza. L'endpoint VPC Fully Qualified Domain Name (FQDN) punterà al nome di dominio completo dell'endpoint AWS. PrivateLink Questo crea un'interfaccia di rete elastica per il servizio endpoint VPC a cui possono accedere gli endpoint del Domain Name Service.	Amministratore cloud

Attività	Descrizione	Competenze richieste
Aggiungete l'Application Load Balancer come destinazione.	Per aggiungere l'Application Load Balancer come destinazione per il Network Load Balancer, segui le istruzioni nella documentazione.AWS	Sviluppatore di app

Risorse correlate

Crea i load balancer:

Crea un file system Amazon EFS:

Crea un segreto di Secrets Manager:

Crea un'istanza Amazon RDS:

Crea un'istanza database Amazon RDS

Crea i componenti Amazon ECS

Altre risorse:

Accesso sicuro ai servizi tramite AWS PrivateLink

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Accedi alle applicazioni container su Amazon ECS

Accedi alle applicazioni container in modo privato su Amazon EKS