Accedi alle applicazioni container in modo privato su Amazon ECS utilizzando AWS PrivateLink e un Network Load Balancer - Prontuario AWS
RiepilogoPrerequisiti e limitazioniArchitetturaStrumentiEpicheRisorse correlate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi alle applicazioni container in modo privato su Amazon ECS utilizzando AWS PrivateLink e un Network Load Balancer

Creato da Kirankumar Chandrashekar (AWS)

Questo modello descrive come ospitare privatamente un'applicazione container Docker su Amazon Elastic Container Service (Amazon ECS) con un Network Load Balancer e accedere all'applicazione utilizzando AWS. PrivateLink Puoi quindi utilizzare una rete privata per accedere in modo sicuro ai servizi sul cloud Amazon Web Services (AWS). Amazon Relational Database Service (Amazon RDS) ospita il database relazionale per l'applicazione in esecuzione su Amazon ECS con alta disponibilità (HA). Amazon Elastic File System (Amazon EFS) viene utilizzato se l'applicazione richiede uno storage persistente.

Il servizio Amazon ECS che esegue le applicazioni Docker, con un Network Load Balancer sul front-end, può essere associato a un endpoint di cloud privato virtuale (VPC) per l'accesso tramite AWS. PrivateLink Questo servizio di endpoint VPC può quindi essere condiviso con altri utenti utilizzando i rispettivi VPCs endpoint VPC.

Puoi anche utilizzare AWS Fargate al posto di un gruppo Amazon Auto EC2 Scaling. Per ulteriori informazioni, consulta Accesso privato alle applicazioni container su Amazon ECS utilizzando AWS Fargate, PrivateLink AWS e un Network Load Balancer.

Prerequisiti

Utilizzo PrivateLink di AWS per accedere a un'app container su Amazon ECS con un Network Load Balancer.

Stack tecnologico

  • Amazon CloudWatch

  • Amazon Elastic Compute Cloud (Amazon EC2)

  • Amazon EC2 Auto Scaling

  • Amazon Elastic Container Registry (Amazon ECR)

  • Amazon ECS

  • Amazon RDS

  • Amazon Simple Storage Service (Amazon S3)

  • AWS Lambda

  • AWS PrivateLink

  • AWS Secrets Manager

  • Application Load Balancer

  • Network Load Balancer

  • VPC

Automazione e scalabilità

  • Amazon EC2 — Amazon Elastic Compute Cloud (Amazon EC2) fornisce capacità di calcolo scalabile nel cloud AWS.

  • Amazon EC2 Auto Scaling: Amazon EC2 Auto Scaling ti aiuta a garantire il numero corretto di istanze EC2 Amazon disponibili per gestire il carico della tua applicazione.

  • Amazon ECS — Amazon Elastic Container Service (Amazon ECS) è un servizio di gestione dei container veloce e altamente scalabile che semplifica l'esecuzione, l'arresto e la gestione dei container su un cluster.

  • Amazon ECR — Amazon Elastic Container Registry (Amazon ECR) è un servizio di registro di immagini di container AWS gestito che è sicuro, scalabile e affidabile.

  • Amazon EFS — Amazon Elastic File System (Amazon EFS) fornisce un file system NFS elastico semplice, scalabile e completamente gestito da utilizzare con i servizi cloud AWS e le risorse locali.

  • AWS Lambda — Lambda è un servizio di calcolo per l'esecuzione di codice senza effettuare il provisioning o la gestione di server.

  • Amazon RDS — Amazon Relational Database Service (Amazon RDS) è un servizio Web che semplifica la configurazione, il funzionamento e la scalabilità di un database relazionale nel cloud AWS.

  • Amazon S3 — Amazon Simple Storage Service (Amazon S3) è uno storage per Internet. È concepito per rendere più accessibili agli sviluppatori risorse informatiche su grande scala per il Web.

  • AWS Secrets Manager — Secrets Manager ti aiuta a sostituire le credenziali codificate nel codice, comprese le password, fornendo una chiamata API a Secrets Manager per recuperare il segreto a livello di codice.

  • Amazon VPC: Amazon Virtual Private Cloud (Amazon VPC) ti aiuta a lanciare le risorse AWS in una rete virtuale che hai definito.

  • Elastic Load Balancing: Elastic Load Balancing distribuisce il traffico di applicazioni o di rete in entrata su più destinazioni, come istanze EC2 Amazon, contenitori e indirizzi IP, in più zone di disponibilità.

  • Docker: Docker aiuta gli sviluppatori a imballare, spedire ed eseguire qualsiasi applicazione come contenitore leggero, portatile e autosufficiente.

AttivitàDescrizioneCompetenze richieste

Crea un VPC.

  1. Accedi alla Console di gestione AWS e apri la console Amazon VPC. Scegli Crea VPC e scegli VPC e altro ancora. 

  2. Inserisci un nome per il tuo VPC e scegli un intervallo di blocchi CIDR appropriato. 

  3. Specificate due zone di disponibilità, due sottoreti pubbliche, quattro sottoreti private. Due sottoreti private sono per le attività di Amazon ECS e due sottoreti private sono per i database Amazon RDS.

  4. Specificare un gateway NAT per ogni zona di disponibilità. 

  5. Seleziona Crea VPC.

Amministratore cloud
AttivitàDescrizioneCompetenze richieste

Crea un Network Load Balancer.

  1. Apri la EC2 console Amazon e scegli la regione AWS che contiene il tuo VPC. 

  2. In Load balancing, scegli Load balancer e scegli Create load balancer. 

  3. Scegli Network Load Balancer e scegli Crea. 

  4. Nella pagina Configure load balancer, configura Network Load Balancer e listener. Importante: assicurati di scegliere lo schema del Network Load Balancer come Interno. 

  5. Scegli le impostazioni di sicurezza applicabili, configura un gruppo di sicurezza e un gruppo target. Scegli Istanza o IP come tipo di destinazione nella sezione Configura il routing. Assicurati di non registrare un obiettivo. 

  6. Dopo aver configurato tutte le impostazioni, scegli Avanti: Revisione, quindi scegli Crea.

Amministratore cloud

Crea un Application Load Balancer.

  1. Sulla EC2 console Amazon, scegli la stessa regione che contiene il tuo VPC.

  2. In Load balancing, scegli Load balancer e scegli Crea load balancer.

  3. Scegliete Application Load Balancer e scegliete Create. 

  4. Importante

    Configura l'Application Load Balancer e il relativo listener. Assicurati di scegliere lo schema di Application Load Balancer come Interno. 

  5. Scegliete le impostazioni di sicurezza applicabili, configurate un gruppo di sicurezza e un gruppo target. Scegli Istanza o IP come tipo di destinazione nella sezione Configura il routing. Assicurati di non registrare un obiettivo. 

  6. Dopo aver configurato tutte le impostazioni, scegli Avanti: Revisione, quindi scegli Crea.

Amministratore cloud
AttivitàDescrizioneCompetenze richieste

Crea un file system Amazon EFS.

  1. Apri la console Amazon EFS e scegli Crea file system

  2. Nella finestra di dialogo Crea file system, inserisci un nome per il tuo file system e scegli il tuo VPC. 

  3. Scegli Crea per creare il file system. 

  4. Configura e configura il tuo file system Amazon EFS.

Amministratore del cloud

Monta gli obiettivi per le sottoreti.

  1. Torna alla console Amazon EFS e scegli File system. La pagina File system mostra i file system Amazon EFS presenti nel tuo account. 

  2. Scegli il file system che hai creato e scegli Gestisci per visualizzare le zone di disponibilità. Per aggiungere una destinazione di montaggio, scegli Aggiungi destinazione di montaggio e aggiungi le quattro sottoreti private che hai creato.

Amministratore cloud

Verifica che le sottoreti siano montate come destinazioni.

  1. Sulla console Amazon EFS, scegli File system

  2. Scegli Rete per visualizzare l'elenco dei target di montaggio esistenti. Assicurati che includano le quattro sottoreti che hai creato.

Amministratore cloud
AttivitàDescrizioneCompetenze richieste

Crea un bucket S3.

Apri la console Amazon S3 e crea un bucket S3 per archiviare gli asset statici dell'applicazione, se necessario.

Amministratore cloud
AttivitàDescrizioneCompetenze richieste

Crea una chiave AWS KMS per crittografare il segreto di Secrets Manager.

Apri la console AWS Key Management Service (AWS KMS) e crea una chiave KMS.

Amministratore del cloud

Crea un segreto di Secrets Manager per archiviare la password di Amazon RDS.

  1. Apri la console AWS Secrets Manager e crea un nuovo segreto scegliendo Archivia un nuovo segreto

  2. Scegli la chiave KMS che hai creato e archivia il tuo nuovo segreto.

Amministratore cloud
AttivitàDescrizioneCompetenze richieste

Creare un gruppo di sottoreti DB.

  1. Apri la console Amazon RDS e scegli Gruppi di sottorete

  2. Scegli Crea gruppo di sottoreti DB e inserisci un nome e una descrizione per il tuo gruppo di sottoreti DB. 

  3. Scegli il VPC che hai creato in precedenza e scegli le zone di disponibilità e le sottoreti. Quindi, scegli Crea.

Amministratore cloud

Crea un'istanza Amazon RDS.

Crea e configura un'istanza Amazon RDS all'interno delle sottoreti private. Assicurati che Multi-AZ sia attivato per HA.

Amministratore del cloud

Carica i dati sull'istanza Amazon RDS.

Carica i dati relazionali richiesti dall'applicazione nella tua istanza Amazon RDS. Questo processo varierà in base alle esigenze dell'applicazione e al modo in cui lo schema del database viene definito e progettato.

Amministratore cloud, DBA
AttivitàDescrizioneCompetenze richieste

Crea un cluster ECS.

  1. Apri la console Amazon ECS e scegli Clusters.

  2. Scegli Crea cluster e configura un cluster ECS in base alle specifiche richieste.

Amministratore cloud

Crea le immagini Docker.

Crea le immagini Docker seguendo le istruzioni nella sezione Risorse correlate.

Amministratore cloud

Crea repository Amazon ECR.

  1. Sulla console Amazon ECR, scegli Repositories

  2. Scegli Crea repository e inserisci un nome univoco per il tuo repository. 

  3. Configura il repository in base alle tue specifiche, inclusa la crittografia AWS KMS, se richiesta.

Amministratore del cloud, ingegnere DevOps

Autentica il tuo client Docker per il repository Amazon ECR.

Per autenticare il tuo client Docker per il repository Amazon ECR, esegui il comando «aws ecr get-login-passwordnella CLI di AWS.

Amministratore cloud

Invia le immagini Docker al repository Amazon ECR.

  1. Identifica l'immagine Docker che desideri inviare ed esegui il docker images comando nella CLI di AWS. 

  2. Aggiungi tag alla tua immagine con il registro Amazon ECR, il repository e la combinazione opzionale del nome del tag di immagine. 

  3. Invia l'immagine Docker eseguendo il comando. docker push 

  4. Ripeti questi passaggi per tutte le immagini richieste.

Amministratore cloud

Crea una definizione di attività Amazon ECS.

Per eseguire i container Docker in Amazon ECS è necessaria una definizione di attività. 

  1. Torna alla console Amazon ECS, scegli Definizioni attività, quindi scegli Crea nuova definizione di attività

  2. Nella pagina Seleziona compatibilità, seleziona il tipo di avvio che l'attività deve utilizzare e scegli Passaggio successivo.

Importante

Per informazioni sull'impostazione della definizione dell'attività, consulta «Creazione di una definizione di attività» nella sezione Risorse correlate. Assicurati di fornire le immagini Docker che hai inviato ad Amazon ECR.

Amministratore cloud

Crea un servizio Amazon ECS.

Crea un servizio Amazon ECS utilizzando il cluster ECS creato in precedenza. Assicurati di scegliere Amazon EC2 come tipo di avvio e scegli la definizione dell'attività creata nel passaggio precedente, nonché il gruppo target dell'Application Load Balancer.

Amministratore cloud
AttivitàDescrizioneCompetenze richieste

Creazione di una configurazione di avvio.

Apri la EC2 console Amazon e crea una configurazione di avvio. Assicurati che i dati utente contengano il codice per consentire alle EC2 istanze di unirsi al cluster ECS desiderato. Per un esempio del codice richiesto, consulta la sezione Risorse correlate.

Amministratore cloud

Crea un gruppo Amazon EC2 Auto Scaling.

Torna alla EC2 console Amazon e in Auto Scaling, scegli i gruppi Auto Scaling. Configura un gruppo Amazon EC2 Auto Scaling. Assicurati di scegliere le sottoreti private e di avviare la configurazione creata in precedenza.

Amministratore cloud
AttivitàDescrizioneCompetenze richieste

Configura l' PrivateLink endpoint AWS.

  1. Sulla console Amazon VPC, crea un endpoint PrivateLink AWS. 

  2. Associa questo endpoint al Network Load Balancer, che rende l'applicazione ospitata su Amazon ECS disponibile privatamente per i clienti. 

Per ulteriori informazioni, consulta la sezione Risorse correlate.

Amministratore cloud
AttivitàDescrizioneCompetenze richieste

Crea un endpoint VPC.

Crea un endpoint VPC per l'endpoint AWS che hai creato in PrivateLink precedenza. L'endpoint VPC Fully Qualified Domain Name (FQDN) punterà al nome di dominio completo dell'endpoint AWS. PrivateLink Questo crea un'interfaccia di rete elastica per il servizio endpoint VPC a cui gli endpoint DNS possono accedere.

Amministratore cloud
AttivitàDescrizioneCompetenze richieste

Creazione della funzione Lambda

Sulla console AWS Lambda, crea una funzione Lambda per aggiornare gli indirizzi IP di Application Load Balancer come destinazioni per il Network Load Balancer. Per ulteriori informazioni su questo argomento, consulta il post sul blog Using AWS Lambda to enable static IP address for Application Load Balancers.

Sviluppatore di app

Crea i sistemi di bilanciamento del carico:

Crea un file system Amazon EFS:

Crea un bucket S3:

Crea un segreto di Secrets Manager:

Crea un'istanza Amazon RDS:

Crea i componenti Amazon ECS:

Crea un gruppo Amazon EC2 Auto Scaling:

Configura AWS PrivateLink:

Crea un endpoint VPC:

Crea la funzione Lambda:

Altre risorse: