本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon ECS 容器代理程式組態
**適用對象**:EC2 執行個體
Amazon ECS 容器代理程式支援數個組態選項,其中大部分透過環境變數進行設定。
如果是透過 Linux 版的 Amazon ECS 最佳化 AMI 來啟動容器執行個體,您可以在 `/etc/ecs/ecs.config` 檔案中設定這些環境變數,然後重新啟動代理程式。您也可以在啟動時使用 Amazon EC2 使用者資料,將這些組態變數寫入容器執行個體。如需詳細資訊,請參閱[引導 Amazon ECS Linux 容器執行個體傳遞資料](bootstrap_container_instance.md)。
如果是透過 Windows 版的 Amazon ECS 最佳化 AMI 來啟動容器執行個體,您可以使用 PowerShell SetEnvironmentVariable 命令設定這些環境變數,然後重新啟動代理程式。如需詳細資訊,請參閱 *Amazon EC2 User Guide* 中的 [Run commands when you launch an EC2 instance with user data input](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/user-data.html),以及[引導 Amazon ECS Windows 容器執行個體傳遞資料](bootstrap_windows_container_instance.md)。
如果您是手動啟用 Amazon ECS 容器代理程式 (適用於非 Amazon ECS 最佳化 AMI),則可以在用於啟用代理程式的 **docker run** 命令中使用這些環境變數。請搭配使用這些變數和語法 `--env=VARIABLE_NAME=VARIABLE_VALUE`。如需私有儲存庫的身分驗證登入資料這類敏感資訊,您應該將代理環境變數存放至一個檔案中,並使用 `--env-file path_to_env_file` 選項一次傳遞。您可使用下列命令來新增這些變數。
```
sudo systemctl stop ecs
sudo vi /etc/ecs/ecs.config
# And add the environment variables with VARIABLE_NAME=VARIABLE_VALUE format.
sudo systemctl start ecs
```
## 透過主機 PID 命名空間執行 Amazon ECS 代理程式
依預設,Amazon ECS 代理程式會透過專用的 PID 命名空間執行。在下列組態中,您可以設定 Amazon ECS 代理程式採用主機 PID 命名空間執行:
+ SELinux 強制執行模式已啟用。
+ Docker 的 SELinux 安全政策設定為 true。
您可以在 `/etc/ecs/ecs.config` 檔案中將 `ECS_AGENT_PID_NAMESPACE_HOST` 環境變數設定為 `true`,實現對此行為進行設定。啟用此變數時,`ecs-init` 會使用主機的 PID 命名空間 (`--pid=host`) 啟動 Amazon ECS 代理程式容器,允許代理程式在 SELinux 強制執行環境中正確引導自身。此功能在 Amazon ECS 代理程式版本 `1.94.0` 及更新版本中可用。
若要啟用此功能,請將以下一行新增至 `/etc/ecs/ecs.config` 檔案:
```
ECS_AGENT_PID_NAMESPACE_HOST=true
```
進行此變更後,請重新啟動 Amazon ECS 代理程式,讓變更生效:
```
sudo systemctl restart ecs
```
若啟用了 SELinux 強制模式,且 Docker 安全政策設定為 true,那麼即使設定了 `ECS_AGENT_PID_NAMESPACE_HOST=true`,下列功能也無法運作。
+ Amazon ECS Exec
+ Amazon EBS 任務連接
+ Service Connect
+ FireLens for Amazon ECS
## 可用參數
如需有關可用 Amazon ECS 容器代理程式組態參數的資訊,請參閱 GitHub 上的 [Amazon ECS 容器代理程式](https://github.com/aws/amazon-ecs-agent/blob/master/README.md)。
# 將 Amazon ECS 容器執行個體組態儲存於 Amazon S3 中
使用上述環境變數控制 Amazon ECS 容器代理程式組態。當容器代理程式啟動並隨之設定代理程式時,Linux 版的 Amazon ECS 最佳化 AMI 會在 `/etc/ecs/ecs.config` 中尋找這些變數。某些不敏感的環境變數 (例如 `ECS_CLUSTER`) 可以在啟動時透過 Amazon EC2 使用者資料傳遞給容器執行個體,並寫入此檔案,且不會造成任何問題。不過,其他敏感資訊,例如您的 AWS 登入資料或 `ECS_ENGINE_AUTH_DATA`變數,絕不應傳遞至使用者資料中的執行個體,或以允許它們出現在`.bash_history`檔案中`/etc/ecs/ecs.config`的方式寫入 。
在 Amazon S3 中的私有儲存貯體內存放組態資訊,並對容器執行個體 IAM 角色授予唯讀存取權,這是一種允許容器執行個體在啟動時進行設定的安全且便利方法。您可以將 `ecs.config` 文件的複本儲存在私有儲存貯體中。然後,您可以使用 Amazon EC2 使用者資料來安裝 , AWS CLI 並在執行個體啟動`/etc/ecs/ecs.config`時將您的組態資訊複製到 。
**若要在 Amazon S3 中存放 `ecs.config` 檔案**
1. 您必須授予容器執行個體角色 (**ecsInstanceRole**) 許可,才能取得 Amazon S3 的唯讀存取權。您可以將 **AmazonS3ReadOnlyAccess** 指派給 `ecsInstanceRole` 角色來執行此操作。如需有關如何將政策連接至角色的資訊,請參閱 *AWS Identity and Access Management User Guide* 中的 [Update permissions for a role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html)
1. 使用下列格式建立包含有效 Amazon ECS 代理程式組態變數的 `ecs.config` 檔案。本範例將設定私有登錄檔身分驗證。如需詳細資訊,請參閱[在 Amazon ECS 中使用非AWS 容器映像](private-auth.md)。
```
ECS_ENGINE_AUTH_TYPE=dockercfg
ECS_ENGINE_AUTH_DATA={"https://index.docker.io/v1/":{"auth":"zq212MzEXAMPLE7o6T25Dk0i","email":"email@example.com"}}
```
**注意**
如需可用 Amazon ECS 代理程式組態變數的完整清單,請參閱 GitHub 上的 [Amazon ECS 容器代理程式](https://github.com/aws/amazon-ecs-agent/blob/master/README.md)。
1. 若要存放您的組態檔案,請在 Amazon S3 中建立私有儲存貯體。如需詳細資訊,請參閱 *Amazon Simple Storage Service User Guide* 中的 [Creating a bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。
1. 將 `ecs.config` 檔案上傳至 S3 儲存貯體。如需詳細資訊,請參閱 *Amazon Simple Storage Service 使用者指南*中的[上傳物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html)。
**若要在啟動時從 Amazon S3 載入 `ecs.config` 檔案**
1. 完成本節稍早的程序,以允許 Amazon S3 以唯讀方式存取您的容器執行個體,並將 `ecs.config` 檔案存放在私有 S3 儲存貯體。
1. 啟動新的容器執行個體,並在 EC2 使用者資料中使用如下範例指令碼。指令碼會安裝 , AWS CLI 並將您的組態檔案複製到 `/etc/ecs/ecs.config`。如需詳細資訊,請參閱[啟動 Amazon ECS Linux 容器執行個體](launch_container_instance.md)。
```
#!/bin/bash
yum install -y aws-cli
aws s3 cp s3://your_bucket_name/ecs.config /etc/ecs/ecs.config
```