設定以使用 Amazon ECS。 - Amazon Elastic Container Service
AWS Management Console註冊 AWS 帳戶建立具有管理存取權的使用者建立 Virtual Private Cloud建立安全群組建立憑證來連線至 EC2 執行個體安裝 AWS CLI使用 Amazon ECS 的後續步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定以使用 Amazon ECS。

如果您已經註冊 Amazon Web Services (AWS) 且已在使用 Amazon Elastic Compute Cloud (Amazon EC2),您也幾乎可使用 Amazon ECS 了。這兩項服務的設定程序很類似。下列指南將協助您為啟動您的首個 Amazon ECS 叢集做好準備。

完成下列任務,為 Amazon ECS 進行設定。

AWS Management Console

AWS Management Console 是以瀏覽器為基礎的介面,用於管理 Amazon ECS 資源。主控台提供服務的可視概觀,讓您無需使用其他工具即可輕鬆探索 Amazon ECS 功能和函數。提供許多相關的教學課程和演練,可以引導您使用主控台。

如需主控台的指導教學,請參閱 了解如何建立和使用 Amazon ECS 資源

一開始,許多客戶偏好使用 主控台,因為它會針對他們採取的動作是否成功提供即時視覺化意見回饋。熟悉 AWS 的客戶可以輕鬆管理相關資源 AWS Management Console,例如負載平衡器和 Amazon EC2 執行個體。

從 開始 AWS Management Console。

註冊 AWS 帳戶

如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。

註冊 AWS 帳戶

  1. 開啟 https://portal.aws.amazon.com/billing/signup

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。

    當您註冊 時 AWS 帳戶,AWS 帳戶根使用者會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 https://aws.amazon.com/ 並選擇我的帳戶,以檢視您目前的帳戶活動並管理帳戶。

建立具有管理存取權的使用者

註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立 管理使用者,以免將根使用者用於日常任務。

保護您的 AWS 帳戶根使用者

  1. 選擇根使用者並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者AWS Management Console身分登入 。在下一頁中,輸入您的密碼。

    如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入

  2. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

    如需說明,請參閱《IAM 使用者指南》中的為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置

建立具有管理存取權的使用者

  1. 啟用 IAM Identity Center。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的啟用 AWS IAM Identity Center

  2. 在 IAM Identity Center 中,將管理存取權授予使用者。

    如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱AWS IAM Identity Center 《 使用者指南》中的使用預設值設定使用者存取 IAM Identity Center 目錄

以具有管理存取權的使用者身分登入

  • 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

    如需使用 IAM Identity Center 使用者登入的說明,請參閱AWS 登入 《 使用者指南》中的登入 AWS 存取入口網站

指派存取權給其他使用者

  1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的建立許可集

  2. 將使用者指派至群組,然後對該群組指派單一登入存取權。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的新增群組

建立 Virtual Private Cloud

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 將 AWS 資源啟動至您定義的虛擬網路。強烈建議您在 VPC 中啟動您的容器執行個體。

如果您有預設 VPC,可以跳過本節,並進行下一個任務「建立安全群組」。若要判斷您是否擁有預設 VPC,請參閱《Amazon VPC 使用者指南》中的使用預設 VPC 和預設子網路。否則,您可以利用下面的步驟,在帳戶中建立非預設 VPC。

如需如何建立 VPC 的資訊,請參閱《Amazon VPC 使用者指南》中的建立 VPC,並使用下表來決定要選取的選項。

選項 Value

要建立的資源

 僅 VPC
名稱

可以選擇為 VPC 提供名稱。
IPv4 CIDR 區塊

IPv4 CIDR 手動輸入

CIDR 區塊大小必須為介於 /16 和 /28 之間的大小。

IPv6 CIDR 區塊

無 IPv6 CIDR 區塊

租用

預設

如需有關 Amazon VPC 的詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC?

建立安全群組

安全群組的功能為相關聯容器執行個體的防火牆,可在容器執行個體層級控制傳入和傳出流量。您可以新增規則至安全群組,讓您從您的 IP 地址使用 SSH 連接到您的容器執行個體。您也可以新增允許任何位置之傳入和傳出 HTTP 和 HTTPS 存取的規則。依您的任務所需在開放連接埠新增任何規則。容器執行個體需要外部網路存取,才可以與 Amazon ECS 服務端點通訊。

如果您打算在多個區域中啟動容器執行個體,則需要在每個區域中建立安全群組。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的區域與可用區域

提示

您需要本機電腦的公有 IP 地址 (可以使用服務來取得)。例如,我們提供下列服務:http://checkip.amazonaws.com/https://checkip.amazonaws.com/。若要尋找其他能夠提供您 IP 地址的服務,請使用搜尋片語 "what is my IP address" (我的 IP 地址為何)。如果您透過網際網路服務供應商 (ISP) 或是經由不具靜態 IP 地址的防火牆連線,則必須找出用戶端電腦使用的 IP 地址範圍。

如需有關如何建立安全群組的資訊,請參閱《Amazon EC2 使用者指南》中的為您的 Amazon EC2 執行個體建立安全群組,並使用下表來決定要選取的選項。 Amazon EC2

選項 Value

區域

 您建立金鑰對的同一個區域。
名稱 一個您易記的名稱 (例如 ecs-instances-default-cluster)。
VPC 預設 VPC (有「預設」標記)。
注意

如果您的帳戶支援 Amazon EC2 Classic,請選取您在先前任務中建立的 VPC。

如需有關為您的使用案例新增的傳出規則的資訊,請參閱《Amazon EC2 使用者指南》中的不同使用案例的安全群組規則

Amazon ECS 容器執行個體不需要開啟任何傳入連接埠。不過建議您新增 SSH 規則,以登入容器執行個體,並以 Docker 命令檢查任務。如果您希望您的容器執行個體託管執行 Web 伺服器的任務,則也可以新增 HTTP 和 HTTPS 的規則。而容器執行個體需要外部網路存取,才可以與 Amazon ECS 服務端點通訊。完成下列步驟,以新增這些選用的安全群組規則。

將下列三個傳入規則新增至您的安全群組。如需如何建立安全群組的相關資訊,請參閱《Amazon EC2 使用者指南》中的設定安全群組規則

選項 Value

HTTP 規則

類型:HTTP

來源:Anywhere (0.0.0.0/0)

此選項會自動新增 0.0.0.0/0 IPv4 CIDR 區塊作為來源。通常在測試環境中短暫進行此操作是沒有問題的,但用在生產環境則不安全。在生產環境中,建議您只授權特定 IP 地址或特定範圍的地址存取您的執行個體。

HTTPS 規則

Type (類型):HTTPS

來源:Anywhere (0.0.0.0/0)

通常在測試環境中短暫進行此操作是沒有問題的,但用在生產環境則不安全。在生產環境中,建議您只授權特定 IP 地址或特定範圍的地址存取您的執行個體。

SSH 規則

Type (類型):SSH

來源:Custom (自訂),並以 CIDR 表示法來指定您的電腦或網路的公有 IP 位址。若要以 CIDR 表示法指定個別 IP 地址,請新增路由前綴 /32。例如,如果您的 IP 地址為 203.0.113.25,請指定 203.0.113.25/32。如果您的公司會分配某個範圍的地址,請指定整個範圍 (例如 203.0.113.0/24)。

重要

基於安全考量,不建議您允許從所有 IP 地址 (0.0.0.0/0) 對您執行個體進行 SSH 存取,除非僅為短時間測試。

建立憑證來連線至 EC2 執行個體

針對 Amazon ECS,只有當您想要使用 EC2 啟動類型時,才需要金鑰對。

AWS 使用公有金鑰密碼編譯來保護執行個體的登入資訊。Linux 執行個體 (例如 Amazon ECS 容器執行個體) 沒有密碼用於 SSH 存取。您需要使用金鑰對,以安全地登入執行個體。當您啟動容器執行個體時,要指定金鑰對名稱,再於使用 SSH 登入時,提供私有金鑰。

如果您尚未建立金鑰對,可以使用 Amazon EC2 主控台來建立。如果您打算在多個區域中啟動執行個體,則需要在每個區域中建立金鑰對。如需區域的詳細資訊,請參閱《Amazon EC2 使用者指南》中的區域和可用區域

建立一組金鑰對

  • 使用 Amazon EC2 主控台來建立金鑰對。如需建立金鑰對的詳細資訊,請參閱《Amazon EC2 使用者指南》中的建立金鑰對

如需如何連線至執行個體的資訊,請參閱《Amazon EC2 使用者指南》中的連線至 Linux 執行個體

安裝 AWS CLI

AWS Management Console 可用於使用 Amazon ECS 手動管理所有操作。不過,您可以在 AWS CLI 本機桌面或開發人員方塊中安裝 ,以便建置可在 Amazon ECS 中自動化常見管理任務的指令碼。

若要 AWS CLI 搭配 Amazon ECS 使用 ,請安裝 AWS CLI 最新版本。如需有關安裝 AWS CLI 或將其升級至最新版本的資訊,請參閱AWS Command Line Interface 《 使用者指南》中的安裝或更新至最新版本的 AWS CLI

AWS Command Line Interface (AWS CLI) 是您可以用來管理 AWS 服務的統一工具。僅使用這個工具,您就可以控制多個 AWS 服務,並透過指令碼自動化這些服務。中的 Amazon ECS 命令 AWS CLI 是 Amazon ECS API 的反射。

AWS CLI 適合偏好 且用來編寫指令碼和與命令列工具互動的客戶,並確切知道他們想要在 Amazon ECS 資源上執行哪些動作。對於想要熟悉 Amazon ECS APIs 的客戶 AWS CLI 來說, 也很有幫助。客戶可以使用 AWS CLI 直接從命令列界面對 Amazon ECS 資源執行多項操作,包括建立、讀取、更新和刪除操作。

AWS CLI 如果您正在或想要熟悉 Amazon ECS APIs 和對應的 CLI 命令,並想要撰寫自動化指令碼,並在 Amazon ECS 資源上執行特定動作,請使用 。

AWS 也提供命令列工具 AWS Tools for Windows PowerShell。如需詳細資訊,請參閱「AWS Tools for Windows PowerShell 使用者指南」

使用 Amazon ECS 的後續步驟

安裝 之後 AWS CLI,當您繼續使用 Amazon ECS 時,可以使用許多不同的工具。下列連結說明這些工具有哪些,並提供如何搭配 Amazon ECS 使用它們的範例。