(1시간 공부) ECS 퀵하게 구축해보기

EC2 기반의 ECS를 퀵하게 구축해보자.

ECS 애플리케이션을 업데이트해보자.

<1> ECS 개요

<2> ECS 구축 순서

<3> role 참고

<4> 애플리케이션 내용 업데이트

<5> 서비스 Task 수 늘리기 - 사용자가 늘떄

<6> ECS 삭제 순서

<1> ECS 개요

2 종류로 서비스할 수 있다.

ECS - EC2 ( EC2는 사용자가 관리한다.)

ECS- Fargate ( Fargate는 AWS에서 관리한다)

<2> ECS 구축 순서

ECS 클러스터를 구축한다.

작업 정의를 한다. Task Definition = contailer 정의 = 샘플 이미지 정의 = JASON 파일

서비스를 만든다.- LB도 만들어 추가한다.

접속 확인한다.

애플리케이션 업데이트하여 반영해 본다.

1

ECS 클러스터를 구축한다.

EC2 기반의 ECS를 구축한다.

ECS > Clusers > Create Cluster

cluster name

Cluser instance IAM role이 필요하다. > ecsinstanceRole을 사용한다.

2분 걸림

참고 사이트

https://brunch.co.kr/@topasvga/1595

2

작업 정의를 한다.

EC2 기반으로 한다.

contailer1

Task Definition = 샘플 이미지 정의 = JASON 파일

https://docs.aws.amazon.com/ko_kr/AmazonECS/latest/developerguide/getting-started-ecs-ec2.html

Configure task and container definitions > Task Role이 필요하다. > ecsTaskExecution Role

인증된 AWS 서비스에 API 요청을 할 때 작업이 사용할 수 있는 IAM 역할 옵션입니다

//admin 계정으로 사용하면 role 새로 생성으로 사용하면 된다.

// 개발자 계정이면 관리자를 통해 role을 생성 받아 사용해야 한다.

Task execution IAM role = 작업 실행 IAM 역할

작업에서 컨테이너 이미지를 가져오고 사용자를 대신하여 Amazon CloudWatch에 컨테이너 로그를 게시하려면 이 역할이 필요합니다.

ecsTaskExecutionRole이 아직 없는 경우 AWS가 생성할 수 있습니다.

3

서비스를 만든다.- LB도 만들어 추가한다.

클러스터 > 서비스 > 생성 > seo-web01

LB 사용 시 ecsServiceRole 이 필요함

AWS ServiceRoleForECS role 이 필요함.

미리 LB를 만들어 놓아도 된다. EC2 로드 밸런서

LB생성 시 대상그룹에 EC2를 추가해야 한다. 정상 상태까지 확인 필요 (20분 걸림)

참고 사이트

https://brunch.co.kr/@topasvga/1595

4

접속 확인한다.

LB DNS로 접속 확인한다.

Amazon ECS Sample App

Congratulations!

Your application is now running on a container in Amazon ECS.

<3> role 참고

admin권한으로 작업하면 상관 없다.

하지만 운영자와 개발자 계정이 분리되어 있는 계정이면 role 생성과 사용이 필요하다.

1

Cluser instance IAM role이 필요하다. > ecsinstanceRole을 사용한다.

AWS Service: ec2

클러스터 생성하는데 필요한 권한

EC2 , ECS , ECR , Logs 필요

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": [

"ec2:DescribeTags",

"ecs:CreateCluster",

"ecs:DeregisterContainerInstance",

"ecs:DiscoverPollEndpoint",

"ecs:Poll",

"ecs:RegisterContainerInstance",

"ecs:StartTelemetrySession",

"ecs:UpdateContainerInstancesState",

"ecs:Submit*",

"ecr:GetAuthorizationToken",

"ecr:BatchCheckLayerAvailability",

"ecr:GetDownloadUrlForLayer",

"ecr:BatchGetImage",

"logs:CreateLogStream",

"logs:PutLogEvents"

],

"Resource": "*"

}

]

}

2

Configure task and container definitions > Task Role이 필요하다. > ecsTaskExecution Role

AWS Service: ecs-tasks

Task 작업하는데 필요한 권한

우선은 ECR과 logs만 있으면 된다.

task role은 다이나모 DB , SSM 등 추가 서비스를 사용하는 경우 권한을 추가 해야 한다.

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": [

"ecr:GetAuthorizationToken",

"ecr:BatchCheckLayerAvailability",

"ecr:GetDownloadUrlForLayer",

"ecr:BatchGetImage",

"logs:CreateLogStream",

"logs:PutLogEvents"

],

"Resource": "*"

}

]

}

3

LB 사용 시 AWS ServiceRoleForECS role 이 필요함.

AWS Service: ecs (Service-Linked Role

서비스를 올린다는 건 ELB로 외부에서 서버로 접속해 사용하도록 한다는 것으로 권한 필요

EC2 , ELB , route53 , 서비스 디스커버리 , loggs 권한이 필요함. auto scaling , cloudwatch, ssm 필요

{

"Version": "2012-10-17",

"Statement": [

{

"Sid": "ECSTaskManagement",

"Effect": "Allow",

"Action": [

"ec2:AttachNetworkInterface",

"ec2:CreateNetworkInterface",

"ec2:CreateNetworkInterfacePermission",

"ec2:DeleteNetworkInterface",

"ec2:DeleteNetworkInterfacePermission",

"ec2:Describe*",

"ec2:DetachNetworkInterface",

"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",

"elasticloadbalancing:DeregisterTargets",

"elasticloadbalancing:Describe*",

"elasticloadbalancing:RegisterInstancesWithLoadBalancer",

"elasticloadbalancing:RegisterTargets",

"route53:ChangeResourceRecordSets",

"route53:CreateHealthCheck",

"route53:DeleteHealthCheck",

"route53:Get*",

"route53:List*",

"route53:UpdateHealthCheck",

"servicediscovery:DeregisterInstance",

"servicediscovery:Get*",

"servicediscovery:List*",

"servicediscovery:RegisterInstance",

"servicediscovery:UpdateInstanceCustomHealthStatus"

],

"Resource": "*"

},

{

"Sid": "AutoScaling",

"Effect": "Allow",

"Action": [

"autoscaling:Describe*"

],

"Resource": "*"

},

{

"Sid": "AutoScalingManagement",

"Effect": "Allow",

"Action": [

"autoscaling:DeletePolicy",

"autoscaling:PutScalingPolicy",

"autoscaling:SetInstanceProtection",

"autoscaling:UpdateAutoScalingGroup"

],

"Resource": "*",

"Condition": {

"Null": {

"autoscaling:ResourceTag/AmazonECSManaged": "false"

}

}

},

{

"Sid": "AutoScalingPlanManagement",

"Effect": "Allow",

"Action": [

"autoscaling-plans:CreateScalingPlan",

"autoscaling-plans:DeleteScalingPlan",

"autoscaling-plans:DescribeScalingPlans"

],

"Resource": "*"

},

{

"Sid": "CWAlarmManagement",

"Effect": "Allow",

"Action": [

"cloudwatch:DeleteAlarms",

"cloudwatch:DescribeAlarms",

"cloudwatch:PutMetricAlarm"

],

"Resource": "arn:aws:cloudwatch:*:*:alarm:*"

},

{

"Sid": "ECSTagging",

"Effect": "Allow",

"Action": [

"ec2:CreateTags"

],

"Resource": "arn:aws:ec2:*:*:network-interface/*"

},

{

"Sid": "CWLogGroupManagement",

"Effect": "Allow",

"Action": [

"logs:CreateLogGroup",

"logs:DescribeLogGroups",

"logs:PutRetentionPolicy"

],

"Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*"

},

{

"Sid": "CWLogStreamManagement",

"Effect": "Allow",

"Action": [

"logs:CreateLogStream",

"logs:DescribeLogStreams",

"logs:PutLogEvents"

],

"Resource": "arn:aws:logs:*:*:log-group:/aws/ecs/*:log-stream:*"

},

{

"Sid": "ExecuteCommandSessionManagement",

"Effect": "Allow",

"Action": [

"ssm:DescribeSessions"

],

"Resource": "*"

},

{

"Sid": "ExecuteCommand",

"Effect": "Allow",

"Action": [

"ssm:StartSession"

],

"Resource": [

"arn:aws:ecs:*:*:task/*",

"arn:aws:ssm:*:*:document/AmazonECS-ExecuteInteractiveCommand"

]

}

]

}

4

기타

LB 사용 시 ecsServiceRole 이 필요함

AWS Service: ecs

서비스를 올린다는 건 ELB로 외부에서 서버로 접속해 사용하도록 한다는 것으로 권한 필요

EC2 권한과 ELB 권한 필요.

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": [

"ec2:AuthorizeSecurityGroupIngress",

"ec2:Describe*",

"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",

"elasticloadbalancing:DeregisterTargets",

"elasticloadbalancing:Describe*",

"elasticloadbalancing:RegisterInstancesWithLoadBalancer",

"elasticloadbalancing:RegisterTargets"

],

"Resource": "*"

}

]

}

100 클러스터 생성.txt

110 task 수행시 필요한 권한 - ecr,logs.txt

120 ecs 서비스를 위해 ec2, elb 권한 필요1.txt

<4> 애플리케이션 내용 업데이트

1

애플리케이션 새로 작업 정의하여, 서비스 업데이트하여 반영해 본다.

ECS > 작업 정의 > 사용 중인 컨테이너 클릭 > 해당 컨터이너 클릭 > 새 버전 > JSON내용 수정 2222

또는 새 수정 내용 JSON 반영

2

클러스터 > 서비스 > 업데이트 > 새 버전으로 변경 > 업데이트 (10분 소요)

<5> 서비스 Task 수 늘리기 - 사용자가 늘떄

클러스터

서비스 선택

업데이트

Task 수 2

업데이트

배포 탭 보기

<5> 정리

1

생성 순서는?

클러스터

Task 정의

서비스 생성

2

롤이 필요하다.

3

업데이트 순서는?

Task 정의에서 컨테이너 수정

클러스터의 서비스 업데이트

4

서비스 Task 수 늘리기 - 사용자가 늘떄

서비스 가서 Task를 늘린다.

<6> ECS 삭제 순서

1

서비스 지우기

2

클러스터 지우기 (10분)

3

작업 정의 지우기

4

LB 지우기

작업 정의 지우기

감사합니다.