問題タブ [amazon-ecs]

現時点では、Amazon ECS でアプリケーションの適切なセットアップを見つけようとしています。

私のアプリケーションには構成ファイルが必要です。今、構成ファイルを保持するコンテナーが必要なので、何かを変更したいときにアプリケーションを再デプロイする必要はありません。

このためのベストプラクティスの方法が見つかりません。私が見つけたのは、ecs タスクは を作成するだけで、を作成docker runできないということdocker createです。

アプリケーションの構成ファイルを管理する方法を知っている人はいますか?

こちらの手順に従って、 AWS ECSクラスターにインスタンスを追加しようとしています。

だから私：

1. 自動スケーリングされたインスタンスの自動スケーリング起動構成を作成しました ( AMI : ami-a28476c2 us-west-2 )
2. インスタンスは問題なく自動スケール グループから起動しますdefaultが、ドキュメントに記載されているように ECS クラスターに参加することはありません。

3. インスタンスに ssh し、ログを cat すると、次のように表示されます。

   [ec2-user@ip-172-31-47-157 ~]$ 猫 /var/log/ecs/ecs-init.log.2016-05-10-03 2016-05-10T03:31:21Z [情報] pre-start 2016-05-10T03:31:22Z [INFO] start 2016-05-10T03:31:22Z [INFO] 削除する既存のエージェント コンテナがありません。2016-05-10T03:31:22Z [INFO] Amazon EC2 Container Service Agent を開始しています 2016-05-10T03:31:23Z [エラー] エージェントを開始できませんでした: API エラー (500): コンテナーを開始できませんresolv.conf: そのようなファイルまたはディレクトリはありません

が見つからないため、ECS エージェントが失敗しているよう/etc/resolv.confです。ドキュメントを逐語的にフォローしているので、これがなぜなのかわかりません。

過去にこれを試した人はいますか？これをデバッグする方法がわかりません。

Docker コンテナの実行に Postgres Amazon RDS と Amazon ECS を使用しています。質問は。RDS データベースのユーザー名とパスワードを ECS で実行されている Docker コンテナーに取得するためのベスト プラクティスは何ですか?

いくつかのオプションが表示されます。

• 認証情報を docker イメージに組み込みます。画像にアクセスできる人なら誰でもパスワードを取得できるので、これは好きではありません。
• ECS の自動スケーリング グループによって使用される起動構成のユーザーデータに資格情報を入力します。このアプローチでは、ECS クラスターで実行されているすべての Docker イメージが資格情報にアクセスできます。私もそれがあまり好きではありません。そうすれば、ブラックハットが私のサービスのいずれかにセキュリティ ホールを見つけた場合 (データベースを使用しないサービスであっても)、データベースの資格情報を取得できます。
• 認証情報を S3 に配置し、ECS サーバーが持つ IAM ロールを使用して、そのバケットへのアクセスを制限します。それらをユーザーデータに入れるのと同じ欠点。
• 認証情報を ECS のタスク定義に入れます。ここに欠点はありません。

これを行う最善の方法についてどう思いますか? オプションを見逃しましたか？

よろしく、 トバイアス

ECS で Quay にログインしようとしています。
Quay はプライベート レジストリ ドッカーです。

このドキュメントに従いましたが、403 エラーもあります: "{\"error\": \"Permission Denied\"}".

私はこのコードを入れました/etc/ecs/ecs.config：

また、ecs サービスを再起動しましたが、機能していません。

アイデアはありますか？

AWS インスタンスがあり、セキュリティ グループのメンバーです。インスタンスの上の ELB を指す Route53 ドメイン名のセットアップがあり、ELB とインスタンスの両方が同じセキュリティ グループにあります。

セキュリティ グループをそれ自体に追加すると、https://my_url/をカールできませんが、イングレス ルールのソースとしてセキュリティ グループを削除し、それをインスタンスのパブリック IP アドレスに置き換えると、次のことが可能になります。パブリック ドメイン名をカールします。セキュリティ グループを独自のイングレス ルールに追加すると、パブリック IP アドレスでボックスへのアクセスが許可されると考えるのは間違っていますか?

ELB を別のセキュリティ グループに配置し、1 つの SG が他の SG にルーティングできるようにするルールを追加するのが最善ですか?

独自のパブリック IP でボックスに接続する必要がある理由は、1 つの URL にのみバインドする同じアプリ サーバー上の別の Docker インスタンスで実行されているセキュリティ アプライアンスを使用しており、パブリック IP からアクセスする必要があるためです。アプリ インスタンスのプライベート IP を返す別の BIND サーバーを URL にするか、実行を開始します。これは、パブリック IP アドレスを使用するよりも気分が悪くなります。

助けてくれてありがとう。

AWS で ECS サービスをアップグレードするためのガイドはありますか。ECS でサービスを更新するのではなく、ECS フレームワークをアップグレードします。

新しい ECS (Amazon ECS 最適化 Linux) インスタンスを開始する場所から、AWS に自動スケーリング グループがあります。インスタンスの起動中に最新のセキュリティ更新を自動的に適用できるかどうか疑問に思っていますか?

実際には、起動時に「sudo yum update --security」を自動的に実行できますか? そのコマンドを「ユーザーデータ」の下に配置しようとしましたが、実際には成功しませんでした。

それとも、これを定期的に手動で行い、新しい AMI を構築するのが好ましい方法ですか?