ECS-弹性容器服务 – Part 2

Hello大家好,我们今天继续ECS的内容。

Service load balancing

之前的课时讨论过,在ECS集群上创建的ECS服务支持AWS负载均衡器,而应用程序负载均衡器和ECS服务通常是一个很好的搭配,因为应用程序负载均衡器很好的支持了容器的动态主机端口映射。

有了这个特性,ECS集群的单台EC2实例上,就可以运行同一个ECS服务的多个任务。然后当您将ALB的目标组与您的ECS服务相关联后,ALB可以在多个任务之间进行路由流量、负载均衡,而且最最重要的是,ECS会自动在ALB目标组中注册或者注销容器。

我举个例子帮助大家理解:

比如这是我们的ECS集群的其中的一个EC2实例,我们上节课讲过,这是用于运行ECS任务或者服务的对吧?

那现在假设要在这台EC2上运行4个Nginx容器,并对外提供服务,所以需要创建一个ECS服务,服务及任务定义的内容把容器的相关信息和数量都配置好。

因为是在单台EC2上运行,端口不能冲突,Nginx的容器要使用动态端口映射,所以假设我们这4个Nginx以及对应的端口分别为:

  • 端口8081的Nginx的容器,
  • 端口8082的Nginx的容器,
  • 以及端口8034和8084这4个容器。

所以,目前的情况是,单台EC2实例上,运行了4个Nginx容器,使用动态端口映射对外开了4个不同的端口。那这种情况下,我们如何对外提供Nginx服务呢?

在这种场景就可以创建一个应用程序负载均衡器和目标组,使其对外提供http或者https的访问,然后在创建这个Nginx的ECS服务时,在服务定义中指定到这个目标组。

这样的话,启动任务时,比如这4个Nginx容器,这些容器和端口组合会注册到这个目标组,并且外面访问的流量会从负载均衡器路由到这4个容器,而且后面新增或者停止Nginx容器时,会自动在ALB目标组中注册或者注销容器,都是自动完成的,而不需要人为干预。

好的,以上,**通过ALB和ECS服务,当同一台EC2实例上运行多个相同的容器提供服务时,外部访问可以通过ALB路由流量到这些容器的动态端口,实现流量的负载均衡。**这样的话:

  • 即使只有单台EC2实例,也能够最大程度的增加应用的弹性;
  • 通过增加运行的容器数量,能够最大化的利用EC2的资源;
  • 以及当需要更新应用时,可以采用滚动升级的方式,而不会影响应用对外提供服务。

ECS安全相关和网络模式

好的,接下来我们讨论ECS的安全相关以及支持的网络模式的内容。

IAM安全性

首先,组成ECS集群的EC2实例,需要为其分配相应的IAM角色和权限。**因为EC2上运行的容器Agent要调用ECS的API,**必须要有相应的权限才能正常工作,这个是EC2实例级别的IAM角色。

然后,还会接触到一个IAM角色,是ECS任务的IAM角色。就是在创建ECS任务的时候,可以为这个任务创建或分配一个任务的IAM角色,从而指定任务中的容器可以使用的IAM角色。

注意这个任务IAM角色是基于ECS任务的。这样做的好处是,可以为不同的ECS任务指定不同的IAM角色,从而为不同的任务分配不同的权限。比如任务1的容器需要访问RDS,任务2的容器需要访问S3服务,就可以分别为两个任务分配不同的IAM角色,更精细的分配权限,实现更高的安全级别。

所以,**这里共有两个级别的IAM角色,**第一个是组成ECS集群的EC2实例的角色,是EC2实例级别的角色;另一个是每一个ECS任务都可以指定任务的IAM角色,是ECS任务级别的角色。

以上是IAM角色相关安全性。

敏感信息安全性

对于容器内需要用的一些配置和一些敏感的信息,使用ECS可以通过将敏感的信息或者配置存储在AWS Secrets Manager或AWS Systems Manager参数存储中,然后在容器定义中引用它们,从而将敏感数据作为环境变量注入到容器中。这样就可以避免将容器中使用的机密的信息明文定义在任务定义中。通过这种方式提升了敏感信息的安全。

任务的网络模式

接下来我们讨论ECS任务的网络模式,运行在ECS集群上的ECS任务容器之间联网的方式,取决于您在任务定义中定义的网络模式,有以下几种网络模式:

  • bridge桥接模式,是使用Docker的内置虚拟网络启动您的容器。
  • host主机模式,容器将绕过Docker的内置虚拟网络,并将容器端口直接映射到运行该任务的EC2实例的网络。因此,使用端口映射时,您无法在单台 EC2实例上运行同一任务的多个实例化。
  • none,这个模式任务没有外部网络连接,端口映射也是无效的。一般只用于不需要网络的环境的测试用途。
  • awsvpc模式,这个模式比较特别:
    • 它为每一个任务都分配了自己的弹性网络接口(ENI)和私有IPv4地址。这为ECS任务提供了和EC2实例相同的网络属性。
    • 使用 awsvpc网络模式可简化容器网络连接。因为每个任务都有其自己的弹性网络接口(ENI),可以将安全组应用到ENI,为任务提供了更高的安全性。还可以为每个ENI创建VPC流日志以及利用其他的EC2网络功能,从而可以监视往返于任务的流量。
    • 还有一点要注意,如果使用的Fargate,那么在默认情况下,分别会为每个ECS任务都提供一个具有私有IP地址的弹性网络接口(ENI)。

ECS服务的弹性伸缩

ECS服务的弹性伸缩是指可根据配置的指标自动增加或减少ECS服务中的任务数量。

ECS会发布ECS服务的平均CPU和内存使用量的CloudWatch指标,您可以使用这些或其他CloudWatch指标配置弹性伸缩,如添加更多任务以在高峰时间处理更多的需求;或者在闲时运行更少的任务以降低利用率节省成本。

服务的弹性伸缩支持以下三种类型:

  • 目标跟踪扩展策略,是根据配置的特定指标的目标值,增加或减少服务运行的任务数量。比如我们可以配置平均CPU使用率为70%,然后任务就会自动增加或减少,保持在配置的这个目标值。
  • 还可以基于CloudWatch警报定义分步扩展策略,
  • 以及定义基于日期和时间的计划的扩展。

可以看到这和我们之前讲的EC2的autoscaling的内容基本差不多,但是一定要注意的是,ECS服务的弹性伸缩,是ECS任务级别的,扩展和缩减的是ECS的任务数量;而之前课时讨论的EC2的弹性伸缩,是基于EC2实例的,是实例级别的弹性伸缩。

也就是说,如果您使用的是ECS是基于EC2集群,当需要弹性伸缩时,可能除了要考虑ECS服务的弹性伸缩,还要考虑组成集群的EC2实例的弹性伸缩,这样才能够增加更多的EC2实例,并在上面运行新的 任务。

在这种情况下更能体现出Fargate的优势。因为如果使用Fargate的话,弹性伸缩的配置就会比较容易。因为是无服务器架构,所以我们不需要关心后端的基础架构,只要配置好ECS服务的弹性伸缩的配置,剩下的基础设施部分由AWS负责来搞定。

ECS与Spot实例

好的,我们继续。

最后,我们要了解,ECS集群是可以使用Spot实例的。

我们先看下由EC2实例组成的ECS集群,这些EC2实例是可以由请求的Spot实例或者由ASG管理的Spot队列组成。

当后续Spot实例不在可用时,如果实例上启用了 ECS Spot实例的排空(DRAINING) 功能,则ECS会收到Spot实例中断通知,并将该实例置于 DRAINING状态,然后ECS将不会在这台实例上运行新的任务,且正在运行在该Spot实例的任务就会停止,并在集群中其他实例上启动。

使用Spot实例会节省成本,但同时可能随时会中断,而影响提供服务的可靠性。

那对于Fargate集群,目前同样支持使用Spot实例,可以将一部分任务跑在按需,也就是普通模式,满足工作负载的基准要求;然后将一些任务跑在Fargate Spot上以节省成本。当然要注意Spot同样可能随时会被AWS回收。

不论是普通模式还是Spot模式,因为Fargate是无服务器架构,基于定义进行扩展都是非常的容易的。

好的,经过我们之前和今天的讨论,Spot实例的特点想必大家已经很熟悉了。

虽然ECS集群可以使用Spot实例来节省成本,但是我们同样也要了解Spot可能会随时被中断的情况,可能会影响我们提供的服务的可靠性,所以要提前做好中断处理。

最后,如果使用的是由EC2实例组成的ECS集群,且您计划要使用相当长时间,比如1至3年,同样可以使用预留实例来节省成本。

好的,以上就是我们今天课时的内容,我们讨论了ECS的内容,希望能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助,如您有任何疑问,请联系我们:

  • 如果您想获取本课程全部课时,请扫PPT的二维码加入。
  • AWS爱好者的网址是www.iloveaws.cn,认证视频课程,免费的认证考试仿真题以及认证课程文章,都可以在网站找得到
  • 可以通过扫码加入【AWS爱好者】微信公众号,查看原创的AWS知识点相关文章。
  • 加入【AWS爱好者】微信群,和其他同学一起备考,以及探讨交流AWS相关知识。

我们今天的视频课程就到这里,感谢大家的观看,我们下一课程再见。

2023年1月25日

0 responses on "ECS-弹性容器服务 - Part 2"

Leave a Message

Setup Menus in Admin Panel

error: Content is protected !!