#author("2024-09-20T12:01:45+00:00","default:wikiadmin","wikiadmin") #author("2024-09-20T12:02:11+00:00","default:wikiadmin","wikiadmin") -AWSのコンテナオーケストレーション *用語集 [#wa2e3062] **ECS独自 [#c0bc6927] -タスク定義はいくら作っても無料(生成されないので!) -Fargateにおけるクラスターは単なるサービスと結びつける枠なのでこれまた無料(実際にはサービスと同じ生存期間なので無料ではないが) -ServiceでタスクをいくつとかALBと組み合わせたりすると課金発生 |Fargate|EC2の管理不要| |タスク定義|タスクの情報。作成しても課金なしなので作ることをためらうな!だが削除できないという欠点あり| |タスク|コンテナ1つに対応する。タスク定義とタスクはクラスとインスタンスの関係。タスク定義はVersion管理されており、更新すると別のタスクが立ち上がり入れ替わる| |サービス|タスクが幾つ必要かとかALBと紐づけるとか。| |クラスタ|EC2の塊、Fargateだと意識することはない。| **Docker [#f53c5d76] |CMD|Docker起動時に実施するCMD。起動時に指定するものと同じものが定義できると考えるべし。docker exec -it xxx /bin/bashの/bin/bashの部分だ| |ENTRYPOINT|Docker起動時に実施するコマンドではCMDと一緒だが、上書き不可能だったりもできる。ENTRYPOINTを指定したときは、runの後の記述は起動するプロセスを特定する指示としては機能しない| *Task role/ Task Execution Role [#o4efefa4] -Task RoleはECSに対するIAMロールでEC2のIAMのようにECSからAWSサービス使うときのRole -Task Exection Roleはタスクを実行するためのRole。ECR読み取りとか -Task RoleはECSに対するIAMロールでEC2のIAMのようにECSからAWSサービス使うときのRole(任意) -Task Exection Roleはタスクを実行するためのRole。ECR読み取りとかCW書き込みとか(必須) というかそんな説明で納得できるわけがない。「アプリのコードでAWSリソースへアクセスする場合、タスクロールに権限をつける」「コンテナの設定でAWSリソースする場合はタスク実行ロールに権限をつける」。SecretManagerにアプリコードでアクセスするならタスクロールで、task definitionでSecretManager使うならタスク実行ロール *aws-cli ecs編 [#k173107f] |aws ecs list-task-definitions|タスク定義の一覧| |aws ecs describe-task-definition --task-definition test-mysql:2|タスク定義の詳細。このままではRegisterできない。| **Blue/Greenの時のために整形 [#t051a8f8] aws ecs describe-task-definition --task-definition test-mysql:2 | jq '.taskDefinition | del(.status, .compatibilities, .taskDefinitionArn, .requiresAttributes, .revision) ' https://dev.classmethod.jp/articles/describe-task-definition-to-register-task-definition/ *firelens [#aa006800] -ログドライバをCloudWatch Logs以外に選択できるようになった。 -ログドライバはECS固有ではなくて、Dockerにある概念。 -Dockerの制約で16kb超えるログは分割される **ポイント [#x04a0057] -ログを早出する側はfirelensを指定するだけ -firelens側ではNameでcloudwatchやforwardを指定する。 https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/userguide/using_firelens.html -terraform https://qiita.com/neruneruo/items/b3fb35ad5064c045a15b **Fluentdへ [#h8fc2f9e] -Optionの設定にFluentdに関係ないものを入れてはいけない。400エラーとなる。 -PortもStringなど特殊なので以下のまま使うこと -送信先がない場合は、firelensコンテナログにその旨が出る "options": { "exclude-pattern": "^.*(hoge|open).*$", "Port": "24224", "Host": "HOST", "Name": "forward" } **直接Cloudwatchlogsへ [#eb70c121] https://github.com/aws-samples/amazon-ecs-firelens-examples/tree/mainline/examples/fluent-bit/cloudwatchlogs https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/userguide/using_firelens.html#firelens-filtering-logs +試しに最小構成のnginx/firelensで実施。 +CloudWatchLogsにロググループ作成権限が必要で、初回は起動失敗。 +起動失敗しても繰り返し上がってくるのでポリシー更新後成功 -firelens側の設定 "options": { "awslogs-group": "firelens-container", "awslogs-region": "ap-northeast-1", "awslogs-create-group": "true", "awslogs-stream-prefix": "firelens" } 以下のロググループとストリーム名で出力される。これはFluentBitの起動ログである。ngixのログは出ないので注意 log-group/firelens-container/log-events/firelensXXXXX -nginx側の設定。CloudWatchに流すにはNameにcloudwatchと設定。exclude-patternでopenとhogeが含まれるものを除去している "options": { "log_group_name": "firelens-testing-fluent-bit", "auto_create_group": "true", "log_stream_prefix": "from-fluent-bit", "region": "ap-northeast-1", "exclude-pattern": "^.*(hoge|open).*$", "Name": "cloudwatch" } log-group/firelens-testing-fluent-bit/log-events/from-fluent-bitapp-firelens-XXXXX **参考 Docker標準のログドライバ [#cc65c477] |json-file|標準 Docker logsで見れる| |syslog|Syslogに転送| |journald|| |fluentd|| *CMDとENTRYPOINT [#n847003c] **ENTRYPOINT [#c5e6089f] 固定で与えるものなので、docker run -it xxx 'コマンド'が実行時にentrypointに加わる |/bin/bash -c|docker run it xxx 'ls'|ls | |/usr/bin/git |docker run it xxx 'log'|git log| **CMD [#l4b913ea] Docker runで何も指定しなかったときの実行コマンド。またはentrypointでのデフォルト引数。 |EntryPoint設定値|CMD設定値|docker runコマンド|実際のコマンド| |なし|ls |docker run -it xxx |ls | |/bin/bash -c|ls |docker run -it xxx |ls | *Sidecar [#x1eac69d] https://y-ohgi.com/2019-aws-handson/datadog/ecs/ https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/ecs_task_definition *Tips [#ad365403] 起動したPublic IPの確認。タスクから詳細(タスク定義ではない!) *ローカルでECSタスク定義実行 [#e9968eff] -タスク定義はdocker-compose.ymlに相当するが、独自仕様のため、以下のページ通りにするとdocker-composeに変換してくれる https://dev.classmethod.jp/articles/ecs-local/ -デプロイ https://dev.classmethod.jp/articles/aws-devday-2019-fargate-deploy/ *Secret Managerとの連携 [#z47d52ef] https://dev.classmethod.jp/articles/try-to-protect-aws-fargate-container-environment-variable-with-aws-secrets-manager/