问题标签 [amazon-ecs]

目前我试图在亚马逊 ecs 中为我的应用程序找出一个好的设置。

我的应用程序需要一个配置文件。现在我想要一个容器来保存我的配置文件，所以当我想要更改某些内容时，我不需要重新部署我的应用程序。

我找不到任何最佳实践方法。我发现 ecs 任务只是制作 adocker run而你不能制作docker create.

有谁知道如何管理我的应用程序的配置文件？

我正在尝试按照此处的说明将实例添加到我的AWS ECS集群。

所以我：

1. 为自动缩放实例创建了自动缩放启动配置 ( AMI : ami-a28476c2 us-west-2 )
2. 该实例从自动缩放组启动，没有任何问题，但从未default像文档所说的那样加入我的 ECS 集群。

3. 我进入实例并记录日志并查看：

   [ec2-user@ip-172-31-47-157 ~]$ cat /var/log/ecs/ecs-init.log.2016-05-10-03 2016-05-10T03:31:21Z [信息] pre-start 2016-05-10T03:31:22Z [INFO] start 2016-05-10T03:31:22Z [INFO] 没有要删除的现有代理容器。2016-05-10T03:31:22Z [INFO] 启动 Amazon EC2 容器服务代理 2016-05-10T03:31:23Z [错误] 无法启动代理：API 错误 (500)：无法启动容器 dbee780d6770f62afc3266ba14b77957a5e6054f94e89b2ced77f9636c:4 打开resolv.conf：没有这样的文件或目录

所以看起来 ECS 代理失败了，因为它找不到/etc/resolv.conf. 我不知道为什么会这样，因为我正在逐字跟踪文档。

过去有没有人尝试过这个？我不确定如何进行调试。

我正在使用 Postgres Amazon RDS 和 Amazon ECS 来运行我的 docker 容器。问题是。将RDS数据库的用户名和密码获取到ECS上运行的docker容器中的最佳实践是什么？

我看到几个选项：

• 将凭据构建​​到 docker 映像中。我不喜欢这样，从那时起每个有权访问图像的人都可以获得密码。
• 将凭据放在 ECS 的自动扩展组使用的启动配置的用户数据中。使用这种方法，在我的 ECS 集群上运行的所有 docker 映像都可以访问凭据。我也不是很喜欢。这样，如果黑帽在我的任何服务（甚至是不使用数据库的服务）中发现安全漏洞，他将能够获取数据库的凭据。
• 将凭证放入 S3 并使用 ECS 服务器具有的 IAM 角色控制对该存储桶的访问限制。与将它们放入用户数据中的缺点相同。
• 将凭证放入 ECS 的任务定义中。我在这里看不到任何缺点。

您对执行此操作的最佳方法有何看法？我错过了任何选择吗？

问候，托拜厄斯

我正在使用Amazon ECS在 uat/production 上自动部署我的容器。最好的方法是什么？

我有一个带有几个前端客户端的 REST api

我应该将我的 api 容器与 nginx 打包在同一个容器中吗？并对其他前端客户端做同样的事情。

或者我必须编写一个大任务定义来汇集我所有的容器（db、nginx、php、api、客户端）:(，但这意味着我应该在每次推送 uat/prod 时重新部署我的所有基础设施

我很困惑。

我正在使用 ECS 使用 Cloudformation 创建集群和容器实例，但我不知道如何设置创建的 ECS 容器实例的名称。

知道在哪里设置名称吗？这是我的脚本。

我正在尝试使用 ECS 登录 Quay。
Quay 是一个私有的注册 docker。

我遵循了这个文档，但我也有一个 403 错误：“{\”error\": \"Permission Denied\"}"。

我把这段代码放在/etc/ecs/ecs.config：

而且我已经重新启动了 ecs 服务，但它不起作用。

你有想法吗？

所以我有一个 AWS 实例，它是安全组的成员。我有一个 Route53 域名设置指向实例上方的 ELB，ELB 和实例都在同一个安全组中。

当我将安全组添加到自身时，我无法 curl https://my_url/，但是当我删除安全组作为入口规则的源并将其替换为实例的公共 IP 地址时，我就能够curl 公有域名。我认为将安全组添加到它自己的入口规则中应该允许访问其公共 IP 地址上的框，我错了吗？

我是否最好将 ELB 放入一个单独的安全组并添加一条规则以允许一个 SG 路由到另一个 SG？

我需要连接到它自己的公共 IP 上的盒子的原因是，我正在使用在同一应用服务器上的另一个 docker 实例中运行的安全设备，它只会绑定到一个 URL，而且我要么必须从公共进入URL 或开始运行一个单独的 BIND 服务器，它将返回我的应用程序实例的私有 IP，这感觉比使用公共 IP 地址更糟糕。

谢谢你的帮助。

是否有任何指南可以升级 AWS 中的 ECS 服务，不是更新 ECS 中的服务而是升级 ECS 框架。

我的团队正在为 CaaS 平台产品探索不同的工具集（Docker 数据中心、DC/OS 等）。我们目前正在将 Amazon EC2 容器服务 (ECS) 视为一种可能的解决方案，但在将 docker-compose 文件转换为 ECS 任务时遇到了麻烦。

具体来说，我们不确定如何在 ECS 中的任务中处理网络。我的印象是任务有点类似于撰写，但它似乎以非常不同的方式处理网络。

例如https://github.com/docker/example-voting-app需要两个网络，“front-tier”和“back-tier”，每个似乎都是股票覆盖网络。如何在 ECS 中创建这些？

我在 AWS 中有一个自动扩展组，我从那里开始新的 ECS（Amazon ECS 优化的 Linux）实例。我想知道是否可以在实例启动期间自动应用最新的安全更新？

所以在实践中我可以在启动时自动运行“sudo yum update --security”吗？我试图将该命令放在“用户数据”下，但没有真正成功。

还是我定期手动执行此操作并构建新 AMI 的首选方式？