[AWS ECS] Fargate 시작 유형의 Amazon ECS에 서버리스 애플리케이션 배포하기

☄️ To-Be Architecture

To-Be Architecture

Fargate Type의 Amazon ECS를 이용하여 서버리스 애플리케이션을 배포해 보자.

아래와 같은 순서로 진행하였습니다.

ECR에 Docker Image 업로드 → ECS Cluster 생성 → ECS Task Definition 생성 → ALB 생성 → ECS Service 생성(Task 배포)

 

 

 

0. Amazon ECS(Elastic Container Service)란?

컨테이너화된 애플리케이션의 완전관리형 컨테이너 오케스트레이션 서비스.

ECS 구성 요소

• ECS Task Definition: Docker 컨테이너를 실행하기 위한 설정값.
• ECS Task: Task Definition을 이용하여 배포된 Container Set.
• ECS Service: ECS Cluster에서 지정된 수의 Task를 동시에 실행하고 유지하는 데 사용하는 구성.
• ECS Container: ECS Service 내 개별 task나 여러 Task를 실행하는 데 사용하는 Task Definition에 정의된다.

ECS Launch Type (시작 유형)

1. Fargate

• 서버리스 종량제 옵션.
• 인프라를 관리할 필요 없이 컨테이너를 실행한다.

2. EC2

• 클러스터에서 EC2 인스턴스를 구성하고 배포하여 컨테이너를 실행한다.
• 인프라에 대한 더 세부적인 제어 가능.

 

 

 

1. Amazon ECR(Elastic Container Registry) 생성

ECS에서 사용할 컨테이너 이미지를 만들고 ECR의 Repository에 이미지를 업로드한다.

1-1. (참고) Dockerfile 작성

FROM ubuntu:18.04

# Install dependencies
RUN apt-get update && \\
 apt-get -y install apache2

# Install apache and write hello world message
RUN echo 'Hello World!' > /var/www/html/index.html

# Configure apache
RUN echo '. /etc/apache2/envvars' > /root/run_apache.sh && \\
 echo 'mkdir -p /var/run/apache2' >> /root/run_apache.sh && \\
 echo 'mkdir -p /var/lock/apache2' >> /root/run_apache.sh && \\ 
 echo '/usr/sbin/apache2 -D FOREGROUND' >> /root/run_apache.sh && \\ 
 chmod 755 /root/run_apache.sh

EXPOSE 80

CMD /root/run_apache.sh

1-2. ECR Repository 생성

방법 1) AWS Console

AWS ECS Console > Repositories > Create Repository

방법 2) AWS CLI

aws ecr create-repository --repository-name { hyeonju-ecr }

1-3. ECR에 도커 이미지 푸시

ECR > Repository 콘솔에서 [View Push Commands] 버튼 클릭 시 아래와 같은 이미지 푸시 방법 가이드가 제공된다.

# macOS/Linux 에서 push commands

# AWS ECR 로그인
aws ecr get-login-password --region { ap-northeast-2 } | docker login --username AWS --password-stdin { account-number.dkr.ecr.ap-northeast-2.amazonaws.com }

# Docker 이미지 빌드
docker build -t { hyeonju-ecr } .

# 이미지 태깅
docker tag { hyeonju-ecr:latest } { account-number.dkr.ecr.ap-northeast-2.amazonaws.com/hyeonju-ecr:latest }

# AWS ECR에 이미지 푸시
docker push { account-number.dkr.ecr.ap-northeast-2.amazonaws.com/hyeonju-ecr:latest }

 

 

 

 

2. ECS Cluster 생성

Networking

ECS Cluster를 구성할 VPC, Subnet을 선택한다.

Infrastructure

• Cluster 인프라로 원하는 타입 선택.
• Fargate로 구성한다면 별도로 지정할 필요는 없다.

Monitoring > Container Insight 활성화(선택)

[Ref] AWS Docs: 클러스터 및 서비스 수준 지표를 위해 Amazon ECS에서 Container Insights 설정

• 컨테이너화된 애플리케이션 및 마이크로 서비스의 지표 및 로그를 수집하고 집계하며 요약한다.
• ECS Cluster, ECS Task 및 ECS Service 레벨에서 지표를 수집한다.
• CloudWatch automatically collects metrics for many resources, such as CPU, memory, disk, and network. Container Insights also provides diagnostic information, such as container restart failures, that you use to isolate issues and resolve them quickly. You can also set CloudWatch alarms on metrics that Container Insights collects.

 

 

 

3. ECS Task Definition 생성

3-1. IAM > ECS Task Execution Role 생성

AWS managed Policy- AmazonECSTaskExecutionRolePolicy를 연결한다.

// arn:aws:iam::aws:policy/service-role/AmazonECSTaskExecutionRolePolicy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

// Trust relationships
{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "ecs-tasks.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

3-2. Container 정보 입력

• Image URI : 1번 단계에서 ECR에 업로드한 Image URI 입력
• App Environment : AWS Fargate (serverless) 선택
• Operating system/Architecture : Linux/X86_64
• Task size(CPU, Memeory) 선택
• Task role > b에서 생성한 ecsTaskExecutionRole 선택
  • A task execution IAM role is used by the container agent to make AWS API requests on your behalf. If you don't already have a task execution IAM role created, we can create one for you.
• Network mode : Fargate의 경우 자동 awsvpc 선택.
  • The network mode that's used for your tasks. By default, when the AWS Fargate (serverless) app environment is selected, the awsvpc network mode is used. If you select Amazon EC2 instances app environment, you can use the awsvpc or bridge network mode.

 

 

 

4. ALB 생성

ECS Service에 연결할 Load Balancer를 생성한다.

4-1. Target Group 생성

• Target Type : IP
  • Services with tasks that use the awsvpc network mode (for example, those with the Fargate launch type) only support Application Load Balancers and Network Load Balancers. Classic Load Balancers aren't supported. Also, when you create any target groups for these services, you must choose ip as the target type, not instance. This is because tasks that use the awsvpc network mode are associated with an elastic network interface, not an Amazon EC2 instance.
• Port : Container Port
• Health Check 경로도 미리 설정한다.

4-2. ALB 생성

Application Load Balancer 생성 및 4-1에서 만든 Target Group으로 트래픽을 전달하는 리스너 연결

 

 

 

5. ECS Service 생성

디버깅 목적으로 명령어 실행을 가능하게(—enable-execute-command) 하기 위해 AWS CLI를 이용하여 ECS Service를 생성하였다. 원하지 않는 경우 AWS Console을 통해 생성하여도 무방하다.

Auto Scaling은 별도 적용하지 않았다.

aws ecs create-service \
--service-name hyeonju-ecs-service \
--cluster hyeonju-ecs-cluster \
--task-definition hyeonju-ecs-td \
--desired-count 2 \
--launch-type "FARGATE" \
--load-balancers targetGroupArn=arn:aws:elasticloadbalancing:ap-northeast-2:account-number:targetgroup/security-group-name/3###############,containerName=hyeonju-container,containerPort=80 \
--network-configuration "awsvpcConfiguration={subnets=[subnet-0###############,subnet-0###############],securityGroups=[sg-0###############]}" \
--enable-execute-command

• enable-execute-command
  • enables execute command functionality on all containers in the service tasks.
• LoadBalancer
  • Configure a load balancer to distribute incoming traffic across the tasks running in your service.
  • 3에서 생성한 ALB의 Target Group ARN을 입력한다.

💡 콘솔에서 Service 생성하는 경우, 아래 참고.

생성한 cluster > Services 탭 > Create 버튼으로 생성 가능.

• Launch Type : Fargate
• Application Type
  • Service : ECS Cluster에서 지정된 수의 작업 정의 인스턴스를 동시에 실행하고 유지, 관리할 수 있다. 장기간 실행되는 상태 비저장 서비스 및 애플리케이션과 적합하다. 서비스 작업이 실패하거나 중지되면 서비스 스케줄러는 작업 정의의 다른 인스턴스를 실행하여 해당 인스턴스를 바꾸어 서비스에서 원하는 작업 수를 유지한다.
  • (Standalone) Task : 기능을 수행한 후 중지하는 배치 작업과 같은 프로세스에 가장 적합하다.

💡 Service가 잘 생성되었는지 확인해 보자 = Task가 잘 배포되었는지 확인해 보자.

1. ALB의 Target Group에 Target이 정상적으로 등록되었는지 및 healthy인지 확인.
2. ECS의 Task에 원하는 수의 task가 정상적으로 running 중인지 확인. ALB의 Target Group에서 health check가 제대로 되지 않는 경우 Task가 등록과 drain을 반복한다.
3. ALB의 Endpoint로 접근 시, 정상적으로 동작하는지 확인.

💡 Task Definition 수정 시, Service Update가 필요하다.

Task Definition 수정 등으로 인한 new revision 생성 후, 새로운 버전으로 배포를 위해서는 Service도 반드시 update가 필요하다.

 

 

 

6. ECS Exec 사용하기 (선택)

ECS Exec을 사용하여 명령을 실행하거나 Amazon EC2 인스턴스 또는 AWS Fargate에서 실행하는 컨테이너에 셸을 사용할 수 있다. 이를 통해 컨테이너에 대한 중단 없이 액세스 하고 문제를 디버깅할 수 있다.

6-1. 사전 조건

AWS CLI에 대한 Session Manager 플러그인이 설치되어 있어야 한다.

• AWS Docs: (Optional) Install the Session Manager plugin for the AWS CLI

6-2. ECS Service에 ecs exec Enablement 여부 확인

aws ecs describe-tasks --cluster hyeonju-ecs-cluster --tasks { task-id }

# 활성화 여부만 출력하기
# aws ecs describe-tasks --cluster hyeonju-ecs-cluster --tasks { task-id } | grep enableExecuteCommand

false인 경우, ECS Service 구성 정보 업데이트 필요.

아래의 command를 통해 ECS Service의 enableExecuteCommand 옵션을 활성화할 수 있으나, ECS Service를 통해 Task가 생성된 경우 Service 업데이트 후 Task가 새로 생성되어야만 접속이 가능하다.

aws ecs update-service \
	--cluster hyeonju-ecs-cluster \
	--service { service-name } \
	--enable-execute-command

 

6-3. Task Role 설정

Task Definition에 연결되어 있는 Task Role에 ECS Exec에 필요한 권한이 포함되어 있어야 한다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        }
    ]
}

6-4. ECS Exec이 가능한지 확인해 보자.

aws ecs execute-command \
	--cluster hyeonju-ecs-cluster \
    --container { container-name }
    --task { task-id } \
    --interactive \
    --command "/bin/sh"

 

 

 

 

🔗 참고 문서

• AWS Docs: Amazon Elastic Container Service란 무엇입니까?
• AWS Fargate란 무엇인가요?
• AWS Docs: 자습서: AWS CLI를 사용하여 Fargate Linux 태스크로 클러스터 생성
• AWS Docs: Amazon ECS에서 사용할 컨테이너 이미지 생성
• AWS Docs: 클러스터 및 서비스 수준 지표를 위해 Amazon ECS에서 Container Insights 설정
• AWS CLI Docs: aws ecs create-service
• AWS Docs: 디버깅에 Amazon ECS Exec 사용
• AWS Docs: (Optional) Install the Session Manager plugin for the AWS CLI
• AWS CLI Docs: aws ecs execute-command
• 기술 블로그: [ECS] ECS Exec를 사용하여 ECS Fargate 컨테이너에 접속하기
• AWS CLI Docs: aws ecs update-service