Desenvolvimento de Aplicações em Container com AWS Fargate

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Desenvolvimento de Aplicações em
Container com AWS Fargate
DEV302
Filipe Scoton
FSI Solutions Architect, Amazon Web Services

Motivação

No início, existia
Amazon EC2

Então, Docker!
Clientes começaram a conteinerizar aplicações utilizando
instâncias EC2
EC2 Instance
Containers

Containers tornaram fácil criar e escalar aplicações
nativas na nuvem

Clientes precisavam de uma forma fácil para gerenciar grandes clusters de
instâncias, iniciar containers e executar serviços

Agendamento e Orquestração
Cluster Manager Placement Engine

ECS
Agent
Docker
Agent
SO
Instância EC2
Mas você continuava gerenciando mais do que apenas containers

Aplicação de patches e upgrades em SO, agentes, etc.
Escalar a frota de instâncias para melhor utilização

ECS
Agent
Docker
Agent
SO
Instância EC2
ECS
Agent
Docker
Agent
SO
Instância EC2
ECS
Agent
Docker
Agent
SO
Instância EC2
Elastic
Container
Service

Suas
Aplicações em
Containers
GERENCIADO PELA AWS
Sem instâncias EC2 para provisionar, escalar ou gerenciar
ELÁSTICO
Escale para mais ou para menos. Pague apenas pelo uso.
INTEGRADO
Com todo o ecossistema AWS: Amazon VPC, Elastic Load Balancing, AWS
Identity and Access Management , Amazon CloudWatch e mais.
AWS Fargate

Panorama dos serviços de Containers da AWS
GESTÃO
Implantação, agendamento,
dimensionamento e gestão
de aplicações em containers
HOSPEDAGEM
Onde os containers rodam
Amazon Elastic
Container Service
Amazon Elastic
Container Service
for Kubernetes
Amazon EC2 AWS Fargate
REGISTRO DE IMAGENS
Repositório de imagens de
containers
Amazon Elastic
Container Registry

Clientes utilizando AWS Fargate
”We don't want to
babysit any clusters.
That has nothing to do
with us.”
Shimon Tolts
CTO, DATREE
“We moved to Fargate
because we need the
ability to scale quickly up
from baseline and get
fine-grained network
control, without having to
manage our own
infrastructure.”
Product Hunt

Trabalhando com o Fargate

Utilizando Fargate com Amazon ECS

Define os containers da aplicação: url
da imagem, requisitos de CPU e
memória, etc.
register
Task Definition
create
Cluster
• Limite de isolamento da infraestrutura
• Limite de permissões IAM
run
Task
• Uma instância de uma task
definition em execução
• Use o tipo de lançamento
AWS Fargate
create
Service
Elastic Load
Balancing
• Mantém N cópias em execução
• Integrado ao Elastic Load
Balancing
• Tasks não saudáveis são
automaticamente substituídas
Utilizando Fargate com Amazon ECS

Task Definition
{
"family": “scorekeep",
"containerDefinitions": [
{
"name":“scorekeep-frontend",
"image":"xxx.dkr.ecr.us-east-1.amazonaws.com/fe"
},
{
"name":“scorekeep-api",
"image":"xxx.dkr.ecr.us-east-1.amazonaws.com/api"
}
]
}
Documento imutável e versionado
Identificado pela “família: versão”
Contém uma lista de até 10 definições de containers
Todos os containers são executados no mesmo host
Cada Container Definition possui:
• Um nome
• URL da Imagem (Amazon ECR or Imagens
Públicas)
Snippet de uma Task Definition

Suporte a Repositórios
Repositórios privados de terceiros (em breve!)
Repositórios públicos suportados
Amazon ECR

Computação

Especificação de CPU e Memória
{
"family": "scorekeep",
"cpu": "1 vCpu",
"memory": "2 gb",
{
"image":"xxx.dkr.ecr.us-east-1.amazonaws.com/fe“,
"cpu": 256,
"memoryReservation": 512
},
{
"image":"xxx.dkr.ecr.us-east-1.amazonaws.com/api",
"cpu": 768,
}
]
}
Recursos a Nível de Task
• CPU/memória total para todos os containers
• Campos obrigatórios
• Dimensões de cobrança
Unidades
• CPU: cpu-units. 1 vCPU = 1024 cpu-units
• Memória: MB
Recursos a nível de Container
• Define o compartilhamento de recursos entre os
containers
• Campos opcionais
Recursos a
Nível de
Task
Recursos a
nível de
Container
Task Definition Snippet

50 diferentes combinações de CPU/memória para serem escolhidas
CPU Memory
256 (.25 vCPU) 512 MB, 1 GB, 2 GB
512 (.5 vCPU) 1 GB, 2 GB, 3 GB, 4 GB
1024 (1 vCPU) 2 GB, 3 GB, 4 GB, 5 GB, 6 GB, 7 GB, 8 GB
2048 (2 vCPU) Entre 4 GB e 16 GB em incrementos de 1-GB
4096 (4 vCPU) Entre 8 GB e 30 GB em incrementos de 1-GB
Configurações de CPU e Memória das Tasks

Cobrança por Segundo. Mínimo de um minuto
Pague pelo que você provisiona
Cobrança pelo nível de CPU e memória das Tasks
Precificação

Rede

Integração com VPC
172.31.0.0/16
Subnet
172.31.1.0/24
Internet
Other Entities in VPC
EC2 LB DB etc.
IP Privado
172.31.1.164
Inicie suas Tasks Fargate em subnets
Nos bastidores:
• Nós criamos uma Elastic Network Interface (ENI)
• É alocado IP privado de sua subnet a esta ENI
• A ENI é conectado à sua Task
• Agora sua Task possui um IP privado de sua subnet!
Você pode associar IPs públicos às suas tasks
Configure security groups para controlar o tráfego de entrada
e saída
ENI Fargate
TaskPúblico /
208.57.73.13 /

Configuração da VPC
{
"cpu": "1 vCpu",
"memory": "2 gb",
"networkMode": "awsvpc",
{
"image":"xxx.dkr.ecr.us-east-1.amazonaws.com/fe",
"cpu": 256,
},
{
"cpu": 768,
}
]
}
$ aws ecs run-task ...
-- task-definition scorekeep:1
-- network-configuration
“awsvpcConfiguration = {
subnets=[subnet1-id, subnet2-id],
securityGroups=[sg-id]
}”
Habilita a
criação e
conexão da
ENI à Task
Run Task
Task Definition

Acesso a Internet
A ENI da Task é utilizada para todo o tráfego de entrada e saída de e para sua Task
Ela também é utilizada para:
• Baixar as imagens (do ECR ou de repositórios públicos)
• Enviar logs para o CloudWatch
Estes endpoints precisam ser acessíveis através da ENI de sua Task
Dois modos de setup comuns:
• Privado sem tráfego de entrada a partir da internet, mas permite saída para internet
• Tasks públicas, com acesso de entrada e saída a internet

Configuração de Tasks Privadas
Subnet Pública Subnet Privada
Fargate
TaskENI
IP Privado
172.31.1.164
NAT Gateway
EIP Público
34.214.162.237
Internet
Gateway
172.31.0.0/16
172.31.2.0/24 172.31.1.0/24
Destination Target
172.31.0.0/16 local
0.0.0.0/0 NAT Gateway
Destination Target
172.31.0.0/16 local
0.0.0.0/0 Internet Gateway
Route Tables
Internet
Conecte o Internet Gateway à VPC
Configure uma Subnet Pública com:
• Rota para o Internet Gateway
• NAT Gateway
Configure a Subnet Privada com
• Task Fargate
• Rota para o NAT Gateway
Security Group para permitir o tráfego de
saída para a Internet
Tipo Porta Destino
All Traffic ALL 0.0.0.0/0
Outbound Security Group Rules

Outbound
Inbound
Configuração de Tasks Públicas
Public subnet
Fargate
Task
Public IP
54.191.135.66
Internet
Gateway
172.31.0.0/16
172.31.2.0/24
Destination Target
172.31.0.0/16 local
0.0.0.0/0 Internet Gateway
Route Table
Internet
ENI
$ aws ecs run-task ...
subnets=[public-subnet],
securityGroups=[sg-id],
}”
Inicie a Tasks em uma subnet pública
A task receberá um IP público
Security Group que permita o tráfego de entrada
proveniente da InternetType Port Source
HTTP 8080 0.0.0.0/0
Inbound Security Group Rule
Type Port Destination
All Traffic ALL 0.0.0.0/0
Outbound Security Group Rules
assignPublicIp=ENABLED
Run Task

Configuração do Elastic Load Balancing
{
"cpu": "1 vCpu",
"memory": "2 gb",
"networkMode": “awsvpc“,
{
"image":"xxx.dkr.ecr.us-east-1.amazonaws.com/fe",
"cpu": 256,
"memoryReservation": 512,
"portMappings": [
{ "containerPort": 8080 }
]
},
{
"cpu": 768,
"memoryReservation": 512,
"portMappings": [
{ "containerPort": 5000 }
]
}
]
}
$ aws ecs create-service ...
-- task-definition scorekeep:1
subnets=[subnet-id],
securityGroups=[sg-id]
}”
-- load-balancers
“[
{
"targetGroupArn": “<insert arn>",
"containerName": “scorekeep-frontend",
"containerPort": 8080
}
]”
Create Service
Task Definition

Configuração de Elastic Load Balancing Público
Public subnet Private subnet
Fargate
TaskENI
Private IP
172.31.1.164
:8080
ALB
Public IP
208.57.73.13
:80
172.31.0.0/16
172.31.2.0/24 172.31.1.0/24
Internet
Task em uma subnet privada com endereço IP
privado
ALB em subnet pública com endereço IP público
Tenha certeza que as Availability Zones das duas
subnets combinam
Security group do ALB deve permitir tráfego de
entrada a partir da Internet
O security group da Task deve permitir o tráfego de
entrada a partir do security group do ALB
Task Security GroupALB Security Group
Type Port Source
HTTP 80 0.0.0.0/0
Inbound Rule
Type Port Source
Custom TCP 8080 ALB Security Group
Inbound Rule
us-east-1a us-east-1a

Armazenamento

Armazenamento efêmero provido pelo Amazon EBS na forma de:
Volume de armazenamento
Armazenamento de camada gravável
Armazenamento em Disco

• Imagens Docker são compostas por camadas.
A camada superior é a camada de escrita que
captura mudanças em arquivos feitas pelo
container em execução.
• Camada de armazenamento de 10-GB
disponível por task, para todos os containers,
incluindo camadas de imagem
• Escritas não visíveis entre containers
• Armazenamento efêmero não disponível
depois que a task para.
Image Layers
Writable Layer
Image Layers
Writable Layer
Container 1 Container 2
10 GB por Task
Camada de Armazenamento

• Precisa que a escrita seja visível entre
containers?
• Fargate provê 4GB de espaço por task
• Configure via "volume mounts" na task
definition
• Pode montar em diferentes containerPaths
• Não especifique o sourcePath do host
• Lembre-se que este armazenamento também
é efêmero, ou seja, não disponível depois que
a task é parada.
Container 1 Container 2
4 GB Volume Storage
mount
/var/container1/data /var/container2/data
Armazenamento de Volume

Permissões IAM

Camadas de Permissão
Cluster
Permissions
Application
Permissions
Task
Housekeeping
Permissions
Cluster
Fargate Task
Permissões do Cluster:
Controle quem pode lançar/descrever tasks em seu cluster
Permissões de Aplicação:
Permite os containers de sua aplicação acessar recursos da AWS
de forma segura.
Permissões de Sustentação:
Permite que execute atividades de sustentação em sua task:
• Amazon ECR Image Pull
• Envio de logs para o Amazon CloudWatch
• Criação de ENI
• Registrar/Remover targets em Elastic Load
Balancers

Visibilidade e Monitoramento

CloudWatch Logs
Tab Logs na
página de
detalhes da Task
Visualize logs através da console do Amazon ECS ou CloudWatch

Métricas de utilização de CPU/memória de
serviços disponíveis no CloudWatch
CloudWatch Events em mudanças de estado
das tasks
Outras ferramentas de visibilidade

O que há de novo?

Service Discovery Gerenciado para Amazon ECS
NOVO!
• Registro de Serviços:
• Nomes previsíveis para serviços
• Atualizado automaticamente com
os últimos endereços IP
saudáveis, porta
• Gerenciado: Sem sobrecarga de
instalação ou monitoramento
• Alta disponibilidade, alta escala
• Extensível: Limites flexíveis para auto
descoberta

Lições Aprendidas

Lições Aprendidas
• Fargate é um novo tipo de execução do Amazon ECS para execução de containers sem a
necessidade de gestão de instâncias Amazon EC2.
• Se você está decidindo entre Amazon EC2 vs. AWS Fargate, comece sua arquitetura utilizando
Fargate.
• Isto irá forçar boas práticas no design, mantendo os containers de sua aplicação verdadeiramente
independentes do host subjacente.
• Se você acha que precisa ter acesso ao host subjacente, pense novamente.
• Existem algumas boas razões: necessidades de um tipo especial de instância, instâncias EC2 dedicadas,
utilização de instâncias reservadas, GPUs, workloads Windows, etc
• E nos conte seu caso de uso. Nós queremos te ajudar com o Fargate!
• Comece utilizando o AWS Fargate hoje!
• Fargate trabalha com suas imagens de container Docker
• Você pode executar task definitions existentes no AWS Fargate com apenas algumas modificações.

Obrigado!

Desenvolvimento de Aplicações em Container com AWS Fargate

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Desenvolvimento de Aplicações em Container com AWS Fargate

Semelhante a Desenvolvimento de Aplicações em Container com AWS Fargate (20)

Mais de Amazon Web Services LATAM

Mais de Amazon Web Services LATAM (20)

Desenvolvimento de Aplicações em Container com AWS Fargate