Stelligent项目中的ECS容器服务实战指南

2025-06-19 10:04:05作者：魏献源Searcher

前言

本文将深入解析Stelligent项目中的ECS容器服务实践内容，帮助开发者全面掌握AWS ECS的核心概念和实操技能。我们将从基础概念入手，逐步深入到实际应用场景，涵盖ECR镜像仓库、经典ECS和Fargate三大核心模块。

第一部分：ECR镜像仓库实践

ECR核心概念

ECR(Elastic Container Registry)是AWS提供的全托管Docker容器镜像仓库服务，与ECS深度集成，是容器化应用部署的基础设施。

生命周期管理实战

创建基础仓库
- 使用CloudFormation的AWS::ECR::Repository资源类型
- 建议通过Outputs导出仓库URI供后续使用

镜像过期策略配置

LifecyclePolicy:
  LifecyclePolicyText: |
    {
      "rules": [
        {
          "rulePriority": 1,
          "description": "Expire images older than 30 days",
          "selection": {
            "tagStatus": "any",
            "countType": "sinceImagePushed",
            "countUnit": "days",
            "countNumber": 30
          },
          "action": { "type": "expire" }
        }
      ]
    }

无标签镜像管理

LifecyclePolicy:
  LifecyclePolicyText: |
    {
      "rules": [
        {
          "rulePriority": 1,
          "description": "Keep only one untagged image",
          "selection": {
            "tagStatus": "untagged",
            "countType": "imageCountMoreThan",
            "countNumber": 1
          },
          "action": { "type": "expire" }
        }
      ]
    }

认证机制深度解析

ECR提供两种Docker CLI认证方式：

get-login方式

aws ecr get-login --no-include-email | bash

授权令牌方式

TOKEN=$(aws ecr get-authorization-token --output text --query 'authorizationData[].authorizationToken' | base64 --decode)
docker login -u AWS -p $TOKEN <ecr-repo-uri>

技术差异：

get-login生成短期有效的Docker登录命令
get-authorization-token提供更底层的访问控制
生产环境推荐使用IAM角色进行认证

第二部分：经典ECS部署实战

架构设计要点

经典ECS架构包含以下核心组件：

ECS Cluster：容器运行的逻辑分组
EC2 Capacity：实际运行容器的计算资源
Task Definition：容器运行模板
ECS Service：长期运行的任务管理

关键配置示例

集群创建

ECSCluster:
  Type: AWS::ECS::Cluster
  Properties:
    ClusterName: "stelligent-cluster"
    Tags:
      - Key: Owner
        Value: !Ref AWS::AccountId

EC2容量配置

ContainerInstances:
  Type: AWS::AutoScaling::LaunchConfiguration
  Properties:
    ImageId: ami-0abcdef1234567890 # Amazon Linux 2
    InstanceType: t2.micro
    SecurityGroups:
      - !Ref InstanceSecurityGroup
    UserData:
      Fn::Base64: !Sub |
        #!/bin/bash
        echo ECS_CLUSTER=${ECSCluster} >> /etc/ecs/ecs.config

任务定义

TaskDefinition:
  Type: AWS::ECS::TaskDefinition
  Properties:
    Family: "nginx-task"
    ContainerDefinitions:
      - Name: nginx
        Image: !Sub ${ECRRepository.RepositoryUri}:latest
        PortMappings:
          - ContainerPort: 80
            HostPort: 80
        Cpu: 256
        Memory: 512

生产环境最佳实践

日志收集方案

配置CloudWatch日志驱动
设置合理的日志保留策略

示例配置：

LogConfiguration:
  LogDriver: awslogs
  Options:
    awslogs-group: !Ref LogGroup
    awslogs-region: !Ref AWS::Region
    awslogs-stream-prefix: ecs

安全加固措施
- 使用自定义ECS优化AMI
- 配置实例级IAM角色
- 启用ECS Exec进行容器调试

第三部分：Fargate无服务器架构

Fargate核心优势

无需管理基础设施
- 自动配置计算资源
- 按实际使用量计费
简化部署流程
- 无需预置EC2实例
- 自动处理容量扩展

关键配置差异

网络模式配置

NetworkMode: awsvpc
RequiresCompatibilities: 
  - FARGATE

任务定义示例

TaskDefinition:
  Type: AWS::ECS::TaskDefinition
  Properties:
    Family: "nginx-fargate"
    NetworkMode: awsvpc
    RequiresCompatibilities: 
      - FARGATE
    Cpu: "256"
    Memory: "512"
    ContainerDefinitions:
      - Name: nginx
        Image: !Sub ${ECRRepository.RepositoryUri}:latest
        PortMappings:
          - ContainerPort: 80

Fargate限制与应对

存储限制解决方案
- 使用EFS实现持久化存储
- 通过S3进行数据交换
网络隔离方案
- 每个任务获得独立ENI
- 通过安全组实现精细控制

架构选型指南

特性	经典ECS	Fargate
基础设施管理	用户负责	AWS全托管
启动时间	中等(需预置实例)	快速(按需分配)
成本模型	按实例计费	按任务计费
自定义需求	完全支持	有限支持
持久化存储	完全支持	通过EFS支持

选型建议：

需要GPU/特殊实例类型 → 经典ECS
快速部署无状态服务 → Fargate
严格合规要求 → 经典ECS(完全控制)

安全最佳实践

镜像安全
- 启用镜像扫描
- 使用KMS加密镜像
- 实施镜像签名验证

访问控制

细粒度仓库策略
跨账号访问控制

RepositoryPolicyText: |
  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "AWS": "arn:aws:iam::123456789012:root"
        },
        "Action": [
          "ecr:GetDownloadUrlForLayer",
          "ecr:BatchGetImage"
        ]
      }
    ]
  }