发布于: Mar 16, 2021
Amazon Elastic Container Service (Amazon ECS) 推出了 Amazon ECS Exec,为客户提供了一种简单、安全且可审计的方法,以在 Amazon Elastic Compute Cloud (Amazon EC2) 实例或者Amazon Fargate 上运行的容器中运行命令。借助 ECS Exec,您可以通过交互式 shell 或单个命令访问正在运行的容器,从而更轻松地调试问题、诊断错误、收集一次性转储和统计信息,以及与容器中的进程进行交互。
使用 ECS Exec,您可以直接与正在运行的容器进行交互,而无需与主机实例交互、打开入站端口或管理 SSH 密钥,从而提高容器实例的安全性。您可以在粒度级别(例如 ECS 任务或服务)启用此功能,以帮助您保持更严格的安全性。通过使用 Amazon Identity and Access Management (IAM) 策略,您可以创建精细策略来控制谁可以对哪些集群、任务或容器运行命令。提供访问权限后,您可以使用 Amazon CloudTrail 来审计访问了容器的用户,并将每个命令及输出记录到 Amazon Simple Storage Service (Amazon S3) 或 Amazon CloudWatch Logs 中。这可让 ECS 用户安全地排查在开发过程中遇到的错误或系统问题,并为他们提供了一种调试工具,用于其容器化应用程序生产环境中的“破碎玻璃”程序。
Amazon ECS Exec 现已在所有公共亚马逊云科技区域开放,包括由光环新网运营的亚马逊云科技中国(北京)区域以及由西云数据运营的亚马逊云科技中国(宁夏)区域,且不会产生额外成本。此功能支持 ECS 优化的 AMI 容器代理版本 1.50.2 和 Fargate 平台版本 1.4.0 或更高版本。请访问我们的文档页或者阅读博客文章,以了解如何通过 API、Amazon 命令行界面 (CLI) 或 Amazon 软件开发工具包,使用 ECS Exec 在正在运行的 Linux 容器中运行命令。