Wpis z mikrobloga

Skopiuj link

23.03.2020, 19:52:30

Czy ma ktoś doświadczenie z ECS Fargate na AWS? Potrzebuję pobrać plik z bucketu S3, na kontener na fargate. Chciałbym użyć istniejących już narzędzi na kontenerze (wget, curl), dodałem policy AmazonS3ReadOnlyAccess dla Execution role. Jednak przy próbie pobrania wgetem z s3, dostaje 403 forbridden. Czy powinienem zrobić coś jeszcze? S3 ma zablokowany dostęp publiczny.
#aws

mmichal

23.03.2020, 19:57:22

Execution role

@Drail: pokaż jak rolę zrobiłeś, lub daj na chwilę

{

"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": " * "
}

K.....a

konto usunięte 23.03.2020, 19:58:28

@Drail: curl ci nic nie da, bo nie przekazujesz tokena do autoryzacji. Skorzystaj z AWS-CLI lub jakiegos AWS-SDK do tego co pobierze role, wygeneruje token.

Futhark

Drail

23.03.2020, 19:59:08

@Klopsztanga: Właśnie chce uniknać aws cli, myślałem że mogę to zautoryzować po execution role dla ECS.
@mmichal: w policy dla Bucketa mam ustawić?

K.....a

konto usunięte 23.03.2020, 19:59:46

@Drail: możesz, oczywiscie, ale poczytaj: https://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html

mmichal

23.03.2020, 20:00:28

@Drail: @Klopsztanga: dobrze Ci napisał, aws cli musisz użyć, chyba że masz publiczny bucket,

aws s3api get-object --bucket text-content --key dir/myimages.tar.bz2 myimages.tar.bz2

K.....a

konto usunięte 23.03.2020, 20:00:29

@Drail: a tutaj jak pobrac tymczasowy token z kontenera:
https://docs.aws.amazon.com/AmazonECS/latest/userguide/task-iam-roles.html

K.....a

konto usunięte 23.03.2020, 20:01:33

Jak sam widzisz - jest to trudne. Skorzystaj z gotowych narzędzi :)

Drail

23.03.2020, 20:02:19

@Klopsztanga: @mmichal: no cóż, to pozostaje mi dorzucić do obrazu aws cli :) Czyli nie wymyślę koła na nowo :)

K.....a

konto usunięte 23.03.2020, 20:02:31

@Drail: https://gist.github.com/davidejones/d05f51df75e659111227

w sumie jest gotowiec

Drail

Drail

23.03.2020, 20:02:55

@Klopsztanga: @mmichal: Ewentualnie myślałem o jakimś init containerze który podmontuje volumeny, skopiuje co trzeba i odsunie się w cień. Ale tu też mam wrażenie że przekombinowuje

K.....a

konto usunięte 23.03.2020, 20:03:27

@Drail: tak, przekombinujesz :)

mmichal

23.03.2020, 20:04:36

@Drail: Może w User Data daj?

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/user-data.html

Drail

23.03.2020, 20:05:36

@mmichal: odpada akurat. Deployment zrobiłem terraformem i raczej tego nie przekażę w ten sposób

K.....a

konto usunięte 23.03.2020, 20:07:38

@Drail: ogarnij to wewnątrz aplikacji... bo w bashu to tak nie profesjonalne :)

https://gist.github.com/afunsten/fcabcfe3a77a4958af9bcafba2dfbbb5 tutaj znalazlem lepszy skrypt

K.....a

konto usunięte 23.03.2020, 20:08:27

@Drail: btw. jak duzy to plik ?

Drail

23.03.2020, 20:09:13

@Klopsztanga: w sumie, mogę wywołać kontener z jakimiś wartościami, w deploymencie i tak mam secrety do awsa wyciągnięte

Drail

23.03.2020, 20:09:38

@Klopsztanga: 120kB, archwium z ~50 kluczami do apns

mmichal

23.03.2020, 20:10:09

resource "aws_ecs_cluster" "TWOJKLASTERECS" {
 name = "NAZWAKLASTRA"
}
data "template_file" "user_data" {
 template = "${file("userdata-SKRYPT-COSIEODPALI-PRZYSTARCIE.sh")}"
}
data "template_cloudinit_config" "config" {
 gzip = true
 base64_encode = true
 part {
 filename = "userdata-SKRYPT-COSIEODPALI-PRZYSTARCIE.sh"
 content_type = "text/x-shellscript"
 content = "${data.template_file.user_data.rendered}"
 }
}

resource "aws_launch_configuration" "LanczKonfDLAECS" {
 name_prefix = "klasterECS"
 image_id = "${data.aws_ami.amazon_linux.id}"
 instance_type = "t3.small"
 spot_price = "0.4"
 user_data = "${data.template_cloudinit_config.config.rendered}"
 key_name = "SSHKLUCZ"
 iam_instance_profile = "iam_ECS_ROLA_KLASTRA_ec2"
 security_groups = "listagrupsecurity"

}

Drail

23.03.2020, 20:10:21

@mmichal: @Klopsztanga: dobra, dzięki chłopaki, ogarnę wewnątrz aplikacji. Dzięki za gisty i dobre rady

mmichal

23.03.2020, 20:10:34

@Drail: proszę, klaster z terraformem z user data :)

Aktywne Wpisy

dosefurious

dosefurious +544

3 godz. i 43 min temu

Cześć, potrzebuje zebrać trochę odpowiedzi do ankiety potrzebnej do pracy magisterskiej. Dlatego robię #rozdajo
Losowanie przez stronę mirko.pro jednej osoby z plusujących ten wpis. Wygranej osobie prześlę 100 zł blikiem. Losowanie w środę o 21:37. Wszystkich plusujących proszę o wypełnienie ankiety, całość nie powinna zająć więcej niż 3 min :D

Link do ankiety: https://forms.gle/yK4mnnAaP89v4seQA

#rozdajo #ankieta #magisterka #studia #szkola