Amazon Elastic Container Service ECS facilita ejecutar aplicaciones en contenedores en AWS sin gestionar servidores. Con AWS Fargate y Fargate Spot es posible ejecutar cargas de trabajo en un modo serverless mientras se optimizan costes. En este artículo explicamos de forma práctica cómo desplegar una aplicación Node.js almacenada en un repositorio público de Amazon ECR usando módulos comunitarios de Terraform y las mejores prácticas de red y seguridad.
Arquitectura En el núcleo del diseño provisionamos una VPC con subredes públicas y privadas distribuidas en varias zonas de disponibilidad para alta disponibilidad. El clúster de ECS es una entidad regional y las tareas de ECS corren dentro de las subredes privadas de la VPC. Cada tarea de ECS utiliza grupos de seguridad para controlar tráfico entrante y saliente. Para exponer la aplicación al exterior utilizamos un Application Load Balancer ALB desplegado en las subredes públicas que recibe tráfico de Internet y lo enruta a un target group que apunta a las tareas de ECS en las subredes privadas. Esta separación garantiza seguridad y acceso externo controlado a través del balanceador.
La definición de la tarea de ECS especifica la imagen del contenedor Node.js alojada en ECR público, junto con parámetros de CPU y memoria y el mapeo de puertos para que la aplicación escuche en el puerto 8080. El servicio de ECS mantiene el número deseado de tareas y se integra con el ALB para registrar y desregistrar instancias dinámamente. Para escalabilidad configuramos políticas de autoscaling basadas en uso de CPU y memoria, de modo que ante picos de carga se lancen más tareas Fargate o Fargate Spot y se reduzcan cuando la demanda baja para ahorrar costes.
Paso 1 Provisionar VPC y Cluster ECS con Terraform Recomendamos usar los módulos comunitarios terraform-aws-modules para VPC y ECS. El módulo VPC crea la red con subredes públicas y privadas, NAT gateway y configuraciones DNS. El módulo de cluster ECS se configura con proveedores de capacidad FARGATE y FARGATE_SPOT para combinar rendimiento y ahorro.
Paso 2 Roles IAM de ejecución y de tarea Es necesario crear un rol de ejecución para que ECS pueda obtener imágenes de ECR y enviar logs a CloudWatch, incluyendo permisos específicos para ECR público. Además conviene crear un rol de tarea si la aplicación necesita acceder a otros servicios AWS. Crear un grupo de logs en CloudWatch con retención definida facilita el monitorizado y cumplimiento.
Paso 3 ALB y Target Group El ALB reside en las subredes públicas y tiene un security group que permite tráfico HTTP y HTTPS desde Internet. El target group se configura con tipo target ip para apuntar a las tareas Fargate en las subredes privadas y con health checks adecuados para asegurar que solo las instancias sanas reciban tráfico.
Paso 4 Definición de tarea ECS con imagen Node.js En la task definition se establece network mode awsvpc, compatibilidad con FARGATE, recursos de cpu y memoria, y la configuración de logs usando awslogs conectado al grupo de CloudWatch. Se definen variables de entorno como NODE_ENV y el puerto en el que escucha la aplicación.
Paso 5 Servicio ECS con autoscaling El servicio de ECS se asocia al ALB mediante el target group y se aplica autoscaling con políticas de target tracking para CPU y memoria. También se configuran reglas de seguridad que permitan únicamente el tráfico desde el ALB hacia las tareas en el puerto de la aplicación.
Acceso a la aplicación y salida Una vez desplegado, Terraform devuelve el nombre DNS del ALB para acceder desde el navegador. Para evitar costes innecesarios al terminar pruebas o entornos temporales, ejecutar terraform destroy cleanup es imprescindible.
Ventajas de este enfoque Escalabilidad automática, ahorro mediante Fargate Spot, seguridad al ejecutar tareas en subredes privadas detrás de un ALB y reproducibilidad al usar Terraform modular y versionado son algunas de las principales ventajas.
En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en soluciones cloud, inteligencia artificial y ciberseguridad. Ofrecemos servicios integrales que incluyen desarrollo de software a medida, despliegue en la nube y estrategias de inteligencia de negocio. Si necesita migrar o desplegar aplicaciones con prácticas profesionales puede conocer nuestros servicios cloud en AWS y Azure o descubrir nuestras soluciones de inteligencia artificial para empresas.
Palabras clave integradas para mejorar posicionamiento SEO: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes ia, power bi.
Conclusión Con Terraform y los módulos comunitarios de AWS es sencillo y repetible desplegar una app Node.js en ECS con Fargate y Fargate Spot, manteniendo seguridad y optimización de costes. En Q2BSTUDIO podemos ayudarte a diseñar, implementar y operar estas arquitecturas, además de aportar valor con servicios de inteligencia de negocio, automatización y ciberseguridad para tu empresa.