先决条件配置 Amazon凭证创建环境文件运行Amazon IoT Greengrass核心软件后续步骤

Amazon IoT Greengrass在具有自动资源配置功能的 Docker 容器中运行

本教程向您展示如何使用自动配置的Amazon资源和本地开发工具在 Docker 容器中安装和运行 C Amazon IoT Greengrass ore 软件。您可以使用此开发环境来探索 Docker 容器中的Amazon IoT Greengrass功能。该软件需要Amazon凭据才能配置这些资源和部署本地开发工具。

如果您无法向容器提供Amazon凭证，则可以预配置核心设备运行所需的Amazon资源。您也可以将开发工具部署到核心设备以用作开发设备。这使您能够在运行容器时向设备提供更少的权限。有关更多信息，请参阅 Amazon IoT Greengrass在 Docker 容器中运行，手动配置资源。

先决条件

要完成本教程，您需要以下内容。

Amazon Web Services 账户。如果没有，请参阅设置一个 Amazon Web Services 账户。
有权为 Amazon Greengrass 核心设备配置Amazon IoT和 IAM 资源的 IAM 用户。C Amazon IoT Greengrass ore 软件安装程序使用您的Amazon凭据自动配置这些资源。有关自动配置资源的最低 IAM 策略的信息，请参阅安装程序配置资源的最低 IAM 策略。
一张 Amazon IoT Greengrass Docker 镜像。你可以从 Amazon IoT Greengrass Dockerfile 中生成镜像。
运行 Docker 容器的主机必须满足以下要求：
- 基于Linux的操作系统，可连接互联网。
- Docker Engin e 版本 18.09 或更高版本。
- （可选）Docker Compose 版本 1.22 或更高版本。只有当你想使用 Docker Compose CLI 来运行 Docker 镜像时，才需要 Docker Compose。

配置 Amazon凭证

在此步骤中，您将在主机上创建一个包含您的Amazon安全凭据的凭据文件。运行 Amazon IoT Greengrass Docker 镜像时，必须将包含此凭证文件的文件夹挂载到 Docker 容器/root/.aws/中。Amazon IoT Greengrass安装程序使用这些凭据在中配置资源Amazon Web Services 账户。有关安装程序自动配置资源所需的最低 IAM 策略的信息，请参阅安装程序配置资源的最低 IAM 策略。

检索以下内容之一。
- IAM 用户的长期证书。有关如何检索长期证书的信息，请参阅 IAM 用户指南中的管理 IAM 用户的访问密钥。
- （推荐）IAM 角色的临时证书。有关如何检索临时证书的信息，请参阅 IAM 用户指南Amazon CLI中的使用临时安全证书。
创建一个用于存放凭证文件的文件夹。
```
mkdir ./greengrass-v2-credentials
```
使用文本编辑器在./greengrass-v2-credentials文件夹credentials中创建名为的配置文件。

例如，你可以运行以下命令来使用 GNU nano 来创建credentials文件。
```
nano ./greengrass-v2-credentials/credentials
```

按以下格式将您的Amazon凭证添加到credentials文件中。


[default]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPy...truncated...zrkuWJOgQs8IZZaIv2BXIa2R4Olgk

仅aws_session_token适用于临时证书。

重要

启动Amazon IoT Greengrass容器后，将凭据文件从主机中删除。如果您不删除凭证文件，则您的Amazon凭证将保持挂载在容器内。有关更多信息，请参阅在容器中运行 Amazon IoT Greengrass Core 软件。

创建环境文件

本教程使用环境文件来设置环境变量，这些变量将传递给 Docker 容器内的 C Amazon IoT Greengrass ore 软件安装程序。您还可以在docker run命令中使用-e或--env参数在 Docker 容器中设置环境变量，也可以在docker-compose.yml文件中的某个environment块中设置变量。

使用文本编辑器创建名为的环境文件.env。

例如，在基于 Linux 的系统上，您可以运行以下命令以使用 GNU nano 在当前目录.env中创建。
```
nano .env
```
将以下内容复制到文件中。
```
GGC_ROOT_PATH=/greengrass/v2
AWS_REGION=region
PROVISION=true
THING_NAME=MyGreengrassCore
THING_GROUP_NAME=MyGreengrassCoreGroup
TES_ROLE_NAME=GreengrassV2TokenExchangeRole
TES_ROLE_ALIAS_NAME=GreengrassCoreTokenExchangeRoleAlias
COMPONENT_DEFAULT_USER=ggc_user:ggc_group
```
然后，替换以下值。
- /greengrass/v2。要用于安装的 Greengrass 根文件夹。您可以使用GGC_ROOT环境变量来设置此值。
- 区域。您创建资源Amazon Web Services 区域的位置。
- MyGreengrassCore。Amazon IoT 事物的名称。如果该东西不存在，则安装程序会创建它。安装程序下载证书以进行身份Amazon IoT验证。
- MyGreengrassCoreGroup。Amazon IoT事物组的名称。如果事物组不存在，则安装程序会创建该组并将其添加到其中。如果事物组存在且部署处于活动状态，则核心设备将下载并运行部署指定的软件。
- GreenGras TokenExchangeRole sV2。替换为允许 Greengrass 核心设备获取临时证书的 IAM 令牌交换角色的名称。Amazon如果该角色不存在，则安装程序会创建该角色并创建并附加名为 GreenGr TokenExchangeRole assV2 Access 的策略。有关更多信息，请参阅授权核心设备与Amazon服务。
- GreengrassCoreTokenExchangeRoleAlias。代币交换角色别名。如果角色别名不存在，安装程序会创建它并将其指向您指定的 IAM 令牌交换角色。有关更多信息，请参阅
注意
您可以将DEPLOY_DEV_TOOLS环境变量设置为true以部署 Greengrass CLI 组件，这样您就可以在 Docker 容器内开发自定义组件。我们建议您仅在开发环境中使用此组件，而不是在生产环境中使用。此组件提供对生产环境中通常不需要的信息和操作的访问。遵循最低权限原则，将此组件仅部署到需要的核心设备。

在容器中运行 Amazon IoT Greengrass Core 软件

本教程向您展示如何启动在 Docker 容器中构建的 Docker 镜像。你可以使用 Docker CLI 或 Docker Compose CLI 在 Docker Amazon IoT Greengrass 容器中运行核心软件镜像。

Docker

运行以下命令启动 Docker 容器。
```
docker run --rm --init -it --name docker-image \
 -v path/to/greengrass-v2-credentials:/root/.aws/:ro \
 --env-file .env \
 -p 8883 \
 your-container-image:version
```
此示例命令使用以下参数进行 docker 运行：
- --rm。当容器退出时将其清理。
- --init。在容器中使用初始化进程。
  
  注意
  当你停止 Docker 容器时，需要使用该--init参数才能关闭 C Amazon IoT Greengrass ore 软件。
- -it。（可选）作为交互式进程在前台运行 Docker 容器。你可以将其替换为以分离模式运行 Docker 容器的-d参数。有关更多信息，请参阅 Docker 文档中的分离与前台。
- --name。运行名为的容器 aws-iot-greengrass
- -v。将卷挂载到 Docker 容器中，使配置文件和证书文件可供在容器内Amazon IoT Greengrass运行。
- --env-file。（可选）指定环境文件以设置将传递给 Docker 容器内的 C Amazon IoT Greengrass ore 软件安装程序的环境变量。只有在创建环境文件来设置环境变量时，才需要此参数。如果您没有创建环境文件，则可以直接在 Docker 运行命令中使用--env参数设置环境变量。
- -p。（可选）将 8883 容器端口发布到主机。如果您想通过 MQTT 进行连接和通信，则需要使用此参数，因为 MQTT 流量Amazon IoT Greengrass使用端口 8883。要打开其他端口，请使用其他-p参数。
注意
要以更高的安全性运行 Docker 容器，您可以使用--cap-drop和--cap-add参数选择性地为容器启用 Linux 功能。有关更多信息，请参阅 Docker 文档中的运行时权限和 Linux 功能。
从主机设备./greengrass-v2-credentials上移除凭证。
```
rm -rf ./greengrass-v2-credentials
```
重要
您之所以删除这些凭证，是因为它们提供了核心设备仅在设置期间才需要的广泛权限。如果您不删除这些凭证，Greengrass 组件和容器中运行的其他进程就可以访问它们。如果您需要向 Greengrass 组件提供Amazon凭证，请使用令牌交换服务。有关更多信息，请参阅与Amazon服务互动。

Docker Compose

使用文本编辑器创建名为的 Docker Compose 文件。docker-compose.yml

例如，在基于 Linux 的系统上，您可以运行以下命令以使用 GNU nano 在当前目录docker-compose.yml中创建。
```
nano docker-compose.yml
```
注意
您也可以从中下载和使用Amazon提供的 Compose 文件的最新版本。GitHub
将以下内容添加到 Compose 文件中。您的文件应类似于以下示例。将 docker 镜像替换为你的 Docker 镜像的名称。
```
version: '3.7'
 
services:
  greengrass:
    init: true
    container_name: aws-iot-greengrass
    image: docker-image
    volumes:
      - ./greengrass-v2-credentials:/root/.aws/:ro 
    env_file: .env
    ports:
      - "8883:8883"
```
此示例 Compose 文件中的以下参数是可选的：
- ports— 将 8883 个容器端口发布到主机。如果您想通过 MQTT 进行连接和通信，则需要使用此参数，因为 MQTT 流量Amazon IoT Greengrass使用端口 8883。
- env_file— 指定环境文件以设置将传递给 Docker 容器内的 C Amazon IoT Greengrass ore 软件安装程序的环境变量。只有在创建环境文件来设置环境变量时，才需要此参数。如果您没有创建环境文件，则可以使用环境参数直接在 Compose 文件中设置变量。
注意
要以更高的安全性运行 Docker 容器，您可以在 Compose 文件cap_add中使用cap_drop和来选择性地为容器启用 Linux 功能。有关更多信息，请参阅 Docker 文档中的运行时权限和 Linux 功能。
运行以下命令启动 Docker 容器。
```
docker-compose -f docker-compose.yml up
```
从主机设备./greengrass-v2-credentials上移除凭证。
```
rm -rf ./greengrass-v2-credentials
```
重要
您之所以删除这些凭证，是因为它们提供了核心设备仅在设置期间才需要的广泛权限。如果您不删除这些凭证，Greengrass 组件和容器中运行的其他进程就可以访问它们。如果您需要向 Greengrass 组件提供Amazon凭证，请使用令牌交换服务。有关更多信息，请参阅与Amazon服务互动。

后续步骤

Amazon IoT Greengrass核心软件现在在 Docker 容器中运行。运行以下命令以检索当前正在运行的容器的容器 ID。


docker ps

然后，您可以运行以下命令来访问容器并浏览容器内运行的 Amazon IoT Greengrass Core 软件。


docker exec -it container-id /bin/bash

有关创建简单组件的信息，请参见第 4 步：在设备上开发和测试组件中的教程：Amazon IoT Greengrass V2 入门

注意

当你使用docker exec在 Docker 容器内运行命令时，这些命令不会记录在 Docker 日志中。要将您的命令记录在 Docker 日志中，请将交互式外壳附加到 Docker 容器。有关更多信息，请参阅将交互式外壳附加到 Docker 容器。

C Amazon IoT Greengrass ore 日志文件被调用greengrass.log，位于中/greengrass/v2/logs。组件日志文件也位于同一目录中。要将 Greengrass 日志复制到主机上的临时目录，请运行以下命令：


docker cp container-id:/greengrass/v2/logs /tmp/logs

如果您想在容器退出或移除后保留日志，我们建议您仅将该目录绑定到主机上的临时日志/greengrass/v2/logs目录，而不是挂载整个 Greengrass 目录。有关更多信息，请参阅在 Docker 容器之外保存 Greengrass 日志。

要停止正在运行的 Amazon IoT Greengrass Docker 容器，请运行docker stop或docker-compose -f docker-compose.yml stop。此操作发送SIGTERM到 Greengrass 进程，并关闭容器中启动的所有关联进程。Docker 容器使用docker-init可执行文件作为进程 PID 1 进行初始化，这有助于删除所有剩余的僵尸进程。有关更多信息，请参阅 Docker 文档中的指定初始化进程。

有关在 Docker 容器Amazon IoT Greengrass中运行时遇到的问题疑难解答的信息，请参阅对 Docker 容器中的 Amazon IoT Greengrass 执行问题排查。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

从 Dockerfile 中生成Amazon IoT Greengrass镜像

使用手动Amazon IoT Greengrass配置在 Docker 中运行