Überprüfung, ob Amazon ECS die Aufgabenkonnektivität beendet hat
Es kann vorkommen, dass eine Aufgabe aufgrund eines Problems mit der Netzwerkverbindung beendet wird. Möglicherweise handelt es sich um ein zeitweiliges Problem, das jedoch höchstwahrscheinlich dadurch verursacht wird, dass die Aufgabe keine Verbindung zu einem Endpunkt herstellen kann.
Testen der Aufgabenkonnektivität
Sie können das Runbook AWSSupport-TroubleshootECSTaskFailedToStart verwenden, um die Aufgabenkonnektivität zu testen. Wenn Sie das Runbook verwenden, benötigen Sie die folgenden Ressourceninformationen:
-
Die ID der Aufgabe
Verwenden Sie die ID der letzten fehlgeschlagenen Aufgabe.
-
Der Cluster, in dem sich die Aufgabe befand
Informationen zur Verwendung des Runbooks finden Sie unter AWSSupport-TroubleshootECSTaskFailedToStart in der Referenz zum AWS Systems Manager-Automatisierungs-Runbook.
Das Runbook analysiert die Aufgabe. Sie können sich die Ergebnisse der folgenden Probleme, die das Starten einer Aufgabe verhindern können, im Abschnitt Ausgabe anzeigen lassen:
Netzwerkkonnektivität zur konfigurierten Container-Registry
Konnektivität des VPC-Endpunkts
Konfiguration der Sicherheitsgruppenregel
Behebung von Problemen mit VPC-Endpunkten
Wenn das Ergebnis des Runbook AWSSupport-TroubleshootECSTaskFailedToStart auf ein Problem mit dem VPC-Endpunkt hinweist, überprüfen Sie die folgende Konfiguration:
-
Die VPC, auf der Sie den Endpunkt erstellen, muss Private DNS verwenden.
-
Stellen Sie sicher, dass Sie in derselben VPC wie die Aufgabe einen AWS PrivateLink-Endpunkt für den Service haben, zu dem die Aufgabe keine Verbindung herstellen kann. Weitere Informationen finden Sie unter einem der folgenden Themen:
Service Informationen zum VPC-Endpunkt für den Service Amazon ECR VPC-Endpunkte der Amazon-ECR-Schnittstelle (AWS PrivateLink) Systems Manager Verbessern Sie die Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten für Systems Manager Secrets Manager Verwenden eines AWS Secrets Manager-VPC-Endpunkts CloudWatch CloudWatch-VPC-Endpunkt Amazon S3 AWS PrivateLink für Amazon S3 -
Konfigurieren Sie eine ausgehende Regel für das Aufgaben-Subnetz, die HTTPS auf Port 443 DNS (TCP)-Datenverkehr zulässt. Weitere Informationen finden Sie unter Sicherheitsgruppenregeln konfigurieren im Benutzerhandbuch für Amazon Elastic Compute Cloud.
-
Wenn Sie einen Domain-Server mit benutzerdefiniertem Namen verwenden, bestätigen Sie die Einstellungen der DNS-Abfrage. Die Abfrage muss ausgehenden Zugriff auf Port 53 haben und das UDP- und TCP-Protokoll verwenden. Außerdem muss sie über HTTPS-Zugriff auf Port 443 verfügen. Weitere Informationen finden Sie unter Sicherheitsgruppenregeln konfigurieren im Benutzerhandbuch für Amazon Elastic Compute Cloud.
-
Wenn das Subnetz über eine Netzwerk-ACL verfügt, sind die folgenden ACL-Regeln erforderlich:
-
Eine ausgehende Regel, die Datenverkehr auf den Ports 1 024–65 535 zulässt.
-
Eine Regel, die TCP-Datenverkehr auf Port 443 zulässt.
Informationen zur Konfiguration von Regeln finden Sie unter Steuern des Datenverkehrs zu Subnetzen mithilfe von Netzwerk-ACLs im Benutzerhandbuch füe Amazon Virtual Private Cloud.
-
Beheben von Netzwerkproblemen
Wenn das Ergebnis des Runbook AWSSupport-TroubleshootECSTaskFailedToStart auf ein Netzwerkproblem hinweist, überprüfen Sie die folgende Konfiguration:
Führen Sie die folgende Konfiguration auf der Grundlage des Runbooks durch:
-
Für Aufgabe in öffentlichen Subnetzen geben Sie beim Starten der Aufgabe ENABLED unter Auto-assign public IP (Öffentliche IP automatisch zuweisen) an. Weitere Informationen finden Sie unter Ausführen einer Anwendung als Amazon-ECS-Aufgabe.
-
Sie benötigen ein Gateway, um den Internetverkehr abzuwickeln. Die Routing-Tabelle für das Task-Subnetz muss eine Route für den Verkehr zum Gateway enthalten.
Weitere Informationen finden Sie unter Hinzufügen und Entfernen von Routen aus einer Routing-Tabelle im Benutzerhandbuch für Amazon Virtual Private Cloud.
Gateway-Typ Ziel der Routing-Tabelle Ziel der Routing-Tabelle NAT 0.0.0.0/0 NAT-Gateway-ID Internet-Gateway
0.0.0.0/0 Internet-Gateway-ID -
Wenn das Aufgaben-Subnetz über eine Netzwerk-ACL verfügt, sind die folgenden ACL-Regeln erforderlich:
-
Eine ausgehende Regel, die Datenverkehr auf den Ports 1 024–65 535 zulässt.
-
Eine Regel, die TCP-Datenverkehr auf Port 443 zulässt.
Informationen zur Konfiguration von Regeln finden Sie unter Steuern des Datenverkehrs zu Subnetzen mithilfe von Netzwerk-ACLs im Benutzerhandbuch füe Amazon Virtual Private Cloud.
-
Führen Sie die folgende Konfiguration auf der Grundlage des Runbooks durch:
-
Wählen Sie DISABLED für Öffentliche IP automatisch zuweisen, wenn Sie die Aufgabe starten.
-
Konfigurieren Sie ein NAT-Gateway in Ihrer VPC, um Anfragen an das Internet weiterzuleiten. Weitere Informationen finden Sie unter NAT-Gateways im Benutzerhandbuch für Amazon Virtual Private Cloud.
-
Die Routing-Tabelle für das Aufgaben-Subnetz muss eine Route für den Datenverkehr zum Gateway enthalten.
Weitere Informationen finden Sie unter Hinzufügen und Entfernen von Routen aus einer Routing-Tabelle im Benutzerhandbuch für Amazon Virtual Private Cloud.
Gateway-Typ Ziel der Routing-Tabelle Ziel der Routing-Tabelle NAT 0.0.0.0/0 NAT-Gateway-ID -
Wenn das Aufgaben-Subnetz über eine Netzwerk-ACL verfügt, sind die folgenden ACL-Regeln erforderlich:
-
Eine ausgehende Regel, die Datenverkehr auf den Ports 1 024–65 535 zulässt.
-
Eine Regel, die TCP-Datenverkehr auf Port 443 zulässt.
Informationen zur Konfiguration von Regeln finden Sie unter Steuern des Datenverkehrs zu Subnetzen mithilfe von Netzwerk-ACLs im Benutzerhandbuch füe Amazon Virtual Private Cloud.
-
Führen Sie die folgende Konfiguration auf der Grundlage des Runbooks durch:
-
Wählen Sie bei der Erstellung des Clusters für automatische IP-Zuweisung unter Netzwerk für Amazon-EC2-Instances die Option Einschalten .
Diese Option weist der primären Netzwerkschnittstelle der Instance eine öffentliche IP-Adresse zu.
-
Sie benötigen ein Gateway, um den Internetverkehr abzuwickeln. Die Routing-Tabelle für das Instance-Subnetz muss eine Route für den Verkehr zum Gateway enthalten.
Weitere Informationen finden Sie unter Hinzufügen und Entfernen von Routen aus einer Routing-Tabelle im Benutzerhandbuch für Amazon Virtual Private Cloud.
Gateway-Typ Ziel der Routing-Tabelle Ziel der Routing-Tabelle NAT 0.0.0.0/0 NAT-Gateway-ID Internet-Gateway
0.0.0.0/0 Internet-Gateway-ID -
Wenn das Instance-Subnetz über eine Netzwerk-ACL verfügt, sind die folgenden ACL-Regeln erforderlich:
-
Eine ausgehende Regel, die Datenverkehr auf den Ports 1 024–65 535 zulässt.
-
Eine Regel, die TCP-Datenverkehr auf Port 443 zulässt.
Informationen zur Konfiguration von Regeln finden Sie unter Steuern des Datenverkehrs zu Subnetzen mithilfe von Netzwerk-ACLs im Benutzerhandbuch füe Amazon Virtual Private Cloud.
-
Führen Sie die folgende Konfiguration auf der Grundlage des Runbooks durch:
-
Wählen Sie bei der Erstellung des Clusters für Automatische IP-Zuweisung unter Netzwerk für Amazon-EC2-Instances die Option Ausschalten.
-
Konfigurieren Sie ein NAT-Gateway in Ihrer VPC, um Anfragen an das Internet weiterzuleiten. Weitere Informationen finden Sie unter NAT-Gateways im Amazon VPC-Benutzerhandbuch.
-
Die Routing-Tabelle für das Instance-Subnetz muss eine Route für den Datenverkehr zum NAT-Gateway enthalten.
Weitere Informationen finden Sie unter Hinzufügen und Entfernen von Routen aus einer Routing-Tabelle im Benutzerhandbuch für Amazon Virtual Private Cloud.
Gateway-Typ Ziel der Routing-Tabelle Ziel der Routing-Tabelle NAT 0.0.0.0/0 NAT-Gateway-ID -
Wenn das Aufgaben-Subnetz über eine Netzwerk-ACL verfügt, sind die folgenden ACL-Regeln erforderlich:
-
Eine ausgehende Regel, die Datenverkehr auf den Ports 1 024–65 535 zulässt.
-
Eine Regel, die TCP-Datenverkehr auf Port 443 zulässt.
Informationen zur Konfiguration von Regeln finden Sie unter Steuern des Datenverkehrs zu Subnetzen mithilfe von Netzwerk-ACLs im Benutzerhandbuch füe Amazon Virtual Private Cloud.
-
