Verifica della connettività delle attività interrotte di Amazon ECS
A volte un'attività si interrompe a causa di un problema di connettività di rete. Potrebbe trattarsi di un problema intermittente, ma molto probabilmente è causato dall'impossibilità dell'attività di connettersi a un endpoint.
Test della connettività delle attività
È possibile utilizzare il runbook AWSSupport-TroubleshootECSTaskFailedToStart per testare la connettività delle attività. Quando usi il runbook, ti servono le seguenti informazioni sulle risorse:
-
L'ID dell'attività
Usa l'ID dell'ultima attività non riuscita.
-
Il cluster in cui si trovava l'attività
Per informazioni su come usare il runbook, consulta AWSSupport-TroubleshootECSTaskFailedToStart nel Riferimento al runbook del servizio di automazione AWS Systems Manager.
Il runbook analizza l'attività. Puoi visualizzare i risultati nella sezione Output per i seguenti problemi che possono impedire l'avvio di un'attività:
Connettività di rete al registro dei container configurato
Connettività dell'endpoint VPC
Configurazione delle regole del gruppo di sicurezza
Risoluzione dei problemi degli endpoint VPC
Quando il risultato del runbook AWSSupport-TroubleshootECSTaskFailedToStart indica un problema con l'endpoint VPC, controlla la seguente configurazione:
-
Il VPC in cui crei l'endpoint deve usare un DNS privato.
-
Assicurati di disporre di un endpoint AWS PrivateLink per il servizio a cui l'attività non può connettersi nello stesso VPC dell'attività. Per ulteriori informazioni, consulta uno dei seguenti argomenti:
Servizio Informazioni sugli endpoint VPC per il servizio Amazon ECR Endpoint VPC con interfaccia Amazon ECR (AWS PrivateLink) Systems Manager Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager Secrets Manager Utilizzo di un endpoint VPC AWS Secrets Manager CloudWatch Endpoint VPC di CloudWatch Amazon S3 AWS PrivateLink per Amazon S3 -
Configura una regola in uscita per la sottorete dell'attività che consenta il traffico DNS (TCP) HTTPS sulla porta 443. Per ulteriori informazioni, consulta Configurare le regole dei gruppi di sicurezza nella Guida utente di Amazon Elastic Compute Cloud..
-
Se usi un server di dominio con nomi personalizzati, conferma le impostazioni della query DNS. La query deve avere accesso in uscita sulla porta 53 e usare i protocolli UDP e TCP. Inoltre, deve disporre di un accesso HTTPS sulla porta 443. Per ulteriori informazioni, consulta Configurare le regole dei gruppi di sicurezza nella Guida utente di Amazon Elastic Compute Cloud..
-
Se la sottorete è dotata di un ACL di rete, sono necessarie le seguenti regole ACL:
-
Una regola in uscita che consenta il traffico sulle porte 1024-65535.
-
Una regola in entrata che consenta il traffico TCP sulla porta 443.
Per informazioni su come configurare le regole, consulta Come controllare il traffico verso le sottoreti utilizzando le liste di controllo degli accessi di rete nella Guida per l'utente di Amazon Virtual Private Cloud.
-
Risoluzione dei problemi di rete
Quando il risultato del runbook AWSSupport-TroubleshootECSTaskFailedToStart indica un problema di rete, controlla la seguente configurazione:
Esegui la configurazione seguente in base al runbook:
-
Per le attività in sottoreti pubbliche, puoi specificare ENABLED (ABILITATO) per Assegna automaticamente IP pubblico all'avvio del processo. Per ulteriori informazioni, consulta Esecuzione di un'applicazione come attività Amazon ECS.
-
È necessario un gateway per gestire il traffico Internet. La tabella di routing per la sottorete dell'attività deve avere una route per il traffico verso il gateway.
Per ulteriori informazioni, consultare la sezione relativa ad Aggiungere e rimuovere route da una tabella di routing nella Guida per l'utente di Amazon Virtual Private Cloud.
Tipo di gateway Destinazione della tabella di routing destinazione della tabella di routing NAT 0.0.0.0/0 ID del gateway NAT Internet Gateway
0.0.0.0/0 ID gateway Internet -
Se la sottorete dell'attività è dotata di un ACL di rete, sono necessarie le seguenti regole ACL:
-
Una regola in uscita che consenta il traffico sulle porte 1024-65535.
-
Una regola in entrata che consenta il traffico TCP sulla porta 443.
Per informazioni su come configurare le regole, consulta Come controllare il traffico verso le sottoreti utilizzando le liste di controllo degli accessi di rete nella Guida per l'utente di Amazon Virtual Private Cloud.
-
Esegui la configurazione seguente in base al runbook:
-
Scegli DISABLED per assegnare automaticamente l'IP pubblico all'avvio dell'attività.
-
Configura un gateway NAT nel tuo VPC per instradare le richieste a Internet. Per ulteriori informazioni, consulta Gateway NAT nella Guida per l'utente di Amazon Virtual Private Cloud.
-
La tabella di routing per la sottorete dell'attività deve avere una route per il traffico verso il gateway NAT.
Per ulteriori informazioni, consultare la sezione relativa ad Aggiungere e rimuovere route da una tabella di routing nella Guida per l'utente di Amazon Virtual Private Cloud.
Tipo di gateway Destinazione della tabella di routing destinazione della tabella di routing NAT 0.0.0.0/0 ID del gateway NAT -
Se la sottorete dell'attività è dotata di un ACL di rete, sono necessarie le seguenti regole ACL:
-
Una regola in uscita che consenta il traffico sulle porte 1024-65535.
-
Una regola in entrata che consenta il traffico TCP sulla porta 443.
Per informazioni su come configurare le regole, consulta Come controllare il traffico verso le sottoreti utilizzando le liste di controllo degli accessi di rete nella Guida per l'utente di Amazon Virtual Private Cloud.
-
Esegui la configurazione seguente in base al runbook:
-
Seleziona Attiva per l'assegnazione automatica dell'IP in Rete per istanze Amazon EC2 quando crei il cluster.
Questa opzione assegna un indirizzo IP pubblico all'interfaccia di rete primaria dell'istanza.
-
È necessario un gateway per gestire il traffico Internet. La tabella di routing per la sottorete dell'istanza deve avere una route per il traffico verso il gateway.
Per ulteriori informazioni, consultare la sezione relativa ad Aggiungere e rimuovere route da una tabella di routing nella Guida per l'utente di Amazon Virtual Private Cloud.
Tipo di gateway Destinazione della tabella di routing destinazione della tabella di routing NAT 0.0.0.0/0 ID del gateway NAT Internet Gateway
0.0.0.0/0 ID gateway Internet -
Se l'istanza della sottorete è dotata di un ACL di rete, sono necessarie le seguenti regole ACL:
-
Una regola in uscita che consenta il traffico sulle porte 1024-65535.
-
Una regola in entrata che consenta il traffico TCP sulla porta 443.
Per informazioni su come configurare le regole, consulta Come controllare il traffico verso le sottoreti utilizzando le liste di controllo degli accessi di rete nella Guida per l'utente di Amazon Virtual Private Cloud.
-
Esegui la configurazione seguente in base al runbook:
-
Seleziona Disattiva per l'assegnazione automatica dell'IP in Rete per istanze Amazon EC2 quando crei il cluster.
-
Configura un gateway NAT nel tuo VPC per instradare le richieste a Internet. Per ulteriori informazioni, consulta Gateway NAT nella Guida per l'utente di Amazon VPC.
-
La tabella di routing per la sottorete dell'istanza deve avere una route per il traffico verso il gateway NAT.
Per ulteriori informazioni, consultare la sezione relativa ad Aggiungere e rimuovere route da una tabella di routing nella Guida per l'utente di Amazon Virtual Private Cloud.
Tipo di gateway Destinazione della tabella di routing destinazione della tabella di routing NAT 0.0.0.0/0 ID del gateway NAT -
Se la sottorete dell'attività è dotata di un ACL di rete, sono necessarie le seguenti regole ACL:
-
Una regola in uscita che consenta il traffico sulle porte 1024-65535.
-
Una regola in entrata che consenta il traffico TCP sulla porta 443.
Per informazioni su come configurare le regole, consulta Come controllare il traffico verso le sottoreti utilizzando le liste di controllo degli accessi di rete nella Guida per l'utente di Amazon Virtual Private Cloud.
-
