Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risoluzione dei problemi relativi alla configurazione di App Mesh
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Questo argomento descrive i problemi più comuni che potrebbero verificarsi con la configurazione di App Mesh.
## Impossibile recuperare l'immagine del contenitore Envoy
**Caratteristiche**
Riceverai il seguente messaggio di errore in un'attività Amazon ECS. L'Amazon ECR *account ID* e quello contenuto *Region* nel messaggio seguente potrebbero essere diversi, a seconda del repository Amazon ECR da cui hai estratto l'immagine del contenitore.
```
CannotPullContainerError: Error response from daemon: pull access denied for 840364872350.dkr.ecr.us-west-2.amazonaws.com/aws-appmesh-envoy, repository does not exist or may require 'docker login'
```
**Risoluzione**
Questo errore indica che il ruolo di esecuzione dell'attività utilizzato non dispone dell'autorizzazione per comunicare con Amazon ECR e non può estrarre l'immagine del contenitore Envoy dal repository. Il ruolo di esecuzione dell'attività assegnato all'attività Amazon ECS richiede una policy IAM con le seguenti istruzioni:
```
{
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-west-2:111122223333:repository/aws-appmesh-envoy",
"Effect": "Allow"
},
{
"Action": "ecr:GetAuthorizationToken",
"Resource": "*",
"Effect": "Allow"
}
```
[Se il problema persiste, valuta la possibilità di aprirne uno GitHub o di contattare l'[AWS assistenza](https://aws.amazon.com/premiumsupport/).](https://github.com/aws/aws-app-mesh-roadmap/issues/new?assignees=&labels=Bug&template=issue--bug-report.md&title=Bug%3A+describe+bug+here)
## Impossibile connettersi al servizio di gestione App Mesh Envoy
**Caratteristiche**
Il proxy Envoy non è in grado di connettersi al servizio di gestione App Mesh Envoy. Stai vedendo:
+ Errori di connessione rifiutata
+ Timeout di connessione.
+ Errori nella risoluzione dell'endpoint del servizio di gestione App Mesh Envoy
+ Errori gRPC
**Risoluzione**
Assicurati che il tuo proxy Envoy abbia accesso a Internet o a un [endpoint VPC](vpc-endpoints.md) privato e che i tuoi [gruppi di sicurezza](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_SecurityGroups.html) consentano il traffico in uscita sulla porta 443. Gli endpoint del servizio di gestione Envoy pubblico di App Mesh seguono il formato FQDN (Fully Qualified Domain Name).
```
# App Mesh Production Endpoint
appmesh-envoy-management.Region-code.amazonaws.com
# App Mesh Preview Endpoint
appmesh-preview-envoy-management.Region-code.amazonaws.com
```
È possibile eseguire il debug della connessione a EMS utilizzando il comando seguente. Questo invia una richiesta gRPC valida ma vuota all'Envoy Management Service.
```
curl -v -k -H 'Content-Type: application/grpc' -X POST https://appmesh-envoy-management.Region-code.amazonaws.com:443/envoy.service.discovery.v3.AggregatedDiscoveryService/StreamAggregatedResources
```
Se ricevi questi messaggi, la tua connessione all'Envoy Management Service è funzionante. Per il debug degli errori relativi a gRPC, vedere gli errori [in Envoy disconnesso dal servizio di gestione App Mesh Envoy](https://docs.aws.amazon.com/app-mesh/latest/userguide/troubleshooting-setup.html#ts-setup-grpc-error-codes) con testo di errore.
```
grpc-status: 16
grpc-message: Missing Authentication Token
```
[Se il problema persiste, valuta la possibilità di aprirne uno GitHub o di contattare l'[AWS assistenza](https://aws.amazon.com/premiumsupport/).](https://github.com/aws/aws-app-mesh-roadmap/issues/new?assignees=&labels=Bug&template=issue--bug-report.md&title=Bug%3A+describe+bug+here)
## Envoy disconnesso dal servizio di gestione App Mesh Envoy con testo di errore
**Caratteristiche**
Il proxy Envoy non è in grado di connettersi al servizio di gestione App Mesh Envoy e di riceverne la configurazione. I log del proxy Envoy contengono una voce di registro come la seguente.
```
gRPC config stream closed: gRPC status code, message
```
**Risoluzione**
Nella maggior parte dei casi, la parte del registro relativa ai messaggi dovrebbe indicare il problema. La tabella seguente elenca i codici di stato gRPC più comuni che potreste vedere, le loro cause e le relative risoluzioni.
| Codice di stato gRPC | Causa | Risoluzione |
| --- | --- | --- |
| 0 | Graceful disconnect dal servizio di gestione Envoy. | Non c'è nessun problema. App Mesh disconnette occasionalmente i proxy Envoy con questo codice di stato. Envoy si riconnetterà e continuerà a ricevere aggiornamenti. |
| 3 | L'endpoint mesh (nodo virtuale o gateway virtuale) o una delle risorse associate non è stato trovato. | Ricontrolla la configurazione di Envoy per assicurarti che abbia il nome appropriato della risorsa App Mesh che rappresenta. Se la tua risorsa App Mesh è integrata con altre AWS risorse, come AWS Cloud Map namespace o certificati ACM, assicurati che tali risorse esistano. |
| 7 | Il proxy Envoy non è autorizzato a eseguire un'azione, come connettersi al servizio di gestione Envoy o recuperare le risorse associate. | Assicurati di [creare una policy IAM](proxy-authorization.md#create-iam-policy) che contenga le dichiarazioni politiche appropriate per App Mesh e altri servizi e di allegare tale policy all'utente o al ruolo IAM che il tuo proxy Envoy utilizza per connettersi al servizio di gestione Envoy. |
| 8 | Il numero di proxy Envoy per una determinata risorsa App Mesh supera la quota di servizio a livello di account. | Vedi [Quote del servizio App Mesh](service-quotas.md) per informazioni sulle quote predefinite degli account e su come richiedere un aumento della quota. |
| 16 | Il proxy Envoy non dispone di credenziali di autenticazione valide per. AWS | Assicurati che l'Envoy disponga delle credenziali appropriate per connettersi ai AWS servizi tramite un utente o un ruolo IAM. Un problema noto, [\$124136](https://github.com/envoyproxy/envoy/issues/24136), in Envoy per le versioni v1.24 e precedenti non riesce a recuperare le credenziali se il processo Envoy utilizza più descrittori di file. 1024 Ciò accade quando Envoy serve un volume di traffico elevato. Puoi confermare questo problema controllando i log di Envoy a livello di debug per il testo "». A libcurl function was given a bad argument Per mitigare questo problema, esegui l'aggiornamento alla versione di Envoy o successiva. v1.25.1.0-prod |
Puoi osservare i codici di stato e i messaggi del tuo proxy Envoy con [Amazon CloudWatch Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) utilizzando la seguente query:
```
filter @message like /gRPC config stream closed/
| parse @message "gRPC config stream closed: *, *" as StatusCode, Message
```
[Se il messaggio di errore fornito non è stato utile o il problema persiste, valuta la possibilità di aprire un GitHub problema.](https://github.com/aws/aws-app-mesh-roadmap/issues/new?assignees=&labels=Bug&template=issue--bug-report.md&title=Bug%3A+describe+bug+here)
## Controllo dello stato del container Envoy, sonda di prontezza o sonda di vivacità guasto
**Caratteristiche**
Il tuo proxy Envoy non supera i controlli di integrità in un'attività Amazon ECS, un'istanza Amazon EC2 o un pod Kubernetes. Ad esempio, esegui una query sull'interfaccia di amministrazione di Envoy con il seguente comando e ricevi uno stato diverso da. `LIVE`
```
curl -s http://my-app.default.svc.cluster.local:9901/server_info | jq '.state'
```
**Risoluzione**
Di seguito è riportato un elenco di passaggi di riparazione in base allo stato restituito dal proxy Envoy.
+ `PRE_INITIALIZING`oppure `INITIALIZING` — Il proxy Envoy non ha ancora ricevuto la configurazione o non può connettersi e recuperare la configurazione dal servizio di gestione App Mesh Envoy. È possibile che Envoy riceva un errore dal servizio di gestione di Envoy durante il tentativo di connessione. Per ulteriori informazioni, consulta gli errori in. [Envoy disconnesso dal servizio di gestione App Mesh Envoy con testo di errore](#ts-setup-grpc-error-codes)
+ `DRAINING`— Il proxy Envoy ha iniziato a prosciugare le connessioni in risposta a una `/drain_listeners` richiesta `/healthcheck/fail` or sull'interfaccia di amministrazione di Envoy. Non è consigliabile richiamare questi percorsi sull'interfaccia di amministrazione a meno che tu non stia per terminare l'attività Amazon ECS, l'istanza Amazon EC2 o il pod Kubernetes.
[Se il problema persiste, valuta la possibilità di aprirne uno GitHub o di contattare l'[AWS assistenza](https://aws.amazon.com/premiumsupport/).](https://github.com/aws/aws-app-mesh-roadmap/issues/new?assignees=&labels=Bug&template=issue--bug-report.md&title=Bug%3A+describe+bug+here)
## Il controllo dello stato di salute dal load balancer all'endpoint mesh non riesce
**Caratteristiche**
L'endpoint mesh è considerato integro dal controllo dello stato del contenitore o dalla sonda di prontezza, ma il controllo dello stato dal load balancer all'endpoint mesh non riesce.
**Risoluzione**
Per risolvere il problema, completa le seguenti attività.
+ Assicurati che il [gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) associato al tuo endpoint mesh accetti il traffico in entrata sulla porta che hai configurato per il controllo dello stato.
+ Assicurati che il controllo dello stato abbia esito positivo in modo coerente quando richiesto manualmente, ad esempio da un [host bastion all'interno del tuo VPC](https://aws.amazon.com/quickstart/architecture/linux-bastion/).
+ Se stai configurando un controllo dello stato di salute per un nodo virtuale, ti consigliamo di implementare un endpoint per il controllo dello stato nell'applicazione, ad esempio /ping per HTTP. Ciò garantisce che sia il proxy Envoy che l'applicazione siano instradabili dal sistema di bilanciamento del carico.
+ È possibile utilizzare qualsiasi tipo di bilanciamento del carico elastico per il nodo virtuale, a seconda delle funzionalità necessarie. Per ulteriori informazioni, consulta le funzionalità di [Elastic Load Balancing](https://aws.amazon.com/elasticloadbalancing/features/#compare).
+ Se stai configurando un controllo dello stato di integrità per un [gateway virtuale](virtual_gateways.md), ti consigliamo di utilizzare un [sistema di bilanciamento del carico di rete](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html) con un controllo dello stato TCP o TLS sulla porta listener del gateway virtuale. Ciò garantisce che il listener del gateway virtuale sia avviato e pronto ad accettare connessioni.
[Se il problema persiste, valuta la possibilità di aprirne uno GitHub o di contattare l'[AWS assistenza](https://aws.amazon.com/premiumsupport/).](https://github.com/aws/aws-app-mesh-roadmap/issues/new?assignees=&labels=Bug&template=issue--bug-report.md&title=Bug%3A+describe+bug+here)
## Il gateway virtuale non accetta traffico sulle porte 1024 o inferiori
**Caratteristiche**
Il gateway virtuale non accetta traffico sulla porta 1024 o inferiore, ma accetta traffico su un numero di porta maggiore di 1024. Ad esempio, si interrogano le statistiche di Envoy con il seguente comando e si riceve un valore diverso da zero.
```
curl -s http://my-app.default.svc.cluster.local:9901/stats | grep "update_rejected"
```
Nei log potresti visualizzare un testo simile al seguente che descrive un errore di associazione a una porta privilegiata:
```
gRPC config for type.googleapis.com/envoy.api.v2.Listener rejected: Error adding/updating listener(s) lds_ingress_0.0.0.0_port_: cannot bind '0.0.0.0:': Permission denied
```
**Risoluzione**
Per risolvere il problema, l'utente specificato per il gateway deve disporre della funzionalità linux. `CAP_NET_BIND_SERVICE` Per ulteriori informazioni, consulta [Capabilities](https://www.man7.org/linux/man-pages/man7/capabilities.7.html) nel Linux Programmer's Manual, [Linux parameters](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_linuxparameters) in ECS Task definition parameters e [Set abilities for a container nella documentazione di](https://kubernetes.io/docs/tasks/configure-pod-container/security-context/#set-capabilities-for-a-container) Kubernetes.
**Importante**
Fargate deve utilizzare un valore di porta maggiore di 1024.
[Se il problema persiste, valuta la possibilità di aprirne uno GitHub o di contattare l'[AWS assistenza](https://aws.amazon.com/premiumsupport/).](https://github.com/aws/aws-app-mesh-roadmap/issues/new?assignees=&labels=Bug&template=issue--bug-report.md&title=Bug%3A+describe+bug+here)