Amazon ECS の停止したタスクの接続を検証する - Amazon Elastic Container Service
タスクの接続をテストするVPC エンドポイントの問題を修正するネットワークの問題を修正する

Amazon ECS の停止したタスクの接続を検証する

ネットワーク接続の問題により、タスクが停止することがあります。断続的な問題である可能性がありますが、タスクがエンドポイントに接続できないことが原因である可能性が最も高いです。

タスクの接続をテストする

AWSSupport-TroubleshootECSTaskFailedToStart ランブックを使用して、タスクの接続をテストできます。ランブックを使用する場合は、次のリソースに関する情報が必要です。

  • タスク ID

    最後に失敗したタスク のID を使用します。

  • タスクが属していたクラスター

ランブックの使用方法については、「AWS Systems Manager Automation ランブックリファレンス」の「AWSSupport-TroubleshootECSTaskFailedToStart」を参照してください。

ランブックはタスクを分析します。タスクの開始を妨げる可能性のある次の問題については、「出力」セクションで結果を確認できます。

  • 設定済みのコンテナレジストリーへのネットワーク接続

  • VPC エンドポイント接続

  • セキュリティグループのルール設定

VPC エンドポイントの問題を修正する

AWSSupport-TroubleshootECSTaskFailedToStart ランブックの結果に VPC エンドポイントの問題が表示された場合は、次の設定を確認します。

ネットワークの問題を修正する

AWSSupport-TroubleshootECSTaskFailedToStart ランブックの結果にネットワークの問題が表示されたら、次の設定を確認します。

ランブックに基づいて次の設定を実行します。

  • パブリックサブネットのタスクでは、タスクの起動時に [Auto-assign public IP] (自動割り当てパブリック IP)を [ENABLED] (有効)に指定する必要があります。詳細については、「Amazon ECS タスクとしてのアプリケーションの実行」を参照してください。

  • インターネットトラフィックを処理するにはゲートウェイが必要です。タスクサブネットのルートテーブルには、ゲートウェイへのトラフィック用のルートが必要です。

    詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「ルートテーブルのルートの追加と削除」を参照してください。

    ゲートウェイタイプ ルートテーブルの送信先 ルートテーブルのターゲット
    NAT 0.0.0.0/0 NAT ゲートウェイ ID

    インターネットゲートウェイ

    		 0.0.0.0/0 インターネットゲートウェイ ID

  • タスクサブネットにネットワーク ACL がある場合は、次の ACL ルールが必要です。

    • ポート 1024-65535 でトラフィックを許可するアウトバウンドルール

    • ポート 443 の TCP トラフィックを許可するインバウンドルール

    ルールの設定方法については、「Amazon Virtual Private Cloud ユーザーガイド」の「network ACLs」を参照してください。

ランブックに基づいて次の設定を実行します。

  • タスクの起動時に、[自動割り当てパブリック IP][無効] を選択します。

  • リクエストがインターネットにルーティンされるように VPC の NAT ゲートウェイを設定します。詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「NAT ゲートウェイ」を参照してください。

  • タスクサブネットのルートテーブルには、NAT ゲートウェイへのトラフィック用のルートが必要です。

    詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「ルートテーブルのルートの追加と削除」を参照してください。

    ゲートウェイタイプ ルートテーブルの送信先 ルートテーブルのターゲット
    NAT 0.0.0.0/0 NAT ゲートウェイ ID

  • タスクサブネットにネットワーク ACL がある場合は、次の ACL ルールが必要です。

    • ポート 1024-65535 でトラフィックを許可するアウトバウンドルール

    • ポート 443 の TCP トラフィックを許可するインバウンドルール

    ルールの設定方法については、「Amazon Virtual Private Cloud ユーザーガイド」の「network ACLs」を参照してください。

ランブックに基づいて次の設定を実行します。

  • クラスターの作成時に、[Amazon EC2 インスタンスのネットワーク][IP の自動割り当て] で、[オンにする] を選択します。

    このオプションにより、インスタンスのプライマリネットワークインターフェイスにパブリック IP アドレスを割り当てます。

  • インターネットトラフィックを処理するにはゲートウェイが必要です。インスタンスサブネットのルートテーブルには、ゲートウェイへのトラフィック用のルートが必要です。

    詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「ルートテーブルのルートの追加と削除」を参照してください。

    ゲートウェイタイプ ルートテーブルの送信先 ルートテーブルのターゲット
    NAT 0.0.0.0/0 NAT ゲートウェイ ID

    インターネットゲートウェイ

    		 0.0.0.0/0 インターネットゲートウェイ ID

  • インスタンスサブネットにネットワーク ACL がある場合は、次の ACL ルールが必要です。

    • ポート 1024-65535 でトラフィックを許可するアウトバウンドルール

    • ポート 443 の TCP トラフィックを許可するインバウンドルール

    ルールの設定方法については、「Amazon Virtual Private Cloud ユーザーガイド」の「network ACLs」を参照してください。

ランブックに基づいて次の設定を実行します。

  • クラスターの作成時に、[Amazon EC2 インスタンスのネットワーク][IP の自動割り当て] で、[オフにする] を選択します。

  • リクエストがインターネットにルーティンされるように VPC の NAT ゲートウェイを設定します。詳細については、Amazon VPC ユーザーガイドNAT ゲートウェイ を参照してください。

  • インスタンスサブネットのルートテーブルには、NAT ゲートウェイへのトラフィック用のルートが必要です。

    詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「ルートテーブルのルートの追加と削除」を参照してください。

    ゲートウェイタイプ ルートテーブルの送信先 ルートテーブルのターゲット
    NAT 0.0.0.0/0 NAT ゲートウェイ ID

  • タスクサブネットにネットワーク ACL がある場合は、次の ACL ルールが必要です。

    • ポート 1024-65535 でトラフィックを許可するアウトバウンドルール

    • ポート 443 の TCP トラフィックを許可するインバウンドルール

    ルールの設定方法については、「Amazon Virtual Private Cloud ユーザーガイド」の「network ACLs」を参照してください。