本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
驗證 Amazon ECS 已停止的任務連線
有時候任務會因為網路連線問題而停止。這可能是間歇性問題,但最有可能是因為任務無法連線至端點。
測試任務連線能力
您可以使用 AWSSupport-TroubleshootECSTaskFailedToStart Runbook 來測試任務連線。當您使用 Runbook 時,您需要下列資源資訊:
-
任務 ID
使用最近失敗任務的 ID。
-
任務所在的叢集
如需有關如何使用 Runbook 的資訊,請參閱 AWS Systems Manager Automation Runbook 參考AWSSupport-TroubleshootECSTaskFailedToStart中的 。
Runbook 會分析任務。您可以在輸出區段中檢視下列問題的結果,這些問題可能會阻止任務啟動:
與已設定容器登錄檔的網路連線
VPC 端點連線
安全群組規則組態
修正 VPC 端點問題
當 AWSSupport-TroubleshootECSTaskFailedToStart Runbook 結果指出 VPC 端點問題時,請檢查下列組態:
-
您建立端點的 VPC 需要使用私有 DNS。
-
請確定您有一個 服務的 AWS PrivateLink 端點,任務無法在與任務相同的 VPC 中連線到該端點。如需詳細資訊,請參閱下列其中一項:
服務 服務的 VPC 端點資訊 Amazon ECR Amazon ECR 介面 VPC 端點 (AWS PrivateLink) Systems Manager 使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性 Secrets Manager 使用 AWS Secrets Manager VPC 端點 CloudWatch CloudWatch VPC 端點 Amazon S3 AWS PrivateLink 適用於 Amazon S3 -
設定任務子網路的傳出規則,允許連接埠 443 DNS (TCP) 流量上的 HTTPS。如需詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的設定安全群組規則。
-
如果您使用自訂名稱網域伺服器,請確認 DNS 查詢的設定。查詢必須具有連接埠 53 的傳出存取權,並使用 UDP 和 TCP 通訊協定。此外,它必須在連接埠 443 上具有 HTTPS 存取。如需詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的 Coonfigure 安全群組規則。
-
如果子網路具有網路 ACL,則需要下列 ACL 規則:
-
允許連接埠 1024-65535 上流量的傳出規則。
-
允許連接埠 443 上 TCP 流量的傳入規則。
如需如何設定規則的資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的使用網路 ACLs 控制子網路的流量。
-
修正網路問題
當 AWSSupport-TroubleshootECSTaskFailedToStart Runbook 結果指出網路問題時,請檢查下列組態:
根據 Runbook 執行下列組態:
-
針對公有子網路中的任務,您必須在啟動任務時,將 Auto-assign public IP (自動指派公有 IP) 指定為 ENABLED (啟用)。如需詳細資訊,請參閱將應用程式作為 Amazon ECS 任務執行。
-
您需要閘道來處理網際網路流量。任務子網路的路由表需要有通往閘道的流量路由。
如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的從路由表新增和移除路由。
閘道類型 路由表目的地 路由表目標 NAT 0.0.0.0/0 NAT 閘道 ID 網際網路閘道
0.0.0.0/0 網際網路閘道 ID -
如果任務子網路具有網路 ACL,則需要下列 ACL 規則:
-
允許連接埠 1024-65535 流量的傳出規則。
-
允許連接埠 443 上 TCP 流量的傳入規則。
如需如何設定規則的資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的使用網路 ACLs 控制子網路的流量。
-
根據 Runbook 執行下列組態:
-
啟動任務時,針對自動指派公有 IP 選擇停用。
-
在 VPC 中設定 NAT 閘道,將請求路由到網際網路。如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的 NAT 閘道。
-
任務子網路的路由表需要具有 NAT 閘道流量的路由。
如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的從路由表新增和移除路由。
閘道類型 路由表目的地 路由表目標 NAT 0.0.0.0/0 NAT 閘道 ID -
如果任務子網路具有網路 ACL,則需要下列 ACL 規則:
-
允許連接埠 1024-65535 流量的傳出規則。
-
允許連接埠 443 上 TCP 流量的傳入規則。
如需如何設定規則的資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的使用網路 ACLs 控制子網路的流量。
-
根據 Runbook 執行下列組態:
-
當您建立叢集時,請在 Amazon EC2 執行個體的聯網下選擇開啟自動指派 IP。
此選項會將公有 IP 地址指派給執行個體主要網路介面。
-
您需要閘道來處理網際網路流量。執行個體子網路的路由表需要有通往閘道的流量路由。
如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的從路由表新增和移除路由。
閘道類型 路由表目的地 路由表目標 NAT 0.0.0.0/0 NAT 閘道 ID 網際網路閘道
0.0.0.0/0 網際網路閘道 ID -
如果執行個體子網路具有網路 ACL,則需要下列 ACL 規則:
-
允許連接埠 1024-65535 流量的傳出規則。
-
允許連接埠 443 上 TCP 流量的傳入規則。
如需如何設定規則的資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的使用網路 ACLs 控制子網路的流量。
-
根據 Runbook 執行下列組態:
-
當您建立叢集時,請選擇 Networking for Amazon EC2 執行個體下的關閉自動指派 IP。
-
在 VPC 中設定 NAT 閘道,將請求路由到網際網路。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的 NAT 閘道。
-
執行個體子網路的路由表需要具有 NAT 閘道流量的路由。
如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的從路由表新增和移除路由。
閘道類型 路由表目的地 路由表目標 NAT 0.0.0.0/0 NAT 閘道 ID -
如果任務子網路具有網路 ACL,則需要下列 ACL 規則:
-
允許連接埠 1024-65535 流量的傳出規則。
-
允許連接埠 443 上 TCP 流量的傳入規則。
如需如何設定規則的資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的使用網路 ACLs 控制子網路的流量。
-
