Vérification de l'ECSarrêt de la connectivité des tâches par Amazon

Il arrive qu'une tâche s'arrête en raison d'un problème de connectivité réseau. Il peut s'agir d'un problème intermittent, mais il est probablement dû au fait que la tâche ne peut pas se connecter à un point de terminaison.

Test de la connectivité des tâches

Vous pouvez utiliser AWSSupport-TroubleshootECSTaskFailedToStart runbook pour tester la connectivité des tâches. Lorsque vous utilisez le runbook, vous avez besoin des informations suivantes sur les ressources :

• L'ID de la tâche

  Utilisez l'ID de la dernière tâche ayant échoué.

• Le cluster dans lequel se trouvait la tâche

Pour plus d'informations sur l'utilisation du runbook, consultez la référence AWSSupport-TroubleshootECSTaskFailedToStartdu runbook AWS Systems Manager Automation.

Le runbook analyse la tâche. Vous pouvez consulter les résultats dans la section Sortie pour les problèmes suivants susceptibles d'empêcher le démarrage d'une tâche :

• Connectivité réseau avec le registre de conteneurs configuré

• VPCconnectivité des terminaux

• Configuration des règles du groupe de sécurité

Résoudre les problèmes liés aux VPC terminaux

Lorsque le résultat du AWSSupport-TroubleshootECSTaskFailedToStart runbook indique le problème du VPC terminal, vérifiez la configuration suivante :

• L'VPCendroit où vous créez le point de terminaison doit utiliser PrivateDNS.

• Assurez-vous que vous disposez d'un AWS PrivateLink point de terminaison pour le service auquel la tâche ne peut pas se connecter en même temps VPC que la tâche. Pour plus d'informations, consultez l'un des sites suivants :

  Service	VPCinformations sur le point de terminaison du service
  Amazon ECR	VPCPoints de terminaison de ECR l'interface Amazon ()AWS PrivateLink
  Systems Manager	Améliorez la sécurité des EC2 instances en utilisant des VPC points de terminaison pour Systems Manager
  Secrets Manager	Utilisation d'un AWS Secrets Manager VPC point de terminaison
  CloudWatch	CloudWatch VPCpoint final
  Amazon S3	AWS PrivateLink pour Amazon S3

• Configurez une règle de sortie pour le sous-réseau de tâches qui autorise HTTPS le trafic sur le port 443 DNS (UDPetTCP). Pour plus d'informations, consultez la section Ajouter des règles à un groupe de sécurité dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

• Si le sous-réseau possède un réseauACL, les ACL règles suivantes sont requises :

  • Règle sortante qui autorise le trafic qui autorise le trafic sur les ports 1024 à 65535.

  • Règle entrante qui autorise le TCP trafic sur le port 443.

  Pour plus d'informations sur la configuration des règles, consultez la section Contrôler le trafic vers les sous-réseaux à l'aide du réseau ACLs dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

Résoudre les problèmes de réseau

Lorsque le résultat du AWSSupport-TroubleshootECSTaskFailedToStart runbook indique un problème réseau, vérifiez la configuration suivante :

Tâches utilisant le mode réseau awsvpc dans un sous-réseau public

Effectuez la configuration suivante en fonction du runbook :

• Pour les tâches dans les sous-réseaux publics, spécifiez ENABLEDl'option Attribuer automatiquement l'adresse IP publique lors du lancement de la tâche. Pour de plus amples informations, veuillez consulter Exécution d'une application en tant que ECS tâche Amazon.

• Vous avez besoin d'une passerelle pour gérer le trafic Internet. La table de routage du sous-réseau de tâches doit comporter un itinéraire pour le trafic vers la passerelle.

  Pour plus d'informations, consultez la section Ajouter et supprimer des itinéraires d'une table de routage dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

  Type de passerelle	Destination de la table de routage	Cible de la table de routage
  NAT	0.0.0.0/0	NATID de passerelle
  Passerelle Internet	0.0.0.0/0	ID de passerelle Internet

• Si le sous-réseau de tâches possède un réseauACL, les ACL règles suivantes sont requises :

  • Règle sortante qui autorise le trafic qui autorise le trafic sur les ports 1024 à 65535.

  • Règle entrante qui autorise le TCP trafic sur le port 443.

  Pour plus d'informations sur la configuration des règles, consultez la section Contrôler le trafic vers les sous-réseaux à l'aide du réseau ACLs dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

Tâches utilisant le mode réseau awsvpc dans un sous-réseau privé

Effectuez la configuration suivante en fonction du runbook :

• Choisissez DISABLEDl'option Attribuer automatiquement une adresse IP publique lors du lancement de la tâche.

• Configurez une NAT passerelle dans votre VPC ordinateur pour acheminer les demandes vers Internet. Pour plus d'informations, consultez NATGateways dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

• La table de routage du sous-réseau de tâches doit comporter un itinéraire pour le trafic vers la NAT passerelle.

  Pour plus d'informations, consultez la section Ajouter et supprimer des itinéraires d'une table de routage dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

  Type de passerelle	Destination de la table de routage	Cible de la table de routage
  NAT	0.0.0.0/0	NATID de passerelle

• Si le sous-réseau de tâches possède un réseauACL, les ACL règles suivantes sont requises :

  • Règle sortante qui autorise le trafic qui autorise le trafic sur les ports 1024 à 65535.

  • Règle entrante qui autorise le TCP trafic sur le port 443.

  Pour plus d'informations sur la configuration des règles, consultez la section Contrôler le trafic vers les sous-réseaux à l'aide du réseau ACLs dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

Tâches n'utilisant pas le mode réseau awsvpc dans un sous-réseau public

Effectuez la configuration suivante en fonction du runbook :

• Choisissez Activer l'attribution automatique de l'adresse IP sous Mise en réseau pour EC2 les instances Amazon lorsque vous créez le cluster.

  Cette option attribue une adresse IP publique à l'interface réseau principale de l'instance.

• Vous avez besoin d'une passerelle pour gérer le trafic Internet. La table de routage du sous-réseau de l'instance doit comporter un itinéraire pour le trafic vers la passerelle.

  Pour plus d'informations, consultez la section Ajouter et supprimer des itinéraires d'une table de routage dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

  Type de passerelle	Destination de la table de routage	Cible de la table de routage
  NAT	0.0.0.0/0	NATID de passerelle
  Passerelle Internet	0.0.0.0/0	ID de passerelle Internet

• Si le sous-réseau de l'instance possède un réseauACL, les ACL règles suivantes sont requises :

  • Règle sortante qui autorise le trafic qui autorise le trafic sur les ports 1024 à 65535.

  • Règle entrante qui autorise le TCP trafic sur le port 443.

  Pour plus d'informations sur la configuration des règles, consultez la section Contrôler le trafic vers les sous-réseaux à l'aide du réseau ACLs dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

Tâches n'utilisant pas le mode réseau awsvpc dans un sous-réseau privé

Effectuez la configuration suivante en fonction du runbook :

• Choisissez Désactiver pour attribuer automatiquement une adresse IP sous Mise en réseau pour EC2 les instances Amazon lorsque vous créez le cluster.

• Configurez une NAT passerelle dans votre VPC ordinateur pour acheminer les demandes vers Internet. Pour plus d'informations, consultez la section NATGateways dans le guide de l'VPCutilisateur Amazon.

• La table de routage du sous-réseau de l'instance doit comporter un itinéraire pour le trafic vers la NAT passerelle.

  Pour plus d'informations, consultez la section Ajouter et supprimer des itinéraires d'une table de routage dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

  Type de passerelle	Destination de la table de routage	Cible de la table de routage
  NAT	0.0.0.0/0	NATID de passerelle

• Si le sous-réseau de tâches possède un réseauACL, les ACL règles suivantes sont requises :

  • Règle sortante qui autorise le trafic qui autorise le trafic sur les ports 1024 à 65535.

  • Règle entrante qui autorise le TCP trafic sur le port 443.

  Pour plus d'informations sur la configuration des règles, consultez la section Contrôler le trafic vers les sous-réseaux à l'aide du réseau ACLs dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.