Memverifikasi Amazon ECS menghentikan konektivitas tugas

Ada kalanya tugas berhenti karena masalah konektivitas jaringan. Ini mungkin masalah intermiten, tetapi kemungkinan besar disebabkan karena tugas tidak dapat terhubung ke titik akhir.

Menguji konektivitas tugas

Anda dapat menggunakan AWSSupport-TroubleshootECSTaskFailedToStart runbook untuk menguji konektivitas tugas. Saat Anda menggunakan runbook, Anda memerlukan informasi sumber daya berikut:

• ID tugas

  Gunakan ID tugas gagal terbaru.

• Cluster tempat tugas itu berada

Untuk informasi tentang cara menggunakan runbook, lihat AWSSupport-TroubleshootECSTaskFailedToStartdi referensi Runbook AWS Systems Manager otomatisasi.

Runbook menganalisis tugas. Anda dapat melihat hasilnya di bagian Output untuk masalah berikut yang dapat mencegah tugas dimulai:

• Konektivitas jaringan ke registri kontainer yang dikonfigurasi

• Konektivitas titik akhir VPC

• Konfigurasi aturan grup keamanan

Memperbaiki masalah titik akhir VPC

Saat hasil AWSSupport-TroubleshootECSTaskFailedToStart runbook menunjukkan masalah titik akhir VPC, periksa konfigurasi berikut:

• VPC tempat Anda membuat titik akhir harus menggunakan DNS Pribadi.

• Pastikan Anda memiliki AWS PrivateLink titik akhir untuk layanan yang tugas tidak dapat terhubung ke dalam VPC yang sama dengan tugas. Untuk informasi lebih lanjut, lihat salah satu dari berikut ini:

  Layanan	Informasi titik akhir VPC untuk layanan
  Amazon ECR	Titik akhir VPC antarmuka Amazon ECR ()AWS PrivateLink
  Systems Manager	Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk Systems Manager
  Secrets Manager	Menggunakan titik akhir AWS Secrets Manager VPC
  CloudWatch	CloudWatch Titik akhir VPC
  Amazon S3	AWS PrivateLink untuk Amazon S3

• Konfigurasikan aturan keluar untuk subnet tugas yang memungkinkan HTTPS pada port 443 DNS (UDP dan TCP) lalu lintas. Untuk informasi selengkapnya, lihat Menambahkan aturan ke grup keamanan di Panduan Pengguna Amazon Elastic Compute Cloud.

• Jika subnet memiliki ACL jaringan, aturan ACL berikut diperlukan:

  • Aturan keluar yang memungkinkan lalu lintas yang memungkinkan lalu lintas di port 1024-65535.

  • Aturan masuk yang memungkinkan lalu lintas TCP pada port 443.

  Untuk informasi tentang cara mengonfigurasi aturan, lihat Mengontrol lalu lintas ke subnet menggunakan ACL jaringan di Panduan Pengguna Amazon Virtual Private Cloud.

Memperbaiki masalah jaringan

Jika hasil AWSSupport-TroubleshootECSTaskFailedToStart runbook menunjukkan masalah jaringan, periksa konfigurasi berikut:

Tugas yang menggunakan mode jaringan awsvpc di subnet publik

Lakukan konfigurasi berikut berdasarkan runbook:

• Untuk tugas di subnet publik, tentukan DIAKTIFKAN untuk Tetapkan secara otomatis IP publik saat meluncurkan tugas. Untuk informasi selengkapnya, lihat Menjalankan aplikasi sebagai tugas Amazon ECS.

• Anda memerlukan gateway untuk menangani lalu lintas internet. Tabel rute untuk subnet tugas harus memiliki rute untuk lalu lintas ke gateway.

  Untuk informasi selengkapnya, lihat Menambahkan dan menghapus rute dari tabel rute di Panduan Pengguna Amazon Virtual Private Cloud.

  Jenis gerbang	Tujuan tabel rute	Target tabel Rout
  NAT	0.0.0.0/0	ID gerbang NAT
  gateway internet	0.0.0.0/0	ID gerbang internet

• Jika subnet tugas memiliki ACL jaringan, aturan ACL berikut diperlukan:

  • Aturan keluar yang memungkinkan lalu lintas yang memungkinkan lalu lintas di port 1024-65535.

  • Aturan masuk yang memungkinkan lalu lintas TCP pada port 443.

  Untuk informasi tentang cara mengonfigurasi aturan, lihat Mengontrol lalu lintas ke subnet menggunakan ACL jaringan di Panduan Pengguna Amazon Virtual Private Cloud.

Tugas yang menggunakan mode jaringan awsvpc di subnet pribadi

Lakukan konfigurasi berikut berdasarkan runbook:

• Pilih DINONAKTIFKAN untuk Tetapkan IP publik secara otomatis saat meluncurkan tugas.

• Konfigurasikan gateway NAT di VPC Anda untuk merutekan permintaan ke internet. Untuk informasi selengkapnya, lihat Gateway NAT di Panduan Pengguna Amazon Virtual Private Cloud.

• Tabel rute untuk subnet tugas harus memiliki rute untuk lalu lintas ke gateway NAT.

  Untuk informasi selengkapnya, lihat Menambahkan dan menghapus rute dari tabel rute di Panduan Pengguna Amazon Virtual Private Cloud.

  Jenis gerbang	Tujuan tabel rute	Target tabel Rout
  NAT	0.0.0.0/0	ID gerbang NAT

• Jika subnet tugas memiliki ACL jaringan, aturan ACL berikut diperlukan:

  • Aturan keluar yang memungkinkan lalu lintas yang memungkinkan lalu lintas di port 1024-65535.

  • Aturan masuk yang memungkinkan lalu lintas TCP pada port 443.

  Untuk informasi tentang cara mengonfigurasi aturan, lihat Mengontrol lalu lintas ke subnet menggunakan ACL jaringan di Panduan Pengguna Amazon Virtual Private Cloud.

Tugas yang tidak menggunakan mode jaringan awsvpc di subnet publik

Lakukan konfigurasi berikut berdasarkan runbook:

• Pilih Aktifkan untuk Tetapkan IP Otomatis di bawah Instans Jaringan untuk Amazon EC2 saat Anda membuat klaster.

  Opsi ini memberikan alamat IP publik ke antarmuka jaringan utama instance.

• Anda memerlukan gateway untuk menangani lalu lintas internet. Tabel rute untuk subnet instance harus memiliki rute untuk lalu lintas ke gateway.

  Untuk informasi selengkapnya, lihat Menambahkan dan menghapus rute dari tabel rute di Panduan Pengguna Amazon Virtual Private Cloud.

  Jenis gerbang	Tujuan tabel rute	Target tabel Rout
  NAT	0.0.0.0/0	ID gerbang NAT
  gateway internet	0.0.0.0/0	ID gerbang internet

• Jika subnet instance memiliki ACL jaringan, aturan ACL berikut diperlukan:

  • Aturan keluar yang memungkinkan lalu lintas yang memungkinkan lalu lintas di port 1024-65535.

  • Aturan masuk yang memungkinkan lalu lintas TCP pada port 443.

  Untuk informasi tentang cara mengonfigurasi aturan, lihat Mengontrol lalu lintas ke subnet menggunakan ACL jaringan di Panduan Pengguna Amazon Virtual Private Cloud.

Tugas yang menggunakan mode jaringan awsvpc di subnet pribadi

Lakukan konfigurasi berikut berdasarkan runbook:

• Pilih Nonaktifkan untuk Tetapkan IP otomatis di bawah Instans Jaringan untuk Amazon EC2 saat Anda membuat klaster.

• Konfigurasikan gateway NAT di VPC Anda untuk merutekan permintaan ke internet. Untuk informasi lebih lanjut, lihat NAT Gateway di Panduan Pengguna Amazon VPC.

• Tabel rute untuk subnet instance harus memiliki rute untuk lalu lintas ke gateway NAT.

  Untuk informasi selengkapnya, lihat Menambahkan dan menghapus rute dari tabel rute di Panduan Pengguna Amazon Virtual Private Cloud.

  Jenis gerbang	Tujuan tabel rute	Target tabel Rout
  NAT	0.0.0.0/0	ID gerbang NAT

• Jika subnet tugas memiliki ACL jaringan, aturan ACL berikut diperlukan:

  • Aturan keluar yang memungkinkan lalu lintas yang memungkinkan lalu lintas di port 1024-65535.

  • Aturan masuk yang memungkinkan lalu lintas TCP pada port 443.

  Untuk informasi tentang cara mengonfigurasi aturan, lihat Mengontrol lalu lintas ke subnet menggunakan ACL jaringan di Panduan Pengguna Amazon Virtual Private Cloud.