Verifica dell'ECSinterruzione della connettività delle attività da parte di Amazon

Ci sono momenti in cui un'attività si interrompe a causa di un problema di connettività di rete. Potrebbe trattarsi di un problema intermittente, ma molto probabilmente è causato dal fatto che l'attività non riesce a connettersi a un endpoint.

Verifica della connettività dell'attività

È possibile utilizzare AWSSupport-TroubleshootECSTaskFailedToStart runbook per testare la connettività delle attività. Quando si utilizza il runbook, sono necessarie le seguenti informazioni sulle risorse:

• L'ID dell'attività

  Utilizza l'ID dell'ultima operazione non riuscita.

• Il cluster in cui si trovava l'attività

Per informazioni su come usare il runbook, consulta AWSSupport-TroubleshootECSTaskFailedToStartl'AWS Systems Manager Automation runbook reference.

Il runbook analizza il task. È possibile visualizzare i risultati nella sezione Output per i seguenti problemi che possono impedire l'avvio di un'attività:

• Connettività di rete al registro dei contenitori configurato

• VPCconnettività degli endpoint

• configurazione delle regole del gruppo di sicurezza

Risoluzione dei problemi VPC relativi agli endpoint

Quando il risultato del AWSSupport-TroubleshootECSTaskFailedToStart runbook indica il problema dell'VPCendpoint, controlla la seguente configurazione:

• Il VPC luogo in cui crei l'endpoint deve utilizzare Private. DNS

• Assicurati di avere un AWS PrivateLink endpoint per il servizio a cui l'attività non può connettersi nello VPC stesso dell'attività. Per ulteriori informazioni, consulta una delle seguenti pagine:

  Servizio	VPCinformazioni sull'endpoint per il servizio
  Amazon ECR	VPCEndpoint ECR dell'interfaccia Amazon ()AWS PrivateLink
  Systems Manager	Migliora la sicurezza delle EC2 istanze utilizzando gli VPC endpoint per Systems Manager
  Secrets Manager	Utilizzo di un endpoint AWS Secrets Manager VPC
  CloudWatch	CloudWatch VPCendpoint
  Amazon S3	AWS PrivateLink per Amazon S3

• Configura una regola in uscita per la sottorete delle attività che consente il traffico HTTPS sulla porta 443 DNS (UDPe). TCP Per ulteriori informazioni, consulta Aggiungere regole a un gruppo di sicurezza nella Amazon Elastic Compute Cloud User Guide.

• Se la sottorete dispone di una reteACL, sono necessarie le seguenti ACL regole:

  • Regola in uscita che consente il traffico che consente il traffico sulle porte 1024-65535.

  • Una regola in entrata che consente il traffico sulla porta 443. TCP

  Per informazioni su come configurare le regole, consulta Controllare il traffico verso le sottoreti utilizzando la rete ACLs nella Guida per l'utente di Amazon Virtual Private Cloud.

Risoluzione dei problemi di rete

Quando il risultato del AWSSupport-TroubleshootECSTaskFailedToStart runbook indica un problema di rete, controlla la seguente configurazione:

Attività che utilizzano la modalità di rete awsvpc in una sottorete pubblica

Esegui la seguente configurazione in base al runbook:

• Per le attività nelle sottoreti pubbliche, specifica ENABLEDl'opzione Assegna automaticamente un IP pubblico all'avvio dell'attività. Per ulteriori informazioni, consulta Esecuzione di un'applicazione come ECS attività Amazon.

• È necessario un gateway per gestire il traffico Internet. La tabella di routing per la sottorete delle attività deve avere un percorso per il traffico verso il gateway.

  Per ulteriori informazioni, consulta Aggiungere e rimuovere percorsi da una tabella di routing nella Amazon Virtual Private Cloud User Guide.

  Tipo di gateway	Destinazione della tabella delle rotte	Obiettivo della tabella di routing
  NAT	0.0.0.0/0	NATID del gateway
  Internet Gateway	0.0.0.0/0	ID del gateway Internet

• Se la sottorete delle attività dispone di una reteACL, sono necessarie le seguenti ACL regole:

  • Regola in uscita che consente il traffico che consente il traffico sulle porte 1024-65535.

  • Una regola in entrata che consente il traffico sulla porta 443. TCP

  Per informazioni su come configurare le regole, consulta Controllare il traffico verso le sottoreti utilizzando la rete ACLs nella Guida per l'utente di Amazon Virtual Private Cloud.

Attività che utilizzano la modalità di rete awsvpc in una sottorete privata

Esegui la seguente configurazione in base al runbook:

• Scegli DISABLEDl'opzione Assegna automaticamente l'IP pubblico all'avvio dell'attività.

• Configura un NAT gateway VPC per indirizzare le richieste a Internet. Per ulteriori informazioni, consulta NATGateways nella Amazon Virtual Private Cloud User Guide.

• La tabella di routing per la sottorete delle attività deve avere un percorso per il traffico verso il NAT gateway.

  Per ulteriori informazioni, consulta Aggiungere e rimuovere percorsi da una tabella di routing nella Amazon Virtual Private Cloud User Guide.

  Tipo di gateway	Destinazione della tabella delle rotte	Obiettivo della tabella di routing
  NAT	0.0.0.0/0	NATID del gateway

• Se la sottorete delle attività dispone di una reteACL, sono necessarie le seguenti ACL regole:

  • Regola in uscita che consente il traffico che consente il traffico sulle porte 1024-65535.

  • Una regola in entrata che consente il traffico sulla porta 443. TCP

  Per informazioni su come configurare le regole, consulta Controllare il traffico verso le sottoreti utilizzando la rete ACLs nella Guida per l'utente di Amazon Virtual Private Cloud.

Attività che non utilizzano la modalità di rete awsvpc in una sottorete pubblica

Esegui la seguente configurazione in base al runbook:

• Scegli Attiva per l'assegnazione automatica dell'IP in Networking for Amazon EC2 Instances quando crei il cluster.

  Questa opzione assegna un indirizzo IP pubblico all'interfaccia di rete primaria dell'istanza.

• È necessario un gateway per gestire il traffico Internet. La tabella di routing per la sottorete dell'istanza deve avere un percorso per il traffico verso il gateway.

  Per ulteriori informazioni, consulta Aggiungere e rimuovere percorsi da una tabella di routing nella Amazon Virtual Private Cloud User Guide.

  Tipo di gateway	Destinazione della tabella delle rotte	Obiettivo della tabella di routing
  NAT	0.0.0.0/0	NATID del gateway
  Internet Gateway	0.0.0.0/0	ID del gateway Internet

• Se la sottorete dell'istanza dispone di una reteACL, sono necessarie le seguenti ACL regole:

  • Una regola in uscita che consente il traffico che consente il traffico sulle porte 1024-65535.

  • Una regola in entrata che consente il traffico sulla porta 443. TCP

  Per informazioni su come configurare le regole, consulta Controllare il traffico verso le sottoreti utilizzando la rete ACLs nella Guida per l'utente di Amazon Virtual Private Cloud.

Attività che non utilizzano la modalità di rete awsvpc in una sottorete privata

Esegui la seguente configurazione in base al runbook:

• Scegli Disattiva per l'assegnazione automatica dell'IP in Networking for Amazon EC2 Instances quando crei il cluster.

• Configura un NAT gateway nel tuo sistema VPC per indirizzare le richieste verso Internet. Per ulteriori informazioni, consulta NATGateways nella Amazon VPC User Guide.

• La tabella di routing per la sottorete dell'istanza deve avere un percorso per il traffico verso il NAT gateway.

  Per ulteriori informazioni, consulta Aggiungere e rimuovere percorsi da una tabella di routing nella Amazon Virtual Private Cloud User Guide.

  Tipo di gateway	Destinazione della tabella delle rotte	Obiettivo della tabella di routing
  NAT	0.0.0.0/0	NATID del gateway

• Se la sottorete delle attività dispone di una reteACL, sono necessarie le seguenti ACL regole:

  • Regola in uscita che consente il traffico che consente il traffico sulle porte 1024-65535.

  • Una regola in entrata che consente il traffico sulla porta 443. TCP

  Per informazioni su come configurare le regole, consulta Controllare il traffico verso le sottoreti utilizzando la rete ACLs nella Guida per l'utente di Amazon Virtual Private Cloud.