Amazon ECR エラーメッセージのトラブルシューティング
トピック
Amazon ECS コンソールまたは AWS CLI を通じてトリガーされた API コールがエラーメッセージで終了することがあります。一般的なエラーメッセージと考えられる解決策を以下に説明します。
aws ecr get-login を実行する際のエラー: "デーモンからのエラー応答: 無効なレジストリエンドポイントです"
aws ecr get-login コマンドを実行して Amazon ECR リポジトリのログイン認証情報を取得するときに、次のエラーが表示される場合があります。
Error response from daemon: invalid registry endpoint https://xxxxxxxxxxxx.dkr.ecr.us-east-1.amazonaws.com/v0/: unable to ping registry endpoint https://xxxxxxxxxxxx.dkr.ecr.us-east-1.amazonaws.com/v0/ v2 ping attempt failed with error: Get https://xxxxxxxxxxxx.dkr.ecr.us-east-1.amazonaws.com/v2/: dial tcp: lookup xxxxxxxxxxxx.dkr.ecr.us-east-1.amazonaws.com on 172.20.10.1:53: read udp 172.20.10.1:53: i/o timeout
このエラーは、Docker Toolbox、Docker for Windows、または Docker for Mac を実行している MacOS X および Windows システムで発生することがあります。これは、他のアプリケーションがローカルゲートウェイ (192.168.0.1) を介してルートを変更するときに、よく発生します。仮想マシンはこのゲートウェイを介して Amazon ECR サービスにアクセスする必要があります。Docker Toolbox の使用中にこのエラーが発生した場合は、Docker Machine 環境またはローカルクライアントのオペレーティングシステムを再起動することで、しばしば解決できます。これによって問題が解決しない場合は、docker-machine ssh コマンドを使用してコンテナインスタンスにログインします。外部ホストで DNS ルックアップを行って、ローカルホストと同じ結果となることを確認します。結果が異なる場合は、Docker Toolbox のドキュメントを参照して、Docker Machine 環境が適切に設定されていることを確認します。
HTTP 429: リクエストが多すぎる、または ThrottleException
1 つ以上の Amazon ECR コマンドまたは API コールから、429: Too Many Requests エラーまたは ThrottleException エラーを受け取ることがあります。Docker ツールを Amazon ECR とともに使用している場合、Docker バージョン 1.12.0 以降では、エラーメッセージ
TOOMANYREQUESTS: Rate exceeded が表示されることがあります。Docker バージョン 1.12.0 以前では、エラー Unknown: Rate
exceeded が表示されることがあります。
これは、短い間隔で Amazon ECR の単一のエンドポイントを繰り返し呼び出していて、リクエストがスロットリングされていることを示します。スロットリングは、1 人のユーザーから単一のエンドポイントへの呼び出しが、期間中に特定のしきい値を超えたときに発生します。
Amazon ECR のさまざまな API オペレーションでは、異なるスロットリングが行われます。
たとえば、GetAuthorizationToken アクションのスロットリングは 20 TPS (トランザクション/秒) で、最大 200 TPS のバーストが可能です。各リージョンで、各アカウントには、最大 200
GetAuthorizationToken クレジットを保存できるバケットが割り当てられ、1 秒あたり 20 クレジットの割合で補充されます。バケットに 200 クレジットがある場合、1 秒あたり 200
GetAuthorizationToken API トランザクションに達すると、1 秒あたり 20 トランザクションが無期限に維持されます。
スロットリングエラーを処理するには、増分バックオフをコードに含めて再試行関数を実装します。詳細については、アマゾン ウェブ サービス全般のリファレンスの「AWS でのエラーの再試行とエクスポネンシャルバックオフ」を参照してください。
HTTP 403: "ユーザー [arn] は [operation] の実行を許可されていません"
Amazon ECR を使用してアクションを実行しようとすると、次のエラーを受け取ることがあります。
$aws ecr get-loginA client error (AccessDeniedException) occurred when calling the GetAuthorizationToken operation: User: arn:aws:iam::account-number:user/usernameis not authorized to perform: ecr:GetAuthorizationToken on resource: *
これは、Amazon ECR を使用するアクセス権限がユーザーに付与されていないか、それらのアクセス権限が正しく設定されていないことを示します。特に、Amazon ECR レポジトリに対してアクションを実行している場合は、そのリポジトリにアクセスする権限がユーザーに付与されていることを確認します。Amazon ECR のアクセス権限の作成と検証の詳細については、「Amazon ECR IAM のポリシーおよびロール」を参照してください。
HTTP 404: "レポジトリは存在しません" エラー
現在存在しない Docker Hub リポジトリを指定すると、Docker Hub はそのレポジトリを自動的に作成します。Amazon ECR では、レポジトリを使用するには、その前に新しいリポジトリを明示的に作成する必要があります。これにより、(タイプミスなどの原因で) 新しいレポジトリが間違って作成されるのを防止し、適切なセキュリティアクセスポリシーが明示的に新しいレポジトリに割り当てられます。レポジトリの作成方法の詳細については、「Amazon ECR リポジトリ」を参照してください。
