驗證 Amazon ECS 停止任務連接

有時候工作會因為網路連線問題而停止。這可能是間歇性問題，但最有可能是因為工作無法連線到端點而造成。

測試任務連接

您可以使用 AWSSupport-TroubleshootECSTaskFailedToStart runbook 來測試任務連接。當您使用 runbook 時，您需要下列資源資訊：

• 任務識別碼

  使用最近失敗工作的 ID。

• 工作所在的叢集

如需有關如何使用 Runbook 的資訊，請參閱AWS Systems Manager 自動化工作流程簿參考資料AWSSupport-TroubleshootECSTaskFailedToStart中的。

工作流程簿會分析工作。您可以在「輸出」區段中檢視結果，以瞭解下列可能導致工作無法啟動的問題：

• 與已設定容器登錄的網路連線

• VPC 端點連線

• 安全性群組規則組態

修正 VPC 端點問題

當 AWSSupport-TroubleshootECSTaskFailedToStart runbook 結果指出 VPC 端點問題時，請檢查下列組態：

• 您在其中建立端點的 VPC 需要使用私有 DNS。

• 請確定您有工作無法在與工作相同 VPC 中連線的服務 AWS PrivateLink 端點。如需詳細資訊，請參閱下列其中一項：

  服務	服務的 VPC 端點資訊
  Amazon ECR	Amazon ECR 接口 VPC 端端點 ()AWS PrivateLink
  Systems Manager	針對 Systems Manager 使用 VPC 端點來提高 EC2 執行個體的安全性
  Secrets Manager	使用 AWS Secrets Manager VPC 端點
  CloudWatch	CloudWatch VPC 端點
  Amazon S3	AWS PrivateLink 對於 Amazon S3

• 為工作子網路設定輸出規則，允許在連接埠 443 DNS (UDP 和 TCP) 流量上使用 HTTPS。如需詳細資訊，請參閱 Amazon 彈性運算雲端使用者指南中的將規則新增至安全群組。

• 如果子網路具有網路 ACL，則需要下列 ACL 規則：

  • 允許在通訊埠 1024-65535 上允許流量的輸出規則。

  • 允許連接埠 443 上的 TCP 流量的輸入規則。

  如需如何設定規則的詳細資訊，請參閱 Amazon Virtual Private Cloud 使用者指南中的使用網路 ACL 控制到子網路的流量。

修正網路問題

當 AWSSupport-TroubleshootECSTaskFailedToStart runbook 結果指出網路問題時，請檢查下列組態：

在公有子網路中使用 awsvpc 網路模式的工作

根據工作流程簿執行下列組態：

• 針對公有子網路中的任務，您必須在啟動任務時，將 Auto-assign public IP (自動指派公有 IP) 指定為 ENABLED (啟用)。如需詳細資訊，請參閱 以 Amazon ECS 任務的形式執行應用程式。

• 您需要一個網關來處理互聯網流量。工作子網路的路由表必須具有通往閘道的流量的路由。

  如需詳細資訊，請參閱 Amazon Virtual Private Cloud 使用者指南中的從路由表新增和移除路由表。

  閘道類型	路由表目的地	路線表目標
  NAT	0.0.0.0/0	NAT 閘道 ID
  網際網路閘道	0.0.0.0/0	網際網路閘道 ID

• 如果工作子網路具有網路 ACL，則需要下列 ACL 規則：

  • 允許在通訊埠 1024-65535 上允許流量的輸出規則。

  • 允許連接埠 443 上的 TCP 流量的輸入規則。

  如需如何設定規則的詳細資訊，請參閱 Amazon Virtual Private Cloud 使用者指南中的使用網路 ACL 控制到子網路的流量。

在私有子網路中使用 awsvpc 網路模式的工作

根據工作流程簿執行下列組態：

• 啟動工作時，針對自動指派公用 IP 選擇 [已停用]。

• 在 VPC 中設定 NAT 閘道，將要求路由到網際網路。如需詳細資訊，請參閱 Amazon Virtual Private Cloud 使用者指南中的 NAT 閘道。

• 工作子網路的路由表必須具有連至 NAT 閘道之流量的路由。

  如需詳細資訊，請參閱 Amazon Virtual Private Cloud 使用者指南中的從路由表新增和移除路由表。

  閘道類型	路由表目的地	路線表目標
  NAT	0.0.0.0/0	NAT 閘道 ID

• 如果工作子網路具有網路 ACL，則需要下列 ACL 規則：

  • 允許在通訊埠 1024-65535 上允許流量的輸出規則。

  • 允許連接埠 443 上的 TCP 流量的輸入規則。

  如需如何設定規則的詳細資訊，請參閱 Amazon Virtual Private Cloud 使用者指南中的使用網路 ACL 控制到子網路的流量。

在公共子網中不使用 awsvpc 網絡模式的任務

根據工作流程簿執行下列組態：

• 建立叢集時，在 Amazon EC2 執行個體的聯網下選擇開啟自動指派 IP。

  此選項會將公用 IP 位址指派給執行個體主要網路介面。

• 您需要一個網關來處理互聯網流量。執行個體子網路的路由表必須具有通往閘道的流量的路由。

  如需詳細資訊，請參閱 Amazon Virtual Private Cloud 使用者指南中的從路由表新增和移除路由表。

  閘道類型	路由表目的地	路線表目標
  NAT	0.0.0.0/0	NAT 閘道 ID
  網際網路閘道	0.0.0.0/0	網際網路閘道 ID

• 如果執行個體子網路具有網路 ACL，則需要下列 ACL 規則：

  • 允許在通訊埠 1024-65535 上允許流量的輸出規則。

  • 允許連接埠 443 上的 TCP 流量的輸入規則。

  如需如何設定規則的詳細資訊，請參閱 Amazon Virtual Private Cloud 使用者指南中的使用網路 ACL 控制到子網路的流量。

在私有子網路中使用 awsvpc 網路模式的工作

根據工作流程簿執行下列組態：

• 建立叢集時，在 Amazon EC2 執行個體的聯網下選擇關閉自動指派 IP。

• 在 VPC 中設定 NAT 閘道，將要求路由到網際網路。如需詳細資訊，請參閱 Amazon VPC 使用者指南中的 NAT 閘道。

• 執行個體子網路的路由表必須具有 NAT 閘道流量的路由。

  如需詳細資訊，請參閱 Amazon Virtual Private Cloud 使用者指南中的從路由表新增和移除路由表。

  閘道類型	路由表目的地	路線表目標
  NAT	0.0.0.0/0	NAT 閘道 ID

• 如果工作子網路具有網路 ACL，則需要下列 ACL 規則：

  • 允許在通訊埠 1024-65535 上允許流量的輸出規則。

  • 允許連接埠 443 上的 TCP 流量的輸入規則。

  如需如何設定規則的詳細資訊，請參閱 Amazon Virtual Private Cloud 使用者指南中的使用網路 ACL 控制到子網路的流量。