Wenn der Service keine Verbindung zu Amazon RDS oder einem Downstream-Service herstellen kann - AWS App Runner

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn der Service keine Verbindung zu Amazon RDS oder einem Downstream-Service herstellen kann

Möglicherweise liegt ein Problem mit der Netzwerkkonfiguration bei Ihrem Service vor, wenn er keine Verbindung zu einer Amazon RDS-Datenbank oder einer anderen nachgelagerten Anwendung oder einem anderen nachgelagerten Dienst herstellen kann. In diesem Thema werden Sie durch einige Schritte geführt, um festzustellen, ob Probleme mit Ihrer Netzwerkkonfiguration vorliegen und welche Optionen zu deren Behebung zur Verfügung stehen. Weitere Informationen zur Konfiguration des ausgehenden Datenverkehrs für App Runner finden Sie unterVPC-Zugriff für ausgehenden Verkehr aktivieren .

Anmerkung

Um Ihre VPC Connector-Konfiguration anzuzeigen, wählen Sie im linken Navigationsbereich der App Runner-Konsole Netzwerkkonfiguration aus. Wählen Sie dann den Tab Ausgehender Verkehr aus. Wählen Sie einen VPC-Connector aus. Auf der nächsten Seite werden Details zum VPC-Connector angezeigt. Auf dieser Seite können Sie Folgendes anzeigen und detailliert untersuchen: Subnetze, Sicherheitsgruppen und App Runner-Dienste, die die VPC verwenden.

Um die Ursache für die Unfähigkeit Ihrer Anwendung, eine Verbindung zu einem anderen Downstream-Dienst herzustellen, einzugrenzen

  1. Stellen Sie sicher, dass es sich bei den in den VPC Connectors verwendeten Subnetzen um private Subnetze handelt. Wenn ein Connector mit einem öffentlichen Subnetz konfiguriert ist, treten bei Ihrem Service Fehler auf, da die zugrunde liegenden Hyperplane-ENIs (Elastic Network Interfaces) für jedes Subnetz keinen öffentlichen IP-Bereich haben.

    Wenn Ihre VPC-Connectors öffentliche Subnetze verwenden, haben Sie die folgenden Optionen, um diese Konfiguration zu korrigieren:

    1. Erstellen Sie ein neues privates Subnetz und verwenden Sie es anstelle des öffentlichen Subnetzes für den VPC-Connector. Weitere Informationen finden Sie unter Subnetze für Ihre VPC im Amazon VPC-Benutzerhandbuch.

    2. Leiten Sie das bestehende öffentliche Subnetz über NAT-Gateways weiter. Weitere Informationen finden Sie unter NAT-Gateways im Amazon VPC-Benutzerhandbuch.

  2. Stellen Sie sicher, dass die Sicherheitsgruppeneingangs- und Ausgangsregeln für den VPC-Connector korrekt sind. Wählen Sie im linken Navigationsbereich der App Runner-Konsole Netzwerkkonfiguration > Ausgehender Verkehr aus. Wählen Sie den VPC-Connector aus der Liste aus. Auf der nächsten Seite sind die Sicherheitsgruppen aufgeführt, die Sie zur Überprüfung auswählen können.

  3. Stellen Sie sicher, dass die Regeln für eingehende und ausgehende Sicherheitsgruppen für die RDS-Instance oder einen anderen Downstream-Dienst, zu dem Sie eine Verbindung herstellen möchten, korrekt sind. Weitere Informationen finden Sie im Servicehandbuch für den Downstream-Dienst, zu dem Ihre App Runner-Anwendung versucht, eine Verbindung herzustellen.

  4. Um sicherzustellen, dass außerhalb Ihrer App Runner-Konfigurationen kein anderes Netzwerk-Setup-Problem vorliegt, versuchen Sie, eine Verbindung zum RDS oder zum Downstream-Dienst außerhalb von App Runner herzustellen:

    1. Versuchen Sie von einer Amazon EC2 EC2-Instance in derselben VPC aus, eine Verbindung zur RDS-Instance oder zum RDS-Dienst herzustellen.

    2. Wenn Sie versuchen, eine Verbindung zu einem Service-VPC-Endpunkt herzustellen, überprüfen Sie die Konnektivität, indem Sie von einer EC2-Instance in derselben VPC auf denselben Endpunkt zugreifen.

  5. Wenn einer der Verbindungstests in Schritt 4 fehlschlägt, liegt höchstwahrscheinlich ein Problem außerhalb Ihrer App Runner-Konfigurationen mit einer anderen Ressource in Ihrem Konto vor. AWS Wenden Sie sich an den AWS Support, um Unterstützung bei der weiteren Isolierung und Behebung des Problems mit Ihren anderen Netzwerkkonfigurationen zu erhalten.

  6. Wenn Sie mithilfe der Anweisungen in Schritt 4 erfolgreich eine Verbindung mit der RDS-Instance oder dem Downstream-Dienst hergestellt haben, fahren Sie mit den Anweisungen in diesem Schritt fort. Wir überprüfen, ob Datenverkehr in das ENI eingeht, indem wir die Hyperplane ENI Flow-Logs aktivieren und überprüfen.

    Anmerkung

    Um diese Schritte ausführen und die erforderlichen ENI-Datenflussprotokollinformationen abrufen zu können, muss der Verbindungsversuch zum RDS- oder Downstream-Dienst erfolgen, nachdem Ihr App Runner-Dienst erfolgreich gestartet wurde. Ihre Anwendung muss den Verbindungsvorgang mit dem RDS oder dem Downstream-Dienst ausführen, wenn sie sich im Status Running befindet. Andernfalls könnten die ENIs im Rahmen der Rollback-Workflows von App Runner bereinigt werden. Dieser Ansatz stellt sicher, dass die ENIs weiterhin für weitere Untersuchungen zur Verfügung stehen.

    1. Starten Sie von der AWS Konsole aus die EC2-Konsole.

    2. Wählen Sie im linken Navigationsbereich in der Gruppe Netzwerk und Sicherheit die Option Netzwerkschnittstellen aus.

    3. Scrollen Sie zu den Spalten Schnittstellentyp und Beschreibung, um die ENIs in den Subnetzen zu finden, die dem VPC-Connector zugeordnet sind. Sie werden die folgenden Benennungsmuster haben.

      • Schnittstellentyp: Fargate

      • Beschreibung: beginnt mit AWSAppRunner ENI(Beispiel: AWSAppRunner ENI - abcde123-abcd-1234-1234-abcde1233456)

    4. Verwenden Sie die Kontrollkästchen am Anfang der Zeilen, um die zutreffenden ENIs auszuwählen.

    5. Wählen Sie im Menü Aktionen die Option Flow-Protokoll erstellen aus.

    6. Geben Sie die Informationen in die Eingabeaufforderungen ein und wählen Sie unten auf der Seite die Option Flow-Flog erstellen aus.

    7. Prüfen Sie das generierte Flow-Protokoll.

      • Wenn beim Testen der Verbindung Datenverkehr in die ENI einging, hat das Problem nichts mit der ENI-Konfiguration zu tun. Möglicherweise gibt es Probleme mit der Netzwerkkonfiguration mit einer anderen Ressource in Ihrem AWS Konto als den App Runner-Diensten. Wenden Sie sich an den AWS Support, um weitere Unterstützung zu erhalten.

      • Wenn beim Testen der Verbindung kein Datenverkehr in das ENI einging, empfehlen wir Ihnen, sich an den AWS Support zu wenden, um zu erfahren, ob es bekannte Probleme mit dem Fargate-Dienst gibt.

    8. Verwenden Sie das Tool Network Reachability Analyzer. Dieses Tool hilft bei der Identifizierung von Netzwerkfehlkonfigurationen, indem blockierende Komponenten identifiziert werden, wenn eine Quelle im virtuellen Netzwerkpfad nicht erreichbar ist. Weitere Informationen finden Sie unter Was ist Reachability Analyzer? im Amazon VPC Reachability Analyzer Guide.

      Geben Sie App Runner ENI als Quelle und RDS ENI als Ziel ein.

  7. Wenn Sie das Problem nicht weiter eingrenzen können oder wenn Sie nach Abschluss der vorherigen Schritte immer noch keine Verbindung zum RDS oder zum Downstream-Dienst herstellen können, empfehlen wir Ihnen, sich an den Support zu wenden, um weitere AWS Unterstützung zu erhalten.