Testar a conectividade da tarefa Corrigir problemas de endpoint da VPC Corrigir problemas de rede

Verificar conectividade de tarefa interrompida do Amazon ECS

Algumas vezes uma tarefa é interrompida devido a um problema de conectividade de rede. Esse problema pode ser intermitente, mas a causa mais provável é a tarefa não conseguir se conectar a um endpoint.

Testar a conectividade da tarefa

Você pode usar o runbook AWSSupport-TroubleshootECSTaskFailedToStart para testar a conectividade da tarefa. Para usar o runbook, você precisa das seguintes informações do recurso:

O ID da tarefa

Use o ID da tarefa mais recente em que houve falha.
O cluster em que a tarefa estava

Para obter informações sobre como usar o runbook, consulte AWSSupport-TroubleshootECSTaskFailedToStart na Referência do runbook do AWS Systems Manager Automation.

O runbook analisa a tarefa. Você pode visualizar os resultados na seção Saída para os seguintes problemas que podem impedir que uma tarefa seja iniciada:

Conectividade de rede com o registro de contêiner configurado
Conectividade do serviço de endpoint da VPC
Configuração de regras do grupo de segurança

Corrigir problemas de endpoint da VPC

Quando o resultado do runbook AWSSupport-TroubleshootECSTaskFailedToStart indicar um problema do endpoint da VPC, verifique a seguinte configuração:

A VPC em que você cria o endpoint precisa usar DNS privado.

Certifique-se de ter um endpoint AWS PrivateLink para o serviço ao qual a tarefa não consegue se conectar na mesma VPC da tarefa. Para obter mais informações, consulte um dos seguintes tópicos:

Serviço	Informações sobre o endpoint da VPC para o serviço
Amazon ECR	Endpoints da VPC de interface do Amazon ECS (AWS PrivateLink)
Systems Manager	Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager
Secrets Manager	Usar um endpoint da VPC do AWS Secrets Manager
CloudWatch	Endpoint da VPC do CloudWatch
Amazon S3	AWS PrivateLink for Amazon S3

Configure uma regra de saída para a sub-rede da tarefa que permita HTTPS no tráfego DNS da porta 443 (TCP). Para obter mais informações, consulte Configurar regras de grupo de segurança no Guia do usuário da Amazon Elastic Compute Cloud.
Se você usa um servidor de nome de domínio personalizado, confirme as configurações da consulta ao DNS. A consulta deve ter acesso de saída na porta 53 e usar os protocolos UDP e TCP. Além disso, ela deve ter acesso HTTPS na porta 443. Para obter mais informações, consulte Configurar regras de grupo de segurança no Guia do usuário da Amazon Elastic Compute Cloud.
Se a sub-rede tiver uma ACL de rede, as seguintes regras de ACL serão necessárias:
- Uma regra de saída que permita tráfego nas portas 1024-65535.
- Adicione uma regra de entrada que permita o tráfego TCP na porta 443.
Para obter informações sobre como configurar regras, consulte Controlar o tráfego para sub-redes com ACLs de rede no Guia do usuário da Amazon Virtual Private Cloud.

Corrigir problemas de rede

Quando o resultado do runbook AWSSupport-TroubleshootECSTaskFailedToStart indicar um problema rede, verifique a seguinte configuração:

Faça a configuração a seguir baseada no runbook:

Para tarefas em sub-redes públicas, especifique ENABLED (Habilitado) para Auto-assign public IP (Atribuir IP público automaticamente) ao iniciar a tarefa. Para ter mais informações, consulte Execução de uma aplicação como uma tarefa do Amazon ECS.

Você precisa de um gateway para lidar com o tráfego da Internet. A tabela de rotas para a sub-rede da tarefa precisa ter uma rota para o tráfego destinado ao gateway.

Para obter mais informações, consulte Adicionar e remover rotas de uma tabela de rotas no Manual do usuário da Amazon Virtual Private Cloud.

Tipo de gateway	Destino da tabela de rotas	Alvo da tabela de rotas
NAT	0.0.0.0/0	ID do gateway NAT
Gateway da Internet	0.0.0.0/0	ID do gateway da Internet

Se a sub-rede da tarefa tiver uma ACL de rede, as seguintes regras de ACL serão necessárias:
- Uma regra de saída que permita tráfego nas portas 1024-65535.
- Adicione uma regra de entrada que permita o tráfego TCP na porta 443.
Para obter informações sobre como configurar regras, consulte Controlar o tráfego para sub-redes com ACLs de rede no Guia do usuário da Amazon Virtual Private Cloud.

Faça a configuração a seguir baseada no runbook:

Escolha DESABILITADO para atribuir automaticamente um IP público ao iniciar a tarefa.
Configure um gateway NAT na VPC para rotear solicitações para a Internet. Para obter mais informações, consulte Gateways NAT no Guia do usuário do Amazon Virtual Private Cloud.

A tabela de rotas para a sub-rede da tarefa precisa ter uma rota para o tráfego destinado ao gateway NAT.

Para obter mais informações, consulte Adicionar e remover rotas de uma tabela de rotas no Manual do usuário da Amazon Virtual Private Cloud.

Tipo de gateway	Destino da tabela de rotas	Alvo da tabela de rotas
NAT	0.0.0.0/0	ID do gateway NAT

Se a sub-rede da tarefa tiver uma ACL de rede, as seguintes regras de ACL serão necessárias:
- Uma regra de saída que permita tráfego nas portas 1024-65535.
- Adicione uma regra de entrada que permita o tráfego TCP na porta 443.
Para obter informações sobre como configurar regras, consulte Controlar o tráfego para sub-redes com ACLs de rede no Guia do usuário da Amazon Virtual Private Cloud.

Faça a configuração a seguir baseada no runbook:

Escolha Ativar para Atribuir IP automaticamente em Rede para instâncias do Amazon EC2 ao criar o cluster.

Essa opção atribui um endereço IP público à interface de rede primária da instância.

Você precisa de um gateway para lidar com o tráfego da Internet. A tabela de rotas para a sub-rede da instância precisa ter uma rota para o tráfego destinado ao gateway.

Para obter mais informações, consulte Adicionar e remover rotas de uma tabela de rotas no Manual do usuário da Amazon Virtual Private Cloud.

Tipo de gateway	Destino da tabela de rotas	Alvo da tabela de rotas
NAT	0.0.0.0/0	ID do gateway NAT
Gateway da Internet	0.0.0.0/0	ID do gateway da Internet

Se a sub-rede da instância tiver uma ACL de rede, as seguintes regras de ACL serão necessárias:
- Uma regra de saída que permita tráfego nas portas 1024-65535.
- Adicione uma regra de entrada que permita o tráfego TCP na porta 443.
Para obter informações sobre como configurar regras, consulte Controlar o tráfego para sub-redes com ACLs de rede no Guia do usuário da Amazon Virtual Private Cloud.

Faça a configuração a seguir baseada no runbook:

Escolha Desativar para Atribuir IP automaticamente em Redes para instâncias do Amazon EC2 ao criar o cluster.
Configure um gateway NAT na VPC para rotear solicitações para a Internet. Para obter mais informações, consulte Gateways NAT no Guia do usuário da Amazon VPC.

A tabela de rotas para a sub-rede da instância precisa ter uma rota para o tráfego destinado ao gateway NAT.

Para obter mais informações, consulte Adicionar e remover rotas de uma tabela de rotas no Manual do usuário da Amazon Virtual Private Cloud.

Tipo de gateway	Destino da tabela de rotas	Alvo da tabela de rotas
NAT	0.0.0.0/0	ID do gateway NAT

Se a sub-rede da tarefa tiver uma ACL de rede, as seguintes regras de ACL serão necessárias:
- Uma regra de saída que permita tráfego nas portas 1024-65535.
- Adicione uma regra de entrada que permita o tráfego TCP na porta 443.
Para obter informações sobre como configurar regras, consulte Controlar o tráfego para sub-redes com ACLs de rede no Guia do usuário da Amazon Virtual Private Cloud.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Erros de tarefa CannotPullContainer

Visualização de solicitações de perfil do IAM