# Verificar conectividade de tarefa interrompida do Amazon ECS
<a name="verify-connectivity"></a>

Algumas vezes uma tarefa é interrompida devido a um problema de conectividade de rede. Esse problema pode ser intermitente, mas a causa mais provável é a tarefa não conseguir se conectar a um endpoint. 

## Testar a conectividade da tarefa
<a name="test-network"></a>

Você pode usar o runbook `AWSSupport-TroubleshootECSTaskFailedToStart` para testar a conectividade da tarefa. Para usar o runbook, você precisa das seguintes informações do recurso:
+ O ID da tarefa

  Use o ID da tarefa mais recente em que houve falha.
+ O cluster em que a tarefa estava

Para obter informações sobre como usar o runbook, consulte [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-troubleshootecstaskfailedtostart.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-troubleshootecstaskfailedtostart.html) na *Referência do runbook do AWS Systems Manager Automation*.

O runbook analisa a tarefa. Você pode visualizar os resultados na seção **Saída** para os seguintes problemas que podem impedir que uma tarefa seja iniciada: 
+ Conectividade de rede com o registro de contêiner configurado
+ Conectividade do serviço de endpoint da VPC
+ Configuração de regras do grupo de segurança

## Corrigir problemas de endpoint da VPC
<a name="fix-vpc-endpoints"></a>

Quando o resultado do runbook `AWSSupport-TroubleshootECSTaskFailedToStart` indicar um problema do endpoint da VPC, verifique a seguinte configuração:
+ A VPC em que você cria o endpoint e o endpoint da VPC precisam usar DNS privado.
+ Certifique-se de ter um endpoint AWS PrivateLink para o serviço ao qual a tarefa não consegue se conectar na mesma VPC da tarefa. Para obter mais informações, consulte um dos seguintes tópicos:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonECS/latest/developerguide/verify-connectivity.html)
+ Configure uma regra de saída para a sub-rede da tarefa que permita HTTPS no tráfego DNS da porta 443 (TCP). Para obter mais informações, consulte [Configurar regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules) no *Guia do usuário da Amazon Elastic Compute Cloud*.
+ Se você usa um servidor de nome de domínio personalizado, confirme as configurações da consulta ao DNS. A consulta deve ter acesso de saída na porta 53 e usar os protocolos UDP e TCP. Além disso, ela deve ter acesso HTTPS na porta 443. Para obter mais informações, consulte [Configurar regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules) no *Guia do usuário da Amazon Elastic Compute Cloud*.
+ Se a sub-rede tiver uma ACL de rede, as seguintes regras de ACL serão necessárias:
  + Uma regra de saída que permita tráfego nas portas 1024-65535.
  + Adicione uma regra de entrada que permita o tráfego TCP na porta 443.

  Para obter informações sobre como configurar regras, consulte [Controlar o tráfego para sub-redes com ACLs de rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) no *Guia do usuário da Amazon Virtual Private Cloud*.

## Corrigir problemas de rede
<a name="fix-network-issues"></a>

Quando o resultado do runbook `AWSSupport-TroubleshootECSTaskFailedToStart` indicar um problema rede, verifique a seguinte configuração:

### Tarefas que usam o modo de rede awsvpc em uma sub-rede pública
<a name="fix-network-issues-fargate-public"></a>

Faça a configuração a seguir baseada no runbook:
+ Para tarefas em sub-redes públicas, especifique **ENABLED (Habilitado)** para **Auto-assign public IP (Atribuir IP público automaticamente)** ao iniciar a tarefa. Para obter mais informações, consulte [Execução de uma aplicação como uma tarefa do Amazon ECS](standalone-task-create.md).
+ Você precisa de um gateway para lidar com o tráfego da Internet. A tabela de rotas para a sub-rede da tarefa precisa ter uma rota para o tráfego destinado ao gateway.

  Para obter mais informações, consulte [Adicionar e remover rotas de uma tabela de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes) no *Manual do usuário da Amazon Virtual Private Cloud*.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonECS/latest/developerguide/verify-connectivity.html)
+ Se a sub-rede da tarefa tiver uma ACL de rede, as seguintes regras de ACL serão necessárias:
  + Uma regra de saída que permite tráfego nas portas de 1024 a 65535.
  + Adicione uma regra de entrada que permita o tráfego TCP na porta 443.

  Para obter informações sobre como configurar regras, consulte [Controlar o tráfego para sub-redes com ACLs de rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) no *Guia do usuário da Amazon Virtual Private Cloud*.

### Tarefas que usam o modo de rede awsvpc em uma sub-rede privada
<a name="fix-network-issues-fargate-private"></a>

Faça a configuração a seguir baseada no runbook:
+ Escolha **DESABILITADO** para **atribuir automaticamente um IP público** ao iniciar a tarefa.
+  Configure um gateway NAT na VPC para rotear solicitações para a Internet. Para obter mais informações, consulte [Gateways NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) no *Guia do usuário do Amazon Virtual Private Cloud*. 
+ A tabela de rotas para a sub-rede da tarefa precisa ter uma rota para o tráfego destinado ao gateway NAT.

  Para obter mais informações, consulte [Adicionar e remover rotas de uma tabela de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes) no *Manual do usuário da Amazon Virtual Private Cloud*.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonECS/latest/developerguide/verify-connectivity.html)
+ Se a sub-rede da tarefa tiver uma ACL de rede, as seguintes regras de ACL serão necessárias:
  + Uma regra de saída que permite tráfego nas portas de 1024 a 65535.
  + Adicione uma regra de entrada que permita o tráfego TCP na porta 443.

  Para obter informações sobre como configurar regras, consulte [Controlar o tráfego para sub-redes com ACLs de rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) no *Guia do usuário da Amazon Virtual Private Cloud*.

### Tarefas que não usam o modo de rede awsvpc em uma sub-rede pública
<a name="fix-network-issues-ec2-public"></a>

Faça a configuração a seguir baseada no runbook:
+ Escolha **Ativar** para **Atribuir IP automaticamente** em **Rede para instâncias do Amazon EC2** ao criar o cluster.

  Essa opção atribui um endereço IP público à interface de rede primária da instância.
+ Você precisa de um gateway para lidar com o tráfego da Internet. A tabela de rotas para a sub-rede da instância precisa ter uma rota para o tráfego destinado ao gateway.

  Para obter mais informações, consulte [Adicionar e remover rotas de uma tabela de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes) no *Manual do usuário da Amazon Virtual Private Cloud*.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonECS/latest/developerguide/verify-connectivity.html)
+ Se a sub-rede da instância tiver uma ACL de rede, as seguintes regras de ACL serão necessárias:
  + Uma regra de saída que permite tráfego nas portas de 1024 a 65535.
  + Adicione uma regra de entrada que permita o tráfego TCP na porta 443.

  Para obter informações sobre como configurar regras, consulte [Controlar o tráfego para sub-redes com ACLs de rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) no *Guia do usuário da Amazon Virtual Private Cloud*.

### Tarefas que não usam o modo de rede awsvpc em uma sub-rede privada
<a name="fix-network-issues-fargate-private"></a>

Faça a configuração a seguir baseada no runbook:
+ Escolha **Desativar** para **Atribuir IP automaticamente** em **Redes para instâncias do Amazon EC2** ao criar o cluster.
+  Configure um gateway NAT na VPC para rotear solicitações para a Internet. Para obter mais informações, consulte [Gateways NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) no *Guia do usuário da Amazon VPC*. 
+ A tabela de rotas para a sub-rede da instância precisa ter uma rota para o tráfego destinado ao gateway NAT.

  Para obter mais informações, consulte [Adicionar e remover rotas de uma tabela de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes) no *Manual do usuário da Amazon Virtual Private Cloud*.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonECS/latest/developerguide/verify-connectivity.html)
+ Se a sub-rede da tarefa tiver uma ACL de rede, as seguintes regras de ACL serão necessárias:
  + Uma regra de saída que permite tráfego nas portas de 1024 a 65535.
  + Adicione uma regra de entrada que permita o tráfego TCP na porta 443.

  Para obter informações sobre como configurar regras, consulte [Controlar o tráfego para sub-redes com ACLs de rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) no *Guia do usuário da Amazon Virtual Private Cloud*.