本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
驗證 Amazon ECS已停止任務連線
有時候任務會因為網路連線問題而停止。這可能是間歇性問題,但很有可能是因為任務無法連線至端點。
測試任務連線
您可以使用 AWSSupport-TroubleshootECSTaskFailedToStart Runbook 測試任務連線。當您使用 Runbook 時,您需要下列資源資訊:
-
任務 ID
使用最近失敗任務的 ID。
-
任務所在的叢集
如需如何使用 Runbook 的詳細資訊,請參閱 AWS Systems Manager Automation Runbook 參考AWSSupport-TroubleshootECSTaskFailedToStart中的 。
Runbook 會分析任務。您可以在輸出區段中檢視下列問題的結果,這些問題可能會阻止任務啟動:
已設定容器登錄檔的網路連線
VPC 端點連線
安全群組規則組態
修正VPC端點問題
當 AWSSupport-TroubleshootECSTaskFailedToStart Runbook 結果指出VPC端點問題時,請檢查下列組態:
-
您建立端點的 VPC 需要使用私有 DNS。
-
請確定您有一個 服務的 AWS PrivateLink 端點,而任務無法在與任務VPC相同的 中連線到該端點。如需詳細資訊,請參閱下列其中一項:
服務 VPC 服務的端點資訊 Amazon ECR Amazon ECR 介面VPC端點 (AWS PrivateLink) Systems Manager 使用 Systems Manager 的VPC端點來改善EC2執行個體的安全性 Secrets Manager 使用 AWS Secrets Manager VPC端點 CloudWatch CloudWatch VPC 端點 Amazon S3 AWS PrivateLink 適用於 Amazon S3 -
設定任務子網路的傳出規則,允許HTTPS連接埠 443 DNS(TCP) 流量。如需詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的設定安全群組規則。
-
如果您使用自訂名稱網域伺服器,請確認DNS查詢的設定。查詢必須在連接埠 53 上具有傳出存取權,並使用 UDP 和 TCP 通訊協定。此外,它必須在連接埠 443 上具有HTTPS存取權。如需詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的 Coonfigure 安全群組規則。
-
如果子網路具有網路 ACL,則需要下列ACL規則:
-
允許連接埠 1024-65535 流量的傳出規則。
-
允許連接埠 443 TCP流量的傳入規則。
如需如何設定規則的詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的使用網路控制子網路的流量ACLs。
-
修正網路問題
當 AWSSupport-TroubleshootECSTaskFailedToStart Runbook 結果指出網路問題時,請檢查下列組態:
根據 Runbook 執行下列組態:
-
針對公有子網路中的任務,請在啟動任務時指定 ENABLED為自動指派公有 IP。 如需詳細資訊,請參閱將應用程式作為 Amazon ECS任務執行。
-
您需要閘道來處理網際網路流量。任務子網路的路由表需要有通往閘道的流量路由。
如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的從路由表新增和移除路由。
閘道類型 路由表目的地 路由表目標 NAT 0.0.0.0/0 NAT 閘道 ID 網際網路閘道
0.0.0.0/0 網際網路閘道 ID -
如果任務子網路具有網路 ACL,則需要下列ACL規則:
-
允許連接埠 1024-65535 流量的傳出規則。
-
允許連接埠 443 TCP流量的傳入規則。
如需如何設定規則的詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的使用網路控制子網路的流量ACLs。
-
根據 Runbook 執行下列組態:
-
啟動任務時,DISABLED為自動指派公有 IP 選擇 。
-
在 中設定NAT閘道VPC,將請求路由到網際網路。如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的NAT閘道。
-
任務子網路的路由表需要有通往NAT閘道的流量路由。
如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的從路由表新增和移除路由。
閘道類型 路由表目的地 路由表目標 NAT 0.0.0.0/0 NAT 閘道 ID -
如果任務子網路具有網路 ACL,則需要下列ACL規則:
-
允許連接埠 1024-65535 流量的傳出規則。
-
允許連接埠 443 TCP流量的傳入規則。
如需如何設定規則的資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的使用網路控制子網路的流量ACLs。
-
根據 Runbook 執行下列組態:
-
當您建立叢集時,請在 Amazon EC2執行個體的聯網下選擇開啟自動指派 IP。
此選項會將公有 IP 地址指派給執行個體主要網路介面。
-
您需要閘道來處理網際網路流量。執行個體子網路的路由表需要有通往閘道的流量路由。
如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的從路由表新增和移除路由。
閘道類型 路由表目的地 路由表目標 NAT 0.0.0.0/0 NAT 閘道 ID 網際網路閘道
0.0.0.0/0 網際網路閘道 ID -
如果執行個體子網路具有網路 ACL,則需要下列ACL規則:
-
允許連接埠 1024-65535 流量的傳出規則。
-
允許連接埠 443 TCP流量的傳入規則。
如需如何設定規則的資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的使用網路控制子網路的流量ACLs。
-
根據 Runbook 執行下列組態:
-
當您建立叢集時,請在 Amazon EC2執行個體的聯網下選擇關閉自動指派 IP。
-
在 中設定NAT閘道VPC,將請求路由到網際網路。如需詳細資訊,請參閱《Amazon VPC使用者指南》中的NAT閘道。
-
執行個體子網路的路由表需要有通往NAT閘道的流量路由。
如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的從路由表新增和移除路由。
閘道類型 路由表目的地 路由表目標 NAT 0.0.0.0/0 NAT 閘道 ID -
如果任務子網路具有網路 ACL,則需要下列ACL規則:
-
允許連接埠 1024-65535 流量的傳出規則。
-
允許連接埠 443 TCP流量的傳入規則。
如需如何設定規則的資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的使用網路控制子網路的流量ACLs。
-
