gpt4 book ai didi

amazon-web-services - ECS Fargate 1.4 不使用 VPC 终端节点

转载 作者:行者123 更新时间:2023-12-03 20:25:30 29 4
gpt4 key购买 nike

这是一个奇怪的问题。我在私有(private)子网中有一个使用 Fargate v1.4 的 ECS 服务。由于这些任务无法访问 Internet,因此我必须配置 VPC 端点,以便任务可以从 AWS 服务中加载所需的内容(例如,来自 SSM 的 secret 、来自 ECR 的图像等)。 这一切都很好并且工作得很好,直到它没有。 我不确定发生了什么变化,但是一个周末我注意到我的服务器不再运行,并且我在控制台中注意到了这个错误:

ResourceInitializationError: unable to pull secrets or registry auth: execution resource retrieval failed: unable to retrieve secrets from ssm: service call has been retried 1 time(s): RequestError: send request failed caused by: Post https://ssm.us-ea...

这在我配置 VPC 终端节点时看起来很熟悉,因此我通过控制台确保没有任何变化。据我所知,配置看起来是正确的(安全组具有正确的入口/导出规则,已配置正确的端点并连接到我的服务器所在的 VPC,一切都在同一个 AZ 中,IAM 角色可以访问 key )。

作为一个实验,我从任务定义中删除了我试图加载的 secret ,看看会发生什么。当新服务器启动时,我看到了类似的错误,但这次是从 ECR 加载图像:
ResourceInitializationError: unable to pull secrets or registry auth: execution resource retrieval failed: unable to retrieve ecr registry auth: service call has been retried 1 time(s): RequestError: send request failed caused by: Post https://api.ecr....

我还尝试删除并重新创建所有端点,以防万一,但仍然没有成功。

其他(可能)有用的信息:
  • 地区:us-east-1
  • 我用的是最新版的Pulumi
  • 我在一周内使用应用程序自动缩放来降低实例的速度

  • 任何帮助/提示将不胜感激。

    最佳答案

    根据评论中的讨论,确定问题的原因是。安全组上的 CIDR 范围不正确 (SG)为SSM VPC service endpoint .

    一般 故障排除建议 问题是:

  • 检查 SG 上 VPC 接口(interface)端点的入口规则(端口 443 打开)。
  • 确保 S3 网关端点也可用并且按照 SSM 的要求工作。
  • 检查是否 enableDnsHostnamesDNSSupportenabled对于 VPC
  • 在与 ECS 服务相同的子网中创建实例。使用实例(在设置其具有 SSM 权限的角色后)检查 SSM 接口(interface)连接。这样做的目的是验证问题是在 VPC 级别还是在 ECS 级别。
  • 在该实例中,AWS CLI 可用于使用 custom interface URL 连接到 SSM 终端节点或 SSM 的通用版本。
  • 关于amazon-web-services - ECS Fargate 1.4 不使用 VPC 终端节点,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62110423/

    29 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com