amazon-web-services - Aws ecs fargate ResourceInitializationError : unable to pull secrets or registry auth

Question

我正在尝试在 aws-ecs-fargate-1.4.0 平台上运行私有(private)存储库。

对于私有(private)存储库身份验证，我遵循了 docs它运行良好。

不知何故，在多次更新现有服务后，它无法运行任务并提示错误，例如

ResourceInitializationError: unable to pull secrets or registry auth: execution resource retrieval failed: unable to get registry auth from asm: service call has been retried 1 time(s): asm fetching secret from the service for <secretname>: RequestError: ...

我没有更改 ecsTaskExecutionRole它包含获取 secret 值所需的所有策略。

AmazonECSTaskExecutionRolePolicy

CloudWatchFullAccess

AmazonECSTaskExecutionRolePolicy

获取 secret 值

GetSSMParamters

Answer 1

AWS 员工在这里。
您看到的是由于 Fargate 平台版本 1.3.0 和 Fargate 平台版本 1.4.0 之间的网络工作方式发生了变化。作为从使用 Docker 到使用 containerd 变化的一部分，我们还对网络的工作方式进行了一些更改。在 1.3.0 及以下版本中，每个 Fargate 任务都有两个网络接口(interface):

一个网络接口(interface)用于来自您的应用程序容器的应用程序流量，以及用于日志和容器镜像层拉取。

Fargate 平台使用了辅助网络接口(interface)
本身，以获取 ECR 身份验证凭据并获取 secret 。

不过，这个辅助网络接口(interface)有一些缺点。此辅助流量未显示在您的 VPC 流日志中。此外，虽然大部分流量都留在客户 VPC 中，但辅助网络接口(interface)正在将流量发送到您的 VPC 之外。许多客户提示他们无法在此辅助网络接口(interface)上指定网络级别控制以及它能够连接的内容。
为了减少网络模型的困惑并为客户提供更多控制权，我们在 Fargate 平台版本 1.4.0 中更改为使用单个网络接口(interface)并将所有流量(甚至是 Fargate 平台流量)保留在您的 VPC 内。用于获取 ECR 身份验证和任务 secret 的 Fargate 平台流量现在使用与您的其余任务流量相同的任务网络接口(interface)，您可以在 VPC 流日志中观察此流量，并使用您自己的 AWS VPC 中的路由表控制此流量.
但是，随着这种增强的观察和控制 Fargate 平台网络的能力，您还需要负责确保在您的 VPC 中配置了实际的网络路径，以允许任务与 ECR 和 AWS Secrets Manager 进行通信。
有几种方法可以解决这个问题:

将任务启动到具有公共(public) IP 地址的公共(public)子网中，以便它们可以使用 Internet 网关

与 ECR 和其他支持服务进行通信

在具有配置为通过公有子网中的 NAT 网关路由出站流量的 VPC 路由表的私有(private)子网中启动任务。这样，NAT 网关可以代表任务打开到 ECR 的连接。

在私有(private)子网中启动任务并确保您在 VPC 中为您需要的服务配置了 AWS PrivateLink 终端节点(用于图像提取身份验证的 ECR、用于图像层的 S3 和用于 key 的 AWS Secrets Manager)。

您可以在此官方博客文章中阅读有关此更改的更多信息，在“任务弹性网络接口(interface) (ENI) 现在运行额外的流量”部分下
https://aws.amazon.com/blogs/containers/aws-fargate-launches-platform-version-1-4/