如何解决使用公共 IP 的私有子网中 Fargate 任务的 ECR 拉取失败
首先感谢能回答这个问题的人。这是我在这里的第一篇文章,所以我会尽量说清楚。
我有一个 ECS 集群,配置了 2 个 fargate 任务。 ECS 设置在分配给私有子网(附加 NAT)的 VPC 中,这些任务也有一个公共 ip(我认为这不应该是这种情况?)
其中一个任务基本上是 API,另一个任务是网页的前端。
最重要的是,我们有一个面向互联网的 ALB。这被分配给公共子网(带有 IGW)
我决定使用 NACLS 进行探索,出于某种原因,只有这条规则有效(显然):
入站:
规则编号 | 类型 | 协议 | 端口范围 | 来源 | 允许/拒绝 |
---|---|---|---|---|---|
1 | 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 允许 |
出站:
规则编号 | 类型 | 协议 | 端口范围 | 目的地 | 允许/拒绝 |
---|---|---|---|---|---|
1 | 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 允许 |
我想为公共和私有子网给出明确的规则。我已经创建了 2 个 NACL 组以及与之关联的子网。
对于面向 Internet 的负载均衡器的公共子网。这是我的规则:
公共 NACL:
入站:
规则编号 | 类型 | 协议 | 端口范围 | 来源 | 允许/拒绝 |
---|---|---|---|---|---|
100 | HTTPS | TCP(6) | 443 | 0.0.0.0/0 | 允许 |
110 | 自定义 | TCP(6) | 1024-65535 | 1x.xx.xx.xx/16 | 允许 |
出站:
规则编号 | 类型 | 协议 | 端口范围 | 目的地 | 允许/拒绝 |
---|---|---|---|---|---|
100 | HTTPS | TCP(6) | 443 | 1x.xx.xx.xx/16 | 允许 |
110 | 自定义 | TCP(6) | 3003 | 1x.xx.xx.xx/16 | 允许 |
120 | 自定义 | TCP(6) | 1024-65535 | 0.0.0.0/0 | 允许 |
在私有子网中,NACL 规则如下:
入站:
规则编号 | 类型 | 协议 | 端口范围 | 来源 | 允许/拒绝 |
---|---|---|---|---|---|
100 | HTTPS | TCP(6) | 443 | 0.0.0.0/0 | 允许 |
110 | 自定义 | TCP(6) | 1024-65535 | 1x.xx.xx.xx/16 | 允许 |
出站:
规则编号 | 类型 | 协议 | 端口范围 | 目的地 | 允许/拒绝 |
---|---|---|---|---|---|
100 | HTTPS | TCP(6) | 443 | 1x.xx.xx.xx/16 | 允许 |
110 | SMTP | TCP(6) | 25 | 0.0.0.0/0 | 允许 |
120 | SMTPS | TCP(6) | 465 | 0.0.0.0/0 | 允许 |
130 | 自定义 | TCP(6) | 1024-65535 | 0.0.0.0/0 | 允许 |
该服务将运行一段时间,没有任何问题,我的网站将正常运行。但是,有时我会收到 504 错误,当我回到我的 ECS 时。我看到任务恢复到 PROVISIONING ->PENDING.... 大约 5-10 分钟后停止。我得到的错误是这样的:
ResourceInitializationError:无法拉取机密或注册表身份验证:拉取命令失败::信号:NACL 被杀死
修复它的唯一方法是恢复默认允许所有入站出站规则。
知道是什么原因造成的吗?是否是分配给 fargate 任务的公共 IP 地址导致了冲突? ECR 存储库位于另一个 aws 帐户上。我相信 IAM 角色权限是正确的,否则即使使用默认的 NACL 规则也无法拉取图像。感谢任何帮助,因为我不知所措。谢谢
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。