Не может запустить контейнер ecs на экземпляре ec2 в частной подсети

Question

Не может запустить контейнер ecs на экземпляре ec2 в частной подсети

Я пытаюсь запустить контейнер службы, созданной с помощью AWS ECS. Но агенту ecs на экземпляре EC2 не удается получить некоторую конфигурацию из управляемой AWS корзины s3:

Failed to pull image ...........dkr.ecr.eu-west-1.amazonaws.com/........:latest: error pulling image configuration: Get https://prod-eu-west-1-starport-layer-bucket.s3-eu-west-1.amazonaws.com/.......: dial tcp 54.231.141.131:443: i/o timeout

экземпляр работает в частной подсети, которую я настроил с помощью этого руководства.

Я могу свернуться www.google.co.uk из экземпляра, но я не могу ping / curl s3-eu-west-1.amazonaws.com, что я могу с моего компьютера и с бастиона в публичной подсети, связанной с тем же VPC.

Эта проблема похожа на нерешенный вопрос. Агент ECS не может успешно извлечь изображение из ECR, но моя проблема заключается только в получении этой конфигурации из этой корзины s3.

2

amazon-web-services amazon-s3 amazon-ec2 private-subnet

Источник

user1611358 27 янв '18 в 20:39

0 ответов

Другие вопросы по тегам amazon-web-services amazon-s3 amazon-ec2 private-subnet

user11926074 14 авг '19 в 10:35 2019-08-14 10:35 · Answer 1 · 2019-08-14 10:35

Вам необходимо внести в белый список / разрешить исходящий доступ к https://prod-eu-west-1-starport-layer-bucket.s3-eu-west-1.amazonaws.com/ из ваших экземпляров ecs, поскольку он используется внутри AWS для управлять слоями изображения ECR.

Дополнительные сведения см. В приведенных ниже ссылках: https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-minimum-s3-perms.html https://github.com/awsdocs/amazon-ecr-user-guide/issues/8