¿Cómo soluciono los problemas de las tareas de Amazon ECS para Fargate que están bloqueadas en estado pendiente?

5 minutos de lectura
0

Mi tarea de Amazon Elastic Container Service (Amazon ECS) que se ejecuta en AWS Fargate se ha quedado bloqueada en estado PENDIENTE.

Resolución

Comprobar cuáles son las rutas a Internet que utilizan sus subredes

Para las tareas de Fargate en una subred pública:

Compruebe que su tarea de Fargate tenga asignada una dirección IP pública y una ruta predeterminada (0.0.0.0/0) a una puerta de enlace de Internet. Para ello, seleccione la casilla Habilitar la asignación automática de direcciones IPv4 públicas al iniciar la tarea o crear un nuevo servicio. Para obtener más información, consulte Direcciones IPv4 públicas.

Nota: No puede seleccionar la casilla Habilitar la asignación automática de direcciones IPv4 públicas para las tareas o servicios existentes.

Para las tareas de Fargate en una subred privada:

Compruebe que su tarea de Fargate tenga una ruta predeterminada (0.0.0.0/0) a una puerta de enlace de NAT, AWS PrivateLink u otra fuente de conectividad a Internet.

Comprobación de la configuración de su lista de control de acceso de red y del grupo de seguridad

Compruebe que la lista de control de acceso de la red (ACL de la red) y los grupos de seguridad no bloqueen el acceso saliente al puerto 443 desde la subred. Para obtener más información, consulte Controlar el tráfico hacia los recursos mediante grupos de seguridad.

Nota: Las tareas de Fargate deben tener acceso saliente al puerto 443 para activar el tráfico saliente y llegar a los puntos de conexión de Amazon ECS.

Comprobación de sus puntos de conexión de VPC

Si utiliza AWS PrivateLink, confirme que dispone de los puntos de conexión necesarios.

Puntos de conexión necesarios para las versiones 1.3.0 o anteriores de la plataforma Fargate:

  • com.amazonaws.region.ecr.dkr
  • Punto de conexión de puerta de enlace de S3

Puntos de conexión necesarios para las versiones 1.4.0 o posteriores de la plataforma Fargate:

  • com.amazonaws.region.ecr.dkr
  • com.amazonaws.region.ecr.api
  • Punto de conexión de puerta de enlace de S3

Nota: Si su definición de tarea utiliza AWS Secrets Manager, parámetros de SSM o Registros de Amazon CloudWatch, es posible que tenga que definir puntos de conexión. Para obtener más información, consulte Uso de un punto de conexión de VPC de AWS Secrets Manager y Uso de Registros de CloudWatch con puntos de conexión de VPC de interfaz.

Cuando utilice PrivateLink, confirme que los grupos de seguridad de sus puntos de conexión de VPC permiten que la infraestructura de Fargate utilice estos grupos de seguridad.

Comprobación de los roles y permisos de AWS Identity and Access Management (IAM)

El rol de ejecución de tareas otorga permiso al contenedor de Amazon ECS y a los agentes de Fargate para realizar llamadas a la API de AWS en su nombre. Fargate exige este rol cuando usted realiza lo siguiente:

  • Extraer una imagen de contenedor de Amazon Elastic Container Registry (Amazon ECR)
  • Utilizar el controlador de registros awslogs
  • Utilizar la autenticación de registros privados
  • Hacer referencia a datos confidenciales mediante el uso de los secretos de Secrets Manager o los parámetros del Almacén de parámetros de AWS Systems Manager

Si su caso de uso incluye alguno de los escenarios anteriores, confirme que cuenta con los permisos adecuados definidos en su rol de ejecución de tareas. Para obtener una lista completa de los permisos necesarios, consulte Rol de IAM de ejecución de tareas de Amazon ECS.

Comprobación de problemas al extraer la imagen

Si recibe el error cannotpullcontainer para su tarea de Fargate, complete los pasos que se indican en ¿Cómo puedo solucionar el error «cannotpullcontainererror» para mis tareas de Amazon ECS en Fargate?

VPC en modo de pila doble

Al utilizar una VPC en modo de pila doble con Fargate, puede configurar su VPC con una puerta de enlace de Internet o una puerta de enlace de Internet solo de salida para las tareas a las que se les asigna una dirección IPv6 para acceder a Internet. Para obtener más información, consulte Uso de una VPC en modo de pila doble.

Nota: Para solucionar su problema, también puede utilizar Amazon ECS Exec para recuperar los registros de la instancia de contenedor de su tarea o servicio.

Se define la dependencia del contenedor

Si se define una dependencia del contenedor en la definición de tarea, puede que la tarea de Fargate quede en estado PENDIENTE de forma indefinida. Ejemplo: Si el contenedor A depende de cierto estado del contenedor B, se espera que el contenedor A permanezca en estado PENDIENTE hasta que el contenedor B alcance ese estado. Pero si el contenedor B nunca alcanza el estado deseado, la tarea permanece en estado PENDIENTE de forma indefinida. Asegúrese de tener las dependencias adecuadas o evalúe las dependencias.

Para obtener más información, consulte Dependencia de contenedor.


OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año