Comment résoudre les problèmes de tâches Amazon ECS pour Fargate bloquées sur l'état Pending (En attente) ?

Dernière mise à jour : 05-04-2021

Ma tâche Amazon Elastic Container Service (Amazon ECS) qui s'exécute sur AWS Fargate est bloquée sur l'état PENDING (EN ATTENTE).

Résolution

Vérifier les routes vers Internet utilisées par vos sous-réseaux

Pour les tâches Fargate dans un sous-réseau public :

Vérifiez que votre tâche Fargate dispose d'une adresse IP publique et d'une route par défaut (0.0.0.0/0) vers une passerelle Internet. Pour ce faire, activez la case à cocher Enable auto-assign public IPv4 address (Activer l'attribution automatique de l'adresse IPv4 publique) lorsque vous lancez votre tâche ou créez un nouveau service. Pour plus d'informations, consultez Modification de l'attribut d'adressage IPv4 public de votre sous-réseau.

Remarque : vous ne pouvez pas activer la case à cocher Enable auto-assign public IPv4 address (Activer l'affectation automatique de l'adresse IPv4 publique) pour les tâches ou services existants.

Pour les tâches Fargate dans un sous-réseau privé :

Vérifiez que votre tâche Fargate dispose d'une route par défaut (0.0.0.0/0) vers une passerelle NAT, AWS PrivateLink ou une autre source de connectivité Internet.

Si vous utilisez une passerelle NAT, placez votre passerelle NAT dans un sous-réseau public. Pour plus d'informations, consultez Architecture with an internet gateway and a NAT gateway.

Si vous utilisez AWS PrivateLink, vérifiez que votre infrastructure Fargate est autorisée à utiliser des groupes de sécurité pour vos points de terminaisonAmazon Virtual Private Cloud (Amazon VPC).

Vérifier les paramètres de votre liste de contrôle d'accès réseau et de groupe de sécurité

Vérifiez que votre liste de contrôle d'accès réseau (ACL réseau) et vos groupes de sécurité ne bloquent pas l'accès sortant au port 443 à partir du sous-réseau. Pour plus d'informations, consultez Groupes de sécurité pour votre VPC.

Remarque : les tâches Fargate doivent disposer d'un accès sortant au port 443 pour activer le trafic sortant et atteindre les points de terminaison Amazon ECS.

Vérifier vos points de terminaison d'un VPC

Si vous utilisez AWS PrivateLink, vérifiez que vous disposez des points de terminaison requis.

Points de terminaison requis pour les versions 1.3.0 ou antérieures de la plate-forme Fargate :

  • com.amazonaws.region.ecr.dkr
  • Point de terminaison de passerelle S3

Points de terminaison requis pour les versions 1.4.0 ou ultérieures de la plate-forme Fargate :

  • com.amazonaws.region.ecr.dkr
  • com.amazonaws.region.ecr.api
  • Point de terminaison de passerelle S3

Pour plus d'informations, consultez Considérations relatives aux points de terminaison de VPC Amazon ECR.

Remarque : si votre définition de tâche utilise AWS Secrets Manager, les paramètres SSM ou Amazon CloudWatch Logs, vous devrez peut-être définir des points de terminaison. Pour plus d'informations, consultez Utilisation de Secrets Manager avec les points de terminaison VPC et Utilisation des journaux CloudWatch avec des points de terminaison VPC d'interface.

Si vous utilisez PrivateLink, vérifiez que les groupes de sécurité de vos points de terminaison d'un VPC autorisent l'infrastructure Fargate à les utiliser.

Vérifier vos rôles et autorisations IAM

Le rôle d'exécution de tâche accorde au conteneur Amazon ECS et aux agents Fargate l'autorisation d'effectuer des appels d'API AWS en votre nom. Ce rôle est requis par Fargate lorsque vous :

  • Extrayez une image de conteneur depuis Amazon Elastic Container Registry (Amazon ECR)
  • Utilisez le pilote de journal awslogs
  • Utilisez l'authentification du registre privé
  • Référencez des données sensibles à l'aide de secrets Secrets Manager ou de paramètres AWS Systems Manager Parameter Store

Si votre cas d'utilisation implique l'un des scénarios susmentionnés, vérifiez que vous disposez des autorisations appropriées définies dans votre rôle d'exécution de tâche. Pour obtenir la liste complète des autorisations requises, consultez Amazon ECS exécution de tâche IAM rôle.

Résoudre les problèmes liés à l'extraction de l'image

Si vous recevez une erreur « cannotpullcontainer » pour votre tâche Fargate, suivez les étapes de la section Comment puis-je corriger l'erreur « cannotpullcontainererror » pour mes tâches Amazon ECS sur Fargate ?

Remarque : pour résoudre votre problème, vous pouvez également utiliser Amazon ECS Exec pour récupérer les journaux de l'instance de conteneur de votre tâche ou service.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?