Come posso risolvere i problemi relativi alle attività di Amazon ECS per Fargate bloccate nello stato In sospeso?

Risoluzione

Controlla quali percorsi di accesso a Internet sono utilizzati dalle sottoreti

Per le attività Fargate in sottoreti pubbliche:

Verifica che all’attività Fargate sia assegnato un indirizzo IP pubblico e un percorso predefinito (0.0.0.0/0) a un gateway Internet. A tale scopo, seleziona la casella di controllo Abilita l'assegnazione automatica dell'indirizzo IPv4 pubblico quando avvii l'attività o crei un nuovo servizio. Per ulteriori informazioni, vedi Indirizzi IPv4 pubblici.

Nota: Non è possibile selezionare la casella di controllo Abilita l'assegnazione automatica dell'indirizzo IPv4 pubblico per attività o servizi esistenti.

Per le attività Fargate in sottoreti private:

Verifica che l’attività Fargate abbia un percorso predefinito (0.0.0.0/0) a un gateway NAT, AWS PrivateLink o un'altra fonte di connettività Internet.

• Se utilizzi un gateway NAT, posiziona il gateway NAT in una sottorete pubblica. Per ulteriori informazioni, vedi Architettura con gateway Internet e gateway NAT.
• Se utilizzi AWS PrivateLink, conferma che l’infrastruttura Fargate sia autorizzata a utilizzare gruppi di sicurezza per gli endpoint Amazon Virtual Private Cloud (Amazon VPC).

Controlla la lista di controllo degli accessi alla rete e le impostazioni del gruppo di sicurezza

Verifica che la lista di controllo degli accessi alla rete (ACL) e i gruppi di sicurezza non blocchino l'accesso in uscita alla porta 443 dalla sottorete. Per ulteriori informazioni, vedi Controllare il traffico verso le risorse usando i gruppi di sicurezza.

Nota: Le attività di Fargate devono avere accesso in uscita alla porta 443 per attivare il traffico in uscita e raggiungere gli endpoint Amazon ECS.

Controlla gli endpoint VPC

Se utilizzi AWS PrivateLink, conferma di disporre degli endpoint richiesti.

Endpoint richiesti per le versioni 1.3.0 o precedenti della piattaforma Fargate:

• com.amazonaws.region.ecr.dkr
• endpoint gateway S3

Endpoint richiesti per le versioni 1.4.0 o successive della piattaforma Fargate:

• com.amazonaws.region.ecr.dkr
• com.amazonaws.region.ecr.api
• endpoint gateway S3

Nota: Se la definizione delle attività utilizza AWS Secrets Manager, parametri SSM o Amazon CloudWatch Logs, potrebbe essere necessario definire gli endpoint. Per ulteriori informazioni, vedi Utilizzo di un endpoint VPC di AWS Secrets Manager e Utilizzo di CloudWatch Logs con endpoint VPC di interfaccia.

Durante l'utilizzo di PrivateLink, verifica che i gruppi di sicurezza per gli endpoint VPC consentano l’uso di questi gruppi di sicurezza per l'infrastruttura Fargate.

Verifica i ruoli e le autorizzazioni di AWS Identity and Access Management (IAM)

Il ruolo di esecuzione delle attività concede al container Amazon ECS e agli agenti Fargate l'autorizzazione a effettuare chiamate API AWS per tuo conto. Questo ruolo è richiesto da Fargate quando:

• Estrai un'immagine di container da Amazon Elastic Container Registry (Amazon ECR)
• Usi il driver di registro awslogs
• Usi l'autenticazione del registro privato
• Fai riferimento ai dati sensibili utilizzando i segreti di Secrets Manager o i parametri dell’archivio dei parametri AWS Systems Manager

Se il caso d'uso specifico riguarda uno degli scenari precedenti, conferma di disporre delle autorizzazioni corrette definite nel ruolo di esecuzione delle attività. Per un elenco completo delle autorizzazioni richieste, vedi Ruolo IAM di esecuzione delle attività di Amazon ECS.

Verifica la presenza di problemi nell'estrazione dell'immagine

Se ricevi un errore cannotpullcontainer per l’attività su Fargate, completa i passaggi in Come posso risolvere l'errore “cannotpullcontainererror” per le attività Amazon ECS su Fargate?

VPC in modalità dual stack

Quando si utilizza un VPC in modalità dual stack con Fargate, è possibile configurare il VPC con un gateway Internet o un gateway Internet solo in uscita per le attività a cui viene assegnato un indirizzo IPv6 per l’accesso a Internet. Per ulteriori informazioni, vedi Utilizzo di un VPC in modalità dual stack.

Nota: Per risolvere il problema, è possibile utilizzare anche Amazon ECS Exec per recuperare i log dall'istanza di container dell’attività o del servizio.

La dipendenza del container è definita

Una dipendenza del container definita nella Definizione dell’attività può portare l'attività Fargate nello stato IN SOSPESO a tempo indeterminato. Esempio: Se containerA dipende da un determinato stato di containerB, containerA rimarrà nello stato IN SOSPESO fino a quando containerB non raggiungerà quello stato. Ma se containerB non raggiunge mai lo stato desiderato, l'attività rimarrà nello stato IN SOSPESO a tempo indeterminato. Assicurati che le dipendenze siano appropriate oppure valuta le dipendenze.

Per ulteriori informazioni, vedi Dipendenza del container.

---