Fargate での Amazon ECS タスクの「cannotpullcontainererror」エラーはどのように解決すればよいですか?

最終更新日: 2020 年 11 月 3 日

「cannotpullcontainererror」エラーは、タスクが開始されない原因となる可能性があります。Fargate で Amazon ECS タスクを開始するには、Amazon Virtual Private Cloud (Amazon VPC) ネットワーク設定により、イメージが保存されているリポジトリに Amazon ECS インフラストラクチャがアクセスできるようにする必要があります。正しいネットワークがなければ、Fargate の Amazon ECS でイメージを取り出すことができず、コンテナを起動できません。

タスクが作成されたサブネットに関連付けられたルートテーブルは、Amazon ECS インフラストラクチャがインターネットゲートウェイ、NAT ゲートウェイ、または VPC エンドポイントを介してリポジトリエンドポイントに到達できるようにする必要があります。

AWS PrivateLink を使用していない場合は、次の手順を実行します。

1. Amazon VPC コンソールを開きます。
2. ナビゲーションペインで、[Subnets] (サブネット) を選択します。
3. ECS Fargate タスクが使用しているサブネットを選択します。
4. [Route Table] (ルートテーブル) タブをクリックします。
5. [Destination] (送信先) 列で、ルートテーブルのデフォルトルート (0.0.0.0/0) でパブリックインターネットアクセスが有効になっていることを確認します。このアクセスには、NAT ゲートウェイまたはインターネットゲートウェイのいずれかを使用できます。
   重要: NAT ゲートウェイまたはインターネットゲートウェイは、デフォルトルートのターゲットである必要があります。ルートテーブルの例については、ルーティングオプションの例を参照してください。NAT ゲートウェイまたはインターネットゲートウェイを使用していない場合は、カスタム設定でパブリックインターネットアクセスが有効になっていることを確認してください。

インターネットゲートウェイ (パブリックサブネット) を使用している場合は、タスクにパブリック IP が割り当てられていることを確認します。これを行うには、タスクまたはサービスを作成するときに、[VPC and security groups] (VPC およびセキュリティグループ) セクションで [Auto-assign public IP] (自動割り当てパブリック IP) を [ENABLED] (有効) に設定して ECS タスクを起動します 。

PrivateLink を使用している場合は、VPC エンドポイントのセキュリティグループが Fargate インフラストラクチャでそれらを使用できることを確認します。

注: Fargate の起動タイプとプラットフォームバージョン 1.3.0 以前を使用する Amazon ECS タスクのみが、Amazon Elastic Container Registry (Amazon ECR) および Amazon Simple Storage Service (Amazon S3) のゲートウェイエンドポイントについて com.amazonaws.region.ecr.dkr VPC エンドポイントを必要とします。

1. Amazon VPC コンソールを開きます。
2. ナビゲーションペインから [Endpoints] (エンドポイント) を選択します。
3. エンドポイントのリストからエンドポイントを選択し、[Subnets] (サブネット) タブを選択します。Amazon ECR 用の VPC エンドポイントである com.amazonaws.region.ecr.dkr および com.amazonaws.region.ecr.api は、サブネットのリストにあり、Fargate サブネットに関連付けられている必要があります。また、サブネットのリストに Amazon S3 ゲートウェイが表示されるはずです。
   注: サブネットが一覧に表示されない場合は、[Manage Subnets] (サブネットの管理) を選択します。次に、アベイラビリティーゾーンに基づいてサブネットを選択し、[Modify Subnets] (サブネットの変更) を選択します。
4. [Policy] (ポリシー) タブを選択し、正しいポリシー要件が満たされていることを確認します。
5. com.amazonaws.region.ecr.api および com.amazonaws.region.ecr.dkr VPC エンドポイントにアタッチされたセキュリティグループが、Fargate の Amazon ECS タスクからのポート 443 での着信接続を許可することを確認するには、エンドポイントのリストからエンドポイントを選択します。
6. [Security Groups] (セキュリティグループ) タブを選択します。
7. [Group ID] (グループ ID) で、セキュリティグループ ID を選択します。
8. [Inbound rules] (インバウンドルール) タブを選択し、Fargate の ECS タスクから 443 の接続を許可するルールが表示されていることを確認します。

1. Amazon VPC コンソールを開きます。
2. ナビゲーションペインで、[Your VPCs] (お客様の VPC) を選択します。
3. Fargate タスクを含む VPC を選択します。
4. [Details] (詳細) タブで、[DHCP options set] (DHCP オプションセット) の設定を確認します。
5. ナビゲーションペインで、[DHCP Options Sets] (DHCP オプションセット) を選択します。
6. 手順 4 でメモした DHCP オプションセットを選択します。
7. [Actions] (アクション)、[View details] (詳細を表示) の順に選択します。
8. ドメインネームサーバーが AmazonProvidedDNS に設定されていることを確認します。AmazonProvidedDNS に設定されていない場合は、条件付き DNS 転送を設定します。

1. IAM コンソールを開きます。
2. ナビゲーションペインで [Roles] (ロール) を選択します。
3. Fargate タスクが使用しているタスク実行ロールを選択します。
4. タスク実行ロールに、Amazon ECR からイメージをプルするためのアクセス許可があることを確認します。

1. Amazon ECR コンソールを開きます。
2. Fargate タスクがイメージをプルする Amazon ECR リポジトリを選択します。
3. Amazon ECR の URI とタグが、タスク定義で指定されているものと同じであることを確認します。

注: Amazon ECR を使用していない場合は、指定したイメージリポジトリに image:tag が表示されていることを確認します。