dev*_*psk 6 amazon-web-services amazon-ecs amazon-ecr amazon-acl
首先感谢能回答这个问题的人。这是我在这里发表的第一篇文章,所以我会尽量说得清楚。
我有一个配置了 2 个 Fargate 任务的 ECS 集群。ECS 设置在分配给私有子网(附加 NAT)的 VPC 中,并且这些任务也有一个公共 IP(我相信情况不应该如此?)
其中一项任务基本上是 API,另一项是网页的前端。
除此之外,我们还有一个面向互联网的 ALB。这被分配给公共子网(带有 IGW)
我决定探索使用 NACLS,但出于某种原因,只有这个规则有效(显然):
入境:
| 规则编号 | 类型 | 协议 | 端口范围 | 来源 | 允许否认 |
|---|---|---|---|---|---|
| 1 | 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 允许 |
出境:
| 规则编号 | 类型 | 协议 | 端口范围 | 目的地 | 允许否认 |
|---|---|---|---|---|---|
| 1 | 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 允许 |
我想为公共和私有子网提供明确的规则。我创建了 2 个 NACL 组以及与它们关联的子网。
对于面向互联网的负载均衡器的公共子网。这是我的规则:
公共 NACL:
入境:
| 规则编号 | 类型 | 协议 | 端口范围 | 来源 | 允许否认 |
|---|---|---|---|---|---|
| 100 | HTTPS | TCP(6) | 第443章 | 0.0.0.0/0 | 允许 |
| 110 | 风俗 | TCP(6) | 1024-65535 | 1x.xx.xx.xx/16 | 允许 |
出境:
| 规则编号 | 类型 | 协议 | 端口范围 | 目的地 | 允许否认 |
|---|---|---|---|---|---|
| 100 | HTTPS | TCP(6) | 第443章 | 1x.xx.xx.xx/16 | 允许 |
| 110 | 风俗 | TCP(6) | 3003 | 1x.xx.xx.xx/16 | 允许 |
| 120 | 风俗 | TCP(6) | 1024-65535 | 0.0.0.0/0 | 允许 |
在私有子网中,NACL 规则如下:
入境:
| 规则编号 | 类型 | 协议 | 端口范围 | 来源 | 允许否认 |
|---|---|---|---|---|---|
| 100 | HTTPS | TCP(6) | 第443章 | 0.0.0.0/0 | 允许 |
| 110 | 风俗 | TCP(6) | 1024-65535 | 1x.xx.xx.xx/16 | 允许 |
出境:
| 规则编号 | 类型 | 协议 | 端口范围 | 目的地 | 允许否认 |
|---|---|---|---|---|---|
| 100 | HTTPS | TCP(6) | 第443章 | 1x.xx.xx.xx/16 | 允许 |
| 110 | 邮件传输协议 | TCP(6) | 25 | 0.0.0.0/0 | 允许 |
| 120 | 邮件传输协议 | TCP(6) | 第465章 | 0.0.0.0/0 | 允许 |
| 130 | 风俗 | TCP(6) | 1024-65535 | 0.0.0.0/0 | 允许 |
该服务将运行一段时间,不会出现任何问题,我的网站也将正常运行。然而,有时当我返回 ECS 时,我会收到 504 错误。我看到任务恢复到“正在配置”->“待处理”......并且在大约 5-10 分钟后停止。我得到的错误是这样的:
ResourceInitializationError:无法提取机密或注册表身份验证:提取命令失败::信号:已杀死 NACL
解决此问题的唯一方法是恢复为默认允许所有入站出站规则。
知道是什么原因造成的吗?是否是分配给 Fargate 任务的公共 IP 地址导致了冲突?ECR 存储库位于另一个 aws 账户上。我相信 IAM 角色权限是正确的,否则即使使用默认的 NACL 规则也无法提取图像。感谢任何帮助,因为我不知所措。谢谢
| 归档时间: |
|
| 查看次数: |
1708 次 |
| 最近记录: |