AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Comment puis-je résoudre les problèmes liés à ma connexion entre Amazon ECS et Amazon S3 ?

Lecture de 5 minute(s)

Je souhaite accéder à Amazon Simple Storage Service (Amazon S3) à partir de mes tâches Amazon Elastic Container Service (Amazon ECS), mais je rencontre des problèmes de connexion.

Résolution

Analyser vos journaux CloudWatch pour identifier la cause des problèmes d'accès à Amazon S3

Tout d'abord, configurez l'accès à CloudWatch Logs. Puis, utilisez CloudWatch Logs Insights pour identifier la cause de votre problème.

Configurer l'accès à CloudWatch Logs

Pour configurer Amazon CloudWatch Logs pour votre définition de tâche Amazon ECS, procédez comme suit :

Ouvrez la console Amazon ECS.
Dans le volet de navigation, sélectionnez Définitions de tâche.

Sélectionnez votre définition de tâche, puis ajoutez-y le code suivant :

{
    "containerDefinitions": [
        {
            "name": "my-container",
            "image": "my-image:latest",
            "logConfiguration": {
                "logDriver": "awslogs",
                "options": {
                    "awslogs-group": "/ecs/my-task",
                    "awslogs-region": "region-code",
                    "awslogs-stream-prefix": "ecs"
                }
            }
        }
    ]
}

Remarque : Remplacez my-container par le nom de votre instance de conteneur, my-image:latest par le nom et l’identification de votre image, et region-code par votre région AWS.

Mettez à jour votre service Amazon ECS pour utiliser la dernière version de la définition de tâche.

Utiliser CloudWatch Logs Insights pour identifier la cause de votre problème

Pour rechercher les erreurs générales d'Amazon S3, exécutez la requête suivante :

filter @message like /S3|AccessDenied|NoSuchBucket/

Pour rechercher des problèmes d'accès spécifiques au compartiment, exécutez la requête suivante :

filter @message like /my-bucket-name/

Remarque : Remplacez bucket-name par le nom de votre compartiment.

Utilisez ces informations pour déterminer si le problème est lié aux autorisations AWS Identity and Access Management (IAM), à la connectivité réseau, à la configuration du compartiment ou à des problèmes d'application. Puis, effectuez les étapes de dépannage associées.

Vérifier la configuration de votre rôle IAM

Vérifiez que le rôle de tâche pour la tâche Amazon ECS possède les autorisations Amazon S3 nécessaires, par exemple la stratégie AmazonS3ReadOnlyAccess pour les opérations en lecture seule. Consultez les journaux AWS CloudTrail pour identifier les actions refusées liées à Amazon S3. Par exemple, si votre tâche Amazon ECS doit lire des objets depuis le compartiment my-app-data, associez la stratégie personnalisée suivante à la tâche :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-app-data",
                "arn:aws:s3:::my-app-data/*"
            ]
        }
    ]
}

Remarque : La stratégie précédente permet à la tâche de répertorier le contenu du compartiment my-app-data et d'en récupérer les objets.

Vérifier la configuration de votre réseau

Tâches dans les sous-réseaux publics

Pour les tâches dans les sous-réseaux publics, consultez la liste de contrôle d'accès réseau (ACL réseau) du cloud privé virtuel (VPC) dans lequel se trouve votre instance. L'ACL réseau doit autoriser le trafic sortant sur le port 443. Vérifiez également que les groupes de sécurité associés à votre tâche autorisent le trafic HTTPS sortant sur le port 443 vers les listes de préfixes gérées par AWS Amazon S3.

Tâches dans des sous-réseaux privés

Pour les tâches dans les sous-réseaux privés, vérifiez qu'une passerelle NAT est associée à la table de routage du sous-réseau. La passerelle NAT fournit un chemin Internet pour atteindre le point de terminaison Amazon S3. Si vous utilisez un point de terminaison de VPC pour Amazon S3, consultez la table de routage associée à votre VPC pour le point de terminaison de passerelle Amazon S3. Vérifiez que la table de routage inclut une route pour la liste de préfixes gérés par AWS Amazon S3 qui dirige le trafic vers le point de terminaison de passerelle Amazon S3. Cette route garantit que les requêtes adressées à Amazon S3 ne sont pas envoyées via l'Internet public.

Lorsque vous utilisez un point de terminaison d'interface Amazon S3, vérifiez que les groupes de sécurité attachés au point de terminaison autorisent le trafic HTTPS entrant sur le port 443. Assurez-vous également que le paramètre DNS privé du point de terminaison et les paramètres DNS Activer le nom d'hôte DNS et Activer le support DNS du VPC sont activés. Enfin, vérifiez que l'application utilise le point de terminaison s3.region.amazonaws.com, et non le point de terminaison global s3.amazonaws.com.

Tester la connectivité réseau entre les tâches Amazon ECS et les points de terminaison Amazon S3

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Vérifiez que votre configuration réseau, y compris les pare-feux et les groupes de sécurité, autorise le trafic vers les points de terminaison Amazon S3.

Remarque : Vous pouvez utiliser ECS Exec pour exécuter les commandes suivantes.

Pour tester la connexion HTTPS au point de terminaison Amazon S3 sur le port 443, exécutez la commande telnet ou curl suivante :

telnet s3.region-code.amazonaws.com 443

curl -v https://s3.region-code.amazonaws.com

Remarque : Remplacez region-code par votre région. Il se peut que vous deviez installer la commande telnet.

Pour vérifier si l'instance de conteneur peut s'authentifier et effectuer des opérations Amazon S3, exécutez la commande de l’interface de ligne de commande AWS ls :

aws s3 ls

Si le test précédent échoue, examinez vos groupes de sécurité, vos ACL réseau et vos règles de pare-feu pour vérifier l’existence de ports bloqués.

Informations connexes

Comment puis-je résoudre les erreurs 403 Access Denied que renvoie Amazon S3 ?

Comment puis-je accéder à d’autres services AWS à partir de mes tâches Amazon ECS sur Fargate ?

Comment puis-je résoudre un problème lié à une erreur de connexion liée à l’exécution des commandes "cp" ou sur mon compartiment Amazon S3 ?"sync"

Sujets: Containers
Balises: Amazon Elastic Container Service
Langue: Français

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

Architecture Multi tenant en silo Model
Gregory
demandé il y a 5 mois
Règle de cycle de vie pour transition de stockage S3 à S3 glacier
HoubaHoubi
demandé il y a 10 mois
Impossible de créer une instance ECS dans un atelier ( LAB skill builder)
koffi
demandé il y a 4 mois
Connexion base RDS Postgres à Power Bi Pro
GOT
demandé il y a 2 ans
C'est quoi Deep Archive Staging Storage ?
AutismeDavid
demandé il y a 10 mois
Comment puis-je résoudre les problèmes de connexion entre ma tâche Fargate et d'autres services AWS ?
AWS OFFICIELA mis à jour il y a un an
Comment résoudre des problèmes liés à l’ajout de variables d’environnement à ma tâche Amazon ECS ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment résoudre les problèmes liés à Service Connect dans Amazon ECS ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment résoudre les problèmes liés aux tâches Amazon ECS qui mettent du temps à s’arrêter lorsque l’instance de conteneur est définie sur « DRAINAGE » ?
AWS OFFICIELA mis à jour il y a 4 ans