AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Wie behebe ich den Fehler "cannotpullcontainererror" für meine Amazon ECS-Aufgaben auf Fargate?

Lesedauer: 5 Minute

Ich möchte den Fehler "cannotpullcontainererror" beheben, damit ich meine Amazon Elastic Container Service (Amazon ECS)-Aufgaben auf AWS Fargate starten kann.

Kurzbeschreibung

Der Fehler "cannotpullcontainererror" kann verhindern, dass die Amazon ECS-Aufgaben auf Fargate gestartet werden. Für diese Aufgaben müssen die Amazon Virtual Private Cloud (Amazon VPC)-Netzwerkkonfigurationen ECS den Zugriff auf das Repository ermöglichen, in dem das Image gespeichert ist. Ohne das richtige Netzwerk kann das Image nicht von Amazon ECS auf Fargate abgerufen werden und der Container kann nicht gestartet werden.

Lösung

Gehe wie folgt vor, um den Fehler "cannotpullcontainererror" zu beheben.

Sich vergewissern, dass die VPC es der Amazon ECS-Infrastruktur ermöglicht, das Image-Repository zu erreichen

Die Routing-Tabellen, die den Subnetzen zugeordnet sind, in denen die Aufgabe erstellt wird, müssen es der Amazon ECS-Infrastruktur ermöglichen, den Repository-Endpunkt zu erreichen. Der Endpunkt kann über ein Internet-Gateway, ein NAT-Gateway oder VPC-Endpunkte erreicht werden.

Führe für Konfigurationen, die AWS PrivateLink nicht verwenden, die folgenden Schritte aus:

Öffne die Amazon-VPC-Konsole.
Wähle im Navigationsbereich die Option Subnetze.
Wähle das Subnetz aus, das die ECS Fargate-Aufgabe verwendet.
Wähle die Registerkarte Routing-Tabelle.
Vergewissere dich in der Spalte Ziel, dass die Standardroute (0.0.0.0/0) der Routing-Tabelle den öffentlichen Internetzugriff zulässt. Dieser Zugriff kann entweder über ein NAT-Gateway oder ein Internet-Gateway erfolgen.
Wichtig: Das NAT-Gateway oder Internet-Gateway muss das Ziel der Standardroute sein. Beispiele für Routing-Tabellen findest du unter Beispiel für Routing-Optionen. Wenn du kein NAT-Gateway oder Internet-Gateway verwendest, stelle sicher, dass die benutzerdefinierte Konfiguration den öffentlichen Internetzugriff zulässt.

Wenn du ein Internet-Gateway (öffentliche Subnetze) verwendest, stelle sicher, dass der Aufgabe eine öffentliche IP zugewiesen ist. Wenn du die Aufgabe oder den Service erstellst, setze im Abschnitt VPC und Sicherheitsgruppen die Option Öffentliche IP-Adresse automatisch zuweisen auf Aktiviert.

Für Konfigurationen, die PrivateLink verwenden, stelle sicher dass die Sicherheitsgruppen für die VPC-Endpunkte es der Fargate-Infrastruktur ermöglichen, diese zu verwenden.

Hinweis: Auf Fargate gehostete Amazon ECS-Aufgaben, die Version 1.3.0 oder früher verwenden, benötigen den Amazon Elastic Container Registry (Amazon ECR)-VPC-Endpunkt com.amazonaws.region.ecr.dkr. Für diese Aufgaben ist auch der Gateway-Endpunkt von Amazon Simple Storage Service (Amazon S3) erforderlich. Auf Fargate gehostete Amazon ECS-Aufgaben, die Version 1.4.0 oder später verwenden, benötigen die Amazon ECR VPC-Endpunkte com.amazonaws.region.ecr.dkr und com.amazonaws.region.ecr.api. Für diese Aufgaben ist auch der Amazon S3-Gateway-Endpunkt erforderlich.

Führe für Konfigurationen, die PrivateLink verwenden, die folgenden Schritte aus:

Öffne die Amazon-VPC-Konsole.
Wähle im Navigationsbereich Endpunkte.
Wähle den Endpunkt aus der Liste der Endpunkte aus und wähle dann die Registerkarte Subnetze. Die VPC-Endpunkte com.amazonaws.region.ecr.dkr und com.amazonaws.region.ecr.api für Amazon ECR werden in der Liste der Subnetze angezeigt und den Fargate-Subnetzen zugeordnet. Amazon S3-Gateway steht ebenfalls auf der Liste der Subnetze.
Hinweis: Wenn kein Subnetz aufgeführt ist, wähle Subnetze verwalten. Wähle als Nächstes das Subnetz auf Grundlage seiner Availability Zone aus. Wähle dann Subnetze ändern.
Wähle die Registerkarte Richtlinie und vergewissere dich, dass die richtigen Richtlinienanforderungen erfüllt sind.
Vergewissere dich, dass die Sicherheitsgruppe, die an die VPC-Endpunkte com.amazonaws.region.ecr.api und com.amazonaws.region.ecr.dkr angehängt ist, eingehende Verbindungen über Port 443 von den Amazon ECS-Aufgaben für Fargate zulässt. Um diese Einstellung zu bestätigen, wähle den Endpunkt aus der Liste aus.
Wähle die Registerkarte Sicherheitsgruppen.
Wähle für Gruppen-ID die Sicherheitsgruppen-ID.
Wähle die Registerkarte Regeln für eingehenden Datenverkehr und bestätige dann, dass du die Regel sehen kannst, die 443 Verbindungen von den ECS-Aufgaben auf Fargate aus zulässt.

Den VPC-DHCP-Optionssatz überprüfen

Führe die folgenden Schritte aus:

Öffne die Amazon-VPC-Konsole.
Wähle im Navigationsbereich deine VPCs.
Wähle die VPC aus, die die Fargate-Aufgabe enthält.
Notiere sich auf der Registerkarte Details die Einstellung für die eingestellten DHCP-Optionen.
Wähle im Navigationsbereich DHCP-Optionssätze.
Wähle den DHCP-Optionssatz aus, den du notiert hast.
Wähle Aktion und dann Details anzeigen.
Vergewissere dich, dass Domain Name Servers auf AmazonProvidedDNS eingestellt ist. Wenn es nicht auf AmazonProvidedDNS gesetzt ist, dann konfiguriere die bedingte DNS-Weiterleitung.

Berechtigungen für die Ausführungsrolle der Aufgabe

Führe die folgenden Schritte aus:

Öffne die AWS Identity and Access Management (IAM)-Konsole.
Wähle im Navigationsbereich Rollen.
Wähle die Ausführungsrolle für Aufgaben aus, die deine Fargate-Aufgaben verwenden.
Vergewissere dich, dass die Ausführungsrolle für Aufgaben über die Berechtigungen zum Abrufen eines Images aus Amazon ECR verfügt.

Prüfen, ob das Image existiert

Führe die folgenden Schritte aus:

Öffne die Amazon ECR-Konsole.
Wähle das Amazon ECR-Repository aus, aus dem die Fargate-Aufgabe das Bild abruft.
Vergewissere dich, dass der URI und das Tag in Amazon ECR mit den Angaben in der Aufgabendefinition übereinstimmen. Wenn das Image fehlt, dann überprüfe, ob eine Lebenszyklusrichtlinie die Images verwaltet.

Hinweis: Wenn du Amazon ECR nicht verwendest, stelle sicher, dass image:tag im angegebenen Image-Repository angezeigt wird.

Den ephemeralStorage überprüfen, der der Fargate-Aufgabe zugewiesen ist

Standardmäßig werden den Fargate-Aufgaben 20 GiB an temporärem Speicher zugewiesen. Wenn die Bildgröße zu groß ist, wird ein Fehler ähnlich dem folgenden angezeigt:

"CannotPullContainerError: ref pull has been retried 1 time(s): failed to extract layer no space left on device: unknown"

Hinweis: Da dieser Speicher für temporäre Dateien, Protokolle und andere Prozesse verwendet wird, wird der Fehler möglicherweise angezeigt, auch wenn das Image kleiner ist.

Um das Problem zu beheben, bearbeite die Zuordnung in der Aufgabendefinition. Weitere Informationen findest du unter Temporärer Speicher der Fargate-Aufgabe für Amazon ECS

Hinweis: Fargate-Aufgaben, die die Plattformversion 1.4.0 oder später verwenden, erhalten mindestens 20 GiB an temporärem Speicher. Die Gesamtmenge des temporären Speichers kann auf maximal 200 GiB erhöht werden.

Themen: Containers
Tags: Amazon Elastic Container Service
Sprache: Deutsch

AWS OFFICIALAktualisiert vor einem Jahr

Relevanter Inhalt

Wie behebe ich den Fehler „CannotPullContainerError“, wenn ich eine EC2-Aufgabe in Amazon ECS starte?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich Fehler bei Amazon ECS-Aufgaben für Fargate, die im Status „Ausstehend“ hängen bleiben?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie behebe ich Fehler bei der Bereitstellung von Netzwerkschnittstellen für Amazon ECS auf Fargate?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie behebe ich Fehler, die ich erhalte, wenn ich ECS Exec für meine Fargate-Aufgaben verwende?
AWS OFFICIALAktualisiert vor einem Jahr