Knowledge Center Monthly Newsletter - March 2025

Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.

¿Cómo soluciono los problemas de conexión entre mi tarea de Fargate y otros servicios de AWS?

6 minutos de lectura

Quiero solucionar problemas de conexión entre mi tarea de AWS Fargate y otro servicio de AWS.

Descripción corta

Las aplicaciones que se ejecutan dentro de una tarea de Fargate con Amazon Elastic Container Service (Amazon ECS) pueden fallar al acceder a otros servicios de AWS por los siguientes motivos:

Permisos insuficientes de AWS Identity and Access Management (IAM)
Rutas de subred incorrectas
Restricciones de la lista de control de acceso de la red (ACL de la red)
Reglas de grupo de seguridad incorrectas
Configuraciones incorrectas de puntos de enlace de Amazon Virtual Private Cloud (Amazon VPC)

Resolución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Solución de problemas de AWS CLI. Además, asegúrese de utilizar la versión más reciente de la AWS CLI.

Configuración y uso de ECS Exec

Utilice ECS Exec para interactuar con el contenedor de aplicaciones de su tarea de Fargate. Cumpla los requisitos previos para usar ECS Exec. A continuación, active ECS Exec para su tarea de Fargate.

Si el contenedor de la aplicación no admite sesiones de shell para ejecutar ECS Exec, utilice una imagen de Docker de aws-cli para crear una nueva tarea de Fargate. La nueva tarea debe estar en la misma subred y VPC que la tarea actual de Fargate.

Configuración de las conexiones entre Amazon ECS y otros puntos de enlace de servicios de AWS

Si sus tareas de Amazon ECS no se conectan a otros servicios, compruebe que cumple las siguientes condiciones:

La URL del punto de enlace es correcta e incluye el protocolo (http:// o https://), el nombre de host y el puerto. Configure los puntos de enlace de VPC con subredes que se alineen con la configuración de subred del servicio Amazon ECS.
Las subredes que utiliza su servicio Amazon ECS deben tener las configuraciones de DNS correctas para resolver las URL de los puntos de enlace, ya sea un DNS proporcionado por Amazon o un solucionador personalizado.
El grupo de seguridad adjunto a sus tareas de Amazon ECS debe permitir el acceso saliente al puerto y al protocolo del servicio de destino.
Las listas de control de acceso (ACL) de la red en la subred deben permitir el tráfico hacia y desde los puntos de enlace de servicio requeridos.

Prueba de la conexión entre la tarea de Fargate y el punto de enlace del servicio de AWS

Para probar la conexión de la tarea de Fargate con el punto de enlace y el puerto del servicio de AWS, ejecute el siguiente comando telnet desde su contenedor:

telnet endpoint-url port

Nota: En el comando anterior, sustituya endpoint-url por la URL de punto de enlace de su servicio y port por el número de puerto del servicio.

Si la conexión se realiza correctamente, obtendrá el siguiente ejemplo de salida:

Trying 10.0.1.169...  
Connected to sns.us-east-1.amazonaws.com.  
Escape character is '^]'.

Para probar la resolución de DNS de su punto de enlace, ejecute el siguiente comando nslookup:

nslookup example-endpoint

Resultado de ejemplo:

Name: sns.us-east-1.amazonaws.com  
Address: 10.0.1.169

Si no ha instalado los comandos telnet o nslookup en el contenedor, ejecute uno de los siguientes comandos para instalarlos.

Contenedores basados en Debian:

apt-get update

apt-get install -y dnsutils telnet

Contenedores de Amazon Linux:

yum install -y bind-utils telnet

Solución de errores de tiempo de espera de conexión

Si recibe errores de tiempo de espera de conexión, compruebe la configuración de la red.

Reglas del grupo de seguridad

Si el tráfico pasa por un punto de enlace de VPC, el grupo de seguridad del punto de enlace debe permitir el tráfico TCP en el puerto 443 desde uno de los siguientes lugares:

El grupo de seguridad de la tarea de Amazon ECS
El bloque CIDR de VPC

Configure el grupo de seguridad de la tarea para permitir el tráfico saliente al punto de enlace de VPC del servicio.

Enrutamiento de VPC

Para las subredes públicas, la tarea de Fargate debe tener una ruta predeterminada de 0.0.0.0/0 que apunte a la puerta de enlace de Internet.

Para las subredes privadas, la tabla de enrutamiento debe tener una ruta a una puerta de enlace NAT o una puerta de enlace de tránsito según su arquitectura.

Configuración de proxy

Si su tarea de Amazon ECS utiliza un servidor proxy, asegúrese de que la configuración del proxy permita el tráfico al punto de enlace del servicio.

Análisis de los registros de flujo de VPC

Si sigue teniendo problemas de conexión, utilice los registros de flujo de Amazon VPC para ver los detalles del flujo de tráfico.

Solución de problemas de permisos de IAM

Compruebe si el rol de tarea de Amazon ECS otorga permisos al contenedor de la aplicación para interactuar con otros servicios de AWS.

Por ejemplo, es posible que reciba los siguientes errores al intentar conectarse a un punto de enlace de Amazon Simple Notification Service (Amazon SNS).

Ejemplo de mensaje de error de la política de punto de enlace de VPC:

«Se produjo un error (AuthorizationError) al llamar a la operación ListTopics: El usuario: arn:aws:sts::123456789012:assumed-role/TaskRole/123456789012 no está autorizado para realizar: SNS:ListTopics en el recurso: arn:aws:sns:region-name:123456789012:* con una denegación explícita en una política de puntos de enlace de VPC»

Para resolver este problema, conceda al punto de enlace de Amazon VPC permiso para realizar las acciones necesarias en sus servicios de AWS. En el mensaje de error del ejemplo anterior, el punto de enlace de Amazon VPC debe tener el permiso ListTopics.

Ejemplo de mensaje de error de permiso de rol de tarea:

«Se produjo un error (AuthorizationError) al llamar a la operación ListTopics: El usuario: arn:aws:sts::123456789012:assumed-role/TaskRole/123456789012 no está autorizado para realizar: SNS:ListTopics en el recurso: arn:aws:sns:region-name:123456789012:* porque ninguna política basada en la identidad permite la acción SNS:ListTopics»

Para resolver este problema, conceda al rol de IAM de la tarea de Amazon ECS permisos para realizar las acciones necesarias en los servicios del destinatario. En el mensaje de error del ejemplo anterior, el rol de IAM debe tener el permiso ListTopics.

Temas

Sin servidor Contenedores

Etiquetas

AWS Fargate

Idioma

Español

OFICIAL DE AWSActualizada hace 2 meses

Sin comentarios

Contenido relevante

migrar aplicación a AWS desde un hosting compartido con versiones de php antiguas.
Luis
preguntada hace 3 meses
Problema de Conexión entre MySQL Externo y AWS
Levi Hernandez
preguntada hace 2 meses
Se me ha hecho un cobro estando en el plan gratuito
darlopvil
preguntada hace 24 días
Problema con el registro de mi cuenta.
Brayan Leonardo Alvarez Reyes
preguntada hace un mes
Como validar que servicios protege AWS Guarduty si no tengo Findings.
Respuesta aceptada
David
preguntada hace 20 días
¿Cómo puedo acceder a otros servicios de AWS desde mis tareas de Amazon ECS en Fargate?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo soluciono los problemas de utilización elevada de la CPU en una tarea de Amazon ECS en Fargate?
OFICIAL DE AWSActualizada hace 4 años
¿Cómo puedo montar un sistema de archivos de Amazon EFS en un contenedor o tarea de Amazon ECS que se ejecuta en Fargate?
OFICIAL DE AWSActualizada hace 2 meses
¿Cómo puedo ejecutar una tarea de Amazon ECS en Fargate en una subred privada?
OFICIAL DE AWSActualizada hace un año