Por que não consigo montar meus volumes do Amazon EFS em minhas tarefas do AWS Fargate?

Breve descrição

O Amazon EFS fornece uma solução de armazenamento persistente para suas tarefas do Fargate para compartilhar arquivos e dados em diferentes tarefas.

Os seguintes problemas podem impedir que você monte seus volumes do Amazon EFS em suas tarefas do Fargate:

• O sistema de arquivos Amazon EFS não está configurado corretamente.
• O perfil do AWS Identity and Access Management (IAM) para a tarefa do Amazon Elastic Container Service (Amazon ECS) não tem as permissões necessárias.
• Há problemas relacionados à rede e às configurações da Amazon Virtual Private Cloud (Amazon VPC).

Para solucionar os erros das tarefas do Amazon Elastic Container Service (Amazon ECS) que não iniciam, use o runbook AWSSupport-TroubleshootECSTaskFailedToStart. Em seguida, consulte as etapas de solução de problemas relevantes para seu problema.

Resolução

Encontre a tarefa que não pôde iniciar

Importante:

• Use o runbook AWSSupport-TroubleshootECSTaskFailedToStart na mesma região da AWS em que seus recursos de cluster do ECS estão localizados.
• Ao usar o runbook, você deve usar a ID de tarefa que falhou mais recentemente. Se a tarefa com falha fizer parte de um serviço Amazon ECS, use a tarefa que falhou mais recentemente no serviço. A tarefa com falha deve estar visível em ECS:DescribeTasks durante a execução da automação. Por padrão, as tarefas interrompidas do ECS ficam visíveis por 1 hora após entrarem no estado Interrompido. O uso da ID de tarefa que falhou mais recentemente impede que a limpeza do estado da tarefa interrompa a análise durante a automação.

Para obter instruções sobre como iniciar o runbook, consulte AWSSupport-TroubleshootECSTaskFailedToStart. Com base na saída da automação, use uma das seguintes etapas manuais de solução de problemas.

Solucionar problemas da tarefa com base na mensagem de erro

Ao tentar montar seu volume do EFS na tarefa do Fargate, você pode receber um dos seguintes erros:

“ResourceInitializationError: falha ao invocar comandos EFS utils para configurar volumes do EFS: stderr: b'mount.nfs4: Tempo limite de conexão': execução malsucedida do comando EFS utils; código: 32"

Você recebe esses erros quando sua tarefa do Fargate não consegue se conectar ao sistema de arquivos EFS devido ao tempo de conexão. Para resolver esse erro, conclua as seguintes etapas de solução de problemas:

1. Abra o console do Amazon EFS.
2. No painel de navegação, escolha File systems (Sistemas de arquivos).
3. Escolha o sistema de arquivos que você deseja verificar escolhendo seu Nome ou a ID do sistema de arquivos.
4. Escolha Network (Rede) para exibir a lista de destinos de montagem existentes.
5. Escolha Manage (Gerenciar).

Você pode ver o grupo de segurança e as regras de entrada do grupo de segurança para os destinos de montagem.

Certifique-se de que a regra de entrada para o grupo de segurança permita o tráfego do grupo de segurança de tarefas do Fargate na porta 2049. Confirme se o tráfego de rede é permitido no nível da sub-rede. Para fazer isso, verifique se a lista de controle de acesso à rede permite tráfego entre o sistema de arquivos e a tarefa. Se o tráfego não for permitido, modifique as regras adequadamente. Para mais informações, consulte Security in Amazon Virtual Private Cloud (Segurança na Amazon Virtual Private Cloud).

“ResourceInitializationError: falha ao invocar comandos EFS utils para configurar volumes do EFS: stderr: mount.nfs4: Conexão redefinida por par: execução malsucedida do comando EFS utils; código: 32"

Você recebe esse erro devido a um dos seguintes motivos:

• Você montou o sistema de arquivos EFS imediatamente após criar o sistema de arquivos.
• O grupo de segurança do destino de montagem não permite tráfego de entrada de tarefas do Fargate na porta 2049.
• Você está usando o AWS App Mesh, e a saída para a porta 2049 está bloqueada devido às regras de proxy.

Para solucionar esse erro, siga estas etapas:

• Podem decorrer até 90 segundos para que os registros DNS se propaguem completamente em uma região da AWS após a criação de um destino de montagem. Se você estiver criando e montando programaticamente os sistemas de arquivos, como com um modelo do AWS CloudFormation, implemente uma condição de espera.
• Confirme se a regra do grupo de segurança de entrada anexada aos destinos de montagem do sistema de arquivos EFS permite o tráfego de tarefas do Fargate na porta 2049.
• Se você estiver usando o App Mesh, certifique-se de que sua configuração de proxy especificada na TaskDefinition inclua 2049 como EgressIgnoredPorts.

“ResourceInitializationError: falha ao invocar comandos EFS utils para configurar volumes EFS: stderr: Falha ao resolver “fs-xxxxxxxxxxx.efs.us-east-1.amazonaws.com" - verifique se a ID do sistema de arquivos está correta”

Você recebe esse erro devido a um dos seguintes motivos:

• O destino de montagem do sistema de arquivos EFS não foi criado nem está disponível em uma zona de disponibilidade em que as tarefas do Fargate são iniciadas.
• Você está usando um servidor DNS personalizado para a VPC.
• Os nomes de host DNS da VPC estão desativados. Os nomes de host DNS estão desativados por padrão.

Para resolver esse erro, tente o seguinte:

• Certifique-se de que o destino de montagem do sistema de arquivos EFS esteja na mesma zona de disponibilidade da tarefa Fargate. Você pode ver a zona de disponibilidade, a sub-rede e o grupo de segurança do destino de montagem no console do Amazon EFS. Em seguida, verifique se o destino de montagem usa a mesma zona de disponibilidade e sub-rede da tarefa Fargate.
• Se você especificou um servidor DNS personalizado para suas opções de DHCP da VPC em vez do AmazonProvidedDNS, certifique-se de configurar os encaminhadores de DNS condicionais. Os encaminhadores de DNS devem enviar as consultas de DNS dos recursos da AWS (*.amazonaws.com) para o servidor DNS padrão da VPC na VPC CIDR .2 ou 169.254.169.253. Para mais informações, consulte How to set up DNS resolution between on-premises networks and AWS using AWS Directory Service and Microsoft Active Directory (Como configurar a resolução de DNS entre redes on-premises e a AWS usando o AWS Directory Service e o Microsoft Active Directory).

“ResourceInitializationError: falha ao invocar comandos EFS utils para configurar volumes EFS: stderr: b'mount.nfs4: acesso negado pelo servidor durante a montagem 127.0.0.1:/' : execução malsucedida do comando EFS utils; código: 32"

Você recebe esse erro quando as seguintes políticas e permissões negam o acesso ao sistema de arquivos:

• A política do sistema de arquivos
• A política de funções da tarefa
• As permissões no nível do sistema de arquivos POSIX

O acesso a um sistema de arquivos EFS pode ser controlado por permissões definidas nos seguintes recursos:

• Lista de controle de acesso à rede
• Grupos de segurança
• Políticas do sistema de arquivos EFS
• Política do IAM para perfil de tarefa do ECS
• Um arquivo POSIX

Para mais informações, consulte o guia para desenvolvedores sobre o uso do Amazon EFS com o Amazon ECS e o AWS Fargate — Parte 2.

Para solucionar esse erro, verifique se a política do sistema de arquivos ou a política do IAM para perfil de tarefa do ECS nega o acesso ao sistema de arquivos. Se essas políticas negarem permissões, modifique as políticas para conceder permissões de acesso ao sistema de arquivos. Se a política do sistema de arquivos não existir, o acesso ao sistema de arquivos será concedido por padrão a todas as entidades principais durante a criação.

Informações relacionadas

Criar sistemas de arquivos Amazon EFS

Criar e gerenciar destinos de montagem e grupos de segurança

Como faço para montar um sistema de arquivos Amazon EFS em um contêiner ou tarefa do Amazon ECS em execução no Fargate?

A montagem do sistema de arquivos falha imediatamente após a criação do sistema de arquivos