首先感谢谁能回答这个问题。这是我在这里的第一篇文章,所以我会尽量说清楚。
我有一个配置了 2 个 Fargate 任务的 ECS 集群。ECS 设置在分配给私有子网(附加了 NAT)的 VPC 中,这些任务也有一个公共 ip(我相信这不应该是这种情况?)
其中一个任务基本上是一个 API,另一个是网页的前端。
除此之外,我们还有一个面向 Internet 的 ALB。这分配给公共子网(带有 IGW)
我决定探索使用 NACLS 并且由于某种原因只有这条规则有效(显然):
入境:
| 规则编号 | 类型 | 协议 | 端口范围 | 资源 | 允许否认 |
|---|---|---|---|---|---|
| 1 | 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 允许 |
出境:
| 规则编号 | 类型 | 协议 | 端口范围 | 目的地 | 允许否认 |
|---|---|---|---|---|---|
| 1 | 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 允许 |
我想为公共子网和私有子网给出明确的规则。我已经创建了 2 个 NACL 组和与它们关联的子网。
对于面向 Internet 的负载均衡器的公共子网。这是我的规则:
公共NACL:
入境:
| 规则编号 | 类型 | 协议 | 端口范围 | 资源 | 允许否认 |
|---|---|---|---|---|---|
| 100 | HTTPS | TCP(6) | 443 | 0.0.0.0/0 | 允许 |
| 110 | 风俗 | TCP(6) | 1024-65535 | 1x.xx.xx.xx/16 | 允许 |
出境:
| 规则编号 | 类型 | 协议 | 端口范围 | 目的地 | 允许否认 |
|---|---|---|---|---|---|
| 100 | HTTPS | TCP(6) | 443 | 1x.xx.xx.xx/16 | 允许 |
| 110 | 风俗 | TCP(6) | 3003 | 1x.xx.xx.xx/16 | 允许 |
| 120 | 风俗 | TCP(6) | 1024-65535 | 0.0.0.0/0 | 允许 |
在私有子网中,NACL 规则如下:
入境:
| 规则编号 | 类型 | 协议 | 端口范围 | 资源 | 允许否认 |
|---|---|---|---|---|---|
| 100 | HTTPS | TCP(6) | 443 | 0.0.0.0/0 | 允许 |
| 110 | 风俗 | TCP(6) | 1024-65535 | 1x.xx.xx.xx/16 | 允许 |
出境:
| 规则编号 | 类型 | 协议 | 端口范围 | 目的地 | 允许否认 |
|---|---|---|---|---|---|
| 100 | HTTPS | TCP(6) | 443 | 1x.xx.xx.xx/16 | 允许 |
| 110 | SMTP | TCP(6) | 25 | 0.0.0.0/0 | 允许 |
| 120 | SMTPS | TCP(6) | 465 | 0.0.0.0/0 | 允许 |
| 130 | 风俗 | TCP(6) | 1024-65535 | 0.0.0.0/0 | 允许 |
该服务将运行一段时间没有任何问题,我的网站将正常运行。但是有时我会收到 504 错误,当我回到我的 ECS 时。我看到任务恢复到 PROVISIONING -> PENDING.... 大约 5-10 分钟后停止。我得到的错误是这样的:
ResourceInitializationError:无法提取机密或注册表身份验证:拉命令失败::信号:已杀死 NACL
修复它的唯一方法是恢复默认允许所有入站出站规则。
知道是什么原因造成的吗?是否是分配给导致冲突的 fargate 任务的公共 IP 地址?ECR 存储库位于另一个 aws 帐户上。我相信 IAM 角色权限是正确的,否则即使使用默认的 NACL 规则,它也无法提取图像。感谢任何帮助,因为我不知所措。谢谢