AWS ECS Fargate 出站 Internet.net 连接

Question

我有一个正在运行服务的小型 Fargate 集群，我发现如果我禁用公共 IP 容器将无法构建，因为它没有拉取图像的路径。

ECS Fargate 的 ELB 是 su.net 的一部分，它具有：

1. inte.net 网关已配置并连接
2. 路由表允许不受限制的传出
3. ECS服务的安全策略允许不受限制的传出
4. DNS 启用

我的理解是 inte.net 网关是一个 NAT，上面的操作应该允许传出 inte.net 访问，但我不能这样做。 还缺少什么？

Answer 1

就像您的 AWS VPC 中的所有其他资源一样，如果您不附加公共 IP 地址，则需要将其放置在带有NAT 网关路由的 su.net 中以访问 VPC 外部的内容，或者它需要用于访问这些资源的VPC 端点。

我已经为持久性公共和 su.net IP 设置了 EBL。据我所知，我的 su.net 的传出 inte.net 不受限制（已连接 inte.net 网关并且路由将所有传出流量打开到 0.0.0.0 /0。我不确定服务设置是否会将 EC2 配置为首先使用它，然后尝试设置容器。如果不是，则它可能不适用。

ELB 仅适用于入站流量，它不为您的 EC2 或 Fargate 实例提供任何类型的出站网络功能。 当 ECS 尝试拉取容器镜像时，ELB 不会以任何方式参与。

拥有一个不稳定的公共地址 IP 有点烦人，因为我的理解是安全策略将适用于 ELB/Elastic 提供的 IP 和这个。

你指的是什么“安全政策”？ 我不知道直接应用于 IP 地址的 AWS 上的安全策略。 假设您在说“安全策略”时指的是安全组，那么您的理解是不正确的。 EC2 或 Fargate 实例和 ELB 都应该分配有不同的安全组。 如果您希望 ELB 在 Inte.net 上公开，则 ELB 将有一个允许所有入站流量的安全组。 EC2 或 Fargate 实例应该有一个仅允许来自 ELB 的入站流量的安全组（通过在入站规则中指定 ELB 的安全组 ID）。

---

我想指出你在你的问题中说了“EC2”并且从未提及 Fargate，但是你用 Fargate 标记了你的问题两次并且没有用 EC2 标记它。 EC2 和 Fargate 是 AWS 上的独立计算服务。 你要么使用其中一个。 考虑到您遇到的问题，在这种情况下这并不重要，但它有助于在您的问题中说清楚。