ECS 容器代理自省 iptables 配置
[英]ECS container agent introspection iptables config
問題描述
我們有一個容器需要在運行時聯系 ECS 容器代理自省端點。
ecs 任務使用橋接網絡模式。
我們的 Amazon Linux 2 上的默認 iptables 包含以下 INPUT 鏈:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:51678
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
我添加了規則ACCEPT tcp -- anywhere anywhere tcp dpt:51678作為允許我們的容器訪問自省端點的嘗試。
但是,它不起作用。
如果我REJECT all -- anywhere anywhere reject-with icmp-port-unreachable我可以訪問 ECS 容器代理自省,完全沒有問題。
從安全的角度來看,將 REJECT 全部刪除感覺很糟糕。 我錯了嗎? 我的嘗試不正確嗎?
https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-agent-introspection.html
如果您想知道,這就是我們在運行時從容器內訪問端點的方式
EC2_INSTANCE_ID=$(curl --silent ${ECS_CONTAINER_METADATA_URI_V4}/taskWithTags | jq -r '.ContainerInstanceTags.instanceid')
非常感謝您的幫助。
1 個解決方案
解決方案1
0 已采納 2022-08-29 19:57:39
我們使用的亞馬遜 Linux 2 base ami 在 iptables 鏈 INPUT 中保存了全部拒絕。
我們的舊亞馬遜 Linux 1 實例在其 iptables 中沒有此規則。
為了解決這個問題,我做了一個 iptables --flush 然后添加了我想要的規則並保存了它們。
如何在Debian中安裝Amazon ECS容器代理? (ECS-INIT)
[英]How install the Amazon ECS Container Agent in Debian? (ecs-init)
Prisma 容器中的 AWS ECS 錯誤 - 環境變量 PRISMA_CONFIG
[英]AWS ECS error in prisma container - environment variable PRISMA_CONFIG
ECS Agent啟動Docker容器未完成。 手動啟動成功
[英]ECS Agent starting Docker container doesn't complete. Manual start successful
ECS 代理在暫停時停止並重新啟動 Docker 容器 Spring 在遠程調試中啟動 Java 應用程序
[英]ECS Agent stops and re-starts Docker container when paused Spring Boot Java app in remote debug
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何在ECS代理容器上設置docker標簽?
如何在Debian中安裝Amazon ECS容器代理? (ECS-INIT)
如何處理ECS容器代理docker容器日志?
Prisma 容器中的 AWS ECS 錯誤 - 環境變量 PRISMA_CONFIG
ECS Agent啟動Docker容器未完成。 手動啟動成功
ECS 代理在暫停時停止並重新啟動 Docker 容器 Spring 在遠程調試中啟動 Java 應用程序
iptables無法處理容器中的macvlan流量
在 ECS 上使用自定義配置的 Traefik
ECS容器和Docker
亞馬遜ECS上的集裝箱運輸
相關標簽