ECS on EC2でECS Execがエラーになるときはネットワークモードを確認しよう

ECS on EC2でECS Execがエラーになるときはネットワークモードを確認しよう

#ECS on EC2
#ECS Exec
えがわ

えがわ

facebook logohatena logotwitter logo
Clock Icon2024.04.01

ゲームソリューション部の えがわ です。

ECS on EC2環境をTerraformで構築していますが、ECS Execがエラーとなり接続できませんでした。
原因の特定に時間がかかってしまったので、備忘録として残しておきます。

エラー内容

egawa:~$ aws-vault exec personal -- aws ecs execute-command --cluster {my-cluster} --task {task-id} --container {container-name} --interactive --command "/bin/sh"

The Session Manager plugin was installed successfully. Use the AWS CLI to start a session.

An error occurred (TargetNotConnectedException) when calling the ExecuteCommand operation: The execute command failed due to an internal error. Try again later.

最初に結論

タスク定義のネットワークモードに問題がありました。
コンテナがインターネットに接続できていなかったため、ECS Execがエラーとなっていました。

ECS on EC2でawsvpcのネットワークモードを使用する場合、制約があります。

Amazon EC2 Linux インスタンスで awsvpc ネットワークモードを使用するタスクをホストする場合、タスク ENI にはパブリック IP アドレスが付与されません。インターネットにアクセスするには、NAT ゲートウェイを使用するよう設定されたプライベートサブネットでタスクを起動する必要があります。詳細については、「Amazon VPC ユーザーガイド」の「NAT ゲートウェイ」を参照してください。インバウンドのネットワークアクセスは、プライベート IP アドレスを使用する VPC 内からのものか、その VPC からロードバランサーを経由させルーティングされたものである必要があります。パブリックサブネット内で起動されたタスクは、インターネットにアクセスできません。

awsvpcモードで接続する場合はEC2をプライベートサブネットに配置し、NATゲートウェイ経由で外にでる必要があります。
NATゲートウェイの料金も節約したい、かつ、EC2もパブリックサブネットで問題ないため、bridgeに変更することで解決しました。

環境

  • Terraform(v1.7.3)
  • ECS on EC2

確認事項

Amazon ECS Exec Checkerで設定確認

タスク定義やIAM、VPCの設定を確認できます。

設定は問題なさそうです。

Reachability Analyzerで疎通確認

ECSタスクのENIからVPCエンドポイントのIDまで疎通確認を行ってみます。

疎通も問題なさそうです。

コンテナに入ってインターネットに接続してみる

EC2にSSMで接続し、コンテナにアクセスしてみます。

[root@ip-10-0-1-48 ~]# docker exec -it {container-name} bash
my-container@ip-10-0-1-246:/$ curl https://classmethod.jp


^C
my-container@ip-10-0-1-246:/$

むむ...!タイムアウトしました!
コンテナがインターネットに接続できないことが原因のようです。

ネットワークモードを変更

awsvpcからbridgeに変更します。

resource "aws_ecs_task_definition" "main" {
  family             = "${var.project_name}-taskdef"
  network_mode       = "bridge" # "awsvpcからbridgeに変更"
  execution_role_arn = var.exec_role_arn
  task_role_arn      = var.task_role_arn
...中略
}

変更をデプロイして再度確認してみます。

[root@ip-10-0-1-48 ~]# docker exec -it {task-name} bash
my-container@ac426e6995e9:/$ curl https://classmethod.jp
<!doctype html>
<html lang="ja">
...中略

コンテナからインターネットに接続できました!

ECS Execも確認してみます。

egawa@HL01559:~$ aws-vault exec personal -- aws ecs execute-command --cluster {my-cluster} --task  --container {container-name} --interactive --command "bash"

The Session Manager plugin was installed successfully. Use the AWS CLI to start a session.


Starting session with SessionId: ecs-execute-command-09aa98ee275355a78
root@ac426e6995e9:/#

ECS Execが成功しました!

最後に

ECS on EC2を初めて構築してみましたが、思いもよらないところに落とし穴がありました。
Fargateだと深く考えずにawsvpcを選択していましたが、ネットワークについて考えるきっかけになりました。
どなたかの参考になれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

Trainiumを使って学習した大規模言語モデルをECS on EC2でInferentiaにデプロイしてみた

Trainiumを使って学習した大規模言語モデルをECS on EC2でInferentiaにデプロイしてみた

User avatar
nokomoro3
2024.11.14
ECS コンテナインスタンスで利用可能な CPU とメモリを確認する方法を教えてください

ECS コンテナインスタンスで利用可能な CPU とメモリを確認する方法を教えてください

User avatar
hato
2024.06.14
最新の ECS に最適化された AMI を取得する方法を教えてください

最新の ECS に最適化された AMI を取得する方法を教えてください

User avatar
hato
2024.05.23
JenkinsをTerraformで構築してみた(ECS on EC2 + Amazon FSx for NetApp ONTAP)

JenkinsをTerraformで構築してみた(ECS on EC2 + Amazon FSx for NetApp ONTAP)

User avatar
えがわ
2024.04.05
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.