อินเทอร์เฟซเครือข่าย ECS Fargate ที่ปิดใช้งานการตรวจสอบ src/dest

Jethro

14/11/22 10:08

เมื่อสร้างบริการ AWS ECS Fargate จะมีวิธีตั้งค่าอินเทอร์เฟซเครือข่ายที่สร้างขึ้น ตรวจสอบต้นทาง/ปลายทาง ฟิลด์ถึง เท็จ?

บริการถูกตั้งค่าตาม คู่มือเริ่มต้นใช้งาน ECS Fargate. บริการกำลังเรียกใช้พร็อกซีรูปปลาหมึก ซึ่งฉันเชื่อว่าจำเป็นต้องสามารถยอมรับการรับส่งข้อมูลที่ปลายทางสำหรับ IP อื่น ซึ่งคล้ายกับ NAT

การแก้ไขฟิลด์ตรวจสอบ src/dest หลังจากสร้างให้สิทธิ์ปฏิเสธข้อผิดพลาด แม้ว่าจะมีสิทธิ์ผู้ดูแลระบบแบบเต็มก็ตาม:

ไม่สามารถอัปเดตการตรวจสอบต้นทาง/ปลายทางสำหรับ eni-12345abcde: คุณไม่ได้รับอนุญาตให้เข้าถึงทรัพยากรที่ระบุ

ฉันคิดว่าข้อความนี้ทำให้เข้าใจผิด และ Network Interfaces ไม่สามารถแก้ไข (หรือลบ) ได้ในขณะที่แนบอยู่ เนื่องจากฉันเคยเห็นสิ่งที่คล้ายกันเมื่อพยายามลบ Interfaces แม้จะมีสิทธิ์ในการทำเช่นนั้นก็ตาม

มีวิธีการตั้งค่าหรือแก้ไขอินเทอร์เฟซเครือข่ายของบริการ ECS Fargate เพื่อข้ามการตรวจสอบ src/dest หรือไม่

150

0 + 0

อเมซอนเว็บบริการ

อเมซอน-ecs

aws-fargate

Score:1

Server

roee klinger

6/4/23 18:22

â¢ งาน ENI ได้รับการจัดการอย่างสมบูรณ์โดย Amazon ECS Amazon ECS สร้าง ENI และเชื่อมต่อกับอินสแตนซ์ Amazon EC2 โฮสต์ที่มีกลุ่มความปลอดภัยที่ระบุ 
     งานจะส่งและรับทราฟฟิกเครือข่ายผ่าน ENI ในลักษณะเดียวกับที่อินสแตนซ์ Amazon EC2 ทำกับอินเทอร์เฟซเครือข่ายหลัก แต่ละงาน ENI ได้รับมอบหมายที่อยู่ IPv4 ส่วนตัวตามค่าเริ่มต้น 
     หาก VPC ของคุณเปิดใช้งานสำหรับโหมด dual-stack และคุณใช้ซับเน็ตที่มีบล็อก IPv6 CIDR งาน ENI จะได้รับที่อยู่ IPv6 ด้วย แต่ละงานสามารถมี ENI ได้เพียงรายการเดียวเท่านั้น

    ENI เหล่านี้จะมองเห็นได้ในคอนโซล Amazon EC2 สำหรับบัญชีของคุณ แต่ไม่สามารถแยกออกด้วยตนเองหรือแก้ไขโดยบัญชีของคุณได้ 
    นี่คือการป้องกันการลบ ENI ที่เกี่ยวข้องกับงานที่กำลังทำงานอยู่โดยไม่ตั้งใจ 
    คุณสามารถดูข้อมูลไฟล์แนบ ENI สำหรับงานในคอนโซล Amazon ECS หรือด้วยการดำเนินการ DescribeTasks API เมื่องานหยุดลงหรือหากบริการลดขนาดลง งาน ENI จะถูกแยกออกและลบออก

เราไม่สามารถแก้ไขแอตทริบิวต์ใดๆ ของ ECS Task ENI ได้เนื่องจาก ECS จัดการเอง

ตามเอกสาร[1] ENI เหล่านี้ได้รับการจัดการอย่างสมบูรณ์โดย ECS และเราไม่สามารถแก้ไขแอตทริบิวต์ใดๆ ของงาน ENI

ดังนั้นจึงไม่สามารถปิดใช้การตรวจสอบต้นทาง/ปลายทางบน ENI ของคอนเทนเนอร์ที่จัดการโดย ECS

อ้างอิง: [1]: https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking-awsvpc.html

สิ่งนี้ใช้ได้เฉพาะกับ awspvc โหมดเครือข่ายซึ่งใช้โดย Fargate

เท่าที่ฉันสามารถบอกได้ มีวิธีแก้ไขที่เป็นไปได้ 2 วิธี:

ปิดใช้งานการตรวจสอบต้นทาง/ปลายทางบนอินสแตนซ์ ENI จากนั้นกำหนดค่าเส้นทางจาก ENI ของอินสแตนซ์หลักไปยังคอนเทนเนอร์ Docker
ใช้ ECS EC2 แทน และเลือกโหมดเครือข่ายอื่น

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: ECS Fargate Network Interface with src/dest Check disabled

TH: อินเทอร์เฟซเครือข่าย ECS Fargate ที่ปิดใช้งานการตรวจสอบ src/dest

RO: Interfața de rețea ECS Fargate cu verificarea src/dest dezactivată

RU: Сетевой интерфейс ECS Fargate с отключенной проверкой src/dest

VI: Giao diện mạng Fargate của ECS với Kiểm tra src/dest đã bị vô hiệu hóa

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา