Aws fargate ResourceInitializationError: 无法获取秘密或注册表身份验证

我有这个问题，并最终解决了它。

我的解决办法是:

1. 在私有子网中设置 ECS
2. 在 VPC 中添加 AWS PrivateLink 端点

把我的 CDK 代码贴在这里作为参考。我在函数注释中粘贴了一些文档链接，以便您更好地理解其用途。

这是 EcsStack:

export class EcsStack extends Stack {


constructor(scope: cdk.App, id: string, props: EcsStackProps) {
super(scope, id, props);
this.createOrderServiceCluster(props.vpc);
}


private createOrderServiceCluster(serviceVpc:ec2.IVpc) {
const ecsClusterName = "EcsClusterOfOrderService";


const OrderServiceCluster = new ecs.Cluster(this, ecsClusterName, {
vpc: serviceVpc,
clusterName: ecsClusterName
});


// Now ApplicationLoadBalancedFargateService just pick a randeom private subnet.
// https://github.com/aws/aws-cdk/issues/8621
new ecs_patterns.ApplicationLoadBalancedFargateService(this, "FargateOfOrderService", {
cluster: OrderServiceCluster, // Required
cpu: 512, // Default is 256
desiredCount: 1, // Default is 1
taskImageOptions: {
image: ecs.ContainerImage.fromRegistry("12345.dkr.ecr.us-east-1.amazonaws.com/comics:user-service"),
taskRole: this.createEcsTaskRole(),
executionRole: this.createEcsExecutionRole(),
containerPort: 8080
},
memoryLimitMiB: 2048, // Default is 512
// creates a public-facing load balancer that we will be able to call
// from curl or our web browser. This load balancer will forward calls
// to our container on port 8080 running inside of our ECS service.
publicLoadBalancer: true // Default is false
});
}


/**
* This IAM role is the set of permissions provided to the ECS Service Team to execute ECS Tasks on your behalf.
* It is NOT the permissions your application will have while executing.
* https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_execution_IAM_role.html
* @private
*/
private createEcsExecutionRole() : iam.IRole {
const ecsExecutionRole = new iam.Role(this, 'EcsExecutionRole', {
//assumedBy: new iam.ServicePrincipal(ecsTasksServicePrincipal),
assumedBy: new iam.ServicePrincipal("ecs-tasks.amazonaws.com"),
roleName: "EcsExecutionRole",
});
ecsExecutionRole.addManagedPolicy(iam.ManagedPolicy.fromAwsManagedPolicyName('AmazonEC2ContainerRegistryReadOnly'));
ecsExecutionRole.addManagedPolicy(iam.ManagedPolicy.fromAwsManagedPolicyName('CloudWatchLogsFullAccess'));
return ecsExecutionRole;
}




/**
* Creates the IAM role (with all the required permissions) which will be used by the ECS tasks.
* https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html
* @private
*/
private createEcsTaskRole(): iam.IRole {
const ecsTaskRole = new iam.Role(this, 'OrderServiceEcsTaskRole', {
//assumedBy: new iam.ServicePrincipal(ecsTasksServicePrincipal),
assumedBy: new iam.ServicePrincipal("ecs-tasks.amazonaws.com"),
roleName: "OrderServiceEcsTaskRole",
});


ecsTaskRole.addManagedPolicy(iam.ManagedPolicy.fromAwsManagedPolicyName('AmazonEC2ContainerRegistryReadOnly'));
ecsTaskRole.addManagedPolicy(iam.ManagedPolicy.fromAwsManagedPolicyName('CloudWatchLogsFullAccess'));
ecsTaskRole.addManagedPolicy(iam.ManagedPolicy.fromAwsManagedPolicyName('AmazonS3ReadOnlyAccess'));


return ecsTaskRole;
}


}

这是 VpcStack 的代码片段:

export class VpcStack extends Stack {
readonly coreVpc : ec2.Vpc;
constructor(scope: cdk.App, id: string) {
super(scope, id);


this.coreVpc = new ec2.Vpc(this, "CoreVpc", {
cidr: '10.0.0.0/16',
natGateways: 1,
enableDnsHostnames: true,
enableDnsSupport: true,
maxAzs: 3,
subnetConfiguration: [
{
cidrMask: 28,
name: 'Public',
subnetType: ec2.SubnetType.PUBLIC,
},
{
cidrMask: 24,
name: 'Private',
subnetType: ec2.SubnetType.PRIVATE,
}
]
});
   

this.setupInterfaceVpcEndpoints();
}






/**
* Builds VPC endpoints to access AWS services without using NAT Gateway.
* @private
*/
private setupInterfaceVpcEndpoints(): void {
// Allow ECS to pull Docker images without using NAT Gateway
// https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html
this.addInterfaceEndpoint("ECRDockerEndpoint", ec2.InterfaceVpcEndpointAwsService.ECR_DOCKER);
this.addInterfaceEndpoint("ECREndpoint", ec2.InterfaceVpcEndpointAwsService.ECR);
this.addInterfaceEndpoint("SecretManagerEndpoint", ec2.InterfaceVpcEndpointAwsService.SECRETS_MANAGER);
this.addInterfaceEndpoint("CloudWatchEndpoint", ec2.InterfaceVpcEndpointAwsService.CLOUDWATCH);
this.addInterfaceEndpoint("CloudWatchLogsEndpoint", ec2.InterfaceVpcEndpointAwsService.CLOUDWATCH_LOGS);
this.addInterfaceEndpoint("CloudWatchEventsEndpoint", ec2.InterfaceVpcEndpointAwsService.CLOUDWATCH_EVENTS);
this.addInterfaceEndpoint("SSMEndpoint", ec2.InterfaceVpcEndpointAwsService.SSM);
}


private addInterfaceEndpoint(name: string, awsService: ec2.InterfaceVpcEndpointAwsService): void {
const endpoint: ec2.InterfaceVpcEndpoint = this.coreVpc.addInterfaceEndpoint(`${name}`, {
service: awsService
});


endpoint.connections.allowFrom(ec2.Peer.ipv4(this.coreVpc.vpcCidrBlock), endpoint.connections.defaultPort!);
}
}

我得到了这个问题后，我的 Cloudform 文件翻译成 Terraform 文件。

在挣扎之后，我发现我在我的 Fargate 安全组中遗漏了一条出站规则。事实上，AWS 会自动创建一个“ ALLOW ALL”规则，但是 terraform 会禁用它。你需要增加你的 aws_security_group:

resource "aws_security_group" "example" {
# ... other configuration ...


egress = [
{
from_port        = 0
to_port          = 0
protocol         = "-1"
cidr_blocks      = ["0.0.0.0/0"]
ipv6_cidr_blocks = ["::/0"]
}
]
}

你可以查一下 给你医生。

转到“任务定义”> “更新任务定义”。在“任务角色”下拉菜单中选择“ ecsTaskExecutionRole”。

您需要在 IAM 设置中修改此 ecsTaskExecutionRole，以包括以下权限:

1. 保密经理
2. CloudWatchFullAccess
3. 亚马逊 SSMFullAccess
4. 角色执行策略

然后创建新的任务定义，应该就可以了。

参考资料: https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-parameters.html

如果将任务放置在私有子网中，则可能需要添加入站和出站规则，以允许通信流到相关的 ACL。

在 ecsTaskExecutionRole => ECS-SecretsManager-Permission policy中，请确保您的区域特定的秘密添加了正确的访问级别。有时候，如果您正在使用 Secret 在一个地区创建，然后克隆到另一个地区处理 多区域设置多区域设置，那么仍然需要将它添加到 ecsTaskExectionRole = > ECS-Secret sManager-Permission，以便您的区域 ECS 可以访问它。

对我来说，在我的任务角色中引用的秘密 ARN 是不正确的。

我不得不自动分配公共 IP。

若要从控制台执行此操作，请在运行任务时..。

... 我必须选择“启用”为“自动分配公共 IP”。

如何执行“在私有子网中启动任务，该私有子网具有配置为通过公共子网中的 NAT 网关路由出站流量的 VPC 路由表。这样，NAT 网关可以代表任务打开到 ECR 的连接”:

这个解决方案的假设:

1. ECR 存储库中有 docker 映像
2. 您有一个具有 AmazonECSTaskExectionRolePolicy 权限的 IAM 角色
3. 您还希望您的任务使用相同的 IP 地址。如果您不需要这个部分，我已经标记了这个可选部分。

解决方案:

1. 创建新集群
   • AWS > ECS > Clusters > Create cluster > Networking only > 复选框 to Create VPC > Create
2. 创建新的任务定义
   • AWS > ECS > 任务定义 > 创建新任务定义 > Fargate
     • 添加容器 > Image * 字段应该包含来自 ECR 的 Image URI
3. 创建弹性 IP 地址(可选，只有当您想要一致的 IP 输出时，比如使用代理服务时)
   • AWS > VPC > 弹性 IP > 分配弹性 IP 地址 > 创建
   • 把这个 IP 地址列在 Fargate 想要访问的任何服务上
4. 创建 NAT 网关
   • AWS > VPC > NAT 网关 > 创建 NAT 网关
     • 选择自动创建的子网
     • 连接类型: Public
     • ^ 因为你把它公开在一个子网上，这就是所谓的“ NAT 网关在一个公共子网上”的意思
     • (可选)从下拉菜单中选择弹性 IP
5. 使用 Internet 网关路由公共子网
   • AWS > VPC > Route tables > find one w/public subnet auto-create in step 1 > click on Route table ID > Edit path > Add path > Destination is 0.0.0.0.0，Target is igw-{ Internet-gate-autocreate-in-step-1}
   • ^ 这就是 VPC 实际上可以访问互联网的原因
6. 创建子网
   • AWS > VPC > 子网 > 创建子网 > 在步骤1中选择自动创建的 VPC，对于 IPv4，如果您感到困惑，只需输入10.0.0.0/24 > Add new subnet
7. 将新创建的子网(步骤6)路由到使用 NAT
   • AWS > VPC > Route tables > find one w/subnet create in step 6 > 单击 Route table ID > Edit routs > Add path > Destination: 0.0.0.0.0，Target: nat-{ nat-gate-create-in-step-4}
   • ^ 这就是所谓的“具有 VPC 路由表的私有子网，该路由表被配置为通过 NAT 网关路由出站流量”
8. 运行 Fargate 任务
   • AWS > ECS > Clusters > your cluster > Run new Task
   • 发射类型: Fargate
   • 任务定义: 您的任务
   • 群集: 您的群集
   • 群集 VPC: 您的 VPC
   • 子网: 你创建的子网，而不是自动创建的
   • 自动分配公共 IP: 这取决于您是否使用弹性 IP。如果你这样做了，那么这个应该被禁用。如果您没有分配一个弹性 IP 地址，那么这应该是启用。
   • 执行任务

对我来说，我有一个 VPC 与公共和私有子网和公共和私有子网之间的 nat 网关。当我试图访问机密时，这项服务必须在私有子网中启动。除非设置了 vpc 端点，否则秘密检索不能在公共子网中工作。在使用 Fargate 1.4版本的私有子网中工作良好。

对我来说，我的问题是我为我的私有子网配置的 NAT 网关被错误地配置为私有 NAT 网关。哎呀。转换到公共 NAT 网关和更新路由表解决了我的问题

对于我的情况，我尝试了以上所有的解决方案，似乎没有一个是有效的。 这是一个非常简单的错误，但是如果没有一个答案对你有用的话，其他人可能会发现这个错误。

任务定义 json 文件的 containerDefinition部分中的 valueFrom需要在值的末尾使用 ::。

也就是说。 就我而言:

{
"containerDefinitions": [{
"secrets": [{
"name": "MY_SECRET",
"valueFrom": "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:<sm_resource_name>:MY_SECRET"
}]
}]
}

正确的格式是:

{
"containerDefinitions": [{
"secrets": [{
"name": "MY_SECRET",
"valueFrom": "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:<sm_resource_name>:MY_SECRET::"
}]
}]
}

注意在正确的解决方案 valueFrom的末尾有额外的 ::。

在检查了这个 AWS 支持页面: https://aws.amazon.com/premiumsupport/knowledge-center/ecs-unable-to-pull-secrets/和这里的其他流行答案之后，还需要检查的一件事是，正在检索的秘密实际上具有一个值集。

在使用 SecretesManager 时，如果您的 ECS Task 试图检索已创建的 但是没有值集秘密，那么您也将收到此类错误。

为 secret 设置一个值将解决这个特定的问题。

这主要是由于您的安全组中的出站限制(在公共子网的情况下)。

打开 TCP 端口将帮助您解决同样的问题。

ResourceInitializationError: 无法获取秘密或注册表身份验证: 执行资源检索失败: 无法检索 ecr 注册表身份验证

当图像 URI 中有一个输入错误时，ECS 会抛出同样的错误，这很奇怪... 但可能对某人有帮助。肯定吃了我几个小时。干杯！

感谢解决方案，我有同样的问题，答案是正确的，这是由于在 Fargate v1.3和 v1.4的差异，所以它可能有点忙碌，但这一个确实工作。 译自: 美国《 https://stackoverflow.com/a/70857885/14975561》杂志网站(https://stackoverflow. com/a/70857885/14975561)

你的问题可能是你没有把 public IP 分配给你的群组。

在集群上创建任务时启用它。

自动分配公共 IP = TRUE

对于我来说，这个问题出现在我添加了我自己的 VPC 和子网按照这个模板 https://github.com/thombergs/code-examples/blob/master/aws/cloudformation/ecs-in-two-public-subnets/network.yml

但我不得不添加一个互联网网关，以使其工作。在上面的配置中，它就在子网配置之后。

我通过在作业定义中设置“ Assign public IP”= ENABLED 来解决这个问题。

档号: 连接到 ECR 的批量超时