我们正在尝试创建ECS群集但是我们注意到内部ECS代理无法注册。我们取消阻止TCP 443(ACL和SG),但它仍然没有注册。然后我们开始打开TCP和UDP的所有流量,然后代理能够注册。
我们尝试使用FlowLog来调查正在使用的内容,但似乎代理每次都使用随机端口和不同的IP,这使得我们几乎不可能因代理而保护我们的网络。我们尝试并搜索了很多关于ECS代理如何正确运行以及无法正常运行的文档。
我们希望实现的是保护我们的网络,同时允许代理根据需要运行。或许更好的问题是哪些端口是ecs-agent试图准确使用哪些IP以及我们应该允许哪些IP流量来自/去?
从1小时开始,流量日志显示来自世界各地的IP试图点击服务器,没有理由不优先处理这个问题。
答案 0 :(得分:0)
ECS代理需要传出Internet访问权限才能将自身注册到群集。
以下是一些尝试的步骤: