---

确认 Task 内容器服务已启动

通过跳板机登录到 Task 容器所在 EC2，而后通过 docker 命令进入到容器，确认资源、程序、配置、进程都已启动。

# 通过跳板机进入 ECS Node EC2 节点 
$ ssh -i ~/.ssh/your-jump-server-keys.pem ec2-user@10.0.11.22 -J jump-server

# 执行 docker 命令
$ docker ps

补充：EC2 IP 获取方法

在 ECS 集群上，找到需要排查问题的 Task 进入详情，详情中可以找到 “Launch type”，EC2 标签后的 i-XXXX 即节点 ID，点击跳转进入 EC2 详情，在 “Networking” 标签页可以看到 “Private IPv4 addresses”，可以看到两个 IP，选择跟 “Private IP DNS name (IPv4 only)” 一致的主 IP 使用

另外 jump-server 需要跟 ECS 的网络打通，建立 VPC 对等连接。

可能有些容器内部没有 curl 命令，同时也没有 apt 命令可供安装，可以在 Node EC2 上下载 curl-static 后复制进容器，命令参考：

$ docker cp curl-aarch64 container-name:/tmp/
$ docker exec -it container-name sh
$ chmod +x /tmp/curl-aarch64
$ /tmp/curl-aarch64 http://127.0.0.1:3000

备注：ECS Task 内的容器使用 Docker 进行运行，调试 ECS 容器的时候可以通过这种方式获知容器详情。

确认服务监听地址

Web 类型服务需要格外留意，因为 npm start 几乎都是默认绑定的 localhost，需要显式绑定为 0.0.0.0

以 Next 为例：

$ next start -H 0.0.0.0 -p 3001

端口访问确认

在第一步已经确认，在容器内部使用 curl 命令请求 localhost:3000（假定监听的是 3000 端口），可以请求通，说明服务正常启动并响应。

在容器内部通过 ifconfig 获取到 pod 的 IP 地址，如：10.0.16.170，退出容器（也可通过 TargetGroup 上注册的服务获取 IP）

在容器所在的 EC2 使用 curl 命令请求 10.0.16.170:3000，确认访问情况，访问不通说明 Task 对应的 Service 的安全组没有对端口放行。

核对 TargetGroup 内注册端口

确认服务访问没问题后，到 TargetGroup 中查看 ECS 注册的容器 IP 和端口跟预期一致。

至此，可确认 ALB 到 Task 容器的访问链路没有问题。

验证结果总结

（1）在 TargetGroup 到 ECS Task 容器的访问链路中，Docker 镜像的 EXPOSE 和 Ansible 的 portMappings 没有实际作用，配置正确或错误都不影响访问结果。（此处提及 Ansible 是因为部署 ECS Task 使用的是 Ansible Playbook）

（2）实际验证下，能否正常请求只跟 ALB 能否通过容器IP + 容器端口访问到容器内服务有关，两个因素最为关键 —— 容器内服务正确监听了地址(0.0.0.0)、ECS Service 的安全组放行了要访问的端口。