无法从ECS代理访问AWS ecs VPC端点

Question

同时使用面向ECS和ECR的AWS端点部署ECS群集。ecs-agent无法连接到https://ecs.ap-southeast-1.amazonaws.com。我没有用于此环境的互联网网关、nat网关或任何代理设置。

为了调试这个问题，我登录到ECS主机。https://vpce****/ecs.ap-southeast-1.amazonaws.com的curl命令可以工作，因为它直接解析到ECS端点的网络接口。

但是，通用url https://ecs.ap-southeast-1.amazonaws.com不会解析到任何内容。我已验证是否为此终结点启用了专用DNS。

以下是我对上述情况的调查结果。

路由正确，端点设置正确，因为我能够使用vpce端点进行解析

在端点上启用了专用DNS选项和vpc上启用了dns解析)，但在我的路由53中看不到为amazonaws.com创建的托管区域。这是创建并显示给用户帐户的内容，还是由AWS内部管理的内容？

请让我知道一些关于如何调试这种情况的指针。

Answer 1

问题出在我的VPC使用自定义DHCP选项集时。这意味着我的VPC的主DNS指向内部DNS服务器，该服务器没有配置转发规则来解析专用端点。这种场景的解决方案是在路由53中创建入站解析器，并在您的本地DNS服务器上设置条件转发规则，将这些请求转发到入站解析器，然后入站解析器应该能够获取内网网卡。