• Задача ENI полностью управляется Amazon ECS. Amazon ECS создает ENI и подключает его к хост-инстансу Amazon EC2 с указанной группой безопасности.
Задача отправляет и получает сетевой трафик через ENI так же, как инстансы Amazon EC2 делают это со своими основными сетевыми интерфейсами. Каждой задаче ENI по умолчанию назначается частный IPv4-адрес.
Если ваш VPC включен для режима двойного стека и вы используете подсеть с блоком IPv6 CIDR, задача ENI также получит IPv6-адрес. Каждая задача может иметь только один ENI.
Эти ENI отображаются в консоли Amazon EC2 для вашей учетной записи, но их нельзя отсоединить вручную или изменить с помощью вашей учетной записи.
Это необходимо для предотвращения случайного удаления ENI, связанного с запущенной задачей.
Вы можете просмотреть информацию о вложениях ENI для задач в консоли Amazon ECS или с помощью операции API DescribeTasks. При остановке задачи или уменьшении масштаба службы задача ENI отсоединяется и удаляется.
Мы не можем изменить какой-либо атрибут задачи ECS ENI, так как он управляется самой ECS.
Согласно документу [1], эти ENI полностью управляются ECS, и мы не можем изменять какие-либо атрибуты ENI задачи.
Таким образом, проверка источника/получателя не может быть отключена для контейнеров ENI, управляемых ECS.
Использованная литература:
[1]: https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking-awsvpc.html
Это применимо только к awspvc сетевой режим, который использует Fargate.
Насколько я могу судить, есть 2 возможных обходных пути:
- Отключите проверку источника/назначения на экземпляре ENI, а затем настройте маршрут от основного экземпляра ENI к контейнеру Docker.
- Вместо этого используйте ECS EC2 и выберите другой режим сети.
