может (судя по всему) пробиться к хосту, днс лукап, и получить адрес ecs api чтобы зарегистрировать новый ec2 инстанс? Контейнер все время падает по read udp timeout. Никаких измений не было, но в пятницу, ни с того ни с сего, агент просто не может зарегаться. Мы используем консул для дискавери, поэтому в dnsmasq прописан резолв consul домена; если, к примеру, его убрать и в dns докера указать днс гугла, то агент со всем успешно справляется. В SG весь трафик открыт сейчас. ACL тоже пропускают сейчас все. Аналогичные инстансы, с тем же конфигом, в том же кластере работают без проблем. Но ни один новый не может нормально подняться.
По традиции с SO - нашел решение - написал. Проблема заключалась в дефолтной настройке dnsmasq - она разрешала лукапы только с loopback интерфейса, соответственно с docker0 ничего не могло пробиться. Почему внезапно поменялся дефолт конфиг - надо будет разобраться.
Обсуждают сегодня