Amazon ECS Agent 1.19.1版本私有ECR镜像拉取问题分析

Amazon ECS Agent是AWS容器服务的关键组件，负责管理EC2实例上的容器任务。近期发布的1.19.1版本中，出现了一个影响私有ECR仓库镜像拉取的重要问题，特别是在使用FIPS端点时尤为明显。

问题现象

用户报告在升级到1.19.1版本后，ECS服务无法从私有ECR仓库拉取容器镜像。错误信息显示为协议模式不受支持，且URL构造存在问题。具体表现为：

• ECR授权令牌获取失败
• 请求发送时出现协议错误
• FIPS端点配置不被支持

问题根源

经过分析，这个问题主要源于1.19.1版本中引入的一个变更，该变更涉及ECR服务端点的处理逻辑。具体表现为：

1. 构建的ECR请求URL不完整，缺少必要的协议前缀
2. 对FIPS端点的支持存在缺陷
3. 服务端点解析逻辑出现异常

影响范围

该问题主要影响以下场景：

• 使用私有ECR仓库的ECS服务
• 配置了FIPS端点的AWS环境
• 从ECR拉取容器镜像的任务

解决方案

AWS团队迅速响应，提供了以下解决方案：

1. 临时解决方案：回退到1.91.0版本，该版本不受此问题影响。用户可以通过特定URL获取旧版本安装包。

2. 永久解决方案：AWS随后发布了1.91.2版本，该版本回退了引起问题的变更，彻底解决了此问题。建议所有受影响的用户升级到此版本。

最佳实践

为避免类似问题，建议用户：

1. 在生产环境部署前，先在测试环境验证新版本
2. 关注ECS Agent的版本更新日志
3. 建立版本回退机制，确保问题出现时可快速恢复
4. 对于关键业务系统，考虑延迟升级，等待版本稳定

总结

这次事件展示了开源社区快速响应和解决问题的能力。AWS团队在发现问题后迅速提供了解决方案，并通过版本回退的方式最小化了影响。对于使用ECS服务的用户，建议定期检查组件版本，并遵循推荐的升级策略，以确保服务稳定性。

对于依赖私有ECR仓库的用户，1.91.2版本已经过验证，可以安全使用。用户应尽快评估升级计划，确保容器服务的正常运行。