AWSPremiumSupport-TroubleshootEKSCluster - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSPremiumSupport-TroubleshootEKSCluster

Beschreibung

Das AWSPremiumSupport-TroubleshootEKSCluster Runbook diagnostiziert häufig auftretende Probleme mit einem Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster und der zugrunde liegenden Infrastruktur und bietet empfohlene Schritte zur Behebung.

Wichtig

Für den Zugriff auf AWSPremiumSupport-* Runbooks ist entweder ein Enterprise- oder ein Business Support-Abonnement erforderlich. Weitere Informationen finden Sie unter AWS Supportpläne vergleichen.

Wenn Sie einen Wert für den S3BucketName Parameter angeben, bewertet die Automatisierung den Richtlinienstatus des von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3) -Buckets. Um die Sicherheit der von Ihrer EC2-Instance gesammelten Protokolle zu gewährleisten, werden die Protokolle nicht hochgeladentrue, wenn der Richtlinienstatus auf gesetzt isPublic ist oder wenn die Zugriffskontrollliste (ACL) der vordefinierten All Users Amazon S3 S3-Gruppe READ|WRITE Berechtigungen gewährt. Weitere Informationen zu vordefinierten Amazon S3 S3-Gruppen finden Sie unter Amazon S3 S3-vordefinierte Gruppen im Amazon Simple Storage Service-Benutzerhandbuch.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

LinuxmacOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • ClusterName

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der Name des Amazon EKS-Clusters, für den Sie eine Fehlerbehebung durchführen möchten.

  • S3 BucketName

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Name des privaten Amazon S3 S3-Buckets, in den der vom Runbook generierte Bericht hochgeladen werden soll.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypes

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkAcls

  • iam:GetInstanceProfile

  • iam:ListInstanceProfiles

  • iam:ListAttachedRolePolicies

  • eks:DescribeCluster

  • eks:ListNodegroups

  • eks:DescribeNodegroup

  • autoscaling:DescribeAutoScalingGroups

Darüber hinaus muss die AWS Identity and Access Management (IAM-) Richtlinie, die dem Benutzer oder der Rolle zugewiesen ist, die die Automatisierung startet, den ssm:GetParameter Vorgang mit den folgenden öffentlichen AWS Systems Manager Parametern zulassen, um das neueste empfohlene Amazon EKS Amazon Machine Image (AMI) für die Worker-Knoten abzurufen.

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id

Um den vom Runbook generierten Bericht in einen Amazon S3 S3-Bucket hochzuladen, sind die folgenden Berechtigungen für den angegebenen Amazon S3 S3-Bucket erforderlich.

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:PutObject

Dokumentschritte

  • aws:executeAwsApi- Sammelt Details für den angegebenen Amazon EKS-Cluster.

  • aws:executeScript- Sammelt Details zu den Amazon Elastic Compute Cloud (Amazon EC2) -Instances, Auto Scaling Scaling-Gruppen, AMI s und Amazon EC2-GPU-Grafikinstanztypen.

  • aws:executeScript- Sammelt Details zur Virtual Private Cloud (VPC), Subnetze, Network Address Translation (NAT) -Gateways, Subnetzrouten, Sicherheitsgruppen und Network Access Control Lists (ACLs) des Amazon EKS-Clusters.

  • aws:executeScript— Sammelt Details zu den angehängten IAM-Instance-Profilen und Rollenrichtlinien.

  • aws:executeScript- Sammelt Details des Amazon S3 S3-Buckets, den Sie im S3BucketName Parameter angeben.

  • aws:executeScript- Klassifiziert die Amazon VPC-Subnetze als öffentlich oder privat.

  • aws:executeScript- Überprüft die Amazon VPC-Subnetze auf Tags, die als Teil eines Amazon EKS-Clusters erforderlich sind.

  • aws:executeScript- Überprüft die Amazon VPC-Subnetze auf die Tags, die für Elastic Load Balancing Balancing-Subnetze erforderlich sind.

  • aws:executeScript- Prüft, ob die Worker-Node-Amazon-EC2-Instances die neuesten für Amazon EKS optimierten AMI s verwenden

  • aws:executeScript- Überprüft, ob die Amazon VPC-Sicherheitsgruppen den Worker-Knoten die erforderlichen Tags zugewiesen haben.

  • aws:executeScript- Überprüft die Amazon VPC-Sicherheitsgruppenregeln für Amazon EKS-Cluster und Worker-Nodes auf die empfohlenen Eingangsregeln für den Amazon EKS-Cluster.

  • aws:executeScript- Überprüft die Amazon VPC-Sicherheitsgruppenregeln für Amazon EKS-Cluster und Worker-Nodes auf die empfohlenen Ausgangsregeln aus dem Amazon EKS-Cluster.

  • aws:executeScript- Überprüft die Netzwerk-ACL-Konfiguration der Amazon VPC-Subnetze.

  • aws:executeScript— Prüft, ob die Amazon EC2 EC2-Instances des Worker-Nodes über die erforderlichen verwalteten Richtlinien verfügen.

  • aws:executeScript- Prüft, ob die Auto Scaling Scaling-Gruppen über die erforderlichen Tags für Cluster-Autoscaling verfügen.

  • aws:executeScript— Prüft, ob die Amazon EC2 EC2-Instances des Worker-Nodes mit dem Internet verbunden sind.

  • aws:executeScript- Generiert einen Bericht auf der Grundlage der Ergebnisse der vorherigen Schritte. Wenn ein Wert für den S3BucketName Parameter angegeben wird, wird der generierte Bericht in den Amazon S3 S3-Bucket hochgeladen.