Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWSPremiumSupport-TroubleshootEKSCluster
Beschreibung
Das AWSPremiumSupport-TroubleshootEKSCluster
Runbook diagnostiziert häufig auftretende Probleme mit einem Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster und der zugrunde liegenden Infrastruktur und bietet empfohlene Schritte zur Behebung.
Wichtig
Für den Zugriff auf AWSPremiumSupport-*
Runbooks ist entweder ein Enterprise- oder ein Business Support-Abonnement erforderlich. Weitere Informationen finden Sie unter AWS Supportpläne vergleichen
Wenn Sie einen Wert für den S3BucketName
Parameter angeben, bewertet die Automatisierung den Richtlinienstatus des von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3) -Buckets. Um die Sicherheit der von Ihrer EC2-Instance gesammelten Protokolle zu gewährleisten, werden die Protokolle nicht hochgeladentrue
, wenn der Richtlinienstatus auf gesetzt isPublic
ist oder wenn die Zugriffskontrollliste (ACL) der vordefinierten All Users
Amazon S3 S3-Gruppe READ|WRITE
Berechtigungen gewährt. Weitere Informationen zu vordefinierten Amazon S3 S3-Gruppen finden Sie unter Amazon S3 S3-vordefinierte Gruppen im Amazon Simple Storage Service-Benutzerhandbuch.
Führen Sie diese Automatisierung aus (Konsole)
Art des Dokuments
Automatisierung
Eigentümer
Amazon
Plattformen
LinuxmacOS, Windows
Parameter
-
AutomationAssumeRole
Typ: Zeichenfolge
Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.
-
ClusterName
Typ: Zeichenfolge
Beschreibung: (Erforderlich) Der Name des Amazon EKS-Clusters, für den Sie eine Fehlerbehebung durchführen möchten.
-
S3 BucketName
Typ: Zeichenfolge
Beschreibung: (Optional) Der Name des privaten Amazon S3 S3-Buckets, in den der vom Runbook generierte Bericht hochgeladen werden soll.
Erforderliche IAM-Berechtigungen
Der AutomationAssumeRole
Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.
-
ssm:StartAutomationExecution
-
ssm:GetAutomationExecution
-
ec2:DescribeInstances
-
ec2:DescribeInstanceTypes
-
ec2:DescribeSubnets
-
ec2:DescribeSecurityGroups
-
ec2:DescribeRouteTables
-
ec2:DescribeNatGateways
-
ec2:DescribeVpcs
-
ec2:DescribeNetworkAcls
-
iam:GetInstanceProfile
-
iam:ListInstanceProfiles
-
iam:ListAttachedRolePolicies
-
eks:DescribeCluster
-
eks:ListNodegroups
-
eks:DescribeNodegroup
-
autoscaling:DescribeAutoScalingGroups
Darüber hinaus muss die AWS Identity and Access Management (IAM-) Richtlinie, die dem Benutzer oder der Rolle zugewiesen ist, die die Automatisierung startet, den ssm:GetParameter
Vorgang mit den folgenden öffentlichen AWS Systems Manager Parametern zulassen, um das neueste empfohlene Amazon EKS Amazon Machine Image (AMI) für die Worker-Knoten abzurufen.
-
arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id
-
arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id
-
arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id
-
arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id
-
arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id
Um den vom Runbook generierten Bericht in einen Amazon S3 S3-Bucket hochzuladen, sind die folgenden Berechtigungen für den angegebenen Amazon S3 S3-Bucket erforderlich.
-
s3:GetBucketPolicyStatus
-
s3:GetBucketAcl
-
s3:PutObject
Dokumentschritte
-
aws:executeAwsApi
- Sammelt Details für den angegebenen Amazon EKS-Cluster. -
aws:executeScript
- Sammelt Details zu den Amazon Elastic Compute Cloud (Amazon EC2) -Instances, Auto Scaling Scaling-Gruppen, AMI s und Amazon EC2-GPU-Grafikinstanztypen. -
aws:executeScript
- Sammelt Details zur Virtual Private Cloud (VPC), Subnetze, Network Address Translation (NAT) -Gateways, Subnetzrouten, Sicherheitsgruppen und Network Access Control Lists (ACLs) des Amazon EKS-Clusters. -
aws:executeScript
— Sammelt Details zu den angehängten IAM-Instance-Profilen und Rollenrichtlinien. -
aws:executeScript
- Sammelt Details des Amazon S3 S3-Buckets, den Sie imS3BucketName
Parameter angeben. -
aws:executeScript
- Klassifiziert die Amazon VPC-Subnetze als öffentlich oder privat. -
aws:executeScript
- Überprüft die Amazon VPC-Subnetze auf Tags, die als Teil eines Amazon EKS-Clusters erforderlich sind. -
aws:executeScript
- Überprüft die Amazon VPC-Subnetze auf die Tags, die für Elastic Load Balancing Balancing-Subnetze erforderlich sind. -
aws:executeScript
- Prüft, ob die Worker-Node-Amazon-EC2-Instances die neuesten für Amazon EKS optimierten AMI s verwenden -
aws:executeScript
- Überprüft, ob die Amazon VPC-Sicherheitsgruppen den Worker-Knoten die erforderlichen Tags zugewiesen haben. -
aws:executeScript
- Überprüft die Amazon VPC-Sicherheitsgruppenregeln für Amazon EKS-Cluster und Worker-Nodes auf die empfohlenen Eingangsregeln für den Amazon EKS-Cluster. -
aws:executeScript
- Überprüft die Amazon VPC-Sicherheitsgruppenregeln für Amazon EKS-Cluster und Worker-Nodes auf die empfohlenen Ausgangsregeln aus dem Amazon EKS-Cluster. -
aws:executeScript
- Überprüft die Netzwerk-ACL-Konfiguration der Amazon VPC-Subnetze. -
aws:executeScript
— Prüft, ob die Amazon EC2 EC2-Instances des Worker-Nodes über die erforderlichen verwalteten Richtlinien verfügen. -
aws:executeScript
- Prüft, ob die Auto Scaling Scaling-Gruppen über die erforderlichen Tags für Cluster-Autoscaling verfügen. -
aws:executeScript
— Prüft, ob die Amazon EC2 EC2-Instances des Worker-Nodes mit dem Internet verbunden sind. -
aws:executeScript
- Generiert einen Bericht auf der Grundlage der Ergebnisse der vorherigen Schritte. Wenn ein Wert für denS3BucketName
Parameter angegeben wird, wird der generierte Bericht in den Amazon S3 S3-Bucket hochgeladen.