AWSPremiumSupport-TroubleshootEKSCluster - AWS Systems Manager Guide de référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSPremiumSupport-TroubleshootEKSCluster

Description

Le AWSPremiumSupport-TroubleshootEKSCluster runbook diagnostique les problèmes courants liés à un cluster Amazon Elastic Kubernetes Service (Amazon EKS) et à l'infrastructure sous-jacente, et propose des mesures correctives recommandées.

Important

L'accès aux AWSPremiumSupport-* runbooks nécessite un abonnement Enterprise ou Business Support. Pour plus d'informations, consultez la section Comparer les plans de AWS support.

Si vous spécifiez une valeur pour le S3BucketName paramètre, l'automatisation évalue l'état de la politique du bucket Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Pour renforcer la sécurité des journaux collectés depuis votre instance EC2, si le statut de la politique isPublic est défini surtrue, ou si la liste de contrôle d'accès (ACL) accorde des READ|WRITE autorisations au groupe prédéfini All Users Amazon S3, les journaux ne sont pas chargés. Pour plus d'informations sur les groupes prédéfinis Amazon S3, consultez les groupes prédéfinis Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

  • AutomationAssumeRole

    Type : chaîne

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • ClusterName

    Type : chaîne

    Description : (Obligatoire) Nom du cluster Amazon EKS que vous souhaitez dépanner.

  • S3 BucketName

    Type : chaîne

    Description : (Facultatif) Le nom du compartiment privé Amazon S3 dans lequel le rapport généré par le runbook doit être chargé.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypes

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkAcls

  • iam:GetInstanceProfile

  • iam:ListInstanceProfiles

  • iam:ListAttachedRolePolicies

  • eks:DescribeCluster

  • eks:ListNodegroups

  • eks:DescribeNodegroup

  • autoscaling:DescribeAutoScalingGroups

En outre, la politique AWS Identity and Access Management (IAM) attachée à l'utilisateur ou au rôle qui lance l'automatisation doit autoriser l'ssm:GetParameteropération selon les AWS Systems Manager paramètres publics suivants afin d'obtenir le dernier Amazon EKS Amazon Machine Image (AMI) recommandé pour les nœuds de travail.

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id

Pour télécharger le rapport généré par le runbook dans un compartiment Amazon S3, les autorisations suivantes sont requises pour le compartiment Amazon S3 que vous spécifiez.

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:PutObject

Étapes de document

  • aws:executeAwsApi- Rassemble les informations relatives au cluster Amazon EKS spécifié.

  • aws:executeScript- Recueille des informations sur les instances Amazon Elastic Compute Cloud (Amazon EC2), les groupes Auto Scaling AMI et les types d'instances graphiques de GPU Amazon EC2.

  • aws:executeScript- Recueille des informations sur le cloud privé virtuel (VPC), les sous-réseaux, les passerelles de traduction d'adresses réseau (NAT), les routes de sous-réseau, les groupes de sécurité et les listes de contrôle d'accès réseau (ACL) du cluster Amazon EKS.

  • aws:executeScript- Rassemble les détails des profils d'instance IAM attachés et des politiques de rôle.

  • aws:executeScript- Rassemble les détails du compartiment Amazon S3 que vous spécifiez dans le S3BucketName paramètre.

  • aws:executeScript- Classifie les sous-réseaux Amazon VPC comme publics ou privés.

  • aws:executeScript- Vérifie les sous-réseaux Amazon VPC pour détecter les balises requises dans le cadre d'un cluster Amazon EKS.

  • aws:executeScript- Vérifie dans les sous-réseaux Amazon VPC les balises requises pour les sous-réseaux Elastic Load Balancing.

  • aws:executeScript- Vérifie si les instances Amazon EC2 du nœud de travail utilisent les dernières versions optimisées d'Amazon EKS AMI

  • aws:executeScript- Vérifie si les groupes de sécurité Amazon VPC attachés aux nœuds de travail contiennent les balises requises.

  • aws:executeScript- Vérifie que les règles du groupe de sécurité Amazon VPC du cluster Amazon EKS et du nœud de travail sont conformes aux règles d'entrée recommandées dans le cluster Amazon EKS.

  • aws:executeScript- Vérifie les règles du groupe de sécurité Amazon EKS du cluster Amazon EKS et du nœud de travail Amazon VPC pour vérifier les règles de sortie recommandées depuis le cluster Amazon EKS.

  • aws:executeScript- Vérifie la configuration réseau ACL des sous-réseaux Amazon VPC.

  • aws:executeScript- Vérifie si les instances Amazon EC2 du nœud de travail disposent des politiques gérées requises.

  • aws:executeScript- Vérifie si les groupes Auto Scaling possèdent les balises nécessaires à l'autoscaling des clusters.

  • aws:executeScript- Vérifie si les instances Amazon EC2 du nœud de travail sont connectées à Internet.

  • aws:executeScript- Génère un rapport basé sur les résultats des étapes précédentes. Si une valeur est spécifiée pour le S3BucketName paramètre, le rapport généré est chargé dans le compartiment Amazon S3.