AWSPremiumSupport-TroubleshootEKSCluster

Description

Le AWSPremiumSupport-TroubleshootEKSCluster runbook diagnostique les problèmes courants liés à un cluster Amazon Elastic Kubernetes Service (Amazon EKS) et à l'infrastructure sous-jacente, et propose des mesures correctives recommandées.

Important

L'accès aux AWSPremiumSupport-* runbooks nécessite un abonnement Enterprise ou Business Support. Pour plus d'informations, voir Comparer les plans de AWS support.

Si vous spécifiez une valeur pour le S3BucketName paramètre, l'automatisation évalue l'état de la politique du bucket Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Pour renforcer la sécurité des journaux collectés depuis votre EC2 instance, si le statut de la politique isPublic est défini surtrue, ou si la liste de contrôle d'accès (ACL) accorde des READ|WRITE autorisations au groupe prédéfini All Users Amazon S3, les journaux ne sont pas chargés. Pour plus d'informations sur les groupes prédéfinis Amazon S3, consultez les groupes prédéfinis Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Linux, macOS, Windows

Paramètres

• AutomationAssumeRole

  Type : String

  Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

• ClusterName

  Type : String

  Description : (Obligatoire) Nom du cluster Amazon EKS que vous souhaitez dépanner.

• S3 BucketName

  Type : String

  Description : (Obligatoire) Le nom du compartiment privé Amazon S3 dans lequel le rapport généré par le runbook doit être chargé.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

• ssm:StartAutomationExecution

• ssm:GetAutomationExecution

• ec2:DescribeInstances

• ec2:DescribeInstanceTypes

• ec2:DescribeSubnets

• ec2:DescribeSecurityGroups

• ec2:DescribeRouteTables

• ec2:DescribeNatGateways

• ec2:DescribeVpcs

• ec2:DescribeNetworkAcls

• iam:GetInstanceProfile

• iam:ListInstanceProfiles

• iam:ListAttachedRolePolicies

• eks:DescribeCluster

• eks:ListNodegroups

• eks:DescribeNodegroup

• autoscaling:DescribeAutoScalingGroups

En outre, la politique AWS Identity and Access Management (IAM) attachée à l'utilisateur ou au rôle qui lance l'automatisation doit autoriser le ssm:GetParameter fonctionnement selon les AWS Systems Manager paramètres publics suivants pour obtenir le dernier Amazon EKS recommandé Amazon Machine Image (AMI) pour les nœuds de travail.

• arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id

• arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id

• arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id

• arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id

• arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id

Pour télécharger le rapport généré par le runbook dans un compartiment Amazon S3, les autorisations suivantes sont requises pour le compartiment Amazon S3 que vous spécifiez.

• s3:GetBucketPolicyStatus

• s3:GetBucketAcl

• s3:PutObject

Étapes de document

• aws:executeAwsApi- Rassemble les informations relatives au cluster Amazon EKS spécifié.

• aws:executeScript- Recueille des informations sur les instances Amazon Elastic Compute Cloud (Amazon EC2), les groupes Auto Scaling, AMIs et types d'instances graphiques Amazon EC2 GPU.

• aws:executeScript- Recueille des informations sur le cloud privé virtuel (VPC), les sous-réseaux, les passerelles de traduction d'adresses réseau (NAT), les itinéraires de sous-réseau, les groupes de sécurité et les listes de contrôle d'accès réseau (ACLs) du cluster Amazon EKS.

• aws:executeScript- Rassemble les détails des profils d'instance IAM attachés et des politiques de rôle.

• aws:executeScript- Rassemble les détails du compartiment Amazon S3 que vous spécifiez dans le S3BucketName paramètre.

• aws:executeScript- Classifie les sous-réseaux Amazon VPC comme publics ou privés.

• aws:executeScript- Vérifie les sous-réseaux Amazon VPC pour détecter les balises requises dans le cadre d'un cluster Amazon EKS.

• aws:executeScript- Vérifie dans les sous-réseaux Amazon VPC les balises requises pour les sous-réseaux Elastic Load Balancing.

• aws:executeScript- Vérifie si les EC2 instances Amazon du nœud de travail utilisent la dernière version optimisée d'Amazon EKS AMIs

• aws:executeScript- Vérifie si les groupes de sécurité Amazon VPC attachés aux nœuds de travail contiennent les balises requises.

• aws:executeScript- Vérifie que les règles du groupe de sécurité Amazon VPC du cluster Amazon EKS et du nœud de travail sont conformes aux règles d'entrée recommandées dans le cluster Amazon EKS.

• aws:executeScript- Vérifie les règles du groupe de sécurité Amazon EKS du cluster Amazon EKS et du nœud de travail Amazon VPC pour vérifier les règles de sortie recommandées depuis le cluster Amazon EKS.

• aws:executeScript- Vérifie la configuration réseau ACL des sous-réseaux Amazon VPC.

• aws:executeScript- Vérifie si les EC2 instances Amazon du nœud de travail disposent des politiques gérées requises.

• aws:executeScript- Vérifie si les groupes Auto Scaling possèdent les balises nécessaires à l'autoscaling des clusters.

• aws:executeScript- Vérifie si les EC2 instances Amazon du nœud de travail sont connectées à Internet.

• aws:executeScript- Génère un rapport basé sur les résultats des étapes précédentes. Si une valeur est spécifiée pour le S3BucketName paramètre, le rapport généré est chargé dans le compartiment Amazon S3.