AWSSupport-TroubleshootEbsCsiDriversForEks

Description

Le AWSSupport-TroubleshootEbsCsiDriversForEks runbook permet de résoudre les problèmes liés aux montages en volume Amazon Elastic Block Store dans Amazon Elastic Kubernetes Service (Amazon EKS) et les problèmes de pilote Amazon EBS Container Storage Interface (CSI)

Important

Actuellement, le pilote Amazon EBS CSI en cours d'exécution n' AWS Fargate est pas pris en charge.

Comment fonctionne-t-il ?

Le runbook AWSSupport-TroubleshootEbsCsiDriversForEks exécute les étapes de haut niveau suivantes :

• Vérifie si le cluster Amazon EKS cible existe et est en état actif.

• Déploie les ressources d'authentification nécessaires pour effectuer des appels d'API Kubernetes selon que l'addon est géré par Amazon EKS ou autogéré.

• Effectue des tests de santé et des diagnostics du contrôleur Amazon EBS CSI.

• Exécute des contrôles d'autorisations IAM sur les rôles de nœud et les rôles de compte de service.

• Diagnostique les problèmes persistants de création de volumes pour le pod d'application spécifié.

• Vérifie node-to-pod la planification et examine les événements du pod.

• Collecte les journaux Kubernetes et les journaux d'applications pertinents, puis les télécharge dans le compartiment Amazon S3 spécifié.

• Effectue des contrôles de santé des nœuds et vérifie la connectivité avec les points de EC2 terminaison Amazon.

• Vérifie les fixations des périphériques à blocs de volume persistants et l'état de montage.

• Nettoie l'infrastructure d'authentification créée lors du dépannage.

• Génère un rapport de dépannage complet combinant tous les résultats de diagnostic.

Note

• Le mode d'authentification du cluster Amazon EKS doit être défini sur API ouAPI_AND_CONFIG_MAP. Nous vous recommandons d'utiliser l'entrée Amazon EKS Access. Le runbook nécessite des autorisations de contrôle d'accès basé sur les rôles (RBAC) Kubernetes pour effectuer les appels d'API nécessaires.

• Si vous ne spécifiez pas de rôle IAM pour la fonction Lambda LambdaRoleArn (paramètre), l'automatisation crée un rôle Automation-K8sProxy-Role-<ExecutionId> nommé dans votre compte. Ce rôle inclut les politiques gérées AWSLambdaBasicExecutionRole etAWSLambdaVPCAccessExecutionRole.

• Certaines étapes de diagnostic nécessitent que les nœuds de travail Amazon EKS soient des instances gérées par Systems Manager. Si les nœuds ne sont pas des instances gérées par Systems Manager, les étapes nécessitant un accès à Systems Manager sont ignorées, mais les autres vérifications se poursuivent.

• L'automatisation inclut une étape de nettoyage qui supprime les ressources de l'infrastructure d'authentification. Cette étape de nettoyage s'exécute même en cas d'échec des étapes précédentes, ce qui permet d'éviter que des ressources orphelines ne se retrouvent dans votre AWS compte.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

/

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

• ec2:DescribeIamInstanceProfileAssociations

• ec2:DescribeInstanceStatus

• ec2:GetEbsEncryptionByDefault

• eks:DescribeAddon

• eks:DescribeAddonVersions

• eks:DescribeCluster

• iam:GetInstanceProfile

• iam:GetOpenIDConnectProvider

• iam:GetRole

• iam:ListOpenIDConnectProviders

• iam:SimulatePrincipalPolicy

• s3:GetBucketLocation

• s3:GetBucketPolicyStatus

• s3:GetBucketPublicAccessBlock

• s3:GetBucketVersioning

• s3:ListBucket

• s3:ListBucketVersions

• ssm:DescribeInstanceInformation

• ssm:GetAutomationExecution

• ssm:GetDocument

• ssm:ListCommandInvocations

• ssm:ListCommands

• ssm:SendCommand

• ssm:StartAutomationExecution

Instructions

Pour configurer l'automatisation, procédez comme suit :

1. Créez un rôle d'automatisation SSM TroubleshootEbsCsiDriversForEks-SSM-Role dans votre compte. Vérifiez que la relation d'approbation contient la politique suivante.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }

2. Associez la politique ci-dessous au rôle IAM pour accorder les autorisations requises pour effectuer les actions spécifiées sur les ressources spécifiées.

   • Si vous prévoyez de télécharger les journaux d'exécution et de ressources dans le compartiment Amazon S3 situé dans AWS la même région, remplacez-les par arn:{partition}:s3:::BUCKET_NAME/* le vôtre dansOptionalRestrictPutObjects.

     • Le compartiment Amazon S3 doit pointer vers le bon compartiment Amazon S3 si vous le sélectionnez S3BucketName dans l'exécution du SSM.

     • Cette autorisation est facultative si vous ne spécifiez pas S3BucketName

     • Le compartiment Amazon S3 doit être privé et se trouver dans la même AWS région que celle où vous exécutez l'automatisation SSM.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "OptionalRestrictPutObjects",
               "Effect": "Allow",
               "Action": ["s3:PutObject"],
               "Resource": ["arn:{partition}:s3:::BUCKET_NAME/*"]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:DescribeIamInstanceProfileAssociations",
                   "ec2:DescribeInstanceStatus",
                   "ec2:GetEbsEncryptionByDefault",
                   "eks:DescribeAddon",
                   "eks:DescribeAddonVersions",
                   "eks:DescribeCluster",
                   "iam:GetInstanceProfile",
                   "iam:GetOpenIDConnectProvider",
                   "iam:GetRole",
                   "iam:ListOpenIDConnectProviders",
                   "iam:SimulatePrincipalPolicy",
                   "s3:GetBucketLocation",
                   "s3:GetBucketPolicyStatus",
                   "s3:GetBucketPublicAccessBlock",
                   "s3:GetBucketVersioning",
                   "s3:ListBucket",
                   "s3:ListBucketVersions",
                   "ssm:DescribeInstanceInformation",
                   "ssm:GetAutomationExecution",
                   "ssm:GetDocument",
                   "ssm:ListCommandInvocations",
                   "ssm:ListCommands",
                   "ssm:SendCommand",
                   "ssm:StartAutomationExecution"
               ],
               "Resource": "*"
           },
           {
               "Sid": "SetupK8sApiProxyForEKSActions",
               "Effect": "Allow",
               "Action": [
                   "cloudformation:CreateStack",
                   "cloudformation:DeleteStack",
                   "cloudformation:DescribeStacks",
                   "cloudformation:UpdateStack",
                   "ec2:CreateNetworkInterface",
                   "ec2:DeleteNetworkInterface",
                   "ec2:DescribeNetworkInterfaces",
                   "ec2:DescribeRouteTables",
                   "ec2:DescribeSecurityGroups",
                   "ec2:DescribeSubnets",
                   "ec2:DescribeVpcs",
                   "eks:DescribeCluster",
                   "iam:CreateRole",
                   "iam:DeleteRole",
                   "iam:GetRole",
                   "iam:TagRole",
                   "iam:UntagRole",
                   "lambda:CreateFunction",
                   "lambda:DeleteFunction",
                   "lambda:GetFunction",
                   "lambda:InvokeFunction",
                   "lambda:ListTags",
                   "lambda:TagResource",
                   "lambda:UntagResource",
                   "lambda:UpdateFunctionCode",
                   "logs:CreateLogGroup",
                   "logs:CreateLogStream",
                   "logs:DescribeLogGroups",
                   "logs:DescribeLogStreams",
                   "logs:ListTagsForResource",
                   "logs:PutLogEvents",
                   "logs:PutRetentionPolicy",
                   "logs:TagResource",
                   "logs:UntagResource",
                   "ssm:DescribeAutomationExecutions",
                   "tag:GetResources",
                   "tag:TagResources"
               ],
               "Resource": "*"
           },
           {
               "Sid": "PassRoleToAutomation",
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": [
                   "arn:*:iam::*:role/TroubleshootEbsCsiDriversForEks-SSM-Role",
                   "arn:*:iam::*:role/Automation-K8sProxy-Role-*"
               ],
               "Condition": {
                   "StringLikeIfExists": {
                       "iam:PassedToService": [
                           "lambda.amazonaws.com",
                           "ssm.amazonaws.com"
                       ]
                   }
               }
           },
           {
               "Sid": "AttachRolePolicy",
               "Effect": "Allow",
               "Action": [
                   "iam:AttachRolePolicy",
                   "iam:DetachRolePolicy"
               ],
               "Resource": "*",
               "Condition": {
                   "StringLikeIfExists": {
                       "iam:ResourceTag/AWSSupport-SetupK8sApiProxyForEKS": "true"
                   }
               }
           }
       ]
   }

3. Accordez les autorisations requises pour le RBAC (contrôle d'accès basé sur les rôles) du cluster Amazon EKS. L'approche recommandée consiste à créer une entrée d'accès dans votre cluster Amazon EKS.

   Dans la console Amazon EKS, accédez à votre cluster. Pour les entrées d'accès Amazon EKS, vérifiez que votre configuration d'accès est définie sur API_AND_CONFIG_MAP ouAPI. Pour connaître les étapes de configuration du mode d'authentification pour les entrées d'accès, voir Configuration des entrées d'accès.

   Choisissez Créer une entrée d'accès.

   • Pour l'ARN principal IAM, sélectionnez le rôle IAM que vous avez créé pour l'automatisation SSM à l'étape précédente.

   • Pour Type, sélectionnezStandard.

4. Ajoutez une politique d'accès :

   • Pour Étendue d'accès, sélectionnezCluster.

   • Dans Nom de la politique, sélectionnezAmazonEKSAdminViewPolicy.

   Choisissez Add policy (Ajouter la politique).

   Si vous n'utilisez pas d'entrées d'accès pour gérer les autorisations de l'API Kubernetes, vous devez les mettre à jour aws-auth ConfigMap et créer une liaison de rôle entre votre utilisateur ou rôle IAM. Assurez-vous que votre entité IAM dispose des autorisations d'API Kubernetes en lecture seule suivantes :

   • GET /apis/apps/v1/namespaces/{namespace}/deployments/{name}

   • GET /apis/apps/v1/namespaces/{namespace}/replicasets/{name}

   • GET /apis/apps/v1/namespaces/{namespace}/daemonsets/{name}

   • GET /api/v1/nodes/{name}

   • GET /api/v1/namespaces/{namespace}/serviceaccounts/{name}

   • GET /api/v1/namespaces/{namespace}/persistentvolumeclaims/{name}

   • GET /api/v1/persistentvolumes/{name}

   • GET /apis/storage.k8s.io/v1/storageclasses/{name}

   • GET /api/v1/namespaces/{namespace}/pods/{name}

   • GET /api/v1/namespaces/{namespace}/pods

   • GET /api/v1/namespaces/{namespace}/pods/{name}/log

   • GET /api/v1/events

5. Exécuter l'automatisation AWSSupport-TroubleshootEbsCsiDriversForEks (console)

6. Sélectionnez Execute automation (Exécuter l'automatisation).

7. Pour les paramètres d'entrée, entrez ce qui suit :

   • AutomationAssumeRole (Facultatif) :

     • Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à SSM Automation d'effectuer les actions en votre nom. Le rôle doit être ajouté à votre entrée d'accès au cluster Amazon EKS ou à votre autorisation RBAC pour autoriser les appels d'API Kubernetes.

     • Type : AWS::IAM::Role::Arn

     • Exemple : TroubleshootEbsCsiDriversForEks-SSM-Role

   • EksClusterName:

     • Description : nom du cluster Amazon Elastic Kubernetes Service (Amazon EKS) cible.

     • Type : String

   • ApplicationPodName:

     • Description : nom du pod d'application Kubernetes présentant des problèmes avec le pilote Amazon EBS CSI.

     • Type : String

   • ApplicationNamespace:

     • Description : l'espace de noms Kubernetes du pod d'application rencontre des problèmes avec le pilote Amazon EBS CSI.

     • Type : String

   • EbsCsiControllerDeploymentName (Facultatif) :

     • Description : (Facultatif) Nom de déploiement du pod de contrôleur Amazon EBS CSI.

     • Type : String

     • Par défaut : ebs-csi-controller

   • EbsCsiControllerNamespace (Facultatif) :

     • Description : (Facultatif) L'espace de noms Kubernetes pour le pod de contrôleur Amazon EBS CSI.

     • Type : String

     • Par défaut : kube-system

   • S3 BucketName (facultatif) :

     • Description : (Facultatif) Nom du compartiment Amazon S3 cible dans lequel les journaux de dépannage seront chargés.

     • Type : AWS::S3::Bucket::Name

   • LambdaRoleArn (Facultatif) :

     • Description : (Facultatif) L'ARN du rôle IAM qui permet à la AWS Lambda fonction d'accéder aux AWS services et ressources requis.

     • Type : AWS::IAM::Role::Arn

   Sélectionnez Exécuter.

8. Une fois terminé, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.

Références

Systems Manager Automation

• Exécuter cette automatisation (console)

• Exécuter une automatisation

• Configuration d'une automatisation

• Support des flux de travail automatisés

Pour plus d'informations sur Amazon EBS CSI Driver, consultez Amazon EBS CSI Driver.