AWSSupport-TroubleshootOpenSearchRedYellowCluster - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-TroubleshootOpenSearchRedYellowCluster

Description

AWSSupport-TroubleshootOpenSearchRedYellowClusterLe runbook d'automatisation est utilisé pour identifier la cause de l'état de santé du cluster rouge ou jaune et vous guider dans le retour du cluster au vert.

Comment fonctionne-t-il ?

Le runbook vous AWSSupport-TroubleshootOpenSearchRedYellowCluster aide à résoudre la cause du cluster rouge ou jaune et fournit les étapes suivantes pour résoudre ce problème en analysant la configuration du cluster et l'utilisation des ressources.

Le runbook exécute les étapes suivantes :

  • Appelle DescribeDomainAPIle domaine cible pour obtenir la configuration du cluster.

  • Vérifie si le domaine du OpenSearch service est basé sur Internet (public) ou Amazon Virtual Private Cloud (VPC).

  • Crée une fonction publique ou VPCbasée sur Amazon en AWS Lambda fonction de la configuration du cluster. Remarque : La fonction Lambda contient le code de dépannage qui exécute le OpenSearch service sur APIs le cluster afin de déterminer pourquoi le cluster est en rouge ou en jaune.

  • Supprime la fonction Lambda.

  • Affiche les vérifications effectuées et les prochaines étapes recommandées pour résoudre le problème du cluster rouge ou jaune.

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

IAMAutorisations requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:DescribeStackEvents

  • cloudformation:DeleteStack

  • lambda:CreateFunction

  • lambda:DeleteFunction

  • lambda:InvokeFunction

  • lambda:GetFunction

  • es:DescribeDomain

  • es:DescribeDomainConfig

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkInterfaces

  • ec2:CreateNetworkInterface

  • ec2:DeleteNetworkInterface

  • ec2:DescribeInstances

  • ec2:AttachNetworkInterface

  • cloudwatch:GetMetricData

  • iam:PassRole

Le LambdaExecutionRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook :

  • es:ESHttpGet

  • ec2:CreateNetworkInterface

  • ec2:DescribeNetworkInterfaces

  • ec2:DeleteNetworkInterface

Vue d'ensemble de LambdaExecutionRole la politique :

Voici un exemple du rôle d'exécution (AWS Identity and Access Management (IAM)) d'une fonction Lambda qui accorde à la fonction l'autorisation d'accéder aux AWS services et aux ressources requis par ce runbook. Pour plus d’informations, consultez Rôle d’exécution Lambda.

Note

Les ec2:DescribeNetworkInterfacesec2:CreateNetworkInterface, et ne ec2:DeleteNetworkInterface sont nécessaires que si votre cluster de OpenSearch services est VPCbasé sur Amazon pour permettre à la fonction Lambda de créer et de gérer les interfaces VPC réseau Amazon. Pour plus d'informations, consultez Connecter le réseau sortant aux ressources dans un rôle d'exécution Amazon VPC et Lambda. 


        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "es:ESHttpGet",
                    "Resource": [
                        "arn:<partition>:es:<region>:<account-id>:domain/<domain-name>/",
                        "arn:<partition>:es:<region>:<account-id>:domain/<domain-name>/_cluster/health",
                        "arn:<partition>:es:<region>:<account-id>:domain/<domain-name>/_cat/indices",
                        "arn:<partition>:es:<region>:<account-id>:domain/<domain-name>/_cat/allocation",
                        "arn:<partition>:es:<region>:<account-id>:domain/<domain-name>/_cluster/allocation/explain"
                    ]
                },
                {
                    "Condition": {
                        "ArnLikeIfExists": {
                            "ec2:Vpc": "arn:<partition>:ec2:<region>:<account-id>:vpc/<vpc_id>"
                        }
                    },
                    "Action": [
                        "ec2:DeleteNetworkInterface",
                        "ec2:CreateNetworkInterface",
                        "ec2:DescribeNetworkInterfaces",
                        "ec2:UnassignPrivateIpAddresses",
                        "ec2:AssignPrivateIpAddresses"
                    ],
                    "Resource": "*",
                    "Effect": "Allow"
                }
                
            ]
        }

Instructions

Pour configurer l'automatisation, procédez comme suit :

  1. Accédez au AWSSupport- TroubleshootOpenSearchRedYellowCluster dans la AWS Systems Manager console.

  2. Sélectionnez Execute automation (Exécuter l'automatisation).

  3. Pour les paramètres d'entrée, entrez ce qui suit :

    • AutomationAssumeRole (Facultatif) :

      Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

    • LambdaExecutionRole (Obligatoire) :

      Le ARN IAM rôle que Lambda utilisera pour signer les demandes adressées à votre cluster Amazon OpenSearch Service.

    • DomainName (Obligatoire) :

      Nom du domaine de OpenSearch service dont l'état de santé du cluster est rouge ou jaune.

    • UtilizationThreshold (Facultatif) :

      Le pourcentage du seuil d'utilisation utilisé pour comparer les JVMMemoryPressure métriques CPUUtilization et. La valeur par défaut est 80.

    Input parameters form for AWS Systems Manager Automation with IAM roles and domain settings.

  4. Si vous avez activé le contrôle d'accès détaillé sur un cluster de OpenSearch services, assurez-vous que l'ARN du LambdaExecutionRole rôle est mappé à un rôle disposant d'au moins une autorisation. cluster_monitor

    Cluster permissions section showing cluster_monitor permission granted.
    Backend roles interface showing an AWSIAM role for Lambda execution and options to remove or add roles.

  5. Sélectionnez Exécuter.

  6. L'automatisation démarre.

  7. Le runbook d'automatisation exécute les étapes suivantes :

    • GetClusterConfiguration:

      Récupère la configuration du cluster OpenSearch de services.

    • C reateAWSLambda FunctionStack :

      Crée une fonction Lambda temporaire dans votre compte à l'aide de. AWS CloudFormation La fonction Lambda est utilisée pour exécuter le OpenSearch service. APIs

    • WaitForAWSLambdaFunctionStack:

      Attend que la CloudFormation pile soit terminée.

    • GetClusterMetricsFromCloudWatch:

      Obtient les métriques relatives à Amazon CloudWatch ClusterStatus et au cluster JVMMemoryPressure OpenSearch Service ainsi que leur date de création. CPUUtilization

    • RunOpenSearchAPIs:

      Utilise la fonction Lambda pour appeler le OpenSearch service APIs et analyser les données des métriques du cluster afin de diagnostiquer la cause de l'état rouge ou jaune du cluster.

    • D eleteAWSLambda FunctionStack :

      Supprime la fonction Lambda créée par cette automatisation dans votre compte.

  8. Une fois terminé, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.

    • RootCause:

      Fournit une vue d'ensemble de la cause identifiée pour laquelle l'état de santé du cluster est passé en rouge ou en jaune.

    • IssueDescription:

      Fournit des informations sur les raisons pour lesquelles le cluster est en rouge ou en jaune et explique les étapes possibles pour le ramener à l'état vert.

Références

Systems Manager Automation

AWS documentation de service