Pemecahan masalah AWS OpsWorks for Chef Automate

penting

AWS OpsWorks untuk Chef Automate mencapai akhir masa pakai pada 5 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan lama. Kami menyarankan agar pelanggan yang sudah ada bermigrasi ke Chef SaaS atau solusi alternatif. Jika Anda memiliki pertanyaan, Anda dapat menghubungi AWS Support Tim di AWS RE:Post atau melalui AWS Dukungan Premium.

Topik ini berisi beberapa AWS OpsWorks for Chef Automate masalah umum, dan solusi yang disarankan untuk masalah tersebut.

Kiat pemecahan masalah umum

Jika Anda tidak dapat membuat atau bekerja dengan server Chef, Anda dapat melihat pesan kesalahan atau log untuk membantu Anda memecahkan masalah. Tugas-tugas berikut menjelaskan tempat umum untuk memulai ketika Anda memecahkan masalah server Chef. Untuk informasi tentang kesalahan dan solusi tertentu, lihat Memecahkan masalah kesalahan tertentu bagian dari topik ini.

• Gunakan AWS OpsWorks for Chef Automate konsol untuk melihat pesan kesalahan jika server Chef gagal memulai. Pada halaman detail server Chef, pesan kesalahan yang terkait dengan peluncuran dan menjalankan server ditampilkan di bagian atas halaman. Kesalahan dapat berasal dari AWS OpsWorks for Chef Automate, AWS CloudFormation, atau Amazon EC2, layanan yang digunakan untuk membuat server Chef. Pada halaman detail, Anda juga dapat melihat peristiwa yang terjadi di server yang sedang berjalan, yang dapat berisi pesan peristiwa kegagalan.

• Untuk membantu mengatasi masalah EC2, sambungkan ke instans server Anda dengan menggunakan SSH, dan lihat log. Log instans EC2 disimpan dalam /var/log/aws/opsworks-cm direktori. Log ini menangkap output perintah saat AWS OpsWorks for Chef Automate meluncurkan server Chef.

Memecahkan masalah kesalahan tertentu

Topik

• Server dalam keadaan koneksi hilang
• Node terkelola muncul di dasbor Chef Automate di kolom Missing
• Tidak dapat membuat lemari besi Chef; knife vault perintah gagal dengan kesalahan
• Pembuatan server gagal dengan pesan “konfigurasi yang diminta saat ini tidak didukung”
• Server Chef tidak mengenali nama organisasi yang ditambahkan di dasbor Chef Automate
• Tidak dapat membuat instans Amazon EC2 server
• Kesalahan peran layanan mencegah pembuatan server
• Batas alamat IP elastis terlampaui
• Tidak dapat masuk ke dasbor Chef Automate
• Asosiasi simpul tanpa pengawasan gagal
• Pemeliharaan sistem gagal

Server dalam keadaan koneksi hilang

Masalah: Status server ditampilkan sebagai Koneksi hilang.

Penyebab: Ini paling sering terjadi ketika entitas di luar AWS OpsWorks membuat perubahan pada AWS OpsWorks for Chef Automate server atau sumber daya pendukungnya. AWS OpsWorks tidak dapat terhubung ke server Chef Automate di status yang hilang Koneksi untuk menangani tugas pemeliharaan seperti membuat cadangan, menerapkan tambalan sistem operasi, atau memperbarui Chef Automate. Akibatnya, server Anda mungkin kehilangan pembaruan penting, rentan terhadap masalah keamanan, atau tidak beroperasi seperti yang diharapkan.

Solusi: Coba langkah-langkah berikut untuk memulihkan koneksi server.

1. Pastikan bahwa peran layanan Anda memiliki semua izin yang diperlukan.

   1. Pada halaman Pengaturan untuk server Anda, di Jaringan dan keamanan, pilih tautan untuk peran layanan yang digunakan server. Ini membuka peran layanan untuk dilihat di konsol IAM.

   2. Pada tab Izin, verifikasi yang AWSOpsWorksCMServiceRole ada di daftar Kebijakan izin. Jika tidak terdaftar, tambahkan kebijakan AWSOpsWorksCMServiceRole terkelola secara manual ke peran.

   3. Pada tab Hubungan kepercayaan, verifikasi bahwa peran layanan memiliki kebijakan kepercayaan yang mempercayai opsworks-cm.amazonaws.com layanan untuk mengambil peran atas nama Anda. Untuk informasi selengkapnya tentang cara menggunakan kebijakan kepercayaan dengan peran, lihat Memodifikasi peran (konsol), atau posting Blog AWS Keamanan, Cara menggunakan kebijakan kepercayaan dengan peran IAM.

2. Pastikan bahwa profil instans Anda memiliki semua izin yang diperlukan.

   1. Pada halaman Pengaturan untuk server Anda, di Jaringan dan keamanan, pilih tautan untuk profil instance yang digunakan server. Ini membuka profil instance untuk dilihat di konsol IAM.

   2. Pada tab Izin, verifikasi itu AmazonEC2RoleforSSM dan keduanya AWSOpsWorksCMInstanceProfileRole ada di daftar Kebijakan izin. Jika salah satu atau keduanya tidak terdaftar, tambahkan kebijakan terkelola ini secara manual ke peran.

   3. Pada tab Hubungan kepercayaan, verifikasi bahwa peran layanan memiliki kebijakan kepercayaan yang mempercayai ec2.amazonaws.com layanan untuk mengambil peran atas nama Anda. Untuk informasi selengkapnya tentang cara menggunakan kebijakan kepercayaan dengan peran, lihat Memodifikasi peran (konsol), atau posting Blog AWS Keamanan, Cara menggunakan kebijakan kepercayaan dengan peran IAM.

3. Di konsol Amazon EC2, pastikan Anda berada di wilayah yang sama dengan wilayah AWS OpsWorks for Chef Automate server, lalu restart instans EC2 yang digunakan server Anda.

   1. Pilih instans EC2 yang bernama aws-opsworks-cm-instance- server-name.

   2. Pada menu status Instance, pilih Reboot instance.

   3. Biarkan hingga 15 menit agar server Anda restart dan sepenuhnya online.

4. Di AWS OpsWorks for Chef Automate konsol, pada halaman detail server, verifikasi bahwa status server sekarang sehat.

Jika status server masih Koneksi hilang setelah melakukan langkah-langkah sebelumnya, coba salah satu dari berikut ini.

• Ganti server dengan membuat yang baru dan menghapus yang asli. Jika data di server saat ini penting bagi Anda, pulihkan server dari cadangan terbaru, dan verifikasi data yang mutakhir sebelum menghapus server asli yang tidak responsif.

• Hubungi AWS dukungan.

Node terkelola muncul di dasbor Chef Automate di kolom Missing

Masalah: Node terkelola muncul di kolom Missing dasbor Chef Automate.

Penyebab: Ketika node tidak terhubung ke server Chef Automate selama lebih dari 12 jam, dan chef-client tidak dapat berjalan di node, node berubah dari statusnya sebelum periode 12 jam, dan pindah ke kolom Hilang dari dasbor Chef Automate.

Solusi: Verifikasi bahwa node sedang online. Coba jalankan knife node show node_name --run-list untuk melihat chef-client apakah dapat berjalan pada node, atau knife node show -l node_name untuk menampilkan semua informasi tentang node. Node mungkin offline atau terputus dari jaringan.

Tidak dapat membuat lemari besi Chef; knife vault perintah gagal dengan kesalahan

Masalah: Anda mencoba membuat vault di server Chef Automate Anda (seperti brankas untuk menyimpan kredensi untuk node berbasis Windows yang bergabung dengan domain) dengan menjalankan perintah. knife vault Perintah mengembalikan pesan kesalahan yang mirip dengan berikut ini.

WARN: Auto inflation of JSON data is deprecated. Please pass in the class to inflate or use #edit_hash (CHEF-1) 
at /opt/chefdk/embedded/lib/ruby/2.3.0/forwardable.rb:189:in `edit_data'.Please see https://docs.chef.io/deprecations_json_auto_inflate.html 
for further details and information on how to correct this problem.
WARNING: pivotal not found in users, trying clients.
ERROR: ChefVault::Exceptions::AdminNotFound: FATAL: Could not find pivotal in users or clients!

Pengguna penting tidak dikembalikan ketika Anda menjalankan knife user list dari jarak jauh, tetapi Anda dapat melihat pengguna penting dalam hasil ketika Anda menjalankan chef-server-ctl user-show perintah secara lokal di server Chef Automate Anda. Dengan kata lain, knife vault perintah Anda tidak dapat menemukan pengguna penting, tetapi Anda tahu itu ada.

Penyebab: Meskipun pengguna penting dianggap sebagai pengguna super di Chef, dan memiliki izin penuh, pengguna tersebut bukan anggota organisasi mana pun, termasuk default organisasi yang digunakan. AWS OpsWorks for Chef Automate Perintah knife user list mengembalikan semua pengguna yang ada di organisasi saat ini dalam konfigurasi Chef Anda. chef-server-ctl user-showPerintah mengembalikan semua pengguna terlepas dari organisasi, termasuk pengguna penting.

Solusi: Untuk memperbaiki masalah, tambahkan pengguna penting ke organisasi default dengan menjalankan. knife opc

Pertama, Anda harus menginstal plugin knife-opc.

chef gem install knife-opc

Setelah Anda menginstal plugin, jalankan perintah berikut untuk menambahkan pengguna penting ke organisasi default.

knife opc org user add default pivotal

Anda dapat memverifikasi bahwa pengguna penting adalah bagian dari organisasi default dengan menjalankan lagi. knife user list pivotalharus tercantum dalam hasil. Kemudian, coba lari knife vault lagi.

Pembuatan server gagal dengan pesan “konfigurasi yang diminta saat ini tidak didukung”

Masalah: Anda mencoba membuat server Chef Automate, tetapi pembuatan server gagal dengan pesan kesalahan yang mirip dengan “Konfigurasi yang diminta saat ini tidak didukung. Silakan periksa dokumentasi untuk konfigurasi yang didukung.”

Penyebab: Jenis instans yang tidak didukung mungkin telah ditentukan untuk server Chef Automate. Jika Anda memilih untuk membuat server Chef Automate di VPC yang memiliki penyewaan non-default, seperti server untuk instance khusus, semua instance di dalam VPC yang ditentukan juga harus memiliki penyewaan khusus atau host. Karena beberapa jenis instance, seperti t2, hanya tersedia dengan penyewaan default, jenis instance server Chef Automate mungkin tidak didukung oleh VPC yang ditentukan, dan pembuatan server gagal.

Solusi: Jika Anda memilih VPC yang memiliki tenancy non-default, gunakan tipe instans m4, yang dapat mendukung penyewaan khusus.

Server Chef tidak mengenali nama organisasi yang ditambahkan di dasbor Chef Automate

Masalah: Anda telah menambahkan nama organisasi Alur Kerja baru di dasbor Chef Automate, atau menetapkan CHEF_AUTOMATE_ORGANIZATION nilai selain "default" dalam skrip asosiasi node tanpa pengawasan, tetapi asosiasi node gagal. AWS OpsWorks for Chef Automate Server Anda tidak mengenali nama organisasi baru.

Penyebab: Nama organisasi alur kerja dan nama organisasi server Chef tidak sama. Anda dapat membuat organisasi Alur Kerja baru di dasbor Chef Automate berbasis web, tetapi bukan nama organisasi server Chef. Anda dapat menggunakan dasbor Chef Automate hanya untuk melihat organisasi server Chef yang ada. Organisasi baru yang Anda buat di dasbor Chef Automate adalah organisasi Workflow, dan tidak dikenali oleh server Chef. Anda tidak dapat membuat nama organisasi baru dengan menentukannya dalam skrip asosiasi simpul. Mengacu pada nama organisasi dalam skrip asosiasi node ketika organisasi belum pertama kali ditambahkan ke server Chef akan menyebabkan asosiasi node gagal.

Solusi: Untuk membuat organisasi baru yang dikenali di server Chef, gunakan knife opc org createperintah, atau jalankan chef-server-ctl org-create.

Tidak dapat membuat instans Amazon EC2 server

Masalah: Pembuatan server gagal dengan pesan kesalahan yang mirip dengan berikut ini: “Sumber daya berikut gagal dibuat: [EC2Instance]. Gagal menerima 1 sinyal sumber daya dalam durasi yang ditentukan.”

Penyebab: Ini kemungkinan besar karena instans EC2 tidak memiliki akses jaringan.

Solusi: Pastikan instans memiliki akses Internet keluar, dan agen AWS layanan dapat mengeluarkan perintah. Pastikan VPC Anda (VPC dengan subnet publik tunggal) mengaktifkan resolusi DNS, dan subnet Anda mengaktifkan pengaturan Auto-assign Public IP.

Kesalahan peran layanan mencegah pembuatan server

Masalah: Pembuatan server gagal dengan pesan kesalahan yang menyatakan, “Tidak diizinkan untuk melakukan sts:AssumeRole.”

Penyebab: Ini dapat terjadi ketika peran layanan yang Anda gunakan tidak memiliki izin yang memadai untuk membuat server baru.

Solusi: Buka AWS OpsWorks for Chef Automate konsol; gunakan konsol untuk menghasilkan peran layanan baru dan peran profil instance. Jika Anda lebih suka menggunakan peran layanan Anda sendiri, lampirkan AWSOpsWorksCMServiceRolekebijakan ke peran tersebut. Verifikasi bahwa opsworks-cm.amazonaws.com terdaftar di antara layanan dalam hubungan Trust peran. Verifikasi bahwa peran layanan yang terkait dengan server Chef memiliki kebijakan AWSOpsWorksCMServiceRoleterkelola yang dilampirkan.

Batas alamat IP elastis terlampaui

Masalah: Pembuatan server gagal dengan pesan kesalahan yang menyatakan, “Sumber daya berikut gagal dibuat: [EIP, EC2Instance]. Pembuatan sumber daya dibatalkan, jumlah maksimum alamat telah tercapai.”

Penyebab: Ini terjadi ketika akun Anda telah menggunakan jumlah maksimum alamat Elastic IP (EIP). Batas alamat EIP default adalah lima.

Solusi: Anda dapat merilis alamat EIP yang ada atau menghapus alamat yang tidak digunakan secara aktif oleh akun Anda, atau Anda dapat menghubungi AWS Customer Support untuk meningkatkan batas alamat EIP yang terkait dengan akun Anda.

Tidak dapat masuk ke dasbor Chef Automate

Masalah: Dasbor Chef Automate menunjukkan kesalahan yang mirip dengan berikut ini: “Permintaan Lintas Asal Diblokir: Kebijakan Asal yang Sama melarang membaca sumber daya jarak jauh di https://myserver-name.region.opsworks-cm.io/api/v0/e/default/verify-token. (Alasan: Header CORS 'Access-Control-Allow-Origin' hilang)”. Kesalahan juga bisa mirip dengan “Kombinasi User Id/Password yang dimasukkan tidak benar.”

Penyebab: Eksplisit dasbor Chef Automate menetapkan FQDN, dan tidak menerima URL relatif. Saat ini, Anda tidak dapat masuk dengan menggunakan alamat IP server Chef; Anda hanya dapat masuk dengan menggunakan nama DNS server.

Solusi: Masuk ke dasbor Chef Automate hanya dengan menggunakan entri nama DNS server Chef, bukan alamat IP-nya. Anda juga dapat mencoba mengatur ulang kredensyal dasbor Chef Automate dengan menjalankan AWS CLI perintah, seperti yang dijelaskan dalam. Atur Ulang Kredensi Dasbor Otomatis Chef

Asosiasi simpul tanpa pengawasan gagal

Masalah: Asosiasi node Amazon EC2 yang tidak dijaga, atau otomatis, gagal. Node yang seharusnya ditambahkan ke server Chef tidak muncul di dasbor Chef Automate, dan tidak tercantum dalam hasil knife node show perintah knife client show atau.

Penyebab: Hal ini dapat terjadi ketika Anda tidak memiliki peran IAM yang disiapkan sebagai profil instans yang memungkinkan panggilan opsworks-cm API untuk berkomunikasi dengan instans EC2 baru.

Solusi: Lampirkan kebijakan ke profil instans EC2 Anda yang memungkinkan panggilan DescribeNodeAssociationStatus API AssociateNode dan bekerja dengan EC2, seperti yang dijelaskan dalam. Tambahkan node secara otomatis di AWS OpsWorks for Chef Automate

Pemeliharaan sistem gagal

AWS OpsWorks CM melakukan pemeliharaan sistem mingguan untuk memastikan bahwa versi minor terbaru dari Chef Server dan Chef Automate Server, termasuk pembaruan keamanan, selalu berjalan di server AWS OpsWorks untuk Chef Automate. Jika, karena alasan apa pun, pemeliharaan sistem gagal, AWS OpsWorks CM memberi tahu Anda tentang kegagalan tersebut. Untuk informasi selengkapnya tentang pemeliharaan sistem, lihatPemeliharaan Sistem di AWS OpsWorks for Chef Automate.

Bagian ini menjelaskan kemungkinan alasan kegagalan dan menyarankan solusi.

Topik

• Peran layanan atau kesalahan profil instance mencegah pemeliharaan sistem

Peran layanan atau kesalahan profil instance mencegah pemeliharaan sistem

Masalah: Pemeliharaan sistem gagal dengan pesan kesalahan yang menyatakan, “Tidak diizinkan untuk melakukan sts: AssumeRole “, atau pesan kesalahan serupa tentang izin.

Penyebab: Ini dapat terjadi ketika peran layanan atau profil instance yang Anda gunakan tidak memiliki izin yang memadai untuk melakukan pemeliharaan sistem di server.

Solusi: Pastikan bahwa peran layanan dan profil instans Anda memiliki semua izin yang diperlukan.

1. Pastikan bahwa peran layanan Anda memiliki semua izin yang diperlukan.

   1. Pada halaman Pengaturan untuk server Anda, di Jaringan dan keamanan, pilih tautan untuk peran layanan yang digunakan server. Ini membuka peran layanan untuk dilihat di konsol IAM.

   2. Pada tab Izin, verifikasi yang AWSOpsWorksCMServiceRole dilampirkan ke peran layanan. Jika AWSOpsWorksCMServiceRole tidak terdaftar, tambahkan kebijakan ini ke peran.

   3. Verifikasi bahwa opsworks-cm.amazonaws.com terdaftar di antara layanan dalam hubungan Trust peran. Untuk informasi selengkapnya tentang cara menggunakan kebijakan kepercayaan dengan peran, lihat Memodifikasi peran (konsol), atau posting Blog AWS Keamanan, Cara menggunakan kebijakan kepercayaan dengan peran IAM.

2. Pastikan bahwa profil instans Anda memiliki semua izin yang diperlukan.

   1. Pada halaman Pengaturan untuk server Anda, di Jaringan dan keamanan, pilih tautan untuk profil instance yang digunakan server. Ini membuka profil instance untuk dilihat di konsol IAM.

   2. Pada tab Izin, verifikasi itu AmazonEC2RoleforSSM dan keduanya AWSOpsWorksCMInstanceProfileRole ada di daftar Kebijakan izin. Jika salah satu atau keduanya tidak terdaftar, tambahkan kebijakan terkelola ini secara manual ke peran.

   3. Pada tab Hubungan kepercayaan, verifikasi bahwa peran layanan memiliki kebijakan kepercayaan yang mempercayai ec2.amazonaws.com layanan untuk mengambil peran atas nama Anda. Untuk informasi selengkapnya tentang cara menggunakan kebijakan kepercayaan dengan peran, lihat Memodifikasi peran (konsol), atau posting Blog AWS Keamanan, Cara menggunakan kebijakan kepercayaan dengan peran IAM.

Bantuan dan dukungan tambahan

Jika Anda tidak melihat masalah spesifik Anda yang dijelaskan dalam topik ini, atau Anda telah mencoba saran dalam topik ini dan masih mengalami masalah, kunjungi AWS OpsWorks forum.

Anda juga dapat mengunjungi AWS Support Center. AWS Support Center adalah hub untuk membuat dan mengelola kasus AWS Support. AWS Support Center juga menyertakan tautan ke sumber daya bermanfaat lainnya, seperti forum, FAQ teknis, status kesehatan layanan, dan. AWS Trusted Advisor