AWSPremiumSupport-TroubleshootEKSCluster - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSPremiumSupport-TroubleshootEKSCluster

Deskripsi

AWSPremiumSupport-TroubleshootEKSClusterRunbook mendiagnosis masalah umum dengan klaster Amazon Elastic Kubernetes Service EKS (Amazon), infrastruktur dasar, dan menyediakan langkah-langkah remediasi yang direkomendasikan.

penting

Akses ke AWSPremiumSupport-* runbook memerlukan Langganan Enterprise atau Business Support. Untuk informasi selengkapnya, lihat Bandingkan Paket AWS Dukungan.

Jika Anda menentukan nilai untuk S3BucketName parameter, otomatisasi akan mengevaluasi status kebijakan bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) yang Anda tentukan. Untuk membantu keamanan log yang dikumpulkan dari EC2 instance Anda, jika status kebijakan isPublic disetel ketrue, atau jika access control list (ACL) memberikan READ|WRITE izin ke grup Amazon All Users S3 yang telah ditentukan sebelumnya, log tidak akan diunggah. Untuk informasi selengkapnya tentang grup Amazon S3 yang telah ditentukan sebelumnya, lihat grup Amazon S3 yang telah ditentukan sebelumnya di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux,macOS, Windows

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • ClusterName

    Tipe: String

    Deskripsi: (Wajib) Nama EKS klaster Amazon yang ingin Anda pecahkan masalah.

  • S3 BucketName

    Tipe: String

    Deskripsi: (Opsional) Nama bucket Amazon S3 pribadi tempat laporan yang dihasilkan oleh runbook harus diunggah.

IAMIzin yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypes

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkAcls

  • iam:GetInstanceProfile

  • iam:ListInstanceProfiles

  • iam:ListAttachedRolePolicies

  • eks:DescribeCluster

  • eks:ListNodegroups

  • eks:DescribeNodegroup

  • autoscaling:DescribeAutoScalingGroups

Selain itu, kebijakan AWS Identity and Access Management (IAM) yang dilampirkan pada pengguna atau peran yang memulai otomatisasi harus mengizinkan ssm:GetParameter operasi ke AWS Systems Manager parameter publik berikut untuk mendapatkan Amazon EKS Amazon Machine Image (AMI) terbaru yang direkomendasikan untuk node pekerja.

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id

Untuk mengunggah laporan yang dihasilkan oleh runbook ke bucket Amazon S3, izin berikut diperlukan untuk bucket Amazon S3 tertentu yang Anda tentukan.

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:PutObject

Langkah Dokumen

  • aws:executeAwsApi- Mengumpulkan detail untuk EKS cluster Amazon yang ditentukan.

  • aws:executeScript- Mengumpulkan detail instans Amazon Elastic Compute Cloud EC2 (Amazon), grup Auto ScalingAMI, s, dan jenis instans grafis Amazon. EC2 GPU

  • aws:executeScript- Mengumpulkan rincian virtual private cloud (VPC), subnet, gateway terjemahan alamat jaringan (NAT), rute subnet, grup keamanan, dan daftar kontrol akses jaringan () ACLs dari cluster Amazon. EKS

  • aws:executeScript- Mengumpulkan rincian profil IAM instance terlampir dan kebijakan peran.

  • aws:executeScript- Mengumpulkan detail bucket Amazon S3 yang Anda tentukan dalam S3BucketName parameter.

  • aws:executeScript- Mengklasifikasikan VPC subnet Amazon sebagai publik atau pribadi.

  • aws:executeScript- Memeriksa VPC subnet Amazon untuk tag yang diperlukan sebagai bagian dari EKS cluster Amazon.

  • aws:executeScript- Memeriksa VPC subnet Amazon untuk tag yang diperlukan untuk subnet Elastic Load Balancing.

  • aws:executeScript- Memeriksa apakah EC2 instance Amazon node pekerja menggunakan Amazon terbaru yang EKS dioptimalkan AMI

  • aws:executeScript- Memeriksa apakah grup VPC keamanan Amazon dilampirkan ke node pekerja untuk tag yang diperlukan.

  • aws:executeScript- Memeriksa aturan grup VPC keamanan Amazon EKS cluster dan node pekerja Amazon untuk aturan masuk yang direkomendasikan ke EKS klaster Amazon.

  • aws:executeScript- Memeriksa aturan grup VPC keamanan Amazon EKS cluster dan node pekerja Amazon untuk aturan keluar yang direkomendasikan dari klaster AmazonEKS.

  • aws:executeScript- Memeriksa ACL konfigurasi jaringan VPC subnet Amazon.

  • aws:executeScript- Memeriksa apakah EC2 instance Amazon node pekerja memiliki kebijakan terkelola yang diperlukan.

  • aws:executeScript- Memeriksa apakah grup Auto Scaling memiliki tag yang diperlukan untuk penskalaan otomatis cluster.

  • aws:executeScript- Memeriksa apakah EC2 instance Amazon node pekerja terhubung ke internet.

  • aws:executeScript- Menghasilkan laporan berdasarkan output dari langkah sebelumnya. Jika nilai ditentukan untuk S3BucketName parameter, laporan yang dihasilkan akan diunggah ke bucket Amazon S3.