Aiutaci a migliorare questa pagina
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione dei problemi in Amazon EKS Connector
In questo argomento sono descritti alcuni degli errori più comuni che si possono verificare durante l'utilizzo del connettore Amazon EKS e sono riportate le istruzioni per risolverli in maniera temporanea o definitiva.
Risoluzione dei problemi di base
In questa sezione sono descritti i passaggi per la diagnosi di un problema non chiaro.
Verifica dello stato di Amazon EKS Connector
Controlla lo stato del connettore Amazon EKS.
kubectl get pods -n eks-connector
Ispezione dei log del connettore Amazon EKS
Il Pod del connettore Amazon EKS è composto da tre container. Per recuperare i registri completi per tutti questi container in modo da poterli ispezionare, eseguire i seguenti comandi:
-
connector-init
kubectl logs eks-connector-0 --container connector-init -n eks-connector kubectl logs eks-connector-1 --container connector-init -n eks-connector
-
connector-proxy
kubectl logs eks-connector-0 --container connector-proxy -n eks-connector kubectl logs eks-connector-1 --container connector-proxy -n eks-connector
-
connector-agent
kubectl exec eks-connector-0 --container connector-agent -n eks-connector -- cat /var/log/amazon/ssm/amazon-ssm-agent.log kubectl exec eks-connector-1 --container connector-agent -n eks-connector -- cat /var/log/amazon/ssm/amazon-ssm-agent.log
Ottenimento del nome effettivo del cluster
I cluster Amazon EKS sono identificati in modo univoco da clusterName
all'interno di un singolo account AWS e Regione AWS. Se esistono più cluster connessi in Amazon EKS, puoi verificare con quale cluster di Amazon EKS è registrato il cluster Kubernetes corrente. Per fare ciò, inserisci quanto segue per individuare il clusterName
del cluster corrente.
kubectl exec eks-connector-0 --container connector-agent -n eks-connector \ -- cat /var/log/amazon/ssm/amazon-ssm-agent.log | grep -m1 -oE "eks_c:[a-zA-Z0-9_-]+" | sed -E "s/^.*eks_c:([a-zA-Z0-9_-]+)_[a-zA-Z0-9]+.*$/\1/" kubectl exec eks-connector-1 --container connector-agent -n eks-connector \ -- cat /var/log/amazon/ssm/amazon-ssm-agent.log | grep -m1 -oE "eks_c:[a-zA-Z0-9_-]+" | sed -E "s/^.*eks_c:([a-zA-Z0-9_-]+)_[a-zA-Z0-9]+.*$/\1/"
Comandi vari
I seguenti comandi sono utili per recuperare le informazioni necessarie per risolvere i problemi.
-
Utilizza il seguente comando per raccogliere immagini utilizzate dai Pods in Amazon EKS Connector.
kubectl get pods -n eks-connector -o jsonpath="{.items[*].spec.containers[*].image}" | tr -s '[[:space:]]' '\n'
-
Usa il comando seguente per determinare i nomi dei nodi su cui è in esecuzione il connettore Amazon EKS.
kubectl get pods -n eks-connector -o jsonpath="{.items[*].spec.nodeName}" | tr -s '[[:space:]]' '\n'
-
Per ottenere le versioni client e server Kubernetes esegui il comando riportato.
kubectl version
-
Usa il comando seguente per ottenere informazioni sui tuoi nodi.
kubectl get nodes -o wide --show-labels
Problema di Helm: 403 Forbidden
Se hai riscontrato il seguente errore durante l'esecuzione dei comandi di installazione di helm:
Error: INSTALLATION FAILED: unexpected status from HEAD request to https://public.ecr.aws/v2/eks-connector/eks-connector-chart/manifests/0.0.6: 403 Forbidden
Puoi eseguire la riga seguente per risolvere il problema:
docker logout public.ecr.aws
Errore della console: il cluster è bloccato nello stato Pending (In sospeso)
Se il cluster rimane bloccato nello Pending
stato della console Amazon EKS dopo la registrazione, è possibile che Amazon EKS Connector non abbia AWS ancora collegato correttamente il cluster. Per un cluster registrato, lo stato Pending
implica che la connessione non è stata stabilita correttamente. Per risolvere il problema, assicurati di aver applicato il manifesto al cluster Kubernetes di destinazione. Se l'hai applicato al cluster ma il cluster rimane ancora nello stato Pending
, lo statefulset eks-connector
potrebbe non essere integro. Per risolvere questo problema, consulta I Pods di Amazon EKS Connector stanno eseguendo un ciclo di arresto anomalo in questo argomento.
Errore della console: User
“system:serviceaccount:eks-connector:eks-connector” can't impersonate resource
“users” in API group “”
in ambito cluster
Il connettore Amazon EKS utilizza la rappresentazione dell'utenteeks-connector
servizio deve essere concessa l'autorizzazione a impersonare l'Kubernetesutente corrispondente con un ARN IAM come nome utente. Kubernetes Negli esempi seguenti, l'ARN IAM viene mappato a un utente Kubernetes.
-
L'utente IAM
dall' AWS accountjohn
viene mappato su un utente. Kubernetes Le best practice IAM consigliano di concedere le autorizzazioni ai ruoli anziché agli utenti.111122223333
arn:aws:iam::
111122223333
:user/john
-
Il ruolo IAM
proveniente dall' AWS accountadmin
è mappato a un Kubernetes utente:111122223333
arn:aws:iam::
111122223333
:role/admin
Il risultato è un ARN del ruolo IAM, anziché l'ARN della sessione AWS STS .
Per le istruzioni per configurare ClusterRole
e ClusterRoleBinding
per concedere il privilegio dell'account di servizio eks-connector
per impersonare l'utente mappato, consulta Concessione dell'accesso a un principale IAM per la visualizzazione delle risorse Kubernetes in un cluster. Accertati che nel modello %IAM_ARN%
sia sostituito con l'ARN IAM del principale IAM della AWS Management Console .
Errore della console: [...] is forbidden: User [...] cannot list
resource “[...] in API group”
in ambito cluster
Consideriamo il seguente problema. Amazon EKS Connector ha impersonato con successo il principale AWS Management Console IAM richiedente nel cluster di destinazione. Kubernetes Tuttavia, il principale impersonato non dispone dell'autorizzazione RBAC per le operazioni API di Kubernetes.
Per risolvere questo problema, esistono due metodi per concedere le autorizzazioni ad altri utenti. Se in precedenza hai installato eks-connector tramite un grafico Helm, puoi concedere facilmente l'accesso agli utenti eseguendo il seguente comando. Sostituisci i valori userARN1
e userARN2
con un elenco degli ARN dei ruoli IAM a cui consentire l'accesso per visualizzare le risorse Kubernetes:
helm upgrade eks-connector oci://public.ecr.aws/eks-connector/eks-connector-chart \ --reuse-values \ --set 'authentication.allowedUserARNs={userARN1,userARN2}'
In alternativa, in qualità di amministratore del cluster, concedi il livello appropriato di privilegi RBAC ai singoli utenti Kubernetes. Per maggiori informazioni ed esempi, consulta Concessione dell'accesso a un principale IAM per la visualizzazione delle risorse Kubernetes in un cluster.
Errore della console: Amazon EKS non è in grado di comunicare con il server API del cluster Kubernetes. Per una connessione corretta, il cluster deve trovarsi nello stato ACTIVE (ATTIVO). Riprova tra qualche minuto.
Se il servizio Amazon EKS non può comunicare con il connettore Amazon EKS nel cluster di destinazione, il motivo potrebbe essere uno dei seguenti:
-
Il connettore Amazon EKS nel cluster di destinazione non è integro.
-
Connettività scadente o connessione interrotta tra il cluster di destinazione e la Regione AWS.
Per risolvere questo problema, controlla Amazon EKS Connector logs (Log del connettore Amazon EKS). Se non visualizzi un errore per il connettore Amazon EKS, ritenta la connessione dopo qualche minuto. Se riscontri regolarmente una connettività ad alta latenza o intermittente per il cluster di destinazione, prendi in considerazione la possibilità di registrare nuovamente il cluster su uno più vicino a te. Regione AWS
I Pods di Amazon EKS Connector stanno eseguendo un ciclo di arresto anomalo
Esistono molti motivi che possono causare il passaggio di un Pod del connettore Amazon EKS nello stato CrashLoopBackOff
. Questo problema riguarda probabilmente il container connector-init
. Controlla lo stato Pod del connettore Amazon EKS.
kubectl get pods -n eks-connector
Di seguito viene riportato un output di esempio:
NAME READY STATUS RESTARTS AGE
eks-connector-0 0/2 Init:CrashLoopBackOff 1 7s
Se l'output è simile a quello precedente, consulta la pagina Ispezione dei log del connettore Amazon EKS per risolvere il problema.
Failed to initiate eks-connector:
InvalidActivation
Quando avvii il connettore Amazon EKS per la prima volta, il connettore registra un activationId
e un activationCode
con Amazon Web Services. La registrazione potrebbe non riuscire, causando un arresto anomalo del container connector-init
con un errore simile al seguente.
F1116 20:30:47.261469 1 init.go:43] failed to initiate eks-connector: InvalidActivation:
Per risolvere questo problema, prendere in considerazione le seguenti cause e le correzioni consigliate:
-
La registrazione potrebbe non essere riuscita perché nel file manifesto mancano
activationId
eactivationCode
. In questo caso, accertati che siano i valori corretti restituiti dall'operazione APIRegisterCluster
e cheactivationCode
sia presente nel file manifesto.activationCode
viene aggiunto ai segreti Kubernetes, per cui deve essere codificato inbase64
. Per ulteriori informazioni, consulta Fase 1: Registrazione del cluster. -
La registrazione potrebbe non essere riuscita perché l'attivazione è scaduta. Ciò accade perché, per motivi di sicurezza, devi attivare il connettore Amazon EKS entro tre giorni dalla registrazione del cluster. Per risolvere questo problema, accertati che il manifesto del connettore Amazon EKS sia applicato al cluster Kubernetes di destinazione prima della data e ora di scadenza. Per verificare la data di scadenza dell'attivazione, richiama l'operazione API
DescribeCluster
.aws eks describe-cluster --name
my-cluster
Nella risposta di esempio seguente, la data e l'ora di scadenza vengono registrate come
2021-11-12T22:28:51.101000-08:00
.{ "cluster": { "name": "
my-cluster
", "arn": "arn:aws:eks:region
:111122223333
:cluster/my-cluster
", "createdAt": "2021-11-09T22:28:51.449000-08:00", "status": "FAILED", "tags": { }, "connectorConfig": { "activationId": "00000000-0000-0000-0000-000000000000", "activationExpiry": "2021-11-12T22:28:51.101000-08:00", "provider": "OTHER", "roleArn": "arn:aws:iam::111122223333
:role/my-connector-role
" } } }Se
activationExpiry
è passato, annulla la registrazione del cluster e registralo di nuovo. In questo modo si genera una nuova attivazione.
Nel nodo del cluster manca la connettività in uscita
Per il corretto funzionamento, il connettore Amazon EKS richiede la connettività in uscita a diversi endpoint AWS . Non è possibile connettere un cluster privato senza connettività in uscita a una Regione AWS di destinazione. Per risolvere il problema, è necessario aggiungere la connettività in uscita necessaria. Per informazioni sui requisiti del connettore, consultare Considerazioni su Amazon EKS Connector.
I Pods del connettore Amazon EKS sono in stato ImagePullBackOff
Se esegui il comando get pods
e i Pods sono in stato ImagePullBackOff
, non possono funzionare correttamente. Se i Pods del connettore Amazon EKS sono in stato ImagePullBackOff
, non possono funzionare correttamente. Controlla lo stato dei Pods del connettore Amazon EKS.
kubectl get pods -n eks-connector
Di seguito viene riportato un output di esempio:
NAME READY STATUS RESTARTS AGE
eks-connector-0 0/2 Init:ImagePullBackOff 0 4s
Il file manifesto predefinito del connettore Amazon EKS fa riferimento alle immagini di Amazon ECR Public Gallery