AWSPremiumSupport-TroubleshootEKSCluster - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSPremiumSupport-TroubleshootEKSCluster

Descrizione

Il AWSPremiumSupport-TroubleshootEKSCluster runbook diagnostica i problemi più comuni relativi a un cluster Amazon Elastic Kubernetes Service EKS (Amazon), all'infrastruttura sottostante e fornisce i passaggi di correzione consigliati.

Importante

L'accesso ai AWSPremiumSupport-* runbook richiede un abbonamento Enterprise o Business Support. Per ulteriori informazioni, consulta Compare AWS Support Plans.

Se specifichi un valore per il S3BucketName parametro, l'automazione valuta lo stato della policy del bucket Amazon Simple Storage Service (Amazon S3) che hai specificato. Per contribuire alla sicurezza dei log raccolti dall'EC2istanza, se lo stato della policy isPublic è impostato su o se l'access control list (ACL) concede READ|WRITE le autorizzazioni al gruppo predefinito di All Users Amazon S3, i log non vengono caricati. true Per ulteriori informazioni sui gruppi predefiniti di Amazon S3, consulta i gruppi predefiniti di Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • ClusterName

    Tipo: stringa

    Descrizione: (Obbligatorio) Il nome del EKS cluster Amazon di cui desideri risolvere i problemi.

  • S3 BucketName

    Tipo: stringa

    Descrizione: (Facoltativo) Il nome del bucket Amazon S3 privato in cui caricare il report generato dal runbook.

Autorizzazioni richieste IAM

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypes

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkAcls

  • iam:GetInstanceProfile

  • iam:ListInstanceProfiles

  • iam:ListAttachedRolePolicies

  • eks:DescribeCluster

  • eks:ListNodegroups

  • eks:DescribeNodegroup

  • autoscaling:DescribeAutoScalingGroups

Inoltre, la policy AWS Identity and Access Management (IAM) allegata all'utente o al ruolo che avvia l'automazione deve consentire il ssm:GetParameter funzionamento con i seguenti AWS Systems Manager parametri pubblici per ottenere l'ultima versione di Amazon EKS Amazon Machine Image (AMI) consigliata per i nodi di lavoro.

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id

Per caricare il report generato dal runbook in un bucket Amazon S3, sono necessarie le seguenti autorizzazioni per il bucket Amazon S3 specificato.

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:PutObject

Fasi del documento

  • aws:executeAwsApi- Raccoglie i dettagli per il EKS cluster Amazon specificato.

  • aws:executeScript- Raccoglie i dettagli delle istanze Amazon Elastic Compute Cloud EC2 (Amazon), dei gruppi di Auto Scaling e dei tipi di istanze AMI grafiche Amazon. EC2 GPU

  • aws:executeScript- Raccoglie i dettagli del cloud privato virtuale (VPC), delle sottoreti, dei gateway di traduzione degli indirizzi di rete (NAT), dei percorsi di sottorete, dei gruppi di sicurezza e delle liste di controllo degli accessi alla rete () ACLs del cluster Amazon. EKS

  • aws:executeScript- Raccoglie i dettagli dei profili delle istanze allegati e delle politiche dei ruoliIAM.

  • aws:executeScript- Raccoglie i dettagli del bucket Amazon S3 specificato nel parametro. S3BucketName

  • aws:executeScript- Classifa le VPC sottoreti Amazon come pubbliche o private.

  • aws:executeScript- Controlla le VPC sottoreti Amazon per i tag necessari come parte di un cluster AmazonEKS.

  • aws:executeScript- Controlla nelle VPC sottoreti Amazon i tag necessari per le sottoreti Elastic Load Balancing.

  • aws:executeScript- Verifica se le istanze Amazon del nodo di lavoro utilizzano EC2 le ultime istanze EKS ottimizzate per AMI Amazon

  • aws:executeScript- Verifica se i gruppi VPC di sicurezza Amazon sono collegati ai nodi di lavoro per i tag richiesti.

  • aws:executeScript- Verifica le regole di ingresso consigliate nel EKS cluster Amazon e nel nodo di lavoro del gruppo di VPC sicurezza Amazon per verificare le regole di ingresso consigliate per il EKS cluster Amazon.

  • aws:executeScript- Verifica le regole del gruppo di VPC sicurezza Amazon del EKS cluster Amazon e del nodo di lavoro per verificare le regole di uscita consigliate dal EKS cluster Amazon.

  • aws:executeScript- Verifica la ACL configurazione di rete delle VPC sottoreti Amazon.

  • aws:executeScript- Verifica se le EC2 istanze Amazon del nodo di lavoro dispongono delle politiche gestite richieste.

  • aws:executeScript- Verifica se i gruppi Auto Scaling dispongono dei tag necessari per la scalabilità automatica del cluster.

  • aws:executeScript- Verifica se le EC2 istanze Amazon del nodo di lavoro sono connesse a Internet.

  • aws:executeScript- Genera un rapporto basato sugli output dei passaggi precedenti. Se viene specificato un valore per il S3BucketName parametro, il report generato viene caricato nel bucket Amazon S3.