기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWSPremiumSupport-TroubleshootEKSCluster
설명
이 AWSPremiumSupport-TroubleshootEKSCluster 런북은 기본 인프라인 Amazon Elastic Kubernetes Service EKS (Amazon) 클러스터와 관련된 일반적인 문제를 진단하고 권장 해결 단계를 제공합니다.
중요
AWSPremiumSupport-* 실행서에 액세스하려면 Enterprise 또는 Business Support Subscription이 필요합니다. 자세한 내용은 AWS Support 플랜 비교를
S3BucketName 파라미터에 대한 값을 지정하는 경우, 지정하는 Amazon Simple Storage Service(Amazon S3) 버킷의 정책 상태를 자동화에서 평가합니다. EC2인스턴스에서 수집한 로그의 보안을 위해 정책 상태가 isPublic 로 설정되거나 액세스 제어 목록 (ACL) 이 All Users Amazon S3 사전 정의 그룹에 READ|WRITE 권한을 부여하는 경우 로그는 업로드되지 않습니다. true Amazon S3의 미리 정의된 그룹에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서에서 Amazon S3의 미리 정의된 그룹을 참조하세요.
문서 유형
자동화
소유자
Amazon
플랫폼
Linux, macOS, Windows
Parameters
-
AutomationAssumeRole
유형: 문자열
설명: (선택 사항) Systems Manager Automation이 사용자를 대신하여 작업을 수행할 수 있도록 하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름 (). ARN 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.
-
ClusterName
유형: 문자열
설명: (필수) 문제를 해결하려는 Amazon EKS 클러스터의 이름입니다.
-
S3 BucketName
유형: 문자열
설명: (선택 사항) 실행서에서 생성한 보고서를 업로드해야 하는 프라이빗 Amazon S3 버킷의 이름입니다.
필수 IAM 권한
실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
ec2:DescribeInstances -
ec2:DescribeInstanceTypes -
ec2:DescribeSubnets -
ec2:DescribeSecurityGroups -
ec2:DescribeRouteTables -
ec2:DescribeNatGateways -
ec2:DescribeVpcs -
ec2:DescribeNetworkAcls -
iam:GetInstanceProfile -
iam:ListInstanceProfiles -
iam:ListAttachedRolePolicies -
eks:DescribeCluster -
eks:ListNodegroups -
eks:DescribeNodegroup -
autoscaling:DescribeAutoScalingGroups
또한 자동화를 시작하는 사용자 또는 역할에 연결된 AWS Identity and Access Management (IAM) 정책은 작업자 노드에 대한 최신 권장 Amazon EKS Amazon Machine Image (AMI) 을 가져오기 위해 다음 공개 AWS Systems Manager 매개변수에 대한 ssm:GetParameter 작업을 허용해야 합니다.
-
arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id -
arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id -
arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id -
arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id -
arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id
실행서에서 생성된 보고서를 Amazon S3 버킷에 업로드하려면 지정된 Amazon S3 버킷에 대해 다음과 같은 권한이 필요합니다.
-
s3:GetBucketPolicyStatus -
s3:GetBucketAcl -
s3:PutObject
문서 단계
-
aws:executeAwsApi- 지정된 Amazon EKS 클러스터의 세부 정보를 수집합니다. -
aws:executeScript- Amazon Elastic Compute Cloud (AmazonEC2) 인스턴스, Auto AMI Scaling 그룹, Amazon EC2 GPU 그래픽 인스턴스 유형에 대한 세부 정보를 수집합니다. -
aws:executeScript- Amazon 클러스터의 가상 사설 클라우드 (VPC), 서브넷, 네트워크 주소 변환 (NAT) 게이트웨이, 서브넷 경로, 보안 그룹 및 네트워크 액세스 제어 목록 (ACLs) 에 대한 세부 정보를 수집합니다. EKS -
aws:executeScript- 연결된 IAM 인스턴스 프로필 및 역할 정책의 세부 정보를 수집합니다. -
aws:executeScript-S3BucketName파라미터에서 지정하는 Amazon S3 버킷의 세부 정보를 수집합니다. -
aws:executeScript- Amazon VPC 서브넷을 퍼블릭 또는 프라이빗으로 분류합니다. -
aws:executeScript- Amazon VPC 서브넷에서 Amazon EKS 클러스터의 일부로 필요한 태그를 확인합니다. -
aws:executeScript- Amazon VPC 서브넷에서 Elastic Load Balancing 서브넷에 필요한 태그를 확인합니다. -
aws:executeScript- 작업자 노드 Amazon EC2 인스턴스가 최신 Amazon EKS 최적화 인스턴스를 사용하는지 확인합니다AMI. -
aws:executeScript- Amazon VPC 보안 그룹이 필수 태그에 대해 작업자 노드에 연결되어 있는지 확인합니다. -
aws:executeScript- Amazon EKS 클러스터와 작업자 노드 Amazon VPC 보안 그룹 규칙에서 Amazon EKS 클러스터에 권장되는 수신 규칙을 확인합니다. -
aws:executeScript- Amazon EKS 클러스터 및 작업자 노드 Amazon VPC 보안 그룹 규칙에서 Amazon EKS 클러스터의 권장 송신 규칙을 확인합니다. -
aws:executeScript- Amazon VPC 서브넷의 네트워크 ACL 구성을 확인합니다. -
aws:executeScript- 작업자 노드 Amazon EC2 인스턴스에 필수 관리형 정책이 있는지 확인합니다. -
aws:executeScript- Auto Scaling 그룹에 클러스터 자동 스케일링에 필요한 태그가 있는지 확인합니다. -
aws:executeScript- 워커 노드 Amazon EC2 인스턴스가 인터넷에 연결되어 있는지 확인합니다. -
aws:executeScript- 이전 단계의 출력을 기반으로 보고서를 생성합니다.S3BucketName파라미터에 대해 값이 지정된 경우, 생성된 보고서가 Amazon S3 버킷에 업로드됩니다.
