AWSPremiumSupport-TroubleshootEKSCluster - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSPremiumSupport-TroubleshootEKSCluster

Descrição

O AWSPremiumSupport-TroubleshootEKSCluster runbook diagnostica problemas comuns com um cluster do Amazon Elastic Kubernetes Service EKS (Amazon), a infraestrutura subjacente e fornece etapas de remediação recomendadas.

Importante

O acesso aos runbooks da AWSPremiumSupport-* requer uma assinatura do Enterprise ou Business Support. Para obter mais informações, consulte Compare AWS Support Plans.

Se especificar um valor para o parâmetro S3BucketName, a automação avaliará o status da política do bucket do Amazon Simple Storage Service (Amazon S3) que você especificar. Para ajudar na segurança dos registros coletados da sua EC2 instância, se o status da política isPublic estiver definido como ou se a true lista de controle de acesso (ACL) conceder READ|WRITE permissões ao grupo predefinido do All Users Amazon S3, os registros não serão carregados. Para obter mais informações sobre grupos predefinidos do Amazon S3, consulte Grupos predefinidos do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: string

    Descrição: (Opcional) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • ClusterName

    Tipo: string

    Descrição: (Obrigatório) O nome do EKS cluster da Amazon que você deseja solucionar.

  • S3 BucketName

    Tipo: string

    Descrição: (opcional) O nome do bucket privado do Amazon S3 em que o relatório gerado pelo runbook deve ser carregado.

IAMPermissões necessárias

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypes

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkAcls

  • iam:GetInstanceProfile

  • iam:ListInstanceProfiles

  • iam:ListAttachedRolePolicies

  • eks:DescribeCluster

  • eks:ListNodegroups

  • eks:DescribeNodegroup

  • autoscaling:DescribeAutoScalingGroups

Além disso, a política AWS Identity and Access Management (IAM) anexada ao usuário ou função que inicia a automação deve permitir a ssm:GetParameter operação com os seguintes AWS Systems Manager parâmetros públicos para obter a última recomendação da Amazon EKS Amazon Machine Image (AMI) para os nós de trabalho.

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id

Para carregar o relatório gerado pelo runbook em um bucket do Amazon S3, as seguintes permissões são necessárias para o bucket do Amazon S3 especificado.

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:PutObject

Etapas do documento

  • aws:executeAwsApi- Reúne detalhes do EKS cluster Amazon especificado.

  • aws:executeScript- Reúne detalhes das instâncias do Amazon Elastic Compute Cloud EC2 (Amazon), grupos AMI de Auto Scaling e tipos de instâncias gráficas da EC2 GPU Amazon.

  • aws:executeScript- Reúne detalhes da nuvem privada virtual (VPC), sub-redes, gateways de tradução de endereços de rede (NAT), rotas de sub-rede, grupos de segurança e listas de controle de acesso à rede () ACLs do cluster da Amazon. EKS

  • aws:executeScript- Reúne detalhes dos perfis de IAM instância anexados e das políticas de função.

  • aws:executeScript :Reúne detalhes do bucket do Amazon S3 especificado no parâmetro S3BucketName.

  • aws:executeScript- Classifica as VPC sub-redes da Amazon como públicas ou privadas.

  • aws:executeScript- Verifica as VPC sub-redes da Amazon em busca de tags que são necessárias como parte de um cluster da AmazonEKS.

  • aws:executeScript- Verifica as VPC sub-redes da Amazon em busca das tags que são necessárias para as sub-redes do Elastic Load Balancing.

  • aws:executeScript- Verifica se as EC2 instâncias da Amazon do nó de trabalho usam a última versão EKS otimizada AMI da Amazon

  • aws:executeScript- Verifica se os grupos VPC de segurança da Amazon estão conectados aos nós de trabalho em busca das tags necessárias.

  • aws:executeScript- Verifica as regras do grupo de VPC segurança da Amazon no EKS cluster e no nó de trabalho da Amazon quanto às regras de entrada recomendadas para o EKS cluster da Amazon.

  • aws:executeScript- Verifica as regras do grupo de VPC segurança da Amazon no EKS cluster e no nó de trabalho da Amazon quanto às regras de saída recomendadas do EKS cluster da Amazon.

  • aws:executeScript- Verifica a ACL configuração de rede das VPC sub-redes da Amazon.

  • aws:executeScript- Verifica se as EC2 instâncias do nó de trabalho da Amazon têm as políticas gerenciadas necessárias.

  • aws:executeScript :Verifica se os grupos do Auto Scaling têm as tags necessárias para o escalonamento automático do cluster.

  • aws:executeScript- Verifica se as EC2 instâncias do nó de trabalho da Amazon estão conectadas à Internet.

  • aws:executeScript :Gera um relatório com base nas saídas das etapas anteriores. Se um valor for especificado para o parâmetro S3BucketName, o relatório gerado será carregado no bucket do Amazon S3.