Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWSSupport-TroubleshootEbsCsiDriversForEks
Beschreibung
Das AWSSupport-TroubleshootEbsCsiDriversForEks
Runbook hilft bei der Behebung von Problemen mit Amazon Elastic Block Store-Volume-Mounts in Amazon Elastic Kubernetes Service (Amazon EKS) und Amazon EBS Container Storage Interface (CSI) -Treiberproblemen
Wichtig
Derzeit wird der Amazon EBS CSI-Treiber, auf dem ausgeführt AWS Fargate wird, nicht unterstützt.
Wie funktioniert es?
Das Runbook AWSSupport-TroubleshootEbsCsiDriversForEks
führt die folgenden allgemeinen Schritte aus:
-
Überprüft, ob der Amazon EKS-Zielcluster vorhanden ist und sich im aktiven Zustand befindet.
-
Stellt die erforderlichen Authentifizierungsressourcen für Kubernetes-API-Aufrufe bereit, je nachdem, ob das Addon von Amazon EKS verwaltet oder selbst verwaltet wird.
-
Führt Integritätsprüfungen und Diagnosen für den Amazon EBS CSI-Controller durch.
-
Führt IAM-Berechtigungsprüfungen für Knotenrollen und Dienstkontorollen durch.
-
Diagnostiziert dauerhafte Probleme bei der Volume-Erstellung für den angegebenen Anwendungs-Pod.
-
Überprüft die node-to-pod Planung und untersucht Pod-Ereignisse.
-
Sammelt relevante Kubernetes- und Anwendungsprotokolle und lädt sie in den angegebenen Amazon S3 S3-Bucket hoch.
-
Führt Knotenzustandsprüfungen durch und verifiziert die Konnektivität mit EC2 Amazon-Endpunkten.
-
Überprüft persistente Volume Block-Geräteanhänge und den Montagestatus.
-
Bereinigt die Authentifizierungsinfrastruktur, die während der Fehlerbehebung erstellt wurde.
-
Generiert einen umfassenden Bericht zur Fehlerbehebung, in dem alle Diagnoseergebnisse zusammengefasst sind.
Anmerkung
-
Der Authentifizierungsmodus des Amazon EKS-Clusters muss entweder auf
API
oder eingestellt seinAPI_AND_CONFIG_MAP
. Wir empfehlen, den Amazon EKS Access-Eintrag zu verwenden. Das Runbook benötigt Kubernetes-Berechtigungen zur rollenbasierten Zugriffskontrolle (RBAC), um die erforderlichen API-Aufrufe durchzuführen. -
Wenn Sie keine IAM-Rolle für die Lambda-Funktion (
LambdaRoleArn
Parameter) angeben, erstellt die Automatisierung eine Rolle, dieAutomation-K8sProxy-Role-<ExecutionId>
in Ihrem Konto benannt ist. Diese Rolle umfasst die verwalteten RichtlinienAWSLambdaBasicExecutionRole
und.AWSLambdaVPCAccessExecutionRole
-
Für einige Diagnoseschritte müssen die Amazon EKS-Worker-Knoten von Systems Manager verwaltete Instances sein. Wenn es sich bei den Knoten nicht um von Systems Manager verwaltete Instanzen handelt, werden Schritte, für die Systems Manager Manager-Zugriff erforderlich ist, übersprungen, andere Prüfungen werden jedoch fortgesetzt.
-
Die Automatisierung umfasst einen Bereinigungsschritt, bei dem die Ressourcen der Authentifizierungsinfrastruktur entfernt werden. Dieser Bereinigungsschritt wird auch dann ausgeführt, wenn die vorherigen Schritte fehlschlagen, wodurch verhindert wird, dass Ressourcen in Ihrem Konto verwaist sind. AWS
Führen Sie diese Automatisierung aus (Konsole)
Art des Dokuments
Automatisierung
Eigentümer
Amazon
Plattformen
/
Erforderliche IAM-Berechtigungen
Der AutomationAssumeRole
Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.
ec2:DescribeIamInstanceProfileAssociations
ec2:DescribeInstanceStatus
ec2:GetEbsEncryptionByDefault
eks:DescribeAddon
eks:DescribeAddonVersions
eks:DescribeCluster
iam:GetInstanceProfile
iam:GetOpenIDConnectProvider
iam:GetRole
iam:ListOpenIDConnectProviders
iam:SimulatePrincipalPolicy
s3:GetBucketLocation
s3:GetBucketPolicyStatus
s3:GetBucketPublicAccessBlock
s3:GetBucketVersioning
s3:ListBucket
s3:ListBucketVersions
ssm:DescribeInstanceInformation
ssm:GetAutomationExecution
ssm:GetDocument
ssm:ListCommandInvocations
ssm:ListCommands
ssm:SendCommand
ssm:StartAutomationExecution
Anweisungen
Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren:
-
Erstellen Sie eine SSM-Automatisierungsrolle
TroubleshootEbsCsiDriversForEks-SSM-Role
in Ihrem Konto. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält.{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Fügen Sie der IAM-Rolle die folgende Richtlinie hinzu, um die erforderlichen Berechtigungen für die Ausführung der angegebenen Aktionen auf den angegebenen Ressourcen zu gewähren.
-
Wenn Sie erwarten, Ausführungs- und Ressourcenprotokolle in derselben AWS Region in den Amazon S3 S3-Bucket hochzuladen, ersetzen Sie
arn:{partition}:s3:::BUCKET_NAME/*
diese durch Ihre inOptionalRestrictPutObjects
.Der Amazon S3 S3-Bucket sollte auf den richtigen Amazon S3 S3-Bucket verweisen, wenn Sie
S3BucketName
in SSM-Ausführung auswählen.Diese Berechtigung ist optional, wenn Sie sie nicht angeben
S3BucketName
Der Amazon S3 S3-Bucket muss privat sein und sich in derselben AWS Region befinden, in der Sie die SSM-Automatisierung ausführen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OptionalRestrictPutObjects", "Effect": "Allow", "Action": ["s3:PutObject"], "Resource": ["arn:{partition}:s3:::BUCKET_NAME/*"] }, { "Effect": "Allow", "Action": [ "ec2:DescribeIamInstanceProfileAssociations", "ec2:DescribeInstanceStatus", "ec2:GetEbsEncryptionByDefault", "eks:DescribeAddon", "eks:DescribeAddonVersions", "eks:DescribeCluster", "iam:GetInstanceProfile", "iam:GetOpenIDConnectProvider", "iam:GetRole", "iam:ListOpenIDConnectProviders", "iam:SimulatePrincipalPolicy", "s3:GetBucketLocation", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:GetBucketVersioning", "s3:ListBucket", "s3:ListBucketVersions", "ssm:DescribeInstanceInformation", "ssm:GetAutomationExecution", "ssm:GetDocument", "ssm:ListCommandInvocations", "ssm:ListCommands", "ssm:SendCommand", "ssm:StartAutomationExecution" ], "Resource": "*" }, { "Sid": "SetupK8sApiProxyForEKSActions", "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:UpdateStack", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "eks:DescribeCluster", "iam:CreateRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:UntagRole", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction", "lambda:InvokeFunction", "lambda:ListTags", "lambda:TagResource", "lambda:UntagResource", "lambda:UpdateFunctionCode", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:ListTagsForResource", "logs:PutLogEvents", "logs:PutRetentionPolicy", "logs:TagResource", "logs:UntagResource", "ssm:DescribeAutomationExecutions", "tag:GetResources", "tag:TagResources" ], "Resource": "*" }, { "Sid": "PassRoleToAutomation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:*:iam::*:role/TroubleshootEbsCsiDriversForEks-SSM-Role", "arn:*:iam::*:role/Automation-K8sProxy-Role-*" ], "Condition": { "StringLikeIfExists": { "iam:PassedToService": [ "lambda.amazonaws.com", "ssm.amazonaws.com" ] } } }, { "Sid": "AttachRolePolicy", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "iam:ResourceTag/AWSSupport-SetupK8sApiProxyForEKS": "true" } } } ] }
-
-
Erteilen Sie die erforderlichen Berechtigungen für den Amazon EKS-Cluster RBAC (Role-Based Access Control). Der empfohlene Ansatz besteht darin, einen Access-Eintrag in Ihrem Amazon EKS-Cluster zu erstellen.
Navigieren Sie in der Amazon EKS-Konsole zu Ihrem Cluster. Stellen Sie für Amazon EKS-Zugriffseinträge sicher, dass Ihre Zugriffskonfiguration auf
API_AND_CONFIG_MAP
oder eingestellt istAPI
. Schritte zur Konfiguration des Authentifizierungsmodus für Zugriffseinträge finden Sie unter Zugangseinträge einrichten.Wählen Sie Zugriffseintrag erstellen aus.
Wählen Sie für den IAM-Prinzipal-ARN die IAM-Rolle aus, die Sie im vorherigen Schritt für die SSM-Automatisierung erstellt haben.
Wählen Sie als Typ die Option aus.
Standard
-
Fügen Sie eine Zugriffsrichtlinie hinzu:
Wählen Sie als Zugriffsbereich die Option aus
Cluster
.Wählen Sie als Richtlinienname die Option aus
AmazonEKSAdminViewPolicy
.
Wählen Sie Richtlinie hinzufügen aus.
Wenn Sie keine Zugriffseinträge zur Verwaltung von Kubernetes-API-Berechtigungen verwenden, müssen Sie die aktualisieren
aws-auth
ConfigMap und eine Rollenbindung zwischen Ihrem IAM-Benutzer oder Ihrer IAM-Rolle erstellen. Stellen Sie sicher, dass Ihre IAM-Entität über die folgenden schreibgeschützten Kubernetes-API-Berechtigungen verfügt:GET
/apis/apps/v1/namespaces/{namespace}/deployments/{name}
GET
/apis/apps/v1/namespaces/{namespace}/replicasets/{name}
GET
/apis/apps/v1/namespaces/{namespace}/daemonsets/{name}
GET
/api/v1/nodes/{name}
GET
/api/v1/namespaces/{namespace}/serviceaccounts/{name}
GET
/api/v1/namespaces/{namespace}/persistentvolumeclaims/{name}
GET
/api/v1/persistentvolumes/{name}
GET
/apis/storage.k8s.io/v1/storageclasses/{name}
GET
/api/v1/namespaces/{namespace}/pods/{name}
GET
/api/v1/namespaces/{namespace}/pods
GET
/api/v1/namespaces/{namespace}/pods/{name}/log
GET
/api/v1/events
-
Führen Sie die Automatisierung aus (Konsole) AWSSupport-TroubleshootEbsCsiDriversForEks
-
Wählen Sie Execute automation (Automatisierung ausführen).
-
Geben Sie für die Eingabeparameter Folgendes ein:
-
AutomationAssumeRole (Fakultativ):
Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, die es SSM Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Die Rolle muss Ihrem Amazon EKS-Clusterzugriffseintrag oder Ihrer RBAC-Berechtigung hinzugefügt werden, um Kubernetes-API-Aufrufe zuzulassen.
Typ:
AWS::IAM::Role::Arn
Beispiel:
TroubleshootEbsCsiDriversForEks-SSM-Role
-
EksClusterName:
Beschreibung: Der Name des Amazon Elastic Kubernetes Service (Amazon EKS) -Ziel-Clusters.
Typ:
String
-
ApplicationPodName:
Beschreibung: Der Name des Kubernetes-Anwendungs-Pods, der Probleme mit dem Amazon EBS CSI-Treiber hat.
Typ:
String
-
ApplicationNamespace:
Beschreibung: Der Kubernetes-Namespace für den Anwendungs-Pod hat Probleme mit dem Amazon EBS CSI-Treiber.
Typ:
String
-
EbsCsiControllerDeploymentName (Fakultativ):
Beschreibung: (Optional) Der Bereitstellungsname für den Amazon EBS CSI-Controller-Pod.
Typ:
String
Standard:
ebs-csi-controller
-
EbsCsiControllerNamespace (Optional):
Beschreibung: (Optional) Der Kubernetes-Namespace für den Amazon EBS CSI-Controller-Pod.
Typ:
String
Standard:
kube-system
-
S3 (optional)BucketName :
Beschreibung: (Optional) Der Name des Amazon S3 S3-Ziel-Buckets, in den die Fehlerbehebungsprotokolle hochgeladen werden.
Typ:
AWS::S3::Bucket::Name
-
LambdaRoleArn (Optional):
Beschreibung: (Optional) Der ARN der IAM-Rolle, der der AWS Lambda Funktion den Zugriff auf die erforderlichen AWS Dienste und Ressourcen ermöglicht.
Typ:
AWS::IAM::Role::Arn
Wählen Sie Ausführen aus.
-
-
Wenn der Vorgang abgeschlossen ist, finden Sie im Abschnitt Outputs die detaillierten Ergebnisse der Ausführung.
Referenzen
Systems Manager Automation
Weitere Informationen zum Amazon EBS CSI-Treiber finden Sie unter Amazon EBS CSI-Treiber.