AWSSupport-TroubleshootEbsCsiDriversForEks - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-TroubleshootEbsCsiDriversForEks

Beschreibung

Das AWSSupport-TroubleshootEbsCsiDriversForEks Runbook hilft bei der Behebung von Problemen mit Amazon Elastic Block Store-Volume-Mounts in Amazon Elastic Kubernetes Service (Amazon EKS) und Amazon EBS Container Storage Interface (CSI) -Treiberproblemen

Wichtig

Derzeit wird der Amazon EBS CSI-Treiber, auf dem ausgeführt AWS Fargate wird, nicht unterstützt.

Wie funktioniert es?

Das Runbook AWSSupport-TroubleshootEbsCsiDriversForEks führt die folgenden allgemeinen Schritte aus:

  • Überprüft, ob der Amazon EKS-Zielcluster vorhanden ist und sich im aktiven Zustand befindet.

  • Stellt die erforderlichen Authentifizierungsressourcen für Kubernetes-API-Aufrufe bereit, je nachdem, ob das Addon von Amazon EKS verwaltet oder selbst verwaltet wird.

  • Führt Integritätsprüfungen und Diagnosen für den Amazon EBS CSI-Controller durch.

  • Führt IAM-Berechtigungsprüfungen für Knotenrollen und Dienstkontorollen durch.

  • Diagnostiziert dauerhafte Probleme bei der Volume-Erstellung für den angegebenen Anwendungs-Pod.

  • Überprüft die node-to-pod Planung und untersucht Pod-Ereignisse.

  • Sammelt relevante Kubernetes- und Anwendungsprotokolle und lädt sie in den angegebenen Amazon S3 S3-Bucket hoch.

  • Führt Knotenzustandsprüfungen durch und verifiziert die Konnektivität mit EC2 Amazon-Endpunkten.

  • Überprüft persistente Volume Block-Geräteanhänge und den Montagestatus.

  • Bereinigt die Authentifizierungsinfrastruktur, die während der Fehlerbehebung erstellt wurde.

  • Generiert einen umfassenden Bericht zur Fehlerbehebung, in dem alle Diagnoseergebnisse zusammengefasst sind.

Anmerkung

  • Der Authentifizierungsmodus des Amazon EKS-Clusters muss entweder auf API oder eingestellt seinAPI_AND_CONFIG_MAP. Wir empfehlen, den Amazon EKS Access-Eintrag zu verwenden. Das Runbook benötigt Kubernetes-Berechtigungen zur rollenbasierten Zugriffskontrolle (RBAC), um die erforderlichen API-Aufrufe durchzuführen.

  • Wenn Sie keine IAM-Rolle für die Lambda-Funktion (LambdaRoleArnParameter) angeben, erstellt die Automatisierung eine Rolle, die Automation-K8sProxy-Role-<ExecutionId> in Ihrem Konto benannt ist. Diese Rolle umfasst die verwalteten Richtlinien AWSLambdaBasicExecutionRole und. AWSLambdaVPCAccessExecutionRole

  • Für einige Diagnoseschritte müssen die Amazon EKS-Worker-Knoten von Systems Manager verwaltete Instances sein. Wenn es sich bei den Knoten nicht um von Systems Manager verwaltete Instanzen handelt, werden Schritte, für die Systems Manager Manager-Zugriff erforderlich ist, übersprungen, andere Prüfungen werden jedoch fortgesetzt.

  • Die Automatisierung umfasst einen Bereinigungsschritt, bei dem die Ressourcen der Authentifizierungsinfrastruktur entfernt werden. Dieser Bereinigungsschritt wird auch dann ausgeführt, wenn die vorherigen Schritte fehlschlagen, wodurch verhindert wird, dass Ressourcen in Ihrem Konto verwaist sind. AWS

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

/

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ec2:DescribeIamInstanceProfileAssociations

  • ec2:DescribeInstanceStatus

  • ec2:GetEbsEncryptionByDefault

  • eks:DescribeAddon

  • eks:DescribeAddonVersions

  • eks:DescribeCluster

  • iam:GetInstanceProfile

  • iam:GetOpenIDConnectProvider

  • iam:GetRole

  • iam:ListOpenIDConnectProviders

  • iam:SimulatePrincipalPolicy

  • s3:GetBucketLocation

  • s3:GetBucketPolicyStatus

  • s3:GetBucketPublicAccessBlock

  • s3:GetBucketVersioning

  • s3:ListBucket

  • s3:ListBucketVersions

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetDocument

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Anweisungen

Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren:

  1. Erstellen Sie eine SSM-Automatisierungsrolle TroubleshootEbsCsiDriversForEks-SSM-Role in Ihrem Konto. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Fügen Sie der IAM-Rolle die folgende Richtlinie hinzu, um die erforderlichen Berechtigungen für die Ausführung der angegebenen Aktionen auf den angegebenen Ressourcen zu gewähren.

    • Wenn Sie erwarten, Ausführungs- und Ressourcenprotokolle in derselben AWS Region in den Amazon S3 S3-Bucket hochzuladen, ersetzen Sie arn:{partition}:s3:::BUCKET_NAME/* diese durch Ihre inOptionalRestrictPutObjects.

      • Der Amazon S3 S3-Bucket sollte auf den richtigen Amazon S3 S3-Bucket verweisen, wenn Sie S3BucketName in SSM-Ausführung auswählen.

      • Diese Berechtigung ist optional, wenn Sie sie nicht angeben S3BucketName

      • Der Amazon S3 S3-Bucket muss privat sein und sich in derselben AWS Region befinden, in der Sie die SSM-Automatisierung ausführen.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OptionalRestrictPutObjects",
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": ["arn:{partition}:s3:::BUCKET_NAME/*"]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DescribeInstanceStatus",
                "ec2:GetEbsEncryptionByDefault",
                "eks:DescribeAddon",
                "eks:DescribeAddonVersions",
                "eks:DescribeCluster",
                "iam:GetInstanceProfile",
                "iam:GetOpenIDConnectProvider",
                "iam:GetRole",
                "iam:ListOpenIDConnectProviders",
                "iam:SimulatePrincipalPolicy",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "ssm:DescribeInstanceInformation",
                "ssm:GetAutomationExecution",
                "ssm:GetDocument",
                "ssm:ListCommandInvocations",
                "ssm:ListCommands",
                "ssm:SendCommand",
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SetupK8sApiProxyForEKSActions",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateStack",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "eks:DescribeCluster",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:GetRole",
                "iam:TagRole",
                "iam:UntagRole",
                "lambda:CreateFunction",
                "lambda:DeleteFunction",
                "lambda:GetFunction",
                "lambda:InvokeFunction",
                "lambda:ListTags",
                "lambda:TagResource",
                "lambda:UntagResource",
                "lambda:UpdateFunctionCode",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:ListTagsForResource",
                "logs:PutLogEvents",
                "logs:PutRetentionPolicy",
                "logs:TagResource",
                "logs:UntagResource",
                "ssm:DescribeAutomationExecutions",
                "tag:GetResources",
                "tag:TagResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassRoleToAutomation",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:*:iam::*:role/TroubleshootEbsCsiDriversForEks-SSM-Role",
                "arn:*:iam::*:role/Automation-K8sProxy-Role-*"
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "iam:PassedToService": [
                        "lambda.amazonaws.com",
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "AttachRolePolicy",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*",
            "Condition": {
                "StringLikeIfExists": {
                    "iam:ResourceTag/AWSSupport-SetupK8sApiProxyForEKS": "true"
                }
            }
        }
    ]
}

  3. Erteilen Sie die erforderlichen Berechtigungen für den Amazon EKS-Cluster RBAC (Role-Based Access Control). Der empfohlene Ansatz besteht darin, einen Access-Eintrag in Ihrem Amazon EKS-Cluster zu erstellen.

    Navigieren Sie in der Amazon EKS-Konsole zu Ihrem Cluster. Stellen Sie für Amazon EKS-Zugriffseinträge sicher, dass Ihre Zugriffskonfiguration auf API_AND_CONFIG_MAP oder eingestellt istAPI. Schritte zur Konfiguration des Authentifizierungsmodus für Zugriffseinträge finden Sie unter Zugangseinträge einrichten.

    Wählen Sie Zugriffseintrag erstellen aus.

    • Wählen Sie für den IAM-Prinzipal-ARN die IAM-Rolle aus, die Sie im vorherigen Schritt für die SSM-Automatisierung erstellt haben.

    • Wählen Sie als Typ die Option aus. Standard

  4. Fügen Sie eine Zugriffsrichtlinie hinzu:

    • Wählen Sie als Zugriffsbereich die Option ausCluster.

    • Wählen Sie als Richtlinienname die Option ausAmazonEKSAdminViewPolicy.

    Wählen Sie Richtlinie hinzufügen aus.

    Wenn Sie keine Zugriffseinträge zur Verwaltung von Kubernetes-API-Berechtigungen verwenden, müssen Sie die aktualisieren aws-auth ConfigMap und eine Rollenbindung zwischen Ihrem IAM-Benutzer oder Ihrer IAM-Rolle erstellen. Stellen Sie sicher, dass Ihre IAM-Entität über die folgenden schreibgeschützten Kubernetes-API-Berechtigungen verfügt:

    • GET /apis/apps/v1/namespaces/{namespace}/deployments/{name}

    • GET /apis/apps/v1/namespaces/{namespace}/replicasets/{name}

    • GET /apis/apps/v1/namespaces/{namespace}/daemonsets/{name}

    • GET /api/v1/nodes/{name}

    • GET /api/v1/namespaces/{namespace}/serviceaccounts/{name}

    • GET /api/v1/namespaces/{namespace}/persistentvolumeclaims/{name}

    • GET /api/v1/persistentvolumes/{name}

    • GET /apis/storage.k8s.io/v1/storageclasses/{name}

    • GET /api/v1/namespaces/{namespace}/pods/{name}

    • GET /api/v1/namespaces/{namespace}/pods

    • GET /api/v1/namespaces/{namespace}/pods/{name}/log

    • GET /api/v1/events

  5. Führen Sie die Automatisierung aus (Konsole) AWSSupport-TroubleshootEbsCsiDriversForEks

  6. Wählen Sie Execute automation (Automatisierung ausführen).

  7. Geben Sie für die Eingabeparameter Folgendes ein:

    • AutomationAssumeRole (Fakultativ):

      • Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, die es SSM Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Die Rolle muss Ihrem Amazon EKS-Clusterzugriffseintrag oder Ihrer RBAC-Berechtigung hinzugefügt werden, um Kubernetes-API-Aufrufe zuzulassen.

      • Typ: AWS::IAM::Role::Arn

      • Beispiel: TroubleshootEbsCsiDriversForEks-SSM-Role

    • EksClusterName:

      • Beschreibung: Der Name des Amazon Elastic Kubernetes Service (Amazon EKS) -Ziel-Clusters.

      • Typ: String

    • ApplicationPodName:

      • Beschreibung: Der Name des Kubernetes-Anwendungs-Pods, der Probleme mit dem Amazon EBS CSI-Treiber hat.

      • Typ: String

    • ApplicationNamespace:

      • Beschreibung: Der Kubernetes-Namespace für den Anwendungs-Pod hat Probleme mit dem Amazon EBS CSI-Treiber.

      • Typ: String

    • EbsCsiControllerDeploymentName (Fakultativ):

      • Beschreibung: (Optional) Der Bereitstellungsname für den Amazon EBS CSI-Controller-Pod.

      • Typ: String

      • Standard: ebs-csi-controller

    • EbsCsiControllerNamespace (Optional):

      • Beschreibung: (Optional) Der Kubernetes-Namespace für den Amazon EBS CSI-Controller-Pod.

      • Typ: String

      • Standard: kube-system

    • S3 (optional)BucketName :

      • Beschreibung: (Optional) Der Name des Amazon S3 S3-Ziel-Buckets, in den die Fehlerbehebungsprotokolle hochgeladen werden.

      • Typ: AWS::S3::Bucket::Name

    • LambdaRoleArn (Optional):

      • Beschreibung: (Optional) Der ARN der IAM-Rolle, der der AWS Lambda Funktion den Zugriff auf die erforderlichen AWS Dienste und Ressourcen ermöglicht.

      • Typ: AWS::IAM::Role::Arn

    Wählen Sie Ausführen aus.

  8. Wenn der Vorgang abgeschlossen ist, finden Sie im Abschnitt Outputs die detaillierten Ergebnisse der Ausführung.

Referenzen

Systems Manager Automation

Weitere Informationen zum Amazon EBS CSI-Treiber finden Sie unter Amazon EBS CSI-Treiber.