Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Supervisión y gestión de incidentes para Amazon EKS en AMS Accelerate
Monitoring and Incident Management for Amazon EKS supervisa los recursos de Amazon EKS para detectar errores, degradación del rendimiento y problemas de seguridad. AMS Accelerate configura e implementa las reglas del administrador de alertas de Amazon Managed Service para Prometheus, supervisa las alertas y, a continuación, gestiona los incidentes cuando se activan estas alertas. [La supervisión y la gestión de incidentes de Amazon EKS se basan en AMS Alarm Manager y utilizan AWS servicios nativos, como [Amazon Managed Service for Prometheus](https://docs.aws.amazon.com/grafana/latest/userguide/prometheus-data-source.html), [Amazon Managed Grafana, Amazon](https://docs.aws.amazon.com/grafana/latest/userguide/what-is-Amazon-Managed-Service-Grafana.html) y. GuardDuty [AWS Lambda[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
**nota**
La supervisión y la administración de incidentes de Amazon EKS no admiten AWS GovCloud (US) nodos ni contenedores de Windows.
# ¿Qué es la supervisión y la gestión de incidentes para Amazon EKS en AMS Accelerate?
La supervisión y la administración de incidentes de Amazon EKS proporcionan lo siguiente:
+ Una configuración predeterminada que crea, administra e implementa monitores y políticas en su cuenta gestionada para los clústeres de Amazon EKS que seleccione.
+ Una línea base de monitoreo para permitir que sus cargas de trabajo de Amazon EKS tengan una mayor disponibilidad, incluso si no configura ningún otro monitoreo para sus clústeres de Amazon EKS. Para obtener más información, consulte [Alertas de referencia en la supervisión y la gestión de incidentes para Amazon EKS en AMS Accelerate](acc-baseline-eks-alerts.md).
+ Notificaciones generadas por la supervisión de referencia configurada para su clúster de Amazon EKS. Estas notificaciones se conocen como alertas. Las alertas se generan cuando hay fallos inminentes, continuos, inminentes o potenciales, una degradación del rendimiento o problemas de seguridad. Algunos ejemplos de alertas incluyen una alerta de Prometheus, un evento o un hallazgo de AWS un servicio, como Amazon. GuardDuty
+ Realiza una investigación de alertas con orientación sobre las medidas correctivas adecuadas que puedes tomar. Para obtener más información, consulte [los informes de incidentes y las solicitudes de servicio en AMS Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-supp-ex.html).
+ Las operaciones de AMS corrigen las alertas e incidentes, siempre que sea posible y con su aprobación, para evitar o reducir el impacto en sus aplicaciones. Para obtener más información, consulte [los informes de incidentes y las solicitudes de servicio en AMS Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-supp-ex.html).
+ Paneles opcionales de Amazon Managed Grafana predefinidos que proporcionan visibilidad de la utilización de los recursos, el rendimiento, el estado de CoredNS, las alertas activas y las alertas previamente resueltas. Si configura Amazon Managed Grafana con la plantilla proporcionada por AMS, puede abrir la consola de Amazon Managed Grafana para ver las métricas y alertas de su clúster de Amazon EKS.
# Cómo funcionan la supervisión y la gestión de incidentes para Amazon EKS en AMS Accelerate
**Generación:** Como parte de la supervisión de incorporación y la gestión de incidentes para EKS, AMS configura la supervisión de referencia para los clústeres de Amazon EKS que ha seleccionado en su cuenta gestionada. AMS utiliza una combinación de las reglas del administrador de alertas de Amazon Managed Service for Prometheus y las reglas de eventos de CloudWatch Amazon para configurar la supervisión de referencia. Un servidor Prometheus configurado por AMS en su clúster recopila y escribe de forma remota sus métricas de Prometheus en un servicio gestionado de Amazon para un punto final de Prometheus de la misma región. La configuración de supervisión básica genera una alerta cuando se activa una regla del administrador de alertas de Prometheus o se genera CloudWatch un evento.
**Agregación:** AMS envía todas las alertas que generan sus recursos al sistema de supervisión de AMS dirigiéndolas a un tema de Amazon Simple Notification Service gestionado por AMS.
**Procesamiento y análisis de impacto:** AMS analiza las alertas y, a continuación, las procesa en función de su posible impacto. AMS clasifica las alertas de la siguiente manera:
+ **Alertas con un impacto conocido en los clientes:** para estas alertas, AMS crea un nuevo informe de incidentes mediante el proceso de [gestión de incidentes](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-manage-incidents.html).
+ **Alertas con un impacto incierto en los clientes:** para estas alertas, AMS envía un informe de incidente. En muchos casos, estas alertas le piden que verifique el impacto antes de que AMS pueda tomar medidas. En el caso de dichas alertas, AMS envía una [notificación de alerta](acc-baseline-eks-alerts.md#acc-alerts-and-actions) con los detalles y comprueba si la alerta necesita una acción atenuante. AMS proporciona opciones para mitigar las acciones en la notificación. Si su respuesta confirma que la alerta es un incidente, AMS activa entonces la creación de un nuevo informe de incidente e inicia el proceso de gestión de incidentes. Cualquier notificación de servicio que reciba una respuesta que indique que «no ha afectado al cliente» o que no haya recibido respuesta alguna durante tres días se marcará como resuelta. Además, la alerta correspondiente se marca como resuelta.
+ **Alertas que no afectan a los clientes:** si, tras una evaluación, AMS determina que la alerta no afecta a los clientes, se cierra.
## Matriz de responsabilidad de AMS (RACI)
La matriz responsable, responsable, consultada e informada de AMS, o RACI, asigna la responsabilidad principal al cliente o a AMS en lo que respecta a una variedad de actividades. La siguiente tabla proporciona un resumen de las responsabilidades del cliente y de AMS en relación con las actividades de una aplicación que utiliza la supervisión y la gestión de incidentes para Amazon EKS.
+ **R** significa la parte responsable que hace el trabajo para lograr la tarea.
+ **A** representa a la parte responsable.
+ **C** significa consultado; la parte cuya opinión se solicita, por lo general como expertos en la materia; y con la que existe comunicación bilateral.
+ **I** significa informado; la parte que recibe información sobre el progreso, a menudo solo una vez finalizada la tarea o el producto final.
| Actividad | Cliente | AMS |
| --- | --- | --- |
| Descubrimiento de los requisitos de AMS | I | R |
| Habilite los permisos AMS (RBAC) para el acceso al clúster | R | C |
| Instale el agente de Amazon EC2 Systems Manager en los nodos de trabajo si aún no está presente | R | C |
| Implemente componentes de AMS en el clúster, como Prometheus, Prometheus Node Exporter y en un espacio de nombres de AMS, según sea necesario kube-state-metrics. | C | R |
| Aprovisione Amazon Managed Service para Prometheus en el plano de control de AMS | I | R |
| Configurar el administrador de alertas de Prometheus en el plano de control AMS | I | R |
| Proporcione la plantilla de Grafana gestionada por Amazon y ayude con la configuración | C | R |
| Habilite la supervisión del registro de auditoría de GuardDuty EKS | C | R |
| Habilitar el registro del plano de control de Amazon EKS | I | R |
| Supervise el estado y el rendimiento del plano de control Amazon EKS | I | R |
| Supervise el estado y el rendimiento de su clúster de Amazon EKS (clúster, nodo, carga de trabajo, pod, servidor de API y CoredNS) | I | R |
| Clasifique las alertas y proporcione respuesta a incidentes para Amazon EKS | I | R |
| Ejecute comandos de diagnóstico durante los incidentes | I | R |
| Analice los registros durante los incidentes (registros del plano de control y del módulo) | I | R |
| Respuesta a incidentes relacionados con problemas AWS de red | I | R |
| Responda a los hallazgos de GuardDuty EKS Audit Log Monitoring | I | R |
| Siempre que sea posible, proporcione orientación al cliente sobre las medidas que deben adoptarse para subsanar los incidentes | I | R |
# Alertas de referencia en la supervisión y la gestión de incidentes para Amazon EKS en AMS Accelerate
Tras verificar las alertas, AMS habilita las siguientes alertas para Amazon EKS y, a continuación, se encarga de la supervisión y la gestión de incidentes de los clústeres de Amazon EKS seleccionados. El tiempo de respuesta, los acuerdos de nivel de servicio (SLAs) y los objetivos de nivel de servicio (SLOs) dependen del nivel de servicio (Plus, Premium) de la cuenta que haya seleccionado. Para obtener más información, consulte [los informes de incidentes y las solicitudes de servicio en AMS Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-supp-ex.html).
## Alertas y acciones
En la siguiente tabla se enumeran las alertas de Amazon EKS y las acciones respectivas que lleva a cabo AMS:
| Alerta | Umbrales | Acción |
| --- | --- | --- |
| Container OOM ha muerto | El número total de contenedores reiniciados en los últimos 10 minutos es de al menos 1 y un contenedor de Kubernetes de un pod se ha cerrado por el motivo «OOMKilled» en los últimos 10 minutos. | AMS investiga si la causa del cierre de OOM se debe a que se ha alcanzado el límite de contenedores o a que se ha sobrepasado el límite de memoria y, a continuación, te aconseja qué medidas correctivas tomar. |
| Error en Pod Job | No se puede completar un trabajo de Kubernetes. El error se indica mediante la presencia de al menos un estado de trabajo fallido. | AMS investiga los motivos por los que el trabajo de Kubernetes o el trabajo cron correspondiente está fallando y, a continuación, le asesora sobre las medidas correctivas. |
| StatefulSet Abajo | La cantidad de réplicas listas para atender el tráfico no coincide con la cantidad actual de réplicas existentes StatefulSet durante al menos 1 minuto. | AMS determina por qué los pods no están preparados revisando los mensajes de error de los eventos de los pods y los fragmentos del registro de errores de los registros de los pods y, a continuación, le recomienda las medidas correctivas. |
| Capacidad de escalado de HPA | El escalador automático de cápsulas horizontales (HPA) no puede escalar debido a que la condición de estado «AbleToScale» es falsa durante al menos 2 minutos. | AMS determina qué escalador automático de pods horizontales (HPA) de Kubernetes no puede escalar los pods para su recurso de carga de trabajo posterior, como una implementación o. StatefulSet |
| Disponibilidad métrica de HPA | El escalador automático de cápsulas horizontales (HPA) no puede recopilar métricas debido a que la condición de estado «ScalingActive» es falsa durante al menos 2 minutos. | AMS determina por qué HPA no puede recopilar métricas, como las relacionadas con problemas de configuración del servidor o problemas de autorización del RBAC. |
| El pod no está listo | Un pod de Kubernetes permanece en estado inactivo (como pendiente, desconocido o fallido) durante más de 15 minutos. | AMS investiga los módulos afectados para obtener más información, revisa los registros de los módulos para detectar errores y eventos relacionados y, a continuación, le aconseja sobre las medidas correctivas. |
| Pod Crash Looping | Un contenedor de cápsulas se reinicia al menos una vez cada 15 minutos durante un período de 1 hora. | AMS investiga los motivos por los que el pod no se inicia, como recursos insuficientes, un archivo bloqueado por otro contenedor, una base de datos bloqueada por otro contenedor, fallos en las dependencias de los servicios, problemas de DNS en los servicios externos y errores de configuración. |
| Daemonset está mal programado | Hay al menos un pod de Daemonset de Kubernetes mal programado durante un período de 10 minutos. | AMS determina por qué un Daemonset está programado en un nodo en el que no debería ejecutarse. Esto puede ocurrir si se ha aplicado un pod incorrecto a nodeSelector/taints/affinities los pods de Daemonset o cuando los nodos (grupos de nodos) están contaminados y no se ha programado el desalojo de los pods existentes. |
| Errores de la API de Kubernetes | La tasa de errores del servidor de la API de Kubernetes supera el 3% en un período de 2 minutos. | AMS analiza los registros del plano de control para determinar el volumen y los tipos de errores que están causando esta alerta e identifica cualquier problema de contención de recursos en el nodo maestro o en los grupos de escalado automático, etc.d. Si el servidor de API no se recupera, AMS contacta con el equipo de servicio de Amazon EKS. |
| Latencia de la API de Kubernetes | La latencia del percentil 99 de las solicitudes al servidor de la API de Kubernetes supera 1 segundo en un período de 2 minutos. | AMS analiza los registros del plano de control para determinar el volumen y los tipos de errores que causan la latencia e identifica cualquier problema de contención de recursos para el nodo maestro o los grupos de autoescalado, etcd. Si el servidor de API no se recupera, AMS contacta con el equipo de servicio de Amazon EKS. |
| El certificado de cliente de Kubernetes está caducando | El certificado de cliente utilizado para autenticarse en el servidor API de Kubernetes vence en menos de 24 horas. | AMS envía esta notificación para informarle de que su certificado de clúster caducará en 24 horas. |
| El nodo no está listo | El estado de condición del nodo «Listo» es falso durante al menos 10 minutos. | AMS investiga las condiciones y los eventos del nodo, como los problemas de red, que impiden el acceso de Kubelet al servidor API. |
| CPU con un nivel alto de nodos | La carga de la CPU supera el 80% en un período de 5 minutos. | El AMS determina si uno o más módulos consumen una cantidad de CPU inusualmente alta. A continuación, AMS comprueba contigo que tus solicitudes, límites y actividad de los pods son los esperados. |
| Se ha detectado una interrupción del OOM del nodo | El nodo ha informado de al menos una interrupción de la función OOM de un host en un período de 4 minutos. | AMS determina si la interrupción de la OOM se debe a que se ha alcanzado el límite de contenedores o a que los nodos se han sobrecomprometido. Si la actividad de la aplicación es normal, AMS le asesora sobre las solicitudes y los límites de sobreasignación y sobre la revisión de los límites de los módulos. |
| Límite de seguimiento de nodos | La relación entre el número actual de entradas de seguimiento de conexiones y el límite máximo supera el 80% en un período de 5 minutos. | AMS le asesora sobre el valor de seguimiento de conexiones recomendado por núcleo. Los nodos de Kubernetes establecen el valor máximo de conntrack de forma proporcional a la capacidad total de memoria del nodo. Las aplicaciones de alta carga, especialmente en los nodos más pequeños, pueden superar fácilmente el valor máximo de conntrack, lo que provoca que la conexión se restablezca y se agoten los tiempos de espera. |
| El reloj del nodo no está sincronizado | El estado de sincronización mínimo durante un período de 2 minutos es 0 y el error máximo en segundos es 16 o superior. | El AMS determina si el Protocolo de tiempo de red (NTP) está instalado y funciona correctamente. |
| CPU Pod High | El uso de la CPU de un contenedor supera el 80% en una velocidad de 3 minutos durante un período mínimo de 2 minutos. | AMS investiga los registros de los módulos para determinar las tareas del módulo que consumen una gran cantidad de CPU. |
| Memoria alta del pod | El uso de memoria de un contenedor supera el 80% del límite de memoria especificado durante un período de 2 minutos. | AMS investiga los registros de los módulos para determinar las tareas del módulo que consumen una gran cantidad de memoria. |
| CoredNS inactivo | CoredNS ha desaparecido del descubrimiento de objetivos de Prometheus durante más de 15 minutos. | Se trata de una alerta crítica que indica que se ha interrumpido la resolución de nombres de dominio para los servicios de clúster internos o externos. AMS comprueba el estado de los pods de CoreDNS, verifica la configuración de CoreDNS, verifica los puntos de enlace de DNS que apuntan a los pods de CoreDNS, verifica los límites de CoreDNS y, con su aprobación, habilita el registro de depuración de CoreDNS. |
| Errores de CoredNS | CoredNS devuelve errores SERVFAIL para más del 3% de las solicitudes de DNS en un período de 10 minutos. | Esta alerta puede indicar un problema con una aplicación o una configuración incorrecta. AMS comprueba el estado de los pods de CoreDNS, verifica la configuración de CoreDNS, verifica los puntos de enlace de DNS que apuntan a los pods de CoreDNS, verifica los límites de CoreDNS y, con su aprobación, habilita el registro de depuración de CoreDNS. |
| Latencia de CoredNS | El percentil 99 de las duraciones de las solicitudes de DNS supera los 4 segundos durante 10 minutos. | Esta alerta indica que CoredNS podría estar sobrecargado. AMS comprueba el estado de los pods de CoreDNS, verifica la configuración de CoreDNS, verifica los puntos de enlace de DNS que apuntan a los pods de CoreDNS, verifica los límites de CoreDNS y, con su aprobación, habilita el registro de depuración de CoreDNS. |
| Latencia de reenvío de CoredNS | El percentil 99 del tiempo de respuesta de las solicitudes de reenvío de CoredNS a kube-dns supera los 4 segundos en un período de 10 minutos. | Cuando CoreDNS no es el servidor autorizado o no tiene una entrada de caché para un nombre de dominio, CoreDNS reenvía la solicitud de DNS a un servidor DNS ascendente. Esta alerta indica que CoredNS podría estar sobrecargado o que podría haber un problema con un servidor DNS ascendente. AMS comprueba el estado de los pods de CoreDNS, verifica la configuración de CoreDNS, verifica los puntos de enlace de DNS que apuntan a los pods de CoreDNS, verifica los límites de CoreDNS y, con su aprobación, habilita el registro de depuración de CoreDNS. |
| Error de reenvío de CoredNS | Más del 3% de las consultas de DNS fallan en un período de 5 minutos. | Cuando CoreDNS no es el servidor autorizado o no tiene una entrada de caché para un nombre de dominio, CoreDNS reenvía la solicitud de DNS a un servidor DNS ascendente. Esta alerta indica un posible error de configuración o un problema con un servidor DNS ascendente. AMS comprueba el estado de los pods de CoreDNS, verifica la configuración de CoreDNS, verifica los puntos de enlace de DNS que apuntan a los pods de CoreDNS, verifica los límites de CoreDNS y, con su aprobación, habilita el registro de depuración de CoreDNS. |
# Requisitos de supervisión y gestión de incidentes para Amazon EKS en AMS Accelerate
Estos son los recursos and/or necesarios y compatibles para la supervisión y la gestión de incidentes de Amazon EKS for AMS Accelerate
+ **Versiones de **Kubernetes compatibles: consulte las versiones** de [Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html) en la Guía del usuario de Amazon EKS.**
+ **Tipos de nodos:** se admiten los nodos gestionados por Amazon EKS. No se admiten los nodos y contenedores de Windows.
+ **Acceso al clúster de Kubernetes: AMS requiere el rol de clúster** RBAC de system:masters y el usuario del clúster.
+ **SSM Agent en EC2 los nodos de Amazon:** tanto Bottle Rocket como Amazon EKS AMIs tienen SSM Agent preinstalado. Asegúrese de que SSM Agent esté instalado en sus EC2 nodos personalizados AMIs y de Amazon.
+ Para obtener más información, consulta **las cuotas** de servicio de [Amazon Managed Service for Prometheus](https://docs.aws.amazon.com/prometheus/latest/userguide/AMP_quotas.html) [y Amazon](https://docs.aws.amazon.com/grafana/latest/userguide/AMG_quotas.html) Managed Grafana.
+ **Regiones compatibles: AWS **
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/acc-requirements.html)
**nota**
Las métricas de los clústeres de Amazon EKS en af-south-1, África (Ciudad del Cabo) y ap-east-1, Asia Pacífico (Hong Kong) se exportan al servicio de monitoreo AMS en el mismo lugar, respectivamente. Región de AWS Luego, las métricas correspondientes Regiones de AWS se transportan dentro del servicio de monitoreo AMS a diferentes regiones, donde se procesan y almacenan. Consulte la tabla anterior para ver las regiones que el servicio de supervisión de AMS utiliza para almacenar las métricas.
# Integre la supervisión y la gestión de incidentes de Amazon EKS en AMS Accelerate
Realice los siguientes pasos para incorporarse a la supervisión y la gestión de incidentes de Amazon EKS.
1. **Habilite las etiquetas de optimización de costos de Amazon EKS:** consulte [Etiquetar sus recursos para la facturación](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html#tag-resources-for-billing) en la **Guía del usuario de Amazon EKS**.
1. **Inicie la incorporación de la supervisión y la gestión de incidentes a EKS:** póngase en contacto con su administrador de prestación de servicios en la nube (CSDM) e indique los nombres de las cuentas IDs y los clústeres para incorporarlo.
1. **Valide los requisitos:** su arquitecto de nube (CA) valida el cumplimiento de todos los [requisitos](acc-requirements.md) antes de que comience la incorporación.
1. **Actualice el control de acceso basado en roles (RBAC) de Kubernetes:** AMS comparte los comandos para implementar estos cambios. `eksctl` Puede revisar estos cambios y luego implementarlos. Debe implementar las actualizaciones del RBAC para que AMS tenga permisos para ejecutar comandos en su nombre. Estas actualizaciones incluyen asignar la función de IAM de AMS a un usuario de Kubernetes, crear una nueva función de clúster de Kubernetes para AMS y vincular la función de clúster de AMS Kubernetes al usuario.
1. **Implemente los componentes del clúster: AMS implementa los siguientes componentes en un espacio de nombres de su clúster administrado por AMS:**
+ Servidor Prometheus
+ Exportador de nodos Prometheus (no aplicable para) AWS Fargate
+ kube-state-metrics
1. **Realizar actualizaciones de configuración de Prometheus**: AMS configura Prometheus para permitir la escritura remota de métricas.
1. **(Opcional) Configurar paneles:** su CA le ayuda a configurar los paneles de Amazon Managed Grafana en su cuenta.
**nota**
Una vez incorporado el clúster de Amazon EKS, AMS analiza las señales de alerta y realiza una evaluación de referencia para identificar los problemas existentes en el clúster. Una vez finalizada la evaluación de referencia, AMS comparte las conclusiones y las recomendaciones de corrección a través de Trusted Advisor y una solicitud de servicio que puede utilizar para abordar los problemas de su clúster. A partir de la evaluación, AMS crea una línea base de monitoreo de Amazon EKS específica para sus clústeres de EKS ajustando nuestros umbrales de alarma a nivel de cuenta. Para evitar la duplicación de las respuestas de AMS en función de estos resultados, ajustamos nuestra supervisión para excluir esas señales de alerta. Reajustamos nuestra supervisión para incluir las señales cuando su CSDM nos informa de que se han solucionado los problemas subyacentes.
# Olvídese de la supervisión y la gestión de incidentes para Amazon EKS en AMS Accelerate
Notifique a su administrador de prestación de servicios en la nube (CSDM) los nombres de las cuentas IDs y los clústeres para iniciar el proceso de exclusión. Una vez que te des de baja, se suspenden el procesamiento de alertas, el almacenamiento de métricas y las consultas de métricas y las métricas se eliminan de acuerdo con las políticas de retención de datos predeterminadas de [Amazon Managed Service for Prometheus](https://docs.aws.amazon.com/prometheus/latest/userguide/AMP_quotas.html).
AMS lleva a cabo los siguientes pasos de desvinculación:
1. AMS desactiva las alertas que se le envían a usted y a AMS Operations.
1. AMS elimina la instancia de Prometheus del clúster de Amazon EKS.
1. AMS elimina otros AWS recursos que están instalados en su cuenta, como las funciones y las reglas de IAM. AWS Config
Una vez completados estos pasos, debe completar los siguientes pasos de desconexión:
1. Úselo `eksctl` para eliminar los permisos RBAC de Kubernetes del. `aws-auth` `ConfigMap`
1. Si la instaló anteriormente, elimine la instancia de Grafana gestionada por Amazon que configuró para conectarse a AMS.