AWSPremiumSupport-TroubleshootEKSCluster - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSPremiumSupport-TroubleshootEKSCluster

Descripción

El manual de procedimientos AWSPremiumSupport-TroubleshootEKSCluster diagnostica problemas comunes con un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) y la infraestructura subyacente y proporciona las medidas de corrección recomendadas.

importante

El acceso a los manuales de procedimientos de AWSPremiumSupport-* requiere una suscripción Enterprise o Business Support. Para obtener más información, consulte Compare AWS Support Plans.

Si especifica un valor para el parámetro S3BucketName, la automatización evalúa el estado de la política del bucket de Amazon Simple Storage Service (Amazon S3) que especifique. Para mejorar la seguridad de los registros recopilados de su EC2 instancia, si el estado de la política isPublic está establecido en o si la lista de control de acceso (ACL) concede READ|WRITE permisos al grupo predefinido de All Users Amazon S3, los registros no se cargan. true Para obtener más información acerca de los grupos predefinidos de Amazon S3, consulte los Grupos predefinidos de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • ClusterName

    Tipo: cadena

    Descripción: (obligatorio) el nombre del clúster de Amazon EKS del que desea solucionar problemas.

  • S3 BucketName

    Tipo: cadena

    Descripción: (Obligatorio) El nombre del depósito privado de Amazon S3 en el que se debe cargar el informe generado por el runbook.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypes

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkAcls

  • iam:GetInstanceProfile

  • iam:ListInstanceProfiles

  • iam:ListAttachedRolePolicies

  • eks:DescribeCluster

  • eks:ListNodegroups

  • eks:DescribeNodegroup

  • autoscaling:DescribeAutoScalingGroups

Además, la política AWS Identity and Access Management (IAM) asociada al usuario o rol que inicia la automatización debe permitir la ssm:GetParameter operación con los siguientes AWS Systems Manager parámetros públicos para obtener la última versión recomendada de Amazon EKS Amazon Machine Image (AMI) para los nodos de trabajo.

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id

Para cargar el informe generado por el manual de procedimientos en un bucket de Amazon S3, se requieren los siguientes permisos para el bucket específico de Amazon S3 que especifique.

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:PutObject

Pasos de documentos

  • aws:executeAwsApi: recopila detalles para el clúster de Amazon EKS especificado.

  • aws:executeScript- Recopila detalles de las instancias de Amazon Elastic Compute Cloud (Amazon EC2), los grupos de Auto Scaling y AMI los tipos de instancias gráficas de Amazon EC2 GPU.

  • aws:executeScript- Recopila detalles de la nube privada virtual (VPC), las subredes, las pasarelas de traducción de direcciones de red (NAT), las rutas de subred, los grupos de seguridad y las listas de control de acceso a la red (ACLs) del clúster de Amazon EKS.

  • aws:executeScript: recopila detalles de los perfiles de instancias y políticas de funciones de IAM adjuntos.

  • aws:executeScript: recopila detalles del bucket de Amazon S3 que especifique en el parámetro S3BucketName.

  • aws:executeScript: clasifica las subredes de Amazon VPC como públicas o privadas.

  • aws:executeScript: comprueba las subredes de Amazon VPC en busca de las etiquetas que se requieren como parte de un clúster de Amazon EKS.

  • aws:executeScript: comprueba las subredes de Amazon VPC en busca de las etiquetas necesarias para las subredes de Elastic Load Balancing.

  • aws:executeScript- Comprueba si las EC2 instancias de Amazon del nodo de trabajo utilizan la última versión optimizada AMI de Amazon EKS

  • aws:executeScript: comprueba si los grupos de seguridad de Amazon VPC conectados a los nodos de trabajo tienen las etiquetas necesarias.

  • aws:executeScript: comprueba las reglas del grupo de seguridad del clúster de Amazon EKS y del nodo de trabajo de Amazon VPC para las reglas de entrada recomendadas para el clúster de Amazon EKS.

  • aws:executeScript: comprueba las reglas del grupo de seguridad del clúster de Amazon EKS y del nodo de trabajo de Amazon VPC para las reglas de salida recomendadas desde el clúster de Amazon EKS.

  • aws:executeScript: comprueba la configuración de ACL de red de las subredes de Amazon VPC.

  • aws:executeScript- Comprueba si las EC2 instancias de Amazon del nodo de trabajo tienen las políticas gestionadas requeridas.

  • aws:executeScript: comprueba si los grupos de escalado automático tienen las etiquetas necesarias para el escalado automático del clúster.

  • aws:executeScript- Comprueba si las EC2 instancias de Amazon del nodo trabajador están conectadas a Internet.

  • aws:executeScript: genera un informe basado en los resultados de los pasos anteriores. Si se especifica un valor para el parámetro S3BucketName, el informe generado se carga en el bucket de Amazon S3.