AWSPremiumSupport-TroubleshootEKSCluster - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSPremiumSupport-TroubleshootEKSCluster

Deskripsi

AWSPremiumSupport-TroubleshootEKSClusterRunbook mendiagnosis masalah umum dengan klaster Amazon Elastic Kubernetes Service (Amazon EKS), infrastruktur dasar, dan menyediakan langkah-langkah remediasi yang direkomendasikan.

penting

Akses ke AWSPremiumSupport-* runbook memerlukan Langganan Enterprise atau Business Support. Untuk informasi selengkapnya, lihat Bandingkan Paket AWS Dukungan.

Jika Anda menentukan nilai untuk S3BucketName parameter, otomatisasi akan mengevaluasi status kebijakan bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) yang Anda tentukan. Untuk membantu keamanan log yang dikumpulkan dari EC2 instance Anda, jika status kebijakan isPublic disetel ketrue, atau jika daftar kontrol akses (ACL) memberikan READ|WRITE izin ke grup All Users Amazon S3 yang telah ditentukan sebelumnya, log tidak akan diunggah. Untuk informasi selengkapnya tentang grup Amazon S3 yang telah ditentukan sebelumnya, lihat grup Amazon S3 yang telah ditentukan sebelumnya di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux,macOS, Windows

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • ClusterName

    Tipe: String

    Deskripsi: (Wajib) Nama klaster Amazon EKS yang ingin Anda pecahkan masalah.

  • S3 BucketName

    Tipe: String

    Deskripsi: (Wajib) Nama bucket Amazon S3 pribadi tempat laporan yang dihasilkan oleh runbook harus diunggah.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypes

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkAcls

  • iam:GetInstanceProfile

  • iam:ListInstanceProfiles

  • iam:ListAttachedRolePolicies

  • eks:DescribeCluster

  • eks:ListNodegroups

  • eks:DescribeNodegroup

  • autoscaling:DescribeAutoScalingGroups

Selain itu, kebijakan AWS Identity and Access Management (IAM) yang dilampirkan ke pengguna atau peran yang memulai otomatisasi harus mengizinkan ssm:GetParameter operasi ke AWS Systems Manager parameter publik berikut untuk mendapatkan Amazon EKS Amazon Machine Image (AMI) terbaru yang direkomendasikan untuk node pekerja.

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id

Untuk mengunggah laporan yang dihasilkan oleh runbook ke bucket Amazon S3, izin berikut diperlukan untuk bucket Amazon S3 tertentu yang Anda tentukan.

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:PutObject

Langkah Dokumen

  • aws:executeAwsApi- Mengumpulkan detail untuk cluster Amazon EKS yang ditentukan.

  • aws:executeScript- Mengumpulkan detail instans Amazon Elastic Compute Cloud EC2 (Amazon), grup Auto ScalingAMI, s, dan jenis instans grafis GPU Amazon EC2 .

  • aws:executeScript- Mengumpulkan rincian virtual private cloud (VPC), subnet, gateway terjemahan alamat jaringan (NAT), rute subnet, grup keamanan dan daftar kontrol akses jaringan (ACLs) dari cluster Amazon EKS.

  • aws:executeScript- Mengumpulkan rincian profil instans IAM terlampir dan kebijakan peran.

  • aws:executeScript- Mengumpulkan detail bucket Amazon S3 yang Anda tentukan dalam S3BucketName parameter.

  • aws:executeScript- Mengklasifikasikan subnet VPC Amazon sebagai publik atau pribadi.

  • aws:executeScript- Memeriksa subnet Amazon VPC untuk tag yang diperlukan sebagai bagian dari kluster Amazon EKS.

  • aws:executeScript- Memeriksa subnet Amazon VPC untuk tag yang diperlukan untuk subnet Elastic Load Balancing.

  • aws:executeScript- Memeriksa apakah EC2 instance Amazon node pekerja menggunakan Amazon EKS terbaru yang dioptimalkan AMI

  • aws:executeScript- Memeriksa apakah grup keamanan Amazon VPC dilampirkan ke node pekerja untuk tag yang diperlukan.

  • aws:executeScript- Memeriksa aturan grup keamanan Amazon EKS dan node pekerja Amazon VPC untuk aturan masuk yang direkomendasikan ke klaster Amazon EKS.

  • aws:executeScript- Memeriksa aturan grup keamanan Amazon EKS dan node pekerja Amazon VPC untuk aturan jalan keluar yang direkomendasikan dari klaster Amazon EKS.

  • aws:executeScript- Memeriksa konfigurasi ACL jaringan dari subnet Amazon VPC.

  • aws:executeScript- Memeriksa apakah EC2 instance Amazon node pekerja memiliki kebijakan terkelola yang diperlukan.

  • aws:executeScript- Memeriksa apakah grup Auto Scaling memiliki tag yang diperlukan untuk penskalaan otomatis cluster.

  • aws:executeScript- Memeriksa apakah EC2 instance Amazon node pekerja terhubung ke internet.

  • aws:executeScript- Menghasilkan laporan berdasarkan output dari langkah sebelumnya. Jika nilai ditentukan untuk S3BucketName parameter, laporan yang dihasilkan akan diunggah ke bucket Amazon S3.