AWSSupport-TroubleshootECSTaskFailedToStart - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-TroubleshootECSTaskFailedToStart

Descrizione

Il AWSSupport-TroubleshootECSTaskFailedToStart runbook ti aiuta a risolvere il motivo per cui un'attività Amazon Elastic Container Service (Amazon ECS) in un cluster Amazon ECS non è riuscita ad avviarsi. È necessario eseguire questo runbook nello stesso modo in cui l'attività non è Regione AWS stata avviata. Il runbook analizza i seguenti problemi comuni che possono impedire l'avvio di un'attività:

  • Connettività di rete al registro dei contenitori configurato

  • Autorizzazioni IAM mancanti richieste dal ruolo di esecuzione dell'attività

  • Connettività endpoint VPC

  • Configurazione delle regole del gruppo di sicurezza

  • AWS Secrets Manager riferimenti segreti

  • Configurazione della registrazione

Nota

Se l'analisi determina che è necessario testare la connettività di rete, nel tuo account vengono creati una funzione Lambda e il ruolo IAM richiesto. Queste risorse vengono utilizzate per simulare la connettività di rete dell'operazione non riuscita. L'automazione elimina queste risorse quando non sono più necessarie. Tuttavia, se l'automazione non riesce a eliminare le risorse, è necessario farlo manualmente.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • ClusterName

    Tipo: stringa

    Descrizione: (Obbligatorio) Il nome del cluster Amazon ECS in cui l'attività non è stata avviata.

  • CloudwatchRetentionPeriod

    Tipo: integer

    Descrizione: (Facoltativo) Il periodo di conservazione, in giorni, per i log delle funzioni Lambda da archiviare in Amazon Logs. CloudWatch Ciò è necessario solo se l'analisi determina che la connettività di rete deve essere testata.

    Valori validi: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90

    Impostazione predefinita: 30

  • TaskId

    Tipo: stringa

    Descrizione: (Obbligatorio) L'ID dell'operazione non riuscita. Utilizza l'ultima operazione non riuscita.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • cloudtrail:LookupEvents

  • ec2:DeleteNetworkInterface

  • ec2:DescribeInstances

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeIamInstanceProfileAssociations

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeRouteTables

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ecr:DescribeImages

  • ecr:GetRepositoryPolicy

  • ecs:DescribeContainerInstances

  • ecs:DescribeServices

  • ecs:DescribeTaskDefinition

  • ecs:DescribeTasks

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListRoles

  • iam:PassRole

  • iam:SimulateCustomPolicy

  • iam:SimulatePrincipalPolicy

  • kms:DescribeKey

  • lambda:CreateFunction

  • lambda:DeleteFunction

  • lambda:GetFunctionConfiguration

  • lambda:InvokeFunction

  • lambda:TagResource

  • logs:DescribeLogGroups

  • logs:PutRetentionPolicy

  • secretsmanager:DescribeSecret

  • ssm:DescribeParameters

  • sts:GetCallerIdentity

Fasi del documento

  • aws:executeScript- Verifica che l'utente o il ruolo che ha avviato l'automazione disponga delle autorizzazioni IAM richieste. Se non disponi di autorizzazioni sufficienti per utilizzare questo runbook, le autorizzazioni richieste mancanti vengono incluse nell'output dell'automazione.

  • aws:branch- Suddivisione in base alla disponibilità o meno delle autorizzazioni per tutte le azioni richieste per il runbook.

  • aws:executeScript- Crea una funzione Lambda nel tuo VPC se l'analisi determina che la connettività di rete deve essere testata.

  • aws:branch- Filiali basate sui risultati del passaggio precedente.

  • aws:executeScript- Analizza le possibili cause del mancato avvio dell'attività.

  • aws:executeScript- Elimina le risorse create da questa automazione.

  • aws:executeScript- Formatta l'output dell'automazione per restituire i risultati dell'analisi alla console. È possibile rivedere l'analisi dopo questo passaggio prima del completamento dell'automazione.

  • aws:branch- I rami dipendono dal fatto che la funzione Lambda e le risorse associate siano state create e debbano essere eliminate.

  • aws:sleep- Dorme per 30 minuti in modo che l'interfaccia di rete elastica per la funzione Lambda possa essere eliminata.

  • aws:executeScript- Elimina l'interfaccia di rete della funzione Lambda.

  • aws:executeScript- Formatta l'output della fase di eliminazione dell'interfaccia di rete della funzione Lambda.