AWSPremiumSupport-TroubleshootEKSCluster - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSPremiumSupport-TroubleshootEKSCluster

Descrizione

Il AWSPremiumSupport-TroubleshootEKSCluster runbook diagnostica i problemi più comuni relativi a un cluster Amazon Elastic Kubernetes Service (Amazon EKS), all'infrastruttura sottostante e fornisce i passaggi di correzione consigliati.

Importante

L'accesso ai AWSPremiumSupport-* runbook richiede un abbonamento Enterprise o Business Support. Per ulteriori informazioni, consulta Compare AWS Support Plans.

Se specifichi un valore per il S3BucketName parametro, l'automazione valuta lo stato della policy del bucket Amazon Simple Storage Service (Amazon S3) che hai specificato. Per contribuire alla sicurezza dei log raccolti dall' EC2 istanza, se lo stato della policy isPublic è impostato su o se l'elenco di controllo degli accessi (ACL) concede READ|WRITE le autorizzazioni al gruppo predefinito di Amazon S3All Users, i log non vengono caricati. true Per ulteriori informazioni sui gruppi predefiniti di Amazon S3, consulta i gruppi predefiniti di Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • ClusterName

    Tipo: stringa

    Descrizione: (Obbligatorio) Il nome del cluster Amazon EKS di cui desideri risolvere i problemi.

  • S3 BucketName

    Tipo: stringa

    Descrizione: (Obbligatorio) Il nome del bucket privato Amazon S3 in cui caricare il report generato dal runbook.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypes

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkAcls

  • iam:GetInstanceProfile

  • iam:ListInstanceProfiles

  • iam:ListAttachedRolePolicies

  • eks:DescribeCluster

  • eks:ListNodegroups

  • eks:DescribeNodegroup

  • autoscaling:DescribeAutoScalingGroups

Inoltre, la policy AWS Identity and Access Management (IAM) associata all'utente o al ruolo che avvia l'automazione deve consentire il ssm:GetParameter funzionamento dei seguenti AWS Systems Manager parametri pubblici per ottenere la versione più recente di Amazon EKS Amazon Machine Image (AMI) consigliata per i nodi di lavoro.

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id

Per caricare il report generato dal runbook in un bucket Amazon S3, sono necessarie le seguenti autorizzazioni per il bucket Amazon S3 specificato.

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:PutObject

Fasi del documento

  • aws:executeAwsApi- Raccoglie i dettagli per il cluster Amazon EKS specificato.

  • aws:executeScript- Raccoglie i dettagli delle istanze Amazon Elastic Compute Cloud EC2 (Amazon), dei gruppi di Auto Scaling e dei tipi di istanze AMI grafiche Amazon EC2 GPU.

  • aws:executeScript- Raccoglie i dettagli del cloud privato virtuale (VPC), delle sottoreti, dei gateway NAT (Network Address Translation), dei percorsi di sottorete, dei gruppi di sicurezza e delle liste di controllo degli accessi alla rete (ACLs) del cluster Amazon EKS.

  • aws:executeScript- Raccoglie i dettagli dei profili delle istanze IAM allegate e delle politiche dei ruoli.

  • aws:executeScript- Raccoglie i dettagli del bucket Amazon S3 specificato nel parametro. S3BucketName

  • aws:executeScript- Classifa le sottoreti Amazon VPC come pubbliche o private.

  • aws:executeScript- Verifica la presenza di tag nelle sottoreti Amazon VPC per individuare i tag necessari come parte di un cluster Amazon EKS.

  • aws:executeScript- Controlla le sottoreti Amazon VPC per i tag necessari per le sottoreti Elastic Load Balancing.

  • aws:executeScript- Verifica se le EC2 istanze Amazon del nodo di lavoro utilizzano le ultime versioni ottimizzate per AMI Amazon EKS

  • aws:executeScript- Verifica se i gruppi di sicurezza Amazon VPC sono collegati ai nodi di lavoro per i tag richiesti.

  • aws:executeScript- Verifica le regole del gruppo di sicurezza Amazon EKS e del nodo di lavoro Amazon VPC per le regole di ingresso consigliate nel cluster Amazon EKS.

  • aws:executeScript- Verifica le regole del gruppo di sicurezza Amazon VPC del cluster Amazon EKS e del nodo di lavoro per verificare le regole di uscita consigliate dal cluster Amazon EKS.

  • aws:executeScript- Verifica la configurazione ACL di rete delle sottoreti Amazon VPC.

  • aws:executeScript- Verifica se le EC2 istanze Amazon del nodo di lavoro dispongono delle politiche gestite richieste.

  • aws:executeScript- Verifica se i gruppi Auto Scaling dispongono dei tag necessari per la scalabilità automatica del cluster.

  • aws:executeScript- Verifica se le EC2 istanze Amazon del nodo di lavoro sono connesse a Internet.

  • aws:executeScript- Genera un rapporto basato sugli output dei passaggi precedenti. Se viene specificato un valore per il S3BucketName parametro, il report generato viene caricato nel bucket Amazon S3.