AWSSupport-TroubleshootOpenSearchHighCPU - AWS Systems Manager 自動化ランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-TroubleshootOpenSearchHighCPU

説明

AWSSupport-TroubleshootOpenSearchHighCPU ランブックは、Amazon OpenSearch Service ドメインから診断データを収集し、CPU の高い問題をトラブルシューティングする自動化されたソリューションを提供します。

動作の仕組み

AWSSupport-TroubleshootOpenSearchHighCPU ランブックは、Amazon OpenSearch Service ドメインの CPU 使用率が高い場合のトラブルシューティングに役立ちます。

ランブックは次のステップを実行します。

  • 指定された Amazon OpenSearch Service ドメインに対して DescribeDomain API を実行して、クラスターメタデータを取得します。

  • Amazon OpenSearch Service ドメインがパブリックか Amazon VPC ベースかを確認し CloudFormation、 の助けを借りてパブリックまたは Amazon VPC ベースの AWS Lambda 関数を作成します。

  • Lambda 関数は、Amazon OpenSearch Service ドメインから診断データを取得します。

  • AWS Step Functions ステートマシンを使用して複数の Lambda 関数の実行を調整し、より包括的なデータを収集します。

  • デフォルトでは、収集されたデータを Amazon CloudWatch ロググループに 24 時間保存します。

  • CloudWatch ロググループを除く、作成されたリソースを削除します。

ドキュメントタイプ

Automation

[所有者]

Amazon

[Platforms] (プラットフォーム)

Linux、macOS、Windows

パラメータ

必要な IAM アクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • cloudformation:CreateStack

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:DescribeStackEvents

  • cloudformation:DeleteStack

  • lambda:CreateFunction

  • lambda:DeleteFunction

  • lambda:InvokeFunction

  • lambda:GetFunction

  • lambda:TagResource

  • es:DescribeDomain

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkInterfaces

  • ec2:CreateNetworkInterface

  • ec2:DescribeInstances

  • ec2:AttachNetworkInterface

  • ec2:DeleteNetworkInterface

  • logs:CreateLogGroup

  • logs:PutRetentionPolicy

  • logs:TagResource

  • states:CreateStateMachine

  • states:DeleteStateMachine

  • states:StartExecution

  • states:TagResource

  • states:DescribeStateMachine

  • states:DescribeExecution

  • iam:PassRole

  • iam:CreateRole

  • iam:DeleteRole

  • iam:GetRole

  • iam:PutRolePolicy

  • iam:DeleteRolePolicy

  • ssm:DescribeAutomationExecutions

  • ssm:GetAutomationExecution

ランブックを正常に使用するには、 LambdaExecutionRoleパラメータに次のアクションが必要です。

  • es:ESHttpGet

  • ec2:CreateNetworkInterface

  • ec2:DescribeNetworkInterfaces

  • ec2:DeleteNetworkInterface

  • logs:CreateLogStream

  • logs:PutLogEvents

Lambda 実行ロールは、このランブックに必要な AWS サービスとリソースにアクセスするためのアクセス許可を関数に付与します。詳細については、「Lambda 実行ロール」を参照してください。

注記

ec2:DescribeNetworkInterfacesec2:CreateNetworkInterface、および ec2:DeleteNetworkInterfaceは、Lambda 関数が Amazon VPC ネットワークインターフェイスを作成および管理できるようにするために、OpenSearch Service クラスターが Amazon VPC ベースである場合にのみ必要です。 https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html詳細については、「Amazon VPC のリソースへのアウトバウンドネットワークの接続」および「Lambda 実行ロール」を参照してください。

指示

次の手順に従って自動化を設定します。

  1. コンソールで AWSSupport-TroubleshootOpenSearchHighCPU AWS Systems Manager に移動します。

  2. [Execute automation] (オートメーションを実行) を選択します。

  3. 次の入力パラメータを入力します。

    • AutomationAssumeRole(オプション):

      Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

    • DomainName (必須):

      CPU の大きな問題についてトラブルシューティングする Amazon OpenSearch Service ドメインの名前。

    • LambdaExecutionRoleForOpenSearch (必須):

      Lambda 関数にアタッチする IAM ロールの ARN。Lambda 関数は、このロールの認証情報を使用して Amazon OpenSearch Service ドメインへのリクエストに署名します。Amazon OpenSearch Service ドメインできめ細かなアクセスコントロールが有効になっている場合は、このロールを「cluster_monitor」以上のアクセス許可を持つ OpenSearch Service Dashboards バックエンドロールにマッピングする必要があります。

    • DataRetentionDays (オプション):

      Amazon OpenSearch Service ドメインから収集された診断データを保持する日数。デフォルトでは、データは 24 時間 (1 日) 保持されます。データは最大 30 日間保持できます。

    • NumberOfDataSamples (オプション):

      Amazon OpenSearch Service ドメインから収集するデータサンプルの数。デフォルトでは、5 つのデータサンプルが収集されます。最大 10 個のサンプルを収集でき、サンプルコレクションごとに Lambda 関数が呼び出されます。

    Input parameters form for AWS Systems Manager Automation with fields for roles and settings.

  4. OpenSearch Service クラスターできめ細かなアクセスコントロールを有効にしている場合は、LambdaExecutionRoleロール ARN が少なくとも アクセスcluster_monitor許可を持つロールにマッピングされていることを確認してください。

    クラスター permissions section showing cluster_monitor permission granted.
    Backend roles interface showing an AWSIAM role for Lambda execution and options to remove or add roles.

  5. [実行] を選択します。

  6. 自動化が開始されます。

  7. 自動化ランブックは以下のステップを実行します。

    • checkConcurrency:

      指定された Amazon OpenSearch Service ドメインを対象とするこのランブックの実行が 1 つだけであることを確認します。ランブックが同じドメイン名をターゲットとする別の実行を検出すると、エラーが返され、終了します。

    • getDomainConfig:

      ターゲット OpenSearch Service ドメインの設定の詳細を取得します。

    • provisionResources:

      を使用してデータ収集用のリソースをプロビジョニングします CloudFormation。

    • waitForStackCreation:

      CloudFormation スタックが完了するまで待ちます。

    • describeStackResources:

      CloudFormation スタックを記述し、ステートマシンの ARN を取得します。

    • runStateMachine:

      Step Functions ステートマシンを実行して、データコレクターの Lambda 関数を 1 回以上呼び出します。

    • describeErrorsFromStackEvents:

      CloudFormation スタックのエラーについて説明します。

    • unstageOpenSearchHighCPUAutomation:

      AWSSupport-TroubleshootOpenSearchHighCPU CloudFormation スタックを削除します。

    • describeErrorsFromStackDeletion:

      CloudFormation スタックの削除中に発生したエラーについて説明します。

    • finalStatus:

      AWSSupport-TroubleshootOpenSearchHighCPU ランブックの最終出力を返します。

  8. 完了したら、出力セクションで詳細な実行結果を確認します。

    • finalStatus.FinalOutput:

      診断データが保存されている CloudWatch ロググループを提供します。

    Output message indicating hot thread data collection completed with log group details.

リファレンス

Systems Manager Automation

AWS サービスドキュメント