本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
針對 AMS 中的 RFC 錯誤進行故障診斷
許多 AMS 佈建 RFC 失敗可以透過 CloudFormation 文件進行調查。請參閱對 AWS CloudFormation 進行故障診斷:對錯誤進行故障診斷
以下各節提供其他疑難排解建議。
AMS 中的「管理」RFC 錯誤
AMS「管理」類別變更類型 CTs) 可讓您請求存取資源,以及管理現有的資源。本節說明一些常見問題。
RFC 存取錯誤
如需其他存取 RFC 失敗的說明,請參閱存取管理。
YouTube 影片:如何正確提出變更請求 (RFC),以避免拒絕和失敗?
RFC (手動) CT 排程錯誤
大多數變更類型是 ExecutionMode=Automated,但有些是 ExecutionMode=Manual,這會影響您應該如何排程它們以避免 RFC 失敗。
如果您使用 AMS 主控台建立 RFCs則使用 ExecutionMode=Manual 的排程 RFC 必須設定為未來至少 24 小時執行。此警告不適用於 AMS API/CLI,但請務必提前至少 8 小時排程手動 RFCs。
AMS 旨在四小時內回應手動 CT,並會盡快對應,但實際執行 RFC 可能需要更長的時間。
搭配手動更新 CTs使用 RFCs
當您要更新的堆疊類型有更新變更類型時,AMS Operations 會拒絕管理 | 其他 | 其他 RFCs 更新堆疊。
RFC 刪除堆疊錯誤
RFC 刪除堆疊失敗:如果您使用管理 | 標準堆疊 | 堆疊 | 刪除 CT,您會在 AWS CloudFormation 主控台中看到具有 AMS 堆疊名稱之堆疊的詳細事件。您可以對照 AMS 主控台中的堆疊名稱來檢查堆疊。 AWS CloudFormation 主控台提供有關失敗原因的更多詳細資訊。
在刪除堆疊之前,您應該考慮堆疊的建立方式。如果您使用 AMS CT 建立堆疊,但未新增或編輯堆疊資源,則可以預期刪除堆疊,而不會發生問題。不過,建議您先從堆疊移除任何手動新增的資源,再提交刪除堆疊 RFC。例如,如果您使用完整堆疊 CT (HA Two Tier) 建立堆疊,它會包含安全群組 - SG1。如果您接著使用 AMS 建立另一個安全群組 - SG2SG2,並在建立為完整堆疊一部分的 SG1 中參考新的 SG2,然後使用刪除堆疊 CT 刪除堆疊,則 SG1 不會刪除,因為它由 SG2 參考。
重要
刪除堆疊可能會產生不想要和非預期的後果。基於此原因,AMS 偏好 *not* 代表客戶刪除堆疊或堆疊資源。請注意,AMS 只會代表您刪除無法使用適當的自動變更類型刪除的資源 (透過提交的管理 | 其他 | 其他 | 更新變更類型)。其他考量
如果資源已啟用「刪除保護」,則如果您提交管理 | 其他 | 其他 | 更新變更類型,且刪除保護移除後,您可以使用自動 CT 來刪除該資源,則 AMS 可協助解除封鎖。
如果堆疊中有多個資源,而且您只想要刪除一部分的堆疊資源,請使用 CloudFormation 更新變更類型 (請參閱 CloudFormation 擷取堆疊:更新)。您也可以提交管理 | 其他 | 其他 | 更新變更類型,如有需要,AMS 工程師可協助您製作變更集。
如果您提交管理 | 其他 | 其他 | 更新以解決偏離 (在 AWS CloudFormation CloudFormation Service 支援的範圍內),並提供 ChangeSet,然後您可以使用自動化 CT、管理/自訂堆疊/堆疊從 CloudFormation 範本/核准變更集和更新來驗證和執行,則 AMS 可以提供協助。
AMS 會維護上述限制,以協助確保沒有非預期或非預期的資源刪除。
如需詳細資訊,請參閱 AWS CloudFormation 故障診斷:刪除堆疊失敗。
RFC 更新 DNS 錯誤
更新 DNS 託管區域的多個 RFCs 可能會失敗,有些可能沒有原因。同時建立多個 RFCs以更新 DNS 託管區域 (私有或公有) 可能會導致某些 RFCs因為它們同時嘗試更新相同的堆疊。AMS 變更管理拒絕或失敗無法更新堆疊的 RFCs,因為堆疊已由另一個 RFC 更新。AMS 建議您一次建立一個 RFC,並等待 RFC 成功,然後再為相同的堆疊提出新的 RFC。
RFC IAM 實體錯誤
AMS 會將多個預設 IAM 角色和設定檔佈建至專為滿足您的需求而設計的 AMS 帳戶。不過,您可能需要偶爾請求額外的 IAM 資源。
提交請求自訂 IAM 資源RFCs 程序遵循手動 RFCs的標準工作流程,但核准程序也包含安全審查,以確保採取適當的安全控制。因此,程序通常需要比其他手動 RFCs更長的時間。若要縮短這些 RFCs的週期時間,請遵循下列準則。
如需 IAM 審核的含義及其如何映射至技術標準和風險接受程序的詳細資訊,請參閱 了解 RFC 安全性審查。
常見的 IAM 資源請求:
如果您要求與主要雲端相容應用程式相關的政策,例如 CloudEndure,請參閱 AMS 預先核准的 IAM CloudEndure 政策:解壓縮 WIGs 雲端持久性登陸區域範例檔案並開啟
customer_cloud_endure_policy.json注意
如果您想要更寬鬆的政策,請與您的 CloudArchitect/CSDM 討論您的需求,並視需要在提交實作政策的 RFC 之前取得 AMS 安全審查和簽署。
如果您想要修改 AMS 預設在帳戶中部署的資源,建議您要求修改後的資源複本,而不是變更現有的資源複本。
如果您要請求人類使用者的許可 (而不是將許可連接到使用者),請將許可連接到角色,然後授予使用者擔任該角色的許可。如需執行此操作的詳細資訊,請參閱暫時 AMS Advanced 主控台存取。
如果您需要臨時遷移或工作流程的特殊許可,請在請求中提供這些許可的結束日期。
如果您已與安全團隊討論請求的主旨,請盡可能向 CSDM 提供其核准的證據,並提供詳細資訊。
如果 AMS 拒絕 IAM RFC,我們會提供拒絕的明確原因。例如,我們可能會拒絕 IAM 政策建立請求,並解釋政策的不適當之處。在這種情況下,您可以進行已識別的變更並重新提交請求。如果需要進一步釐清請求的狀態,請提交服務請求,或聯絡您的 CSDM。
下列清單說明 AMS 檢閱 IAM RFCs 時嘗試緩解的典型風險。如果您的 IAM RFC 有任何這些風險,可能會導致 RFC 遭到拒絕。如果您需要例外狀況,AMS 會向您的安全團隊請求核准。若要尋求此類例外狀況,請與 CSDM 協調。
注意
AMS 可能會基於任何原因拒絕對帳戶內部 IAM 資源的任何變更。如需有關 RFC 拒絕的疑慮,請透過服務請求聯絡 AMS Operations,或聯絡您的 CSDM。
權限提升,例如允許您修改自己的許可,或修改帳戶中其他資源許可的許可。範例:
使用
iam:PassRole搭配另一個更特殊權限的角色。從角色或使用者連接/提取 IAM 政策的許可。
帳戶中 IAM 政策的修改。
在管理基礎設施環境中進行 API 呼叫的能力。
修改為您提供 AMS 服務所需的資源或應用程式的許可。範例:
修改 AMS 基礎設施,例如堡壘、管理主機或 EPS 基礎設施。
刪除日誌管理 AWS Lambda 函數或日誌串流。
預設 CloudTrail 監控應用程式的刪除或修改。
Directory Services Active Directory (AD) 的修改。
停用 CloudWatch (CW) 警示。
修改 帳戶中部署做為登陸區域一部分的主體、政策和命名空間。
在最佳實務之外部署基礎設施,例如允許在危及資訊安全的狀態下建立基礎設施的許可。範例:
建立公有或未加密的 S3 儲存貯體或公開共用 EBS 磁碟區。
公有 IP 地址的佈建。
修改安全群組以允許廣泛存取。
過於廣泛的許可,可能導致應用程式影響,例如可能導致基礎設施和帳戶中應用程式的資料遺失、完整性遺失、不當組態或服務中斷的許可。範例:
透過
ModifyNetworkInterfaceAttribute或 等 APIs 停用或重新導向網路流量UpdateRouteTable。透過從受管主機分離磁碟區來停用受管基礎設施。
不屬於 AMS 服務描述且 AMS 不支援的服務許可。
AMS 服務描述中未列出的服務無法在 AMS 帳戶中使用。若要請求支援某項功能或服務,請聯絡您的 CSDM。
不符合您所述目標的許可,因為這些許可太慷慨或過於保守,或是套用至錯誤的資源。範例:
請求對具有強制 KMS 加密的 S3 儲存貯體
s3:PutObject的許可,而沒有相關金鑰的KMS:Encrypt許可。與帳戶中不存在的資源相關的許可。
IAM RFCs,其中 RFC 的描述似乎不符合請求。
「部署」RFC 錯誤
AMS「部署」類別變更類型 CTs) 可讓您請求將各種 AMS 支援的資源新增至您的帳戶。
大多數建立資源的 AMS CTs 都是以 AWS CloudFormation 範本為基礎。身為客戶,您可以唯讀存取所有 AWS 服務 AWS CloudFormation,包括,您可以使用 AWS CloudFormation 主控台,根據堆疊描述快速識別 AWS CloudFormation 代表您堆疊的堆疊。失敗的堆疊可能處於 DELETE_COMPLETE 狀態。識別 AWS CloudFormation 堆疊後,事件會顯示無法建立的特定資源,以及原因。
使用 CloudFormation 文件進行疑難排解
大多數 AMS 佈建 RFCs使用 CloudFormation 範本,該文件有助於進行故障診斷。請參閱該 AWS CloudFormation 範本的文件:
建立應用程式負載平衡器失敗:AWS::ElasticLoadBalancingV2::LoadBalancer (Application Load Balancer)
建立 Auto Scaling 群組:AWS::AutoScaling::AutoScalingGroup (Auto Scaling 群組)
建立 memcached 快取:AWS::ElastiCache::CacheCluster (快取叢集)
建立 Redis 快取:AWS::ElastiCache::CacheCluster (快取叢集)
建立 DNS 託管區域 (與建立 DNS 私有/公有搭配使用):AWS::Route53::HostedZone (R53 託管區域)
建立 DNS 紀錄集 (與建立 DNS 私有/公有搭配使用):AWS::Route53::RecordSet (資源紀錄集)
建立 EC2 堆疊:AWS::EC2::Instance (彈性運算雲端)
建立彈性檔案系統 (EFS):AWS::EFS::FileSystem (彈性檔案系統)
Create Load Balancer:AWS::ElasticLoadBalancing::LoadBalancer (Elastic Load Balancer)
建立 RDS 資料庫:AWS::RDS::DBInstance (關聯式資料庫)
建立 Amazon S3:AWS::S3::Bucket (簡易儲存服務)
RFC 建立 AMIs錯誤
Amazon Machine Image (AMI) 是一種範本,其中包含軟體組態 (例如作業系統、應用程式伺服器和應用程式)。您可從 AMI 啟動執行個體,執行個體是 AMI 的複本,在雲端中以虛擬伺服器的形式執行。AMIs 非常有用,而且需要建立 EC2 執行個體或 Auto Scaling 群組;不過,您必須遵守一些需求:
您為 指定的執行個體
Ec2InstanceId必須處於停止狀態,RFC 才能成功。請勿將 Auto Scaling 群組 (ASG) 執行個體用於此參數,因為 ASG 會終止已停止的執行個體。若要建立 AMS Amazon Machine Image (AMI),您必須從 AMS 執行個體開始。在您可以使用執行個體來建立 AMI 之前,您必須先確保其已停止並從其網域中退出,以做好準備。如需詳細資訊,請參閱使用 Sysprep 建立標準 Amazon Machine Image
您為新 AMI 指定的名稱在帳戶中必須是唯一的,否則 RFC 失敗。如何執行此作業,請參閱 AMI | Create,如需詳細資訊,請參閱 和 AWS AMI Design
。
注意
如需準備建立 AMI 的詳細資訊,請參閱 AMI | Create。
建立 EC2s或 ASGs錯誤的 RFCs
對於具有逾時的 EC2 或 ASG 失敗,AMS 建議您確認使用的 AMI 是否已自訂。如果是,請參閱本指南中包含的 AMI 建立步驟 (請參閱 AMI | Create),以確保正確建立 AMI。建立自訂 AMI 時的常見錯誤未遵循指南中的步驟來重新命名或叫用 Sysprep。
建立 RDS RFCs
Amazon Relational Database Service (RDS) 失敗可能有許多不同的原因,因為您可以在建立 RDS 時使用許多不同的引擎,而且每個引擎都有自己的需求和限制。嘗試建立 AMS RDS 堆疊之前,請仔細檢閱 AWS RDS 參數值,請參閱 CreateDBInstance。
若要進一步了解 Amazon RDS,包括大小建議,請參閱 Amazon Relational Database Service 文件
建立 Amazon S3s 錯誤的 RFCs
建立 S3 儲存貯體時,一個常見的錯誤不是使用儲存貯體的唯一名稱。如果您提交的名稱與先前提交的名稱相同的 S3 儲存貯體建立 CT,將會失敗,因為 S3 儲存貯體已存在於該 BucketName。這將在 AWS CloudFormation 主控台中詳細說明,您將在其中看到堆疊事件顯示儲存貯體名稱已在使用中。
RFC 驗證與執行錯誤
RFC 失敗和相關訊息在所選 RFC 的 AMS 主控台 RFC 詳細資訊頁面上的輸出訊息中不同:
驗證失敗原因僅適用於狀態欄位
執行失敗原因可在執行輸出和狀態欄位中取得。
RFC 錯誤訊息
當您遇到下列所列變更類型 (CTs的錯誤時,您可以使用這些解決方案來協助您尋找問題來源並加以修正。
{"errorMessage":"An error has occurred during RFC execution. We are investigating the issue.","errorType":"InternalError"}
如果您在參考下列疑難排解選項後需要進一步協助,請透過 RFC 通訊聯絡 AMS 或建立服務請求。如需詳細資訊,請參閱 RFC 通訊和連接 (主控台) 和在 AMS 中建立服務請求。
工作負載擷取 (WIGS) 錯誤
注意
您可以下載適用於 Windows 和 Linux 的驗證工具,並直接在內部部署伺服器以及 AWS 中的 EC2 執行個體上執行。這些可透過 AMS 進階應用程式開發人員指南的遷移工作負載:Linux 擷取前驗證和遷移工作負載:Windows 擷取前驗證找到。
確定 EC2 執行個體存在於目標 AMS 帳戶中。例如,如果您已將 AMI 從非 AMS 帳戶共用到 AMS 帳戶,您必須先使用共用 AMI 在 AMS 帳戶中建立 EC2 執行個體,才能提交工作負載擷取 RFC。
檢查連接至執行個體的安全群組是否允許輸出流量。SSM 代理程式需要能夠連線到其公有端點。
檢查執行個體是否具有與 SSM 代理程式連線的正確許可。這些許可隨附於
customer-mc-ec2-instance-profile,您可以在 EC2 主控台中檢查此項目:
EC2 執行個體堆疊停止錯誤
檢查執行個體是否已處於已停止或終止狀態。
如果 EC2 執行個體在線上且您看到
InternalError錯誤,請提交服務請求讓 AMS 進行調查。請注意,您無法使用變更類型管理 | 進階堆疊元件 | EC2 執行個體堆疊 | 停止 ct-3mvvt2zkyveqj 來停止 Auto Scaling 群組 (ASG) 執行個體。如果您需要停止 ASG 執行個體,請提交服務請求。
EC2 執行個體堆疊建立錯誤
InternalError 訊息來自 CloudFormation;CREATION_FAILED 狀態原因。您可以依照下列步驟,在 CloudWatch 堆疊事件中找到堆疊失敗的詳細資訊:
在 AWS 管理主控台中,您可以在建立、更新或刪除堆疊時檢視堆疊事件的清單。從這個清單中找到故障的事件,然後檢視該事件的狀態原因。
狀態原因可能包含來自 AWS CloudFormation 或特定服務的錯誤訊息,可協助您了解問題。
如需檢視堆疊事件的詳細資訊,請參閱 AWS 管理主控台上的檢視 AWS CloudFormation 堆疊資料和資源。
EC2 執行個體磁碟區還原錯誤
當 EC2 執行個體磁碟區還原失敗時,AMS 會建立內部故障診斷 RFC。這是因為 EC2 執行個體磁碟區還原是災難復原 (DR) 的重要部分,而 AMS 會自動為您建立此內部故障診斷 RFC。
建立內部故障診斷 RFC 時,會顯示橫幅,為您提供 RFC 的連結。此內部故障診斷 RFC 可讓您更清楚了解 RFC 失敗,而不是提交導致相同錯誤的重試 RFCs,或讓您針對此失敗手動聯絡 AMS,您可以追蹤變更並知道 AMS 正在處理失敗。這也減少了其變更time-to-recovery (TTR) 指標,因為 AMS Operators 會主動處理 RFC 失敗,而不是等待您的請求。
如何取得 RFC 的協助
您可以聯絡 AMS 來識別失敗的根本原因。AMS 營業時間為 24 小時,全年無休。
AMS 提供多種管道,供您尋求協助或提出服務請求。
若要要求資訊或建議,或存取 AMS 受管 IT 服務,或從 AMS 請求其他服務,請使用 AMS 主控台並提交服務請求。如需詳細資訊,請參閱建立服務請求。如需 AMS 服務請求的一般資訊,請參閱服務請求管理。
若要報告影響受管環境的 AWS 或 AMS 服務效能問題,請使用 AMS 主控台並提交事件報告。如需詳細資訊,請參閱報告事件。如需 AMS 事件管理的一般資訊,請參閱事件回應。
有關您或您的資源或應用程式如何使用 AMS 的特定問題,或要呈報事件,請傳送電子郵件至下列一或多個:
首先,如果您不滿意服務請求或事件報告回應,請傳送電子郵件給 CSDM:ams-csdm@amazon.com
接下來,如果需要呈報,您可以傳送電子郵件給 AMS Operations Manager (但您的 CSDM 可能會這樣做):ams-opsmanager@amazon.com
進一步呈報將向 AMS Director 呈報:ams-director@amazon.com
最後,您可以隨時聯絡 AMS VP:ams-vp@amazon.com
