AWSPremiumSupport-TroubleshootEKSCluster - AWS Systems Manager 自動化 Runbook 參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSPremiumSupport-TroubleshootEKSCluster

Description

AWSPremiumSupport-TroubleshootEKSCluster Runbook 會診斷 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集、基礎基礎設施的常見問題,並提供建議的修補步驟。

重要

存取 AWSPremiumSupport-* Runbook 需要企業或商業支援訂閱。如需詳細資訊,請參閱比較 AWS 支援計劃

如果您指定 S3BucketName 參數的值,自動化會評估您指定的 Amazon Simple Storage Service (Amazon S3) 儲存貯體的政策狀態。為了協助保護從 EC2 執行個體收集之日誌的安全性,如果政策狀態isPublic設定為 true ,或存取控制清單 (ACL) 將READ|WRITE許可授予 All Users Amazon S3 預先定義的群組,則不會上傳日誌。如需 Amazon S3 預先定義群組的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的 Amazon S3 預先定義群組

執行此自動化 (主控台)

文件類型

 自動化

擁有者

Amazon

平台

Linux、macOS、 Windows

參數

  • AutomationAssumeRole

    類型:字串

    描述:(選用) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 的使用者許可。

  • ClusterName

    類型:字串

    描述:(必要) 您要疑難排解的 Amazon EKS 叢集名稱。

  • S3BucketName

    類型:字串

    描述:(必要) 應上傳 Runbook 產生的報告之私有 Amazon S3 儲存貯體的名稱。

必要的 IAM 許可

AutomationAssumeRole 參數需要下列動作才能成功使用 Runbook。

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypes

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkAcls

  • iam:GetInstanceProfile

  • iam:ListInstanceProfiles

  • iam:ListAttachedRolePolicies

  • eks:DescribeCluster

  • eks:ListNodegroups

  • eks:DescribeNodegroup

  • autoscaling:DescribeAutoScalingGroups

此外,連接至啟動自動化之使用者或角色的 AWS Identity and Access Management (IAM) 政策必須允許對下列公有 AWS Systems Manager 參數執行 ssm:GetParameter操作,以取得工作者節點的最新建議 Amazon EKS Amazon Machine Image(AMI)。

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id

若要將 Runbook 產生的報告上傳至 Amazon S3 儲存貯體,您指定的 Amazon S3 儲存貯體需要下列許可。

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:PutObject

文件步驟

  • aws:executeAwsApi - 收集指定 Amazon EKS 叢集的詳細資訊。

  • aws:executeScript - 收集 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Auto Scaling 群組、 AMI和 Amazon EC2 GPU 圖形執行個體類型的詳細資訊。

  • aws:executeScript - 收集 Amazon EKS 叢集的虛擬私有雲端 (VPC)、子網路、網路位址轉譯 (NAT) 閘道、子網路路由、安全群組和網路存取控制清單 (ACLs) 的詳細資訊。

  • aws:executeScript - 收集已連接 IAM 執行個體描述檔和角色政策的詳細資訊。

  • aws:executeScript - 收集您在 S3BucketName 參數中指定的 Amazon S3 儲存貯體詳細資訊。

  • aws:executeScript - 將 Amazon VPC 子網路分類為公有或私有。

  • aws:executeScript - 檢查 Amazon VPC 子網路是否有 Amazon EKS 叢集所需的標籤。

  • aws:executeScript - 檢查 Amazon VPC 子網路是否有 Elastic Load Balancing 子網路所需的標籤。

  • aws:executeScript - 檢查工作者節點 Amazon EC2 執行個體是否使用最新的 Amazon EKS 最佳化 AMI

  • aws:executeScript - 檢查連接至工作者節點的 Amazon VPC 安全群組是否需要標籤。

  • aws:executeScript - 檢查 Amazon EKS 叢集和工作者節點 Amazon VPC 安全群組規則是否有建議傳入 Amazon EKS 叢集的規則。

  • aws:executeScript - 檢查 Amazon EKS 叢集和工作者節點 Amazon VPC 安全群組規則是否有從 Amazon EKS 叢集的建議輸出規則。

  • aws:executeScript - 檢查 Amazon VPC 子網路的網路 ACL 組態。

  • aws:executeScript - 檢查工作者節點 Amazon EC2 執行個體是否具有所需的受管政策。

  • aws:executeScript - 檢查 Auto Scaling 群組是否具有叢集自動擴展所需的標籤。

  • aws:executeScript - 檢查工作者節點 Amazon EC2 執行個體是否已連線至網際網路。

  • aws:executeScript - 根據先前步驟的輸出產生報告。如果為 S3BucketName 參數指定值,產生的報告會上傳到 Amazon S3 儲存貯體。