Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# `AWSSupport-TroubleshootEbsCsiDriversForEks`
**Description**
Le `AWSSupport-TroubleshootEbsCsiDriversForEks` runbook permet de résoudre les problèmes liés aux montages en volume Amazon Elastic Block Store dans Amazon Elastic Kubernetes Service (Amazon EKS) et les problèmes de pilote Amazon EBS Container Storage Interface (CSI)
**Important**
Actuellement, le pilote Amazon EBS CSI en cours d'exécution n' AWS Fargate est pas pris en charge.
**Fonctionnement**
Le runbook `AWSSupport-TroubleshootEbsCsiDriversForEks` exécute les étapes de haut niveau suivantes :
+ Vérifie si le cluster Amazon EKS cible existe et est en état actif.
+ Déploie les ressources d'authentification nécessaires pour effectuer des appels d'API Kubernetes selon que l'addon est géré par Amazon EKS ou autogéré.
+ Effectue des tests de santé et des diagnostics du contrôleur Amazon EBS CSI.
+ Exécute des contrôles d'autorisations IAM sur les rôles de nœud et les rôles de compte de service.
+ Diagnostique les problèmes persistants de création de volumes pour le pod d'application spécifié.
+ Vérifie node-to-pod la planification et examine les événements du pod.
+ Collecte les journaux Kubernetes et les journaux d'applications pertinents, puis les télécharge dans le compartiment Amazon S3 spécifié.
+ Effectue des vérifications de l'état des nœuds et vérifie la connectivité avec les points de terminaison Amazon EC2.
+ Vérifie les fixations des périphériques à blocs de volume persistants et l'état de montage.
+ Nettoie l'infrastructure d'authentification créée lors du dépannage.
+ Génère un rapport de dépannage complet combinant tous les résultats de diagnostic.
**Note**
Le mode d'authentification du cluster Amazon EKS doit être défini sur `API` ou`API_AND_CONFIG_MAP`. Nous vous recommandons d'utiliser l'entrée Amazon EKS Access. Le runbook nécessite des autorisations de contrôle d'accès basé sur les rôles (RBAC) Kubernetes pour effectuer les appels d'API nécessaires.
Si vous ne spécifiez pas de rôle IAM pour la fonction Lambda `LambdaRoleArn` (paramètre), l'automatisation crée un rôle `Automation-K8sProxy-Role-` nommé dans votre compte. Ce rôle inclut les politiques gérées `AWSLambdaBasicExecutionRole` et`AWSLambdaVPCAccessExecutionRole`.
Certaines étapes de diagnostic nécessitent que les nœuds de travail Amazon EKS soient des instances gérées par Systems Manager. Si les nœuds ne sont pas des instances gérées par Systems Manager, les étapes nécessitant un accès à Systems Manager sont ignorées, mais les autres vérifications se poursuivent.
L'automatisation inclut une étape de nettoyage qui supprime les ressources de l'infrastructure d'authentification. Cette étape de nettoyage s'exécute même en cas d'échec des étapes précédentes, ce qui permet d'éviter que des ressources orphelines ne se retrouvent dans votre AWS compte.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootEbsCsiDriversForEks)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeIamInstanceProfileAssociations`
+ `ec2:DescribeInstanceStatus`
+ `ec2:GetEbsEncryptionByDefault`
+ `eks:DescribeAddon`
+ `eks:DescribeAddonVersions`
+ `eks:DescribeCluster`
+ `iam:GetInstanceProfile`
+ `iam:GetOpenIDConnectProvider`
+ `iam:GetRole`
+ `iam:ListOpenIDConnectProviders`
+ `iam:SimulatePrincipalPolicy`
+ `s3:GetBucketLocation`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetBucketVersioning`
+ `s3:ListBucket`
+ `s3:ListBucketVersions`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetAutomationExecution`
+ `ssm:GetDocument`
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
+ `ssm:SendCommand`
+ `ssm:StartAutomationExecution`
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Créez un rôle d'automatisation SSM `TroubleshootEbsCsiDriversForEks-SSM-Role` dans votre compte. Vérifiez que la relation d'approbation contient la politique suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Associez la politique ci-dessous au rôle IAM pour accorder les autorisations requises pour effectuer les actions spécifiées sur les ressources spécifiées.
+ Si vous prévoyez de télécharger les journaux d'exécution et de ressources dans le compartiment Amazon S3 situé dans AWS la même région, remplacez-les par `arn:{partition}:s3:::BUCKET_NAME/*` le vôtre dans`OptionalRestrictPutObjects`.
+ Le compartiment Amazon S3 doit pointer vers le bon compartiment Amazon S3 si vous le sélectionnez `S3BucketName` lors de l'exécution du SSM.
+ Cette autorisation est facultative si vous ne spécifiez pas `S3BucketName`
+ Le compartiment Amazon S3 doit être privé et se trouver dans la même AWS région que celle où vous exécutez l'automatisation SSM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OptionalRestrictPutObjects",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeInstanceStatus",
"ec2:GetEbsEncryptionByDefault",
"eks:DescribeAddon",
"eks:DescribeAddonVersions",
"eks:DescribeCluster",
"iam:GetInstanceProfile",
"iam:GetOpenIDConnectProvider",
"iam:GetRole",
"iam:ListOpenIDConnectProviders",
"iam:SimulatePrincipalPolicy",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketVersioning",
"s3:ListBucket",
"s3:ListBucketVersions",
"ssm:DescribeInstanceInformation",
"ssm:GetAutomationExecution",
"ssm:GetDocument",
"ssm:ListCommandInvocations",
"ssm:ListCommands",
"ssm:SendCommand",
"ssm:StartAutomationExecution"
],
"Resource": "*"
},
{
"Sid": "SetupK8sApiProxyForEKSActions",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:UpdateStack",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"eks:DescribeCluster",
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:TagRole",
"iam:UntagRole",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:ListTags",
"lambda:TagResource",
"lambda:UntagResource",
"lambda:UpdateFunctionCode",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:ListTagsForResource",
"logs:PutLogEvents",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:UntagResource",
"ssm:DescribeAutomationExecutions",
"tag:GetResources",
"tag:TagResources"
],
"Resource": "*"
},
{
"Sid": "PassRoleToAutomation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/TroubleshootEbsCsiDriversForEks-SSM-Role",
"arn:aws:iam::*:role/Automation-K8sProxy-Role-*"
],
"Condition": {
"StringLikeIfExists": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
},
{
"Sid": "AttachRolePolicy",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"iam:ResourceTag/AWSSupport-SetupK8sApiProxyForEKS": "true"
}
}
}
]
}
```
------
1. Accordez les autorisations requises pour le RBAC (contrôle d'accès basé sur les rôles) du cluster Amazon EKS. L'approche recommandée consiste à créer une entrée d'accès dans votre cluster Amazon EKS.
Dans la console Amazon EKS, accédez à votre cluster. Pour les entrées d'accès Amazon EKS, vérifiez que votre configuration d'accès est définie sur `API_AND_CONFIG_MAP` ou`API`. Pour connaître les étapes de configuration du mode d'authentification pour les entrées d'accès, voir [Configuration des entrées d'accès](https://docs.aws.amazon.com//eks/latest/userguide/setting-up-access-entries.html).
Choisissez **Créer une entrée d'accès**.
+ Pour l'*ARN principal IAM*, sélectionnez le rôle IAM que vous avez créé pour l'automatisation SSM à l'étape précédente.
+ Pour *Type*, sélectionnez `Standard`.
1. Ajoutez une politique d'accès :
+ Pour *Étendue d'accès*, sélectionnez`Cluster`.
+ Dans *Nom de la politique*, sélectionnez`AmazonEKSAdminViewPolicy`.
Choisissez **Add policy (Ajouter la politique)**.
Si vous n'utilisez pas d'entrées d'accès pour gérer les autorisations de l'API Kubernetes, vous devez les mettre à jour `aws-auth` ConfigMap et créer une liaison de rôle entre votre utilisateur ou rôle IAM. Assurez-vous que votre entité IAM dispose des autorisations d'API Kubernetes en lecture seule suivantes :
+ GET `/apis/apps/v1/namespaces/{namespace}/deployments/{name}`
+ GET `/apis/apps/v1/namespaces/{namespace}/replicasets/{name}`
+ GET `/apis/apps/v1/namespaces/{namespace}/daemonsets/{name}`
+ GET `/api/v1/nodes/{name}`
+ GET `/api/v1/namespaces/{namespace}/serviceaccounts/{name}`
+ GET `/api/v1/namespaces/{namespace}/persistentvolumeclaims/{name}`
+ GET `/api/v1/persistentvolumes/{name}`
+ GET `/apis/storage.k8s.io/v1/storageclasses/{name}`
+ GET `/api/v1/namespaces/{namespace}/pods/{name}`
+ GET `/api/v1/namespaces/{namespace}/pods`
+ GET `/api/v1/namespaces/{namespace}/pods/{name}/log`
+ GET `/api/v1/events`
1. Exécuter l'automatisation [AWSSupport-TroubleshootEbsCsiDriversForEks (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootEbsCsiDriversForEks/description)
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à SSM Automation d'effectuer les actions en votre nom. Le rôle doit être ajouté à votre entrée d'accès au cluster Amazon EKS ou à votre autorisation RBAC pour autoriser les appels d'API Kubernetes.
+ Type : `AWS::IAM::Role::Arn`
+ Exemple : `TroubleshootEbsCsiDriversForEks-SSM-Role`
+ **EksClusterName:**
+ Description : nom du cluster Amazon Elastic Kubernetes Service (Amazon EKS) cible.
+ Type : `String`
+ **ApplicationPodName:**
+ Description : nom du pod d'application Kubernetes présentant des problèmes avec le pilote Amazon EBS CSI.
+ Type : `String`
+ **ApplicationNamespace:**
+ Description : l'espace de noms Kubernetes du pod d'application rencontre des problèmes avec le pilote Amazon EBS CSI.
+ Type : `String`
+ **EbsCsiControllerDeploymentName(Facultatif) :**
+ Description : (Facultatif) Nom de déploiement du pod de contrôleur Amazon EBS CSI.
+ Type : `String`
+ Valeur par défaut : `ebs-csi-controller`
+ **EbsCsiControllerNamespace(Facultatif) :**
+ Description : (Facultatif) L'espace de noms Kubernetes pour le pod de contrôleur Amazon EBS CSI.
+ Type : `String`
+ Valeur par défaut : `kube-system`
+ **S3 BucketName (facultatif) :**
+ Description : (Facultatif) Nom du compartiment Amazon S3 cible dans lequel les journaux de dépannage seront chargés.
+ Type : `AWS::S3::Bucket::Name`
+ **LambdaRoleArn (Facultatif) :**
+ Description : (Facultatif) L'ARN du rôle IAM qui permet à la AWS Lambda fonction d'accéder aux AWS services et ressources requis.
+ Type : `AWS::IAM::Role::Arn`
Sélectionnez **Exécuter**.
1. Une fois terminé, consultez la section *Sorties* pour connaître les résultats détaillés de l'exécution.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootEbsCsiDriversForEks/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
Pour plus d'informations sur Amazon EBS CSI Driver, consultez [Amazon EBS](https://docs.aws.amazon.com//eks/latest/userguide/ebs-csi.html) CSI Driver.