View a markdown version of this page

AWSSupport-TroubleshootECSTaskFailedToStart - AWS Systems Manager Referensi Buku Runbook Otomasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-TroubleshootECSTaskFailedToStart

Deskripsi

AWSSupport-TroubleshootECSTaskFailedToStartRunbook membantu Anda memecahkan masalah mengapa tugas Amazon Elastic Container Service (Amazon ECS) di klaster Amazon ECS gagal dimulai. Anda harus menjalankan runbook ini Wilayah AWS sama dengan tugas Anda yang gagal dimulai. Runbook menganalisis masalah umum berikut yang dapat mencegah tugas dimulai:

  • Konektivitas jaringan ke registri kontainer yang dikonfigurasi

  • Izin IAM hilang yang diperlukan oleh peran eksekusi tugas

  • Konektivitas titik akhir VPC

  • Konfigurasi aturan grup keamanan

  • AWS Secrets Manager referensi rahasia

  • Konfigurasi Pencatatan Log

catatan

Jika analisis menentukan bahwa konektivitas jaringan perlu diuji, fungsi Lambda dan peran IAM yang diperlukan dibuat di akun Anda. Sumber daya ini digunakan untuk mensimulasikan konektivitas jaringan dari tugas Anda yang gagal. Otomatisasi menghapus sumber daya ini ketika mereka tidak lagi diperlukan. Namun, jika otomatisasi gagal menghapus sumber daya, Anda harus melakukannya secara manual.

Ketika peran Lambda IAM disediakan, otomatisasi akan menggunakannya alih-alih membuat yang baru. Peran IAM Lambda yang disediakan harus mencakup kebijakan yang AWS dikelola AWSLambdaVPCAccessExecutionRole dan memiliki kebijakan kepercayaan yang memungkinkannya diasumsikan oleh kepala layanan Lambda. lambda.amazonaws.com

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux,macOS, Windows

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • LambdaRoleArn

    Tipe: String

    Deskripsi: (Opsional) ARN dari peran IAM yang memungkinkan AWS Lambda fungsi untuk mengakses AWS layanan dan sumber daya yang diperlukan. Jika tidak ada peran yang ditentukan, Otomasi Systems Manager ini akan membuat satu peran IAM untuk Lambda di akun Anda dengan NetworkToolSSMRunbookExecution<ExecutionId> nama yang menyertakan kebijakan terkelola:. AWSLambdaVPCAccessExecutionRole

  • ClusterName

    Tipe: String

    Deskripsi: (Wajib) Nama cluster Amazon ECS tempat tugas gagal dimulai.

  • CloudwatchRetentionPeriod

    Jenis: Integer

    Deskripsi: (Opsional) Periode retensi, dalam beberapa hari, untuk log fungsi Lambda disimpan di Log Amazon CloudWatch . Ini hanya diperlukan jika analisis menentukan konektivitas jaringan perlu diuji.

    Nilai yang valid: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90

    Bawaan: 30

  • TaskId

    Tipe: String

    Deskripsi: (Wajib) ID tugas yang gagal. Gunakan tugas yang terakhir gagal.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • cloudtrail:LookupEvents

  • ec2:DeleteNetworkInterface

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeIamInstanceProfileAssociations

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeRouteTables

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ec2:DescribeVpcAttribute

  • elasticfilesystem:DescribeFileSystems

  • elasticfilesystem:DescribeMountTargets

  • elasticfilesystem:DescribeMountTargetSecurityGroups

  • elasticfilesystem:DescribeFileSystemPolicy

  • ecr:DescribeImages

  • ecr:GetRepositoryPolicy

  • ecs:DescribeContainerInstances

  • ecs:DescribeServices

  • ecs:DescribeTaskDefinition

  • ecs:DescribeTasks

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListRoles

  • iam:ListUsers

  • iam:PassRole

  • iam:SimulateCustomPolicy

  • iam:SimulatePrincipalPolicy

  • kms:DescribeKey

  • lambda:CreateFunction

  • lambda:DeleteFunction

  • lambda:GetFunctionConfiguration

  • lambda:InvokeFunction

  • lambda:TagResource

  • logs:DescribeLogGroups

  • logs:PutRetentionPolicy

  • secretsmanager:DescribeSecret

  • ssm:DescribeParameters

  • sts:GetCallerIdentity

Ketika LambdaRoleArn disediakan, otomatisasi tidak perlu membuat peran dan izin berikut dapat dikecualikan:

  • iam:CreateRole

  • iam:DeleteRole

  • iam:AttachRolePolicy

  • iam:DetachRolePolicy

Langkah Dokumen

  • aws:executeScript- Memverifikasi bahwa pengguna atau peran yang memulai otomatisasi memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki izin yang cukup untuk menggunakan runbook ini, izin yang diperlukan yang hilang disertakan dalam output otomatisasi.

  • aws:branch- Cabang berdasarkan apakah Anda memiliki izin untuk semua tindakan yang diperlukan untuk runbook.

  • aws:executeScript- Membuat fungsi Lambda di VPC Anda jika analisis menentukan konektivitas jaringan perlu diuji.

  • aws:branch- Cabang berdasarkan hasil langkah sebelumnya.

  • aws:executeScript- Menganalisis kemungkinan penyebab kegagalan untuk memulai tugas Anda.

  • aws:executeScript- Menghapus sumber daya yang dibuat oleh otomatisasi ini.

  • aws:executeScript- Memformat output otomatisasi untuk mengembalikan hasil analisis ke konsol. Anda dapat meninjau analisis setelah langkah ini sebelum otomatisasi selesai.

  • aws:branch- Cabang berdasarkan apakah fungsi Lambda dan sumber daya terkait dibuat dan perlu dihapus.

  • aws:sleep- Tidur selama 30 menit sehingga elastis network interface untuk fungsi Lambda dapat dihapus.

  • aws:executeScript- Menghapus antarmuka jaringan fungsi Lambda.

  • aws:executeScript- Memformat output dari langkah penghapusan antarmuka jaringan fungsi Lambda.