View a markdown version of this page

AWSSupport-TroubleshootECSTaskFailedToStart - AWS Systems Manager Riferimento all'Automation Runbook

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-TroubleshootECSTaskFailedToStart

Descrizione

Il AWSSupport-TroubleshootECSTaskFailedToStart runbook ti aiuta a risolvere il motivo per cui un'attività Amazon Elastic Container Service (Amazon ECS) in un cluster Amazon ECS non è riuscita ad avviarsi. È necessario eseguire questo runbook nello stesso modo in cui l'attività non è Regione AWS stata avviata. Il runbook analizza i seguenti problemi comuni che possono impedire l'avvio di un'attività:

  • Connettività di rete al registro dei container configurato

  • Autorizzazioni IAM mancanti richieste dal ruolo di esecuzione dell'attività

  • Connettività dell'endpoint VPC

  • Configurazione delle regole del gruppo di sicurezza

  • Gestione dei segreti AWS riferimenti segreti

  • Configurazione della registrazione

Nota

Se l'analisi determina che è necessario testare la connettività di rete, nel tuo account vengono creati una funzione Lambda e il ruolo IAM richiesto. Queste risorse vengono utilizzate per simulare la connettività di rete dell'operazione non riuscita. L'automazione elimina queste risorse quando non sono più necessarie. Tuttavia, se l'automazione non riesce a eliminare le risorse, è necessario farlo manualmente.

Quando viene fornito un ruolo Lambda IAM, l'automazione lo utilizzerà invece di crearne uno nuovo. Il ruolo Lambda IAM fornito deve includere la policy AWS gestita AWSLambdaVPCAccessExecutionRole e disporre di una policy di fiducia che ne consenta l'assunzione da parte del responsabile del servizio Lambda. lambda.amazonaws.com

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: String

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • LambdaRoleArn

    Tipo: String

    Descrizione: (Facoltativo) L'ARN del ruolo IAM che consente alla AWS Lambda funzione di accedere ai AWS servizi e alle risorse richiesti. Se non viene specificato alcun ruolo, questa Systems Manager Automation creerà un ruolo IAM per Lambda nel tuo account con il nome NetworkToolSSMRunbookExecution<ExecutionId> che include la policy gestita:. AWSLambdaVPCAccessExecutionRole

  • ClusterName

    Tipo: String

    Descrizione: (Obbligatorio) Il nome del cluster Amazon ECS in cui l'attività non è stata avviata.

  • CloudwatchRetentionPeriod

    Tipo: numero intero

    Descrizione: (Facoltativo) Il periodo di conservazione, in giorni, per i log delle funzioni Lambda da archiviare in Amazon Logs. CloudWatch Ciò è necessario solo se l'analisi determina che la connettività di rete deve essere testata.

    Valori validi: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90

    Impostazione predefinita: 30

  • TaskId

    Tipo: String

    Descrizione: (Obbligatorio) L'ID dell'operazione non riuscita. Utilizza l'ultima operazione non riuscita.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • cloudtrail:LookupEvents

  • ec2:DeleteNetworkInterface

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeIamInstanceProfileAssociations

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeRouteTables

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ec2:DescribeVpcAttribute

  • elasticfilesystem:DescribeFileSystems

  • elasticfilesystem:DescribeMountTargets

  • elasticfilesystem:DescribeMountTargetSecurityGroups

  • elasticfilesystem:DescribeFileSystemPolicy

  • ecr:DescribeImages

  • ecr:GetRepositoryPolicy

  • ecs:DescribeContainerInstances

  • ecs:DescribeServices

  • ecs:DescribeTaskDefinition

  • ecs:DescribeTasks

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListRoles

  • iam:ListUsers

  • iam:PassRole

  • iam:SimulateCustomPolicy

  • iam:SimulatePrincipalPolicy

  • kms:DescribeKey

  • lambda:CreateFunction

  • lambda:DeleteFunction

  • lambda:GetFunctionConfiguration

  • lambda:InvokeFunction

  • lambda:TagResource

  • logs:DescribeLogGroups

  • logs:PutRetentionPolicy

  • secretsmanager:DescribeSecret

  • ssm:DescribeParameters

  • sts:GetCallerIdentity

Quando LambdaRoleArn viene fornita, non è necessario che l'automazione crei il ruolo e possono essere escluse le seguenti autorizzazioni:

  • iam:CreateRole

  • iam:DeleteRole

  • iam:AttachRolePolicy

  • iam:DetachRolePolicy

Fasi del documento

  • aws:executeScript- Verifica che l'utente o il ruolo che ha avviato l'automazione disponga delle autorizzazioni IAM richieste. Se non disponi di autorizzazioni sufficienti per utilizzare questo runbook, le autorizzazioni richieste mancanti vengono incluse nell'output dell'automazione.

  • aws:branch- Suddivisione in base alla disponibilità o meno delle autorizzazioni per tutte le azioni richieste per il runbook.

  • aws:executeScript- Crea una funzione Lambda nel tuo VPC se l'analisi determina che la connettività di rete deve essere testata.

  • aws:branch- Filiali basate sui risultati del passaggio precedente.

  • aws:executeScript- Analizza le possibili cause del mancato avvio dell'attività.

  • aws:executeScript- Elimina le risorse create da questa automazione.

  • aws:executeScript- Formatta l'output dell'automazione per restituire i risultati dell'analisi alla console. È possibile rivedere l'analisi dopo questo passaggio prima del completamento dell'automazione.

  • aws:branch- Rami in base al fatto che la funzione Lambda e le risorse associate siano state create e debbano essere eliminate.

  • aws:sleep- Dorme per 30 minuti in modo che l'interfaccia di rete elastica per la funzione Lambda possa essere eliminata.

  • aws:executeScript- Elimina l'interfaccia di rete della funzione Lambda.

  • aws:executeScript- Formatta l'output della fase di eliminazione dell'interfaccia di rete della funzione Lambda.