View a markdown version of this page

AWSPremiumSupport-TroubleshootEKSCluster - AWS Systems Manager Referência do Automation Runbook

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSPremiumSupport-TroubleshootEKSCluster

Descrição

O runbook AWSPremiumSupport-TroubleshootEKSCluster diagnostica problemas comuns com um cluster do Amazon Elastic Kubernetes Service (Amazon EKS), a infraestrutura subjacente, e fornece etapas de remediação recomendadas.

Importante

O acesso aos AWSPremiumSupport-* runbooks requer uma assinatura Business + Support, Enterprise Support ou Unified Operations. Para obter mais informações, consulte Comparar Planos AWS Support.

Se você especificar um valor para o parâmetro S3BucketName, a automação avaliará o status da política do bucket do Amazon Simple Storage Service (Amazon S3) que você especificar. Para ajudar na segurança dos logs coletados da sua instância do EC2, se o status da política isPublic estiver definido como true ou se a lista de controle de acesso (ACL) conceder permissões de READ|WRITE ao grupo predefinido All Users do Amazon S3, os logs não serão carregados. Para obter mais informações sobre grupos predefinidos do Amazon S3, consulte Grupos predefinidos do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: String

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • ClusterName

    Tipo: string

    Descrição: (obrigatório) O nome do cluster do Amazon EKS que deseja solucionar.

  • S3 BucketName

    Tipo: string

    Descrição: (Obrigatório) O nome do bucket privado do Amazon S3 em que o relatório gerado pelo runbook deve ser carregado.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypes

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkAcls

  • iam:GetInstanceProfile

  • iam:ListInstanceProfiles

  • iam:ListAttachedRolePolicies

  • eks:DescribeCluster

  • eks:ListNodegroups

  • eks:DescribeNodegroup

  • autoscaling:DescribeAutoScalingGroups

Além disso, a política AWS Identity and Access Management (IAM) anexada ao usuário ou à função que inicia a automação deve permitir a ssm:GetParameter operação com os seguintes AWS Systems Manager parâmetros públicos para obter a última recomendação do Amazon EKS Amazon Machine Image (AMI) para os nós de trabalho.

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id

  • arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id

Para carregar o relatório gerado pelo runbook em um bucket do Amazon S3, as seguintes permissões são necessárias para o bucket do Amazon S3 especificado.

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:PutObject

Etapas do documento

  • aws:executeAwsApi :Reúne detalhes do cluster Amazon EKS especificado.

  • aws:executeScript :Reúne detalhes das instâncias do Amazon Elastic Compute Cloud (Amazon EC2), grupos do Auto Scaling, AMIs e tipos de instância gráfica de GPU do Amazon EC2.

  • aws:executeScript- Reúne detalhes da nuvem privada virtual (VPC), sub-redes, gateways de tradução de endereços de rede (NAT), rotas de sub-rede, grupos de segurança e listas de controle de acesso à rede (ACLs) do cluster Amazon EKS.

  • aws:executeScript :Reúne detalhes dos perfis de instância do IAM anexados e das políticas de perfis.

  • aws:executeScript :Reúne detalhes do bucket do Amazon S3 especificado no parâmetro S3BucketName.

  • aws:executeScript :Classifica as sub-redes da Amazon VPC como públicas ou privadas.

  • aws:executeScript :Verifica as sub-redes da Amazon VPC em busca de tags que são necessárias como parte de um cluster do Amazon EKS.

  • aws:executeScript :Verifica as sub-redes da Amazon VPC em busca das tags que são necessárias para as sub-redes do Elastic Load Balancing.

  • aws:executeScript :Verifica se as instâncias da Amazon EC2 do nó de processamento usam a última versão otimizada das AMIs do Amazon EKS

  • aws:executeScript :Verifica se os grupos de segurança da Amazon VPC estão conectados aos nós de processamento quanto às tags necessárias.

  • aws:executeScript :Verifica as regras do cluster do Amazon EKS e do grupo de segurança da Amazon VPC do nó de processamento quanto às regras de entrada recomendadas para o cluster do Amazon EKS.

  • aws:executeScript :Verifica as regras do cluster do Amazon EKS e do grupo de segurança da Amazon VPC do nó de processamento para ver as regras de saída recomendadas do cluster do Amazon EKS.

  • aws:executeScript :Verifica a configuração de rede da ACL para as sub-redes da Amazon VPC.

  • aws:executeScript :Verifica se as instâncias do nó de processamento do Amazon EC2 têm as políticas gerenciadas necessárias.

  • aws:executeScript :Verifica se os grupos do Auto Scaling têm as tags necessárias para o escalonamento automático do cluster.

  • aws:executeScript :Verifica se as instâncias do nó de processamento do Amazon EC2 estão conectadas à Internet.

  • aws:executeScript :Gera um relatório com base nas saídas das etapas anteriores. Se um valor for especificado para o parâmetro S3BucketName, o relatório gerado será carregado no bucket do Amazon S3.