本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # `AWSPremiumSupport-TroubleshootEKSCluster` **描述** `AWSPremiumSupport-TroubleshootEKSCluster` 运行手册诊断 Amazon Elastic Kubernetes Service (Amazon EKS) 集群和底层基础架构的常见问题,并提供建议的修复步骤。 **重要** 访问`AWSPremiumSupport-*`运行手册需要订阅 Business \$1 Support、Enterprise Support 或统一运营订阅。有关更多信息,请参阅[比较 AWS 支持 计划](https://aws.amazon.com/premiumsupport/plans/)。 如果您为 `S3BucketName` 参数指定一个值,此自动化会评估您指定的 Amazon Simple Storage Service (Amazon S3) 存储桶的策略状态。为了帮助保护从 EC2 实例收集的日志的安全性,如果策略状态 `isPublic` 设置为 `true`,或者访问控制列表(ACL)向 `All Users` Amazon S3 预定义组授予 `READ|WRITE` 权限,则不会上传日志。有关 Amazon S3 预定义组的更多信息,请参阅*《Amazon Simple Storage Service 用户指南》*中的 [Amazon S3 预定义组](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#specifying-grantee-predefined-groups)。 [运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-TroubleshootEKSCluster) **文档类型** 自动化 **所有者** Amazon **平台** Linux、macOS、Windows **参数** + AutomationAssumeRole 类型:字符串 描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。 + ClusterName 类型:字符串 描述:(必需)要排除问题的 Amazon EKS 集群的名称。 + S3 BucketName 类型:字符串 描述:(必填)应上传运行手册生成的报告的私有 Amazon S3 存储桶的名称。 **所需的 IAM 权限** `AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。 + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DescribeInstances` + `ec2:DescribeInstanceTypes` + `ec2:DescribeSubnets` + `ec2:DescribeSecurityGroups` + `ec2:DescribeRouteTables` + `ec2:DescribeNatGateways` + `ec2:DescribeVpcs` + `ec2:DescribeNetworkAcls` + `iam:GetInstanceProfile` + `iam:ListInstanceProfiles` + `iam:ListAttachedRolePolicies` + `eks:DescribeCluster` + `eks:ListNodegroups` + `eks:DescribeNodegroup` + `autoscaling:DescribeAutoScalingGroups` 此外,附加到启动自动化的用户或角色的 AWS Identity and Access Management (IAM) 策略必须允许对以下公共 AWS Systems Manager 参数进行`ssm:GetParameter`操作,才能为工作节点获取最新推荐的 Amazon EKS Amazon Machine Image (AMI)。 + `arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id` + `arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id` + `arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id` + `arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id` + `arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id` 要将运行手册生成的报告上传到 Amazon S3 存储桶,需要对指定的指定 Amazon S3 存储桶拥有以下权限。 + `s3:GetBucketPolicyStatus` + `s3:GetBucketAcl` + `s3:PutObject` **文档步骤** + `aws:executeAwsApi` - 收集指定 Amazon EKS 集群的详细信息。 + `aws:executeScript` - 收集 Amazon Elastic Compute Cloud (Amazon EC2) 实例、Auto Scaling 组、AMI 和 Amazon EC2 GPU 图形实例类型的详细信息。 + `aws:executeScript`-收集 Amazon EKS 集群的虚拟私有云 (VPC)、子网、网络地址转换 (NAT) 网关、子网路由、安全组和网络访问控制列表 (ACLs) 的详细信息。 + `aws:executeScript` - 收集附加的 IAM 实例配置文件和角色策略的详细信息。 + `aws:executeScript` - 收集您在 `S3BucketName` 参数中指定的 Amazon S3 存储桶的详细信息。 + `aws:executeScript` - 将 Amazon VPC 子网分类为公共或私有子网。 + `aws:executeScript` - 检查 Amazon VPC 子网中是否有需要作为 Amazon EKS 集群一部分的标签。 + `aws:executeScript` - 检查 Amazon VPC 子网中是否有 Elastic Load Balancing 子网所需的标签。 + `aws:executeScript` - 检查 Worker 节点 Amazon EC2 实例是否使用最新的 Amazon EKS 优化的 AMI + `aws:executeScript` - 检查 Amazon VPC 安全组是否已附加到所需标签的 Worker 节点。 + `aws:executeScript` - 检查 Amazon EKS 集群和 Worker 节点 Amazon VPC 安全组规则中是否有建议的 Amazon EKS 集群入口规则。 + `aws:executeScript` - 检查 Amazon EKS 集群和 Worker 节点 Amazon VPC 安全组规则中是否有建议的 Amazon EKS 集群出口规则。 + `aws:executeScript` - 检查 Amazon VPC 子网的网络 ACL 配置。 + `aws:executeScript` - 检查 Worker 节点 Amazon EC2 实例是否具有所需的托管策略。 + `aws:executeScript` - 检查 Auto Scaling 组是否具有集群自动扩展所需的标签。 + `aws:executeScript` - 检查 Worker 节点 Amazon EC2 实例是否已连接到互联网。 + `aws:executeScript` - 根据前面步骤的输出生成报告。如果为 `S3BucketName` 参数指定了一个值,则生成的报告将上传到 Amazon S3 存储桶。