本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # `AWSPremiumSupport-TroubleshootEKSCluster` **Description** `AWSPremiumSupport-TroubleshootEKSCluster` Runbook 會診斷 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集、基礎基礎設施的常見問題,並提供建議的修補步驟。 **重要** 存取 `AWSPremiumSupport-*` Runbook 需要 Business \$1 Support、Enterprise Support 或 Unified Operations Subscription。如需詳細資訊,請參閱[比較 AWS 支援 計劃](https://aws.amazon.com/premiumsupport/plans/)。 如果您指定 `S3BucketName` 參數的值,自動化會評估您指定的 Amazon Simple Storage Service (Amazon S3) 儲存貯體的政策狀態。為了協助保護從 EC2 執行個體收集之日誌的安全性,如果政策狀態`isPublic`設定為 `true` ,或存取控制清單 (ACL) 將`READ|WRITE`許可授予 `All Users` Amazon S3 預先定義的群組,則不會上傳日誌。如需 Amazon S3 預先定義群組的詳細資訊,請參閱[《Amazon Simple Storage Service 使用者指南》中的 Amazon S3 預先定義群組](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#specifying-grantee-predefined-groups)。 ** [執行此自動化 (主控台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-TroubleshootEKSCluster) **文件類型**  自動化 **擁有者** Amazon **平台** Linux、macOS、 Windows **參數** + AutomationAssumeRole 類型:字串 描述:(選用) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 之使用者的許可。 + ClusterName 類型:字串 描述:(必要) 您要疑難排解的 Amazon EKS 叢集名稱。 + S3BucketName 類型:字串 描述:(必要) 應上傳 Runbook 產生報告之私有 Amazon S3 儲存貯體的名稱。 **必要的 IAM 許可** `AutomationAssumeRole` 參數需要下列動作才能成功使用 Runbook。 + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DescribeInstances` + `ec2:DescribeInstanceTypes` + `ec2:DescribeSubnets` + `ec2:DescribeSecurityGroups` + `ec2:DescribeRouteTables` + `ec2:DescribeNatGateways` + `ec2:DescribeVpcs` + `ec2:DescribeNetworkAcls` + `iam:GetInstanceProfile` + `iam:ListInstanceProfiles` + `iam:ListAttachedRolePolicies` + `eks:DescribeCluster` + `eks:ListNodegroups` + `eks:DescribeNodegroup` + `autoscaling:DescribeAutoScalingGroups` 此外,連接至啟動自動化之使用者或角色的 AWS Identity and Access Management (IAM) 政策必須允許對下列公有 AWS Systems Manager 參數執行 `ssm:GetParameter`操作,以取得工作者節點的最新建議 Amazon EKS Amazon Machine Image(AMI)。 + `arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id` + `arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id` + `arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id` + `arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id` + `arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id` 若要將 Runbook 產生的報告上傳至 Amazon S3 儲存貯體,您指定的 Amazon S3 儲存貯體需要下列許可。 + `s3:GetBucketPolicyStatus` + `s3:GetBucketAcl` + `s3:PutObject` **文件步驟** + `aws:executeAwsApi` - 收集指定 Amazon EKS 叢集的詳細資訊。 + `aws:executeScript` - 收集 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Auto Scaling 群組、 AMI和 Amazon EC2 GPU 圖形執行個體類型的詳細資訊。 + `aws:executeScript` - 收集 Amazon EKS 叢集的虛擬私有雲端 (VPC)、子網路、網路位址轉譯 (NAT) 閘道、子網路路由、安全群組和網路存取控制清單 (ACLs) 的詳細資訊。 + `aws:executeScript` - 收集已連接 IAM 執行個體描述檔和角色政策的詳細資訊。 + `aws:executeScript` - 收集您在 `S3BucketName` 參數中指定的 Amazon S3 儲存貯體詳細資訊。 + `aws:executeScript` - 將 Amazon VPC 子網路分類為公有或私有。 + `aws:executeScript` - 檢查 Amazon VPC 子網路是否有 Amazon EKS 叢集所需的標籤。 + `aws:executeScript` - 檢查 Amazon VPC 子網路是否有 Elastic Load Balancing 子網路所需的標籤。 + `aws:executeScript` - 檢查工作者節點 Amazon EC2 執行個體是否使用最新的 Amazon EKS 最佳化 AMI + `aws:executeScript` - 檢查連接至工作者節點的 Amazon VPC 安全群組是否需要標籤。 + `aws:executeScript` - 檢查 Amazon EKS 叢集和工作者節點 Amazon VPC 安全群組規則是否有建議傳入 Amazon EKS 叢集的規則。 + `aws:executeScript` - 檢查 Amazon EKS 叢集和工作者節點 Amazon VPC 安全群組規則是否有從 Amazon EKS 叢集的建議輸出規則。 + `aws:executeScript` - 檢查 Amazon VPC 子網路的網路 ACL 組態。 + `aws:executeScript` - 檢查工作者節點 Amazon EC2 執行個體是否具有所需的受管政策。 + `aws:executeScript` - 檢查 Auto Scaling 群組是否具有叢集自動擴展所需的標籤。 + `aws:executeScript` - 檢查工作者節點 Amazon EC2 執行個體是否已連線至網際網路。 + `aws:executeScript` - 根據先前步驟的輸出產生報告。如果為 `S3BucketName` 參數指定值,產生的報告會上傳到 Amazon S3 儲存貯體。