AWSSupport-CollectEKSLinuxNodeStatistics - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-CollectEKSLinuxNodeStatistics

Beschreibung

Das AWSSupport-CollectEKSLinuxNodeStatistics Runbook sammelt Linux-Statistiken von einer Amazon EC2 EC2-Instance, die Teil eines Amazon EKS-Clusters ist, und von einem Container, der auf der Instance ausgeführt wird, wenn eine containerd Container-ID angegeben ist. Die Amazon EC2 EC2-Instance muss von AWS Systems Manager verwaltet werden.

Zu den gesammelten Linux-Statistiken auf Host-Ebene gehören:

  • Betriebssysteminformationen.

  • Statistiken zur Netzwerkschnittstelle — von ethtool und vom /sys/class/net/interface/statistics Verzeichnis.

  • Anzahl der Dateideskriptoren.

  • Es zählt flüchtige Ports.

  • Eine Sammlung von Regeln. iptables

  • Suchen Sie nach einer vollständigen Conntrack-Tabelle.

Die Linux-Statistiken auf Container-Ebene beinhalten:

  • Identifikationsinformationen — Bild-URI und Labels.

  • Statistiken zur Netzwerkschnittstelle — von ethtool und vom /sys/class/net/interface/statistics Verzeichnis.

  • Traceroute- und DNS-Ergebnisse, wenn der NetworkTargets Parameter gefüllt ist.

  • Die Analyse der Paketerfassung zählt — TCP-Neuübertragungen, Pakete, die nicht in der richtigen Reihenfolge sind usw.

Das Runbook sammelt Daten aus verschiedenen Linux-Distributionen, darunter Amazon Linux 2, Amazon Linux 2023 und Debian/Ubuntu. Es verwendet die neuesten Versionen der folgenden Bilder aus der öffentlichen Amazon ECR-Galerie:

  • amazon-ecs-network-sidecarBild, um Zugriff auf Tools zur Fehlerbehebung zu erhalten.

  • aws-cliBild, um die JSON-Datei und die Paketerfassungsdateien für den Statistikbericht in den angegebenen Amazon S3 S3-Bucket hochzuladen.

Wichtig

Dieses Runbook unterstützt keine Fargate-Instances. Dieses Runbook schlägt möglicherweise fehl, wenn die Instanz während der Ausführung heruntergefahren oder die Verbindung unterbrochen wird.

Wie funktioniert es?

Das Runbook führt die folgenden Aktionen aus:

  • Überprüft, ob der Amazon S3 S3-Ziel-Bucket keinen öffentlichen Lese- oder Schreibzugriff gewährt.

  • Stellt sicher, dass die Amazon EC2 EC2-Zielinstanz von Systems Manager verwaltet wird und sich im laufenden Zustand befindet.

  • Überprüft, ob auf der Instance ein Linux-Betriebssystem ausgeführt wird.

  • Sammelt umfassende Linux-Statistiken aus der Amazon EC2 EC2-Instance und optional aus einem angegebenen Container.

  • Lädt die gesammelten Statistiken in den angegebenen Amazon S3 S3-Bucket hoch.

Führen Sie diese Automatisierung aus (Konsole)

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen:

  • s3:GetAccountPublicAccessBlock

  • s3:GetBucketPublicAccessBlock

  • s3:GetBucketAcl

  • s3:GetBucketPolicyStatus

  • s3:GetBucketLocation

  • s3:GetEncryptionConfiguration

  • s3:PutObject

  • ssm:DescribeInstanceInformation

  • ssm:SendCommand

  • ssm:GetCommandInvocation

  • ec2:DescribeInstances

Beispiel für eine IAM-Richtlinie:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "arn:aws:s3:::S3_BUCKET_NAME"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::S3_BUCKET_NAME/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/AWS-RunShellScript",
                "arn:aws:ec2:*:111122223333:instance/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetCommandInvocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        }
    ]
}

Anweisungen

Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren:

  1. Navigieren Sie AWSSupport-CollectEKSLinuxNodeStatisticsim Systems Manager unter Dokumente zu.

  2. Wählen Sie Execute automation (Automatisierung ausführen).

  3. Geben Sie für die Eingabeparameter Folgendes ein:

    • AutomationAssumeRole (Fakultativ):

      Der Amazon-Ressourcenname (ARN) der IAM-Rolle, der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

    • InstanceId (Erforderlich):

      Die ID der Amazon EC2 EC2-Instance zum Sammeln von Statistiken.

    • S3 BucketName (erforderlich):

      Name des Amazon S3 S3-Buckets, um die JSON-Ausgabe aus der Amazon EC2 EC2-Instance als Datei zu exportieren.

    • S3 KeyPrefix (optional):

      Das Amazon S3 S3-Schlüsselpräfix (Unterordner) zum Exportieren der JSON-Ausgabe aus der Amazon EC2 EC2-Instance als Datei. Standard: AWSSupport-CollectEKSLinuxNodeStatistics.

    • S3 BucketOwnerRoleArn (optional):

      Der ARN der IAM-Rolle mit den Berechtigungen zum Abrufen der Einstellungen für den öffentlichen Zugriff auf den Amazon S3 S3-Bucket und das Konto, zur Konfiguration der Bucket-Verschlüsselung, zum Bucket, zum Bucket ACLs, zum Bucket-Richtlinienstatus und zum Hochladen von Objekten in den Bucket. Wenn dieser Parameter nicht angegeben ist, verwendet das Runbook den AutomationAssumeRole (falls angegeben) oder den Benutzer, der dieses Runbook startet (falls nicht AutomationAssumeRole angegeben).

    • S3 BucketOwnerAccount (optional):

      Das AWS Konto, dem der Amazon S3 S3-Bucket gehört. Wenn Sie diesen Parameter nicht angeben, geht das Runbook davon aus, dass sich der Bucket in diesem Konto befindet.

    • ContainerId (Fakultativ):

      Die ID eines Containers, der auf der angegebenen Amazon EC2 EC2-Instance läuft.

    • NetworkTargets (Fakultativ):

      Eine durch Kommas getrennte Liste von IPv4 Adressen, and/or DNS-Namen zum Testen der DNS-Auflösung und der Konnektivität mithilfe von Traceroute.

  4. Wählen Sie Ausführen aus.

  5. Die Automatisierung wird initiiert.

  6. Das Dokument führt die folgenden Schritte aus:

    • CheckBucketAccess:

      Prüft, ob der Amazon S3 S3-Ziel-Bucket möglicherweise öffentlichen Lese- und and/or Schreibzugriff auf seine Objekte gewährt.

    • AssertInstanceIsSSMManaged:

      Stellt sicher, dass die Amazon EC2 EC2-Zielinstanz von Systems Manager verwaltet wird, andernfalls endet die Automatisierung.

    • VerifyInstanceState:

      Überprüft, ob sich die Amazon EC2 EC2-Instance im laufenden Zustand befindet, bevor versucht wird, Statistiken zu sammeln.

    • BranchOnVerifyLinuxInstance:

      Überprüft, ob es sich bei der Instance um eine Linux-Instance handelt, bevor der Vorgang fortgesetzt wird.

    • BranchOnVerifyInstanceRunning:

      Überprüft, ob sich die Instanz im laufenden Zustand befindet, bevor der Vorgang fortgesetzt wird.

    • CollectEKSLinuxNodeStatistics:

      Sammelt umfassende Linux-Statistiken aus der Amazon EC2 EC2-Instance, einschließlich Betriebssysteminformationen, Netzwerkschnittstellenstatistiken, Dateideskriptoren, kurzlebigen Ports, Firewallregeln und optional Statistiken auf Container-Ebene.

    • GenerateStatisticsOutputS3Uri:

      Generiert den vollständigen Amazon S3 S3-URI für die Linux-Statistikdateien, die als Ausgabe des Automatisierungsdokuments verwendet werden sollen.

  7. Wenn der Vorgang abgeschlossen ist, finden Sie im Abschnitt Ausgaben die detaillierten Ergebnisse der Ausführung.

Referenzen

Systems Manager Automation