View a markdown version of this page

AWSSupport-TroubleshootOpenSearchRedYellowCluster - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-TroubleshootOpenSearchRedYellowCluster

Beschreibung

AWSSupport-TroubleshootOpenSearchRedYellowClusterDas Automation-Runbook wird verwendet, um die Ursache für den roten oder gelben Cluster-Status zu ermitteln und Sie bei der Umstellung des Clusters auf Grün zu unterstützen.

Wie funktioniert es?

Das Runbook AWSSupport-TroubleshootOpenSearchRedYellowCluster hilft Ihnen bei der Behebung der Ursache eines roten oder gelben Clusters und enthält die nächsten Schritte zur Behebung dieses Problems, indem die Clusterkonfiguration und die Ressourcennutzung analysiert werden.

Das Runbook führt die folgenden Schritte aus:

  • Ruft die DescribeDomainAPI für die Zieldomäne auf, um die Clusterkonfiguration abzurufen.

  • Überprüft, ob die OpenSearch Service-Domain internetbasiert (öffentlich) oder Amazon Virtual Private Cloud (VPC) basiert.

  • Erzeugt je nach Cluster-Konfiguration eine öffentliche oder VPC-based AWS Lambda Amazon-Funktion. Hinweis: Die Lambda-Funktion enthält den Code zur Fehlerbehebung, mit dem die OpenSearch Service-APIs für den Cluster ausgeführt werden, um festzustellen, warum sich der Cluster im roten oder gelben Zustand befindet.

  • Löscht die Lambda-Funktion.

  • Zeigt die durchgeführten Prüfungen und die nächsten empfohlenen Schritte an, um das rote oder gelbe Cluster-Problem zu lösen.

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

LinuxmacOS, Windows

Parameter

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:DescribeStackEvents

  • cloudformation:DeleteStack

  • lambda:CreateFunction

  • lambda:DeleteFunction

  • lambda:InvokeFunction

  • lambda:GetFunction

  • es:DescribeDomain

  • es:DescribeDomainConfig

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkInterfaces

  • ec2:CreateNetworkInterface

  • ec2:DeleteNetworkInterface

  • ec2:DescribeInstances

  • ec2:AttachNetworkInterface

  • cloudwatch:GetMetricData

  • iam:PassRole

Der LambdaExecutionRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden:

  • es:ESHttpGet

  • ec2:CreateNetworkInterface

  • ec2:DescribeNetworkInterfaces

  • ec2:DeleteNetworkInterface

Überblick über die LambdaExecutionRole Richtlinie:

Im Folgenden finden Sie ein Beispiel für die Ausführungsrolle (AWS Identity and Access Management (IAM)) einer Lambda-Funktion, die der Funktion die Berechtigung erteilt, auf AWS Dienste und Ressourcen zuzugreifen, die für dieses Runbook erforderlich sind. Weitere Informationen finden Sie unter Lambda-Ausführungsrolle.

Anmerkung

Die ec2:DescribeNetworkInterfacesec2:CreateNetworkInterface, und ec2:DeleteNetworkInterface sind nur erforderlich, wenn es sich bei Ihrem OpenSearch Service-Cluster VPC-based um Amazon handelt, damit die Lambda-Funktion die Amazon VPC-Netzwerkschnittstellen erstellen und verwalten kann. Weitere Informationen finden Sie unter Outbound-Netzwerke mit Ressourcen in einer Amazon VPC- und Lambda-Ausführungsrolle verbinden.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "es:ESHttpGet",
            "Resource": [
                "arn:aws:es:us-east-1:111122223333:domain/domain-name/",
                "arn:aws:es:us-east-1:111122223333:domain/domain-name/_cluster/health",
                "arn:aws:es:us-east-1:111122223333:domain/domain-name/_cat/indices",
                "arn:aws:es:us-east-1:111122223333:domain/domain-name/_cat/allocation",
                "arn:aws:es:us-east-1:111122223333:domain/domain-name/_cluster/allocation/explain"
            ]
        },
        {
            "Condition": {
                "ArnLikeIfExists": {
                    "ec2:Vpc": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc_id"
                }
            },
            "Action": [
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:UnassignPrivateIpAddresses",
                "ec2:AssignPrivateIpAddresses"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Anweisungen

Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren:

  1. Navigieren Sie AWSSupport-TroubleshootOpenSearchRedYellowClusterin der AWS Systems Manager Konsole zum.

  2. Wählen Sie Execute automation (Automatisierung ausführen).

  3. Geben Sie für die Eingabeparameter Folgendes ein:

    • AutomationAssumeRole (Fakultativ):

      Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

    • LambdaExecutionRole (Erforderlich):

      Der ARN der IAM-Rolle, die Lambda verwendet, um Anfragen an Ihren Amazon OpenSearch Service-Cluster zu signieren.

    • DomainName (Erforderlich):

      Der Name der OpenSearch Dienstdomäne mit rotem oder gelbem Cluster-Integritätsstatus.

    • UtilizationThreshold (Fakultativ):

      Der Auslastungsschwellenwert in Prozent, der zum Vergleich der CPU-Auslastung und JVMMemoryPressure der Metriken verwendet wird. Der Standardwert ist 80.

    Eingabeparameterformular mit Feldern für AutomationAssumeRole LambdaExecutionRole, DomainName, und UtilizationThreshold.

  4. Wenn Sie die differenzierte Zugriffskontrolle auf einem OpenSearch Servicecluster aktiviert haben, stellen Sie sicher, dass die LambdaExecutionRole Rolle arn einer Rolle zugeordnet ist, die mindestens über die erforderlichen Berechtigungen verfügt. cluster_monitor

    Die Registerkarte „Berechtigungen“ zeigt den Abschnitt „ Cluster Berechtigungen“ an, für den die Cluster_Monitor-Berechtigung ausgewählt ist.
    Das Feld Backend-Rollen zeigt einen AWS IAM Rollen-ARN mit den Schaltflächen Entfernen und Zuordnen.

  5. Wählen Sie Ausführen aus.

  6. Die Automatisierung wird eingeleitet.

  7. Das Automatisierungs-Runbook führt die folgenden Schritte aus:

    • GetClusterConfiguration:

      Ruft die OpenSearch Service-Cluster-Konfiguration ab.

    • CreateAWSLambdaFunctionStack:

      Erstellt eine temporäre Lambda-Funktion in Ihrem Konto mit CloudFormation. Die Lambda-Funktion wird verwendet, um die OpenSearch Service-APIs auszuführen.

    • WaitForAWSLambdaFunctionStack:

      Wartet, bis der CloudFormation Stack abgeschlossen ist.

    • GetClusterMetricsFromCloudWatch:

      Ruft die Amazon- CloudWatch ClusterStatus, CPUUtilization- und JVMMemoryPressure OpenSearch Service-Cluster-Metriken sowie das Erstellungsdatum ab.

    • RunOpenSearchAPIs:

      Verwendet die Lambda-Funktion, um die OpenSearch Service-APIs aufzurufen und die Cluster-Metrikdaten zu analysieren, um die Ursache für den roten oder gelben Clusterstatus zu diagnostizieren.

    • DeleteAWSLambdaFunctionStack:

      Löscht die durch diese Automatisierung erstellte Lambda-Funktion in Ihrem Konto.

  8. Wenn der Vorgang abgeschlossen ist, finden Sie im Abschnitt Ausgaben die detaillierten Ergebnisse der Ausführung.

    • RootCause:

      Bietet einen Überblick über die identifizierte Ursache dafür, dass der Status des Clusters rot oder gelb angezeigt wird.

    • IssueDescription:

      Enthält Informationen darüber, warum sich der Cluster im roten oder gelben Zustand befindet, sowie mögliche Schritte, um den Cluster wieder in den grünen Zustand zu versetzen.

Referenzen

Systems Manager Automation

AWS Servicedokumentation