Die Fähigkeit ist AKTIV, aber es werden keine Ressourcen erstellt Ressourcen, die in Kubernetes erstellt wurden AWS , aber nicht in Kubernetes angezeigt werden Cross-account Ressourcen werden nicht erstellt Nächste Schritte

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Probleme mit ACK-Funktionen beheben

Anmerkung

Die EKS-Funktionen werden vollständig verwaltet und außerhalb Ihres Clusters ausgeführt. Sie haben keinen Zugriff auf Controller-Logs oder Controller-Namespaces. Die Fehlerbehebung konzentriert sich auf den Funktionsstatus, den Ressourcenstatus und die IAM-Konfiguration.

Die Fähigkeit ist AKTIV, aber es werden keine Ressourcen erstellt

Wenn Ihre ACK-Fähigkeit ACTIVE den Status anzeigt, aber keine Ressourcen erstellt werden AWS, überprüfen Sie den Funktionsstatus, den Ressourcenstatus und die IAM-Berechtigungen.

Überprüfen Sie den Zustand der Fähigkeit:

Sie können Funktionszustands- und Statusprobleme in der EKS-Konsole oder über die AWS CLI anzeigen.

Konsole:

Öffnen Sie die Amazon EKS-Konsole unter https://console.aws.amazon.com/eks/home #/clusters.
Wählen Sie Ihren Clusternamen aus.
Wählen Sie den Registerkarte Beobachtbarkeit.
Wählen Sie Cluster überwachen aus.
Wählen Sie die Registerkarte Funktionen, um den Zustand und den Status aller Funktionen anzuzeigen.

AWS CLI:


# View capability status and health
aws eks describe-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-ack

# Look for issues in the health section

Häufige Ursachen:

IAM-Berechtigungen fehlen: Der Capability-Rolle fehlen die Berechtigungen für den Dienst AWS
Falscher Namespace: Ressourcen, die im Namespace ohne den richtigen Namen erstellt wurden IAMRoleSelector
Ungültige Ressourcenspezifikation: Überprüfen Sie die Bedingungen für den Ressourcenstatus auf Validierungsfehler
API-Drosselung: AWS API-Ratenlimits wurden erreicht
Zulassungs-Webhooks: Zulassungs-Webhooks, die den Controller daran hindern, den Ressourcenstatus zu patchen

Überprüfen Sie den Ressourcenstatus:


# Describe the resource to see conditions and events
kubectl describe bucket my-bucket -n default

# Look for status conditions
kubectl get bucket my-bucket -n default -o jsonpath='{.status.conditions}'

# View resource events
kubectl get events --field-selector involvedObject.name=my-bucket -n default

Überprüfen Sie die IAM-Berechtigungen:


# View the Capability Role's policies
aws iam list-attached-role-policies --role-name my-ack-capability-role
aws iam list-role-policies --role-name my-ack-capability-role

# Get specific policy details
aws iam get-role-policy --role-name my-ack-capability-role --policy-name policy-name

Ressourcen, die in Kubernetes erstellt wurden AWS , aber nicht in Kubernetes angezeigt werden

ACK verfolgt nur Ressourcen, die es über Kubernetes-Manifeste erstellt. Verwenden Sie die Adoption-Funktion, um vorhandene AWS Ressourcen mit ACK zu verwalten.


apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
  name: existing-bucket
  annotations:
    services.k8s.aws/adoption-policy: "adopt-or-create"
spec:
  name: my-existing-bucket-name

Weitere Informationen zur Nutzung von Ressourcen finden Sie unterACK-Konzepte.

Cross-account Ressourcen werden nicht erstellt

Wenn bei der Verwendung von IAM-Rollenselektoren keine Ressourcen in einem AWS Zielkonto erstellt werden, überprüfen Sie das Vertrauensverhältnis und IAMRoleSelector die Konfiguration.

Überprüfen Sie die Vertrauensbeziehung:


# Check the trust policy in the target account role
aws iam get-role --role-name cross-account-ack-role --query 'Role.AssumeRolePolicyDocument'

Die Vertrauensrichtlinie muss es der Capability Role des Quellkontos ermöglichen, diese Rolle zu übernehmen.

IAMRoleSelector Konfiguration bestätigen:


# List IAMRoleSelectors (cluster-scoped)
kubectl get iamroleselector

# Describe specific selector
kubectl describe iamroleselector my-selector

Überprüfen Sie die Namespace-Ausrichtung:

IAMRoleSelectors sind Ressourcen im Clusterbereich, zielen jedoch auf bestimmte Namespaces ab. Stellen Sie sicher, dass sich Ihre ACK-Ressourcen in einem Namespace befinden, der dem Namespace-Selektor von entspricht: IAMRoleSelector


# Check resource namespace
kubectl get bucket my-cross-account-bucket -n production

# List all IAMRoleSelectors (cluster-scoped)
kubectl get iamroleselector

# Check which namespace the selector targets
kubectl get iamroleselector my-selector -o jsonpath='{.spec.namespaceSelector}'

Zustand überprüfen: IAMRoleSelected

Stellen Sie sicher, dass der Ihrer Ressource erfolgreich zugeordnet IAMRoleSelector wurde, indem Sie die ACK.IAMRoleSelected Bedingung überprüfen:


# Check if IAMRoleSelector was matched
kubectl get bucket my-cross-account-bucket -n production -o jsonpath='{.status.conditions[?(@.type=="ACK.IAMRoleSelected")]}'

Wenn die Bedingung zutrifft False oder fehlt, IAMRoleSelector stimmt der Namespace-Selektor nicht mit dem Namespace der Ressource überein. Stellen Sie sicher, dass der Selektor mit den namespaceSelector Namespace-Labels Ihrer Ressource übereinstimmt.

Überprüfen Sie die Berechtigungen für Capability Role:

Die Anforderungen sts:AssumeRole und sts:TagSession Berechtigungen der Capability Role für die Rolle des Zielkontos:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["sts:AssumeRole", "sts:TagSession"],
      "Resource": [.replaceable]`"arn:aws:iam::444455556666:role/cross-account-ack-role"`
    }
  ]
}

Eine ausführliche kontenübergreifende Konfiguration finden Sie unterACK-Berechtigungen konfigurieren.

Nächste Schritte

ACK-Überlegungen für EKS— Überlegungen zu ACK und bewährte Methoden
ACK-Berechtigungen konfigurieren— Konfigurieren Sie IAM-Berechtigungen und Muster für mehrere Konten
ACK-Konzepte- Verstehen Sie die ACK-Konzepte und den Ressourcenlebenszyklus
Fehlerbehebung bei EKS-Funktionen- Allgemeine Hinweise zur Problembehebung

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Überlegungen

Vergleich mit selbstverwaltetem System