Bantu tingkatkan halaman ini
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Topik ini mencakup beberapa kesalahan umum yang mungkin Anda lihat saat menggunakan kluster lokal dan cara memecahkan masalah. Cluster lokal mirip dengan cluster Amazon EKS di cloud, tetapi ada beberapa perbedaan dalam cara mereka dikelola oleh Amazon EKS.
penting
Jangan pernah menghentikan instans Kubernetes pesawat kontrol kluster lokal EKS terkelola yang berjalan di Outpost kecuali diinstruksikan secara eksplisit oleh Support. AWS Mengakhiri instance ini menimbulkan risiko terhadap ketersediaan layanan klaster lokal, termasuk hilangnya klaster lokal jika beberapa instance dihentikan secara bersamaan. Instance Kubernetes bidang kontrol kluster lokal EKS diidentifikasi oleh tag eks-local:controlplane-name pada konsol instance. EC2
Cluster lokal dibuat melalui Amazon EKS API, tetapi dijalankan secara asinkron. Ini berarti bahwa permintaan ke Amazon EKS API segera dikembalikan untuk cluster lokal. Namun, permintaan ini mungkin berhasil, gagal cepat karena kesalahan validasi input, atau gagal dan memiliki kesalahan validasi deskriptif. Perilaku ini mirip dengan Kubernetes API.
Cluster lokal tidak bertransisi ke FAILED status. Amazon EKS mencoba untuk mendamaikan status cluster dengan status yang diinginkan pengguna secara berkelanjutan. Akibatnya, klaster lokal mungkin tetap berada dalam CREATING status untuk jangka waktu yang lama sampai masalah mendasar diselesaikan.
Masalah klaster lokal dapat ditemukan menggunakan perintah AWS CLI Amazon EKS CLI klaster deskripsikan. Masalah cluster lokal muncul oleh cluster.health bidang respons describe-cluster perintah. Pesan yang terkandung dalam bidang ini mencakup kode kesalahan, pesan deskriptif, dan sumber daya IDs terkait. Informasi ini tersedia melalui Amazon EKS API dan AWS CLI saja. Dalam contoh berikut, ganti my-cluster dengan nama cluster lokal Anda.
aws eks describe-cluster --name my-cluster --query 'cluster.health'Contoh output adalah sebagai berikut.
{
"issues": [
{
"code": "ConfigurationConflict",
"message": "The instance type 'm5.large' is not supported in Outpost 'my-outpost-arn'.",
"resourceIds": [
"my-cluster-arn"
]
}
]
}Jika masalahnya tidak dapat diperbaiki, Anda mungkin perlu menghapus cluster lokal dan membuat yang baru. Misalnya, mencoba menyediakan cluster dengan tipe instance yang tidak tersedia di Outpost Anda. Tabel berikut mencakup kesalahan umum terkait kesehatan.
| Skenario kesalahan | Kode | Pesan | ResourceIds |
|---|---|---|---|
|
Subnet yang disediakan tidak dapat ditemukan. |
|
|
Semua subnet yang disediakan IDs |
|
Subnet yang disediakan bukan milik VPC yang sama. |
|
|
Semua subnet yang disediakan IDs |
|
Beberapa subnet yang disediakan bukan milik Outpost yang ditentukan. |
|
|
ID subnet bermasalah |
|
Beberapa subnet yang disediakan bukan milik Pos Luar mana pun. |
|
|
ID subnet bermasalah |
|
Beberapa subnet yang disediakan tidak memiliki cukup alamat gratis untuk membuat antarmuka jaringan elastis untuk instance bidang kontrol. |
|
|
ID subnet bermasalah |
|
Jenis instans bidang kontrol yang ditentukan tidak didukung di Outpost Anda. |
|
|
ARN klaster |
|
Anda menghentikan EC2 instans Amazon bidang kontrol atau |
|
|
ARN klaster |
|
Anda memiliki kapasitas yang tidak mencukupi di Pos Luar Anda. Hal ini juga dapat terjadi ketika sebuah cluster sedang dibuat jika Outpost terputus dari Region. AWS |
|
|
ARN klaster |
|
Akun Anda melebihi kuota grup keamanan Anda. |
|
Pesan galat yang dikembalikan oleh Amazon EC2 API |
ID VPC Target |
|
Akun Anda melebihi kuota elastic network interface Anda. |
|
Pesan galat yang dikembalikan oleh Amazon EC2 API |
ID subnet target |
|
Instance control plane tidak dapat dijangkau melalui Systems Manager. AWS Untuk resolusi, lihatInstance control plane tidak dapat dijangkau melalui Systems Manager AWS. |
|
Instans pesawat kontrol Amazon EKS tidak dapat dijangkau melalui SSM. Harap verifikasi SSM dan konfigurasi jaringan Anda, dan rujuk dokumentasi pemecahan masalah EKS on Outposts. |
EC2 Contoh Amazon IDs |
|
Terjadi kesalahan saat mendapatkan detail untuk grup keamanan terkelola atau elastic network interface. |
Berdasarkan kode kesalahan EC2 klien Amazon. |
Pesan galat yang dikembalikan oleh Amazon EC2 API |
Semua grup keamanan terkelola IDs |
|
Terjadi kesalahan saat mengotorisasi atau mencabut aturan masuknya grup keamanan. Ini berlaku untuk kelompok keamanan cluster dan pesawat kontrol. |
Berdasarkan kode kesalahan EC2 klien Amazon. |
Pesan galat yang dikembalikan oleh Amazon EC2 API |
ID grup keamanan bermasalah |
|
Terjadi kesalahan saat menghapus elastic network interface untuk instance control plane. |
Berdasarkan kode kesalahan EC2 klien Amazon. |
Pesan galat yang dikembalikan oleh Amazon EC2 API |
ID antarmuka elastis network yang bermasalah |
Tabel berikut mencantumkan kesalahan dari AWS layanan lain yang disajikan di bidang kesehatan describe-cluster respons.
| Kode EC2 kesalahan Amazon | Kode masalah kesehatan cluster | Deskripsi |
|---|---|---|
|
|
|
Kesalahan ini dapat terjadi karena berbagai alasan. Alasan paling umum adalah Anda secara tidak sengaja menghapus tag yang digunakan layanan untuk menutupi kebijakan peran terkait layanan dari bidang kontrol. Jika ini terjadi, Amazon EKS tidak dapat lagi mengelola dan memantau AWS sumber daya ini. |
|
|
|
Kesalahan ini dapat terjadi karena berbagai alasan. Alasan paling umum adalah Anda secara tidak sengaja menghapus tag yang digunakan layanan untuk menutupi kebijakan peran terkait layanan dari bidang kontrol. Jika ini terjadi, Amazon EKS tidak dapat lagi mengelola dan memantau AWS sumber daya ini. |
|
|
|
Kesalahan ini terjadi ketika subnet ID untuk aturan masuknya grup keamanan tidak dapat ditemukan. |
|
|
|
Kesalahan ini terjadi ketika izin untuk aturan masuknya grup keamanan tidak benar. |
|
|
|
Kesalahan ini terjadi ketika grup aturan masuk grup keamanan tidak dapat ditemukan. |
|
|
|
Kesalahan ini terjadi ketika ID antarmuka jaringan untuk aturan masuknya grup keamanan tidak dapat ditemukan. |
|
|
|
Kesalahan ini terjadi ketika kuota sumber daya subnet terlampaui. |
|
|
|
Kesalahan ini terjadi ketika kuota kapasitas pos terlampaui. |
|
|
|
Kesalahan ini terjadi ketika kuota elastic network interface terlampaui. |
|
|
|
Kesalahan ini terjadi ketika kuota grup keamanan terlampaui. |
|
|
|
Ini diamati saat membuat EC2 instance Amazon di akun baru. Kesalahannya mungkin mirip dengan yang berikut: |
|
|
|
Amazon EC2 mengembalikan kode kesalahan ini jika jenis instance yang ditentukan tidak didukung di Outpost. |
|
Semua kegagalan lainnya |
|
Tidak ada |
Cluster lokal memerlukan izin dan kebijakan yang berbeda dari kluster Amazon EKS yang di-host di cloud. Jika klaster gagal membuat dan menghasilkan InvalidPermissions kesalahan, periksa kembali apakah peran klaster yang Anda gunakan memiliki kebijakan EKSLocal OutpostClusterPolicy terkelola Amazon yang dilampirkan padanya. Semua panggilan API lainnya memerlukan set izin yang sama dengan kluster Amazon EKS di cloud.
Jumlah waktu yang dibutuhkan untuk membuat cluster lokal bervariasi tergantung pada beberapa faktor. Faktor-faktor ini termasuk konfigurasi jaringan Anda, konfigurasi Outpost, dan konfigurasi cluster. Secara umum, cluster lokal dibuat dan berubah ACTIVE status dalam 15-20 menit. Jika cluster lokal tetap dalam CREATING status, Anda dapat describe-cluster meminta informasi tentang penyebabnya di bidang cluster.health output.
Masalah yang paling umum adalah sebagai berikut:
-
Cluster Anda tidak dapat terhubung ke instance control plane dari AWS Region tempat Systems Manager berada. Anda dapat memverifikasi ini dengan menelepon
aws ssm start-session --targetdari host benteng In-region. Jika perintah itu tidak berfungsi, periksa apakah Systems Manager berjalan pada instance control plane. Atau, solusi lain adalah menghapus cluster dan kemudian membuatnya kembali.instance-id -
Instans bidang kontrol gagal dibuat karena izin kunci KMS untuk volume EBS. Dengan kunci KMS yang dikelola pengguna untuk volume EBS terenkripsi, instance bidang kontrol akan berakhir jika kunci tidak dapat diakses. Jika instance dihentikan, beralihlah ke kunci KMS AWS terkelola atau pastikan bahwa kebijakan kunci terkelola pengguna Anda memberikan izin yang diperlukan ke peran klaster.
-
Instans pesawat kontrol Systems Manager mungkin tidak memiliki akses internet. Periksa apakah subnet yang Anda berikan saat membuat cluster memiliki gateway NAT dan VPC dengan gateway internet. Gunakan penganalisis jangkauan VPC untuk memverifikasi bahwa instance bidang kontrol dapat mencapai gateway internet. Untuk informasi selengkapnya, lihat Memulai dengan VPC Reachability Analyzer.
-
Peran ARN yang Anda berikan adalah kebijakan yang hilang. Periksa apakah kebijakan AWS terkelola: Amazon EKSLocal OutpostClusterPolicy telah dihapus dari peran. Ini juga dapat terjadi jika AWS CloudFormation tumpukan salah dikonfigurasi.
-
Semua subnet yang disediakan harus dikaitkan dengan Outpost yang sama dan harus saling menjangkau. Saat beberapa subnet ditentukan saat kluster dibuat, Amazon EKS mencoba menyebarkan instance bidang kontrol di beberapa subnet.
-
Grup keamanan terkelola Amazon EKS diterapkan di elastic network interface. Namun, elemen konfigurasi lain seperti aturan firewall NACL mungkin bertentangan dengan aturan untuk elastic network interface.
Konfigurasi DNS VPC dan subnet salah dikonfigurasi atau hilang
Tinjau Buat VPC dan subnet untuk cluster Amazon EKS di Outposts. AWS
Amazon EKS secara otomatis memperbarui semua cluster lokal yang ada ke versi platform terbaru untuk versi minor Kubernetes yang sesuai. Untuk informasi lebih lanjut tentang versi platform, silakan lihatPelajari versi platform Kubernetes dan Amazon EKS untuk Outposts AWS.
Selama peluncuran versi platform otomatis, status klaster berubah menjadi. UPDATING Proses pembaruan terdiri dari penggantian semua instans control-plane Kubernetes dengan yang baru yang berisi jalur keamanan terbaru dan perbaikan bug yang dirilis untuk masing-masing versi minor Kubernetes. Secara umum, proses pembaruan platform cluster lokal selesai dalam waktu kurang dari 30 menit dan klaster berubah kembali ke ACTIVE status. Jika klaster lokal tetap dalam UPDATING status untuk jangka waktu yang lama, Anda dapat menelepon describe-cluster untuk memeriksa informasi tentang penyebab di bidang cluster.health output.
Amazon EKS memastikan setidaknya 2 dari 3 instans control-plane Kubernetes adalah node cluster yang sehat dan operasional untuk menjaga ketersediaan klaster lokal dan mencegah gangguan layanan. Jika klaster lokal terhenti dalam UPDATING keadaan, biasanya karena ada beberapa masalah infrastruktur atau konfigurasi yang mencegah ketersediaan minimum dua instance dijamin jika proses berlanjut. Jadi proses pembaruan berhenti berkembang untuk melindungi gangguan layanan cluster lokal.
Penting untuk memecahkan masalah klaster lokal yang terjebak dalam UPDATING status dan mengatasi penyebab akar sehingga proses pembaruan dapat menyelesaikan dan memulihkan cluster lokal kembali ACTIVE dengan ketersediaan tinggi 3 instance bidang kontrol Kubernetes.
Jangan menghentikan Kubernetes instans kluster lokal EKS yang dikelola di Outposts kecuali secara eksplisit diinstruksikan oleh Support. AWS Ini sangat penting untuk cluster lokal yang terjebak dalam UPDATING keadaan karena ada kemungkinan besar bahwa node bidang kontrol lain tidak sepenuhnya sehat dan menghentikan instance yang salah dapat menyebabkan gangguan layanan dan risiko kehilangan data cluster lokal.
Masalah yang paling umum adalah sebagai berikut:
-
Satu atau beberapa instans bidang kontrol tidak dapat terhubung ke Manajer Sistem karena perubahan konfigurasi jaringan sejak cluster lokal pertama kali dibuat. Anda dapat memverifikasi ini dengan menelepon
aws ssm start-session --targetdari host benteng In-region. Jika perintah itu tidak berfungsi, periksa apakah Systems Manager berjalan pada instance control plane.instance-id -
Instans bidang kontrol baru gagal dibuat karena izin kunci KMS untuk volume EBS. Dengan kunci KMS yang dikelola pengguna untuk volume EBS terenkripsi, instance bidang kontrol akan berakhir jika kunci tidak dapat diakses. Jika instance dihentikan, beralihlah ke kunci KMS AWS terkelola atau pastikan bahwa kebijakan kunci terkelola pengguna Anda memberikan izin yang diperlukan ke peran klaster.
-
Instans pesawat kontrol Systems Manager mungkin telah kehilangan akses internet. Periksa apakah subnet yang disediakan saat Anda membuat cluster memiliki gateway NAT dan VPC dengan gateway internet. Gunakan penganalisis jangkauan VPC untuk memverifikasi bahwa instance bidang kontrol dapat mencapai gateway internet. Untuk informasi selengkapnya, lihat Memulai dengan VPC Reachability Analyzer. Jika jaringan pribadi Anda tidak memiliki koneksi internet keluar, pastikan bahwa semua titik akhir VPC dan titik akhir gateway yang diperlukan masih ada di subnet Regional dari cluster Anda (lihat). Akses subnet ke layanan AWS
-
Peran ARN yang Anda berikan adalah kebijakan yang hilang. Periksa apakah kebijakan AWS terkelola: Amazon EKSLocal OutpostClusterPolicy tidak dihapus dari peran.
-
Salah satu instance control-plane Kubernetes baru mungkin mengalami kegagalan bootstrap yang tidak terduga. Silakan ajukan tiket ke AWS Support Center
untuk panduan lebih lanjut tentang pemecahan masalah dan pengumpulan log dalam kasus luar biasa ini.
-
Masalah AMI:
-
Anda menggunakan AMI yang tidak didukung. Anda harus menggunakan v20220620
atau yang lebih baru untuk Buat node dengan Amazon Linux Amazon AMIs EKS yang dioptimalkan Amazon Linux yang dioptimalkan. -
Jika Anda menggunakan AWS CloudFormation template untuk membuat node, pastikan itu tidak menggunakan AMI yang tidak didukung.
-
-
Kehilangan AWS IAM Authenticator
ConfigMap— Jika hilang, Anda harus membuatnya. Untuk informasi selengkapnya, lihat Terapkan aws-authConfigMap ke cluster Anda. -
Kelompok keamanan yang salah digunakan — Pastikan untuk digunakan
eks-cluster-sg-untuk kelompok keamanan node pekerja Anda. Grup keamanan yang dipilih diubah oleh AWS CloudFormation untuk memungkinkan grup keamanan baru setiap kali tumpukan digunakan.cluster-name-uniqueid -
Mengikuti langkah-langkah VPC tautan pribadi yang tidak terduga — Data CA yang salah (
--b64-cluster-ca) atau API Endpoint (--apiserver-endpoint) diteruskan. -
Kebijakan keamanan Pod yang salah konfigurasi:
-
Plugin CNI CoreDNS dan Amazon VPC untuk Kubernetes Daemonsets harus berjalan pada node agar node dapat bergabung dan berkomunikasi dengan cluster.
-
Plugin Amazon VPC CNI untuk Kubernetes memerlukan beberapa fitur jaringan istimewa agar berfungsi dengan baik. Anda dapat melihat fitur jaringan istimewa dengan perintah berikut:
kubectl describe psp eks.privileged.
Kami tidak menyarankan untuk memodifikasi kebijakan keamanan pod default. Untuk informasi selengkapnya, lihat Memahami kebijakan keamanan Pod (PSP) yang dibuat Amazon EKS.
-
Ketika Outpost terputus dari AWS Region yang terkait dengannya, klaster Kubernetes kemungkinan akan terus bekerja secara normal. Namun, jika klaster tidak berfungsi dengan baik, ikuti langkah-langkah pemecahan masalah di Siapkan kluster Amazon EKS lokal di AWS Outposts untuk pemutusan jaringan. Jika Anda mengalami masalah lain, hubungi AWS Support. AWS Support dapat memandu Anda dalam mengunduh dan menjalankan alat pengumpulan log. Dengan begitu, Anda dapat mengumpulkan log dari instance control plane cluster Kubernetes dan mengirimkannya ke Support AWS Support untuk penyelidikan lebih lanjut.
Jika instans bidang kontrol Amazon EKS tidak dapat dijangkau melalui AWS Systems Manager (Systems Manager), Amazon EKS menampilkan error berikut untuk klaster Anda.
Amazon EKS control plane instances are not reachable through SSM. Please verify your SSM and network configuration, and reference the EKS on Outposts troubleshooting documentation.
Untuk mengatasi masalah ini, pastikan VPC dan subnet Anda memenuhi persyaratan di Buat VPC dan subnet untuk klaster Amazon EKS di AWS Outposts dan Anda menyelesaikan langkah-langkah dalam Menyiapkan Session Manager di Panduan Pengguna Systems Manager. AWS
