Aiutaci a migliorare questa pagina
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risolvi i problemi relativi ai cluster Amazon locali su EKS AWS Outposts
Questo argomento illustra alcuni errori comuni che si potrebbero verificare durante l'utilizzo dei cluster locali e il modo in cui risolverli. I cluster locali sono simili ai EKS cluster Amazon nel cloud, ma ci sono alcune differenze nel modo in cui vengono gestiti da Amazon. EKS
I cluster locali vengono creati tramite Amazon EKSAPI, ma vengono eseguiti in modo asincrono. Ciò significa che le richieste ad Amazon vengono EKS API restituite immediatamente per i cluster locali. Tuttavia, queste richieste potrebbero avere esito positivo, anticipare l’errore a causa di errori di convalida degli input oppure fallire e riportare errori di convalida descrittivi. Questo comportamento è simile al KubernetesAPI.
I cluster locali non effettuano la transizione a uno stato FAILED. Amazon EKS tenta di riconciliare lo stato del cluster con lo stato desiderato richiesto dall'utente in modo continuo. Di conseguenza, un cluster locale può rimanere a lungo nello stato CREATING, fino a quando il problema di base non viene risolto.
I problemi relativi ai cluster locali possono essere scoperti utilizzando il EKS AWS CLI comando describe-clusterAmazon. I problemi relativi ai cluster locali vengono evidenziati dal campo cluster.health della risposta del comando describe-cluster. Il messaggio contenuto in questo campo include un codice di errore, un messaggio descrittivo e una risorsa IDs correlata. Queste informazioni sono disponibili AWS CLI solo tramite Amazon EKSAPI. Nell'esempio seguente, sostituisci my-cluster con il nome del cluster locale.
aws eks describe-cluster --namemy-cluster--query 'cluster.health'
Di seguito viene riportato un output di esempio:
{
"issues": [
{
"code": "ConfigurationConflict",
"message": "The instance type 'm5.large' is not supported in Outpost 'my-outpost-arn'.",
"resourceIds": [
"my-cluster-arn"
]
}
]
}Se il problema non è risolvibile, potrebbe essere necessario eliminare il cluster locale e crearne uno nuovo. Ad esempio, ciò potrebbe verificarsi nel caso in cui si provi ad allocare un cluster con un tipo di istanza che non è disponibile sul tuo Outpost. La tabella seguente include gli errori più comuni relativi allo stato di integrità.
| Scenario di errore | Codice | Messaggio | ResourceIds |
|---|---|---|---|
|
Non è stato possibile trovare le sottoreti fornite. |
|
|
Tutte le sottoreti fornite IDs |
|
Le sottoreti fornite non appartengono alla stessa. VPC |
|
|
Tutte le sottoreti fornite IDs |
|
Alcune delle sottoreti fornite non appartengono all'Outpost specificato. |
|
|
ID della sottorete problematico |
|
Alcune delle sottoreti fornite non appartengono ad alcun Outpost. |
|
|
ID della sottorete problematico |
|
Alcune sottoreti fornite non dispongono di indirizzi liberi sufficienti per creare interfacce di rete elastiche per le istanze del piano di controllo. |
|
|
ID della sottorete problematico |
|
Il tipo di istanza del piano di controllo specificato non è supportato sul tuo Outpost. |
|
|
Cluster ARN |
Hai terminato un'EC2istanza Amazon del piano di controllo o l'operazione run-instance è stata completata, ma lo stato ha rilevato modifiche a. Terminated Ciò può verificarsi per un certo periodo di tempo dopo la riconnessione di Outpost e gli errori EBS interni di Amazon causano il fallimento di un flusso di lavoro EC2 interno di Amazon. |
|
|
Cluster ARN |
|
Capacità insufficiente nell'Outpost. Ciò può verificarsi anche quando viene creato un cluster se un Outpost viene disconnesso da. Regione AWS |
|
|
Cluster ARN |
| Il tuo account supera la quota del gruppo di sicurezza |
|
Messaggio di errore restituito da Amazon EC2 API | VPCID di destinazione |
| Il tuo account supera la quota dell'interfaccia di rete elastica |
|
Messaggio di errore restituito da Amazon EC2 API | ID della sottorete di destinazione |
Le istanze del piano di controllo non erano raggiungibili tramite. AWS Systems Manager Per la risoluzione, consulta la sezione Le istanze del piano di controllo non sono raggiungibili tramite AWS Systems Manager. |
|
Le istanze EKS del piano di controllo di Amazon non sono raggiungibili tramite. SSM Verifica la tua configurazione SSM e quella di rete e fai riferimento alla documentazione EKS sulla risoluzione dei problemi su Outposts. |
EC2Istanza Amazon IDs |
| Si è verificato un errore durante la raccolta dei dettagli per un gruppo di sicurezza gestito o un'interfaccia di rete elastica. |
Basato sul codice di errore EC2 del client Amazon. |
Messaggio di errore restituito da Amazon EC2 API | Tutti i gruppi di sicurezza gestiti IDs |
| Si è verificato un errore durante l'autorizzazione o la revoca delle regole di ingresso dei gruppi di sicurezza. Questo vale per i gruppi di sicurezza sia del cluster sia del piano di controllo. | Basato sul codice di errore EC2 del client Amazon. | Messaggio di errore restituito da Amazon EC2 API | ID gruppo di sicurezza problematico |
| Si è verificato un errore durante l'eliminazione di un'interfaccia di rete elastica per un'istanza del piano di controllo | Basato sul codice di errore EC2 del client Amazon. | Messaggio di errore restituito da Amazon EC2 API | ID dell'interfaccia di rete elastica problematica |
La tabella seguente elenca gli errori Servizi AWS di altri utenti presentati nel campo relativo allo stato della describe-cluster risposta.
| Codice EC2 di errore Amazon | Codice del problema di integrità del cluster | Descrizione |
|---|---|---|
|
|
Questo problema può verificarsi per una serie di motivi. Di solito si verificano se un tag utilizzato dal servizio per definire la policy dei ruoli collegati al servizio viene rimosso accidentalmente dal piano di controllo. In tal caso, Amazon non EKS può più gestire e monitorare queste AWS risorse. |
|
|
Questo problema può verificarsi per una serie di motivi. Di solito si verificano se un tag utilizzato dal servizio per definire la policy dei ruoli collegati al servizio viene rimosso accidentalmente dal piano di controllo. In tal caso, Amazon non EKS può più gestire e monitorare queste AWS risorse. |
|
|
Questo errore si verifica quando non viene trovato l'ID di sottorete per le regole di ingresso di un gruppo di sicurezza. |
|
|
Questo errore si verifica quando le autorizzazioni per le regole di ingresso di un gruppo di sicurezza non sono corrette. |
|
|
Questo errore si verifica quando non viene trovato il gruppo delle regole di ingresso di un gruppo di sicurezza. |
|
|
Questo errore si verifica quando non viene trovato l'ID dell'interfaccia di rete per le regole di ingresso di un gruppo di sicurezza. |
|
|
Questo errore si verifica quando viene superata la quota di risorse della sottorete. |
|
|
Questo errore si verifica quando viene superata la quota di capacità dell'outpost. |
|
|
Questo errore si verifica quando viene superata la quota dell'interfaccia di rete elastica. |
|
|
Questo errore si verifica quando viene superata la quota del gruppo di sicurezza. |
|
|
Ciò si verifica quando si crea un'EC2istanza Amazon in un nuovo account. L'errore potrebbe essere simile al seguente: "You
have requested more vCPU capacity than your current vCPU limit
of 32 allows for the instance bucket that the specified instance
type belongs to. Please visit
http://aws.amazon.com/contact-us/ec2-request to request an
adjustment to this limit." |
|
|
Amazon EC2 restituisce questo codice di errore se il tipo di istanza specificato non è supportato su Outpost. |
| Tutti gli altri errori |
|
Nessuno |
I cluster locali richiedono autorizzazioni e politiche diverse rispetto EKS ai cluster Amazon ospitati nel cloud. Quando un cluster non riesce a creare e produce un InvalidPermissions errore, ricontrolla che al ruolo del cluster che stai utilizzando sia associata la politica mazonEKSLocal OutpostClusterPolicy gestita A. Tutte le altre API chiamate richiedono lo stesso set di autorizzazioni dei EKS cluster Amazon nel cloud.
La quantità di tempo necessaria per creare un cluster locale varia a seconda di diversi fattori. Questi fattori includono la configurazione della rete, la configurazione dell'Outpost e la configurazione del cluster. In generale, viene creato un cluster locale che passa allo stato ACTIVE entro 15-20 minuti. Se un cluster locale rimane nello stato CREATING, puoi richiamare describe-cluster per informazioni sulla causa nel campo di output cluster.health.
I problemi più comuni sono i seguenti:
AWS Systems Manager (Systems Manager) riscontra i seguenti problemi:
-
Il cluster non può connettersi all'istanza del piano di controllo dalla Regione AWS in cui si trova Systems Manager. Puoi eseguire una verifica chiamando
aws ssm start-session --targetda un host bastione nella regione. Se il comando non funziona, controlla se Systems Manager è in esecuzione sull'istanza del piano di controllo. Oppure, un'altra soluzione alternativa consiste nell'eliminare il cluster e quindi ricrearlo.instance-id -
Le istanze del piano di controllo di Systems Manager potrebbero non avere accesso a Internet. Controlla se la sottorete che hai fornito quando hai creato il cluster ha un NAT gateway e una VPC con un gateway Internet. Utilizza l'analizzatore VPC di raggiungibilità per verificare che l'istanza del piano di controllo possa raggiungere il gateway Internet. Per ulteriori informazioni, consulta Guida introduttiva a VPC Reachability Analyzer.
-
Il ruolo ARN che hai fornito è privo di policy. Verifica che AWS politica gestita: A mazonEKSLocal OutpostClusterPolicy sia stato rimosso dal ruolo. Ciò può verificarsi anche se uno AWS CloudFormation stack non è configurato correttamente.
Più sottoreti non sono state configurate correttamente e specificate durante la creazione di un cluster:
-
Tutte le sottoreti fornite devono essere associate allo stesso Outpost ed essere in grado di raggiungersi tra loro. Quando vengono specificate più sottoreti quando viene creato un cluster, Amazon EKS tenta di distribuire le istanze del piano di controllo su più sottoreti.
-
I gruppi di sicurezza EKS gestiti da Amazon vengono applicati all'interfaccia di rete elastica. Tuttavia, altri elementi di configurazione, come le regole NACL del firewall, potrebbero entrare in conflitto con le regole dell'elastic network interface.
VPCe la configurazione della sottorete è DNS configurata in modo errato o mancante
Verificare Crea sottoreti VPC e sottoreti per i cluster Amazon su EKS AWS Outposts.
Cause comuni:
-
AMIproblemi:
-
Stai utilizzando un file non supportatoAMI. È necessario utilizzare la versione v20220620 o successiva
per Amazon Linux Crea nodi con Amazon Linux ottimizzato AMIs ottimizzato EKS per Amazon. -
Se hai usato un AWS CloudFormation modello per creare i tuoi nodi, assicurati che non ne usasse uno non supportato. AMI
-
-
Manca l' AWS IAMAuthenticator
ConfigMap: se manca, devi crearlo. Per ulteriori informazioni, consulta Applica la aws-authConfigMap al cluster. -
È stato utilizzato un gruppo di sicurezza non corretto: assicurati di utilizzare
eks-cluster-sg-per il gruppo di sicurezza dei nodi worker. Il gruppo di sicurezza selezionato viene modificato AWS CloudFormation per consentire un nuovo gruppo di sicurezza ogni volta che viene utilizzato lo stack.cluster-name-uniqueid -
A seguito di VPC passaggi di collegamento privati imprevisti: vengono trasmessi dati CA (
--b64-cluster-ca) o API Endpoint (--apiserver-endpoint) errati. -
Policy di sicurezza del Pod configurata in maniera errata:
-
I daemonset CoreDNS e Amazon VPC CNI plugin for Kubernetes devono essere eseguiti sui nodi affinché i nodi siano in grado di unirsi al cluster e comunicare correttamente con esso.
-
Per funzionare correttamente, il Amazon VPC CNI plugin for Kubernetes richiede alcune funzionalità di rete privilegiate. È possibile visualizzare le funzionalità di rete privilegiate con il comando seguente:
kubectl describe psp eks.privileged.
Ti consigliamo di modificare la policy di sicurezza del pod predefinita. Per ulteriori informazioni, consulta Comprendi le politiche di sicurezza dei pod EKS create da Amazon (PSP).
-
Quando un Outpost viene disconnesso da quello a Regione AWS cui è associato, è probabile che il Kubernetes cluster continui a funzionare normalmente. Tuttavia, se il cluster non funziona correttamente, segui la procedura di risoluzione dei problemi riportata in Prepara EKS i cluster Amazon locali AWS Outposts per le disconnessioni di rete. Se riscontri altri problemi, contatta. AWS Support AWS Support può guidarti nel download e nell'esecuzione di uno strumento di raccolta dei log. In questo modo, è possibile raccogliere i log dalle istanze del piano di controllo del Kubernetes cluster e inviarli al AWS Support supporto per ulteriori indagini.
Quando le istanze del piano di EKS controllo di Amazon non sono raggiungibili tramite AWS Systems Manager (Systems Manager), Amazon EKS visualizza il seguente errore per il tuo cluster.
Amazon EKS control plane instances are not reachable through SSM. Please verify your SSM and network configuration, and reference the EKS on Outposts troubleshooting documentation.
Per risolvere questo problema, assicurati che le tue sottoreti VPC e le tue sottoreti soddisfino i requisiti Crea sottoreti VPC e sottoreti per i cluster Amazon su EKS AWS Outposts e di aver completato i passaggi descritti nella Configurazione di Session Manager nella Guida per l'utente. AWS Systems Manager
