AWSSupport-TroubleshootOpenSearchRedYellowCluster - AWS Systems Manager オートメーションランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-TroubleshootOpenSearchRedYellowCluster

説明

AWSSupport-TroubleshootOpenSearchRedYellowCluster オートメーションランブックは、または黄色のクラスターのヘルスステータスの原因を特定し、クラスターを緑に戻す手順を説明するために使用されます。

動作の仕組み

ランブックは、赤または黄色のクラスターの原因のトラブルシューティングAWSSupport-TroubleshootOpenSearchRedYellowClusterに役立ち、クラスター設定とリソース使用率を分析して、この問題を解決するための次のステップを提供します。

ランブックは次のステップを実行します。

  • ターゲットドメインに対して DescribeDomain API を呼び出して、クラスター設定を取得します。

  • OpenSearch Service ドメインがインターネットベース (パブリック) か Amazon Virtual Private Cloud (VPC) ベースかを確認します。

  • クラスター設定に応じて、パブリックまたは Amazon VPC ベースの AWS Lambda 関数を作成します。注: Lambda 関数には、クラスターに対して OpenSearch Service APIs を実行し、クラスターが赤または黄色の状態である理由を判断するトラブルシューティングコードが含まれています。

  • Lambda 関数を削除します。

  • 赤または黄色のクラスターの問題を解決するために実行されたチェックと、次に推奨されるステップを表示します。

ドキュメントタイプ

Automation

[所有者]

Amazon

[Platforms] (プラットフォーム)

Linux、macOS、Windows

パラメータ

必要な IAM アクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:DescribeStackEvents

  • cloudformation:DeleteStack

  • lambda:CreateFunction

  • lambda:DeleteFunction

  • lambda:InvokeFunction

  • lambda:GetFunction

  • es:DescribeDomain

  • es:DescribeDomainConfig

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:DescribeNetworkInterfaces

  • ec2:CreateNetworkInterface

  • ec2:DeleteNetworkInterface

  • ec2:DescribeInstances

  • ec2:AttachNetworkInterface

  • cloudwatch:GetMetricData

  • iam:PassRole

ランブックを正常に使用するには、 LambdaExecutionRoleパラメータに次のアクションが必要です。

  • es:ESHttpGet

  • ec2:CreateNetworkInterface

  • ec2:DescribeNetworkInterfaces

  • ec2:DeleteNetworkInterface

LambdaExecutionRole ポリシーの概要:

以下は、このランブックに必要な AWS サービスおよびリソースにアクセスするためのアクセス許可を関数に付与する Lambda 関数の実行ロール (AWS Identity and Access Management (IAM) ロールの例です。詳細については、「Lambda 実行ロール」を参照してください。

注記

ec2:DescribeNetworkInterfacesec2:CreateNetworkInterface、および ec2:DeleteNetworkInterfaceは、Lambda 関数が Amazon VPC ネットワークインターフェイスを作成および管理できるようにするために、OpenSearch Service クラスターが Amazon VPC ベースである場合にのみ必要です。 https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html詳細については、「Amazon VPC のリソースへのアウトバウンドネットワークの接続」および「Lambda 実行ロール」を参照してください。


        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "es:ESHttpGet",
                    "Resource": [
                        "arn:<partition>:es:<region>:<account-id>:domain/<domain-name>/",
                        "arn:<partition>:es:<region>:<account-id>:domain/<domain-name>/_cluster/health",
                        "arn:<partition>:es:<region>:<account-id>:domain/<domain-name>/_cat/indices",
                        "arn:<partition>:es:<region>:<account-id>:domain/<domain-name>/_cat/allocation",
                        "arn:<partition>:es:<region>:<account-id>:domain/<domain-name>/_cluster/allocation/explain"
                    ]
                },
                {
                    "Condition": {
                        "ArnLikeIfExists": {
                            "ec2:Vpc": "arn:<partition>:ec2:<region>:<account-id>:vpc/<vpc_id>"
                        }
                    },
                    "Action": [
                        "ec2:DeleteNetworkInterface",
                        "ec2:CreateNetworkInterface",
                        "ec2:DescribeNetworkInterfaces",
                        "ec2:UnassignPrivateIpAddresses",
                        "ec2:AssignPrivateIpAddresses"
                    ],
                    "Resource": "*",
                    "Effect": "Allow"
                }
                
            ]
        }

指示

次の手順に従って自動化を設定します。

  1. コンソールで AWSSupport-TroubleshootOpenSearchRedYellowCluster AWS Systems Manager に移動します。

  2. [Execute automation] (オートメーションを実行) を選択します。

  3. 次の入力パラメータを入力します。

    • AutomationAssumeRole(オプション):

      Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

    • LambdaExecutionRole (必須):

      Lambda が Amazon OpenSearch Service クラスターへのリクエストに署名するために使用する IAM ロールの ARN。

    • DomainName (必須):

      赤または黄色のクラスターヘルスステータスを持つ OpenSearch Service ドメインの名前。

    • UtilizationThreshold (オプション):

      CPUUtilization メトリクスと JVMMemoryPressure メトリクスの比較に使用される使用率のしきい値の割合。デフォルト値は 80 です。

    Input parameters form for AWS Systems Manager Automation with IAM roles and domain settings.

  4. OpenSearch Service クラスターできめ細かなアクセスコントロールを有効にしている場合は、LambdaExecutionRoleロール ARN が少なくとも アクセスcluster_monitor許可を持つロールにマッピングされていることを確認してください。

    クラスター permissions section showing cluster_monitor permission granted.
    Backend roles interface showing an AWSIAM role for Lambda execution and options to remove or add roles.

  5. [実行] を選択します。

  6. 自動化が開始されます。

  7. 自動化ランブックは以下のステップを実行します。

    • GetClusterConfiguration:

      OpenSearch Service クラスター設定を取得します。

    • CreateAWSLambdaFunctionStack:

      を使用して、アカウントに一時的な Lambda 関数を作成します AWS CloudFormation。Lambda 関数は、OpenSearch Service APIs を実行するために使用されます。

    • WaitForAWSLambdaFunctionStack:

      CloudFormation スタックが完了するまで待ちます。

    • GetClusterMetricsFromCloudWatch:

      Amazon CloudWatch ClusterStatus、CPUUtilization、JVMMemoryPressure OpenSearch Service クラスター関連のメトリクスとその作成日を取得します。

    • RunOpenSearchAPIs:

      Lambda 関数を使用して OpenSearch Service APIs、クラスターメトリクスデータを分析して、赤または黄色のクラスターステータスの原因を診断します。

    • DeleteAWSLambdaFunctionStack:

      アカウントでこのオートメーションによって作成された Lambda 関数を削除します。

  8. 完了したら、出力セクションで詳細な実行結果を確認します。

    • RootCause:

      クラスターの状態が赤または黄色になる原因として特定されたものの概要を示します。

    • IssueDescription:

      クラスターが赤または黄色の状態である理由の詳細と、クラスターを緑の状態に戻すためのステップについて説明します。

リファレンス

Systems Manager Automation

AWS サービスドキュメント