協助改善此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
想要為此使用者指南做出貢獻? 捲動至此頁面底部,然後選取編輯此頁面 GitHub。您的貢獻將幫助我們的使用者指南更適合每個人。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Outpost 上的本機 Amazon EKS叢集故障診斷
本主題涵蓋一些使用本機叢集時可能遇到的常見錯誤與排除這些錯誤的方法。本機叢集類似於雲端中的 Amazon EKS叢集,但 Amazon 管理它們的方式有一些不同EKS。
本機叢集是透過 Amazon EKS 建立API,但會以非同步方式執行。這表示對 Amazon 的請求會立即EKSAPI傳回本機叢集。但是,這些請求可能會成功、因輸入驗證錯誤而快速檢錯,或失敗並附上描述性驗證錯誤。此行為類似於 Kubernetes API.
本機叢集不會轉換為 FAILED 狀態。Amazon EKS會嘗試以連續的方式,將叢集狀態與使用者請求的所需狀態進行協調。因此,本機叢集可能會長期保持在 CREATING 狀態,直到基礎問題解決為止。
您可以使用 describe-cluster Amazon EKS AWS CLI命令來探索本機叢集問題。本機叢集問題會由describe-cluster命令回應cluster.health的欄位呈現。此欄位中包含的訊息包含錯誤碼、描述性訊息和相關資源 IDs。此資訊只能透過 Amazon EKSAPI和 AWS CLI 取得。在下列範例中,將 取代my-cluster為本機叢集的名稱。
aws eks describe-cluster --name my-cluster --query 'cluster.health'
範例輸出如下。
{ "issues": [ { "code": "ConfigurationConflict", "message": "The instance type 'm5.large' is not supported in Outpost 'my-outpost-arn'.", "resourceIds": [ "my-cluster-arn" ] } ] }
如果問題無法解決,您可能需要刪除本機叢集並建立新叢集。例如,嘗試使用 Outpost 上無法使用的執行個體類型來佈建叢集。下表包含與運作狀態相關的常見錯誤。
| 錯誤情況 | 代碼 | 訊息 | ResourceIds |
|---|---|---|---|
|
找不到提供的子網路。 |
|
|
所有提供的子網路 IDs |
|
提供的子網路不屬於相同的 VPC。 |
|
|
所有提供的子網路 IDs |
|
有些提供的子網路不屬於指定的 Outpost。 |
|
|
有問題的子網路 ID |
|
有些提供的子網路不屬於任何 Outpost。 |
|
|
有問題的子網路 ID |
|
有些提供的子網路沒有足夠的可用地址,無法為控制平面執行個體建立彈性網路介面。 |
|
|
有問題的子網路 ID |
|
Outpost 不支援指定的控制平面執行個體類型。 |
|
|
叢集 ARN |
|
您已終止控制平面 Amazon EC2執行個體或 |
|
|
叢集 ARN |
|
您在 Outpost 上的容量不足。如果 Outpost 與 AWS 區域中斷連線,則在建立叢集時也會發生這種情況。 |
|
|
叢集 ARN |
|
您的帳戶已超過您的安全群組配額。 |
|
Amazon 傳回的錯誤訊息 EC2 API |
目標 VPC ID |
|
您的帳戶已超過您的彈性網路介面配額。 |
|
Amazon 傳回的錯誤訊息 EC2 API |
目標子網路 ID |
|
無法透過 AWS Systems Manager 連線控制平面執行個體。如需解決方案,請參閱無法透過 AWS Systems Manager 存取控制平面執行個體。 |
|
Amazon EKS控制平面執行個體無法透過 連線SSM。請確認您的 SSM 和 網路組態,並參考 EKS on Outposts 故障診斷文件。 |
Amazon EC2執行個體 IDs |
|
取得受管安全群組或彈性網路介面的詳細資訊時發生錯誤。 |
根據 Amazon EC2用戶端錯誤碼。 |
Amazon 傳回的錯誤訊息 EC2 API |
所有受管安全群組 IDs |
|
授權或撤銷安全群組輸入規則時發生錯誤。這適用於叢集和控制平面安全群組。 |
根據 Amazon EC2用戶端錯誤碼。 |
Amazon 傳回的錯誤訊息 EC2 API |
有問題的安全群組 ID |
|
刪除控制平面執行個體的彈性網路介面時發生錯誤。 |
根據 Amazon EC2用戶端錯誤碼。 |
Amazon 傳回的錯誤訊息 EC2 API |
有問題的彈性網路介面 ID |
下表列出來自其他 AWS 服務的錯誤,這些服務會顯示在describe-cluster回應的運作狀態欄位中。
| Amazon EC2錯誤碼 | 叢集運作狀態問題代碼 | 描述 |
|---|---|---|
|
|
|
基於各種原因,可能會發生此錯誤。最常見的原因是您意外移除了服務用於從控制平面縮小服務連結角色政策範圍的標籤。如果發生這種情況,Amazon EKS無法再管理和監控這些 AWS 資源。 |
|
|
|
基於各種原因,可能會發生此錯誤。最常見的原因是您意外移除了服務用於從控制平面縮小服務連結角色政策範圍的標籤。如果發生這種情況,Amazon EKS無法再管理和監控這些 AWS 資源。 |
|
|
|
當找不到安全群組的傳入規則的子網路 ID 時,就會發生此錯誤。 |
|
|
|
當安全群組的輸入規則許可不正確時,就會發生此錯誤。 |
|
|
|
當找不到安全群組的傳入規則群組時,就會發生此錯誤。 |
|
|
|
當找不到安全群組的輸入規則的網路介面 ID 時,就會發生此錯誤。 |
|
|
|
超過子網路資源配額時,會發生此錯誤。 |
|
|
|
超過 Outpost 容量配額時,會發生此錯誤。 |
|
|
|
超過彈性網路介面配額時,會發生此錯誤。 |
|
|
|
超過安全群組配額時,會發生此錯誤。 |
|
|
|
在新帳戶中建立 Amazon EC2執行個體時會觀察到這種情況。此錯誤可能類似以下內容:" |
|
|
|
如果 Outpost 不支援指定的執行個體類型,Amazon 會EC2傳回此錯誤碼。 |
|
所有其他失敗 |
|
無 |
本機叢集需要與在雲端託管的 Amazon EKS叢集不同的許可和政策。當叢集無法建立並產生InvalidPermissions錯誤時,請仔細檢查您使用的叢集角色是否連接 A mazonEKSLocalOutpostClusterPolicy受管政策。所有其他API呼叫都需要與雲端 Amazon EKS叢集相同的一組許可。
建立本機叢集所需的時間量因數個因素而異。這些因素包括您的網路組態、Outpost 組態和叢集的組態。一般而言,本機叢集會在 15-20 分鐘內建立並變更為 ACTIVE 狀態。如果本機叢集仍處於 CREATING 狀態,則您可以在 cluster.health 輸出欄位中呼叫 describe-cluster 以取得有關原因的資訊。
最常見的問題如下:
-
您的叢集無法從 Systems Manager 所在的 AWS 區域連線到控制平面執行個體。您可以從區域內的堡壘主機呼叫
aws ssm start-session --target進行驗證。如果該命令無法運作,請檢查 Systems Manager 是否正在控制平面執行個體上執行。或者,另一個解決方法是刪除叢集,然後重新建立叢集。instance-id -
Systems Manager 控制平面執行個體可能無法存取網際網路。檢查您在建立叢集時提供的子網路是否具有NAT閘道,以及VPC具有網際網路閘道的 。使用VPC連線能力分析器來驗證控制平面執行個體是否可以到達網際網路閘道。如需詳細資訊,請參閱 VPC Reachability Analyzer 入門。
-
ARN 您提供的角色缺少政策。檢查受AWS 管政策:是否已從角色中移除 mazonEKSLocalOutpostClusterPolicy。如果 AWS CloudFormation 堆疊設定錯誤,也可能發生這種情況。
-
所有提供的子網路必須與相同的 Outpost 關聯,並且必須互相連線。建立叢集時指定多個子網路時,Amazon 會EKS嘗試將控制平面執行個體分散到多個子網路。
-
Amazon EKS受管安全群組會套用至彈性網路介面。不過,NACL防火牆規則等其他組態元素可能會與彈性網路介面的規則衝突。
VPC 和子網路DNS組態設定錯誤或遺失
-
AMI 問題:
-
您正在使用不支援的 AMI。您必須使用 v20220620
或更新版本來建立具有最佳化 Amazon Linux Amazon 最佳化 Amazon Linux 的節點AMIs。 EKS -
如果您使用 AWS CloudFormation 範本來建立節點,請確定它不是使用不支援的 AMI。
-
-
缺少 AWS IAM驗證器
ConfigMap– 如果缺少,您必須建立它。如需詳細資訊,請參閱 將 aws-authConfigMap 套用至您的叢集。 -
使用錯誤的安全群組 – 確保將
eks-cluster-sg-用於您工作節點的安全群組。選取的安全群組會由 變更 AWS CloudFormation ,以允許每次使用堆疊時有新的安全群組。cluster-name-uniqueid -
遵循非預期的私有連結VPC步驟 – 傳遞錯誤的 CA 資料 (
--b64-cluster-ca) 或API端點 (--apiserver-endpoint)。 -
設定錯誤 Pod 安全政策:
-
所以此 CoreDNS 以及 Amazon VPC CNI plugin for Kubernetes 協助程式集必須在節點上執行,節點才能加入叢集並與叢集通訊。
-
所以此 Amazon VPC CNI plugin for Kubernetes 需要一些特殊權限聯網功能才能正常運作。您可以使用下列命令檢視有權限設定的聯網功能:
kubectl describe psp eks.privileged。
我們不建議修改預設 Pod 安全政策。如需詳細資訊,請參閱了解 Amazon EKS 建立的 Pod 安全政策 (PSP)。
-
當 Outpost 與其相關聯的 AWS 區域中斷連線時,Kubernetes 叢集可能會繼續正常運作。不過,如果叢集無法正常運作,請遵循在 AWS Outpost 上準備本機 Amazon EKS叢集以進行網路中斷連線中的疑難排解步驟。如果您遇到其他問題,請聯絡 AWS Support。 AWS Support 可以引導您下載和執行日誌收集工具。如此一來,您可以從 Kubernetes 叢集控制平面執行個體,並將其傳送至 AWS 支援以進行進一步調查。
當 Amazon EKS控制平面執行個體無法透過 AWS Systems Manager (Systems Manager) 連線時,Amazon EKS會顯示叢集的下列錯誤。
Amazon EKS control plane instances are not reachable through SSM. Please verify your SSM and network configuration, and reference the EKS on Outposts troubleshooting documentation.
若要解決此問題,請確定您的 VPC 和 子網路符合在 AWS Outposts 上為 Amazon EKS叢集建立 VPC 和 子網路的要求,而且您已完成 AWS Systems Manager 使用者指南中設定 Session Manager 的步驟。
