AWSSupport-TroubleshootECSTaskFailedToStart - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-TroubleshootECSTaskFailedToStart

Deskripsi

AWSSupport-TroubleshootECSTaskFailedToStartRunbook membantu Anda memecahkan masalah mengapa tugas Amazon Elastic Container Service (Amazon ECS) di klaster Amazon ECS gagal dimulai. Anda harus menjalankan runbook ini Wilayah AWS sama dengan tugas Anda yang gagal dimulai. Runbook menganalisis masalah umum berikut yang dapat mencegah tugas dimulai:

  • Konektivitas jaringan ke registri kontainer yang dikonfigurasi

  • Izin IAM hilang yang diperlukan oleh peran eksekusi tugas

  • Konektivitas titik akhir VPC

  • Konfigurasi aturan grup keamanan

  • AWS Secrets Manager referensi rahasia

  • Konfigurasi log

catatan

Jika analisis menentukan bahwa konektivitas jaringan perlu diuji, fungsi Lambda dan peran IAM yang diperlukan dibuat di akun Anda. Sumber daya ini digunakan untuk mensimulasikan konektivitas jaringan dari tugas Anda yang gagal. Otomatisasi menghapus sumber daya ini ketika mereka tidak lagi diperlukan. Namun, jika otomatisasi gagal menghapus sumber daya, Anda harus melakukannya secara manual.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux, macOS, Windows

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • ClusterName

    Tipe: String

    Deskripsi: (Wajib) Nama cluster Amazon ECS tempat tugas gagal dimulai.

  • CloudwatchRetentionPeriod

    Jenis: Integer

    Deskripsi: (Opsional) Periode retensi, dalam beberapa hari, untuk log fungsi Lambda disimpan di Log Amazon CloudWatch . Ini hanya diperlukan jika analisis menentukan konektivitas jaringan perlu diuji.

    Nilai yang valid: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90

    Bawaan: 30

  • TaskId

    Tipe: String

    Deskripsi: (Wajib) ID tugas yang gagal. Gunakan tugas yang terakhir gagal.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • cloudtrail:LookupEvents

  • ec2:DeleteNetworkInterface

  • ec2:DescribeInstances

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeIamInstanceProfileAssociations

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeRouteTables

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ecr:DescribeImages

  • ecr:GetRepositoryPolicy

  • ecs:DescribeContainerInstances

  • ecs:DescribeServices

  • ecs:DescribeTaskDefinition

  • ecs:DescribeTasks

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListRoles

  • iam:PassRole

  • iam:SimulateCustomPolicy

  • iam:SimulatePrincipalPolicy

  • kms:DescribeKey

  • lambda:CreateFunction

  • lambda:DeleteFunction

  • lambda:GetFunctionConfiguration

  • lambda:InvokeFunction

  • lambda:TagResource

  • logs:DescribeLogGroups

  • logs:PutRetentionPolicy

  • secretsmanager:DescribeSecret

  • ssm:DescribeParameters

  • sts:GetCallerIdentity

Langkah Dokumen

  • aws:executeScript- Memverifikasi bahwa pengguna atau peran yang memulai otomatisasi memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki izin yang cukup untuk menggunakan runbook ini, izin yang diperlukan yang hilang disertakan dalam output otomatisasi.

  • aws:branch- Cabang berdasarkan apakah Anda memiliki izin untuk semua tindakan yang diperlukan untuk runbook.

  • aws:executeScript- Membuat fungsi Lambda di VPC Anda jika analisis menentukan konektivitas jaringan perlu diuji.

  • aws:branch- Cabang berdasarkan hasil langkah sebelumnya.

  • aws:executeScript- Menganalisis kemungkinan penyebab kegagalan untuk memulai tugas Anda.

  • aws:executeScript- Menghapus sumber daya yang dibuat oleh otomatisasi ini.

  • aws:executeScript- Memformat output otomatisasi untuk mengembalikan hasil analisis ke konsol. Anda dapat meninjau analisis setelah langkah ini sebelum otomatisasi selesai.

  • aws:branch- Cabang berdasarkan apakah fungsi Lambda dan sumber daya terkait dibuat dan perlu dihapus.

  • aws:sleep- Tidur selama 30 menit sehingga elastis network interface untuk fungsi Lambda dapat dihapus.

  • aws:executeScript- Menghapus antarmuka jaringan fungsi Lambda.

  • aws:executeScript- Memformat output dari langkah penghapusan antarmuka jaringan fungsi Lambda.