Wie behebe ich Fehler bei verwalteten Knotengruppen in einem Amazon-EKS-Cluster?

Letzte Aktualisierung: 15.11.2021

Ich habe Probleme mit meiner verwalteten Knotengruppe in meinem Cluster von Amazon Elastic Kubernetes Service (Amazon EKS).

Kurzbeschreibung

Sie erhalten einen Fehler, wenn Sie einen Knoten beim API-Server registrieren.

Wenn Sie in Ihrem benutzerdefinierten DNS eine falsche DHCP-Option verwenden, wird der folgende Fehler angezeigt:

Node "ip-x-x-x-x.eu-region.compute.internal" is invalid: metadata.labels: Invalid value

Um das Problem zu beheben, führen Sie die Schritte im Abschnitt Ihre DHCP-Optionen überprüfen von Auflösung aus.

Sie erhalten einen Fehler, wenn Sie eine Instance von Amazon Elastic Compute Cloud (Amazon EC2) in einer Auto-Scaling-Gruppe mit einem Volume von Amazon Elastic Block Store (Amazon EBS) starten, das mit einem KMS-Schlüssel verschlüsselt ist.

Beispielfehler:

AccessDeniedException: User: arn:aws:sts::xxxxxxxxxxxx:assumed-role/AWSServiceRoleForAutoScaling/AutoScaling is not authorized to perform: kms:GenerateDataKeyWithoutPlaintext on resource: ARN of KMS key

Wenn ein verwalteter Knoten ein Amazon-EBS-Volume verwendet, das mit einem KMS-Schlüssel verschlüsselt ist, hat die Auto-Scaling-Gruppenservicerolle keinen Zugriff darauf. Informationen zum Einrichten einer Schlüsselrichtlinie finden Sie im Abschnitt Schlüsselrichtlinie für Ihre EBS-Volume-Verschlüsselung konfigurieren unter Auflösung.

Ihre verwaltete Knotengruppe befindet sich im Status Herabgesetzt, da die Version der EC2-Startvorlage nicht mit der von Amazon EKS erstellten Version übereinstimmt.

Wenn Sie die Startvorlage manuell direkt von der Auto-Scaling-Gruppe aus aktualisieren, wird der folgende Fehler angezeigt:

Ec2LaunchTemplateVersionMismatch

Um das Problem zu beheben, führen Sie die Schritte im Abschnitt Version der Startvorlage aktualisieren von Auflösung aus.

Weitere Auflösungen von ausgefallenen Knoten in verwalteten Knotengruppen finden Sie unter Wie kann ich meine Worker-Knoten dazu bringen, meinem Amazon-EKS-Cluster beizutreten?

Auflösung

Ihre DHCP-Optionen überprüfen

Stellen Sie sicher, dass Ihr Hostname nicht mehr als 63 Zeichen enthält. Informationen zum Prüfen Ihrer DHCP-Optionen finden Sie unter Mit DHCP-Optionssätzen arbeiten.

Geben Sie Ihren Hostnamen an, der mit der AWS-Region übereinstimmt. Geben Sie für einen von Amazon bereitgestellten DNS-Server in US-Ost-1 ec2.internal an. Geben Sie für einen von Amazon bereitgestellten DNS-Server in anderen AWS-Regionen region.compute.internal an.

Beispiel für einen DHCP-Optionssatz in US-Ost-1:

domain-name: ec2.internal
domain-name-servers: AmazonProvidedDNS

Beispiel für einen DHCP-Optionssatz in anderen Regionen:

domain-name: region name.compute.internal
domain-name-servers: AmazonProvidedDNS

Beispiel für einen DHCP-Optionssatz aus einem benutzerdefinierten DNS:

domain-name:custom DNS name
domain-name-servers: domain name server

Hinweis: Ersetzen Sie den Regionsnamen durch Ihre Region, custom DNS name durch Ihren DNS-Namen und den domain name server durch Ihren Domänennamenserver.

Weitere Informationen finden Sie im Abschnitt Domänenname von Überblick über DHCP-Optionssätze.

Hinweis: Wenn Ihr DHCP-Optionssatz mit einer VPC verknüpft ist, die Instances mit mehreren Betriebssystemen hat, empfiehlt es sich, nur einen Domänennamen anzugeben.

Schlüsselrichtlinie für Ihre EBS-Volume-Verschlüsselung konfigurieren

Die Auto-Scaling-Gruppenservicerolle muss über die folgenden Berechtigungen verfügen, um mit verschlüsselten EBS-Volumes arbeiten zu können:

  • kms:Encrypt
  • kms:Decrypt
  • kms:ReEncrypt*
  • kms:GenerateDataKey*
  • kms:DescribeKey
  • kms:CreateGrant

Informationen zur Konfiguration der richtigen KMS-Schlüsselrichtlinie finden Sie unter Erforderliche AWS-KMS-Schlüsselrichtlinie für die Verwendung mit verschlüsselten Volumes.

Damit mehr IAM-Rollen mit verschlüsselten EBS-Volumes arbeiten können, können Sie die wichtigsten Richtlinien ändern. Weitere Informationen finden Sie unter Wichtigen Benutzern die Verwendung des KMS-Schlüssels erlauben.

Weitere Informationen zur Verwaltung des KMS-Schlüsselzugriffs finden Sie unter Verwalten des Zugriffs auf KMS-Schlüssel.

Version der Startvorlage aktualisieren

Hinweis: Bevor Sie Ihre EC2-Startvorlage über die verwaltete Knotengruppe aktualisieren, erstellen Sie eine neue Version. Weitere Informationen finden Sie unter Neue Startvorlage mithilfe von von Ihnen definierten Parametern erstellen.

Führen Sie die folgenden Schritte aus, um Ihre EC2-Startvorlage von der verwalteten Knotengruppe aus zu aktualisieren:

  1. Öffnen Sie die EKS-Konsole.
  2. Wählen Sie den Cluster aus, der die zu aktualisierende Knotengruppe enthält.
  3. Wählen Sie die Registerkarte Konfiguration und dann die Registerkarte Computing.
  4. Wählen Sie auf der Seite Knotengruppen unter „Startvorlagen“ die Option Version ändern aus.
  5. Wählen Sie die Version aus, die auf Ihre Knotengruppe angewendet werden soll. Stellen Sie sicher, dass die Aktualisierungsstrategie auf Rollierende Updates eingestellt ist.
  6. Wählen Sie Aktualisieren aus.

Hinweis: Es empfiehlt sich, die Knotengruppe mit der neuen Version der EC2-Startvorlage zu aktualisieren.

Wenn Sie keine benutzerdefinierte Startvorlage verwendet haben und den Fehler Ec2LaunchTemplateVersionMismatch erhalten, verwenden Ihre Worker-Knoten nicht dieselbe Version wie die EKS-Knotengruppe. Um dieses Problem zu beheben, rufen Sie die Auto-Scaling-Konsole auf, um zu der von EKS erstellten Version zurückzukehren. Weitere Informationen finden Sie unter Gruppenfehler für verwaltete Knoten.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?