Führen Sie das EC2Rescue Tool auf nicht erreichbaren Instanzen aus - AWS Systems Manager
FunktionsweiseBevor Sie beginnenAusführen der Automation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Führen Sie das EC2Rescue Tool auf nicht erreichbaren Instanzen aus

EC2Rescuekann Ihnen bei der Diagnose und Behebung von Problemen auf Amazon Elastic Compute Cloud (AmazonEC2) -Instances für Linux und helfenWindows Server. Sie können das Tool manuell ausführen, wie unter Verwenden EC2Rescue für Linux Server und Verwenden EC2Rescue für Windows Server beschrieben. Sie können das Tool auch automatisch mit der Systems Manager Automation und dem AWSSupport-ExecuteEC2Rescue-Runbook ausführen. Automatisierung ist eine Fähigkeit von AWS Systems Manager. Das AWSSupport-ExecuteEC2RescueRunbook ist so konzipiert, dass es eine Kombination aus Systems Manager Manager-Aktionen, AWS CloudFormation Aktionen und Lambda-Funktionen ausführt, die die normalerweise für die Verwendung erforderlichen Schritte automatisieren. EC2Rescue

Sie können das AWSSupport-ExecuteEC2Rescue-Runbook verwenden, um verschiedene Arten von Problemen bei Betriebssystemen (OS) zu behandeln und möglicherweise zu lösen. Instances mit verschlüsselten Root-Volumes werden nicht unterstützt. Eine vollständige Liste finden Sie in den folgenden Themen:

Windows: Weitere Informationen finden Sie unter Rettungsaktion unter Verwenden von EC2Rescue Windows Server über die Befehlszeile.

Linux und macOS: Einige Module EC2Rescue für Linux erkennen Probleme und versuchen, sie zu beheben. Weitere Informationen finden Sie in der aws-ec2rescue-linuxDokumentation zu den einzelnen Modulen unterGitHub.

Funktionsweise

Die Fehlerbehebung bei einer Instance mit Automation und dem AWSSupport-ExecuteEC2Rescue-Runbook funktioniert folgendermaßen:

  • Sie geben die ID der nicht erreichbaren Instance an und starten das Runbook.

  • Das System erstellt eine temporäre VPC und führt dann eine Reihe von Lambda-Funktionen aus, um die VPC zu konfigurieren.

  • Das System identifiziert ein Subnetz für Ihre temporäre Instanz VPC in derselben Availability Zone wie Ihre ursprüngliche Instance.

  • Das System startet eine temporäre, SSM aktivierte Helper-Instance.

  • Das System stoppt Ihre ursprüngliche Instance und erstellt einen Backup. Anschließend fügt es das ursprüngliche Stamm-Volume an die Helferobjekt-Instance an.

  • Das System wird verwendetRun Command, um EC2Rescue auf der Helper-Instanz zu laufen. EC2Rescueidentifiziert Probleme auf dem angehängten, ursprünglichen Root-Volume und versucht, diese zu beheben. Wenn der Vorgang abgeschlossen ist, EC2Rescue wird das Root-Volume wieder an die ursprüngliche Instance angehängt.

  • Das System startet die ursprüngliche Instance neu und beendet die temporäre Instance. Das System beendet auch die temporären VPC und die Lambda-Funktionen, die zu Beginn der Automatisierung erstellt wurden.

Bevor Sie beginnen

Bevor Sie die folgende Automation ausführen, führen Sie die folgenden Schritte aus:

  • Kopieren Sie die Instance-ID der nicht erreichbaren Instance. Sie legen diese ID im Verfahren fest.

  • Erfassen Sie optional die ID eines Subnetzes in derselben Availability Zone wie Ihre unerreichbare Instance. Die EC2Rescue Instanz wird in diesem Subnetz erstellt. Wenn Sie kein Subnetz angeben, erstellt Automation ein neues temporäres Subnetz VPC in Ihrem. AWS-Konto Stellen Sie sicher, AWS-Konto dass mindestens eines VPC verfügbar ist. Standardmäßig können Sie fünf VPCs in einer Region erstellen. Wenn Sie VPCs in der Region bereits fünf erstellt haben, schlägt die Automatisierung fehl, ohne dass Änderungen an Ihrer Instanz vorgenommen werden. Weitere Informationen zu VPC Amazon-Kontingenten finden Sie unter VPCund Subnetze im VPCAmazon-Benutzerhandbuch.

  • Optional können Sie eine Rolle AWS Identity and Access Management (IAM) für Automation erstellen und angeben. Falls Sie diese Rolle nicht festlegen, wird die Automatisierung im Kontext des Benutzers ausgeführt, der die Automatisierung ausgeführt hat.

Gewähren von AWSSupport-EC2Rescue-Berechtigungen zum Durchführen von Aktionen auf Ihren Instances

EC2Rescuebenötigt die Erlaubnis, während der Automatisierung eine Reihe von Aktionen auf Ihren Instances durchzuführen. Diese Aktionen rufen die EC2 Dienste AWS Lambda, und Amazon aufIAM, um sicher und geschützt zu versuchen, Probleme mit Ihren Instances zu beheben. Wenn Sie über Administratorberechtigungen verfügen AWS-Konto und/oderVPC, können Sie die Automatisierung möglicherweise ausführen, ohne Berechtigungen zu konfigurieren, wie in diesem Abschnitt beschrieben. Falls Sie keine Administratorberechtigungen besitzen, müssen Sie oder ein Administrator Berechtigungen anhand einer der folgenden Optionen konfigurieren.

Erteilen von Berechtigungen mithilfe von IAM-Richtlinien

Sie können entweder die folgende IAM Richtlinie als Inline-Richtlinie an Ihren Benutzer, Ihre Gruppe oder Rolle anhängen, oder Sie können eine neue IAM verwaltete Richtlinie erstellen und sie Ihrem Benutzer, Ihrer Gruppe oder Rolle zuordnen. Weitere Informationen zum Hinzufügen einer eingebundenen Richtlinie zu Ihrem Benutzerkonto, Ihrer Gruppe oder Ihrer Rolle finden Sie unter Verwenden von eingebundenen Richtlinien. Weitere Informationen zum Erstellen einer neuen verwalteten Richtlinien finden Sie unter Verwenden von eingebundenen Richtlinien.

Anmerkung

Wenn Sie eine neue IAM verwaltete Richtlinie erstellen, müssen Sie ihr auch die verwaltete mazonSSMAutomationA-Role-Richtlinie hinzufügen, damit Ihre Instances mit dem Systems Manager kommunizieren könnenAPI.

IAMRichtlinie für AWSSupport - EC2Rescue

Ersetzen account ID mit Ihren eigenen Informationen.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "lambda:InvokeFunction",
            "lambda:DeleteFunction",
            "lambda:GetFunction"
         ],
         "Resource": "arn:aws:lambda:*:account ID:function:AWSSupport-EC2Rescue-*",
         "Effect": "Allow"
      },
      {
         "Action": [
            "s3:GetObject",
            "s3:GetObjectVersion"
         ],
         "Resource": [
            "arn:aws:s3:::awssupport-ssm.*/*.template",
            "arn:aws:s3:::awssupport-ssm.*/*.zip"
         ],
         "Effect": "Allow"
      },
      {
         "Action": [
            "iam:CreateRole",
            "iam:CreateInstanceProfile",
            "iam:GetRole",
            "iam:GetInstanceProfile",
            "iam:PutRolePolicy",
            "iam:DetachRolePolicy",
            "iam:AttachRolePolicy",
            "iam:PassRole",
            "iam:AddRoleToInstanceProfile",
            "iam:RemoveRoleFromInstanceProfile",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DeleteInstanceProfile"
         ],
         "Resource": [
            "arn:aws:iam::account ID:role/AWSSupport-EC2Rescue-*",
            "arn:aws:iam::account ID:instance-profile/AWSSupport-EC2Rescue-*"
         ],
         "Effect": "Allow"
      },
      {
         "Action": [
            "lambda:CreateFunction",
            "ec2:CreateVpc",
            "ec2:ModifyVpcAttribute",
            "ec2:DeleteVpc",
            "ec2:CreateInternetGateway",
            "ec2:AttachInternetGateway",
            "ec2:DetachInternetGateway",
            "ec2:DeleteInternetGateway",
            "ec2:CreateSubnet",
            "ec2:DeleteSubnet",
            "ec2:CreateRoute",
            "ec2:DeleteRoute",
            "ec2:CreateRouteTable",
            "ec2:AssociateRouteTable",
            "ec2:DisassociateRouteTable",
            "ec2:DeleteRouteTable",
            "ec2:CreateVpcEndpoint",
            "ec2:DeleteVpcEndpoints",
            "ec2:ModifyVpcEndpoint",
            "ec2:Describe*"
         ],
         "Resource": "*",
         "Effect": "Allow"
      }
   ]
}

Erteilen von Berechtigungen mithilfe einer AWS CloudFormation Vorlage

AWS CloudFormation automatisiert den Prozess der Erstellung von IAM Rollen und Richtlinien mithilfe einer vorkonfigurierten Vorlage. Verwenden Sie das folgende Verfahren, um die erforderlichen IAM Rollen und Richtlinien für die EC2Rescue Automatisierung mithilfe von zu erstellen. AWS CloudFormation

So erstellen Sie die erforderlichen IAM Rollen und Richtlinien für EC2Rescue

  1. Laden Sie AWSSupport-EC2RescueRole.zip herunter und extrahieren Sie die AWSSupport-EC2RescueRole.json-Datei in ein Verzeichnis auf Ihrem lokalen Computer.

  2. Wenn Sie AWS-Konto sich in einer speziellen Partition befinden, bearbeiten Sie die Vorlage, um die Werte in die ARN Werte für Ihre Partition zu ändern.

    Ändern Sie beispielsweise für arn:aws alle Fälle von in arn:aws-cn.

  3. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

  4. Klicken Sie auf Create stack (Stack erstellen), With new resources (standard) (Mit neuen Ressourcen (Standard)).

  5. Wählen Sie auf der Seite Create stack (Stack erstellen) unter Prerequisite - Prepare template (Voraussetzung – Vorlage vorbereiten) die Option Template is ready (Vorlage ist bereit) aus.

  6. Wählen Sie unter Vorlage angeben die Option Vorlagendatei hochladen aus.

  7. Wählen Sie Choose file (Datei auswählen) aus, navigieren Sie dann zu der AWSSupport-EC2RescueRole.json-Datei aus dem Verzeichnis, in dem Sie sie extrahiert haben, und wählen Sie sie aus.

  8. Wählen Sie Weiter.

  9. Geben Sie auf der Seite Specify stack details (Stack-Details angeben) für das Feld Stack name (Stack-Name) einen Namen ein, um diesen Stack zu identifizieren. Wählen Sie dann Next (Weiter) aus.

  10. (Optional) Wenden Sie im Bereich Tags ein oder mehrere Tag-Schlüsselname/-wertpaare auf den Stack an.

    Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Beispielsweise können Sie einen Stack kennzeichnen, um den Typ der ausgeführten Aufgaben, die Typen von Zielen oder anderen Ressourcen und die Umgebung zu identifizieren, in der er ausgeführt wird.

  11. Wählen Sie Next (Weiter)

  12. Überprüfen Sie auf der Seite Überprüfen“ die Stack-Details, scrollen Sie dann nach unten und wählen Sie die Option Ich bestätige, dass AWS CloudFormation möglicherweise IAM Ressourcen erstellt werden.

  13. Wählen Sie Stack erstellen aus.

    AWS CloudFormation zeigt für einige CREATEMinuten den PROGRESS _IN_-Status an. Der Status ändert sich zu CREATE_, COMPLETE nachdem der Stack erstellt wurde. Sie können auch auf das Aktualisierungssymbol klicken, um den Status des Erstellungsprozesses zu überprüfen.

  14. Wählen Sie in der Stacks-Liste die Option neben den Stack, den Sie gerade erstellt haben, und wählen Sie dann die Registerkarte Outputs (Ausgaben).

  15. Notieren Sie sich den Wert. Das ist das ARN von AssumeRole. Sie geben dies anARN, wenn Sie die Automatisierung im nächsten Verfahren ausführen,Ausführen der Automation.

Ausführen der Automation

Wichtig

Der folgende Automatisierung hält die nicht erreichbare Instance an. Das Anhalten der Instance kann zu Datenverlusten auf den angehängten Instance-Speicher-Volumes (sofern vorhanden) führen. Das Anhalten der Instance kann auch dazu führen, dass die öffentliche IP-Adresse geändert wird, wenn keine elastische IP-Adresse zugeordnet ist.

Führen Sie die AWSSupport-ExecuteEC2Rescue-Automation aus.

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Klicken Sie im Navigationsbereich auf Automation.

  3. Wählen Sie Execute automation (Automatisierung ausführen).

  4. Wählen Sie im Abschnitt Automation document (Automatisierungsdokument) die Option Owned by Amazon (Im Besitz von Amazon) aus der Liste aus.

  5. Wählen Sie in der Runbooks-Liste die Schaltfläche auf der Karte für AWSSupport-ExecuteEC2Rescue und wählen Sie danach Weiter.

  6. Klicken Sie auf der Seite Execute automation document (Automation-Dokument ausführen) auf Simple execution (Einfache Ausführung).

  7. Überprüfen Sie im Abschnitt Document details (Dokumentdetails), ob Document version (Dokumentversion) auf die höchste Standardversion gesetzt ist. Zum Beispiel $ DEFAULT oder 3 (Standard).

  8. Geben Sie im Abschnitt Input Parameters die folgenden Parameter an.

    1. Geben Sie für UnreachableInstanceIddie ID der nicht erreichbaren Instanz an.

    2. (Optional) Geben Sie für EC2RescueInstanceTypeeinen Instanztyp für die EC2Rescue Instanz an. Der Standard-Instance-Typ lautet t2.medium.

    3. Denn AutomationAssumeRolewenn Sie Rollen für diese Automatisierung mithilfe des weiter oben in diesem Thema beschriebenen AWS CloudFormation Verfahrens erstellt haben, wählen Sie die Rollen ARN aus, AssumeRole die Sie in der AWS CloudFormation Konsole erstellt haben.

    4. (Optional) Geben Sie für einen S3-Bucket an LogDestination, wenn Sie bei der Fehlerbehebung für Ihre Instanz Protokolle auf Betriebssystemebene sammeln möchten. Protokolle werden automatisch in den angegebenen Bucket hochgeladen.

    5. Geben Sie für SubnetIdein Subnetz in einem vorhandenen VPC Subnetz in derselben Availability Zone an wie die nicht erreichbare Instance. Standardmäßig erstellt Systems Manager ein neuesVPC, aber Sie können ein Subnetz in einem vorhandenen angeben, VPC wenn Sie möchten.

      Anmerkung

      Wenn Sie die Option zum Erstellen eines Buckets oder einer Subnetz-ID nicht sehen, überprüfen Sie, ob Sie die neueste Default-Version des Runbooks verwenden.

  9. (Optional) Wenden Sie im Bereich Tags mindestens ein Tag-Schlüsselname-/-Wert-Paar an, um die Automatisierung zu identifizieren, z. B. Key=Purpose,Value=EC2Rescue.

  10. Wählen Sie Execute (Ausführen).

Das Runbook erstellt ein Backup AMI als Teil der Automatisierung. Alle anderen durch die Automatisierung erstellten Ressourcen werden automatisch gelöscht, diese AMI verbleiben jedoch in Ihrem Konto. Der AMI-Name wird unter Verwendung der folgenden Konvention generiert:

BackupAMI: AWSSupport -EC2Rescue:UnreachableInstanceId

Sie finden dies AMI in der EC2 Amazon-Konsole, indem Sie nach der Automation-Ausführungs-ID suchen.