Fehlerbehebung Session Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung Session Manager

Im Folgenden finden Sie Informationen zur Behandlung von Problemen mit AWS Systems Manager Session Manager.

Der Dokumentvorgang ist unerwartet fehlgeschlagen: Das Zeitlimit für den Document Worker wurde überschritten

Problem: Beim Starten einer Sitzung auf einem Linux-Host gibt Systems Manager den folgenden Fehler zurück:

document process failed unexpectedly: document worker timed out, check [ssm-document-worker]/[ssm-session-worker] log for crash reason

Wenn Sie konfiguriert haben SSM Agent Protokollierung, wie unter beschriebenAnzeigen von SSM Agent-Protokollen, können Sie weitere Details im Debugging-Protokoll einsehen. Für dieses Problem Session Manager zeigt den folgenden Protokolleintrag:

failed to create channel: too many open files

Dieser Fehler weist normalerweise darauf hin, dass zu viele vorhanden sind Session Manager Arbeitsprozesse wurden ausgeführt und das zugrunde liegende Betriebssystem hat ein Limit erreicht. Sie haben zwei Möglichkeiten, dieses Problem zu lösen.

Lösung A: Erhöhen Sie das Limit für Dateibenachrichtigungen im Betriebssystem

Sie können das Limit erhöhen, indem Sie den folgenden Befehl von einem separaten Linux-Host aus ausführen. Dieser Befehl verwendet Systems Manager Run Command. Der angegebene Wert erhöht sich max_user_instances auf 8192. Dieser Wert ist erheblich höher als der Standardwert 128, belastet aber die Hostressourcen nicht:

aws ssm send-command --document-name AWS-RunShellScript \ --instance-id i-02573cafcfEXAMPLE --parameters \ "commands=sudo sysctl fs.inotify.max_user_instances=8192"

Lösung B: Reduzieren Sie die Anzahl der verwendeten Dateibenachrichtigungen von Session Manager auf dem Zielhost

Führen Sie den folgenden Befehl von einem separaten Linux-Host aus, um die auf dem Zielhost laufenden Sitzungen aufzulisten:

aws ssm describe-sessions --state Active --filters key=Target,value=i-02573cafcfEXAMPLE

Überprüfen Sie die Befehlsausgabe, um Sitzungen zu identifizieren, die nicht mehr benötigt werden. Sie können diese Sitzung beenden, indem Sie den folgenden Befehl von einem separaten Linux-Host aus ausführen:

aws ssm terminate-session —session-id session ID

Wenn auf dem Remoteserver keine weiteren Sitzungen mehr laufen, können Sie optional zusätzliche Ressourcen freigeben, indem Sie den folgenden Befehl von einem separaten Linux-Host aus ausführen. Dieser Befehl beendet alle Session Manager Prozesse, die auf dem Remote-Host ausgeführt werden, und folglich alle Sitzungen auf dem Remote-Host. Bevor Sie diesen Befehl ausführen, stellen Sie sicher, dass keine laufenden Sitzungen vorhanden sind, die Sie behalten möchten:

aws ssm send-command --document-name AWS-RunShellScript \ --instance-id i-02573cafcfEXAMPLE --parameters \ '{"commands":["sudo kill $(ps aux | grep ssm-session-worker | grep -v grep | awk '"'"'{print $2}'"'"')"]}'

Session Manager Ich kann von der EC2 Amazon-Konsole aus keine Verbindung herstellen

Problem: Nach der Erstellung einer neuen Instance bietet Ihnen die Registerkarte Session Manager in der Konsole von Amazon Elastic Compute Cloud (AmazonEC2) nicht die Möglichkeit, sich zu verbinden.

Lösung A: Erstellen Sie ein Instance-Profil: Falls Sie dies noch nicht getan haben (wie in den Informationen auf der Registerkarte Session Manager in der EC2 Konsole beschrieben), erstellen Sie ein AWS Identity and Access Management (IAM) Instance-Profil mithilfe von Quick Setup. Quick Setup ist eine Fähigkeit von. AWS Systems Manager

Session Manager erfordert ein IAM Instance-Profil, um eine Verbindung mit Ihrer Instance herzustellen. Sie können ein Instance-Profil erstellen und es Ihrer Instance zuweisen, indem Sie eine Host-Verwaltungs-Konfiguration erstellen mit Quick Setup. Eine Host-Verwaltungs-Konfiguration erstellt ein Instance-Profil mit den erforderlichen Berechtigungen und weist es Ihrer Instance zu. Eine Host-Verwaltungs-Konfiguration ermöglicht auch andere Systems-Manager-Funktionen und erstellt IAM Rollen für die Ausführung dieser Funktionen. Die Nutzung ist kostenlos Quick Setup oder die Funktionen, die durch die Host-Verwaltungs-Konfiguration aktiviert werden. Öffnen Quick Setup und erstellen Sie eine Host-Management-Konfiguration.

Wichtig

Nachdem Sie die Host-Verwaltungs-Konfiguration erstellt haben, EC2 kann es einige Minuten dauern, bis Amazon die Änderung registriert und die Registerkarte Session Manager aktualisiert hat. Wenn auf der Registerkarte nach zwei Minuten keine Schaltfläche Connect angezeigt wird, starten Sie Ihre Instance neu. Wenn die Option zum Herstellen einer Verbindung nach dem Neustart immer noch nicht angezeigt wird, öffnen Sie Quick Setup und stellen Sie sicher, dass Sie nur eine Host-Verwaltungs-Konfiguration haben. Wenn es zwei gibt, löschen Sie die ältere Konfiguration und warten Sie einige Minuten.

Wenn Sie nach dem Erstellen einer Host-Verwaltungs-Konfiguration immer noch keine Verbindung herstellen können oder wenn Sie eine Fehlermeldung erhalten, einschließlich einer Fehlermeldung zu SSM Agent, sehen Sie eine der folgenden Lösungen:

Lösung B: Kein Fehler, aber es kann immer noch keine Verbindung hergestellt werden

Wenn Sie die Host-Verwaltungs-Konfiguration erstellt haben, mehrere Minuten gewartet haben, bevor Sie versucht haben, eine Verbindung herzustellen, und immer noch keine Verbindung herstellen können, müssen Sie die Host-Management-Konfiguratio möglicherweise manuell auf Ihre Instance anwenden. Gehen Sie wie folgt vor, um eine zu aktualisieren Quick Setup Host-Verwaltungs-Konfiguration und Anwenden von Änderungen auf eine Instance.

So aktualisieren Sie eine Host-Verwaltungs-Konfiguration mit Quick Setup
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Quick Setup.

  3. Wählen Sie in der Konfigurationsliste die Host-Verwaltungs-Konfiguration aus, die Sie erstellt haben.

  4. Wählen Sie Aktionen und wählen Sie dann Konfiguration bearbeiten.

  5. Wählen Sie unten im Abschnitt Ziele unter Wählen Sie aus, wie Sie Instances als Ziel verwenden möchten die Option Manuell aus.

  6. Wählen Sie im Abschnitt Instances die Instance aus, die Sie erstellt haben.

  7. Wählen Sie Aktualisieren.

Warten Sie einige MinutenEC2, bis die Registerkarte Session Manager aktualisiert wurde. Wenn Sie immer noch keine Verbindung herstellen können oder eine Fehlermeldung angezeigt wird, überprüfen Sie die verbleibenden Lösungen für dieses Problem.

Lösung C: Fehler wegen fehlendem Problem SSM Agent

Wenn Sie keine Host-Management-Konfiguration erstellen konnten, indem Sie Quick Setup, oder wenn Sie eine Fehlermeldung erhalten haben über SSM Agent da es nicht installiert ist, müssen Sie es möglicherweise manuell installieren SSM Agent auf Ihrer -Instance. SSM Agent ist Amazon-Software, die es Systems Manager ermöglicht, eine Verbindung mit Ihrer Instance herzustellen, indem Session Manager. SSM Agent ist standardmäßig auf den meisten Amazon Machine Images (AMIs) installiert. Wenn Ihre Instance aus einer nicht standardmäßigen AMI oder älteren -Instance erstellt wurdeAMI, müssen Sie den Agenten möglicherweise manuell installieren. Für das Verfahren zur Installation SSM Agent, lesen Sie das folgende Thema, das Ihrem Instance-Betriebssystem entspricht.

Lösungen zu Problemen mit SSM Agent, finden Sie unter Fehlerbehebung SSM Agent.

Keine Berechtigung zum Starten einer Sitzung

Problem: Sie versuchen, eine Sitzung zu starten. Das System teilt Ihnen jedoch mit, dass Sie nicht über die erforderlichen Berechtigungen verfügen.

SSM Agent nicht online

Problem: Sie sehen eine Nachricht auf der EC2 Amazon-Instance Session ManagerRegisterkarte mit der Aufschrift: SSM Agent ist nicht online. Das Tool SSM Agent konnte keine Verbindung zu einem Systems Manager -Endpunkt herstellen, um sich beim Service zu registrieren.

Solution (Lösung): SSM Agent ist Amazon-Software, die auf EC2 Amazon-Instances läuft, sodass Session Manager kann eine Verbindung zu ihnen herstellen. Wenn dieser Fehler angezeigt wird, SSM Agent kann keine Verbindung mit dem Systems Manager -Endpunkt herstellen. Die Ursache des Problems könnten Firewall-Einschränkungen, Routing-Probleme oder mangelnde Internetverbindung sein. Sie lösen dieses Problem, indem Sie Probleme mit der Netzwerkverbindung untersuchen.

Keine Berechtigung zum Ändern von Sitzungspräferenzen

Problem: Sie versuchen, globale Sitzungspräferenzen für Ihre Organisation zu aktualisieren. Das System teilt Ihnen jedoch mit, dass Sie nicht über die erforderlichen Berechtigungen verfügen.

Verwalteter Knoten ist nicht verfügbar oder nicht konfiguriert für Session Manager

Problem 1: Sie möchten auf der Seite Start a session (Sitzung starten) der Konsole eine Sitzung starten. Es befindet sich jedoch kein verwalteter Knoten in der Liste.

Problem 2: Ein verwalteter Knoten, mit dem Sie eine Verbindung herstellen möchten, befindet sich in der Liste auf der Seite Start a session (Sitzung starten) der Konsole. Die Seite meldet jedoch, dass „die von Ihnen ausgewählte Instance nicht für die Verwendung konfiguriert wurde Session Manager."

Session Manager Plugin nicht gefunden

Um die Befehle AWS CLI zum Ausführen von Sessionbefehlen zu verwenden, Session Manager Das Plugin muss auch auf Ihrem lokalen Computer installiert sein. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugins für die AWS CLI.

Session Manager -Plug-In wurde dem Befehlszeilenpfad nicht automatisch hinzugefügt (Windows)

Wenn Sie das installieren Session Manager -Plug-In aktiviert Windows, die session-manager-plugin ausführbare Datei sollte automatisch zur PATH Umgebungsvariablen Ihres Betriebssystems hinzugefügt werden. Wenn der Befehl fehlschlug, nachdem Sie ihn ausgeführt haben, überprüfen Sie, ob Session Manager Wenn das Plugin korrekt installiert wurde (aws ssm start-session --target instance-id), müssen Sie es möglicherweise manuell festlegen, indem Sie das folgende Verfahren verwenden.

Um Ihre PATH Variable zu ändern (Windows)
  1. Drücken Sie die Windows Taste und Enterenvironment variables.

  2. Wählen Sie Edit environment variables for your account (Umgebungsvariablen für Ihr Konto bearbeiten).

  3. Wählen Sie PATHund wählen Sie dann Bearbeiten.

  4. Fügen Sie im Feld Variable value (Variablenwert) Pfade hinzu, getrennt durch Semikola, wie in diesem Beispiel gezeigt: C:\existing\path;C:\new\path

    C:\existing\path stellt den Wert dar, der sich bereits im Feld befindet. C:\new\path steht für den Pfad, den Sie hinzufügen möchten, wie in diesen Beispielen gezeigt.

    • 64-Bit-Computer: C:\Program Files\Amazon\SessionManagerPlugin\bin\

    • 32-Bit-Computer: C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\

  5. Klicken Sie zweimal auf OK, um die neuen Einstellungen anzuwenden.

  6. Schließen Sie alle etwa ausgeführten Eingabeaufforderungen und öffnen Sie erneut.

Session Manager Plugin reagiert nicht mehr

Während einer Port-Weiterleitungssitzung kann der Datenverkehr nicht mehr weitergeleitet werden, wenn auf Ihrem lokalen Computer Antivirus-Software installiert ist. In einigen Fällen stört Antiviren-Software die Session Manager Plugin, das Prozess-Deadlocks verursacht. Um dieses Problem zu beheben, erlauben oder schließen Sie die Session Manager Plugin aus der Antivirensoftware. Informationen zum Standardinstallationspfad für Session Manager Plugin finden Sie unterInstallieren des Session Manager-Plugins für die AWS CLI.

TargetNotConnected

Problem: Sie möchten eine Sitzung starten. Das System gibt jedoch folgende Fehlermeldung zurück: „Beim Aufruf der StartSession Operation ist der Fehler (TargetNotConnected) aufgetreten: InstanceID ist nicht verbunden.“

  • Lösung A: Dieser Fehler wird zurückgegeben, wenn der angegebene verwaltete Knoten für die Sitzung nicht vollständig für die Verwendung mit dem Session Manager konfiguriert wurde. Weitere Informationen finden Sie unter Einrichten von Session Manager.

  • Lösung B: Dieser Fehler wird auch zurückgegeben, wenn Sie versuchen, eine Sitzung auf einem verwalteten Knoten zu starten, der sich in einem anderen AWS-Konto oder einer anderen befindet AWS-Region.

Nach dem Starten einer Sitzung wird ein leerer Bildschirm angezeigt

Problem: Sie starten eine Sitzung und Session Manager zeigt einen leeren Bildschirm an.

  • Lösung A: Dieses Problem kann auftreten, wenn das Root-Volume des verwalteten Knotens voll ist. Aufgrund des Mangels an Festplattenspeicher SSM Agent auf dem Knoten funktioniert es nicht mehr. Um dieses Problem zu beheben, verwenden Sie Amazon, CloudWatch um Metriken und Protokolle von den Betriebssystemen zu sammeln. Weitere Informationen finden Sie unter Erfassung von Metriken, Protokollen und Traces mit dem CloudWatch Agenten im CloudWatch Amazon-Benutzerhandbuch.

  • Lösung B: Möglicherweise wird ein leerer Bildschirm angezeigt, wenn Sie über einen Link auf die Konsole zugegriffen haben, der ein nicht übereinstimmendes Endpunkt- und Regionspaar enthält. In der folgenden Konsole us-west-2 ist URL beispielsweise der angegebene Endpunkt, aber us-west-1 der angegebene AWS-Region.

    https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
  • Lösung C: Der verwaltete Knoten stellt über VPC Endpunkte eine Verbindung zu Systems Manager her, und Ihr Session Manager Die Einstellungen schreiben die Sitzungsausgabe in einen Amazon S3 S3-Bucket oder eine CloudWatch Amazon-Logs-Protokollgruppe, aber in der ist kein s3 logs -Gateway-Endpunkt oder Schnittstellenendpunkt vorhandenVPC. Ein s3 Endpunkt im Format com.amazonaws.region.s3 ist erforderlich, wenn Ihre verwalteten Knoten über VPC Endpunkte eine Verbindung zu Systems Manager herstellen und Ihr Session Manager preferences schreiben die Sitzungsausgabe in einen Amazon-S3-Bucket. Alternativ com.amazonaws.region.logs ist ein logs Endpunkt im Format erforderlich, wenn Ihre verwalteten Knoten über VPC Endpunkte eine Verbindung zu Systems Manager herstellen und Ihr Session Manager Einstellungen schreiben die Sitzungsausgabe in eine CloudWatch Logs-Protokollgruppe. Weitere Informationen finden Sie unter VPCEndpunkte für Systems Manager erstellen.

  • Lösung D: Die Protokollgruppe oder der Amazon S3-Bucket, die/den Sie in Ihren Sitzungseinstellungen angegeben haben, wurde gelöscht. Aktualisieren Sie Ihre Sitzungseinstellungen mit einer gültigen Protokollgruppe oder einem gültigen S3-Bucket, um dieses Problem zu beheben.

  • Lösung E: Die Protokollgruppe oder der Amazon S3-Bucket, die/den Sie in Ihren Sitzungseinstellungen angegeben haben, ist nicht verschlüsselt, aber Sie haben die cloudWatchEncryptionEnabled- oder s3EncryptionEnabled-Eingabe auf true eingestellt. Um dieses Problem zu beheben, aktualisieren Sie Ihre Sitzungseinstellungen mit einer Protokollgruppe oder einem Amazon S3-Bucket, die/der verschlüsselt ist, oder stellen Sie die cloudWatchEncryptionEnabled- oder s3EncryptionEnabled-Eingabe auf false ein. Dieses Szenario gilt nur für Kunden, die Sitzungseinstellungen mithilfe von Befehlszeilentools erstellen.

Verwalteter Knoten reagiert während langer Sitzungen nicht mehr

Problem: Ihr verwalteter Knoten reagiert nicht oder stürzt während einer langen Sitzung ab.

Lösung: Verringern Sie den SSM Agent Protokollaufbewahrungsdauer für Session Manager.

Um die zu verringern SSM Agent Dauer der Protokollspeicherung für Sitzungen
  1. Suchen Sie amazon-ssm-agent.json.template im /etc/amazon/ssm/ Verzeichnis für Linux, oder C:\Program Files\Amazon\SSM für Windows.

  2. Kopieren Sie den Inhalt von amazon-ssm-agent.json.template in eine neue Datei im selben Verzeichnis namens amazon-ssm-agent.json.

  3. Verringern Sie den Standardwert des SessionLogsRetentionDurationHours-Werts in der SSM-Eigenschaft und speichern Sie die Datei.

  4. Starten Sie neu SSM Agent.

An error occurred (InvalidDocument) when calling the StartSession operation

Problem: Sie erhalten den folgenden Fehler, wenn Sie eine Sitzung mit dem AWS CLI starten.

An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.

Lösung: Das SSM Dokument, das Sie für den --document-name Parameter angegeben haben, ist kein Sitzungsdokument. Gehen Sie wie folgt vor, um eine Liste von Sitzungsdokumenten in der AWS Management Console anzuzeigen.

So rufen Sie eine Liste von Sitzungsdokumenten auf
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

  3. Wählen Sie in der Liste Kategorien die Option Sitzungsdokumente aus.