Problembehandlung bei der Verfügbarkeit von verwalteten Knoten mit ssm-cli
Die ssm-cli ist ein eigenständiges Befehlszeilentool, das in der SSM Agent-Installation enthalten ist. Wenn Sie SSM Agent 3.1.501.0 oder höher auf einem Computer installieren, können Sie ssm-cli-Befehle auf diesem Computer ausführen. Mithilfe der Ausgabe dieser Befehle können Sie feststellen, ob die Maschine die Mindestanforderungen für eine Amazon-EC2-Instance oder eine Nicht-EC2-Maschine erfüllt, die von AWS Systems Manager verwaltet und daher zu Listen verwalteter Knoten in Systems Manager hinzugefügt werden soll. (SSM Agent Version 3.1.501.0 wurde im November 2021 veröffentlicht.)
Mindestanforderungen
Damit eine Amazon-EC2-Instance oder Nicht-EC2-Maschine von AWS Systems Manager verwaltet werden kann und in den Listen der verwalteten Knoten verfügbar ist, muss sie drei Hauptanforderungen erfüllen:
-
SSM Agent muss auf einer Maschine mit einem unterstützten Betriebssystem installiert sein und laufen.
Einige von AWS verwaltete Amazon Machine Images (AMIs) für EC2 sind so konfiguriert, dass sie Instances mit vorinstalliertem SSM Agent launchen. (Sie können auch ein benutzerdefiniertes AMI zur Vorinstallation von SSM Agent konfigurieren). Weitere Informationen finden Sie unter Finden Sie AMIs mit dem vorinstallierten SSM Agent.
-
Der Maschine muss ein AWS Identity and Access Management (IAM)-Instance-Profil (für EC2-Instances) oder eine IAM-Servicerolle (für Nicht-EC2-Maschinen) zugeordnet werden, die die erforderlichen Berechtigungen für die Kommunikation mit dem Systems-Manager-Service bereitstellt.
-
SSM Agent muss in der Lage sein, eine Verbindung zu einem Systems-Manager-Endpunkt herzustellen, um sich beim Service anzumelden. Danach muss der verwaltete Knoten für den Service verfügbar sein, was vom Service bestätigt wird, der alle fünf Minuten ein Signal sendet, um den Zustand des verwalteten Knoten zu überprüfen.
Vorkonfigurierte Befehle in ssm-cli
Es sind vorkonfigurierte Befehle enthalten, die die erforderlichen Informationen sammeln, um Ihnen bei der Diagnose zu helfen, warum eine Maschine, von der Sie bestätigt haben, dass sie läuft, nicht in Ihrer Liste der verwalteten Knoten in Systems Manager enthalten ist. Diese Befehle werden ausgeführt, wenn Sie die get-diagnostics-Option angeben.
Führen Sie auf der Maschine den folgenden Befehl aus, um ssm-cli für die Problembehebung in Bezug auf die Verfügbarkeit der verwalteten Knoten zu verwenden.
Der Befehl liefert eine Ausgabe in Form einer Tabelle ähnlich der folgenden.
Anmerkung
Konnektivitätsprüfungen an den Endpunkten ssmmessages, s3, kms, logs und monitoring sind für zusätzliche optionale Features wie Session Manager, die sich bei Amazon Simple Storage Service (Amazon S3) oder Amazon CloudWatch Logs anmelden und AWS Key Management Service (AWS KMS)-Verschlüsselung verwenden.
Die folgende Tabelle enthält zusätzliche Details für jede der von ssm-cli ausgeführten Überprüfungen.
| Check | Details |
|---|---|
| Amazon-EC2-Instance-Metadaten-Service | Gibt an, ob der verwaltete Knoten den Metadaten-Service erreichen kann. Ein fehlgeschlagener Test deutet auf ein Konnektivitätsproblem zu http://169.254.169.254 hin, das durch das lokale Routing, den Proxy oder die Firewall- und Proxy-Konfigurationen des Betriebssystems verursacht werden kann. |
| Hybrid-Instance-Registrierung | Zeigt an, ob SSM Agent über eine Hybrid-Aktivierung registriert ist. |
Konnektivität mit ssm-Endpunkt |
Zeigt an, ob der Knoten in der Lage ist, die Service-Endpunkte für Systems Manager auf TCP-Port 443 zu erreichen. Ein fehlgeschlagener Test weist auf Konnektivitätsprobleme mit https://ssm. hin, je nach der AWS-Region, in der sich der Knoten befindet. Konnektivitätsprobleme können durch die VPC-Konfiguration verursacht werden, einschließlich Sicherheitsgruppen, Netzwerkzugriffs-Kontrolllisten, Routing-Tabellen oder OS-Firewalls und Proxys. |
Konnektivität mit ec2messages-Endpunkt |
Zeigt an, ob der Knoten in der Lage ist, die Service-Endpunkte für Systems Manager auf TCP-Port 443 zu erreichen. Ein fehlgeschlagener Test weist auf Konnektivitätsprobleme mit https://ec2messages. hin, je nach der AWS-Region, in der sich der Knoten befindet. Konnektivitätsprobleme können durch die VPC-Konfiguration verursacht werden, einschließlich Sicherheitsgruppen, Netzwerkzugriffs-Kontrolllisten, Routing-Tabellen oder OS-Firewalls und Proxys. |
Konnektivität mit ssmmessages-Endpunkt |
Zeigt an, ob der Knoten in der Lage ist, die Service-Endpunkte für Systems Manager auf TCP-Port 443 zu erreichen. Ein fehlgeschlagener Test weist auf Konnektivitätsprobleme mit https://ssmmessages. hin, je nach der AWS-Region, in der sich der Knoten befindet. Konnektivitätsprobleme können durch die VPC-Konfiguration verursacht werden, einschließlich Sicherheitsgruppen, Netzwerkzugriffs-Kontrolllisten, Routing-Tabellen oder OS-Firewalls und Proxys. |
Konnektivität mit s3-Endpunkt |
Zeigt an, ob der Knoten in der Lage ist, den Service-Endpunkt für Amazon Simple Storage Service auf TCP-Port 443 zu erreichen. Ein fehlgeschlagener Test weist auf Konnektivitätsprobleme mit https://s3. hin, je nach der AWS-Region, in der sich der Knoten befindet. Eine Verbindung zu diesem Endpunkt ist nicht erforderlich, damit ein Knoten in Ihrer Liste der verwalteten Knoten erscheint. |
Konnektivität mit kms-Endpunkt |
Zeigt an, ob der Knoten in der Lage ist, den Service-Endpunkt für AWS Key Management Service auf TCP-Port 443 zu erreichen. Ein fehlgeschlagener Test weist auf Konnektivitätsprobleme mit |
Konnektivität mit logs-Endpunkt |
Zeigt an, ob der Knoten in der Lage ist, den Service-Endpunkt für Amazon CloudWatch Logs am TCP-Port 443 zu erreichen. Ein fehlgeschlagener Test weist auf Konnektivitätsprobleme mit https://logs. hin, je nach der AWS-Region, in der sich der Knoten befindet. Eine Verbindung zu diesem Endpunkt ist nicht erforderlich, damit ein Knoten in Ihrer Liste der verwalteten Knoten erscheint. |
Konnektivität mit monitoring-Endpunkt |
Zeigt an, ob der Knoten in der Lage ist, den Service-Endpunkt für Amazon CloudWatch auf TCP-Port 443 zu erreichen. Ein fehlgeschlagener Test weist auf Konnektivitätsprobleme mit https://monitoring. hin, je nach der AWS-Region, in der sich der Knoten befindet. Eine Verbindung zu diesem Endpunkt ist nicht erforderlich, damit ein Knoten in Ihrer Liste der verwalteten Knoten erscheint. |
| AWS-Anmeldedaten | Zeigt an, ob SSM Agent über die erforderlichen Anmeldeinformationen auf der Grundlage des IAM-Instance-Profils (für EC2-Instances) oder der IAM-Servicerolle (für Nicht-EC2-Maschinen) verfügt, die mit der Maschine verbunden sind. Ein fehlgeschlagener Test zeigt an, dass der Maschine kein IAM-Instance-Profil oder keine IAM-Servicerolle zugeordnet ist, oder dass sie nicht die erforderlichen Berechtigungen für Systems Manager enthält. |
| Agent-Service | Zeigt an, ob der SSM Agent-Service läuft und ob der Service als Root für Linux oder macOS bzw. als SYSTEM für Windows Server läuft. Ein fehlgeschlagener Test zeigt an, dass der SSM Agent-Service nicht ausgeführt oder nicht als Root oder SYSTEM ausgeführt wird. |
| Proxykonfiguration | Gibt an, ob SSM Agent konfiguriert ist, einen Proxy zu verwenden. |
| Sysprep-Image-Status (nur Windows) | Zeigt den Status von Sysprep auf dem Knoten an. SSM Agent wird nicht auf dem Knoten gestartet, wenn der Sysprep-Status einen anderen Wert als IMAGE_STATE_COMPLETE hat. |
| SSM Agent-Version | Zeigt an, ob die neueste verfügbare Version von SSM Agent installiert ist. |
