Résolution des problèmes de disponibilité des nœuds gérés en utilisant ssm-cli
ssm-cli est un outil de ligne de commande autonome inclus dans l'installation SSM Agent. Lorsque vous installez SSM Agent 3.1.501.0 (ou une version ultérieure) sur une machine, vous pouvez exécuter des commandes ssm-cli sur cette machine. La sortie de ces commandes vous aide à déterminer si la machine répond aux exigences minimales pour qu’une instance Amazon EC2 ou une machine non EC2 soit gérée par AWS Systems Manager, et donc ajoutée aux listes de nœuds gérés dans Systems Manager. (La version 3.1.501.0 de SSM Agent a été publiée en novembre 2021.)
Configuration requise
Pour qu'une instance Amazon EC2 ou une machine non EC2 soit gérée par AWS Systems Manager et figure dans les listes de nœuds gérés, les trois conditions suivantes doivent être remplies :
-
SSM Agent doit être installé et exécuté sur une machine dotée d'un système d'exploitation compatible.
Certaines Amazon Machine Images (AMIs) gérées par AWS pour EC2 sont configurées pour lancer des instances sur lesquelles l'SSM Agent est préinstallé. (Vous pouvez également configurer une AMI personnalisée pour préinstaller SSM Agent.) Pour en savoir plus, consultez Trouver les AMIs avec SSM Agent préinstallé.
-
Un profil d'instance AWS Identity and Access Management (IAM) (pour les instances EC2) ou une fonction du service IAM (pour les machines non EC2) qui fournit les autorisations requises pour communiquer avec le service Systems Manager doit être attaché à la machine.
-
SSM Agent doit pouvoir se connecter à un point de terminaison Systems Manager afin de s'enregistrer auprès du service. Le nœud géré est ensuite disponible pour le service, comme le confirme le signal que celui-ci envoie toutes les cinq minutes afin de vérifier l'état du nœud géré.
Commandes préconfigurées dans ssm-cli
Il contient des commandes préconfigurées qui rassemblent les informations requises afin de déterminer pourquoi une machine, confirmée comme en cours d'exécution, ne figure pas dans vos listes de nœuds gérées dans Systems Manager. Ces commandes sont exécutées lorsque vous spécifiez l'option get-diagnostics.
Sur la machine, exécutez la commande suivante afin d'utiliser ssm-cli pour résoudre les problèmes de disponibilité des nœuds gérés.
La sortie générée lors de l'exécution de cette commande renvoie un tableau similaire à celui qui suit.
Note
Les vérifications de la connectivité aux points de terminaison ssmmessages, s3, kms, logs et monitoring s'appliquent aux fonctions facultatives telles que Session Manager qui peut se connecter à Amazon Simple Storage Service (Amazon S3) ou Amazon CloudWatch Logs, et utiliser le chiffrement AWS Key Management Service (AWS KMS).
Le tableau suivant fournit des détails supplémentaires pour chacune des vérifications effectuées par ssm-cli.
| Check | Détails |
|---|---|
| Service de métadonnées d'instance Amazon EC2 | Indique si le nœud géré est en mesure d'accéder au service de métadonnées. Un test qui échoue indique un problème de connectivité à http://169.254.169.254 qui peut être dû à la configuration de l'acheminement local, du proxy, ou du pare-feu et du proxy du système d'exploitation (OS). |
| Enregistrement d'une instance hybride | Indique si SSM Agent est enregistré à l'aide d'une activation hybride. |
Connectivité au point de terminaison ssm |
Indique si le nœud a accès aux points de terminaison de service de Systems Manager sur le port TCP 443. L'échec d'un test indique des problèmes de connectivité à https://ssm. en fonction de la Région AWS où se trouve le nœud. Les problèmes de connectivité peuvent être dus à la configuration du VPC, et notamment aux groupes de sécurité, aux listes de contrôle d'accès réseau, aux tables de routage ou aux pare-feu et proxies du système d'exploitation. |
Connectivité au point de terminaison ec2messages |
Indique si le nœud a accès aux points de terminaison de service de Systems Manager sur le port TCP 443. L'échec d'un test indique des problèmes de connectivité à https://ec2messages. en fonction de la Région AWS où se trouve le nœud. Les problèmes de connectivité peuvent être dus à la configuration du VPC, et notamment aux groupes de sécurité, aux listes de contrôle d'accès réseau, aux tables de routage ou aux pare-feu et proxies du système d'exploitation. |
Connectivité au point de terminaison ssmmessages |
Indique si le nœud a accès aux points de terminaison de service de Systems Manager sur le port TCP 443. L'échec d'un test indique des problèmes de connectivité à https://ssmmessages. en fonction de la Région AWS où se trouve le nœud. Les problèmes de connectivité peuvent être dus à la configuration du VPC, et notamment aux groupes de sécurité, aux listes de contrôle d'accès réseau, aux tables de routage ou aux pare-feu et proxies du système d'exploitation. |
Connectivité au point de terminaison s3 |
Indique si le nœud est en mesure d’atteindre le point de terminaison d'Amazon Simple Storage Service sur le port TCP 443. L'échec d'un test indique des problèmes de connectivité à https://s3. en fonction de la Région AWS où se trouve le nœud. La connectivité à ce point de terminaison n'est pas nécessaire pour qu'un nœud apparaisse dans votre liste de nœuds gérés. |
Connectivité au point de terminaison kms |
Indique si le nœud a accès au point de terminaison du service de AWS Key Management Service sur le port TCP 443. L'échec d'un test indique des problèmes de connectivité à |
Connectivité au point de terminaison logs |
Indique si le nœud a accès au point de terminaison du service pour Amazon CloudWatch Logs sur le port TCP 443. L'échec d'un test indique des problèmes de connectivité à https://logs. en fonction de la Région AWS où se trouve le nœud. La connectivité à ce point de terminaison n'est pas nécessaire pour qu'un nœud apparaisse dans votre liste de nœuds gérés. |
Connectivité au point de terminaison monitoring |
Indique si le nœud a accès au point de terminaison du service pour Amazon CloudWatch sur le port TCP 443. L'échec d'un test indique des problèmes de connectivité à https://monitoring. en fonction de la Région AWS où se trouve le nœud. La connectivité à ce point de terminaison n'est pas nécessaire pour qu'un nœud apparaisse dans votre liste de nœuds gérés. |
| Informations d'identification AWS | Indique si l'SSM Agent dispose des informations d'identification requises en fonction du profil d'instance IAM (pour les instances EC2) ou de la fonction du service IAM (pour les machines non EC2) attaché à la machine. Un test qui échoue indique qu'aucun profil d'instance IAM ou fonction du service IAM n'est attaché à la machine, ou qu'il ne contient pas les autorisations requises pour Systems Manager. |
| Service d'agent | Indique si le service SSM Agent est en cours d'exécution, et s'il est exécuté en tant que racine pour Linux ou macOS, ou SYSTEM pour Windows Server. Un test qui échoue indique que le service SSM Agent n'est pas en cours d'exécution ou qu'il n'est pas exécuté en tant que root ou SYSTEM. |
| Configuration du proxy | Indique si SSM Agent est configuré pour utiliser un proxy. |
| État de l'image Sysprep (Windows uniquement) | Indique l'état de Sysprep sur le nœud. SSM Agent ne démarrera pas sur le nœud si l'état de Sysprep est une valeur autre que IMAGE_STATE_COMPLETE. |
| Version de SSM Agent | Indique si la dernière version disponible de l'SSM Agent est installée. |
