Résolution des problèmes de SSM Agent
Si vous rencontrez des problèmes pour exécuter des opérations sur vos nœuds gérés, cela peut venir de AWS Systems Manager Agent (SSM Agent). Utilisez les informations suivantes pour vous permettre de visualiser les fichiers journaux de l'SSM Agent et dépanner l'agent. Si votre agent ne semble pas répondre ou s’il a une fréquence de communication réduite, consultez Comprendre la mise en veille prolongée de SSM Agent.
Rubriques
L'SSM Agent est obsolète
Une nouvelle version de SSM Agent est lancée chaque fois que de nouveaux outils sont ajoutés à Systems Manager ou que des mises à jour sont apportées aux outils existants. Le fait de ne pas utiliser la dernière version de l’agent peut empêcher votre nœud géré d’utiliser divers outils et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d'informations, consultez Automatisation des mises à jour de l'SSM Agent. Inscrivez‑vous sur la page SSM Agent Release Notes
Résolution des problèmes à l'aide des fichiers journaux SSM Agent
SSM Agent consigne des informations dans les fichiers suivants. Les informations de ces fichiers peuvent également vous aider à résoudre les problèmes. Pour de plus amples informations sur les fichiers journaux de l'SSM Agent, notamment l'activation de la journalisation du débogage, veuillez consulter Affichage des journaux SSM Agent.
Note
Si vous choisissez d'afficher ces journaux à l'aide de l'Explorateur de fichiers Windows, n'oubliez pas d'activer l'affichage des fichiers masqués et fichiers système dans les options de dossier.
Sous Windows
-
%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log -
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log
Sous Linux et macOS
-
/var/log/amazon/ssm/amazon-ssm-agent.log -
/var/log/amazon/ssm/errors.log
Pour les nœuds gérés Linux, vous pouvez trouver de plus amples informations dans le fichier messages rédigé dans le répertoire suivant : /var/log.
Pour en savoir plus sur le dépannage à l'aide des journaux d'agents, consultez la rubrique Comment puis-je utiliser les journaux SSM Agent pour résoudre des problèmes liés à SSM Agent dans mon instance gérée ?
Les fichiers journaux de l'agent ne tournent pas (Windows)
Si vous spécifiez une rotation des fichiers journaux basée sur la date dans le fichier seelog.xml (sur les nœuds gérés Windows Server) et que les journaux ne tournent pas, spécifiez le paramètre fullname=true. Voici un exemple de fichier de configuration seelog.xml pour lequel le paramètre fullname=true est spécifié.
<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug"> <exceptions> <exception filepattern="test*" minlevel="error" /> </exceptions> <outputs formatid="fmtinfo"> <console formatid="fmtinfo" /> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true /> <filter levels="error,critical" formatid="fmterror"> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true /> </filter> </outputs> <formats> <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" /> </formats> </seelog>
Impossible de se connecter aux points de terminaison SSM
SSM Agent doit autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :
-
ssm.region.amazonaws.com -
ssmmessages.region.amazonaws.com
region représente l'identifiant d'une Région AWS prise en charge par AWS Systems Manager, telle que us-east-2 pour la région USA Est (Ohio). Pour obtenir une liste des valeurs region prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.
Note
Avant 2024, ec2messages. était également requis. Pour les Régions AWS lancées avant 2024, l’autorisation du trafic vers region.amazonaws.com.rproxy.goskope.comssmmessages. est encore requise, mais facultative vers region.amazonaws.com.rproxy.goskope.comec2messages.. region.amazonaws.com
Pour les régions lancées à partir de 2024, l’autorisation du trafic vers ssmmessages. est requise, mais les points de terminaison region.amazonaws.com.rproxy.goskope.comec2messages. ne sont pas pris en charge pour ces régions.region.amazonaws.com
SSM Agent ne fonctionnera pas s’il ne peut pas communiquer avec les points de terminaison précédents, comme indiqué, même si vous utilisez des Amazon Machine Images (AMIs) fournies par AWS, telles qu’Amazon Linux 2 ou Amazon Linux 2023 par exemple. Votre configuration réseau doit avoir un accès Internet ouvert, ou bien des points de terminaison de cloud privé virtuel (VPC) personnalisés doivent être configurés. Si vous ne prévoyez pas de créer un point de terminaison de VPC personnalisé, vérifiez vos passerelles Internet ou NAT. Pour plus d'informations sur la gestion des points de terminaison de VPC, consultez Renforcement de la sécurité des instances EC2 à l’aide des points de terminaison de VPC pour Systems Manager.
Vérification de votre configuration VPC
Si vous utilisez un cloud privé virtuel (VPC), afin de gérer les instances EC2 avec Systems Manager, vos points de terminaison de VPC doivent être correctement configurés pour ssm. et region.amazonaws.com.rproxy.goskope.comssmmessages.. Mais également pour region.amazonaws.com.rproxy.goskope.comec2messages. dans certains cas expliqués dans la section Impossible de se connecter aux points de terminaison SSM. region.amazonaws.com
Note
L'alternative à l'utilisation d'un point de terminaison de VPC est l'activation de l'accès Internet sortant sur vos instances gérées. Dans ce cas, les instances gérées doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :
-
ssm.region.amazonaws.com -
ssmmessages.region.amazonaws.com -
ec2messages.region.amazonaws.com
L'SSM Agent initie toutes les connexions au service Systems Manager dans le cloud. Vous n'avez donc pas besoin de configurer votre pare-feu pour autoriser le trafic entrant vers vos instances pour Systems Manager.
Pour de plus amples informations sur ces points de terminaison, consultez Référence : ec2messages, ssmmessages et autres opérations d'API.
Pour résoudre les problèmes avec vos points de terminaison de VPC, procédez comme suit :
-
Assurez‑vous que les points de terminaison de VPC sont inclus au niveau du VPC. Si le point de terminaison d’un VPC portant un nom de service spécifique n’est pas trouvé sur le VPC, vérifiez d’abord que la prise en charge de DNS est activée au niveau du VPC. Créez ensuite un nouveau point de terminaison de VPC et associez‑le à un sous-réseau dans chaque zone de disponibilité.
-
Assurez‑vous qu’un nom DNS privé est activé au niveau du point de terminaison de VPC. Les noms DNS privés sont activés par défaut, mais ils peuvent avoir été désactivés manuellement à un moment donné.
-
Assurez‑vous que les points de terminaison de VPC existants sont associés au sous‑réseau approprié. En outre, assurez‑vous que le VPCE est déjà associé à un sous‑réseau dans cette zone de disponibilité.
Pour plus d’informations, consultez les rubriques suivantes :
-
Access an Service AWS using an interface VPC endpoint dans le guide AWS PrivateLink
-
Associate a private DNS name dans le guide AWS PrivateLink
Vérification des attributs liés au DNS de votre VPC
Si vous utilisez un cloud privé virtuel (VPC), dans le cadre de la vérification de la configuration de votre VPC, assurez‑vous que les attributs enableDnsSupport et enableDnsHostnames sont activés.
Vous pouvez activer ces attributs à l’aide de l’action d’API Amazon EC2 ModifyVPCAttribute ou de la commande AWS CLI modify-vpc-attribute.
Pour plus d’informations sur l’activation de ces attributs dans la console Amazon VPC, consultez la section View and update DNS attributes for your VPC du guide de l’utilisateur Amazon VPC.
Note
L'alternative à l'utilisation d'un point de terminaison de VPC est l'activation de l'accès Internet sortant sur vos instances gérées. Dans ce cas, les instances gérées doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :
-
ssm.region.amazonaws.com -
ssmmessages.region.amazonaws.com -
ec2messages.region.amazonaws.com
L'SSM Agent initie toutes les connexions au service Systems Manager dans le cloud. Vous n'avez donc pas besoin de configurer votre pare-feu pour autoriser le trafic entrant vers vos instances pour Systems Manager.
Pour de plus amples informations sur ces points de terminaison, consultez Référence : ec2messages, ssmmessages et autres opérations d'API.
Vérification des règles d’entrée sur les groupes de sécurité de point de terminaison
Assurez‑vous que tous les points de terminaison de VPC que vous avez configurés (ssm, ssmmessages et ec2messages) incluent une règle d’entrée sur leurs groupes de sécurité afin d’autoriser le trafic à entrer sur le port 443. Si nécessaire, vous pouvez créer un nouveau groupe de sécurité dans le VPC avec une règle d’entrée autorisant le trafic sur le port 443 pour le bloc de routage inter‑domaines sans classe (CIDR) du VPC. Après avoir créé le groupe de sécurité, attachez‑le à chaque point de terminaison de VPC.
Pour plus d’informations, consultez les rubriques suivantes :
-
How do I create VPC endpoints so that I can use Systems Manager to manage private EC2 instances without internet access?
sur AWS re:Post -
VPC CIDR blocks dans le guide de l’utilisateur Amazon VPC
Utilisation de ssm-cli pour résoudre des problèmes de disponibilité des nœuds gérés
À partir de la version 3.1.501.0 de l'SSM Agent, vous pouvez l'utiliser ssm-cli pour déterminer si un nœud géré répond aux exigences principales pour être géré par Systems Manager et pour apparaître dans les listes de nœuds gérés dans Fleet Manager. ssm-cli est un outil de ligne de commande autonome inclus dans l'installation SSM Agent. Il contient des commandes préconfigurées qui rassemblent les informations requises afin de déterminer pourquoi une instance Amazon EC2 ou une machine non EC2, confirmée comme en cours d'exécution, ne figure pas dans vos listes de nœuds gérées dans Systems Manager. Ces commandes sont exécutées lorsque vous spécifiez l'option get-diagnostics.
Pour de plus amples informations, consultez Résolution des problèmes de disponibilité des nœuds gérés en utilisant ssm-cli.
