AWSSupport-TroubleshootEC2InstanceConnect - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-TroubleshootEC2InstanceConnect

Deskripsi

AWSSupport-TroubleshootEC2InstanceConnectotomatisasi membantu menganalisis dan mendeteksi kesalahan yang mencegah koneksi ke instans Amazon Elastic Compute Cloud (AmazonEC2) menggunakan Amazon EC2 Instance Connect. Ini mengidentifikasi masalah yang disebabkan oleh Amazon Machine Image (AMI) yang tidak didukung, instalasi atau konfigurasi paket tingkat OS yang hilang, izin AWS Identity and Access Management (IAM) yang hilang, atau masalah konfigurasi jaringan.

Bagaimana cara kerjanya?

Runbook mengambil ID EC2 instans Amazon, nama pengguna, mode koneksi, IP sumber, SSH portCIDR, dan Amazon Resource Name (ARN) untuk IAM peran atau pengguna yang mengalami masalah dengan Amazon EC2 Instance Connect. Kemudian memeriksa prasyarat untuk menghubungkan ke instans Amazon EC2 menggunakan Amazon Instance Connect: EC2

  • Contohnya berjalan dan dalam keadaan sehat.

  • Instans terletak di AWS wilayah yang didukung oleh Amazon EC2 Instance Connect.

  • AMIdari instance ini didukung oleh Amazon EC2 Instance Connect.

  • Instance dapat mencapai Instance Metadata Service ()IMDSv2.

  • Paket Amazon EC2 Instance Connect diinstal dan dikonfigurasi dengan benar di tingkat OS.

  • Konfigurasi jaringan (grup keamanan, jaringanACL, dan aturan tabel rute) memungkinkan koneksi ke instans melalui Amazon EC2 Instance Connect.

  • IAMPeran atau pengguna yang digunakan untuk memanfaatkan Amazon EC2 Instance Connect memiliki akses ke tombol push ke EC2 instans Amazon.

penting
  • Untuk memeriksa instansAMI, IMDSv2 jangkauan, dan instalasi paket Amazon Instance EC2 Connect, instance harus SSM dikelola. Jika tidak, ia melewatkan langkah-langkah itu. Untuk informasi selengkapnya, lihat Mengapa EC2 instance Amazon saya tidak ditampilkan sebagai node terkelola.

  • Pemeriksaan jaringan hanya akan mendeteksi jika grup keamanan dan ACL aturan jaringan memblokir lalu lintas ketika SourceIp CIDR disediakan sebagai parameter input. Jika tidak, itu hanya akan menampilkan aturan SSH terkait.

  • Sambungan yang menggunakan Amazon EC2 Instance Connect Endpoint tidak divalidasi di runbook ini.

  • Untuk koneksi pribadi, otomatisasi tidak memeriksa apakah SSH klien diinstal pada mesin sumber dan apakah itu dapat mencapai alamat IP pribadi instans.

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux

Parameter

IAMIzin yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ec2:DescribeInstances

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeInternetGateways

  • iam:SimulatePrincipalPolicy

  • ssm:DescribeInstanceInformation

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:SendCommand

Instruksi

Ikuti langkah-langkah ini untuk mengonfigurasi otomatisasi:

  1. Arahkan ke AWSSupport-TroubleshootEC2InstanceConnectdalam AWS Systems Manager konsol.

  2. Pilih Jalankan otomatisasi.

  3. Untuk parameter input, masukkan yang berikut ini:

    • InstanceId (Diperlukan):

      ID EC2 instans Amazon target yang tidak dapat Anda sambungkan menggunakan Amazon EC2 Instance Connect.

    • AutomationAssumeRole (Opsional):

      ARNIAMPeran yang memungkinkan Systems Manager Automation untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

    • Nama Pengguna (Diperlukan):

      Nama pengguna yang digunakan untuk menyambung ke EC2 instans Amazon menggunakan Amazon EC2 Instance Connect. Ini digunakan untuk mengevaluasi apakah IAM akses diberikan untuk pengguna tertentu ini.

    • EC2InstanceConnectRoleOrUser(Diperlukan):

      ARNIAMPeran atau pengguna yang memanfaatkan Amazon EC2 Instance Connect untuk menekan tombol ke instance.

    • SSHPort(Opsional):

      SSHPort dikonfigurasi pada EC2 instans Amazon. Nilai default-nya adalah 22. Nomor port harus berada di antara1-65535.

    • SourceNetworkType (Opsional):

      Metode akses jaringan ke EC2 instans Amazon:

      • Browser: Anda terhubung dari AWS Management Console.

      • Publik: Anda terhubung ke instans yang terletak di subnet publik melalui internet (misalnya, komputer lokal Anda).

      • Pribadi: Anda terhubung melalui alamat IP pribadi instans.

    • SourceIpCIDR(Opsional):

      Sumber CIDR yang menyertakan alamat IP perangkat (seperti komputer lokal Anda) akan Anda log dari menggunakan Amazon EC2 Instance Connect. Contoh: 172.31.48.6/32. Jika tidak ada nilai yang diberikan dengan mode akses publik atau pribadi, runbook tidak akan mengevaluasi apakah grup keamanan EC2 instans Amazon dan ACL aturan jaringan mengizinkan SSH lalu lintas. Ini akan menampilkan aturan SSH -related sebagai gantinya.

    Input parameters form for EC2 Instance Connect troubleshooting with various fields.
  4. Pilih Jalankan.

  5. Otomatisasi dimulai.

  6. Dokumen melakukan langkah-langkah berikut:

    • AssertInitialState:

      Memastikan status EC2 instans Amazon berjalan. Jika tidak, otomatisasi berakhir.

    • GetInstanceProperties:

      Mendapat properti EC2 instance Amazon saat ini (PlatformDetails, PublicIpAddress, VpcId, SubnetId dan MetadataHttpEndpoint).

    • GatherInstanceInformationFromSSM:

      Mendapat status ping dan detail sistem operasi instans Systems Manager jika instans SSM dikelola.

    • CheckIfAWSRegionSupported:

      Memeriksa apakah EC2 instans Amazon terletak di AWS wilayah yang didukung Amazon EC2 Instance Connect.

    • BranchOnIfAWSRegionSupported:

      Melanjutkan eksekusi jika AWS Region didukung oleh Amazon EC2 Instance Connect. Jika tidak, itu menciptakan output dan keluar dari otomatisasi.

    • CheckIfInstanceAMIIsSupported:

      Memeriksa apakah AMI yang terkait dengan instans didukung oleh Amazon EC2 Instance Connect.

    • BranchOnIfInstanceAMIIsSupported:

      Jika instans AMI didukung, instans akan melakukan pemeriksaan tingkat OS, seperti jangkauan metadata dan instalasi dan konfigurasi paket Amazon Instance EC2 Connect. Jika tidak, ia memeriksa apakah HTTP metadata diaktifkan menggunakan AWS API, lalu maju ke langkah pemeriksaan jaringan.

    • C heckIMDSReachabilityFromOs:

      Menjalankan skrip Bash pada instance Amazon EC2 Linux target untuk memeriksa apakah skrip tersebut IMDSv2 dapat mencapai file.

    • C heckEICPackage Instalasi:

      Menjalankan skrip Bash pada instans Amazon EC2 Linux target untuk memeriksa apakah paket Amazon EC2 Instance Connect diinstal dan dikonfigurasi dengan benar.

    • C heckSSHConfigFromOs:

      Menjalankan skrip Bash pada instance Amazon EC2 Linux target untuk memeriksa apakah SSH port yang dikonfigurasi cocok dengan parameter input `SSHPort. `

    • CheckMetadataHTTPEndpointIsEnabled:

      Memeriksa apakah HTTP titik akhir layanan metadata instance diaktifkan.

    • heckEICNetworkAkses C:

      Memeriksa apakah konfigurasi jaringan (grup keamanan, jaringanACL, dan aturan tabel rute) memungkinkan koneksi ke instans melalui Amazon EC2 Instance Connect.

    • C heckIAMRoleOrUserPermissions:

      Memeriksa apakah IAM peran atau pengguna yang digunakan untuk memanfaatkan Amazon EC2 Instance Connect memiliki akses ke tombol push ke EC2 instans Amazon menggunakan nama pengguna yang disediakan.

    • MakeFinalOutput:

      Mengkonsolidasikan output dari semua langkah sebelumnya.

  7. Setelah selesai, tinjau bagian Output untuk hasil eksekusi yang terperinci:

    Eksekusi di mana instance target memiliki semua prasyarat yang diperlukan:

    EC2 Instance Connect prerequisites check results showing successful validations for various configurations.

    Eksekusi di AMI mana instance target tidak didukung:

    Error message indicating EC2 Instance Connect does not support the specified AMI version.

Referensi

Otomatisasi Systems Manager

AWS dokumentasi layanan