Jalankan EC2Rescue alat pada instance yang tidak dapat dijangkau - AWS Systems Manager
Cara kerjanyaSebelum Anda mulaiMenjalankan Otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jalankan EC2Rescue alat pada instance yang tidak dapat dijangkau

EC2Rescuedapat membantu Anda mendiagnosis dan memecahkan masalah pada instans Amazon Elastic Compute Cloud (AmazonEC2) untuk Linux dan. Windows Server Anda dapat menjalankan alat secara manual, seperti yang dijelaskan dalam Menggunakan EC2Rescue untuk Linux Server dan Menggunakan EC2Rescue untuk Windows Server. Atau, Anda dapat menjalankan alat secara otomatis dengan menggunakan Systems Manager Automation dan AWSSupport-ExecuteEC2Rescuerunbook. Otomasi adalah kemampuan AWS Systems Manager. AWSSupport-ExecuteEC2RescueRunbook dirancang untuk melakukan kombinasi tindakan, AWS CloudFormation tindakan, dan fungsi Lambda Systems Manager yang mengotomatiskan langkah-langkah yang biasanya diperlukan untuk digunakan. EC2Rescue

Anda dapat menggunakan AWSSupport-ExecuteEC2Rescuerunbook untuk memecahkan masalah dan berpotensi memulihkan berbagai jenis masalah sistem operasi (OS). Instans dengan volume root terenkripsi tidak didukung. Lihat topik berikut untuk daftar lengkap:

Windows: Lihat Tindakan Penyelamatan dalam Menggunakan EC2Rescue untuk Windows Server dengan Baris Perintah.

Linux dan macOS: Beberapa EC2Rescue modul Linux mendeteksi dan mencoba memperbaiki masalah. Untuk informasi selengkapnya, lihat aws-ec2rescue-linuxdokumentasi untuk setiap modul diGitHub.

Cara kerjanya

Pemecahan masalah instans dengan otomatisasi dan AWSSupport-ExecuteEC2Rescue runbook bekerja sebagai berikut:

  • Anda menentukan ID instans yang tidak dapat dijangkau dan memulai runbook.

  • Sistem membuat sementaraVPC, dan kemudian menjalankan serangkaian fungsi Lambda untuk mengkonfigurasi. VPC

  • Sistem mengidentifikasi subnet untuk sementara Anda VPC di Availability Zone yang sama dengan instance asli Anda.

  • Sistem meluncurkan instance pembantu sementara SSM yang diaktifkan.

  • Sistem mengentikan instans asli Anda, dan membuat cadangan. Selanjutanya, sistem akan melampirkan volume akar asli untuk instans pembantu.

  • Sistem menggunakan Run Command untuk berjalan EC2Rescue pada instance helper. EC2Rescuemengidentifikasi dan mencoba memperbaiki masalah pada volume root asli yang terlampir. Setelah selesai, EC2Rescue pasang kembali volume root ke instance asli.

  • Sistem memulai ulang instans asli Anda, dan mengakhiri instans sementara. Sistem ini juga menghentikan fungsi sementara VPC dan Lambda yang dibuat pada awal otomatisasi.

Sebelum Anda mulai

Sebelum Anda menjalankan otomatisasi berikut, lakukan solusi berikut:

  • Salin ID instans dari instans yang tidak terjangkau. Anda akan menentukan ID ini dalam prosedur.

  • Opsional, kumpulkan ID subnet di zona ketersediaan yang sama sebagai instans yang dapat dijangkau. EC2RescueInstance akan dibuat di subnet ini. Jika Anda tidak menentukan subnet, maka Automation membuat sementara baru VPC di Anda Akun AWS. Pastikan Anda Akun AWS memiliki setidaknya satu yang VPC tersedia. Secara default, Anda dapat membuat lima VPCs di Wilayah. Jika Anda sudah membuat lima VPCs di Wilayah, otomatisasi gagal tanpa membuat perubahan pada instans Anda. Untuk informasi selengkapnya tentang VPC kuota Amazon, lihat VPCdan Subnet di VPCPanduan Pengguna Amazon.

  • Secara opsional, Anda dapat membuat dan menentukan peran AWS Identity and Access Management (IAM) untuk Otomasi. Jika Anda tidak menentukan peran ini, Otomatisasi beroperasi dalam konteks pengguna yang dipanggil otomatisasi.

Memberikan AWSSupport-EC2Rescue izin untuk melakukan tindakan pada instans Anda

EC2Rescuememerlukan izin untuk melakukan serangkaian tindakan pada instance Anda selama otomatisasi. Tindakan ini meminta EC2 layanan AWS Lambda,IAM, dan Amazon untuk mencoba memperbaiki masalah dengan instans Anda dengan aman dan aman. Jika Anda memiliki izin tingkat Administrator di Akun AWS dan/atauVPC, Anda mungkin dapat menjalankan otomatisasi tanpa mengonfigurasi izin, seperti yang dijelaskan di bagian ini. Jika Anda tidak memiliki izin tingkat administrator, maka Anda atau administrator harus mengonfigurasi izin dengan menggunakan salah satu opsi berikut.

Memberikan izin dengan menggunakan kebijakan IAM

Anda dapat melampirkan IAM kebijakan berikut ke pengguna, grup, atau peran Anda sebagai kebijakan sebaris; atau, Anda dapat membuat kebijakan IAM terkelola baru dan melampirkannya ke pengguna, grup, atau peran Anda. Untuk informasi selengkapnya tentang menambahkan kebijakan sebaris ke pengguna, grup, atau peran Anda, lihat Bekerja Dengan Kebijakan Sebaris. Untuk informasi lebih lanjut tentang membuat kebijakan terkelola baru, lihat Bekerja Dengan Kebijakan Terkelola.

catatan

Jika Anda membuat kebijakan IAM terkelola baru, Anda juga harus melampirkan kebijakan yang dikelola mazonSSMAutomation Peran agar instans Anda dapat berkomunikasi dengan Systems ManagerAPI.

IAMKebijakan untuk AWSSupport - EC2Rescue

Ganti account ID dengan informasi Anda sendiri.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "lambda:InvokeFunction",
            "lambda:DeleteFunction",
            "lambda:GetFunction"
         ],
         "Resource": "arn:aws:lambda:*:account ID:function:AWSSupport-EC2Rescue-*",
         "Effect": "Allow"
      },
      {
         "Action": [
            "s3:GetObject",
            "s3:GetObjectVersion"
         ],
         "Resource": [
            "arn:aws:s3:::awssupport-ssm.*/*.template",
            "arn:aws:s3:::awssupport-ssm.*/*.zip"
         ],
         "Effect": "Allow"
      },
      {
         "Action": [
            "iam:CreateRole",
            "iam:CreateInstanceProfile",
            "iam:GetRole",
            "iam:GetInstanceProfile",
            "iam:PutRolePolicy",
            "iam:DetachRolePolicy",
            "iam:AttachRolePolicy",
            "iam:PassRole",
            "iam:AddRoleToInstanceProfile",
            "iam:RemoveRoleFromInstanceProfile",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DeleteInstanceProfile"
         ],
         "Resource": [
            "arn:aws:iam::account ID:role/AWSSupport-EC2Rescue-*",
            "arn:aws:iam::account ID:instance-profile/AWSSupport-EC2Rescue-*"
         ],
         "Effect": "Allow"
      },
      {
         "Action": [
            "lambda:CreateFunction",
            "ec2:CreateVpc",
            "ec2:ModifyVpcAttribute",
            "ec2:DeleteVpc",
            "ec2:CreateInternetGateway",
            "ec2:AttachInternetGateway",
            "ec2:DetachInternetGateway",
            "ec2:DeleteInternetGateway",
            "ec2:CreateSubnet",
            "ec2:DeleteSubnet",
            "ec2:CreateRoute",
            "ec2:DeleteRoute",
            "ec2:CreateRouteTable",
            "ec2:AssociateRouteTable",
            "ec2:DisassociateRouteTable",
            "ec2:DeleteRouteTable",
            "ec2:CreateVpcEndpoint",
            "ec2:DeleteVpcEndpoints",
            "ec2:ModifyVpcEndpoint",
            "ec2:Describe*"
         ],
         "Resource": "*",
         "Effect": "Allow"
      }
   ]
}

Memberikan izin dengan menggunakan template AWS CloudFormation

AWS CloudFormation mengotomatiskan proses pembuatan IAM peran dan kebijakan dengan menggunakan templat yang telah dikonfigurasi sebelumnya. Gunakan prosedur berikut untuk membuat IAM peran dan kebijakan yang diperlukan untuk EC2Rescue Otomasi dengan menggunakan AWS CloudFormation.

Untuk membuat IAM peran dan kebijakan yang diperlukan untuk EC2Rescue

  1. Unduh AWSSupport-EC2RescueRole.zip dan ekstrak AWSSupport-EC2RescueRole.json file ke direktori pada mesin lokal Anda.

  2. Jika Anda Akun AWS berada di partisi khusus, edit template untuk mengubah ARN nilai-nilai untuk partisi Anda.

    Misalnya, untuk Wilayah Cina, ubah semua kasus arn:aws ke arn:aws-cn.

  3. Masuk ke AWS Management Console dan buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

  4. Pilih Buat tumpukan, Dengan sumber daya baru (standar).

  5. Pada halaman Buat tumpukan, untuk Prasyarat - Siapkan templat, pilih Templat sudah siap.

  6. Untuk Tentukan templat, pilih Unggah file templat.

  7. Pilih Pilih file, lalu telusuri ke dan pilih AWSSupport-EC2RescueRole.json file dari direktori tempat Anda mengekstraknya.

  8. Pilih Berikutnya.

  9. Pada halaman Tentukan detail tumpukan, untuk bidang Nama tumpukan, masukkan nama untuk mengidentifikasi tumpukan ini, dan kemudian pilih Berikutnya.

  10. (Opsional) Dalam area Tag, terapkan satu pasangan nilai kunci tag atau lebih ke parameter.

    Tag adalah metadata opsional yang Anda tetapkan ke sumber daya. Tanda memungkinkan Anda untuk mengategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Misalnya, Anda mungkin ingin menandai tumpukan untuk mengidentifikasi jenis tugas yang dijalankannya, jenis target atau sumber daya lainnya, dan lingkungan tempat ia dijalankan.

  11. Pilih Berikutnya

  12. Pada halaman Ulasan, tinjau detail tumpukan, lalu gulir ke bawah dan pilih opsi Saya akui yang AWS CloudFormation mungkin membuat IAM sumber daya.

  13. Pilih Buat tumpukan.

    AWS CloudFormation menunjukkan PROGRESS status CREATE_IN_ selama beberapa menit. Status berubah menjadi CREATE_ COMPLETE setelah tumpukan dibuat. Anda juga dapat memilih ikon refresh untuk memeriksa status proses pembuatan.

  14. Di daftar Tumpukan, pilih tombol pilihan tumpukan yang baru saja Anda buat, dan kemudian pilih kotak tab Output.

  15. Catat Nilai. Itu adalah ARN dari AssumeRole. Anda menentukan ini ARN ketika Anda menjalankan Otomasi di prosedur berikutnya,Menjalankan Otomatisasi.

Menjalankan Otomatisasi

penting

Otomatisasi berikut menghentikan instans yang tidak dapat dijangkau. Menghentikan contoh dapat mengakibatkan hilangnya data pada volume penyimpanan instans terlampir (jika ada). Menghentikan instans juga dapat menyebabkan IP publik berubah, jika tidak ada Elastic IP terkait.

Untuk menjalankan AWSSupport-ExecuteEC2Rescue Otomatisasi

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Pada panel navigasi, pilih Otomatisasi.

  3. Pilih Eksekusi otomatisasi.

  4. Di bagian Dokumen otomatisasi, pilih Dimiliki oleh Amazon dari daftar.

  5. Dalam daftar runbook, pilih tombol di kartu untuk AWSSupport-ExecuteEC2Rescue, lalu pilih Berikutnya.

  6. Pada halaman Eksekusi dokumen otomatisasi, pilih Eksekusi sederhana.

  7. Di bagian Detail dokumen verifikasi bahwa Versi dokumen diatur ke versi default tertinggi. Misalnya, $ DEFAULT atau 3 (default).

  8. Di bagian Parameter input, tentukan parameter berikut:

    1. Untuk UnreachableInstanceId, tentukan ID dari instance yang tidak dapat dijangkau.

    2. (Opsional) Untuk EC2RescueInstanceType, tentukan jenis instance untuk EC2Rescue instance. Nilai instans default adalah t2.medium.

    3. Untuk AutomationAssumeRole, jika Anda membuat peran untuk Otomasi ini dengan menggunakan AWS CloudFormation prosedur yang dijelaskan sebelumnya dalam topik ini, lalu pilih AssumeRole yang Anda buat di AWS CloudFormation konsol. ARN

    4. (Opsional) Untuk LogDestination, tentukan bucket S3 jika Anda ingin mengumpulkan log tingkat sistem operasi saat memecahkan masalah instance Anda. Log secara otomatis diunggah ke bucket yang ditentukan.

    5. Untuk SubnetId, tentukan subnet di zona ketersediaan yang ada VPC di zona ketersediaan yang sama dengan instance yang tidak dapat dijangkau. Secara default, Systems Manager membuat yang baruVPC, tetapi Anda dapat menentukan subnet yang sudah ada VPC jika Anda mau.

      catatan

      Jika Anda tidak melihat opsi untuk menentukan bucket atau ID subnet, verifikasi bahwa Anda menggunakan versi Default terbaru dari runbook.

  9. (Opsional) Dalam area Tag, terapkan satu pasangan nama/nilai kunci tag atau lebih untuk membantu mengidentifikasi otomatisasi, misalnya Key=Purpose,Value=EC2Rescue.

  10. Pilih Eksekusi.

Runbook membuat cadangan AMI sebagai bagian dari otomatisasi. Semua sumber daya lain yang dibuat oleh otomatisasi dihapus secara otomatis, tetapi ini AMI tetap ada di akun Anda. AMI Dinamai menggunakan konvensi berikut:

CadanganAMI: AWSSupport -EC2Rescue:UnreachableInstanceId

Anda dapat menemukan ini AMI di EC2 konsol Amazon dengan mencari di ID eksekusi Otomasi.