Memecahkan masalah ketersediaan node terkelola - AWS Systems Manager
Solusi 1: Verifikasi bahwa SSM Agent diinstal dan berjalan pada node terkelolaSolusi 2: Verifikasi bahwa profil IAM instance telah ditentukan untuk instance (hanya EC2 instance)Solusi 3: Verifikasi konektivitas titik akhir layananSolusi 4: Verifikasi dukungan sistem operasi targetSolusi 5: Verifikasi bahwa Anda bekerja Wilayah AWS sama dengan EC2 instans AmazonSolusi 6: Verifikasi konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola AndaSolusi 7: Instal TLS sertifikat pada instans terkelola

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memecahkan masalah ketersediaan node terkelola

Untuk beberapa AWS Systems Manager kemampuan seperti Run Command, Distributor, dan Session Manager, Anda dapat memilih untuk secara manual memilih node terkelola tempat Anda ingin menjalankan operasi. Dalam kasus seperti ini, setelah Anda menentukan bahwa Anda ingin memilih node secara manual, sistem menampilkan daftar node terkelola tempat Anda dapat menjalankan operasi.

Topik ini memberikan informasi untuk membantu Anda mendiagnosis mengapa node terkelola yang telah Anda konfirmasi berjalan tidak disertakan dalam daftar node terkelola di Systems Manager.

Agar node dikelola oleh Systems Manager dan tersedia dalam daftar node terkelola, node harus memenuhi tiga persyaratan:

  • SSM Agent harus diinstal dan berjalan pada node dengan sistem operasi yang didukung.

    catatan

    Beberapa AWS berhasil Amazon Machine Images (AMIs) dikonfigurasi untuk meluncurkan instance dengan SSM Agentsudah diinstal sebelumnya. (Anda juga dapat mengonfigurasi kustom AMI untuk pra-instal SSM Agent.) Untuk informasi lebih lanjut, lihat Temukan AMIs dengan yang SSM Agent sudah diinstal sebelumnya.

  • Untuk instans Amazon Elastic Compute Cloud (AmazonEC2), Anda harus melampirkan profil instance AWS Identity and Access Management (IAM) ke instance. Profil instans memungkinkan instance untuk berkomunikasi dengan layanan Systems Manager. Jika Anda tidak menetapkan profil instance ke instance, Anda mendaftarkannya menggunakan aktivasi hibrida, yang bukan skenario umum.

  • SSM Agent harus dapat terhubung ke titik akhir Systems Manager untuk mendaftarkan dirinya dengan layanan. Setelah itu, node yang dikelola harus tersedia untuk layanan, yang dikonfirmasi oleh layanan yang mengirimkan sinyal setiap lima menit untuk memeriksa kesehatan instans.

  • Setelah status node terkelola setidaknya Connection Lost selama 30 hari, node mungkin tidak lagi terdaftar di Fleet Manager konsol. Untuk mengembalikannya ke daftar, masalah yang menyebabkan koneksi hilang harus diselesaikan.

Setelah Anda memverifikasi bahwa node terkelola sedang berjalan, Anda dapat menggunakan perintah berikut untuk memeriksa apakah SSM Agent berhasil terdaftar dengan layanan Systems Manager. Perintah ini tidak mengeluarkan hasil hingga pendaftaran berhasil dilakukan.

Linux & macOS
aws ssm describe-instance-associations-status \
    --instance-id instance-id
Windows
aws ssm describe-instance-associations-status ^
    --instance-id instance-id
PowerShell
Get-SSMInstanceAssociationsStatus `
    -InstanceId instance-id

Jika pendaftaran berhasil dan node terkelola sekarang tersedia untuk operasi Systems Manager, perintah mengembalikan hasil yang mirip dengan berikut ini.

{
    "InstanceAssociationStatusInfos": [
        {
            "AssociationId": "fa262de1-6150-4a90-8f53-d7eb5EXAMPLE",
            "Name": "AWS-GatherSoftwareInventory",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Pending",
            "DetailedStatus": "Associated"
        },
        {
            "AssociationId": "f9ec7a0f-6104-4273-8975-82e34EXAMPLE",
            "Name": "AWS-RunPatchBaseline",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Queued",
            "AssociationName": "SystemAssociationForScanningPatches"
        }
    ]
}

Jika pendaftaran belum selesai atau gagal, perintah tersebut mengeluarkan hasil yang serupa dengan berikut ini:

{
    "InstanceAssociationStatusInfos": []
}

Jika perintah tidak mengembalikan hasil setelah 5 menit atau lebih, gunakan informasi berikut untuk membantu Anda memecahkan masalah dengan node terkelola Anda.

Topik

Solusi 1: Verifikasi bahwa SSM Agent diinstal dan berjalan pada node terkelola

Pastikan versi terbaru SSM Agent diinstal dan berjalan pada node terkelola.

Untuk menentukan apakah SSM Agent diinstal dan berjalan pada node terkelola, lihatMemeriksa SSM Agent status dan memulai agen.

Untuk menginstal atau menginstal ulang SSM Agent pada node terkelola, lihat topik berikut:

Solusi 2: Verifikasi bahwa profil IAM instance telah ditentukan untuk instance (hanya EC2 instance)

Untuk instans Amazon Elastic Compute Cloud (AmazonEC2), verifikasi bahwa instance dikonfigurasi dengan profil instans AWS Identity and Access Management (IAM) yang memungkinkan instance berkomunikasi dengan Systems Manager. API Juga verifikasi bahwa pengguna Anda memiliki kebijakan IAM kepercayaan yang memungkinkan pengguna Anda untuk berkomunikasi dengan Systems ManagerAPI.

catatan

Server lokal, perangkat edge, dan mesin virtual (VMs) menggunakan peran IAM layanan, bukan profil instance. Untuk informasi selengkapnya, lihat Membuat peran IAM layanan yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud.

Untuk menentukan apakah profil instance dengan izin yang diperlukan dilampirkan ke sebuah EC2 instance

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih instans untuk memeriksa profil instans.

  4. Pada tab Deskripsi di panel bawah, cari IAMperan dan pilih nama peran.

  5. Di halaman Ringkasan peran untuk profil instans, di tab Izin, pastikan bahwa AmazonSSMManagedInstanceCore tercantum di bawah Kebijakan izin.

    Jika kebijakan kustom digunakan sebagai gantinya, pastikan bahwa kebijakan tersebut menyediakan izin yang sama seperti AmazonSSMManagedInstanceCore.

    Buka AmazonSSMManagedInstanceCore di konsol

    Untuk informasi tentang kebijakan lain yang dapat dilampirkan ke profil instans untuk Systems Manager, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.

Solusi 3: Verifikasi konektivitas titik akhir layanan

Verifikasi bahwa instans memiliki konektivitas ke titik akhir layanan Systems Manager. Konektivitas ini disediakan dengan membuat dan mengonfigurasi VPC titik akhir untuk Systems Manager, atau dengan mengizinkan HTTPS (port 443) lalu lintas keluar ke titik akhir layanan.

Untuk EC2 instans Amazon, titik akhir layanan Systems Manager Wilayah AWS digunakan untuk mendaftarkan instance jika konfigurasi virtual private cloud (VPC) memungkinkan lalu lintas keluar. Namun, jika VPC konfigurasi instans diluncurkan tidak mengizinkan lalu lintas keluar dan Anda tidak dapat mengubah konfigurasi ini untuk mengizinkan konektivitas ke titik akhir layanan publik, Anda harus mengonfigurasi titik akhir antarmuka untuk Anda. VPC

Untuk informasi selengkapnya, lihat Meningkatkan keamanan EC2 instans dengan menggunakan VPC titik akhir untuk Systems Manager.

Solusi 4: Verifikasi dukungan sistem operasi target

Verifikasi bahwa operasi yang Anda pilih dapat dijalankan pada jenis node terkelola yang Anda harapkan untuk dilihat terdaftar. Beberapa operasi Systems Manager hanya dapat menargetkan instans Windows atau hanya instans Linux. Misalnya, Systems Manager (SSM) mendokumentasikan AWS-InstallPowerShellModule dan AWS-ConfigureCloudWatch dapat dijalankan hanya pada instance Windows. Di halaman Jalankan perintah, jika Anda memilih salah satu dari dokumen ini dan memilih Pilih instans secara manual, hanya instans Windows Anda yang tercantum dan tersedia untuk dipilih.

Solusi 5: Verifikasi bahwa Anda bekerja Wilayah AWS sama dengan EC2 instans Amazon

EC2Instans Amazon dibuat dan tersedia secara spesifik Wilayah AWS, seperti Wilayah Timur AS (Ohio) (us-east-2) atau Wilayah Eropa (Irlandia) (eu-west-1). Pastikan Anda bekerja Wilayah AWS sama dengan EC2 instans Amazon yang ingin Anda gunakan. Untuk informasi selengkapnya, lihat Memilih Wilayah dalam Memulai dengan AWS Management Console.

Solusi 6: Verifikasi konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola Anda

Verifikasi bahwa konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola Anda benar. Jika konfigurasi proxy salah, node tidak dapat terhubung ke titik akhir layanan yang diperlukan, atau Systems Manager mungkin mengidentifikasi sistem operasi node terkelola secara tidak benar. Untuk informasi selengkapnya, silakan lihat Melakukan konfigurasi SSM Agent untuk menggunakan proxy pada node Linux dan SSM AgentKonfigurasikan untuk menggunakan proxy untuk Windows Server instance.

Solusi 7: Instal TLS sertifikat pada instans terkelola

Sertifikat Transport Layer Security (TLS) harus diinstal pada setiap instance terkelola yang Anda gunakan AWS Systems Manager. Layanan AWS gunakan sertifikat ini untuk mengenkripsi panggilan ke yang lain Layanan AWS.

TLSSertifikat sudah diinstal secara default pada setiap EC2 instans Amazon yang dibuat dari manapun Amazon Machine Image (AMI). Sebagian besar sistem operasi modern menyertakan TLS sertifikat yang diperlukan dari Amazon Trust Services CAs di toko kepercayaan mereka.

Untuk memverifikasi apakah sertifikat yang diperlukan diinstal pada instans Anda, jalankan perintah berikut berdasarkan sistem operasi instance Anda. Pastikan untuk mengganti region bagian dari URL dengan Wilayah AWS tempat instance terkelola Anda berada.

Linux & macOS
curl -L https://ssm.region.amazonaws.com
Windows
Invoke-WebRequest -Uri https://ssm.region.amazonaws.com

Perintah harus mengembalikan UnknownOperationException kesalahan. Jika Anda menerima pesan TLS galatSSL/, maka sertifikat yang diperlukan mungkin tidak diinstal.

Jika Anda menemukan sertifikat Amazon Trust Services CA yang diperlukan tidak diinstal pada sistem operasi dasar Anda, pada instans yang dibuat dari AMIs yang tidak disediakan oleh Amazon, atau di server lokal Anda sendiri danVMs, Anda harus menginstal dan mengizinkan sertifikat dari Amazon Trust Services, atau menggunakan AWS Certificate Manager (ACM) untuk membuat dan mengelola sertifikat untuk layanan terintegrasi yang didukung.

Setiap instans terkelola Anda harus memiliki salah satu sertifikat Transport Layer Security (TLS) berikut yang diinstal.

  • Amazon Root CA 1

  • Starfield Services Root Certificate Authority - G2

  • Starfield Class 2 Certificate Authority

Untuk informasi tentang penggunaanACM, lihat Panduan AWS Certificate Manager Pengguna.

Jika sertifikat di lingkungan komputasi Anda dikelola oleh Objek Kebijakan Grup (GPO), Anda mungkin perlu mengonfigurasi Kebijakan Grup untuk menyertakan salah satu sertifikat ini.

Untuk informasi selengkapnya tentang sertifikat Amazon Root dan Starfield, lihat posting blog Cara AWS Mempersiapkan Pindah ke Otoritas Sertifikat Sendiri.