Installare SSM Agent su nodi Linux ibridi - AWS Systems Manager
Impostazione della rotazione automatica della chiave privataAnnullamento della registrazione e registrazione di un nodo gestitoRisoluzione dei problemi di installazione di SSM Agent su macchine Linux non EC2

Installare SSM Agent su nodi Linux ibridi

Questo argomento descrive come installare AWS Systems Manager SSM Agent su macchine Linux non EC2 (Amazon Elastic Compute Cloud) in un ambiente ibrido e multicloud. Se prevedi di utilizzare macchine Windows Server in un ambiente ibrido e multicloud, consulta la fase successiva, Installazione di SSM Agent su nodi ibridi di Windows Server.

Importante

Questa procedura riguarda tipi di macchine diversi dalle istanze EC2 per un ambiente ibrido e multicloud. Per scaricare e installare SSM Agent su un'istanza EC2 per Linux, consulta Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per Linux.

Prima di iniziare, individua il codice e l'ID di attivazione che sono stati inviati dopo aver completato l'attivazione ibrida in precedenza in Crea un'attivazione ibrida per registrare i nodi con Systems Manager. È possibile specificare il codice e l'ID nella procedura seguente.

Per installare SSM Agent su macchine non EC2 in un ambiente ibrido e multicloud

  1. Accedi a un server o una macchina virtuale all'interno dell'ambiente ibrido e multicloud.

  2. Se si utilizza un proxy HTTP o HTTPS, è necessario impostare l'http_proxyohttps_proxynella sessione della shell corrente. Se non utilizzi un proxy, questa fase può essere ignorata.

    Per un server proxy HTTP, immettere i comandi seguenti nella riga di comando:

    export http_proxy=http://hostname:port
export https_proxy=http://hostname:port

    Per un server proxy HTTPS, immettere i comandi seguenti nella riga di comando:

    export http_proxy=http://hostname:port
export https_proxy=https://hostname:port

  3. Copia e incolla uno dei seguenti blocchi di comandi in SSH. Sostituisci i valori segnaposto con codice e ID di attivazione generati quando crei un'attivazione del nodo gestito e con l'identificativo della Regione AWS da cui desideri scaricare SSM Agent e quindi premi Enter.

    Nota

    Tieni presenti queste importanti informazioni relative a questo processo:

    • sudonon è necessario se sei un utente root.

    • Effettua il download di ssm-setup-cli dalla stessa Regione AWS in cui è stata creata l'attivazione ibrida.

    • La ssm-setup-cli supporta un'opzione manifest-url che determina l'origine da cui viene scaricato l'agente. Non specificare un valore per questa opzione a meno che non sia richiesto dall'organizzazione.

    • Durante la registrazione delle istanze, utilizza solo il link per il download fornito per la ssm-setup-cli. La ssm-setup-cli non deve essere conservata separatamente per usi futuri.

    • Utilizza lo script fornito qui per convalidare la firma di ssm-setup-cli.

    region (regione) rappresenta l'identificatore di una Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei valori regione supportati, consulta la colonna Regione in Endpoint del servizio Systems Manager nella Riferimenti generali di Amazon Web Services.

    Inoltre, la ssm-setup-cli include le seguenti opzioni:

    • version: i valori validi sono latest e stable.

    • downgrade: consente il downgrade di SSM Agent a una versione precedente. Specifica true per installare una versione precedente dell'agente.

    • skip-signature-validation: ignora la convalida della firma durante il download e l'installazione dell'agente.

mkdir /tmp/ssm
curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/3.0.1479.0/linux_amd64/amazon-ssm-agent.rpm -o /tmp/ssm/amazon-ssm-agent.rpm
sudo yum install -y /tmp/ssm/amazon-ssm-agent.rpm
sudo stop amazon-ssm-agent
sudo -E amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region"
sudo start amazon-ssm-agent
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_arm/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

  • Utilizzo dei pacchetti .deb

    mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

  • Utilizzo dei pacchetti Snap

    Non è necessario specificare un URL per il download, perché il comando snap scarica automaticamente l'agente dall'app store Snap all'indirizzo https://snapcraft.io.

    Su Ubuntu Server 20.10 STR e 20.04, 18.04 e 16.04 LTS, i file di installazione di SSM Agent, compresi i numeri binari dell'agente e i file di configurazione, vengono archiviati nella seguente directory: /snap/amazon-ssm-agent/current/. Se apporti modifiche ai file di configurazione in questa directory, devi copiare questi file dalla cartella /snap nella cartella /etc/amazon/ssm/. I file di log e della libreria non sono cambiati (/var/lib/amazon/ssm, /var/log/amazon/ssm).

    sudo snap install amazon-ssm-agent --classic
sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" 
sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service
    Importante

    Lacandidatonell'archivio Snap contiene l'ultima versione diSSM Agent; non il canale stabile. Se desideri tenere traccia delle informazioni sulla versione SSM Agent sul canale candidato, esegui il comando seguente sui nodi gestiti 18.04 e 16.04 LTS a 64 bit di Ubuntu Server.

    sudo snap switch --channel=candidate amazon-ssm-agent

Il comando scarica e installa SSM Agent sulla macchina attivata da sistemi ibridi nell'ambiente ibrido e multicloud. Il comando interrompe SSM Agent e quindi registra la macchina con il servizio Systems Manager. La macchina è ora un nodo gestito. Le istanze Amazon EC2 configurate per Systems Manager sono anche nodi gestiti. Nella console di Systems Manager, tuttavia, i nodi attivati da sistemi ibridi si distinguono dalle istanze Amazon EC2 tramite il prefisso "mi-".

Continua su Installazione di SSM Agent su nodi ibridi di Windows Server.

Impostazione della rotazione automatica della chiave privata

Per rafforzare la posizione di sicurezza, puoi configurare Agente AWS Systems Manager (SSM Agent) per ruotare automaticamente la chiave privata dell'ambiente ibrido e multicloud. È possibile accedere a questa funzione utilizzandoSSM Agent3.0.1031.0 o versioni successive Attivare questa funzione seguendo la procedura seguente per.

Per configurare SSM Agent per ruotare la chiave privata di un ambiente ibrido e multicloud

  1. Accedi a /etc/amazon/ssm/ su una macchina Linux o C:\Program Files\Amazon\SSM per una macchina Windows.

  2. Copiare il contenuto diamazon-ssm-agent.json.templateIn un nuovo file denominatoamazon-ssm-agent.json. Save (Salva)amazon-ssm-agent.jsonnella stessa directory doveamazon-ssm-agent.json.templatesi trova.

  3. Trova Profile, KeyAutoRotateDays. Immettere il numero di giorni desiderato tra le rotazioni automatiche della chiave privata.

  4. Riavviare SSM Agent.

Ogni volta che si modifica la configurazione, riavviareSSM Agent.

È possibile personalizzare altre funzionalità diSSM Agentutilizzando la stessa procedura. Per l'elenco aggiornato delle proprietà di configurazione disponibili e dei relativi valori predefiniti, vediDefinizioni delle proprietà.

Annullamento della registrazione e registrazione di un nodo gestito

Puoi annullare la registrazione di un nodo gestito attivato da sistemi ibridi effettuando una chiamata all'operazione API DeregisterManagedInstance da AWS CLI o Strumenti per Windows PowerShell. Di seguito è illustrato un esempio di comando CLI:

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Per rimuovere le informazioni di registrazione rimanenti per l'agente, rimuovi la chiave IdentityConsumptionOrder dal file amazon-ssm-agent.json. Quindi, esegui il comando riportato di seguito:

amazon-ssm-agent -register -clear

Puoi registrare nuovamente una macchina dopo aver annullato la registrazione. Usa la procedura seguente per registrare nuovamente una macchina. Al termine della procedura, il nodo gestito viene nuovamente visualizzato nel relativo elenco.

Per registrare nuovamente un nodo gestito su una macchina Linux non EC2

  1. Connettiti alla macchina.

  2. Esegui il comando seguente. Sostituisci i valori segnaposto con codice e ID di attivazione generati quando crei un'attivazione del nodo gestito e con l'identificativo della regione da cui desideri scaricare SSM Agent.

    echo "yes" | sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region

Risoluzione dei problemi di installazione di SSM Agent su macchine Linux non EC2

Usa le informazioni seguenti per risolvere i problemi relativi all'installazione di SSM Agent su macchine Linux attivate da sistemi ibridi in un ambiente ibrido e multicloud.

Viene visualizzato un errore DeliveryTimeDout

Problema: durante la configurazione di una macchina in un Account AWS, come un nodo gestito per un Account AWS, si riceve DeliveryTimedOut dopo aver eseguito i comandi per installare SSM Agent sulla macchina di destinazione.

Soluzione:DeliveryTimedOutè il codice di risposta previsto per questo scenario. Il comando per installare SSM Agent sul nodo target modifica l'ID del nodo di origine. Poiché l'ID nodo è stato modificato, il nodo di origine non è in grado di comunicare al nodo di destinazione che il comando non è riuscito, completato o scaduto durante l'esecuzione.

Impossibile caricare le associazioni del nodo

Problema: dopo aver eseguito i comandi di installazione, viene visualizzato il seguente errore nellaSSM AgentLog di errore:

Unable to load instance associations, unable to retrieve associations unable to retrieve associations error occurred in RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint doesn't match

Questo errore viene visualizzato quando l'ID macchina non persiste dopo un riavvio.

Soluzione: Per risolvere questo problema, eseguire il comando seguente. Questo comando costringe l'ID macchina a mantenere l'aspetto persistente dopo un riavvio.

umount /etc/machine-id
systemd-machine-id-setup