Capire come State Manager funzionamento - AWS Systems Manager
Capire quando le associazioni vengono applicate alle risorseInformazioni sugli aggiornamenti di destinazione con i runbook Automation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Capire come State Manager funzionamento

State Manager, a tool in AWS Systems Manager, è un servizio sicuro e scalabile che automatizza il processo di mantenimento dei nodi gestiti in un'infrastruttura ibrida e multicloud in uno stato definito dall'utente.

Ecco come State Manager funziona:

1. Determina lo stato che desideri applicare alle tue AWS risorse.

Vuoi assicurarti che i nodi gestiti siano configurato con applicazioni specifiche, ad esempio applicazioni antivirus o malware? Desideri automatizzare il processo di aggiornamento di SSM Agent o altri AWS pacchetti comeAWSPVDriver? Vuoi accertarti che determinate porte siano aperte o chiuse? Per iniziare con State Manager, determina lo stato che desideri applicare alle tue AWS risorse. Lo stato che desiderate applicare determina il documento SSM da utilizzare per creare un State Manager associazione.

A State Manager l'associazione è una configurazione che assegni alle tue AWS risorse. La configurazione definisce lo stato che desideri mantenere sulle risorse. Ad esempio, un'associazione può specificare che il software antivirus debba essere installato ed eseguito su un nodo gestito o che determinate porte debbano essere chiuse.

Un'associazione specifica una pianificazione per quando applicare la configurazione e le destinazioni per l'associazione. Ad esempio, un'associazione per il software antivirus potrebbe essere eseguita una volta al giorno su tutti i nodi gestiti in un account Account AWS. Se il software non è installato su un nodo, l'associazione potrebbe istruire State Manager per installarlo. Se il software è installato, ma il servizio non è in esecuzione, l'associazione potrebbe fornire istruzioni State Manager per avviare il servizio.

2. Determina se un documento SSM preconfigurato può aiutarti a creare lo stato desiderato sulle tue AWS risorse.

Systems Manager include decine di documenti SSM preconfigurati che è possibile utilizzare per creare un'associazione. I documenti preconfigurati sono pronti per eseguire attività comuni come l'installazione di applicazioni, la configurazione di Amazon CloudWatch, l'esecuzione di AWS Systems Manager automazioni, l'esecuzione di script Shell PowerShell e l'aggiunta di nodi gestiti a un dominio di servizi di directory per Active Directory.

È possibile visualizzare tutti i documenti SSM nella console di Systems Manager. Scegliere il nome di un documento per scoprire ulteriori informazioni su ciascuno di essi. Di seguito, sono riportati due esempi: AWS-ConfigureAWSPackage e AWS-InstallApplication.

3. Creazione di un'associazione

È possibile creare un'associazione utilizzando la console Systems Manager, AWS Command Line Interface (AWS CLI), AWS Tools for Windows PowerShell (Tools for Windows PowerShell) o l'API Systems Manager. Quando viene creata l'associazione, si specifica quanto segue:

  • Un nome per l'associazione.

  • I parametri per il documento SSM (ad esempio, il percorso dell'applicazione da installare o lo script da eseguire sui nodi).

  • I target per l'associazione. È possibile scegliere come target i nodi gestiti specificando i tag, scegliendo un singolo nodo IDs o selezionando un gruppo in AWS Resource Groups. Puoi anche scegliere come target tutti i nodi gestiti nell'attuale Regione AWS e Account AWS.

  • Una pianificazione per il momento o la frequenza di applicazione dello stato. È possibile specificare un'espressione cron o rate. Per ulteriori informazioni sulla creazione di pianificazioni utilizzando espressioni cron e rate, consulta Espressioni Cron e Rate per le associazioni.

    Nota

    State Manager attualmente non supporta la specificazione dei mesi nelle espressioni cron per le associazioni.

Quando si esegue il comando per creare l'associazione, Systems Manager associa le informazioni specificate (pianificazione, target, documento SSM e parametri) alle risorse target. Lo stato dell'associazione inizialmente mostra "Pending" (In sospeso) mentre il sistema tenta di raggiungere tutti i target e applica immediatamente lo stato specificato nell'associazione.

Nota

Se si crea una nuova associazione pianificata per essere eseguita mentre un'associazione precedente è ancora in esecuzione, la prima associazione viene messa in timeout e viene eseguita la nuova associazione.

Systems Manager indica lo stato della richiesta di creazione di associazioni sulle risorse. È possibile visualizzare i dettagli sullo stato nella console o (per i nodi gestiti) utilizzando l'operazione DescribeInstanceAssociationsStatusAPI. Se si sceglie di scrivere l'output del comando in Amazon Simple Storage Service (Amazon S3) quando si crea un'associazione, è possibile anche visualizzare l'output nel bucket Amazon S3 specificato.

Per ulteriori informazioni, consulta Utilizzo delle associazioni in Systems Manager.

Nota

Le operazioni API avviate dal documento SSM durante un'esecuzione di associazione non vengono registrate in AWS CloudTrail.

4. Monitorare e aggiornare.

Dopo aver creato l'associazione, State Manager riapplica la configurazione in base alla pianificazione definita nell'associazione. È possibile visualizzare lo stato delle associazioni su State Manager pagina nella console o chiamando direttamente l'ID di associazione generato da Systems Manager al momento della creazione dell'associazione. Per ulteriori informazioni, consulta Visualizzazione della cronologia delle associazioni. È possibile aggiornare i documenti delle associazioni e riapplicarli come necessario. È possibile inoltre creare più versioni di un'associazione. Per ulteriori informazioni, consulta Modifica e creazione di una nuova versione di un'associazione.

Capire quando le associazioni vengono applicate alle risorse

Quando crei un'associazione, specifichi un documento SSM che definisce la configurazione, un elenco di risorse target e una pianificazione per l'applicazione della configurazione. Per impostazione predefinita, State Manager esegue l'associazione al momento della creazione e quindi in base alla pianificazione. State Manager tenta inoltre di eseguire l'associazione nelle seguenti situazioni:

  • Modifica dell'associazione — State Manager esegue l'associazione dopo che un utente ha modificato e salvato le modifiche in uno dei seguenti campi di associazione:DOCUMENT_VERSION,, PARAMETERSSCHEDULE_EXPRESSION,OUTPUT_S3_LOCATION.

  • Modifica del documento — State Manager esegue l'associazione dopo che un utente ha modificato e salvato le modifiche al documento SSM che definisce lo stato di configurazione dell'associazione. In particolare, l'associazione viene eseguita dopo le seguenti modifiche al documento:

    • Un utente specifica una nuova versione del documento $DEFAULT e l'associazione era stata creata utilizzando la versione $DEFAULT.

    • Un utente aggiorna un documento e l'associazione era stata creata utilizzando la versione $LATEST.

    • Un utente elimina il documento specificato al momento della creazione dell'associazione.

  • Avvio manuale — State Manager esegue l'associazione quando viene avviata dall'utente dalla console di Systems Manager o a livello di programmazione.

  • Modifiche agli obiettivi: State Manager esegue l'associazione dopo che si è verificata una delle seguenti attività su un nodo di destinazione:

    • Un nodo gestito passa online per la prima volta.

    • Un nodo gestito passa online dopo la mancata esecuzione di un'associazione pianificata.

    • Un nodo gestito passa online dopo essere stato arrestato per più di 30 giorni.

       

    Impedire l'esecuzione delle associazioni quando un obiettivo cambia

    In alcuni casi, potresti non volere che un'associazione venga eseguita quando una destinazione composta da nodi gestiti cambia, ma solo in base alla pianificazione specificata.

    Nota

    L'esecuzione di un runbook di automazione comporta un costo. Se un'associazione a un runbook di automazione riguarda tutte le istanze del tuo account e ne avvii regolarmente un gran numero di istanze, il runbook viene eseguito su ciascuna istanza al momento dell'avvio. Ciò può comportare costi di automazione elevati.

    Per evitare che un'associazione venga eseguita quando gli obiettivi di quell'associazione cambiano, seleziona la casella di controllo Applica l'associazione solo al successivo intervallo cron specificato. Questa casella di controllo si trova nell'area Specificare la pianificazione delle pagine Crea associazione e Modifica associazione.

    Questa opzione si applica alle associazioni che incorporano un runbook di automazione o un documento SSM.

Informazioni sugli aggiornamenti di destinazione con i runbook Automation

Affinché le associazioni create con i runbook Automation vengano applicate quando vengono rilevati nuovi nodi di destinazione, è necessario che vengano soddisfatte le seguenti condizioni:

  • L'associazione deve essere stata creata da un Quick SetupConfigurazione di Quick Setup è uno strumento in AWS Systems Manager. Le associazioni create da altri processi non sono attualmente supportate.

  • È necessario che il runbook Automation indirizzi esplicitamente il tipo di risorsa AWS::EC2::Instance o AWS::SSM::ManagedInstance.

  • È necessario che l'associazione specifichi parametri e destinazioni.

    Nella console, i campi Parametro e Destinazioni vengono visualizzati quando si sceglie un'esecuzione per il controllo della velocità.

    Le opzioni relative ai parametri e alle destinazioni sono presentate nella console per le esecuzioni di controllo della velocità

    Quando si utilizza il CreateAssociation, CreateAssociationBatch, oppure UpdateAssociationAzioni API, puoi specificare questi valori utilizzando gli Targets input AutomationTargetParameterName e. In ognuna di queste azioni API, puoi anche impedire l'esecuzione dell'associazione ogni volta che una destinazione cambia impostando il ApplyOnlyAtCronInterval parametro sutrue.

    Per informazioni sull'utilizzo della console per controllare quando vengono eseguite le associazioni, compresi i dettagli per evitare costi inaspettatamente elevati per le esecuzioni di Automation, consulta. Capire quando le associazioni vengono applicate alle risorse