Creazione di associazioni che eseguono file MOF - AWS Systems Manager
Utilizzo di Amazon S3 per archiviare gli artefattiRisoluzione delle credenziali nei file MOFUtilizzo di token nei file MOFPrerequisiti per la creazione di associazioni che eseguono file MOFCreazione di un'associazione che esegue i file MOFRisoluzione dei problemi relativi alla creazione di associazioni che eseguono file MOFVisualizzazione dei dettagli di conformità delle risorse DSC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di associazioni che eseguono file MOF

È possibile eseguire file MOF (Managed Object Format) per imporre lo stato desiderato sui nodi gestiti di Windows Server con State Manager, uno strumento in AWS Systems Manager, utilizzando il documento AWS-ApplyDSCMofs SSM. Il documento AWS-ApplyDSCMofs è caratterizzato da due modalità di esecuzione. La prima consente di configurare l'associazione per analizzare e segnalare se i nodi gestiti sono nello stato desiderato definito nei file MOF specificati. La seconda consente di eseguire i file MOF e modificare la configurazione dei nodi in base alle risorse e ai relativi valori definiti nei file MOF. Il documento AWS-ApplyDSCMofs consente di scaricare ed eseguire i file di configurazione MOF da Amazon Simple Storage Service (Amazon S3), una condivisione locale o un sito Web sicuro con un dominio HTTPS.

State Manager registra e riporta lo stato di ogni esecuzione di file MOF durante ogni esecuzione di associazione. State Manager riporta inoltre l'output di ogni esecuzione di file MOF come evento di conformità, che è possibile visualizzare nella AWS Systems Manager pagina Conformità.

L'esecuzione dei file MOF si basa su Windows PowerShell Desired State Configuration (PowerShell DSC). PowerShell DSC è una piattaforma dichiarativa utilizzata per la configurazione, la distribuzione e la gestione dei sistemi Windows. PowerShell DSC consente agli amministratori di descrivere, in semplici documenti di testo chiamati configurazioni DSC, come desiderano configurare un server. Una configurazione PowerShell DSC è uno PowerShell script specializzato che indica cosa fare, ma non come farlo. L'esecuzione della configurazione produce un file MOF. Il file MOF può essere applicato a uno o più server per ottenere la configurazione desiderata per tali server. PowerShell Le risorse DSC si occupano effettivamente dell'applicazione della configurazione. Per ulteriori informazioni, vedere Panoramica della configurazione dello stato PowerShell desiderato di Windows.

Utilizzo di Amazon S3 per archiviare gli artefatti

Se utilizzi Amazon S3 per archiviare PowerShell moduli, file MOF, report di conformità o report sullo stato, allora il ruolo AWS Identity and Access Management (IAM) utilizzato da AWS Systems Manager SSM Agent must have GetObject e ListBucket autorizzazioni sul bucket. Se non disponi di queste autorizzazioni, il sistema restituisce un errore Access Denied (Accesso negato). Ecco informazioni importanti sulla memorizzazione degli artefatti in Amazon S3.

  • Se il bucket si trova in un altro Account AWS, crea una policy relativa alle risorse del bucket che conceda all'account (o al ruolo IAM) e le autorizzazioni. GetObject ListBucket

  • Se desideri utilizzare le risorse DSC personalizzate, è possibile scaricarle da un bucket Amazon S3. Puoi anche installarli automaticamente dalla galleria. PowerShell

  • Se utilizzi Amazon S3 come sorgente del modulo, carica il modulo come file Zip nel seguente formato con distinzione tra maiuscole e minuscole: _ .zip. ModuleName ModuleVersion Ad esempio: _1.0.0.zip. MyModule

  • Tutti i file devono trovarsi nella radice del bucket. Le strutture di cartella non sono supportate.

Risoluzione delle credenziali nei file MOF

Le credenziali vengono risolte utilizzando AWS Secrets Manager o AWS Systems Manager Parameter Store. In questo modo è possibile configurare la rotazione automatica delle credenziali. Ciò consente inoltre a DSC di propagare automaticamente le credenziali ai server senza ridistribuirle. MOFs

Per utilizzare un AWS Secrets Manager segreto in una configurazione, crea un PSCredential oggetto in cui il nome utente è il SecretId o SecretArn del segreto contenente la credenziale. È possibile specificare qualsiasi valore per la password. Il valore viene ignorato. Di seguito è riportato un esempio.

Configuration MyConfig
{
   $ss = ConvertTo-SecureString -String 'a_string' -AsPlaintext -Force
   $credential = New-Object PSCredential('a_secret_or_ARN', $ss)

    Node localhost
    {
       File file_name
       {
           DestinationPath = 'C:\MyFile.txt'
           SourcePath = '\\FileServer\Share\MyFile.txt'
           Credential = $credential
       }
    }
}

Compila il tuo MOF utilizzando l'impostazione nei dati di configurazione PsAllowPlaintextPassword . Questo è consentito perché la credenziale contiene solo un'etichetta.

In Secrets Manager, assicurati che il nodo abbia GetSecretValue accesso a una IAM Managed Policy e, facoltativamente, alla Secret Resource Policy, se esistente. Per funzionare con DSC, il segreto deve essere nel formato seguente.

{ 'Username': 'a_name', 'Password': 'a_password' }

Il segreto può avere altre proprietà (ad esempio, proprietà utilizzate per la rotazione), ma deve avere almeno le proprietà del nome utente e della password.

Ti consigliamo di utilizzare un metodo di rotazione multiutente, in cui hai due nomi utente e password diversi e la AWS Lambda funzione di rotazione passa da uno all'altro. Questo metodo consente di avere più account attivi, eliminando il rischio di bloccare un utente durante la rotazione.

Utilizzo di token nei file MOF

I token offrono la possibilità di modificare i valori di proprietà della risorsa dopo la compilazione del file MOF. In questo modo è possibile riutilizzare i file MOF comuni su più server che richiedono configurazioni simili.

La sostituzione dei token funziona solo per le proprietà della risorsa di tipo String. Tuttavia, se la risorsa ha una proprietà del nodo CIM nidificata, risolverà anche i token delle proprietà String in tale nodo CIM. Non è possibile usare la sostituzione dei token per numeri o array.

Ad esempio, si consideri uno scenario in cui si utilizza la xComputerManagement risorsa e si desidera rinominare il computer utilizzando DSC. In genere avresti bisogno di un file MOF dedicato per quel computer. Tuttavia, con il supporto dei token, è possibile creare un singolo file MOF e applicarlo a tutti i nodi. Nella proprietà ComputerName, invece dell'hard coding del nome del computer nel MOF, è possibile utilizzare un token del tipo tag di istanza. Il valore viene risolto durante l'analisi del file MOF. Guarda l'esempio seguente.

Configuration MyConfig
{
    xComputer Computer
    {
        ComputerName = '{tag:ComputerName}'
    }
}

Quindi imposti un tag sul nodo gestito nella console Systems Manager o un tag Amazon Elastic Compute Cloud (Amazon EC2) nella EC2 console Amazon. Quando esegui il documento, lo script sostituisce il token {tag:ComputerName} al valore del tag di istanza.

Inoltre, è possibile combinare più tag in una singola proprietà, come mostrato nell'esempio che segue:

Configuration MyConfig
{
    File MyFile
    {
        DestinationPath = '{env:TMP}\{tag:ComputerName}'
        Type = 'Directory'
    }
}

È possibile utilizzare 5 diversi tipi di token:

  • tag: Amazon EC2 o tag dei nodi gestiti.

  • tagb64: è uguale a tag, ma il sistema utilizza base64 per decodificare il valore. In questo modo è possibile utilizzare caratteri speciali nei valori di tag.

  • env: risolve variabili di ambiente.

  • ssm: Parameter Store valori. Sono supportati solo i tipi String e Secure String.

  • tagssm: è uguale al tag, ma se il tag non è impostato sul nodo, il sistema cerca di risolvere il valore da un parametro di Systems Manager con lo stesso nome. È utile in situazioni in cui si desidera un valore predefinito globale, ma si vuole sovrascriverlo su un singolo nodo (per esempio, distribuzioni one-box).

Ecco un Parameter Store esempio che utilizza il tipo di ssm token. 

File MyFile
{
    DestinationPath = "C:\ProgramData\ConnectionData.txt"
    Content = "{ssm:%servicePath%/ConnectionData}"
}

I token giocano un ruolo importante nel ridurre il codice ridondante, rendendo i file MOF generici e riutilizzabili. Se è possibile evitare file MOF specifici del server, non è necessario un servizio di creazione di file MOF. Un servizio di costruzione MOF aumenta i costi, rallenta i tempi di provisioning e aumenta il rischio di deviazioni della configurazione tra i nodi raggruppati a causa delle diverse versioni dei moduli installate sul server di build al momento della compilazione. MOFs

Prerequisiti per la creazione di associazioni che eseguono file MOF

Prima di creare un'associazione che esegue i file MOF, verifica che sui nodi gestiti siano installati i seguenti prerequisiti:

Creazione di un'associazione che esegue i file MOF

Per creare un'associazione che esegue i file MOF

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli State Manager.

  3. Scegliere State Manager, quindi scegli Crea associazione.

  4. Nel campo Name (Nome), specifica un nome. Questo passaggio è facoltativo, ma è consigliato. Un nome può aiutare a comprendere lo scopo dell'associazione al momento della creazione. Gli spazi non sono consentiti nel nome.

  5. Nell'elenco Document (Documento) scegliere AWS-ApplyDSCMofs.

  6. Nella sezione Parameters (Parametri), specificare le proprie scelte per i parametri di input obbligatori e opzionali.

    1. Mofs To Apply (MOF da applicare): specificare uno o più file MOF da eseguire durante l'esecuzione dell'associazione. Utilizzare le virgole per separare un elenco di file MOF. Per individuare il file MOF, è possibile specificare le opzioni seguenti:

      • Un nome del bucket Amazon S3. I nomi di bucket devono utilizzare lettere minuscole. Specificare queste informazioni nel seguente formato.

        s3:amzn-s3-demo-bucket:MOF_file_name.mof

        Se desideri specificare un Regione AWS, utilizza il seguente formato.

        s3:bucket_Region:amzn-s3-demo-bucket:MOF_file_name.mof

      • Un sito web sicuro. Specificare queste informazioni nel seguente formato.

        https://domain_name/MOF_file_name.mof

        Ecco un esempio.

        https://www.example.com/TestMOF.mof

      • Un file system su una condivisione locale. Specificare queste informazioni nel seguente formato.

        \server_name\shared_folder_name\MOF_file_name.mof

        Ecco un esempio.

        \StateManagerAssociationsBox\MOFs_folder\MyMof.mof

    2. Service Path (Percorso del servizio): (facoltativo) un percorso del servizio è un prefisso di bucket Amazon S3 in cui si desidera scrivere i report e le informazioni sullo stato. Oppure, un percorso di servizio è un percorso per Parameter Store tag basati su parametri. Durante la risoluzione di tag basati su parametri, il sistema utilizza {ssm: %ServicePath%/parameter_name} per inserire il valore ServicePath nel nome del parametro. Ad esempio, se il percorso del servizio è "/. WebServers/Production" then the systems resolves the parameter as: WebServers/Production parameter_name Questa funzione è utile quando si eseguono più ambienti nello stesso account.

    3. Report Bucket Name (Nome bucket per report): (facoltativo) immettere il nome di un bucket Amazon S3 in cui si desidera scrivere i dati di conformità. I report vengono salvati in questo bucket in formato JSON.

      Nota

      È possibile aggiungere come prefisso al nome del bucket una regione in cui si trova il bucket. Ecco un esempio: MOFBucket US-West-2:my. Se si sta usando un proxy per gli endpoint Amazon S3 in una determinata regione che non include us-east-1, aggiungere come prefisso al nome del bucket una regione. Se al nome del bucket non viene applicato un prefisso, troverà automaticamente la regione del bucket utilizzando l'endpoint us-east-1.

    4. Modalità operativa Mof: scegli State Manager comportamento durante l'esecuzione dell'AWS-ApplyDSCMofsassociazione:

      • Apply (Applica): correggere le configurazioni non conformi dei nodi.

      • ReportOnly: non corregge le configurazioni dei nodi, ma registra invece tutti i dati di conformità e segnala i nodi che non sono conformi.

    5. Status Bucket Name (Nome bucket stato): (facoltativo) immettere il nome di un bucket Amazon S3 in cui si desidera scrivere le informazioni sullo stato di esecuzione del file MOF. Questi report di stato sono riepiloghi singleton dell'esecuzione di conformità più recente di un nodo Ciò significa che il report verrà sovrascritto la volta successiva che l'associazione eseguirà i file MOF.

      Nota

      È possibile aggiungere come prefisso al nome del bucket una regione in cui si trova il bucket. Ecco un esempio: us-west-2:amzn-s3-demo-bucket. Se si sta usando un proxy per gli endpoint Amazon S3 in una determinata regione che non include us-east-1, aggiungere come prefisso al nome del bucket una regione. Se al nome del bucket non viene applicato un prefisso, troverà automaticamente la regione del bucket utilizzando l'endpoint us-east-1.

    6. Nome del bucket di origine del modulo: (facoltativo) Inserisci il nome di un bucket Amazon S3 che PowerShell contiene i file del modulo. Se si specifica None (Nessuno), scegliere True (Vero) come opzione successiva, Allow PS Gallery Module Source (Consenti origine del modulo della galleria PS).

      Nota

      È possibile aggiungere come prefisso al nome del bucket una regione in cui si trova il bucket. Ecco un esempio: us-west-2:amzn-s3-demo-bucket. Se si sta usando un proxy per gli endpoint Amazon S3 in una determinata regione che non include us-east-1, aggiungere come prefisso al nome del bucket una regione. Se al nome del bucket non viene applicato un prefisso, troverà automaticamente la regione del bucket utilizzando l'endpoint us-east-1.

    7. Consenti l'origine del modulo PS Gallery: (Facoltativo) Scegli True per scaricare i PowerShell moduli da/. https://www.powershellgallery.com Se scegli False, specifica una fonte per l'opzione precedente, ModuleSourceBucketName.

    8. Proxy Uri (Uri proxy): (facoltativo) utilizzare questa opzione per scaricare i file MOF da un server proxy.

    9. Reboot Behavior (Comportamento di riavvio): (facoltativo) specificare uno dei seguenti comportamenti di riavvio se l'esecuzione del file MOF richiede il riavvio:

      • AfterMof: riavvia il nodo dopo che tutte le esecuzioni MOF sono state completate. Anche se più esecuzioni di file MOF richiedono il riavvio, il sistema attende che tutte le esecuzioni vengano completate prima di riavviare.

      • Immediately (Immediatamente): riavvia il nodo ogni volta che un'esecuzione di file MOF lo richiede. Se si eseguono più file MOF che richiedono il riavvio, i nodi saranno riavviati più volte.

      • Never (Mai): i nodi non vengono riavviati, neanche se l'esecuzione di file MOF lo richiede esplicitamente.

    10. Use Computer Name For Reporting (Usa nome computer per il reporting): (facoltativo) abilitare questa opzione per utilizzare il nome del computer per il reporting delle informazioni di conformità. Il valore predefinito è false (falso): ciò significa che il sistema utilizza l'ID nodo per il reporting delle informazioni di conformità.

    11. Enable Verbose Logging (Abilita registrazione verbosa): (facoltativo) si consiglia di abilitare la registrazione verbosa quando si distribuiscono i file MOF per la prima volta.

      Importante

      Quando è abilitata, la registrazione verbosa scrive più dati sul bucket Amazon S3 rispetto alla registrazione standard dell'esecuzione di un'associazione. Questo può comportare un rallentamento delle prestazioni e costi di archiviazione maggiori per Amazon S3. Per ridurre i problemi di dimensioni dell'archiviazione, si consiglia di abilitare le policy del ciclo di vita del bucket Amazon S3. Per ulteriori informazioni, consulta Come creare una policy del ciclo di vita per un bucket S3 nella Guida per l'utente Amazon Simple Storage Service.

    12. Enable Debug Logging (Abilita registrazione debug): (facoltativo) si consiglia di abilitare la registrazione di debug se si desidera risolvere gli errori dei file MOF. È inoltre consigliabile disattivare questa opzione per l'uso normale.

      Importante

      Quando è abilitata, la registrazione di debug scrive più dati nel bucket Amazon S3 rispetto alla registrazione standard di esecuzione dell'associazione. Questo può comportare un rallentamento delle prestazioni e costi di archiviazione maggiori per Amazon S3. Per ridurre i problemi di dimensioni dell'archiviazione, si consiglia di abilitare le policy del ciclo di vita del bucket Amazon S3. Per ulteriori informazioni, consulta Come creare una policy del ciclo di vita per un bucket S3 nella Guida per l'utente Amazon Simple Storage Service.

    13. Compliance Type (Tipo di conformità): (facoltativo) specificare il tipo di conformità da utilizzare per il reporting delle informazioni di conformità. Il tipo di conformità predefinito è Custom: DSC. Se si creano più associazioni che eseguono i file MOF, assicurarsi di specificare un tipo di conformità diverso per ogni associazione. In caso contrario, ogni ulteriore associazione che usa Custom: DSC sovrascriverà i dati di conformità esistenti.

    14. Pre Reboot Script (Script di pre-riavvio): (facoltativo) specificare uno script da eseguire se la configurazione ha indicato la necessità di un riavvio. Lo script viene eseguito prima del riavvio. Lo script deve essere una singola riga. Separare le righe aggiuntive utilizzando il punto e virgola.

  7. Nella sezione Targets (Target), scegliere Specifying tags (Specifica di tag) o Manually Selecting Instance (Selezione manuale istanza). Se si sceglie di definire le risorse come target mediante i tag, immettere una chiave e un valore del tag nei campi disponibili. Per ulteriori informazioni sull'utilizzo di target, consultare Comprensione degli obiettivi e dei controlli delle tariffe in State Manager associazioni.

  8. Nella sezione Specify schedule (Specifica pianificazione), scegliere On Schedule (Conforme a pianificazione) oppure No schedule (Nessuna pianificazione). Se si sceglie On Schedule (Conforme a pianificazione), utilizzare i pulsanti disponibili per creare una pianificazione cron o rate per l'associazione.

  9. Nella sezione Advanced options (Opzioni avanzate):

    • In Compliance severity (Gravità conformità), scegliere un livello di gravità per l'associazione. Il report di conformità indica se l'associazione è conforme o non conforme e il livello di gravità specificato qui. Per ulteriori informazioni, consulta Informazioni State Manager conformità dell'associazione.

  10. Nella sezione Rate control, configura le opzioni per l'esecuzione State Manager associazioni tra i vari nodi gestiti. Per ulteriori informazioni su queste opzioni, consulta Comprensione degli obiettivi e dei controlli delle tariffe in State Manager associazioni.

    Nella sezione Concurrency (Simultaneità) scegliere un'opzione:

    • Scegliere targets (target) per immettere il numero assoluto di target che possono eseguire contemporaneamente l'associazione.

    • Scegliere percentage (percentuale) per immettere la percentuale del set target che può eseguire contemporaneamente l'associazione.

    Nella sezione Error threshold (Soglia di errore). scegliere un'opzione:

    • Scegli gli errori per inserire un numero assoluto di errori consentiti in precedenza State Manager interrompe l'esecuzione di associazioni su obiettivi aggiuntivi.

    • Scegli la percentuale per inserire una percentuale di errori consentiti in precedenza State Manager interrompe l'esecuzione di associazioni su obiettivi aggiuntivi.

  11. (Opzionale) In Output optione (Opzioni di output), per salvare l'output del comando in un file, selezionare la casella Enable writing output to S3 (Abilita scrittura in S3). Digitare i nomi del bucket e del prefisso (cartella) nelle caselle.

    Nota

    Le autorizzazioni S3 che assegnano la possibilità di scrivere dati in un S3 Bucket sono quelle del profilo del nodo e non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta le pagine Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager oppure Creazione di un ruolo di servizio IAM per un ambiente ibrido. Inoltre, se il bucket S3 specificato si trova in un altro bucket Account AWS, verifica che il profilo di istanza o il ruolo del servizio IAM associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.

  12. Scegliere Create Association (Crea associazione).

State Manager crea ed esegue immediatamente l'associazione sui nodi o sulle destinazioni specificati. Dopo l'esecuzione iniziale, l'associazione viene eseguita a intervalli in base alla pianificazione definita e in base alle regole seguenti:

  • State Manager esegue le associazioni sui nodi che sono online all'inizio dell'intervallo e salta i nodi offline.

  • State Manager tenta di eseguire l'associazione su tutti i nodi configurati durante un intervallo.

  • Se un'associazione non viene eseguita durante un intervallo (perché, ad esempio, un valore di concorrenza limitava il numero di nodi che potevano elaborare l'associazione contemporaneamente), State Manager tenta di eseguire l'associazione durante l'intervallo successivo.

  • State Manager registra la cronologia di tutti gli intervalli saltati. È possibile visualizzare la cronologia nella scheda Execution History (Cronologia di esecuzione).

Nota

L'AWS-ApplyDSCMofs è un documento Command di Systems Manager Ciò significa che è possibile eseguire questo documento anche utilizzando Run Command, uno strumento in AWS Systems Manager. Per ulteriori informazioni, consulta AWS Systems Manager Run Command.

Risoluzione dei problemi relativi alla creazione di associazioni che eseguono file MOF

Questa sezione include informazioni utili per la risoluzione dei problemi di creazione delle associazioni che eseguono file MOF.

Attiva la registrazione avanzata

Come primo passo per la risoluzione dei problemi, abilita la registrazione avanzata. Nello specifico, svolgi le seguenti operazioni:

  1. Verifica che l'associazione sia configurata per scrivere l'output dei comandi su Amazon S3 o Amazon CloudWatch Logs (). CloudWatch

  2. Imposta il parametro Enable Verbose Logging (Abilita registrazione verbose) su True (Vero).

  3. Imposta il parametro Enable Debug Logging (Abilita registrazione debug) su True (Vero).

Quando abiliti la registrazione verbose e di debug, il file di output Stdout include informazioni sull'esecuzione dello script. Questo file di output può aiutarti a identificare gli esiti negativi dello script. Il file di output Stderr contiene gli errori che si sono verificati durante l'esecuzione di uno script.

Problemi comuni nella creazione di associazioni che eseguono file MOF

Questa sezione include informazioni sui problemi comuni che possono verificarsi durante la creazione di associazioni in grado di eseguire i file MOF e la procedura per risolvere questi problemi.

Il file MOF non è stato applicato

Se State Manager non sei riuscito ad applicare l'associazione ai tuoi nodi, quindi inizia esaminando il file di output Stderr. Questo file può aiutarti a comprendere la causa principale del problema. Inoltre, verifica quanto segue:

  • Il nodo ha le autorizzazioni di accesso necessarie per tutti i bucket Amazon S3 correlati al file MOF. Nello specifico:

    • s3: GetObject autorizzazioni: sono necessarie per i file MOF nei bucket Amazon S3 privati e i moduli personalizzati nei bucket Amazon S3.

    • s3: PutObject autorizzazione: è necessaria per scrivere report di conformità e stato di conformità nei bucket Amazon S3.

  • Se stai utilizzando i tag, assicurati che il nodo disponga della policy IAM obbligatoria. L'utilizzo di tag richiede che il ruolo IAM dell'istanza abbia una policy che consenta le operazioni ec2:DescribeInstances e ssm:ListTagsForResource.

  • Verifica che il nodo disponga dei tag previsti o dei parametri SSM assegnati.

  • Verifica che nei tag o nei parametri SSM non vi siano errori di battitura.

  • Prova ad applicare il file MOF localmente sul nodo per assicurarti che non vi sia un problema con il file MOF.

Sembrava che il file MOF avesse esito negativo, ma l'esecuzione di Systems Manager è andata a buon fine

Se il documento AWS-ApplyDSCMofs è stato eseguito correttamente, lo stato dell'esecuzione di Systems Manager risulta Success (Riuscito). Questo stato non riflette lo stato di conformità del nodo in rapporto ai requisiti di configurazione nel file MOF. Per visualizzare lo stato di conformità dei nodi, visualizza i report di conformità. È possibile visualizzare un report JSON nel bucket per i report di Amazon S3. Questo vale per Run Command e State Manager esecuzioni. Inoltre, per State Manager, è possibile visualizzare i dettagli sulla conformità nella pagina Systems Manager Compliance.

Stati Stderr: errore di risoluzione del nome durante il raggiungimento del servizio

Questo errore indica che lo script non è in grado di raggiungere un servizio remoto. Molto probabilmente lo script non è in grado di raggiungere Amazon S3. Questo problema si verifica il più delle volte quando lo script tenta di scrivere i report di conformità o lo stato di conformità nel bucket Amazon S3 fornito nei parametri del documento. In genere, questo errore si verifica quando un ambiente di elaborazione utilizza un firewall o un proxy trasparente che include una lista dei permessi. Per risolvere il problema:

  • Utilizzare una sintassi del bucket specifica per la regione per tutti i parametri del bucket Amazon S3. Ad esempio, il parametro Mofs to Apply (MOF da applicare) deve avere il seguente formato:

    s3: bucket-regionbucket-name: mof-file-name .mof.

    Ecco un esempio: s3:us-west-2:amzn-s3-demo-bucket:my-mof.mof

    I nomi di report, stato e bucket dell'origine del modulo devono avere il seguente formato.

    bucket-regionbucket-name:. Ecco un esempio: us-west-1:amzn-s3-demo-bucket;

  • Se la sintassi specifica della regione non risolve il problema, assicurarsi che i nodi target possano accedere ad Amazon S3 nella regione desiderata. Per verificare ciò:

    1. Trova il nome dell'endpoint per Amazon S3 nella regione Amazon S3 appropriata. Per ulteriori informazioni, consulta service endpoints (Enpoint del servizio della console) nei Riferimenti generali di Amazon Web Services.

    2. Accedere al nodo target ed eseguire il seguente comando ping.

      ping s3.s3-region.amazonaws.com

      Se il ping non riesce, significa che Amazon S3 è inattivo oppure che un firewall/proxy trasparente blocca l'accesso alla regione di Amazon S3 o che il nodo non è in grado di accedere a Internet.

Visualizzazione dei dettagli di conformità delle risorse DSC

Systems Manager acquisisce informazioni relative alla conformità sugli errori delle risorse DSC nello Status Bucket (bucket dello stato) di Amazon S3 specificato quando è stato eseguito il documento AWS-ApplyDSCMofs. La ricerca di informazioni sugli errori delle risorse DSC in un bucket Amazon S3 può essere dispendiosa in termini di tempo. È invece possibile visualizzare queste informazioni nella pagina Compliance (Conformità) di Systems Manager.

Nella sezione Compliance resources summary (Riepilogo risorse di conformità) è visualizzato il conteggio delle risorse non riuscite. Nell'esempio seguente, ComplianceTypeè Custom:DSC e una risorsa non è conforme.

Nota

Custom:DSC è il valore predefinito nel documento. ComplianceTypeAWS-ApplyDSCMofs Il valore è personalizzabile.

Visualizzazione dei conteggi nella sezione Compliance resources summary (Riepilogo risorse di conformità) della pagina Compliance (Conformità).

La sezione Panoramica dei dettagli delle risorse mostra informazioni sulla AWS risorsa con la risorsa DSC non conforme. Questa sezione include inoltre il nome MOF, le fasi dell'esecuzione dello script e (se applicabile) un link View output (Visualizza output) per visualizzare informazioni dettagliate sullo stato.

Visualizzazione dei dettagli di conformità per un errore delle risorse di esecuzione MOF

Il link Visualizzazione dell'output mostra gli ultimi 4.000 caratteri dello stato dettagliato. Systems Manager inizia con l'eccezione come primo elemento, quindi esegue un'analisi a ritroso nei messaggi dettagliati e aggiunge caratteri come prefisso fino a raggiungere la quota 4.000. Questo processo mostra i messaggi di log generati prima dell'eccezione, ovvero i messaggi più rilevanti per la risoluzione dei problemi.

Visualizzazione dell'output dettagliato per il problema di conformità delle risorse MOF

Per informazioni su come visualizzare le informazioni di conformità, consulta ConformitàAWS Systems Manager.

Situazioni che influiscono sulla creazione di report sulla conformità

Se il file State Manager l'associazione fallisce, quindi non viene riportato alcun dato di conformità. Più precisamente, se l'elaborazione di un MOF non riesce, Systems Manager non crea report sui problemi di conformità, in quanto le associazioni hanno esito negativo. Ad esempio, se Systems Manager tenta di scaricare un MOF da un bucket Amazon S3 per il cui accesso il nodo non dispone di autorizzazione, l'associazione ha esito negativo e non viene creato alcun report sui dati di conformità.

Se una risorsa in un secondo MOF ha esito negativo, Systems Manager invece crea un report sui dati di conformità. Ad esempio, se un MOF cerca di creare un file su un'unità che non esiste, Systems Manager crea report di conformità in quanto il documento AWS-ApplyDSCMofs è in grado di eseguire un'elaborazione completa, il che significa che l'associazione viene eseguita correttamente.