Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti tramite ssm-cli - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti tramite ssm-cli

ssm-cli è uno strumento a riga di comando autonomo incluso nell'installazione di SSM Agent. Quando si installa SSM Agent 3.1.501.0 o versione successiva su un computer, è possibile eseguire comandi ssm-cli su quel computer. L'output di questi comandi consente di determinare se la macchina soddisfa i requisiti minimi per la gestione di un'istanza Amazon EC2 o una macchina non EC2 da parte di AWS Systems Manager, e viene quindi aggiunta agli elenchi dei nodi gestiti in Systems Manager. (La versione SSM Agent 3.1.501.0 è stata rilasciata a novembre 2021.)

Requisiti minimi

Perché un'istanza Amazon EC2 o una macchina non EC2 sia gestita da AWS Systems Manager e resa disponibile negli elenchi di nodi gestiti, deve soddisfare tre requisiti principali:

  • SSM Agent deve essere installato e in esecuzione su una macchina con un sistema operativo supportato.

    Alcune Amazon Machine Images (AMIs) gestite da AWS per EC2 sono configurate per avviare istanze con SSM Agent preinstallato. (È possibile configurare anche una AMI per preinstallare SSM Agent.) Per ulteriori informazioni, consultare Trova AMIs con il SSM Agent preinstallato.

  • Un profilo dell'istanza AWS Identity and Access Management (IAM) (per istanze EC2) o un ruolo di servizio IAM (per macchine non EC2) che fornisce le autorizzazioni necessarie per comunicare con il servizio Systems Manager deve essere collegato alla macchina.

  • SSM Agent deve essere in grado di connettersi a un endpoint di Systems Manager per registrarsi con il servizio. Successivamente, il nodo gestito deve essere disponibile per il servizio, il che viene confermato dal servizio che invia un segnale ogni cinque minuti per controllare l'integrità del nodo gestito.

Comandi preconfigurati in ssm-cli

Sono inclusi comandi preconfigurati che raccolgono le informazioni richieste per la diagnostica del motivo per cui una macchina confermata come in esecuzione non è inclusa negli elenchi dei nodi gestiti in Systems Manager. Questi comandi vengono eseguiti quando si specifica l'opzione get-diagnostics.

Sulla macchina, esegui il seguente comando per utilizzare ssm-cli che ti aiuterà a risolvere i problemi relativi alla disponibilità dei nodi gestiti.

Linux & macOS
ssm-cli get-diagnostics --output table
Windows

Su macchine Windows Server, devi passare alla directory C:\Program Files\Amazon\SSM prima di eseguire il comando.

ssm-cli.exe get-diagnostics --output table
PowerShell

Su macchine Windows Server, devi passare alla directory C:\Program Files\Amazon\SSM prima di eseguire il comando.

.\ssm-cli.exe get-diagnostics --output table

Il comando restituisce un output come una tabella simile alla seguente.

Nota

I controlli di connettività su ssmmessages, s3, kms, logs e gli endpoint monitoring sono per funzioni opzionali aggiuntive come Session Manager che possono accedere ad Amazon Simple Storage Service (Amazon S3) o Amazon CloudWatch Logs e utilizzare crittografia AWS Key Management Service (AWS KMS).

Linux & macOS
[root@instance]# ssm-cli get-diagnostics --output table ┌───────────────────────────────────────┬─────────┬───────────────────────────────────────────────────────────────────────┐ │ Check │ Status │ Note │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ EC2 IMDS │ Success │ IMDS is accessible and has instance id i-0123456789abcdefa in Region │ │ │ │ us-east-2 │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ Hybrid instance registration │ Skipped │ Instance does not have hybrid registration │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ Connectivity to ssm endpoint │ Success │ ssm.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ Connectivity to ec2messages endpoint │ Success │ ec2messages.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ Connectivity to ssmmessages endpoint │ Success │ ssmmessages.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ Connectivity to s3 endpoint │ Success │ s3.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ Connectivity to kms endpoint │ Success │ kms.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ Connectivity to logs endpoint │ Success │ logs.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ Connectivity to monitoring endpoint │ Success │ monitoring.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ AWS Credentials │ Success │ Credentials are for │ │ │ │ arn:aws:sts::123456789012:assumed-role/Fullaccess/i-0123456789abcdefa │ │ │ │ and will expire at 2021-08-17 18:47:49 +0000 UTC │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ Agent service │ Success │ Agent service is running and is running as expected user │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ Proxy configuration │ Skipped │ No proxy configuration detected │ ├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤ │ SSM Agent version │ Success │ SSM Agent version is 3.0.1209.0, latest available agent version is │ │ │ │ 3.1.192.0 │ └───────────────────────────────────────┴─────────┴───────────────────────────────────────────────────────────────────────┘
Windows Server and PowerShell
PS C:\Program Files\Amazon\SSM> .\ssm-cli.exe get-diagnostics --output table ┌───────────────────────────────────────┬─────────┬─────────────────────────────────────────────────────────────────────┐ │ Check │ Status │ Note │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ EC2 IMDS │ Success │ IMDS is accessible and has instance id i-0123456789EXAMPLE in │ │ │ │ Region us-east-2 │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ Hybrid instance registration │ Skipped │ Instance does not have hybrid registration │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ Connectivity to ssm endpoint │ Success │ ssm.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ Connectivity to ec2messages endpoint │ Success │ ec2messages.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ Connectivity to ssmmessages endpoint │ Success │ ssmmessages.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ Connectivity to s3 endpoint │ Success │ s3.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ Connectivity to kms endpoint │ Success │ kms.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ Connectivity to logs endpoint │ Success │ logs.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ Connectivity to monitoring endpoint │ Success │ monitoring.us-east-2.amazonaws.com is reachable │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ AWS Credentials │ Success │ Credentials are for │ │ │ │ arn:aws:sts::123456789012:assumed-role/SSM-Role/i-123abc45EXAMPLE │ │ │ │ and will expire at 2021-09-02 13:24:42 +0000 UTC │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ Agent service │ Success │ Agent service is running and is running as expected user │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ Proxy configuration │ Skipped │ No proxy configuration detected │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ Windows sysprep image state │ Success │ Windows image state value is at desired value IMAGE_STATE_COMPLETE │ ├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤ │ SSM Agent version │ Success │ SSM Agent version is 3.2.815.0, latest agent version in us-east-2 │ │ │ │ is 3.2.985.0 │ └───────────────────────────────────────┴─────────┴─────────────────────────────────────────────────────────────────────┘

La tabella seguente fornisce ulteriori dettagli per ciascuna delle verifiche eseguite da ssm-cli.

Controlli diagnostici ssm-cli
Verifica Informazioni
Servizio di metadati delle istanze Amazon EC2. Indica se il nodo gestito è in grado di raggiungere il servizio di metadati. Un test non riuscito indica un problema di connettività a http://169.254.169.254 che può essere causato da configurazioni di firewall e proxy locali di routing, proxy o sistema operativo (OS).
Registrazione dell'istanza ibrida Indica se SSM Agent è registrato utilizzando un'attivazione ibrida.
Connettività ad endpoint ssm Indica se il nodo è in grado di raggiungere gli endpoint di servizio per Systems Manager sulla porta TCP 443. Un test non riuscito indica problemi di connettività a https://ssm.region.amazonaws.com, a seconda della Regione AWS in cui si trova il nodo. I problemi di connettività possono essere causati dalla configurazione VPC, inclusi gruppi di sicurezza, liste di controllo dell'accesso alla rete, tabelle di routing o firewall e proxy del sistema operativo.
Connettività ad endpoint ec2messages Indica se il nodo è in grado di raggiungere gli endpoint di servizio per Systems Manager sulla porta TCP 443. Un test non riuscito indica problemi di connettività a https://ec2messages.region.amazonaws.com, a seconda della Regione AWS in cui si trova il nodo. I problemi di connettività possono essere causati dalla configurazione VPC, inclusi gruppi di sicurezza, liste di controllo dell'accesso alla rete, tabelle di routing o firewall e proxy del sistema operativo.
Connettività ad endpoint ssmmessages Indica se il nodo è in grado di raggiungere gli endpoint di servizio per Systems Manager sulla porta TCP 443. Un test non riuscito indica problemi di connettività a https://ssmmessages.region.amazonaws.com, a seconda della Regione AWS in cui si trova il nodo. I problemi di connettività possono essere causati dalla configurazione VPC, inclusi gruppi di sicurezza, liste di controllo dell'accesso alla rete, tabelle di routing o firewall e proxy del sistema operativo.
Connettività ad endpoint s3 Indica se il modo è in grado di raggiungere l'endpoint di servizio per Amazon Simple Storage Service sulla porta TCP 443. Un test non riuscito indica problemi di connettività a https://s3.region.amazonaws.com, a seconda della Regione AWS in cui si trova il nodo. La connettività a questo endpoint non è necessaria per la visualizzazione di un nodo nell'elenco dei nodi gestiti.
Connettività ad endpoint kms

Indica se il nodo è in grado di raggiungere l’endpoint di servizio per AWS Key Management Service sulla porta TCP 443. Un test non riuscito indica problemi di connettività a https://kms.region.amazonaws.com, a seconda della Regione AWS in cui si trova il nodo. La connettività a questo endpoint non è necessaria per la visualizzazione di un nodo nell'elenco dei nodi gestiti.

Connettività ad endpoint logs Indica se il nodo è in grado di raggiungere l'endpoint di servizio per File di log Amazon CloudWatch sulla porta TCP 443. Un test non riuscito indica problemi di connettività a https://logs.region.amazonaws.com, a seconda della Regione AWS in cui si trova il nodo. La connettività a questo endpoint non è necessaria per la visualizzazione di un nodo nell'elenco dei nodi gestiti.
Connettività ad endpoint monitoring Indica se il nodo è in grado di raggiungere l'endpoint di servizio per Amazon CloudWatch sulla porta TCP 443. Un test non riuscito indica problemi di connettività a https://monitoring.region.amazonaws.com, a seconda della Regione AWS in cui si trova il nodo. La connettività a questo endpoint non è necessaria per la visualizzazione di un nodo nell'elenco dei nodi gestiti.
AWSCredenziali Indica se SSM Agent dispone delle credenziali richieste in base al profilo dell'istanza IAM (per le istanze EC2) o al ruolo del servizio IAM (per macchine non EC2) collegate alla macchina. Un test non riuscito indica che nessun profilo dell'istanza IAM o ruolo del servizio IAM è collegato alla macchina o che non contiene le autorizzazioni richieste per Systems Manager.
Servizio agente Indica se il servizio SSM Agent è in esecuzione e se il servizio è in esecuzione come root per Linux o macOS, o SYSTEM per Windows Server. Un test non riuscito indica che il servizio SSM Agent non è in esecuzione o non è in esecuzione come root o SYSTEM.
Configurazione del proxy Indica se SSM Agent è configurato per l'utilizzo di un proxy.
Stato dell'immagine Sysprep (solo Windows) Indica lo stato di Sysprep sul nodo, SSM Agent non verrà avviato sul nodo se lo stato Sysprep ha un valore diverso da IMAGE_STATE_COMPLETE.
Versione SSM Agent Indica se l'ultima versione disponibile di SSM Agent è installata.