Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione dei problemi SSM Agent
Se si verificano problemi nell'esecuzione delle operazioni sui nodi gestiti, potrebbe esserci un problema con AWS Systems Manager Agent (SSM Agent). Utilizza le seguenti informazioni per aiutarti a visualizzare SSM Agent file di registro e risoluzione dei problemi relativi all'agente.
Argomenti
- SSM Agent non è aggiornato
- Risolvi i problemi utilizzando SSM Agent file di log
- I file di log dell'agente non ruotano (Windows)
- Impossibile connettersi agli endpoint SSM
- Verifica la configurazione VPC
- Verifica gli attributi relativi al DNS del VPC
- Verifica le regole di accesso sui gruppi di sicurezza degli endpoint
- Utilizzare ssm-cli per risolvere i problemi relativi alla disponibilità dei nodi gestiti
SSM Agent non è aggiornato
Una versione aggiornata di SSM Agent viene rilasciato ogni volta che vengono aggiunti nuovi strumenti a Systems Manager o vengono apportati aggiornamenti a strumenti esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare vari strumenti e funzionalità di Systems Manager. Per questo motivo, si consiglia di automatizzare il processo di conservazione SSM Agent aggiornato sulle tue macchine. Per informazioni, consultare Automatizzazione degli aggiornamenti a SSM Agent. Iscriviti al SSM Agent
Risolvi i problemi utilizzando SSM Agent file di log
SSM Agent registra le informazioni nei seguenti file. Le informazioni in questi file possono agevolare la risoluzione dei problemi. Per ulteriori informazioni sull' SSM Agent i file di registro, incluso come attivare la registrazione di debug, vedi. Visualizzazione SSM Agent log
Nota
Se si sceglie di visualizzare questi registri utilizzando Esplora file di Windows, ricordarsi di consentire la visualizzazione di file nascosti e file di sistema in Opzioni cartella.
Su Windows
-
%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
-
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log
Su Linux e macOS
-
/var/log/amazon/ssm/amazon-ssm-agent.log
-
/var/log/amazon/ssm/errors.log
Per i nodi gestiti Linux, è possibile trovare ulteriori informazioni nel file messages
scritte nella directory seguente: /var/log
.
Per ulteriori informazioni sulla risoluzione dei problemi relativi all'utilizzo dei log degli agenti, vedi Come si usa SSM Agent registri per risolvere i problemi con SSM Agent nella mia istanza gestita?
I file di log dell'agente non ruotano (Windows)
Se si specifica la rotazione del file di registro basata sulla data nel file seelog.xml (su Windows Server nodi gestiti) e i log non ruotano, specificate il parametro. fullname=true
Ecco un esempio di file di configurazione seelog.xml con il parametro fullname=true
specificato.
<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug"> <exceptions> <exception filepattern="test*" minlevel="error" /> </exceptions> <outputs formatid="fmtinfo"> <console formatid="fmtinfo" /> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true /> <filter levels="error,critical" formatid="fmterror"> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true /> </filter> </outputs> <formats> <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" /> </formats> </seelog>
Impossibile connettersi agli endpoint SSM
SSM Agent deve consentire il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint:
-
ssm.
region
.amazonaws.com -
ssmmessages.
region
.amazonaws.com
region
rappresenta l'identificatore di una regione Regione AWS
supportata da AWS Systems Manager, ad esempio us-east-2
per la regione Stati Uniti orientali (Ohio). Per un elenco dei region
valori supportati, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services
Nota
Prima del 2024, veniva richiesto anche ec2messages.
. Per i Regioni AWS modelli lanciati prima del 2024, consentire al traffico di arrivare region
.amazonaws.com.rproxy.goskope.comssmmessages.
è ancora obbligatorio ma facoltativo. region
.amazonaws.com.rproxy.goskope.comec2messages.
region
.amazonaws.com
Per le regioni lanciate dal 2024 in poi, è necessario consentire l'accesso al traffico a ssmmessages.
, ma gli endpoint region
.amazonaws.com.rproxy.goskope.comec2messages.
non sono supportati per queste regioni.region
.amazonaws.com
SSM Agent non funzionerà se non è in grado di comunicare con gli endpoint precedenti, come descritto, anche se utilizzi provided AWS Amazon Machine Images (AMIs) come Amazon Linux 2 o Amazon Linux 2023. La configurazione di rete deve disporre di un accesso a Internet aperto oppure è necessario disporre di endpoint VPC (Virtual Private Cloud) personalizzati configurati. Se non si prevede di creare un endpoint VPC personalizzato, controllare i gateway Internet o i gateway NAT. Per maggiori informazioni su come gestire gli endpoint VPC, consultare Migliora la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager.
Verifica la configurazione VPC
Per gestire EC2 le istanze con Systems Manager, gli endpoint VPC devono essere configurati correttamente ssm.
e, in alcuni casiregion
.amazonaws.com.rproxy.goskope.comssmmessages.
, spiegati in precedenza in questo argomento in,. Impossibile connettersi agli endpoint SSM region
.amazonaws.com.rproxy.goskope.comec2messages.
È necessario che la configurazione di rete disponga di un accesso a Internet aperto oppure di endpoint con cloud privato virtuale (VPC) configurati.region
.amazonaws.com
Per risolvere i problemi relativi agli endpoint VPC, esegui queste operazioni:
-
Assicurati che gli endpoint VPC siano inclusi a livello di VPC. Quando l'endpoint VPC con un nome di servizio specifico non viene trovato sul VPC, verifica innanzitutto che il supporto DNS sia abilitato a livello di VPC. Successivamente, crea un nuovo endpoint VPC e associalo a una sottorete in ogni zona di disponibilità.
-
Assicurati che un nome DNS privato sia abilitato a livello di endpoint VPC. I nomi DNS privati sono abilitati per impostazione predefinita, ma a un certo punto potrebbero essere stati disabilitati manualmente.
-
Assicurati che gli endpoint VPC esistenti siano associati alla sottorete corretta. Inoltre, assicurati che il VPCE sia già associato a una sottorete in quella zona di disponibilità.
Per ulteriori informazioni, consulta i seguenti argomenti:
-
Accesso a un Servizio AWS utilizzando un endpoint VPC nella Guida AWS PrivateLink
-
Associa un nome DNS privato nella Guida AWS PrivateLink
-
Migliora la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager
Verifica gli attributi relativi al DNS del VPC
Durante la verifica della configurazione del VPC, è necessario assicurarsi che gli attributi enableDnsSupport
e enableDnsHostnames
siano abilitati.
Puoi abilitare questi attributi utilizzando l'azione VPCAttribute API Amazon EC2 Modify o il AWS CLI comando modify-vpc-attribute.
Per informazioni sull'attivazione di questi attributi nella console di Amazon VPC, consulta Visualizzazione e aggiornamento degli attributi DNS per il VPC nella Guida per l'utente di Amazon VPC.
Verifica le regole di accesso sui gruppi di sicurezza degli endpoint
Assicurati che tutti gli endpoint VPC configurati (ssm
ssmmessages
, eec2messages
) includano una regola di ingresso sui relativi gruppi di sicurezza per consentire l'ingresso del traffico sulla porta 443. Se necessario, è possibile creare un nuovo gruppo di sicurezza nel VPC con una regola di ingresso per consentire il traffico sulla porta 443 per il blocco del routing interdominio senza classi (CIDR) relativo al VPC. Dopo aver creato il gruppo di sicurezza, collegalo a ciascun endpoint VPC.
Per ulteriori informazioni, consulta i seguenti argomenti:
-
Come posso creare endpoint VPC in modo da poter utilizzare Systems Manager per gestire EC2 istanze private senza accesso a Internet?
su Re:post AWS -
Blocchi VPC CIDR nella Guida per l'utente di Amazon VPC
Utilizzare ssm-cli
per risolvere i problemi relativi alla disponibilità dei nodi gestiti
A partire da SSM Agent versione 3.1.501.0, è possibile utilizzare ssm-cli
per determinare se un nodo gestito soddisfa i requisiti principali per essere gestito da Systems Manager e per apparire negli elenchi di nodi gestiti in Fleet Manager. ssm-cli
È uno strumento a riga di comando autonomo incluso nel SSM Agent installazione. Sono inclusi comandi preconfigurati che raccolgono le informazioni necessarie per aiutarti a diagnosticare perché EC2 un'istanza o una EC2 macchina non Amazon che hai confermato sia in esecuzione non è inclusa negli elenchi di nodi gestiti in Systems Manager. Questi comandi vengono eseguiti quando si specifica l'opzione get-diagnostics
.
Per ulteriori informazioni, consulta Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti tramite ssm-cli.