Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So installieren Sie das SSM Agent auf Hybrid-Linux-Knoten
In diesem Thema wird beschrieben, wie die Installation AWS Systems Manager SSM Agent auf Linux-Computern, die nicht EC2 (Amazon Elastic Compute Cloud) sind, in einer Hybrid- und Multi-Cloud-Umgebung durchgeführt wird. Wenn Sie Windows Server-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung verwenden möchten, finden Sie die entsprechende Anleitung im nächsten Schritt So installieren Sie den SSM Agent auf Windows Hybridknoten.
Wichtig
Dieses Verfahren gilt für andere Maschinentypen als EC2-Instances für eine Hybrid- und Multi-Cloud-Umgebung. Informationen zum Herunterladen und Installieren von SSM Agent auf einer EC2-Instance für Linux finden Sie unter Manuelles Installieren und Deinstallieren SSM Agent auf EC2-Instances für Linux.
Bevor Sie beginnen, finden Sie den Aktivierungscode und die Aktivierungs-ID, die Sie nach Abschluss der Hybrid-Aktivierung unter Erstellen Sie eine Hybridaktivierung, um Knoten bei Systems Manager zu registrieren erhalten haben. Sie geben den Code und die ID in den folgenden Schritten an.
region
steht für die Kennung einer Region, die von AWS-Region
unterstützt wird AWS Systems Manager, z. B. us-east-2
für die Region USA Ost (Ohio). Eine Liste der unterstützten Region
-Werte finden Sie in der Spalte Region unter Service-Endpunkte von Systems Manager in der Allgemeine Amazon Web Services-Referenz.
Beispiel: Um den SSM Agent für Amazon Linux, RHEL, CentOS und SLES-64-Bit-Versionen aus der Region USA Ost (Ohio) (us-east-2) herunterzuladen, verwenden Sie folgende URL:
https://s3.us-east-2.amazonaws.com/amazon-ssm-us-east-2/latest/linux_amd64/amazon-ssm-agent.rpm
So installieren Sie SSM Agent auf Nicht-EC2-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung
-
Melden Sie sich bei einem Server oder einer VM in Ihrer Hybrid- und Multi-Cloud-Umgebung an.
-
Wenn Sie einen HTTP- oder HTTPS-Proxy verwenden, müssen Sie die
http_proxy
oderhttps_proxy
-Umgebungsvariablen in der aktuellen Shell-Sitzung einstellen. Wenn Sie keinen Proxy verwenden, können Sie diesen Schritt überspringen.Geben Sie für einen HTTP-Proxy-Server die folgenden Befehle in der Befehlszeile ein:
export http_proxy=http://
hostname
:port
export https_proxy=http://hostname
:port
Geben Sie für einen HTTPS-Proxy-Server die folgenden Befehle in der Befehlszeile ein:
export http_proxy=http://
hostname
:port
export https_proxy=https://hostname
:port
-
Kopieren Sie einen der folgenden Befehlsblöcke und fügen Sie ihn in SSH ein. Ersetzen Sie die Platzhalterwerte durch den Aktivierungscode und die Aktivierungs-ID, die generiert werden, wenn Sie eine Aktivierung für einen verwalteten Knoten erstellen, und durch die Kennung der AWS-Region , aus der Sie SSM Agent herunterladen möchten. Drücken Sie anschließend
Enter
.Anmerkung
Beachten Sie die folgenden wichtigen Details:
-
sudo
ist nicht erforderlich, wenn Sie ein Stammbenutzer sind. -
Laden Sie es
ssm-setup-cli
von dem Ort AWS-Region herunter, an dem Ihre Hybrid-Aktivierung erstellt wurde. -
ssm-setup-cli
unterstützt einemanifest-url
-Option, die die Quelle bestimmt, von der der Agent heruntergeladen wird. Geben Sie für diese Option keinen Wert an, es sei denn, Ihre Organisation verlangt dies. -
Verwenden Sie bei der Registrierung von Instances nur den bereitgestellten Download-Link für
ssm-setup-cli
.ssm-setup-cli
sollte nicht separat für die zukünftige Verwendung aufbewahrt werden. -
Sie können das hier
bereitgestellte Skript verwenden, um die Signatur von zu überprüfen ssm-setup-cli
.
Region
steht für den Bezeichner einer Region AWS Systems Manager, die von AWS-Region unterstützt wird, z. B.us-east-2
für die Region USA Ost (Ohio). Eine Liste der unterstütztenRegion
-Werte finden Sie in der Spalte Region unter Service-Endpunkte von Systems Manager in der Allgemeine Amazon Web Services-Referenz.ssm-setup-cli
enthält zusätzlich die folgenden Optionen:-
version
– Gültige Werte sindlatest
undstable
. -
downgrade
– Erlaubt, dass SSM Agent auf eine ältere Version zurückgesetzt wird. Geben Sietrue
an, um eine frühere Version des Agenten zu installieren. -
skip-signature-validation
– Überspringt die Signaturvalidierung während des Herunterladens und der Installation des Agenten.
-
mkdir /tmp/ssm curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/3.0.1479.0/linux_amd64/amazon-ssm-agent.rpm -o /tmp/ssm/amazon-ssm-agent.rpm sudo yum install -y /tmp/ssm/amazon-ssm-agent.rpm sudo stop amazon-ssm-agent sudo -E amazon-ssm-agent -register -code "
activation-code
" -id "activation-id
" -region "region
" sudo start amazon-ssm-agent
mkdir /tmp/ssm curl https://amazon-ssm-
region
.s3.region
.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code
" -id "activation-id
" -region "region
"
mkdir /tmp/ssm curl https://amazon-ssm-
region
.s3.region
.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code
" -activation-id "activation-id
" -region "region
"
mkdir /tmp/ssm curl https://amazon-ssm-
region
.s3.region
.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code
" -activation-id "activation-id
" -region "region
"
mkdir /tmp/ssm curl https://amazon-ssm-
region
.s3.region
.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code
" -activation-id "activation-id
" -region "region
"
mkdir /tmp/ssm curl https://amazon-ssm-
region
.s3.region
.amazonaws.com/latest/debian_arm/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code
" -activation-id "activation-id
" -region "region
"
-
Verwenden von .deb-Paketen
mkdir /tmp/ssm curl https://amazon-ssm-
region
.s3.region
.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code
" -activation-id "activation-id
" -region "region
" -
Verwenden von Snap-Paketen
Sie müssen keine URL für den Download angeben, da der
snap
-Befehl den Agenten automatisch aus dem Snap App Storeunter https://snapcraft.io herunterlädt. Auf Ubuntu Server 20.10 STR und 20.04, 18.04 und 16.04 LTS werden SSM Agent-Installationsprogrammdateien, einschließlich Agentenbinär- und Konfigurationsdateien, im folgenden Verzeichnis gespeichert:
/snap/amazon-ssm-agent/current/
. Wenn Sie Änderungen an einer Konfigurationsdatei in diesem Verzeichnis vornehmen, müssen Sie dies Datei aus dem Verzeichnis/snap
in das Verzeichnis/etc/amazon/ssm/
kopieren. Protokoll- und Bibliotheksdateien wurden nicht geändert (/var/lib/amazon/ssm
,/var/log/amazon/ssm
).sudo snap install amazon-ssm-agent --classic sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "
activation-code
" -id "activation-id
" -region "region
" sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.serviceWichtig
Der Kandidat-Kanal im Snap Store enthält die neueste Version von SSM Agent; nicht den stabilen Kanal. Wenn Sie SSM Agent-Versionsinformationen auf dem Kandidatenkanal nachverfolgen möchten, führen Sie den folgenden Befehl auf Ihren von Ubuntu Server verwalteten 18.04- und 16.04-LTS-64-Bit-Knoten aus.
sudo snap switch --channel=candidate amazon-ssm-agent
Der Befehl lädt SSM Agent herunter und installiert es auf der hybrid-aktivierten Maschine in Ihrer Hybrid- und Multi-Cloud-Umgebung. Der Befehl stoppt den SSM Agent und registriert die Maschine beim Systems Manager-Service. Die Maschine ist nun ein verwalteter Knoten. Für Systems Manager konfigurierte Amazon-EC2-Instances sind ebenfalls verwaltete Knoten. In der Systems-Manager-Konsole werden Ihre hybrid-aktivierten Knoten jedoch von Amazon-EC2-Instances mit dem Präfix „mi-“ unterschieden.
Fahren Sie fort mit So installieren Sie den SSM Agent auf Windows Hybridknoten.
Automatische Drehung des privaten Schlüssels einrichten
Um Ihre Sicherheitslage zu stärken, können Sie AWS Systems Manager Agent (SSM Agent) so konfigurieren, dass der private Schlüssel für Ihre Hybrid- und Multi-Cloud-Umgebung automatisch rotiert wird. Sie können auf dieses Feature zugreifen, indem Sie SSM Agent-Version 3.0.1031.0 oder höher verwenden. Aktivieren Sie dieses Feature wie folgt.
Um SSM Agent zu konfigurieren, um den privaten Schlüssel für eine Hybrid- und Multi-Cloud-Umgebung zu rotieren
-
Navigieren Sie zu
/etc/amazon/ssm/
auf einem Linux-Computer oder zuC:\Program Files\Amazon\SSM
für einen Windows-Computer. -
Kopieren Sie den Inhalt von
amazon-ssm-agent.json.template
in eine neue Datei namensamazon-ssm-agent.json
. Speichern Sieamazon-ssm-agent.json
in demselben Verzeichnis, in dem sichamazon-ssm-agent.json.template
befindet. -
Suchen Sie
Profile
,KeyAutoRotateDays
. Geben Sie die gewünschte Anzahl der Tage zwischen den automatischen Drehungen des privaten Schlüssels eingeben. -
Starten Sie SSM Agent neu.
Jedes Mal, wenn Sie die Konfiguration ändern, starten Sie SSM Agent neu.
Sie können andere Features von SSM Agent mit dem gleichen Verfahren personalisieren. Eine up-to-date Liste der verfügbaren Konfigurationseigenschaften und ihrer Standardwerte finden Sie unter Definitionen von Konfigurationseigenschaften
Deregistrierung und Neuregistrierung eines verwalteten Knotens
Sie können die Registrierung eines hybridaktivierten verwalteten Knotens aufheben, indem Sie den DeregisterManagedInstanceAPI-Vorgang entweder über Tools für Windows AWS CLI oder über Tools for Windows aufrufen. PowerShell Hier sehen Sie ein Beispiel für einen CLI-Befehl:
aws ssm deregister-managed-instance --instance-id
"mi-1234567890"
Um die verbleibenden Registrierungsinformationen für den Agenten zu entfernen, entfernen Sie den IdentityConsumptionOrder
-Schlüssel aus der amazon-ssm-agent.json
-Datei. Führen Sie anschließend den folgenden Befehl aus:
amazon-ssm-agent -register -clear
Sie können eine Maschine neu registrieren, nachdem Sie sie abgemeldet haben. Gehen Sie wie folgt vor, um eine Maschine neu zu registrieren. Nachdem Sie das Verfahren abgeschlossen haben, wird Ihr verwalteter Knoten erneut in der Liste der verwalteten Knoten angezeigt.
So registrieren Sie einen verwalteten Knoten auf einer Nicht-EC2-Linux-Maschine neu
-
Verbinden Sie sich mit Ihrer Maschine.
-
Führen Sie den folgenden Befehl aus. Stellen Sie sicher, dass Sie die Platzhalterwerte durch den Aktivierungscode und die Aktivierungs-ID ersetzen, die generiert werden, wenn Sie eine Aktivierung für einen verwalteten Knoten erstellen, sowie durch die Kennung der Region, aus der Sie den SSM Agent herunterladen möchten.
echo "yes" | sudo /tmp/ssm/ssm-setup-cli -register -activation-code "
activation-code
" -activation-id "activation-id
" -region "region
Problembehebung bei der SSM Agent-Installation auf Nicht-EC2-Linux-Maschinen
Nutzen Sie die folgenden Informationen, um Probleme bei der Installation von SSM Agent auf hybrid-aktivierten Linux-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung zu beheben.
DeliveryTimedOut Sie erhalten eine Fehlermeldung
Problem: Wenn Sie eine Maschine in einer Maschine AWS-Konto als verwalteten Knoten für eine separate Maschine konfigurieren AWS-Konto, erhalten Sie DeliveryTimedOut
nach der Ausführung die Befehle zur Installation SSM Agent auf dem Zielcomputer.
Lösung: DeliveryTimedOut
ist der erwartete Antwortcode für dieses Szenario. Der Befehl zum Installieren von SSM Agent auf dem Zielknoten ändert die Knoten-ID des Quellknotens. Da sich die Knoten-ID geändert hat, kann der Quellknoten dem Zielknoten nicht antworten, dass der Befehl bei der Ausführung fehlgeschlagen, abgeschlossen oder abgelaufen ist.
Knotenzuordnungen können nicht geladen werden
Problem: Nach dem Ausführen der Installationsbefehle wird der folgende Fehler im SSM Agent in den Fehlerprotokollen angezeigt:
Unable to load instance associations, unable to retrieve associations
unable to retrieve associations error occurred in
RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint
doesn't match
Sie sehen diesen Fehler, wenn die Computer-ID bei einem Neustart nicht beibehalten wird.
Lösung: Um dieses Problem zu lösen, führen Sie den folgenden Befehl aus. Dieser Befehl zwingt, dass die Computer-ID bei einem Neustart beibehalten wird.
umount /etc/machine-id systemd-machine-id-setup