So installieren Sie das SSM Agent auf Hybrid-Linux-Knoten

In diesem Thema wird beschrieben, wie die Installation AWS Systems Manager SSM Agent auf Linux-Computern, die nicht EC2 (Amazon Elastic Compute Cloud) sind, in einer Hybrid- und Multi-Cloud-Umgebung durchgeführt wird. Wenn Sie Windows Server-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung verwenden möchten, finden Sie die entsprechende Anleitung im nächsten Schritt So installieren Sie den SSM Agent auf Windows Hybridknoten.

Wichtig

Dieses Verfahren gilt für andere Maschinentypen als EC2-Instances für eine Hybrid- und Multi-Cloud-Umgebung. Informationen zum Herunterladen und Installieren von SSM Agent auf einer EC2-Instance für Linux finden Sie unter Manuelles Installieren und Deinstallieren SSM Agent auf EC2-Instances für Linux.

Bevor Sie beginnen, finden Sie den Aktivierungscode und die Aktivierungs-ID, die Sie nach Abschluss der Hybrid-Aktivierung unter Erstellen Sie eine Hybridaktivierung, um Knoten bei Systems Manager zu registrieren erhalten haben. Sie geben den Code und die ID in den folgenden Schritten an.

region steht für die Kennung einer Region, die von AWS-Region unterstützt wird AWS Systems Manager, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste der unterstützten Region-Werte finden Sie in der Spalte Region unter Service-Endpunkte von Systems Manager in der Allgemeine Amazon Web Services-Referenz.

Beispiel: Um den SSM Agent für Amazon Linux, RHEL, CentOS und SLES-64-Bit-Versionen aus der Region USA Ost (Ohio) (us-east-2) herunterzuladen, verwenden Sie folgende URL:

https://s3.us-east-2.amazonaws.com/amazon-ssm-us-east-2/latest/linux_amd64/amazon-ssm-agent.rpm

Amazon Linux 1,Amazon Linux 2, RHEL, Oracle Linux, CentOS, and SLES

• x86_64

  https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm

• x86

  https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm

• ARM64

  https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm

RHEL 6.x, CentOS 6.x

• x86_64

  https://s3.region.amazonaws.com/amazon-ssm-region/3.0.1479.0/linux_amd64/amazon-ssm-agent.rpm

• x86

  https://s3.region.amazonaws.com/amazon-ssm-region/3.0.1479.0/linux_386/amazon-ssm-agent.rpm

Ubuntu Server

• x86_64

  https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb

• ARM64

  https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_arm64/amazon-ssm-agent.deb

• x86

  https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb

Debian Server

• x86_64

  https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb

• ARM64

  https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_arm64/amazon-ssm-agent.deb

Raspberry Pi OS (formerly Raspbian)

• https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_arm/amazon-ssm-agent.deb

So installieren Sie SSM Agent auf Nicht-EC2-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung

1. Melden Sie sich bei einem Server oder einer VM in Ihrer Hybrid- und Multi-Cloud-Umgebung an.

2. Wenn Sie einen HTTP- oder HTTPS-Proxy verwenden, müssen Sie die http_proxy oder https_proxy-Umgebungsvariablen in der aktuellen Shell-Sitzung einstellen. Wenn Sie keinen Proxy verwenden, können Sie diesen Schritt überspringen.

   Geben Sie für einen HTTP-Proxy-Server die folgenden Befehle in der Befehlszeile ein:

   export http_proxy=http://hostname:port
   export https_proxy=http://hostname:port

   Geben Sie für einen HTTPS-Proxy-Server die folgenden Befehle in der Befehlszeile ein:

   export http_proxy=http://hostname:port
   export https_proxy=https://hostname:port

3. Kopieren Sie einen der folgenden Befehlsblöcke und fügen Sie ihn in SSH ein. Ersetzen Sie die Platzhalterwerte durch den Aktivierungscode und die Aktivierungs-ID, die generiert werden, wenn Sie eine Aktivierung für einen verwalteten Knoten erstellen, und durch die Kennung der AWS-Region , aus der Sie SSM Agent herunterladen möchten. Drücken Sie anschließend Enter.

   Anmerkung

   Beachten Sie die folgenden wichtigen Details:

   • sudo ist nicht erforderlich, wenn Sie ein Stammbenutzer sind.

   • Laden Sie es ssm-setup-cli von dem Ort AWS-Region herunter, an dem Ihre Hybrid-Aktivierung erstellt wurde.

   • ssm-setup-cli unterstützt eine manifest-url-Option, die die Quelle bestimmt, von der der Agent heruntergeladen wird. Geben Sie für diese Option keinen Wert an, es sei denn, Ihre Organisation verlangt dies.

   • Verwenden Sie bei der Registrierung von Instances nur den bereitgestellten Download-Link für ssm-setup-cli. ssm-setup-clisollte nicht separat für die zukünftige Verwendung aufbewahrt werden.

   • Sie können das hier bereitgestellte Skript verwenden, um die Signatur von zu überprüfenssm-setup-cli.

   Region steht für den Bezeichner einer Region AWS Systems Manager, die von AWS-Region unterstützt wird, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste der unterstützten Region-Werte finden Sie in der Spalte Region unter Service-Endpunkte von Systems Manager in der Allgemeine Amazon Web Services-Referenz.

   ssm-setup-cli enthält zusätzlich die folgenden Optionen:

   • version – Gültige Werte sind latest und stable.

   • downgrade – Erlaubt, dass SSM Agent auf eine ältere Version zurückgesetzt wird. Geben Sie true an, um eine frühere Version des Agenten zu installieren.

   • skip-signature-validation – Überspringt die Signaturvalidierung während des Herunterladens und der Installation des Agenten.

RHEL 6.x, und CentOS 6.x

mkdir /tmp/ssm
curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/3.0.1479.0/linux_amd64/amazon-ssm-agent.rpm -o /tmp/ssm/amazon-ssm-agent.rpm
sudo yum install -y /tmp/ssm/amazon-ssm-agent.rpm
sudo stop amazon-ssm-agent
sudo -E amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region"
sudo start amazon-ssm-agent

Amazon Linux 1

mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -id "activation-id" -region "region"

Amazon Linux 2, RHEL 7.xOracle Linux, CentOS 7.x und SLES

mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

RHEL 8.x und CentOS 8.x

mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

Debian Server

mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

Raspberry Pi OS (früher Raspbian)

mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_arm/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

Ubuntu

• Verwenden von .deb-Paketen

  mkdir /tmp/ssm
  curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
  sudo chmod +x /tmp/ssm/ssm-setup-cli
  sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

• Verwenden von Snap-Paketen

  Sie müssen keine URL für den Download angeben, da der snap-Befehl den Agenten automatisch aus dem Snap App Store unter https://snapcraft.io herunterlädt.

  Auf Ubuntu Server 20.10 STR und 20.04, 18.04 und 16.04 LTS werden SSM Agent-Installationsprogrammdateien, einschließlich Agentenbinär- und Konfigurationsdateien, im folgenden Verzeichnis gespeichert: /snap/amazon-ssm-agent/current/. Wenn Sie Änderungen an einer Konfigurationsdatei in diesem Verzeichnis vornehmen, müssen Sie dies Datei aus dem Verzeichnis /snap in das Verzeichnis /etc/amazon/ssm/ kopieren. Protokoll- und Bibliotheksdateien wurden nicht geändert (/var/lib/amazon/ssm, /var/log/amazon/ssm).

  sudo snap install amazon-ssm-agent --classic
  sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service
  sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" 
  sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service

  Wichtig

  Der Kandidat-Kanal im Snap Store enthält die neueste Version von SSM Agent; nicht den stabilen Kanal. Wenn Sie SSM Agent-Versionsinformationen auf dem Kandidatenkanal nachverfolgen möchten, führen Sie den folgenden Befehl auf Ihren von Ubuntu Server verwalteten 18.04- und 16.04-LTS-64-Bit-Knoten aus.

  sudo snap switch --channel=candidate amazon-ssm-agent

Der Befehl lädt SSM Agent herunter und installiert es auf der hybrid-aktivierten Maschine in Ihrer Hybrid- und Multi-Cloud-Umgebung. Der Befehl stoppt den SSM Agent und registriert die Maschine beim Systems Manager-Service. Die Maschine ist nun ein verwalteter Knoten. Für Systems Manager konfigurierte Amazon-EC2-Instances sind ebenfalls verwaltete Knoten. In der Systems-Manager-Konsole werden Ihre hybrid-aktivierten Knoten jedoch von Amazon-EC2-Instances mit dem Präfix „mi-“ unterschieden.

Fahren Sie fort mit So installieren Sie den SSM Agent auf Windows Hybridknoten.

Automatische Drehung des privaten Schlüssels einrichten

Um Ihre Sicherheitslage zu stärken, können Sie AWS Systems Manager Agent (SSM Agent) so konfigurieren, dass der private Schlüssel für Ihre Hybrid- und Multi-Cloud-Umgebung automatisch rotiert wird. Sie können auf dieses Feature zugreifen, indem Sie SSM Agent-Version 3.0.1031.0 oder höher verwenden. Aktivieren Sie dieses Feature wie folgt.

Um SSM Agent zu konfigurieren, um den privaten Schlüssel für eine Hybrid- und Multi-Cloud-Umgebung zu rotieren

1. Navigieren Sie zu /etc/amazon/ssm/ auf einem Linux-Computer oder zu C:\Program Files\Amazon\SSM für einen Windows-Computer.

2. Kopieren Sie den Inhalt von amazon-ssm-agent.json.template in eine neue Datei namens amazon-ssm-agent.json. Speichern Sie amazon-ssm-agent.json in demselben Verzeichnis, in dem sich amazon-ssm-agent.json.template befindet.

3. Suchen Sie Profile, KeyAutoRotateDays. Geben Sie die gewünschte Anzahl der Tage zwischen den automatischen Drehungen des privaten Schlüssels eingeben.

4. Starten Sie SSM Agent neu.

Jedes Mal, wenn Sie die Konfiguration ändern, starten Sie SSM Agent neu.

Sie können andere Features von SSM Agent mit dem gleichen Verfahren personalisieren. Eine up-to-date Liste der verfügbaren Konfigurationseigenschaften und ihrer Standardwerte finden Sie unter Definitionen von Konfigurationseigenschaften.

Deregistrierung und Neuregistrierung eines verwalteten Knotens

Sie können die Registrierung eines hybridaktivierten verwalteten Knotens aufheben, indem Sie den DeregisterManagedInstanceAPI-Vorgang entweder über Tools für Windows AWS CLI oder über Tools for Windows aufrufen. PowerShell Hier sehen Sie ein Beispiel für einen CLI-Befehl:

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Um die verbleibenden Registrierungsinformationen für den Agenten zu entfernen, entfernen Sie den IdentityConsumptionOrder-Schlüssel aus der amazon-ssm-agent.json-Datei. Führen Sie anschließend den folgenden Befehl aus:

amazon-ssm-agent -register -clear

Sie können eine Maschine neu registrieren, nachdem Sie sie abgemeldet haben. Gehen Sie wie folgt vor, um eine Maschine neu zu registrieren. Nachdem Sie das Verfahren abgeschlossen haben, wird Ihr verwalteter Knoten erneut in der Liste der verwalteten Knoten angezeigt.

So registrieren Sie einen verwalteten Knoten auf einer Nicht-EC2-Linux-Maschine neu

1. Verbinden Sie sich mit Ihrer Maschine.

2. Führen Sie den folgenden Befehl aus. Stellen Sie sicher, dass Sie die Platzhalterwerte durch den Aktivierungscode und die Aktivierungs-ID ersetzen, die generiert werden, wenn Sie eine Aktivierung für einen verwalteten Knoten erstellen, sowie durch die Kennung der Region, aus der Sie den SSM Agent herunterladen möchten.

   echo "yes" | sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region

Problembehebung bei der SSM Agent-Installation auf Nicht-EC2-Linux-Maschinen

Nutzen Sie die folgenden Informationen, um Probleme bei der Installation von SSM Agent auf hybrid-aktivierten Linux-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung zu beheben.

DeliveryTimedOut Sie erhalten eine Fehlermeldung

Problem: Wenn Sie eine Maschine in einer Maschine AWS-Konto als verwalteten Knoten für eine separate Maschine konfigurieren AWS-Konto, erhalten Sie DeliveryTimedOut nach der Ausführung die Befehle zur Installation SSM Agent auf dem Zielcomputer.

Lösung: DeliveryTimedOut ist der erwartete Antwortcode für dieses Szenario. Der Befehl zum Installieren von SSM Agent auf dem Zielknoten ändert die Knoten-ID des Quellknotens. Da sich die Knoten-ID geändert hat, kann der Quellknoten dem Zielknoten nicht antworten, dass der Befehl bei der Ausführung fehlgeschlagen, abgeschlossen oder abgelaufen ist.

Knotenzuordnungen können nicht geladen werden

Problem: Nach dem Ausführen der Installationsbefehle wird der folgende Fehler im SSM Agent in den Fehlerprotokollen angezeigt:

Unable to load instance associations, unable to retrieve associations unable to retrieve associations error occurred in RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint doesn't match

Sie sehen diesen Fehler, wenn die Computer-ID bei einem Neustart nicht beibehalten wird.

Lösung: Um dieses Problem zu lösen, führen Sie den folgenden Befehl aus. Dieser Befehl zwingt, dass die Computer-ID bei einem Neustart beibehalten wird.

umount /etc/machine-id
systemd-machine-id-setup