Cara menginstal SSM Agent pada node Linux hybrid - AWS Systems Manager
Mengatur rotasi otomatis kunci privatDeregister dan registrasi ulang node terkelolaMengatasi masalah SSM Agent instalasi pada mesin Linux non-EC2

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara menginstal SSM Agent pada node Linux hybrid

Topik ini menjelaskan cara menginstal AWS Systems Manager SSM Agent pada mesin Linux non EC2 (Amazon Elastic Compute Cloud) di lingkungan hybrid dan multicloud. Jika Anda berencana untuk menggunakan Windows Server mesin di lingkungan hybrid dan multicloud, lihat langkah selanjutnya. Cara menginstal SSM Agent pada Windows node hybrid

penting

Prosedur ini adalah jenis mesin selain instans EC2 untuk lingkungan hybrid dan multicloud. Untuk mengunduh dan menginstal SSM Agent pada instans EC2 untuk Linux, lihatMenginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Linux.

Sebelum Anda mulai, cari Kode Aktivasi dan ID Aktivasi yang dikirimkan kepada Anda setelah Anda menyelesaikan aktivasi hibrida sebelumnyaBuat aktivasi hybrid untuk mendaftarkan node dengan Systems Manager. Anda menentukan kode dan ID dalam prosedur berikut.

wilayah mewakili pengenal untuk Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah Timur AS (Ohio). Untuk daftar nilai wilayah yang didukung, lihat kolom Region di titik akhir layanan Systems Manager di Referensi Umum Amazon Web Services.

Misalnya, SSM Agent untuk mengunduh Amazon Linux, CentOSRHEL, dan SLES 64-bit dari Wilayah AS Timur (Ohio) (us-east-2), gunakan URL berikut:

https://s3.us-east-2.amazonaws.com/amazon-ssm-us-east-2/latest/linux_amd64/amazon-ssm-agent.rpm
Amazon Linux 1,Amazon Linux 2, RHEL, Oracle Linux, CentOS, and SLES

  • x86_64

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm

  • x86

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm

  • ARM64

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm

RHEL 6.x, CentOS 6.x

  • x86_64

    https://s3.region.amazonaws.com/amazon-ssm-region/3.0.1479.0/linux_amd64/amazon-ssm-agent.rpm

  • x86

    https://s3.region.amazonaws.com/amazon-ssm-region/3.0.1479.0/linux_386/amazon-ssm-agent.rpm

Ubuntu Server

  • x86_64

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb

  • ARM64

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_arm64/amazon-ssm-agent.deb

  • x86

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb

Debian Server

  • x86_64

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb

  • ARM64

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_arm64/amazon-ssm-agent.deb

Raspberry Pi OS (formerly Raspbian)

  • https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_arm/amazon-ssm-agent.deb

Untuk menginstal SSM Agent pada mesin non-EC2 di lingkungan hybrid dan multicloud

  1. Masuk ke server atau VM di lingkungan hybrid dan multicloud Anda.

  2. Jika Anda menggunakan proxy HTTP atau HTTPS, Anda harus mengatur http_proxy atau variabel lingkungan https_proxy di sesi shell saat ini. Jika Anda tidak menggunakan proxy, Anda dapat melewati langkah ini.

    Untuk server proxy HTTP, masukkan perintah berikut pada baris perintah:

    export http_proxy=http://hostname:port
export https_proxy=http://hostname:port

    Untuk server proxy HTTPS, masukkan perintah berikut pada baris perintah:

    export http_proxy=http://hostname:port
export https_proxy=https://hostname:port

  3. Copy dan paste salah satu blok perintah berikut ke SSH. Ganti nilai placeholder dengan Kode Aktivasi dan ID Aktivasi yang dihasilkan saat Anda membuat aktivasi simpul terkelola, dan dengan pengenal yang ingin Wilayah AWS Anda unduhSSM Agent, lalu tekan. Enter

    catatan

    Perhatikan detail penting berikut ini:

    • sudo tidak diperlukan jika Anda adalah pengguna root.

    • Unduh ssm-setup-cli dari tempat yang Wilayah AWS sama dengan tempat aktivasi hybrid Anda dibuat.

    • ssm-setup-climendukung manifest-url opsi yang menentukan sumber dari mana agen diunduh. Jangan tentukan nilai untuk opsi ini kecuali diperlukan oleh organisasi Anda.

    • Saat mendaftarkan instance, hanya gunakan tautan unduhan yang disediakanssm-setup-cli. ssm-setup-cliseharusnya tidak disimpan secara terpisah untuk penggunaan di masa mendatang.

    • Anda dapat menggunakan skrip yang disediakan di sini untuk memvalidasi tanda tangan. ssm-setup-cli

    wilayah mewakili pengenal untuk Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah Timur AS (Ohio). Untuk daftar nilai wilayah yang didukung, lihat kolom Region di titik akhir layanan Systems Manager di Referensi Umum Amazon Web Services.

    Selain itu, ssm-setup-cli termasuk opsi berikut:

    • version- Nilai yang valid adalah latest danstable.

    • downgrade- Memungkinkan SSM Agent untuk diturunkan ke versi sebelumnya. Tentukan true untuk menginstal versi agen yang lebih lama.

    • skip-signature-validation- Melewatkan validasi tanda tangan selama pengunduhan dan pemasangan agen.

mkdir /tmp/ssm
curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/3.0.1479.0/linux_amd64/amazon-ssm-agent.rpm -o /tmp/ssm/amazon-ssm-agent.rpm
sudo yum install -y /tmp/ssm/amazon-ssm-agent.rpm
sudo stop amazon-ssm-agent
sudo -E amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region"
sudo start amazon-ssm-agent
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_arm/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

  • Menggunakan paket.deb

    mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

  • Menggunakan paket Snap

    Anda tidak perlu menentukan URL untuk unduhan, karena perintah snap secara otomatis mengunduh agen dari menyimpan aplikasi Snap di https://snapcraft.io.

    Pada Ubuntu Server 20.10 STR & 20.04, 18.04, dan 16.04 LTS, file SSM Agent installer, termasuk binari agen dan file konfigurasi, disimpan dalam direktori berikut:. /snap/amazon-ssm-agent/current/ Jika Anda membuat perubahan ke file konfigurasi dalam direktori ini, maka Anda harus menyalin file-file ini dari direktori /snap ke /etc/amazon/ssm/. File log dan perpustakaan belum berubah (/var/lib/amazon/ssm, /var/log/amazon/ssm).

    sudo snap install amazon-ssm-agent --classic
sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" 
sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service
    penting

    Kanal kandidat di toko Snap berisi versi terbaruSSM Agent; bukan saluran stabil. Jika Anda ingin melacak informasi SSM Agent versi pada kanal kandidat, jalankan perintah berikut pada node terkelola Ubuntu Server 18.04 dan 16.04 LTS 64-bit Anda.

    sudo snap switch --channel=candidate amazon-ssm-agent

Perintah mengunduh dan menginstal SSM Agent ke mesin yang diaktifkan hibrida di lingkungan hybrid dan multicloud Anda. Perintah berhentiSSM Agent, dan kemudian mendaftarkan mesin dengan layanan Systems Manager. Mesin sekarang menjadi node terkelola. Instans Amazon EC2 yang dikonfigurasi untuk Systems Manager juga merupakan node yang dikelola. Namun, di konsol Systems Manager, node yang diaktifkan hibrida dibedakan dari instans Amazon EC2 dengan awalan “mi-”.

Lanjutkan ke Cara menginstal SSM Agent pada Windows node hybrid.

Mengatur rotasi otomatis kunci privat

Untuk memperkuat postur keamanan Anda, Anda dapat mengonfigurasi AWS Systems Manager Agent (SSM Agent) untuk secara otomatis memutar kunci pribadi untuk lingkungan hybrid dan multicloud Anda. Anda dapat mengakses fitur ini menggunakan SSM Agent versi 3.0.1031.0 atau yang lebih baru. Hidupkan fitur ini menggunakan prosedur berikut.

Untuk mengkonfigurasi SSM Agent untuk memutar kunci pribadi untuk lingkungan hybrid dan multicloud

  1. Arahkan ke /etc/amazon/ssm/ pada mesin Linux atau C:\Program Files\Amazon\SSM untuk Windows mesin.

  2. Salin isi amazon-ssm-agent.json.template ke file baru yang bernama amazon-ssm-agent.json. Simpan amazon-ssm-agent.json di direktori yang sama dimana dengan lokasi amazon-ssm-agent.json.template.

  3. Cari Profile, KeyAutoRotateDays. Masukkan jumlah hari yang Anda inginkan antara rotasi kunci privat otomatis.

  4. Mulai ulang SSM Agent.

Setiap kali Anda mengubah konfigurasi, restartSSM Agent.

Anda dapat menyesuaikan fitur lain SSM Agent menggunakan prosedur yang sama. Untuk up-to-date daftar properti konfigurasi yang tersedia dan nilai defaultnya, lihat Config Property Definitions.

Deregister dan registrasi ulang node terkelola

Anda dapat membatalkan pendaftaran node terkelola yang diaktifkan hibrida dengan memanggil operasi API DeregisterManagedInstance dari atau Tools for Windows. AWS CLI PowerShell Berikut ini adalah contoh perintah CLI:

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Untuk menghapus informasi pendaftaran yang tersisa untuk agen, hapus IdentityConsumptionOrder kunci dalam amazon-ssm-agent.json file. Kemudian jalankan perintah berikut:

amazon-ssm-agent -register -clear

Anda dapat mendaftarkan ulang mesin setelah Anda membatalkan pendaftarannya. Gunakan prosedur berikut untuk mendaftarkan ulang mesin. Setelah Anda menyelesaikan prosedur, node terkelola Anda ditampilkan lagi dalam daftar node terkelola.

Untuk mendaftarkan ulang node terkelola pada mesin Linux non-EC2

  1. Connect ke mesin Anda.

  2. Jalankan perintah berikut. Pastikan untuk mengganti nilai placeholder dengan Kode Aktivasi dan ID Aktivasi yang dihasilkan saat Anda membuat aktivasi simpul terkelola, dan dengan pengenal Wilayah yang ingin Anda unduh. SSM Agent

    echo "yes" | sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region

Mengatasi masalah SSM Agent instalasi pada mesin Linux non-EC2

Gunakan informasi berikut untuk membantu Anda memecahkan masalah saat menginstal SSM Agent pada mesin Linux yang diaktifkan hibrida di lingkungan hybrid dan multicloud.

Anda menerima DeliveryTimedOut kesalahan

Masalah: Saat mengkonfigurasi mesin dalam satu Akun AWS sebagai node terkelola untuk yang terpisah Akun AWS, Anda menerima DeliveryTimedOut setelah menjalankan perintah untuk menginstal SSM Agent pada mesin target.

Solusi: DeliveryTimedOut adalah kode respon yang diharapkan untuk skenario ini. Perintah untuk menginstal SSM Agent pada node target mengubah ID node dari node sumber. Karena ID node telah berubah, node sumber tidak dapat membalas node target bahwa perintah gagal, selesai, atau habis waktu saat mengeksekusi.

Tidak dapat memuat asosiasi simpul

Masalah: Setelah menjalankan perintah install, Anda melihat kesalahan berikut di log SSM Agent kesalahan:

Unable to load instance associations, unable to retrieve associations unable to retrieve associations error occurred in RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint doesn't match

Anda melihat kesalahan ini ketika ID mesin tidak bertahan setelah reboot.

Solusi: Untuk mengatasi masalah ini, jalankan perintah berikut. Perintah ini memaksa ID mesin untuk bertahan setelah reboot.

umount /etc/machine-id
systemd-machine-id-setup