Memecahkan masalah ketersediaan node terkelola

Untuk beberapa AWS Systems Manager kemampuan sepertiRun Command,Distributor, danSession Manager, Anda dapat memilih untuk secara manual memilih node terkelola tempat Anda ingin menjalankan operasi. Dalam kasus seperti ini, setelah Anda menentukan bahwa Anda ingin memilih node secara manual, sistem menampilkan daftar node terkelola tempat Anda dapat menjalankan operasi.

Topik ini memberikan informasi untuk membantu Anda mendiagnosis mengapa node terkelola yang telah Anda konfirmasi berjalan tidak disertakan dalam daftar node terkelola di Systems Manager.

Agar node dikelola oleh Systems Manager dan tersedia dalam daftar node terkelola, node harus memenuhi tiga persyaratan:

• SSM Agentharus diinstal dan berjalan pada node dengan sistem operasi yang didukung.

  catatan

  Beberapa AWS managed Amazon Machine Images (AMIs) dikonfigurasi untuk meluncurkan instance dengan SSM Agentprainstal. (Anda juga dapat mengonfigurasi kustom AMI untuk pra-instalSSM Agent.) Untuk informasi selengkapnya, lihat Temukan AMIs dengan yang SSM Agent sudah diinstal sebelumnya.

• Untuk instans Amazon Elastic Compute Cloud (Amazon EC2), Anda harus melampirkan AWS Identity and Access Management profil instans (IAM) ke instans. Profil instans memungkinkan instance untuk berkomunikasi dengan layanan Systems Manager. Jika Anda tidak menetapkan profil instance ke instance, Anda mendaftarkannya menggunakan aktivasi hibrida, yang bukan skenario umum.

• SSM Agentharus dapat terhubung ke titik akhir Systems Manager untuk mendaftarkan dirinya dengan layanan. Setelah itu, node yang dikelola harus tersedia untuk layanan, yang dikonfirmasi oleh layanan yang mengirimkan sinyal setiap lima menit untuk memeriksa kesehatan instans.

• Setelah status node terkelola setidaknya Connection Lost selama 30 hari, node mungkin tidak lagi terdaftar di Fleet Manager konsol. Untuk mengembalikannya ke daftar, masalah yang menyebabkan koneksi hilang harus diselesaikan.

Setelah memverifikasi bahwa node terkelola sedang berjalan, Anda dapat menggunakan perintah berikut untuk memeriksa apakah SSM Agent berhasil terdaftar dengan layanan Systems Manager. Perintah ini tidak mengeluarkan hasil hingga pendaftaran berhasil dilakukan.

Linux & macOS

aws ssm describe-instance-associations-status \
    --instance-id instance-id

Windows

aws ssm describe-instance-associations-status ^
    --instance-id instance-id

PowerShell

Get-SSMInstanceAssociationsStatus `
    -InstanceId instance-id

Jika pendaftaran berhasil dan node terkelola sekarang tersedia untuk operasi Systems Manager, perintah mengembalikan hasil yang mirip dengan berikut ini.

{
    "InstanceAssociationStatusInfos": [
        {
            "AssociationId": "fa262de1-6150-4a90-8f53-d7eb5EXAMPLE",
            "Name": "AWS-GatherSoftwareInventory",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Pending",
            "DetailedStatus": "Associated"
        },
        {
            "AssociationId": "f9ec7a0f-6104-4273-8975-82e34EXAMPLE",
            "Name": "AWS-RunPatchBaseline",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Queued",
            "AssociationName": "SystemAssociationForScanningPatches"
        }
    ]
}

Jika pendaftaran belum selesai atau gagal, perintah tersebut mengeluarkan hasil yang serupa dengan berikut ini:

{
    "InstanceAssociationStatusInfos": []
}

Jika perintah tidak mengembalikan hasil setelah 5 menit atau lebih, gunakan informasi berikut untuk membantu Anda memecahkan masalah dengan node terkelola Anda.

Topik

• Solusi 1: Verifikasi SSM Agent yang diinstal dan berjalan pada node terkelola
• Solusi 2: Verifikasi bahwa profil instans IAM telah ditentukan untuk instance (hanya instans EC2)
• Solusi 3: Verifikasi konektivitas titik akhir layanan
• Solusi 4: Verifikasi dukungan sistem operasi target
• Solusi 5: Pastikan Anda bekerja Wilayah AWS sama dengan instans Amazon EC2
• Solusi 6: Verifikasi konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola
• Solusi 7: Instal sertifikat TLS pada instans terkelola
• Memecahkan masalah ketersediaan node terkelola menggunakan ssm-cli

Solusi 1: Verifikasi SSM Agent yang diinstal dan berjalan pada node terkelola

Pastikan versi terbaru diinstal dan berjalan pada node terkelola. SSM Agent

Untuk menentukan SSM Agent apakah diinstal dan berjalan pada node terkelola, lihatMemeriksa SSM Agent status dan memulai agen.

Untuk menginstal atau menginstal ulang SSM Agent pada node terkelola, lihat topik berikut:

• Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Linux

• Cara menginstal SSM Agent pada node Linux hybrid

• Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Windows Server

• Cara menginstal SSM Agent pada node Windows hybrid

Solusi 2: Verifikasi bahwa profil instans IAM telah ditentukan untuk instance (hanya instans EC2)

Untuk instans Amazon Elastic Compute Cloud (Amazon EC2), verifikasi bahwa instans dikonfigurasi dengan profil instans (IAM) AWS Identity and Access Management yang memungkinkan instans berkomunikasi dengan Systems Manager API. Juga verifikasi bahwa pengguna Anda memiliki kebijakan kepercayaan IAM yang memungkinkan pengguna Anda berkomunikasi dengan Systems Manager API.

catatan

Server lokal, perangkat edge, dan mesin virtual (VM) menggunakan peran layanan IAM, bukan profil instance. Untuk informasi selengkapnya, lihat Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud.

Untuk menentukan apakah profil instans dengan izin yang diperlukan dilampirkan ke instans EC2

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

2. Di panel navigasi, pilih Instans.

3. Pilih instans untuk memeriksa profil instans.

4. Di tab Deskripsi di panel bawah, temukan IAM role dan pilih nama peran.

5. Di halaman Ringkasan peran untuk profil instans, di tab Izin, pastikan bahwa AmazonSSMManagedInstanceCore tercantum di bawah Kebijakan izin.

   Jika kebijakan kustom digunakan sebagai gantinya, pastikan bahwa kebijakan tersebut menyediakan izin yang sama seperti AmazonSSMManagedInstanceCore.

   Buka AmazonSSMManagedInstanceCore di konsol

   Untuk informasi tentang kebijakan lain yang dapat dilampirkan ke profil instans untuk Systems Manager, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.

Solusi 3: Verifikasi konektivitas titik akhir layanan

Verifikasi bahwa instans memiliki konektivitas ke titik akhir layanan Systems Manager. Konektivitas ini disediakan dengan membuat dan mengonfigurasi titik akhir VPC untuk Systems Manager, atau dengan mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir layanan.

Untuk instans Amazon EC2, titik akhir layanan Systems Manager untuk instans digunakan untuk mendaftarkan instance jika konfigurasi virtual private cloud (VPC) memungkinkan lalu lintas keluar. Wilayah AWS Namun, jika konfigurasi VPC tempat instance diluncurkan tidak mengizinkan lalu lintas keluar dan Anda tidak dapat mengubah konfigurasi ini untuk mengizinkan konektivitas ke titik akhir layanan publik, Anda harus mengonfigurasi titik akhir antarmuka untuk VPC Anda.

Untuk informasi selengkapnya, lihat Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk Systems Manager.

Solusi 4: Verifikasi dukungan sistem operasi target

Verifikasi bahwa operasi yang Anda pilih dapat dijalankan pada jenis node terkelola yang Anda harapkan untuk dilihat terdaftar. Beberapa operasi Systems Manager hanya dapat menargetkan instans Windows atau hanya instans Linux. Misalnya, dokumen Systems Manager (SSM) AWS-InstallPowerShellModule dan AWS-ConfigureCloudWatch hanya dapat dijalankan di instans Windows saja. Di halaman Jalankan perintah, jika Anda memilih salah satu dari dokumen ini dan memilih Pilih instans secara manual, hanya instans Windows Anda yang tercantum dan tersedia untuk dipilih.

Solusi 5: Pastikan Anda bekerja Wilayah AWS sama dengan instans Amazon EC2

Instans Amazon EC2 dibuat dan tersedia secara spesifik Wilayah AWS, seperti Wilayah Timur AS (Ohio) (us-east-2) atau Wilayah Eropa (Irlandia) (eu-west-1). Pastikan Anda bekerja Wilayah AWS sama dengan instans Amazon EC2 yang ingin Anda gunakan. Untuk informasi selengkapnya, lihat Memilih Wilayah dalam Memulai dengan AWS Management Console.

Solusi 6: Verifikasi konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola

Verifikasi bahwa konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola sudah benar. Jika konfigurasi proxy salah, node tidak dapat terhubung ke titik akhir layanan yang diperlukan, atau Systems Manager mungkin mengidentifikasi sistem operasi node terkelola secara tidak benar. Untuk informasi selengkapnya, lihat Mengkonfigurasi SSM Agent untuk menggunakan proxy pada node Linux dan SSM AgentKonfigurasikan untuk menggunakan proxy untuk Windows Server instance.

Solusi 7: Instal sertifikat TLS pada instans terkelola

Sertifikat Transport Layer Security (TLS) harus diinstal pada setiap instance terkelola yang Anda gunakan. AWS Systems Manager Layanan AWS gunakan sertifikat ini untuk mengenkripsi panggilan ke yang lain Layanan AWS.

Sertifikat TLS sudah diinstal secara default pada setiap instans Amazon EC2 dibuat dari Amazon Machine Image (AMI). Sebagian besar sistem operasi modern termasuk sertifikat TLS yang diperlukan dari Amazon Trust Services CAs berada di penyimpanan terpercayaan mereka.

Untuk memverifikasi apakah sertifikat yang diperlukan diinstal pada instans Anda, jalankan perintah berikut berdasarkan sistem operasi instance Anda. Pastikan untuk mengganti bagian wilayah URL dengan Wilayah AWS tempat instans terkelola Anda berada.

Linux & macOS

curl -L https://ssm.region.amazonaws.com

Windows

Invoke-WebRequest -Uri https://ssm.region.amazonaws.com

Perintah harus mengembalikan UnknownOperationException kesalahan. Jika Anda menerima pesan kesalahan SSL/TLS, maka sertifikat yang diperlukan mungkin tidak diinstal.

Jika Anda menemukan sertifikat Amazon Trust Services CA yang diperlukan tidak diinstal pada sistem operasi dasar Anda, pada instans yang dibuat dari AMIs yang tidak disediakan oleh Amazon, atau di server lokal dan VM Anda sendiri, Anda harus menginstal dan mengizinkan sertifikat dari Amazon Trust Services, atau menggunakan AWS Certificate Manager (ACM) untuk membuat dan mengelola sertifikat untuk layanan terintegrasi yang didukung.

Setiap instans terkelola Anda harus memiliki salah satu sertifikat Transport Layer Security (TLS) berikut yang diinstal.

• Amazon Root CA 1

• Starfield Services Root Certificate Authority - G2

• Starfield Class 2 Certificate Authority

Untuk informasi tentang cara menggunakan ACM, lihat Panduan Pengguna AWS Certificate Manager.

Jika sertifikat di lingkungan komputasi dikelola oleh objek kebijakan grup (GPO), maka Anda mungkin perlu mengkonfigurasi kebijakan grup untuk menyertakan salah satu sertifikat ini.

Untuk informasi selengkapnya tentang sertifikat Amazon Root dan Starfield, lihat posting blog Cara AWS Mempersiapkan Pindah ke Otoritas Sertifikat Sendiri.