Configurazione di SSM Agent per utilizzare un proxy per le istanze Windows Server - AWS Systems Manager
Precedenza impostazione proxy SSM AgentImpostazioni del proxy di SSM Agent e servizi di Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di SSM Agent per utilizzare un proxy per le istanze Windows Server

Le informazioni incluse in questo argomento valgono per le istanze di Windows Server create a partire da novembre 2016 che non utilizzano l'opzione di installazione Nano. Se intendi utilizzarloSession Manager, tieni presente che i server HTTPS proxy non sono supportati.

Nota

A partire dal 14 gennaio 2020, Windows Server 2008 non è più supportato per gli aggiornamenti delle funzionalità o della sicurezza da Microsoft. Le Amazon Machine Images (AMIs) (AMI) legacy per Windows Server 2008 e 2008 R2 includono ancora la versione 2 di SSM Agent preinstallata, ma Systems Manager non supporta più ufficialmente le versioni 2008 e non aggiorna più l'agente per tali versioni di Windows Server. Inoltre, SSM Agent versione 3 potrebbe non essere compatibile con tutte le operazioni su Windows Server 2008 e 2008 R2. La versione finale ufficialmente supportata di SSM Agent per Windows Server 2008 è la 2.3.1644.0.

Prima di iniziare

Prima di SSM Agent configurare l'utilizzo di un proxy, tieni presente le seguenti informazioni importanti.

Nella procedura seguente, si esegue un comando per SSM Agent configurare l'utilizzo di un proxy. Il comando include un'no_proxyimpostazione con un indirizzo IP. L'indirizzo IP è l'endpoint dei servizi di metadati dell'istanza (IMDS) per Systems Manager. Se non viene specificatono_proxy, le chiamate a Systems Manager acquisiscono l'identità del servizio proxy (se il IMDSv1 fallback è abilitato) o le chiamate a Systems Manager hanno esito negativo (se IMDSv2 applicato).

  • PerIPv4, specificare. no_proxy=169.254.169.254

  • PerIPv6, specificano_proxy=[fd00:ec2::254]. L'IPv6indirizzo del servizio di metadati dell'istanza è compatibile con IMDSv2 i comandi. L'IPv6indirizzo è accessibile solo sulle istanze create sul sistema AWS Nitro. Per ulteriori informazioni, consulta come funziona Instance Metadata Service versione 2 nella Amazon EC2 User Guide.

Per configurare l'SSM Agent per l'utilizzo di un proxy

  1. Utilizzando Remote Desktop o Windows PowerShell, connettiti all'istanza che desideri configurare per utilizzare un proxy.

  2. Esegui il seguente blocco di comandi in PowerShell. Replace (Sostituisci) hostname e port con le informazioni sul tuo proxy.

    $serviceKey = "HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent"
$keyInfo = (Get-Item -Path $serviceKey).GetValue("Environment")
$proxyVariables = @("http_proxy=hostname:port", "https_proxy=hostname:port", "no_proxy=IP address for instance metadata services (IMDS)")

if ($keyInfo -eq $null) {
    New-ItemProperty -Path $serviceKey -Name Environment -Value $proxyVariables -PropertyType MultiString -Force
} 
else {
    Set-ItemProperty -Path $serviceKey -Name Environment -Value $proxyVariables
}

Restart-Service AmazonSSMAgent

Dopo aver eseguito il comando precedente, è possibile esaminare i registri SSM Agent per confermare che le impostazioni proxy siano state applicate. Le voci nei registri sono simili alle seguenti. Per ulteriori informazioni sui log SSM Agent, consulta Visualizzazione dei registri di SSM Agent.

2020-02-24 15:31:54 INFO Getting IE proxy configuration for current user: The operation completed successfully.
2020-02-24 15:31:54 INFO Getting WinHTTP proxy default configuration: The operation completed successfully.
2020-02-24 15:31:54 INFO Proxy environment variables:
2020-02-24 15:31:54 INFO http_proxy: hostname:port
2020-02-24 15:31:54 INFO https_proxy: hostname:port
2020-02-24 15:31:54 INFO no_proxy: IP address for instance metadata services (IMDS)
2020-02-24 15:31:54 INFO Starting Agent: amazon-ssm-agent - v2.3.871.0
2020-02-24 15:31:54 INFO OS: windows, Arch: amd64
Per reimpostare la configurazione proxy dell'SSM Agent

  1. Utilizzando Remote Desktop o Windows PowerShell, connettiti all'istanza da configurare.

  2. Se ti sei connesso tramite Remote Desktop, avvia PowerShell come amministratore.

  3. Esegui il seguente blocco di comandi in PowerShell.

    Remove-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent -Name Environment
Restart-Service AmazonSSMAgent

Precedenza impostazione proxy SSM Agent

Quando si configurano le impostazioni proxy per le istanze SSM Agent su Windows Server, è importante capire che queste impostazioni vengono valutate e applicate alla configurazione dell'agente quando SSM Agent viene avviato. La modalità di configurazione delle impostazioni proxy per un'istanza Windows Server consente di determinare se altre impostazioni potrebbero sostituire quelle desiderate. L'agente utilizza le prime impostazioni proxy che trova.

Importante

SSM Agentcomunica utilizzando il HTTPS protocollo. Per questo motivo, è necessario configurare il parametro HTTPS proxy utilizzando una delle seguenti opzioni di impostazione.

Le impostazioni proxy di SSM Agent sono valutate nel seguente ordine.

  1. A Impostazioni mazonSSMAgent del registro () HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent

  2. Variabili di ambiente del sistema (http_proxy, https_proxy, no_proxy)

  3. LocalSystem variabili di ambiente dell'account utentehttp_proxy,https_proxy,no_proxy)

  4. Impostazioni di Internet Explorer (HTTP, secure, exceptions)

  5. impostazioni HTTP proxy Win (http=,https=,bypass-list=)

Impostazioni del proxy di SSM Agent e servizi di Systems Manager

Se le hai configurate SSM Agent per l'utilizzo di un proxy e utilizzi AWS Systems Manager funzionalità come Run Command e Patch Manager che utilizzano PowerShell il client Windows Update durante l'esecuzione sulle Windows Server istanze, configura impostazioni proxy aggiuntive. In caso contrario, l'operazione potrebbe non riuscire perché le impostazioni proxy utilizzate dal PowerShell client Windows Update non vengono ereditate dalla configurazione del SSM Agent proxy.

Per Run Command, configurare le impostazioni del proxy WinINet sulle istanze di Windows Server. I comandi [System.Net.WebRequest] forniti sono per sessione. Per applicare queste configurazioni ai comandi di rete successivi eseguiti inRun Command, questi comandi devono precedere gli altri PowerShell comandi nello stesso aws:runPowershellScript input del plug-in.

I seguenti PowerShell comandi restituiscono le impostazioni WinINet proxy correnti e applicano le impostazioni proxy a. WinINet

[System.Net.WebRequest]::DefaultWebProxy

$proxyServer = "http://hostname:port"
$proxyBypass = "169.254.169.254"
$WebProxy = New-Object System.Net.WebProxy($proxyServer,$true,$proxyBypass)

[System.Net.WebRequest]::DefaultWebProxy = $WebProxy

Per Patch Manager, configurare le impostazioni proxy a livello di sistema in modo che il client Windows Update possa eseguire la scansione e il download degli aggiornamenti. Si consiglia di utilizzare i seguenti comandi Run Command per eseguire i seguenti comandi, poiché vengono eseguiti sull'SYSTEMaccount e le impostazioni si applicano a tutto il sistema. I seguenti comandi netsh restituiscono le impostazioni del proxy corrente e applicano le impostazioni del proxy al sistema locale.

netsh winhttp show proxy

netsh winhttp set proxy proxy-server="hostname:port" bypass-list="169.254.169.254"

Per ulteriori informazioni sull'utilizzo di Run Command, consultare AWS Systems Manager Run Command.