Sobre destinos e controles de taxa em associações do State Manager - AWS Systems Manager
DestinosControles de taxa

Sobre destinos e controles de taxa em associações do State Manager

Este tópico descreve o State Manager, um recurso do AWS Systems Manager, que ajuda você a implantar uma associação em dezenas ou centenas de instâncias enquanto controla quantos nós executam a associação no horário programado.

Destinos

Ao criar uma associação do State Manager, você escolhe quais nós serão configurados com a associação na seção Targets (Destinos) do console do Systems Manager, conforme mostrado aqui.

Diferentes opções para direcionar nós ao criar uma associação do State Manager

Se você criar uma associação usando uma ferramenta da linha de comando, como a AWS Command Line Interface (AWS CLI), especifique o parâmetro targets. A segmentação de nós permite configurar dezenas, centenas ou milhares de nós com uma associação sem precisar especificar ou escolher IDs de nós individuais.

Cada nó gerenciado pode ser destino de, no máximo, 20 associações.

O State Manager inclui as seguintes opções de destino ao criar uma associação.

Especificar tags

Use esta opção para especificar uma chave de tag e (opcionalmente) um valor de tag que está atualmente atribuído aos seus nós. Quando você executa a solicitação, o sistema localiza e tenta criar a associação em todos os nós que correspondem à chave e ao valor de tag especificados. Se você especificou vários valores de tag, a associação se destina a qualquer nó com pelo menos um desses valores de tag. Quando o sistema cria a associação inicialmente, ele executa a associação. Após essa execução inicial, o sistema executa a associação de acordo com a programação especificada.

Se você criar novos nós e atribuir a chave e o valor de tag especificados a esses nós, o sistema aplicará automaticamente a associação, a executará imediatamente e, depois, a executará de acordo com a programação. Isso se aplica quando a associação usa um documento de comando ou política e não se aplica se a associação usa um runbook de automação. Se você excluir as tags especificadas de um nó, o sistema não executará mais a associação nesses nós.

nota

Se você usar runbooks de automação com o State Manager e a limitação de marcação impedir que você atinja uma meta específica, considere o uso de runbooks de automação com o Amazon EventBridge. Para ter mais informações, consulte Executar automações com base em eventos. Para obter informações sobre como usar runbooks com o State Manager, consulte Programação de automações com associações do State Manager.

Como prática recomendada, é aconselhável o uso de etiquetas ao criar associações que usam um documento do Command ou Policy. Também é recomendável usar etiquetas ao criar associações para executar grupos do Auto Scaling. Para ter mais informações, consulte Executar grupos do Auto Scaling com associações.

nota

Observe as seguintes informações:

  • Ao criar uma associação no console, ao segmentar nós usando etiquetas, você poderá especificar somente uma chave de etiqueta. Para usar o console e direcionar seus nós usando mais de uma chave de etiqueta, atribua as chaves de etiqueta a um grupo do AWS Resource Groups e adicione os nós a ele. Em seguida, você pode escolher a opção Grupo de recursos na lista de Destinos ao criar a associação do State Manager.

  • É possível especificar no máximo cinco chaves de etiqueta usando a AWS CLI. Se você usar a AWS CLI, todas as chaves de etiqueta especificadas no comando create-association deverão estar atualmente atribuídas ao nó. Se não estiverem, o State Manager falhará em direcionar o nó para uma associação. Para obter informações sobre como atribuir tags aos seus nós, consulte Marcar recursos do Systems Manager.

Selecione os nós manualmente

Use esta opção para selecionar manualmente os nós em que deseja criar a associação. O painel Instances (Instâncias) exibe todos os nós gerenciados do Systems Manager na Conta da AWS e Região da AWS atuais. Você pode selecionar manualmente quantos nós desejar. Quando o sistema cria a associação inicialmente, ele executa a associação. Após essa execução inicial, o sistema executa a associação de acordo com a programação especificada.

nota

Se um nó gerenciado que você espera ver não estiver listado, consulte Solução de problemas de disponibilidade do nó gerenciado para obter dicas de solução de problemas.

Escolher um grupo de recursos

Use esta opção para criar uma associação em todos os nós retornados por uma consulta baseada em tag do AWS Resource Groups ou em pilha do AWS CloudFormation.

Observe os detalhes abaixo sobre como segmentar grupos de recursos para uma associação.

  • Se você adicionar novos nós a um grupo, o sistema mapeará automaticamente os nós para a associação direcionada ao grupo de recursos. O sistema aplica a associação aos nós quando descobre a alteração. Após essa execução inicial, o sistema executa a associação de acordo com a programação especificada.

  • Se você criar uma associação cujo destino seja um grupo de recursos e o tipo de recurso AWS::SSM::ManagedInstance tiver sido especificado para esse grupo, intencionalmente, a associação será executada em instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e em nós que não são do EC2 em um ambiente híbrido e multinuvem.

  • Se você criar uma associação destinada a um grupo de recursos, o grupo de recursos não deverá ter mais de cinco chaves de tag atribuídas a ele ou mais de cinco valores especificados para qualquer chave de tag. Se uma dessas condições se aplicar às tags e chaves atribuídas ao seu grupo de recursos, a associação falhará ao ser executada e retornará um erro InvalidTarget.

  • Se você excluir um grupo de recursos, todas as instâncias desse grupo não executarão mais a associação. Como prática recomendada, exclua as associações direcionadas ao grupo.

  • Você só pode direcionar no máximo um único grupo de recursos para uma associação. Vários grupos ou grupos aninhados não são permitidos.

  • Depois de criar uma associação, o State Manager atualiza periodicamente a associação com informações sobre recursos no grupo de recursos. Se você adicionar novos recursos a um grupo de recursos, a programação para quando o sistema aplica a associação aos novos recursos dependerá de vários fatores. Você pode determinar o status da associação na página State Manager do console do Systems Manager.

Atenção

Um usuário do AWS Identity and Access Management (IAM), grupo ou função com permissão para criar uma associação direcionada a um grupo de recursos de instâncias do Amazon EC2 automaticamente tem controle no nível raiz de todas as instâncias do grupo. Somente administradores confiáveis devem ter permissão para criar associações.

Para obter mais informações sobre os grupos de recursos, consulte O que é o AWS Resource Groups? no Guia do usuário do AWS Resource Groups.

Escolher todos os nós

Use esta opção para direcionar todos os nós na Conta da AWS e Região da AWS atuais. Quando você executa a solicitação, o sistema localiza e tenta criar a associação em todos os nós na Conta da AWS e Região da AWS atuais. Quando o sistema cria a associação inicialmente, ele executa a associação. Após essa execução inicial, o sistema executa a associação de acordo com a programação especificada. Se você criar novos nós, o sistema aplicará automaticamente a associação, a executará imediatamente e, depois, a executará de acordo com a programação.

Controles de taxa

Você pode controlar a execução de uma associação em seus nós especificando um valor de simultaneidade e um limite de erro. O valor de simultaneidade especifica quantos nós podem executar a associação simultaneamente. Um limite de erro especifica quantas execuções de associação podem falhar antes de o Systems Manager enviar um comando para cada nó configurado com essa associação para interromper a associação. O comando interrompe a execução da associação até a próxima execução programada. Os recursos de simultaneidade e limite de erros são coletivamente chamados de controles de taxa.

Diferentes opções de controle de taxa ao criar uma associação do State Manager
Simultaneidade

A simultaneidade ajuda a limitar o impacto nos seus nós, permitindo que você especifique que apenas um determinado número de nós pode processar uma associação de uma só vez. Você pode especificar um número absoluto de nós, por exemplo, 20, ou um percentual do conjunto de nós destino, por exemplo, 10%.

A simultaneidade do State Manager tem as seguintes restrições e limitações:

  • Se você optar por criar uma associação usando destinos, mas não especificar um valor de simultaneidade, o State Manager aplicará automaticamente um máximo de 50 nós de simultaneidade.

  • Se novos nós que correspondem aos critérios de destino ficarem online enquanto uma associação que usa simultaneidade estiver em execução, os novos nós executarão a associação se o valor de simultaneidade não for excedido. Se o valor de simultaneidade for excedido, então os nós serão ignorados durante o intervalo de execução da associação atual. Os nós executarão a associação durante o próximo intervalo programado, cumprindo os requisitos de simultaneidade.

  • Se você atualizar uma associação que usa simultaneidade, e um ou mais nós estiverem processando essa associação quando for atualizada, qualquer nó que estiver executando a associação terá permissão para ser concluído. As associações que não foram iniciadas serão interrompidas. Após a conclusão da execução das associações, todos os nós de destino imediatamente executam a associação novamente porque ela foi atualizada. Quando a associação é executada novamente, o valor de simultaneidade é aplicado.

Limites de erro

Um limite de erro especifica quantas execuções de associação podem falhar antes de o Systems Manager enviar um comando para cada nó configurado com essa associação. O comando interrompe a execução da associação até a próxima execução programada. Você pode especificar um número absoluto de erros, como 10, ou uma porcentagem do conjunto de destino, como 10%.

Se você especificar um número absoluto de três erros, por exemplo, o State Manager enviará o comando de parada quando o quarto erro for retornado. Se você especificar 0, o State Manager enviará o comando de parada depois que o primeiro resultado do erro for retornado.

Se você especificar um limite de erro de 10% para 50 associações, o State Manager enviará o comando de parada quando o sexto erro for retornado. As associações que já estiverem em execução quando um limite de erro for atingido poderão ser concluídas, mas algumas dessas associações também poderão falhar. Para garantir que não haverá mais erros do que o número especificado para o limite de erros, defina o valor de Concurrency (Simultaneidade) como 1 para que as associações prossigam uma por vez.

Os limites de erro do State Manager têm as seguintes restrições e limitações:

  • Os limites de erro são aplicados para o intervalo atual.

  • As informações sobre cada erro, incluindo detalhes no nível da etapa, são registradas no histórico da associação.

  • Se você optar por criar uma associação usando destinos, mas não especificar um limite de erro, o State Manager aplicará automaticamente um limite de 100% de falhas.