步驟 2:為混合多雲環境建立混合啟用 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 2:為混合多雲環境建立混合啟用

若要在混合多雲端環境中將 Amazon Elastic Compute Cloud (EC2) 執行個體以外的機器設定為的受管節點,您可以建立並套用混合啟用。成功完成啟用之後,您會在主控台頁面頂部的立即收到啟用代碼和啟用 ID。當您在混合雲和多雲端環境的非 EC2 機器 AWS Systems Manager SSM Agent上安裝時,請指定此程式碼和 ID 組合。代碼和 ID 可讓您從受管節點中安全地存取 Systems Manager 服務。

重要

Systems Manager 會立即將啟用代碼和 ID 傳回主控台或命令視窗,視您如何建立啟用而定。複製此資訊,並將其存放在安全的地方。如果您離開主控台或關閉命令視窗,您可能會遺失此資訊。如果您遺失此資訊,您必須建立新的啟用。

關於啟用過期

啟用過期是一個時段,您可以在這個時段中向 Systems Manager 註冊內部部署機器。過期的啟用不會對您先前向 Systems Manager 註冊的伺服器或虛擬機器產生任何影響。若啟用過期,您便無法使用該特定啟用向 Systems Manager 註冊更多伺服器或虛擬機器。您只能建立新的環境。

您之前註冊的每個內部部署伺服器和虛擬機器仍會註冊為 Systems Manager 受管節點,直到您明確將其取消註冊為止。您可以使用 AWS CLI 指令或使用 API 呼叫 deregister-managed-instanceDeregisterManagedInstance,Fleet Manager在 Systems Manager 主控台的 [受管節點] 索引標籤上取消註冊受管理節點。

關於受管節點

受管理節點是設定的任何機器 AWS Systems Manager。 AWS Systems Manager 支援 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、邊緣裝置以及現場部署伺服器或虛擬機器,包括其他雲端環境中的 VM。以前,受管節點都稱為受管執行個體。術語執行個體現在僅指 EC2 執行個體。該deregister-managed-instance命令是在此術語變更之前命名的。

關於啟用標籤

如果您使用 AWS Command Line Interface (AWS CLI) 或建立啟動 AWS Tools for Windows PowerShell,您可以指定標籤。標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。以下是在包含選用標籤的本機 Linux 電腦上執行的命令 AWS CLI 範例。

aws ssm create-activation \ --default-instance-name MyWebServers \ --description "Activation for Finance department webservers" \ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \ --registration-limit 10 \ --region us-east-2 \ --tags "Key=Department,Value=Finance"

若您在建立啟用時指定標籤,那些標籤便會在您啟用它們時自動指派給您的受管節點。

您無法將標籤新增到現有的啟用,或是從現有的啟用刪除標籤。若您不希望使用啟用將標籤自動指派給您的現場部署伺服器和 VM,您可以稍後再為他們新增標籤。具體而言,您可以在內部部署伺服器和虛擬機器首次連線到 Systems Manager 後,為它們新增標籤。在它們連線後,便會被指派受管節點 ID,並在 Systems Manager 主控台中列出,其 ID 也會加上 "mi-" 字首。如需如何將標籤新增到受管節點而無需使用啟用程序的資訊,請參閱 標記受管節點

注意

若您使用 Systems Manager 主控台建立啟用,則無法為其指派標籤。您必須使用 AWS CLI 或 Windows 的工具來建立它 PowerShell。

如果您不想再使用 Systems Manager 來管理內部部署伺服器或虛擬機器 (VM),您可以將其取消註冊。如需相關資訊,請參閱取消註冊混合多雲端環境中的受管節點

建立啟用 (主控台)

建立受管節點啟用
  1. 請在以下位置開啟 AWS Systems Manager 主控台。 https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Hybrid Activations (混合啟用)。

  3. 選擇 Create activation (建立啟用)。

    -或-

    如果您是目前第一次存取「混合啟動」 AWS 區域,請選擇「建立啟用」。

  4. (選用) 在 Activation description (啟用描述),輸入此啟用的描述。如果您計劃啟用大量伺服器和虛擬機器,則建議您輸入描述。

  5. 針對「執行個體限制」,指定要註冊 AWS 做為此啟動一部分的節點總數。預設值為 1 個執行個體。

  6. 對於 IAM 角色,請選擇允許伺服器和 VM 在雲端 AWS Systems Manager 中與之通訊的服務角色選項:

    • 選項 1:選擇 Use the default role created by the system (使用系統建立的預設角色) 來使用 AWS提供的角色及受管理政策。

    • 選項 2:選擇 Select an existing custom IAM role that has the required permissions (選取具有所需許可的現有自訂 IAM 角色),以使用您先前建立的選用自訂角色。此角色必須擁有可指定 "Service": "ssm.amazonaws.com" 的信任關係政策。如果您的 IAM 角色未在信任關係政策中指定此準則,您會收到下列錯誤:

      An error occurred (ValidationException) when calling the CreateActivation
                                          operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      如需建立此角色的詳細資訊,請參閱步驟 1:建立適用於混合多雲端環境的 IAM 服務角色

  7. Activation expiry date (啟用過期日),指定啟用的過期日期。過期日期必須為未來的日期,不能超過 30 天。預設值為 24 小時。

    注意

    如果想要在過期日期之後註冊其他的受管節點,您必須建立新的啟用。該過期日期不會影響已經註冊與正在執行的節點。

  8. (選用)對於 Default instance name (預設執行個體) 欄位,針對此啟用的所有相關受管節點指定要顯示的識別名稱值。

  9. 選擇 Create activation (建立啟用)。Systems Manager 會立即將啟用代碼和 ID 傳回主控台。

建立受管節點啟用 (命令列)

下列程序說明如何使用 AWS Command Line Interface (AWS CLI) (在 Linux 或Windows) 或 AWS Tools for PowerShell 建立受管理節點啟動。

建立啟用
  1. 安裝和配置 AWS CLI 或 AWS Tools for PowerShell,如果您尚未安裝。

    如需相關資訊,請參閱安裝或更新 AWS CLI的最新版本安裝 AWS Tools for PowerShell

  2. 執行以下命令來建立啟用。

    注意
    • 在下列命令中,用您自己的資訊取代 region (區域)。如需支援的 region 值的清單,請參閱《Amazon Web Services 一般參考》Systems Manager 服務端點一節的區域資料欄。

    • 您為 iam-role 參數指定的角色必須擁有可指定 "Service": "ssm.amazonaws.com" 的信任關係政策。如果您的 AWS Identity and Access Management (IAM) 角色未在信任關係政策中指定此原則,您會收到下列錯誤訊息:

      An error occurred (ValidationException) when calling the CreateActivation
                                              operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      如需建立此角色的詳細資訊,請參閱步驟 1:建立適用於混合多雲端環境的 IAM 服務角色

    • 對於 --expiration-date,以時間戳記格式提供日期,例如 "2021-07-07T00:00:00",適用於啟用代碼到期時。您可以在 30 天前指定日期。如果您未提供過期日期,啟用代碼將在 24 小時內過期。

    Linux & macOS
    aws ssm create-activation \ --default-instance-name name \ --iam-role iam-service-role-name \ --registration-limit number-of-managed-instances \ --region region \ --expiration-date "timestamp" \\ --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    Windows
    aws ssm create-activation ^ --default-instance-name name ^ --iam-role iam-service-role-name ^ --registration-limit number-of-managed-instances ^ --region region ^ --expiration-date "timestamp" ^ --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    PowerShell
    New-SSMActivation -DefaultInstanceName name ` -IamRole iam-service-role-name ` -RegistrationLimit number-of-managed-instances ` –Region region ` -ExpirationDate "timestamp" ` -Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}

    請見此處範例。

    Linux & macOS
    aws ssm create-activation \ --default-instance-name MyWebServers \ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \ --registration-limit 10 \ --region us-east-2 \ --expiration-date "2021-07-07T00:00:00" \ --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    Windows
    aws ssm create-activation ^ --default-instance-name MyWebServers ^ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^ --registration-limit 10 ^ --region us-east-2 ^ --expiration-date "2021-07-07T00:00:00" ^ --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    PowerShell
    New-SSMActivation -DefaultInstanceName MyWebServers ` -IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances ` -RegistrationLimit 10 ` –Region us-east-2 ` -ExpirationDate "2021-07-07T00:00:00" ` -Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}

    若成功建立啟用,系統會立即傳回啟用代碼和 ID。