Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS OpsWorks für Chef Automate
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
AWS OpsWorks for Chef Automate ermöglicht es Ihnen, einen [Chef Automate-Server](https://www.chef.io/automate/) in AWS auszuführen. Sie können einen Chef-Server innerhalb von Minuten bereitstellen und dessen Betrieb, Backups, Wiederherstellungen und Software-Upgrades AWS OpsWorks for Chef Automate übernehmen lassen. AWS OpsWorks for Chef Automate gibt Ihnen die Möglichkeit, sich auf die wichtigsten Aufgaben des Konfigurationsmanagements zu konzentrieren, anstatt einen Chef-Server zu verwalten.
Ein Chef Automate-Server verwaltet die Konfiguration der Knoten in Ihrer Umgebung, indem er festlegt [https://docs.chef.io/chef_client.html](https://docs.chef.io/chef_client.html), welche Chef-Rezepte auf den Knoten ausgeführt werden sollen, Informationen über Knoten speichert und als zentrales Repository für Ihre Chef-Kochbücher dient. AWS OpsWorks for Chef Automate bietet Chef-Server, die Premium-Funktionen von Chef Automate enthalten: Chef Infra und Chef. InSpec
Ein AWS OpsWorks for Chef Automate Server läuft auf einer Amazon Elastic Compute Cloud-Instance. AWS OpsWorks for Chef Automate Server sind so konfiguriert, dass sie die neueste Version von Amazon Linux (Amazon Linux 2) ausführen. Weitere Informationen über die Änderungen in dieser Version von Chef Automate finden Sie unter [Chef Automate – Versionshinweise](https://automate.chef.io/release-notes/?v=20190415203801). In der folgenden Tabelle werden die Chef-Komponenten beschrieben, die auf einem AWS OpsWorks for Chef Automate Server installiert sind.
| Name der Komponente | Description | Auf dem AWS OpsWorks for Chef Automate Server installierte Version |
| --- | --- | --- |
| Chef Automate | Chef Automate ist ein Software-Paket für Unternehmensserver, das einen automatisierten Workflow für kontinuierliche Bereitstellung und Einblicke zu verwalteten Knoten in einer Web-basierten Verwaltungskonsole bietet. Chef Automate bietet Infrastrukturautomatisierung durch Einbeziehung von Chef Infra, Sicherheits- und Compliance-Informationen und Durchsetzung durch die Einbeziehung von Chef InSpec sowie automatisierte Bereitstellung durch die Einbeziehung von Chef Habitat. Weitere Informationen zu Chef Automate finden Sie unter [Chef Automate](https://www.chef.io/products/automate/) auf der Chef-Website. | 2.0 |
| Chef Infra | Das bisher als Chef Server bezeichnete Chef Infra Server verwendet den Chef Infra Client (`chef-client`)-Agenten, um den verwalteten Knoten kontinuierlich Konfigurationen bereitzustellen, sodass ein Sollstatus aufrecht erhalten bleibt. Weitere Informationen zu Infra finden Sie unter [Chef Infra](https://www.chef.io/products/chef-infra/) auf der Chef-Website. | 12.x |
| Chefkoch InSpec | Chef InSpec beschreibt Sicherheits- und Compliance-Regeln, die von Softwareingenieuren, Betriebs- und Sicherheitsingenieuren gemeinsam genutzt werden können. Compliance, Sicherheit und andere Richtlinienanforderungen bilden das Frameworks für automatisierte Tests für verwaltete Knoten, mit denen der `chef-client`-Agent die konsistente Durchsetzung von Standards sicherstellen kann. Weitere Informationen zu finden Sie InSpec unter [Chef InSpec](https://www.chef.io/products/chef-inspec/) auf der Chef-Website. | 3.9.0 |
Die unterstützte Mindestversion von `chef-client` auf mit einem AWS OpsWorks for Chef Automate -Server verknüpften Knoten ist 13*x*. Wir empfehlen, mindestens 14.10.9 oder die aktuellste, `chef-client` stabilste Version auszuführen.
Wenn neue Nebenversionen der Chef-Software verfügbar werden, aktualisiert die Systemwartung die Nebenversion von Chef Automate und Chef Server automatisch auf dem Server, wenn sie den AWS-Test bestanden hat. AWS führt umfangreiche Tests durch, um sicherzustellen, dass Chef-Upgrades produktionsbereit sind und bestehende Kundenumgebungen nicht stören. Daher kann es zu Verzögerungen zwischen den Chef-Softwareversionen und ihrer Verfügbarkeit für die Anwendung auf bestehenden OpsWorks Chef Automate-Servern kommen. Die Systemwartung führt auch ein Upgrade Ihres Servers auf die neueste Version von Amazon Linux durch.
Sie können jeden lokalen Computer oder jede EC2 Instanz verbinden, auf der ein unterstütztes Betriebssystem ausgeführt wird und die Netzwerkzugriff auf einen Server hat. AWS OpsWorks for Chef Automate Eine Liste der unterstützten Betriebssysteme für die Knoten, die Sie verwalten möchten, finden Sie auf der [Chef-Website](https://docs.chef.io/platforms.html). Die [https://docs.chef.io/chef_client.html](https://docs.chef.io/chef_client.html)-Agent-Software ist auf Knoten installiert, die Sie mit einem Chef-Server verwalten möchten.
**Topics**
+ [Regionalunterstützung für AWS OpsWorks for Chef Automate](#opscm-region)
+ [AWS OpsWorks für Chef Automate End of Life FAQs](opscm-eol-faqs.md)
+ [Aktualisieren Sie einen AWS OpsWorks for Chef Automate Server auf Chef Automate 2](opscm-a2upgrade.md)
+ [Erste Schritte mit AWS OpsWorks for Chef Automate](gettingstarted-opscm.md)
+ [Erstellen Sie einen AWS OpsWorks for Chef Automate Server mit CloudFormation](opscm-create-server-cfn.md)
+ [Einen AWS OpsWorks for Chef Automate Server für die Verwendung einer benutzerdefinierten Domain aktualisieren](opscm-update-server-custom-domain.md)
+ [Regenerieren Sie das Starterkit für einen Server AWS OpsWorks for Chef Automate](opscm-regenerate-starterkit.md)
+ [Mit Tags auf AWS OpsWorks for Chef Automate Ressourcen arbeiten](opscm-tags.md)
+ [Einen AWS OpsWorks for Chef Automate Server sichern und wiederherstellen](opscm-backup-restore.md)
+ [Systemwartung in AWS OpsWorks for Chef Automate](opscm-maintenance.md)
+ [Konformitätsscans in AWS OpsWorks for Chef Automate](opscm-chefcompliance.md)
+ [Einen Knoten von einem AWS OpsWorks for Chef Automate Server trennen](opscm-disassociate-node.md)
+ [Einen AWS OpsWorks for Chef Automate Server löschen](opscm-delete-server.md)
+ [Zurücksetzen der Anmeldeinformationen für das Chef Automate-Dashboard](opscm-resetchefcreds.md)
+ [AWS OpsWorks for Chef Automate API-Aufrufe protokollieren mit AWS CloudTrail](logging-opsca-using-cloudtrail.md)
+ [Problembehebung AWS OpsWorks for Chef Automate](troubleshoot-opscm.md)
## Regionalunterstützung für AWS OpsWorks for Chef Automate
Die folgenden regionalen Endpunkte unterstützen AWS OpsWorks for Chef Automate Server. AWS OpsWorks for Chef Automate erstellt Ressourcen, die Ihren Chef-Servern zugeordnet sind, wie Instanzprofile, Benutzer und Servicerollen, auf demselben regionalen Endpunkt wie Ihr Chef-Server. Ihr Chef-Server muss sich in einer VPC befinden. Sie können eine VPC verwenden, die Sie erstellt oder bereits zur Verfügung haben, oder Sie verwenden die Standard-VPC.
+ Region USA Ost (Ohio)
+ Region USA Ost (Nord-Virginia)
+ Region USA West (Nordkalifornien)
+ Region USA West (Oregon)
+ Region Asien-Pazifik (Tokio)
+ Region Asien-Pazifik (Singapur)
+ Region Asien-Pazifik (Sydney)
+ Region Europa (Frankfurt)
+ Europe (Ireland) Region
# AWS OpsWorks für Chef Automate End of Life FAQs
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren.
**Topics**
+ [Wie werden bestehende Benutzer von diesem Lebensende betroffen sein?](#w2ab1b9c23b7)
+ [Was passiert mit meinen Servern, wenn ich nichts unternehme?](#w2ab1b9c23b9)
+ [Zu welchen Alternativen kann ich wechseln?](#w2ab1b9c23c11)
+ [Akzeptiert der Service immer noch neue Kunden?](#w2ab1b9c23c13)
+ [Wird das Ende des Lebens alle AWS-Regionen gleichzeitig betreffen?](#w2ab1b9c23c15)
+ [Welches Maß an technischem Support ist verfügbar?](#w2ab1b9c23c17)
+ [Ich bin ein aktueller Kunde von OpsWorks Chef Automate und muss einen Server in einem Konto starten, das den Dienst zuvor nicht genutzt hat. Bin ich dazu in der Lage?](#w2ab1b9c23c19)
+ [Wird es im nächsten Jahr wichtige Feature-Releases geben?](#w2ab1b9c23c21)
## Wie werden bestehende Benutzer von diesem Lebensende betroffen sein?
Bestehende Kunden sind bis zum 5. Mai 2024, dem Enddatum OpsWorks für Chef Automate, nicht betroffen. Nach dem Ende des Lebenszyklus können Kunden ihre Server nicht mehr über die OpsWorks Konsole oder API verwalten.
## Was passiert mit meinen Servern, wenn ich nichts unternehme?
Ab dem 5. Mai 2024 können Sie Ihre Server nicht mehr über die OpsWorks Konsole oder API verwalten. Zu diesem Zeitpunkt werden wir alle laufenden Verwaltungsfunktionen für Ihre Server wie Backups oder Wartungsarbeiten einstellen. Um die Auswirkungen auf die Kunden zu begrenzen, lassen wir alle EC2 Instanzen laufen, die Chef Automate-Server sichern. Ihre Lizenzen sind jedoch nicht mehr gültig, da die Nutzung nicht mehr im Rahmen des OpsWorks for Chef Automate-Servicevertrags mit Chef abgedeckt (oder in Rechnung gestellt) wird. Sie müssen sich an [Chef](https://www.chef.io/products/chef-saas/aws-opsworks-support) wenden, um eine neue Lizenz zu erhalten. Wenn Sie Chef kontaktieren, teilen Sie ihnen unbedingt mit, dass Sie bereits OpsWorks Kunde von Chef Automate sind und von OpsWorks dort wechseln.
## Zu welchen Alternativen kann ich wechseln?
AWS und Progress Chef empfehlen Ihnen, auf ihr neues Chef SaaS-Angebot zu migrieren, damit Sie weiterhin von einem vollständig verwalteten Chef Automate-Service profitieren können. Um mit Chef SaaS zu beginnen, können Sie sich an [Chef](https://www.chef.io/products/chef-saas/aws-opsworks-support) wenden, um Unterlagen zur Einrichtung eines Chef SaaS-Kontos und zur Übertragung Ihrer Daten und Knoten zu erhalten.
Wenn Chef SaaS Ihre Anforderungen nicht erfüllt, weil Sie Chef Automate lieber auf EC2 Instanzen in AWS Konten ausführen möchten, die Sie kontrollieren, bietet Chef mehrere Optionen, darunter ein [AWS Marketplace Bring Your Own License (BYOL) -Modell](https://aws.amazon.com/marketplace/pp/prodview-r26bs6uknftps) und Self-Hosting. EC2 Sie können sich an [Progress Chef](https://www.chef.io/products/chef-saas/aws-opsworks-support) wenden, um weitere Informationen zur Durchführung einer solchen Umstellung zu erhalten.
## Akzeptiert der Service immer noch neue Kunden?
Nein. AWS OpsWorks denn Chef Automate akzeptiert keine neuen Kunden mehr.
## Wird das Ende des Lebens alle AWS-Regionen gleichzeitig betreffen?
Ja. Die API und die Konsole werden das Ende ihrer Nutzungsdauer erreichen und ab dem 5. Mai 2024 insgesamt unbrauchbar sein. AWS-Regionen Informationen darüber, AWS-Regionen wo AWS OpsWorks Chef Automate verfügbar ist, finden Sie in der [Liste der AWS regionalen Dienste](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
## Welches Maß an technischem Support ist verfügbar?
AWS wird bis zum Ende des Lebenszyklus weiterhin das gleiche Maß an Support OpsWorks für Chef Automate bieten, das Kunden heute haben. Wenn Sie Fragen oder Bedenken haben, können Sie das AWS Support Team auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) kontaktieren. Für Unterstützung bei der Umstellung empfehlen wir Kunden, sich an [Progress](https://www.chef.io/products/chef-saas/aws-opsworks-support) Chef zu wenden.
## Ich bin ein aktueller Kunde von OpsWorks Chef Automate und muss einen Server in einem Konto starten, das den Dienst zuvor nicht genutzt hat. Bin ich dazu in der Lage?
Im Allgemeinen nicht, es sei denn, es liegen außergewöhnliche Umstände vor. Wenn du eine besondere Situation hast, kontaktiere das AWS Support Team auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) mit den Einzelheiten und der Begründung dafür und wir werden deine Anfrage prüfen.
## Wird es im nächsten Jahr wichtige Feature-Releases geben?
Nein. Da der Dienst das Ende seiner Nutzungsdauer erreicht, werden wir keine neuen Funktionen veröffentlichen. Wir werden jedoch weiterhin die Sicherheit verbessern und die Server bis zum Ende der Nutzungsdauer wie erwartet verwalten.
# Aktualisieren Sie einen AWS OpsWorks for Chef Automate Server auf Chef Automate 2
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
## Voraussetzungen für das Upgraden auf Chef Automate 2
Bevor Sie beginnen, sollten Sie die neuen Funktionen kennen, die mit Chef Automate 2 hinzugefügt werden, und die Funktionen, die Chef Automate 2 nicht unterstützt. Informationen über die neuen und nicht unterstützten Funktionen in Chef Automate 2 finden Sie in der [Dokumentation zu Chef Automate 2](https://automate.chef.io/docs/upgrade/#considerations) auf der Chef-Website.
Ein Server, auf dem Chef Automate 1 läuft, muss nach dem 1. November 2019 mindestens einmal erfolgreich gewartet worden sein, um für ein Upgrade infrage zu kommen.
Wie bei allen Wartungsarbeiten auf Ihrem AWS OpsWorks for Chef Automate Server ist der Server während des Upgrades offline. Sie sollten während des Upgrade-Prozesses eine Ausfallzeit von bis zu drei Stunden einplanen.
Sie benötigen für die Chef Automate Dashboard-Website die Anmeldeinformationen für diesen Server. Wenn das Upgrade abgeschlossen ist, sollten Sie sich beim Chef Automate Dashboard anmelden und sich vergewissern, dass Ihre Knoten und Konfigurationsinformationen nicht verändert wurden.
**Wichtig**
Wenn Sie bereit sind, Ihren AWS OpsWorks for Chef Automate Server auf Chef Automate 2 zu aktualisieren, verwenden Sie zum Upgrade nur die Anweisungen hier. Da viele Upgrade-Prozesse, wie z. B. die Erstellung von Backups, AWS OpsWorks for Chef Automate automatisiert werden, sollten Sie die Upgrade-Anweisungen auf der Chef-Website nicht befolgen.
## Informationen zum Upgrade-Prozess
Während des Upgrade-Prozesses wird Ihr Server vor Beginn und nach Abschluss des Upgrades gesichert. Folgende Sicherungen werden erstellt:
+ Ein Sicherung des Servers, wenn auf ihm noch Chef Automate 1 (Version 12.17.33) ausgeführt wird.
+ Eine Sicherung des Servers, nachdem das Upgrade abgeschlossen ist und auf dem Server Chef Automate 2 (Version 2019-08) ausgeführt wird.
Der Upgrade-Prozess beendet die EC2 Amazon-Instance, die der Server verwendet hat, als er Chef Automate 1 ausgeführt hat. Es wird eine neue Instance wird erstellt, um den Chef Automate 2-Server auszuführen.
## Upgrade auf Chef Automate 2 (Konsole)
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die OpsWorks Konsole unter [https://console.aws.amazon.com/opsworks/](https://console.aws.amazon.com/opsworks/).
1. Wählen Sie im linken Navigationsbereich die Option **AWS OpsWorks for Chef Automate** aus.
1. Wählen Sie einen Server, um sich seine Eigenschaftenseite anzeigen zu lassen. Ein blaues Banner oben auf der Seite sollte anzeigen, ob der Server für ein Upgrade auf Chef Automate 2 infrage kommt.
**Anmerkung**
Ein Server, auf dem Chef Automate 1 läuft, muss nach dem 1. November 2019 mindestens einmal erfolgreich gewartet worden sein, um für ein Upgrade infrage zu kommen.
1. Wenn der Server für ein Upgrade infrage kommt, wählen Sie **Start upgrade (Upgrade starten)** aus.
1. Das Upgrade kann bis zu drei Stunden dauern. Während des Upgrade-Prozesses wird auf der Eigenschaftenseite der Serverstatus als **Under maintenance (Wartungszustand)** angezeigt.
1. Nach Abschluss des Upgrades werden auf der Eigenschaftenseite die folgenden beiden Meldungen angezeigt: **Successfully upgraded to Automate 2 (Erfolgreiches Upgrade auf Automate 2)** und **Maintenance completed successfully (Wartung erfolgreich abgeschlossen)**. Der Serverstatus sollte **HEALTHY (FEHLERFREI)** lauten.
1. Melden Sie sich mit Ihren vorhandenen Anmeldeinformationen beim Chef Automate Dashboard an, und vergewissern Sie sich, ob Ihre Knoten korrekt melden.
## Upgrade auf Chef Automate 2 (CLI)
1. (Optional) Wenn Sie nicht sicher sind, welche Ihrer AWS OpsWorks for Chef Automate Server für ein Upgrade in Frage kommen, führen Sie den folgenden Befehl aus. Achten Sie darauf, den `--region` Parameter hinzuzufügen, wenn Sie AWS OpsWorks for Chef Automate Server in einer AWS-Region auflisten möchten, die sich von Ihrer Standard-AWS-Region unterscheidet.
```
aws opsworks-cm describe-servers
```
Suchen Sie in den Ergebnissen nach dem a-Wert von `true` für das Attribut `CHEF_MAJOR_UPGRADE_AVAILABLE`. Dies zeigt an, dass der Server für ein Upgrade auf Chef Automate 2 infrage kommt. Notieren Sie sich die Namen der AWS OpsWorks for Chef Automate Server, die für ein Upgrade in Frage kommen.
1. Führen Sie den folgenden Befehl aus und *server\$1name* ersetzen Sie ihn durch den Namen eines AWS OpsWorks for Chef Automate Servers. Um statt einer routinemäßigen Systemwartung das Upgrade auf Chef Automate 2 durchzuführen, fügen Sie wie im Befehl gezeigt das `CHEF_MAJOR_UPGRADE` Engine-Attribut hinzu. Fügen Sie den `--region`-Parameter hinzu, wenn sich der Zielserver nicht in Ihrer AWS-Standardregion befindet. Sie können nur einen Server pro Befehl upgraden.
```
aws opsworks-cm start-maintenance --server-name server_name --engine-attributes Name=CHEF_MAJOR_UPGRADE,Value=true --region region
```
Wenn der Server aus irgendeinem Grund AWS OpsWorks for Chef Automate nicht aktualisiert werden kann, führt dieser Befehl zu einer Validierungsausnahme.
1. Das Upgrade kann bis zu drei Stunden dauern. Sie können den Upgrade-Status regelmäßig überprüfen, indem Sie den folgenden Befehl ausführen.
```
aws opsworks-cm describe-servers --server-name server_name
```
Suchen Sie in den Ergebnissen nach dem `Status`-Wert. Ein `Status` von `UNDER_MAINTENANCE` bedeutet, dass das Upgrade noch im Gange ist. Ein erfolgreiches Upgrade gibt Meldungen ähnlich den folgenden zurück.
```
2019/10/24 00:27:56 UTC Successfully upgraded to Automate 2.
2019/10/23 23:50:38 UTC Upgrading Chef server from Automate 1 to Automate 2
```
Wenn das Upgrade nicht erfolgreich war, AWS OpsWorks for Chef Automate wird Ihr Server automatisch auf Chef Automate 1 zurückgesetzt.
Wenn das Upgrade erfolgreich war, der Server aber nicht mehr so funktioniert wie vor dem Upgrade (z. B. wenn verwaltete Knoten nicht melden), können Sie den Server manuell zurücksetzen. Informationen zum manuellen Zurücksetzen finden Sie unter [Einen AWS OpsWorks for Chef Automate Server auf Chef Automate 1 (CLI) zurücksetzen](#opscm-a2upgrade-rollback-cli).
## Einen AWS OpsWorks for Chef Automate Server auf Chef Automate 1 (CLI) zurücksetzen
Wenn der Upgrade-Vorgang fehlschlägt, AWS OpsWorks for Chef Automate wird Ihr Server automatisch auf Chef Automate 1 zurückgesetzt. Wenn das Upgrade erfolgreich war, der Server jedoch nicht mehr so funktioniert wie vor dem Upgrade, können Sie Ihren AWS OpsWorks for Chef Automate Server manuell auf Chef Automate 1 zurücksetzen, indem Sie den verwenden AWS CLI.
1. Führen Sie den folgenden Befehl aus, um die `BackupId` der letzten Sicherung anzuzeigen, die auf Ihrem Server vor dem Upgrade-Versuch durchgeführt wurde. Fügen Sie den `--region`-Parameter hinzu, wenn sich Ihr Server in einer AWS-Region befindet, die sich von Ihrer AWS-Standardregion unterscheidet.
```
aws opsworks-cm describe-backups server_name
```
Backup IDs sind im Format*ServerName-yyyyMMddHHmmssSSS*. Suchen Sie in den Ergebnissen nach den folgenden Eigenschaften von Chef Automate 1.
```
"Engine": "Chef"
"EngineVersion": "12.17.33"
```
1. Führen Sie den folgenden Befehl aus, wobei Sie die in Schritt 1 zurückgegebene Sicherungs-ID als Wert von `--backup-id` verwenden.
```
aws opsworks-cm restore-server --server-name server_name --backup-id ServerName-yyyyMMddHHmmssSSS
```
Je nach Menge der Daten, die Sie auf dem Server gespeichert haben, dauert die Wiederherstellung des Servers zwischen 20 Minuten und drei Stunden. Während des Wiederherstellungsvorgangs weist der Server den Status `RESTORING` auf. Dieser Status wird auf der Eigenschaftenseite des Servers in angezeigt und in den Ergebnissen des **describe-servers** Befehls zurückgegeben. AWS-Managementkonsole
1. Nach Abschluss der Wiederherstellung zeigt die Konsole die Meldung **Restore completed successfully (Wiederherstellung erfolgreich abgeschlossen)** an. Ihr AWS OpsWorks for Chef Automate Server ist online, und zwar genauso wie vor Beginn des Upgrade-Vorgangs.
## Weitere Informationen finden Sie unter:
+ [Systemwartung in AWS OpsWorks for Chef Automate](opscm-maintenance.md)
+ [Einen AWS OpsWorks for Chef Automate Server aus einem Backup wiederherstellen](opscm-chef-restore.md)
+ [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html) in der *OpsWorks -API-Referenz*
+ [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_StartMaintenance.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_StartMaintenance.html) in der *OpsWorks -API-Referenz*
# Erste Schritte mit AWS OpsWorks for Chef Automate
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Nutzungsdauer erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
AWS OpsWorks for Chef Automate ermöglicht es Ihnen, einen [Chef Automate-Server](https://www.chef.io/automate/) in zu betreiben. AWS Sie können in etwa 15 Minuten einen Chef-Server bereitstellen.
AWS OpsWorks for Chef Automate Speichert ab dem 3. Mai 2021 einige Chef Automate-Serverattribute in AWS Secrets Manager. Weitere Informationen finden Sie unter [Integration mit AWS Secrets Manager](data-protection.md#data-protection-secrets-manager).
Die folgende exemplarische Vorgehensweise hilft Ihnen bei der Erstellung Ihres ersten Chef-Servers in AWS OpsWorks for Chef Automate.
## Voraussetzungen
Bevor Sie beginnen, müssen Sie die folgenden Voraussetzungen erfüllen.
**Topics**
+ [Einrichten einer VPC](#set-up-vpc)
+ [Voraussetzungen für die Verwendung einer benutzerdefinierten Domäne (optional)](#gettingstarted-opscm-prereq-customdomain)
+ [Richten Sie ein EC2 Schlüsselpaar ein (optional)](#gettingstarted-opscm-prereq-keypair)
### Einrichten einer VPC
Ihr AWS OpsWorks for Chef Automate Server muss in einer Amazon Virtual Private Cloud betrieben werden. Sie können den Server zu einer vorhandenen VPC hinzufügen, die Standard-VPC verwenden oder eine neue VPC erstellen. Informationen zu Amazon VPC und zur Erstellung einer neuen VPC finden Sie im [Amazon VPC Getting](https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/) Started Guide.
Selbst erstellte oder vorhandene VPCs müssen folgende Einstellungen oder Eigenschaften aufweisen.
+ Die VPC sollte über mindestens ein Subnetz verfügen.
**Wenn Ihr AWS OpsWorks for Chef Automate Server öffentlich zugänglich sein soll, machen Sie das Subnetz öffentlich und aktivieren Sie Auto-Assign Public IP.**
+ **DNS resolution (DNS-Auflösung)** muss aktiviert sein.
+ Aktivieren Sie auf dem Subnetz **Auto-assign public IP (Öffentliche IP automatisch zuweisen)**.
### Voraussetzungen für die Verwendung einer benutzerdefinierten Domäne (optional)
Sie können Ihren Chef Automate-Server in Ihrer eigenen Domäne einrichten und einen öffentlichen Endpunkt in einer benutzerdefinierten Domäne angeben, der als Endpunkt Ihres Servers verwendet werden soll. Wenn Sie eine benutzerdefinierte Domäne verwenden, sind alle der folgenden Anforderungen erforderlich, wie in diesem Abschnitt ausführlich beschrieben.
**Topics**
+ [Einrichten einer benutzerdefinierten Domäne](#gettingstarted-opscm-prereq-domain)
+ [Anfordern eines Zertifikats](#gettingstarted-opscm-prereq-cert)
+ [Anfordern eines privaten Schlüssels](#gettingstarted-opscm-prereq-privatekey)
#### Einrichten einer benutzerdefinierten Domäne
Um Ihren Chef Automate-Server in Ihrer eigenen benutzerdefinierten Domäne ausführen zu können, benötigen Sie einen öffentlichen Endpunkt eines Servers, z. B. `https://aws.my-company.com`. Wenn Sie eine benutzerdefinierte Domäne angeben, müssen Sie auch ein Zertifikat und einen privaten Schlüssel bereitstellen, wie in den vorherigen Abschnitten beschrieben.
Um auf den Server zuzugreifen, nachdem Sie ihn erstellt haben, fügen Sie einen CNAME-DNS-Eintrag in Ihrem bevorzugten DNS-Dienst hinzu. Dieser Datensatz muss die benutzerdefinierte Domäne auf den Endpunkt (den Wert des Serverattributs `Endpoint`) verweisen, der durch den Erstellungsprozess des Chef Automate-Servers generiert wird. Sie können nicht mit dem generierten `Endpoint`-Wert auf den Server zugreifen, wenn der Server eine benutzerdefinierte Domain verwendet.
#### Anfordern eines Zertifikats
Zum Einrichten Ihres Chef Automate-Servers in Ihrer eigenen benutzerdefinierten Domäne benötigen Sie ein PEM-formatiertes HTTPS-Zertifikat. Dabei kann es sich um ein einzelnes, selbstsigniertes Zertifikat oder um eine Zertifikatkette handeln. Wenn Sie dieses Zertifikat angeben, müssen Sie auch eine benutzerdefinierte Domäne und einen privaten Schlüssel angeben, wenn Sie den Workflow **Create Chef Automate Server (Chef Automate-Server erstellen)** durchführen.
Für den Zertifikatwert gelten folgende Anforderungen:
+ Sie können entweder ein selbstsigniertes, benutzerdefiniertes Zertifikat oder die vollständige Zertifikatkette bereitstellen.
+ Das Zertifikat muss ein gültiges X509-Zertifikat oder eine Zertifikatkette im PEM-Format sein.
+ Das Zertifikat muss zum Zeitpunkt des Hochladens gültig sein. Sie können ein Zertifikat nicht vor Beginn des Gültigkeitszeitraums (das Datum `NotBefore` des Zertifikats) oder nach Ablauf der Gültigkeit (das Datum `NotAfter` des Zertifikats) hochladen.
+ Der allgemeine Name des Zertifikats oder die alternativen Namen des Antragstellers (SANs), sofern vorhanden, müssen mit dem benutzerdefinierten Domänenwert übereinstimmen.
+ Das Zertifikat muss mit dem Wert des Felds **Custom private key (Benutzerdefinierter privater Schlüssel)** übereinstimmen.
#### Anfordern eines privaten Schlüssels
Um Ihren Chef Automate-Server in Ihrer eigenen benutzerdefinierten Domäne einzurichten, benötigen Sie einen privaten Schlüssel im PEM-Format, um eine Verbindung mit dem Server mithilfe von HTTPS herzustellen. Der private Schlüssel darf nicht verschlüsselt sein; er kann nicht durch ein Passwort oder eine Passphrase geschützt werden. Wenn Sie einen benutzerdefinierten privaten Schlüssel angeben, müssen Sie auch eine benutzerdefinierte Domäne und ein Zertifikat bereitstellen.
### Richten Sie ein EC2 Schlüsselpaar ein (optional)
Für die typische Verwaltung des Chef-Servers ist eine SSH-Verbindung weder erforderlich noch empfehlenswert. Sie können zur Durchführung der meisten Verwaltungsaufgaben auf Ihrem Chef-Server [https://docs.chef.io/knife.html](https://docs.chef.io/knife.html)-Befehle verwenden.
Ein EC2 key pair ist erforderlich, um über SSH eine Verbindung zu Ihrem Server herzustellen, falls Sie das Anmeldekennwort für das Chef Automate-Dashboard verlieren oder ändern möchten. Sie können ein bestehendes Schlüsselpaar verwenden oder ein neues Schlüsselpaar erstellen. Weitere Informationen zum Erstellen eines neuen EC2 key pair finden Sie unter [ EC2 Amazon-Schlüsselpaare](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html).
Wenn Sie kein EC2 key pair benötigen, können Sie einen Chef-Server erstellen.
# Erstellen eines Chef Automate-Servers
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Sie können einen Chef-Server mithilfe der AWS OpsWorks for Chef Automate Konsole oder der erstellen. AWS CLI
**Topics**
+ [Erstellen Sie einen Chef Automate-Server im AWS-Managementkonsole](#gettingstarted-opscm-create-console)
+ [Erstellen Sie einen Chef Automate-Server mit dem AWS CLI](#gettingstarted-opscm-create-cli)
## Erstellen Sie einen Chef Automate-Server im AWS-Managementkonsole
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die OpsWorks Konsole unter [https://console.aws.amazon.com/opsworks/](https://console.aws.amazon.com/opsworks/).
1. Wählen Sie auf der OpsWorks Startseite **Go to OpsWorks für Chef Automate** aus.
![\[OpsWorks Service-Startseite\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opspup_day0.png)
1. Wählen Sie auf der AWS OpsWorks for Chef Automate Startseite **Create Chef Automate Server** aus.
![\[Chef Automate-Servers – Home\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_dashboardhome.png)
1. Geben Sie auf der Seite **Set name, region, and type (Name, Region und Typ festlegen)** einen Namen für Ihren Server an. Chef-Servernamen dürfen maximal 40 Zeichen lang sein und nur alphanumerische Zeichen und Bindestriche enthalten. Wählen Sie erst eine unterstützte Region und dann einen Instance-Typ aus, der die Anzahl der Knoten unterstützt, die Sie verwalten möchten. Sie können bei Bedarf den Instance-Typ ändern, nachdem Ihr Server erstellt wurde. Für diese exemplarische Vorgehensweise erstellen wir einen Instance-Typ **m5.large** in der Region USA West (Oregon). Wählen Sie **Weiter** aus.
![\[Seite "Set name, region and type (Name, Region und Typ festlegen)"\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_setname.png)
1. Behalten Sie auf der Seite **Configure server (Server konfigurieren)** in der Dropdown-Liste **SSH key (SSH-Schlüssel)** die Standardeinstellung bei, es sei denn, Sie möchten ein Schlüsselpaar angeben.
![\[Seite "Select an SSH key (SSH-Schlüsselpaar auswählen)"\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_keypair.png)
1. Behalten Sie unter **Specify server endpoint (Serverendpunkt angeben)** die Standardeinstellung **Use an automatically generated endpoint (Automatisch generierten Endpunkt verwenden)** bei und wählen Sie dann **Next (Weiter)**, es sei denn, der Server soll sich in einer eigenen benutzerdefinierten Domäne befinden. Fahren Sie mit dem nächsten Schritt fort, um eine benutzerdefinierte Domäne zu konfigurieren.
![\[Angeben eines Serverendpunktabschnitts\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_use_auto_endpoint.png)
1. Um eine benutzerdefinierte Domäne zu verwenden, wählen Sie unter **Specify server endpoint (Serverendpunkt angeben)** aus der Dropdown-Liste die Option **Use a custom domain (Benutzerdefinierte Domäne verwenden)** aus.
![\[Verwenden eines benutzerdefinierten Domänennamens\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_use_custom_domain.png)
1. Geben Sie für **Fully Qualified Domain Name (FQDN)** einen FQDN an. Sie müssen Eigentümer des Domänennamens sein, den Sie verwenden möchten.
1. Fügen Sie unter **SSL certificate (SSL-Zertifikat)** das gesamte PEM-formatierte Zertifikat ein, beginnend mit `–––--BEGIN CERTIFICATE-----` und endend mit `–––--END CERTIFICATE-----`. Der Antragssteller des SSL-Zertifikats muss mit dem FQDN übereinstimmen, den Sie im vorherigen Schritt eingegeben haben.
1. Fügen Sie unter **SSL private key (Privater SSL-Schlüssel)** den gesamten privaten RSA-Schlüssel ein, beginnend mit `–––--BEGIN RSA PRIVATE KEY-----` und endend mit `–––--END RSA PRIVATE KEY-----`. Der private SSL-Schlüssel muss mit dem öffentlichen Schlüssel im SSL-Zertifikat übereinstimmen, das Sie im vorherigen Schritt eingegeben haben. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der Seite **Configure advanced settings (Erweiterte Einstellungen konfigurieren)** im Bereich **Network and security (Netzwerk und Sicherheit)** eine VPC, ein Subnetz und mindestens eine Sicherheitsgruppe aus. Die folgenden Anforderungen gelten für Ihre VPC:
+ Die VPC muss über mindestens ein öffentliches Subnetz verfügen.
+ Die DNS-Auflösung muss aktiviert sein.
+ **Auto-assign public IP (Öffentliche IP automatisch zuweisen)** muss in öffentlichen Subnetzen aktiviert sein.
OpsWorks kann eine Sicherheitsgruppe, eine Servicerolle und ein Instanzprofil für Sie generieren, falls Sie noch keine haben, die Sie verwenden möchten. Der Server kann zu mehreren Sicherheitsgruppen gehören. Sie können die Netzwerk- und Sicherheitseinstellungen für den Chef-Server nicht ändern, nachdem Sie diese Seite verlassen haben.
![\[Network and security (Netzwerk und Sicherheit)\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_networksec.png)
1. Legen Sie im Abschnitt **System maintenance (Systemwartung)** den Tag und die Uhrzeit fest, zu der die Systemwartung beginnen soll. Da der Server während der Systemwartung offline ist, wählen Sie eine Uhrzeit innerhalb der normalen Geschäftszeiten mit geringer Server-Nachfrage aus. Die verbundenen Knoten nehmen den Zustand `pending-server` an, bis die Wartung abgeschlossen ist.
Das Wartungsfenster muss angegeben werden. Sie können den Starttag und die Startzeit später ändern, indem Sie den AWS-Managementkonsole AWS CLI, oder den verwenden APIs.
![\[Systemwartung\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_sysmaint.png)
1. Konfigurieren Sie die Sicherungen. Standardmäßig sind automatische Sicherungen aktiviert. Legen Sie eine bevorzugte Häufigkeit und Stunde für den Start der automatischen Sicherung sowie die Anzahl der Backup-Generationen fest, die in Amazon Simple Storage Service gespeichert werden sollen. Es werden maximal 30 Backups aufbewahrt. Wenn das Maximum erreicht ist, werden die ältesten Backups AWS OpsWorks for Chef Automate gelöscht, um Platz für neue zu schaffen.
![\[Automatische Backups\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_backupconfig.png)
1. (Optional) Fügen Sie unter **Tags** Tags dem Server und den zugehörigen Ressourcen wie der EC2 Instanz, der Elastic IP-Adresse, der Sicherheitsgruppe, dem S3-Bucket und Backups hinzu. Weitere Informationen zum Taggen eines AWS OpsWorks for Chef Automate Servers finden Sie unter[Mit Tags auf AWS OpsWorks for Chef Automate Ressourcen arbeiten](opscm-tags.md).
1. Wenn Sie die erweiterten Einstellungen fertig konfiguriert haben, wählen Sie **Next (Weiter)** aus.
1. Überprüfen Sie auf der Seite **Review (Prüfen)** Ihre Auswahl. Wenn Sie bereit sind, den Server zu erstellen, wählen Sie **Launch (Starten)** aus.
Während Sie darauf warten, Ihren Chef-Server OpsWorks zu erstellen, fahren Sie mit dem Starter Kit [Konfigurieren des Chef-Servers mit dem Starter Kit](opscm-starterkit.md) und den Anmeldedaten für das Chef Automate-Dashboard fort und laden Sie sie herunter. Warten Sie nicht mit dem Herunterladen dieser Elemente, bis Ihre Server online ist.
Nach Beendigung der Servererstellung ist Ihr Chef-Server auf der AWS OpsWorks for Chef Automate -Homepage mit dem Status **online (Online)** verfügbar. Nachdem sich der Server online befindet, ist das Chef Automate-Dashboard auf der Server-Domäne mit einer URL mit folgendem Format verfügbar: `https://your_server_name-random.region.opsworks-cm.io`.
## Erstellen Sie einen Chef Automate-Server mit dem AWS CLI
Das Erstellen eines AWS OpsWorks for Chef Automate Servers durch Ausführen von AWS CLI Befehlen unterscheidet sich vom Erstellen eines Servers in der Konsole. OpsWorks Erstellt in der Konsole eine Dienstrolle und eine Sicherheitsgruppe für Sie, falls Sie keine vorhandenen angeben, die Sie verwenden möchten. In der OpsWorks kann eine Sicherheitsgruppe für Sie erstellen AWS CLI, wenn Sie keine angeben, aber es wird nicht automatisch eine Servicerolle erstellt. Sie müssen als Teil Ihres `create-server` Befehls eine Dienstrollen-ARN angeben. Während OpsWorks Sie Ihren Chef Automate-Server erstellen, laden Sie in der Konsole das Chef Automate-Starterkit und die Anmeldeinformationen für das Chef Automate-Dashboard herunter. Da Sie dies nicht tun können, wenn Sie einen AWS OpsWorks for Chef Automate Server mithilfe von erstellen AWS CLI, verwenden Sie ein JSON-Verarbeitungsprogramm, um die Anmeldeinformationen und das Starterkit aus den Ergebnissen des `create-server` Befehls abzurufen, nachdem Ihr neuer AWS OpsWorks for Chef Automate Server online ist. Alternativ können Sie neue Anmeldeinformationen und ein neues Starter Kit in der Konsole generieren, nachdem der neue AWS OpsWorks for Chef Automate -Server online ist.
Wenn auf Ihrem lokalen Computer das noch nicht ausgeführt wird AWS CLI, laden Sie es herunter und installieren Sie es, AWS CLI indem Sie den [Installationsanweisungen](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) im *AWS-Benutzerhandbuch für die Befehlszeilenschnittstelle* folgen. In diesem Abschnitt werden nicht alle Parameter beschrieben, die Sie mit dem Befehl `create-server` verwenden können. Weitere Informationen zu den `create-server`-Parametern finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/create-server.html](https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/create-server.html) in der *AWS CLI -Referenz*.
1. Stellen Sie sicher, dass Sie die Voraussetzungen, insbesondere [Einrichten einer VPC](gettingstarted-opscm.md#set-up-vpc) erfüllen, oder dass Sie über eine VPC verfügen, die Sie verwenden möchten. Zum Erstellen Ihres Chef Automate-Servers benötigen Sie eine Subnetz-ID.
1. Generieren Sie optional einen pivotalen Chef-Schlüssel mit [OpenSSL](https://www.openssl.org/) und speichern Sie den Schlüssel in einer sicheren Datei auf Ihrem lokalen Computer. Der pivotale Schlüssel wird im Rahmen der Servererstellung automatisch generiert, wenn Sie keinen im Befehl `create-server` angeben. Wenn Sie diesen Schritt überspringen möchten, können Sie stattdessen einen pivotalen Chef Automate-Schlüssel aus den Ergebnissen des Befehls `create-server` extrahieren. Wenn Sie den Zentralschlüssel mithilfe der folgenden Befehle generieren, schließen Sie unbedingt den Parameter `-pubout` ein, da der Wert des Chef Automate-Zentralschlüssels die öffentliche Hälfte des RSA-Schlüsselpaares ist. Weitere Informationen finden Sie in Schritt 6.
```
umask 077
openssl genrsa -out "pivotal" 2048
openssl rsa -in "pivotal" -pubout
```
1. Erstellen Sie eine Servicerolle und ein Instanzprofil.
1. Suchen und kopieren Sie ARNs die Servicerollen in Ihrem Konto.
```
aws iam list-roles --path-prefix "/service-role/" --no-paginate
```
Suchen Sie in den Ergebnissen des Befehls `list-roles` nach Servicerollen-ARN-Einträgen, die dem folgenden ähneln. Notieren Sie sich die Servicerolle ARNs. Sie benötigen diese Werte zum Erstellen Ihres Chef Automate-Servers.
1. Suchen und kopieren Sie ARNs die Instanzprofile in Ihrem Konto.
```
aws iam list-instance-profiles --no-paginate
```
Suchen Sie in den Ergebnissen des Befehls `list-instance-profiles` nach Instance-Profil-ARN-Einträgen, die dem folgenden ähneln. Notieren Sie sich das Instanzprofil ARNs. Sie benötigen diese Werte zum Erstellen Ihres Chef Automate-Servers.
1. Erstellen Sie den AWS OpsWorks for Chef Automate Server, indem Sie den `create-server` Befehl ausführen.
+ Der Wert `--engine` ist `ChefAutomate`, `--engine-model` ist `Single` und `--engine-version` ist `12`.
+ Der Servername muss innerhalb Ihres AWS Kontos in jeder Region eindeutig sein. Servernamen müssen mit einem Buchstaben beginnen. Danach können Buchstaben, Zahlen und Bindestriche (-) verwendet werden, insgesamt höchstens 40 Zeichen.
+ Verwenden Sie die ARNs des Instance-Profils und der Servicerolle, die Sie in Schritt 4 und 5 kopiert haben.
+ Gültige Instance-Typen sind `m5.large`, `r5.xlarge` und `r5.2xlarge`. Weitere Informationen zu den Spezifikationen dieser Instance-Typen finden Sie unter [Instance-Typen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html) im * EC2 Amazon-Benutzerhandbuch*.
+ Der Parameter `--engine-attributes` ist optional. Wenn Sie nicht einen oder beide Werte festlegen, werden die Werte bei der Servererstellung für Sie generiert. Wenn Sie `--engine-attributes` hinzufügen, geben Sie entweder den Wert `CHEF_AUTOMATE_PIVOTAL_KEY`, den Sie in Schritt 2 generiert haben, ein `CHEF_AUTOMATE_ADMIN_PASSWORD` oder beides an.
Wenn Sie keinen Wert für `CHEF_AUTOMATE_ADMIN_PASSWORD` festlegen, wird ein Passwort für Sie generiert und in der Antwort des Befehls `create-server` zurückgegeben. Sie können auch das Starter Kit in der Konsole erneut herunterladen, um dieses Passwort erneut zu generieren. Das Passwort muss eine Länge zwischen 8 und 32 Zeichen haben. Das Passwort kann Buchstaben, Zahlen und Sonderzeichen (`!/@#$%^+=_`) enthalten. Es muss mindestens einen Kleinbuchstaben, einen Großbuchstaben, eine Zahl und ein Sonderzeichen enthalten.
+ Ein SSH-Schlüsselpaar ist optional. Es kann Ihnen dabei helfen, sich mit dem Chef Automate-Server zu verbinden, wenn Sie das Administratorpasswort des Chef Automate-Dashboards zurücksetzen müssen. Weitere Informationen zum Erstellen eines SSH-Schlüsselpaars finden Sie unter [Amazon EC2 Key Pairs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html) im * EC2 Amazon-Benutzerhandbuch*.
+ Um eine benutzerdefinierte Domäne zu verwenden, fügen Sie dem Befehl die folgenden Parameter hinzu. Andernfalls generiert der Erstellungsprozess des Chef Automate-Servers automatisch einen Endpunkt für Sie. Alle drei Parameter sind erforderlich, um eine benutzerdefinierte Domäne zu konfigurieren. Informationen zu zusätzlichen Anforderungen für die Verwendung dieser Parameter finden Sie [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html)in der OpsWorks CM-API-Referenz.
+ `--custom-domain` – Ein optionaler öffentlicher Endpunkt eines Servers, z. B. `https://aws.my-company.com`.
+ `--custom-certificate` – Ein PEM-formatiertes HTTPS-Zertifikat. Der Wert kann ein einzelnes, selbstsigniertes Zertifikat oder eine Zertifikatkette sein.
+ `--custom-private-key` – Ein privater Schlüssel im PEM-Format für die Verbindung mit dem Server mithilfe von HTTPS. Der private Schlüssel darf nicht verschlüsselt sein; er kann nicht durch ein Passwort oder eine Passphrase geschützt werden.
+ Es ist eine wöchentliche Systemwartung erforderlich. Gültige Werte müssen im folgenden Format angegeben werden: `DDD:HH:MM`. Die angegebene Uhrzeit entspricht der Zeitzone UTC (Coordinated Universal Time). Wenn Sie für `--preferred-maintenance-window` keinen Wert angeben, wird ein zufälliger Standardwert mit einem einstündigen Zeitraum an einem Dienstag, Mittwoch oder Freitag festgelegt.
+ Gültige Werte für `--preferred-backup-window` müssen in einem der folgenden Formate angegeben werden: `HH:MM` für tägliche Sicherungen oder `DDD:HH:MM` für wöchentliche Sicherungen. Die angegebene Uhrzeit entspricht der Zeitzone UTC. Standardmäßig wird ein zufälliger täglicher Startzeitpunkt festgelegt. Wenn Sie automatische Sicherungen deaktivieren möchten, verwenden Sie stattdessen den Parameter `--disable-automated-backup`.
+ Geben Sie für `--security-group-ids` eine oder mehrere Sicherheitsgruppen IDs, getrennt durch ein Leerzeichen, ein.
+ Geben Sie für `--subnet-ids` eine Subnetz-ID ein.
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" --server-name "server_name" --instance-profile-arn "instance_profile_ARN" --instance-type "instance_type" --engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"pivotal_key","CHEF_AUTOMATE_ADMIN_PASSWORD":"password"}' --key-pair "key_pair_name" --preferred-maintenance-window "ddd:hh:mm" --preferred-backup-window "ddd:hh:mm" --security-group-ids security_group_id1 security_group_id2 --service-role-arn "service_role_ARN" --subnet-ids subnet_ID
```
Im Folgenden wird ein -Beispiel gezeigt.
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" --server-name "automate-06" --instance-profile-arn "arn:aws:iam::12345678912:instance-profile/aws-opsworks-cm-ec2-role" --instance-type "m5.large" --engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"MZZE...Wobg","CHEF_AUTOMATE_ADMIN_PASSWORD":"zZZzDj2DLYXSZFRv1d"}' --key-pair "amazon-test" --preferred-maintenance-window "Mon:08:00" --preferred-backup-window "Sun:02:00" --security-group-ids sg-b00000001 sg-b0000008 --service-role-arn "arn:aws:iam::12345678912:role/service-role/aws-opsworks-cm-service-role" --subnet-ids subnet-300aaa00
```
Im folgenden Beispiel wird ein Chef Automate-Server erstellt, der eine benutzerdefinierte Domäne verwendet.
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" \
--server-name "my-custom-domain-server" \
--instance-profile-arn "arn:aws:iam::12345678912:instance-profile/aws-opsworks-cm-ec2-role" \
--instance-type "m5.large" \
--engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"MZZE...Wobg","CHEF_AUTOMATE_ADMIN_PASSWORD":"zZZzDj2DLYXSZFRv1d"}' \
--custom-domain "my-chef-automate-server.my-corp.com" \
--custom-certificate "-----BEGIN CERTIFICATE----- EXAMPLEqEXAMPLE== -----END CERTIFICATE-----" \
--custom-private-key "-----BEGIN RSA PRIVATE KEY----- EXAMPLEqEXAMPLE= -----END RSA PRIVATE KEY-----" \
--key-pair "amazon-test" \
--preferred-maintenance-window "Mon:08:00" \
--preferred-backup-window "Sun:02:00" \
--security-group-ids sg-b00000001 sg-b0000008 \
--service-role-arn "arn:aws:iam::12345678912:role/service-role/aws-opsworks-cm-service-role" \
--subnet-ids subnet-300aaa00
```
Im folgenden Beispiel wird ein Chef Automate-Server erstellt, der zwei Tags hinzufügt: `Stage: Production` und `Department: Marketing`. Weitere Informationen zum Hinzufügen und Verwalten von Tags auf AWS OpsWorks for Chef Automate Servern finden Sie [Mit Tags auf AWS OpsWorks for Chef Automate Ressourcen arbeiten](opscm-tags.md) in diesem Handbuch.
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" \
--server-name "my-test-chef-server" \
--instance-profile-arn "arn:aws:iam::12345678912:instance-profile/aws-opsworks-cm-ec2-role" \
--instance-type "m5.large" \
--engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"MZZE...Wobg","CHEF_AUTOMATE_ADMIN_PASSWORD":"zZZzDj2DLYXSZFRv1d"}' \
--key-pair "amazon-test" \
--preferred-maintenance-window "Mon:08:00" \
--preferred-backup-window "Sun:02:00" \
--security-group-ids sg-b00000001 sg-b0000008 \
--service-role-arn "arn:aws:iam::12345678912:role/service-role/aws-opsworks-cm-service-role" \
--subnet-ids subnet-300aaa00 \
--tags [{\"Key\":\"Stage\",\"Value\":\"Production\"},{\"Key\":\"Department\",\"Value\":\"Marketing\"}]
```
1. AWS OpsWorks for Chef Automate dauert etwa 15 Minuten, um einen neuen Server zu erstellen. Sie sollten die Ausgabe des Befehls `create-server` nicht verwerfen oder die Shell-Sitzung beenden, da die Ausgabe wichtige Informationen enthalten kann, die nicht wiederhergestellt werden können. Um Passwörter und das Starter Kit aus den Ergebnissen von `create-server` zu extrahieren, fahren Sie mit dem nächsten Schritt fort.
Wenn Sie eine benutzerdefinierte Domäne mit dem Server verwenden, kopieren Sie in der Ausgabe des Befehls `create-server` den Wert des Attributs `Endpoint`. Im Folgenden wird ein -Beispiel gezeigt.
```
"Endpoint": "automate-07-exampleexample.opsworks-cm.us-east-1.amazonaws.com"
```
1. Wenn Sie sich dafür entschieden haben, einen Schlüssel und ein Passwort für Sie AWS OpsWorks for Chef Automate generieren zu lassen, können Sie diese mithilfe eines JSON-Prozessors wie [jq](https://stedolan.github.io/jq/) in verwendbaren Formaten aus den `create-server` Ergebnissen extrahieren. Nachdem Sie [jq](https://stedolan.github.io/jq/) installiert haben, können Sie die folgenden Befehle ausführen, um den pivotalen Schlüssel, das Administratorpasswort für das Chef Automate-Dashboard und das Starter Kit zu extrahieren. Wenn Sie in Schritt 4 keinen eigenen pivotalen Schlüssel und ein eigenes Passwort angegeben haben, speichern Sie den extrahierten pivotalen Schlüssel und das extrahierte Administratorpasswort an einem sicheren Speicherort.
```
#Get the Chef password:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_AUTOMATE_ADMIN_PASSWORD") | .Value'
#Get the Chef Pivotal Key:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_AUTOMATE_PIVOTAL_KEY") | .Value'
#Get the Chef Starter Kit:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_STARTER_KIT") | .Value' | base64 -D > starterkit.zip
```
1. Falls Sie das Starterkit nicht aus den `create-server` Befehlsergebnissen extrahiert haben, können Sie optional ein neues Starterkit von der Eigenschaftenseite des Servers in der AWS OpsWorks for Chef Automate Konsole herunterladen. Wenn Sie ein neues Starter Kit herunterladen, wird das Administratorpasswort des Chef Automate-Dashboards zurückgesetzt.
1. Wenn Sie keine benutzerdefinierte Domäne verwenden, fahren Sie mit dem nächsten Schritt fort. Wenn Sie eine benutzerdefinierte Domäne mit dem Server verwenden, erstellen Sie einen CNAME-Eintrag im DNS-Verwaltungstool Ihres Unternehmens, um Ihre benutzerdefinierte Domäne auf den AWS OpsWorks for Chef Automate Endpunkt zu verweisen, den Sie in Schritt 7 kopiert haben. Sie können einen Server erst dann mit einer benutzerdefinierten Domäne erreichen und sich erst dann bei ihm anmelden, nachdem Sie diesen Schritt ausgeführt haben.
1. Fahren Sie nach Abschluss der Servererstellung mit [Konfigurieren des Chef-Servers mit dem Starter Kit](opscm-starterkit.md) fort.
# Konfigurieren des Chef-Servers mit dem Starter Kit
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Nutzungsdauer erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Öffnen Sie während der Erstellung des Chef-Servers in der AWS OpsWorks for Chef Automate -Konsole die Seite Eigenschaften. Wenn Sie zum ersten Mal mit einem neuen Chef-Server arbeiten, werden Sie von der Eigenschaftenseite aufgefordert, die erforderlichen Elemente herunterzuladen. Laden Sie diese Elemente herunter, bevor Ihr Chef-Server online ist. Die Schaltflächen zum Herunterladen sind nicht verfügbar, wenn ein neuer Server online ist.
![\[AWS OpsWorks for Chef Automate neue Seite mit Servereigenschaften\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_serverpropsdownload.png)
+ **Anmeldeinformationen für den Chef-Server.** Sie verwenden diese Anmeldeinformationen, um sich beim Chef Automate-Dashboard anzumelden, wo Sie mit den Premium-Funktionen von Chef Automate wie Workflow- und Compliance-Scans arbeiten. OpsWorks speichert diese Anmeldeinformationen nicht; dies ist das letzte Mal, dass sie zum Anzeigen und Herunterladen verfügbar sind. Falls erforderlich, können Sie das Passwort ändern, nachdem Sie sich mit diesen Anmeldeinformationen angemeldet haben.
+ **Starter Kit.** Das Starter Kit enthält eine Readme-Datei mit Beispielen, die Konfigurationsdatei `knife.rb` und einen privaten Schlüssel für den primären oder pivotalen Benutzer. Jedes Mal, wenn Sie das Starter Kit herunterladen, wird ein neues Schlüsselpaar erstellt und der alte Schlüssel zurückgesetzt.
Zusätzlich zu den Anmeldeinformationen, die nur mit dem neuen Server funktionieren, enthält die Starter Kit-ZIP-Datei ein einfaches Beispiel für ein Chef-Repository, das mit jedem AWS OpsWorks for Chef Automate Server funktioniert. Im Chef-Repository werden Rezeptbücher, Rollen, Konfigurationsdateien und andere Artefakten zur Verwaltung Ihrer Knoten mit Chef gespeichert. Wir empfehlen, dass Sie dieses Repository in einem Versionskontrollsystem wie z. B. Git speichern und als Quellcode behandeln. Weitere Informationen und Beispiele, die verdeutlichen, wie ein in Git nachverfolgtes Chef-Repository erstellt wird, finden Sie in der Chef-Dokumentation unter [About the chef-repo](https://docs.chef.io/chef_repo.html).
## Voraussetzungen
1. Laden Sie während der Servererstellung die Anmeldeinformationen für den Chef-Server herunter und speichern Sie diese an einem sicheren, aber leicht zugreifbaren Ort.
1. Laden Sie das Starter Kit herunter und extrahieren Sie die .zip-Datei des Starter Kits in Ihr Workspace-Verzeichnis. Teilen Sie nicht den privaten Schlüssel des Starter Kits. Wenn andere Benutzer den Chef-Server verwalten, fügen Sie diese zu einem späteren Zeitpunkt als Administratoren im Chef Automate-Dashboard hinzu.
1. Laden Sie [Chef Workstation](https://downloads.chef.io/products/workstation) (früher bekannt als Chef Development Kit oder Chef DK) herunter und installieren Sie es auf dem Computer, den Sie zur Verwaltung Ihres Chef-Servers und Ihrer Chef-Knoten verwenden werden. Das [https://docs.chef.io/knife.html](https://docs.chef.io/knife.html)Hilfsprogramm ist Teil von Chef Workstation. Anweisungen finden [Sie unter Chef Workstation installieren](https://docs.chef.io/workstation/install_workstation/) auf der Chef-Website.
## Erkunden des Inhalts vom Starter Kit
Das Starter Kit umfasst die folgenden Inhalte.
+ `cookbooks/` – Ein Verzeichnis für Rezeptbücher, die Sie erstellen. [Der `cookbooks/` Ordner enthält das `opsworks-webserver` Kochbuch, ein Wrapper-Kochbuch, das vom Kochbuch auf der Chef `nginx` Supermarkt-Website abhängt.](https://supermarket.chef.io/cookbooks/nginx) `Policyfile.rb`verwendet standardmäßig Chef Supermarket als sekundäre Quelle, wenn Kochbuchabhängigkeiten im Verzeichnis nicht verfügbar sind. `cookbooks/`
+ `Policyfile.rb` – Eine auf Ruby basierte Richtliniendatei, mit der die Rezeptbücher, Abhängigkeiten und Attribute definiert werden, die als Richtlinie für Ihre Knoten fungieren.
+ `userdata.sh` und `userdata.ps1` – Sie können mit Benutzerdatendateien Knoten automatisch verknüpften, nachdem Sie Ihrem Chef Automate-Server gestartet haben. `userdata.sh` dient dem Bootstrapping Linux-basierter Knoten und `userdata.ps1` wird für Windows-basierte Knoten verwendet.
+ `Berksfile` – Sie können diese Datei verwenden, wenn Sie Berkshelf verwenden möchten und Rezeptbücher sowie deren Abhängigkeiten mit den `berks`-Befehlen hochladen. Im Rahmen dieser Anleitung verwenden wir `Policyfile.rb` und Chef-Befehle zum Hochladen von Rezeptbüchern, Abhängigkeiten und Attributen.
+ `README.md`, eine Markdown-basierte Datei, mit der die Verwendung des Starter Kits für die erstmalige Einrichtung Ihrer Chef Automate-Server beschrieben wird.
+ `.chef` ist ein ausgeblendetes Verzeichnis mit einer Knife-Konfigurationsdatei (`knife.rb`) und einer geheimen Authentifizierungsschlüsseldatei (.pem).
+ `.chef/knife.rb` – Eine Knife-Konfigurationsdatei (`knife.rb`). Die [https://docs.chef.io/config_rb_knife.html](https://docs.chef.io/config_rb_knife.html)Datei ist so konfiguriert, dass die [https://docs.chef.io/knife.html](https://docs.chef.io/knife.html)Tooloperationen von Chef auf dem AWS OpsWorks for Chef Automate Server ausgeführt werden.
+ `.chef/ca_certs/opsworks-cm-ca-2020-root.pem` – Ein von einer Zertifizierungsstelle (Certification Authority, CA) signierter privater SSL-Schlüssel, der von OpsWorks bereitgestellt wird. Mit diesem Schlüssel kann sich der Server gegenüber dem Chef-Infra-Agenten auf den von Ihrem Server verwalteten Knoten identifizieren.
## Einrichten des Chef-Repositorys
Ein Chef-Repository enthält mehrere Verzeichnisse. Jedes Verzeichnis im Starter Kit enthält eine Readme-Datei, die den Zweck des Verzeichnisses beschreibt und wie es für die Verwaltung Ihrer Systeme mit Chef verwendet wird. Es gibt zwei Möglichkeiten für die Installation von Rezeptbüchern auf Ihrem Chef-Server: mit `knife`-Befehlen oder über einen Chef-Befehl zum Hochladen einer Richtliniendatei (`Policyfile.rb`) auf Ihren Server, der bestimmte Rezeptbücher herunterlädt und installiert. In dieser Anleitung werden Chef-Befehle und `Policyfile.rb` zum Installieren von Rezeptbüchern auf Ihrem Server verwendet.
1. Erstellen Sie auf Ihrem lokalen Computer ein Verzeichnis zum Speichern von Rezeptbüchern, z. B. `chef-repo`. Nachdem Sie Kochbücher, Rollen und andere Dateien zu diesem Repository hinzugefügt haben, empfehlen wir, diese hochzuladen oder in einem sicheren, versionierten System wie CodeCommit Git oder Amazon S3 zu speichern.
1. Erstellen Sie im `chef-repo`-Verzeichnis die folgenden Verzeichnisse:
+ `cookbooks/`- Speichert Kochbücher.
+ `roles/` – Speichert Rollen im `.rb`- oder `.json`-Format.
+ `environments/` – Speichert Umgebungen im `.rb`- oder `.json`-Format.
## Verwenden von Policyfile.rb zum Abrufen von Rezeptbüchern aus einer externen Quelle
Bearbeiten Sie in diesem Abschnitt `Policyfile.rb`, um Rezeptbücher anzugeben, laden Sie die Datei mit einem Chef-Befehl auf Ihrem Server hoch und installieren Sie Rezeptbücher.
1. Zeigen Sie `Policyfile.rb` in Ihrem Starter Kit an. Standardmäßig enthält `Policyfile.rb` das `opsworks-webserver`-Wrapper-Rezeptbuch. Das hängt vom [https://supermarket.chef.io/cookbooks/nginx](https://supermarket.chef.io/cookbooks/nginx)-Rezeptbuch ab, das Sie auf Chef Supermarket-Website finden. Das `nginx`-Rezeptbuch installiert und konfiguriert einen Webserver auf verwalteten Knoten. Das erforderliche `chef-client`-Rezeptbuch, das den Chef Infra-Client-Agenten auf verwalteten Knoten installiert, wird ebenfalls angegeben.
Darüber hinaus weist `Policyfile.rb` auf das optionale Chef Audit-Rezeptbuch, mit dem Sie Compliance-Scans auf Knoten einrichten können. Weitere Informationen zum Einrichten von Compliance-Scans und zum Abrufen von Compliance-Ergebnissen für verwaltete Knoten finden Sie unter [Konformitätsscans in AWS OpsWorks for Chef Automate](opscm-chefcompliance.md). Wenn Sie Compliance-Scans und Auditing nicht sofort konfigurieren möchten, löschen Sie `'audit'` aus dem `run_list`-Abschnitt und geben Sie keine `audit`-Rezeptbuchattribute am Ende der Datei an.
```
# Policyfile.rb - Describe how you want Chef to build your system.
#
# For more information about the Policyfile feature, visit
# https://docs.chef.io/policyfile.html
# A name that describes what the system you're building with Chef does.
name 'opsworks-demo-webserver'
# The cookbooks directory is the preferred source for external cookbooks
default_source :chef_repo, "cookbooks/" do |s|
s.preferred_for "nginx", "windows", "chef-client", "yum-epel", "seven_zip",
"build-essential", "mingw", "ohai", "audit", "logrotate", "cron"
end
# Alternative source
default_source :supermarket
# run_list: chef-client runs these recipes in the order specified.
run_list 'chef-client',
'opsworks-webserver',
'audit'
# add 'ssh-hardening' to your runlist to fix compliance issues detected by the ssh-baseline profile
# Specify a custom source for a single cookbook:
cookbook 'opsworks-webserver', path: 'cookbooks/opsworks-webserver'
# Policyfile defined attributes
# Define audit cookbook attributes
default["opsworks-demo"]["audit"]["reporter"] = "chef-server-automate"
default["opsworks-demo"]["audit"]["profiles"] = [
{
"name": "DevSec SSH Baseline",
"compliance": "admin/ssh-baseline"
}
]
```
Es folgt ein Beispiel für `Policyfile.rb` ohne das `audit`-Rezeptbuch und Attribute, wenn Sie erst einmal nur den `nginx`-Webserver konfigurieren möchten.
```
# Policyfile.rb - Describe how you want Chef to build your system.
#
# For more information on the Policyfile feature, visit
# https://docs.chef.io/policyfile.html
# A name that describes what the system you're building with Chef does.
name 'opsworks-demo-webserver'
# Where to find external cookbooks:
default_source :supermarket
# run_list: chef-client will run these recipes in the order specified.
run_list 'chef-client',
'opsworks-webserver'
# Specify a custom source for a single cookbook:
cookbook 'opsworks-webserver', path: 'cookbooks/opsworks-webserver'
```
Wenn Sie Änderungen an `Policyfile.rb` vornehmen, stellen Sie sicher, die Datei zu speichern.
1. Laden Sie die in `Policyfile.rb` definierten Rezeptbücher herunter und installieren Sie sie.
```
chef install
```
Alle Rezeptbücher sind in der `metadata.rb`-Datei des Rezeptbuchs versioniert. Immer wenn Sie ein Rezeptbuch ändern, müssen Sie die Version des Rezeptbuchs ändern, die sich in seiner `metadata.rb` befindet.
1. Wenn Sie Compliance-Scans konfigurieren möchten und die `audit`-Rezeptbuchinformationen in die Richtliniendatei belassen haben, leiten Sie die `opsworks-demo`-Richtlinie an Ihren Server weiter.
```
chef push opsworks-demo
```
1. Wenn Sie Schritt 3 abgeschlossen haben, überprüfen Sie die Installation Ihrer Richtlinie. Führen Sie den folgenden Befehl aus.
```
chef show-policy
```
Die Ergebnisse sollten etwa wie folgt aussehen:
```
opsworks-demo-webserver
=======================
* opsworks-demo: ec0fe46314
```
1. Sie können Ihrem Chef Automate-Server nun Knoten hinzufügen oder Bootstrapping dafür durchführen. Sie können die Zuordnung von Knoten automatisieren, indem Sie die Schritte in [Fügen Sie Knoten automatisch hinzu AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md) ausführen, oder Knoten einzeln hinzufügen, indem Sie die Schritte in [Fügen Sie Knoten einzeln hinzu](opscm-addnodes-individually.md) ausführen.
## (Alternativ) Verwenden von Berkshelf zum Abrufen von Rezeptbüchern aus einer externen Quelle
Berkshelf ist ein Tool für die Verwaltung von Rezeptbüchern und deren Abhängigkeiten. Wenn Sie die Verwendung von Berkshelf anstelle von `Policyfile.rb` vorziehen, um Rezeptbücher im lokalen Speicher zu installieren, verwenden Sie das Verfahren in diesem Abschnitt anstelle der Verfahrens im vorherigen Abschnitt. Sie können angeben, welche Rezeptbücher und Versionen Sie mit Ihren Chef-Server verwenden möchten, und sie hochladen. Das Starter Kit enthält eine Datei namens `Berksfile`, mit dem Sie Ihre Rezeptbücher aufführen können.
1. Um zu beginnen, fügen Sie dem enthaltenen Berksfile das `chef-client`-Rezeptbuch hinzu. Das `chef-client`-Rezeptbuch konfiguriert die -Agent-Software des Chef Infra-Clients auf jedem Knoten, den Sie mit Ihrem Chef Automate-Server verbinden. Weitere Informationen zu diesem Rezeptbuch finden Sie unter [Chef Client Cookbook](https://supermarket.chef.io/cookbooks/chef-client) im Chef Supermarket.
1. Hängen Sie Ihrem Berksfile mit einem Texteditor ein anderes Rezeptbuch an, mit dem eine Web-Server-Anwendung installiert wird, z. B. das `apache2`-Rezeptbuch, das den Apache-Webserver installiert. Ihr Berksfile sollte etwa folgendermaßen aussehen.
```
source 'https://supermarket.chef.io'
cookbook 'chef-client'
cookbook 'apache2'
```
1. Laden Sie die Rezeptbücher herunter und installieren Sie sie auf Ihrem lokalen Computer.
```
berks install
```
1. Laden Sie das Rezeptbuch auf den Chef-Server hoch.
Führen Sie unter Linux Folgendes aus.
```
SSL_CERT_FILE='.chef/ca_certs/opsworks-cm-ca-2020-root.pem' berks upload
```
Führen Sie unter Windows den folgenden Chef Workstation-Befehl in einer PowerShell Sitzung aus. Bevor Sie den Befehl ausführen, stellen Sie sicher, dass die Ausführungsrichtlinie PowerShell auf eingestellt ist`RemoteSigned`. Fügen Sie hinzu`chef shell-init`, um die Befehle des Chef Workstation-Dienstprogramms für verfügbar zu machen PowerShell.
```
$env:SSL_CERT_FILE="ca_certs\opsworks-cm-ca-2020-root.pem"
chef shell-init berks upload
Remove-Item Env:\SSL_CERT_FILE
```
1. Überprüfen Sie die Installation des Rezeptbuchs, indem Sie eine Liste der Rezeptbücher anzeigen, die gegenwärtig auf dem Chef Automate-Server verfügbar sind. Sie erreichen dies mit dem `knife`-Befehl-
Sie sind bereit, Knoten hinzuzufügen, die mit dem AWS OpsWorks for Chef Automate Server verwaltet werden sollen.
```
knife cookbook list
```
## (Optional) Konfigurieren von `knife` zur Verwendung mit einer benutzerdefinierten Domäne
Wenn Ihr Chef Automate-Server eine benutzerdefinierte Domain verwendet, müssen Sie möglicherweise das PEM-Zertifikat der Stammzertifizierungsstelle hinzufügen, die die Zertifikatskette Ihres Servers signiert hat, oder Ihr Server-PEM-Zertifikat, wenn das Zertifikat selbst signiert ist. `ca_certs`ist ein Unterverzeichnis`chef/`, das Zertifizierungsstellen (CAs) enthält, denen das Chef-Hilfsprogramm vertraut. `knife`
Sie können diesen Abschnitt überspringen, wenn Sie keine benutzerdefinierte Domäne verwenden oder wenn Ihr benutzerdefiniertes Zertifikat von einer Stammzertifizierungsstelle signiert ist, der Ihr Betriebssystem vertraut. Andernfalls konfigurieren Sie `knife` wie in den folgenden Schritten beschrieben, sodass dem SSL-Zertifikat Ihres Chef Automate-Servers vertraut wird.
1. Führen Sie den folgenden Befehl aus.
```
knife ssl check
```
Wenn die Ergebnisse den folgenden ähneln, überspringen Sie den Rest dieses Verfahrens, und fahren Sie mit [Hinzufügen von Knoten, die vom Chef-Server verwaltet werden](opscm-addnodes.md) fort.
```
Connecting to host my-chef-automate-server.my-corp.com:443
Successfully verified certificates from 'my-chef-automate-server.my-corp.com'
```
Wenn Sie eine Fehlermeldung ähnlich der folgenden erhalten, fahren Sie mit dem nächsten Schritt fort.
```
Connecting to host my-chef-automate-server.my-corp.com:443
ERROR: The SSL certificate of my-chef-automate-server.my-corp.com could not be verified.
...
```
1. Führen Sie `knife ssl fetch` aus, um den Zertifikaten Ihres AWS OpsWorks for Chef Automate -Servers zu vertrauen. Alternativ können Sie das PEM-formatierte Stammzertifikat des Servers manuell in das Verzeichnis kopieren, das dem Wert `trusted_certs_dir` in der Ausgabe von `knife ssl check` entspricht. Standardmäßig befindet sich dieses Verzeichnis in `.chef/ca_certs/` im Starter Kit. Die Ausgabe sollte in etwa wie folgt aussehen:
```
WARNING: Certificates from my-chef-automate-server.my-corp.com will be fetched and placed in your trusted_cert
directory (/Users/username/starterkit/.chef/../.chef/ca_certs).
Knife has no means to verify these are the correct certificates. You should
verify the authenticity of these certificates after downloading.
Adding certificate for my-chef-automate-server in /Users/users/starterkit/.chef/../.chef/ca_certs/servv-aqtswxu20swzkjgz.crt
Adding certificate for MyCorp_Root_CA in /Users/users/starterkit/.chef/../.chef/ca_certs/MyCorp_Root_CA.crt
```
1. Führen Sie `knife ssl check` erneut aus. Die Ausgabe sollte in etwa wie folgt aussehen:
```
Connecting to host my-chef-automate-server.my-corp.com:443
Successfully verified certificates from 'my-chef-automate-server.my-corp.com'
```
Sie können `knife` mit Ihrem Chef Automate-Server verwenden.
# Hinzufügen von Knoten, die vom Chef-Server verwaltet werden
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Nutzungsdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Der [https://docs.chef.io/chef_client.html](https://docs.chef.io/chef_client.html)-Agent führt Chef-Rezepte auf physischen oder virtuellen Computern, sogenannte *Knoten*, aus, die mit dem Server verknüpft sind. Sie können zum Verwalten lokale Computer oder Instances mit dem Chef-Server verbinden, sofern die Knoten mit einem unterstützten Betriebssystem laufen. Durch das Registrieren von Knoten mit dem Chef-Server wird auf diesen Knoten die `chef-client`-Agent-Software installiert.
Sie können die folgenden Methoden verwenden, um Knoten hinzuzufügen:
+ Fügen Sie Notizen einzeln hinzu, indem Sie einen `knife` Befehl ausführen, der eine EC2 Instanz hinzufügt oder *bootet*, sodass der Chef-Server sie verwalten kann. Weitere Informationen finden Sie unter [Fügen Sie Knoten einzeln hinzu](opscm-addnodes-individually.md).
+ Fügen Sie Knoten automatisch hinzu, indem Sie ein Skript verwenden, um die Knoten unbeaufsichtigt mit dem Chef-Server zu verknüpfen. Der Code in diesem [Starter Kit](opscm-starterkit.md) zeigt das automatische Hinzufügen von Knoten mit der unbeaufsichtigten Methode. Weitere Informationen finden Sie unter [Fügen Sie Knoten automatisch hinzu AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md).
**Topics**
+ [Fügen Sie Knoten einzeln hinzu](opscm-addnodes-individually.md)
+ [Fügen Sie Knoten automatisch hinzu AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md)
# Fügen Sie Knoten einzeln hinzu
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
In diesem Abschnitt wird beschrieben, wie Sie einen `knife` Befehl ausführen, der eine EC2 Instanz hinzufügt *oder bootet*, sodass der Chef-Server sie verwalten kann.
Die unterstützte Mindestversion von `chef-client` auf mit einem AWS OpsWorks for Chef Automate -Server verknüpften Knoten ist 13*x*. Wir empfehlen, die aktuellste, stabilste `chef-client` Version auszuführen.
**Topics**
+ [(Optional) Angeben der URL Ihrer Chef Automate-Server-Root-CA](#opscm-addnodes-customdomain)
+ [Unterstützte Betriebssysteme](#w2ab1b9c28c17c13c13)
+ [Hinzufügen von Knoten mit Knife](#w2ab1b9c28c17c13c15)
## (Optional) Angeben der URL Ihrer Chef Automate-Server-Root-CA
Wenn Ihr Server eine benutzerdefinierte Domäne und ein eigenes Zertifikat verwendet, müssen Sie die Variable `ROOT_CA_URL` im Benutzerdatenskript möglicherweise mit einer öffentlichen URL bearbeiten, mit der Sie das PEM-formatierte Stammzertifikat des Servers abrufen können. Die folgenden AWS CLI Befehle laden Ihre Root-CA in einen Amazon S3 S3-Bucket hoch und generieren eine vorsignierte URL, die Sie eine Stunde lang verwenden können.
1. Laden Sie das PEM-formatierte Stammzertifikat der Zertifizierungsstelle in S3 hoch.
```
aws s3 cp ROOT_CA_PEM_FILE_PATH s3://bucket_name/
```
1. Generieren Sie eine vorsignierte URL, die Sie für eine Stunde (in diesem Beispiel 3600 Sekunden) verwenden können, um die Stammzertifizierungsstelle herunterzuladen.
```
aws s3 presign s3://bucket_name/ROOT_CA_PEM_FILE_NAME --expires-in 3600
```
1. Bearbeiten Sie die Variable `ROOT_CA_URL` im Benutzerdatenskript mit dem Wert der vorsignierten URL.
## Unterstützte Betriebssysteme
Eine aktuelle Liste von unterstützten Betriebssystemen für Knoten finden Sie auf der [Chef-Website](https://docs.chef.io/platforms.html).
## Hinzufügen von Knoten mit Knife
Das [https://github.com/chef/knife-ec2](https://github.com/chef/knife-ec2)Plug-in ist in Chef Workstation enthalten. Wenn Sie damit besser vertraut sind`knife-ec2`, können Sie es verwenden, anstatt es bereitzustellen und neu `knife bootstrap` EC2instances zu booten. Starten Sie andernfalls eine neue EC2 Instance und folgen Sie dann den Schritten in diesem Abschnitt.
**So fügen Sie zu verwaltende Knoten hinzu**
1. Führen Sie den Befehl `knife bootstrap` aus. Mit diesem Befehl wird eine EC2 Instanz zu den Knoten gebootet, die Ihr Chef-Server verwalten wird. Beachten Sie, dass Sie den Chef-Server anweisen, die Rezepte des `nginx`-Rezeptbuchs auszuführen, das Sie in [Verwenden von Policyfile.rb zum Abrufen von Rezeptbüchern aus einer externen Quelle](opscm-starterkit.md#install-cookbooks-policyfile) installiert haben. Weitere Informationen über das Hinzufügen von Knoten, indem Sie den `knife bootstrap`-Befehl ausführen, finden Sie in der Chef-Dokumentation unter [Bootstrap a Node](https://docs.chef.io/install_bootstrap.html).
Die folgende Tabelle enthält die gültigen Benutzernamen für Knoten-Betriebssysteme im `knife`-Befehl in diesem Schritt. Wenn weder `root` noch `ec2-user` funktioniert, wenden Sie sich an Ihren AMI-Anbieter. Weitere Informationen zum Herstellen einer Verbindung mit Linux-basierten Instances finden Sie in der AWS-Dokumentation unter [Herstellen einer Verbindung mit Ihrer Linux-Instance per SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html).
**Gültige Werte für Benutzernamen in Knoten-Betriebssystemen**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/opscm-addnodes-individually.html)
```
knife bootstrap INSTANCE_IP_ADDRESS -N INSTANCE_NAME -x USER_NAME --sudo --run-list "recipe[nginx]"
```
1. Stellen Sie sicher, dass der neue Knoten hinzugefügt wurde, indem Sie die folgenden Befehle ausführen und ihn durch den Namen der Instanz *INSTANCE\$1NAME* ersetzen, die Sie gerade hinzugefügt haben.
```
knife client show INSTANCE_NAME
knife node show INSTANCE_NAME
```
# Fügen Sie Knoten automatisch hinzu AWS OpsWorks for Chef Automate
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
In diesem Thema wird beschrieben, wie Sie Ihrem Chef-Server automatisch Amazon Elastic Compute Cloud (Amazon EC2) -Knoten hinzufügen. Der Code in diesem [Starter Kit](opscm-starterkit.md) zeigt das automatische Hinzufügen von Knoten mit der unbeaufsichtigten Methode. Die empfohlene Methode für eine unbeaufsichtigte (oder automatische) Zuordnung neuer Knoten besteht in der Konfiguration des [Chef Client Cookbook](https://supermarket.chef.io/cookbooks/chef-client). Sie können das Skript `userdata` im Starter Kit verwenden und entweder den `run_list`-Abschnitt des Skripts `userdata` oder Ihr `Policyfile.rb` mit den Rezeptbüchern ändern, die Sie auf Ihrem Knoten anwenden möchten. Bevor Sie den `chef-client`-Agenten ausführen, laden Sie das Chef Client-Rezeptbuch auf Ihren Chef-Server hoch und installieren den `chef-client`-Agenten im Service-Modus, beispielsweise mit einer HTTPD-Rolle, wie im folgenden Beispielbefehl veranschaulicht.
```
chef-client -r "chef-client,role[httpd]"
```
Für die Kommunikation mit dem Chef-Server benötigt die `chef-client`-Agentensoftware Zugriff auf den öffentlichen Schlüssel des Client-Knotens. Sie können in Amazon EC2 ein öffentlich-privates key pair generieren und dann den öffentlichen Schlüssel mit dem Knotennamen an den OpsWorks `associate-node` API-Aufruf übergeben. Das Skript in diesem Starter Kit fasst den Namen der Organisation, den Servernamen und den Server-Endpunkt für Sie zusammen. So wird sichergestellt, dass der Knoten dem Chef-Server zugeordnet wird und die `chef-client`-Agentensoftware, die auf dem Knoten ausgeführt wird, bei einer Übereinstimmung mit dem privaten Schlüssel mit dem Server kommunizieren kann.
Die unterstützte Mindestversion von `chef-client` auf mit einem AWS OpsWorks for Chef Automate -Server verknüpften Knoten ist 13*x*. Wir empfehlen, die aktuellste, `chef-client` stabilste Version zu verwenden.
Informationen zum Trennen der Zuordnung eines Knotens finden Sie [Einen Knoten von einem AWS OpsWorks for Chef Automate Server trennen](opscm-disassociate-node.md) in diesem Handbuch und [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html)in der AWS OpsWorks for Chef Automate API-Dokumentation.
**Topics**
+ [Unterstützte Betriebssysteme](#w2ab1b9c28c17c15c17)
+ [Schritt 1: Erstellen Sie eine IAM-Rolle, die Sie als Ihr Instanzprofil verwenden möchten](#opscm-create-instance-profile)
+ [Schritt 2: Installieren des Chef Client-Rezeptbuchs](#w2ab1b9c28c17c15c21)
+ [Schritt 3: Erstellen von Instances mit einem unbeaufsichtigten Skript für die Zuordnung](#opscm-unattend-script)
+ [Andere Methoden zur Automatisierung wiederholter Ausführungen von `chef-client`](#w2ab1b9c28c17c15c25)
+ [Verwandte Themen](#opscm-unattend-assoc-related)
## Unterstützte Betriebssysteme
Eine aktuelle Liste von unterstützten Betriebssystemen für Knoten finden Sie auf der [Chef-Website](https://docs.chef.io/platforms.html).
## Schritt 1: Erstellen Sie eine IAM-Rolle, die Sie als Ihr Instanzprofil verwenden möchten
Erstellen Sie eine AWS Identity and Access Management (IAM-) Rolle, die Sie als Ihr EC2 Instanzprofil verwenden möchten, und fügen Sie der IAM-Rolle die folgende Richtlinie hinzu. Diese Richtlinie ermöglicht es der AWS OpsWorks for Chef Automate (`opsworks-cm`) -API, während der Knotenregistrierung mit der EC2 Instance zu kommunizieren. Weitere Informationen zu Instance-Profilen finden Sie unter [Verwenden von Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) in der EC2 Amazon-Dokumentation. Informationen zum Erstellen einer IAM-Rolle finden Sie unter [Erstellen einer IAM-Rolle in der Konsole in der](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#create-iam-role-console) EC2 Amazon-Dokumentation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"opsworks-cm:AssociateNode",
"opsworks-cm:DescribeNodeAssociationStatus"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## Schritt 2: Installieren des Chef Client-Rezeptbuchs
Sofern dies noch nicht geschehen ist, führen Sie die Schritte in [(Alternativ) Verwenden von Berkshelf zum Abrufen von Rezeptbüchern aus einer externen Quelle](opscm-starterkit.md#opscm-berkshelf) aus, um sicherzustellen, dass Ihr Berksfile oder Ihre `Policyfile.rb`-Datei auf das Chef Client-Rezeptbuch verweist und dieses installiert.
## Schritt 3: Erstellen von Instances mit einem unbeaufsichtigten Skript für die Zuordnung
1. Um EC2 Instances zu erstellen, können Sie das `userdata` Skript aus dem [Starter Kit](opscm-starterkit.md) in den `userdata` Abschnitt mit EC2 Instance-Anweisungen, Amazon EC2 Auto Scaling Scaling-Gruppenstartkonfigurationen oder in eine CloudFormation Vorlage kopieren. Weitere Informationen zum Hinzufügen von Skripten zu Benutzerdaten finden Sie in der EC2 Amazon-Dokumentation unter [Befehle auf Ihrer Linux-Instance beim Start ausführen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/user-data.html).
Dieses Skript führt den `opsworks-cm`-API-Befehl [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_AssociateNode.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_AssociateNode.html) aus, um dem Chef-Server einen neuen Knoten zuzuordnen.
Standardmäßig ist der Name des neu registrierten Knotens die Instance-ID. Sie können den Namen aber ändern, indem Sie den Wert der `NODE_NAME`-Variable im Skript `userdata` ändern. Da das Ändern des Organisationsnamens in der Benutzeroberfläche der Chef-Konsole derzeit nicht möglich ist, belassen Sie die Festlegung von `CHEF_AUTOMATE_ORGANIZATION` auf `default`.
1. Folgen Sie dem Verfahren unter [Starten einer Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html) in der EC2 Dokumentation, mit Änderungen hier. Wählen Sie im EC2 Instance-Startassistenten ein Amazon Linux AMI aus.
1. Wählen Sie auf der Seite **Configure Instance Details (Instance-Details konfigurieren)** die Rolle, die Sie in [Schritt 1: Erstellen Sie eine IAM-Rolle, die Sie als Ihr Instanzprofil verwenden möchten](#opscm-create-instance-profile) erstellt haben, als Ihre IAM-Rolle.
1. Laden Sie in den Bereich **Advanced Details (Erweiterte Details)** das `userdata.sh`-Skript hoch, das Sie zuvor in diesem Verfahren erstellt haben.
1. Auf der Seite **Add Storage (Speicher hinzufügen)** sind keine Änderungen erforderlich. Gehen Sie weiter zu **Add Tags (Tags hinzufügen)**.
1. Wählen Sie auf der Seite **Configure Security Group (Sicherheitsgruppe konfigurieren)** **Add Rule (Regel hinzufügen)** und dann den Typ **HTTP**, um in diesem Beispiel die Ports 443 und 80 für den Apache-Webserver zu öffnen.
1. Wählen Sie **Review and Launch (Überprüfen und starten)** und dann **Launch (Starten)** aus. Wenn Ihr neuer Knoten startet, werden die Konfigurationen angewendet, die von den im `RUN_LIST`-Parameter angegebenen Rezepten vorgegeben sind.
1. Optional: Wenn Sie Ihrer Ausführungsliste das `nginx`-Rezeptbuch hinzugefügt haben und die mit dem öffentlichen DNS Ihres neuen Knotens verknüpfte Webseite öffnen, sollten Sie eine Website sehen, die von Ihrem nginx-Webserver gehostet wird.
## Andere Methoden zur Automatisierung wiederholter Ausführungen von `chef-client`
Es ist zwar schwieriger zu erreichen und wird auch nicht empfohlen, aber Sie können das Skript in diesem Thema ausschließlich als Teil der Benutzerdaten einer eigenständigen Instanz ausführen, eine CloudFormation Vorlage verwenden, um es zu neuen Instance-Benutzerdaten hinzuzufügen, einen `cron` Job so konfigurieren, dass das Skript regelmäßig ausgeführt wird, oder `chef-client` innerhalb eines Dienstes ausgeführt werden. Wir empfehlen allerdings die Methode des Chef Client-Rezeptbuchs, da einige Nachteile mit anderen Automatisierungstechniken bestehen
Eine vollständige Liste der Parameter, die für `chef-client` bereitgestellt werden können, finden Sie in der [Dokumentation zu Chef](https://docs.chef.io/ctl_chef_client.html).
## Verwandte Themen
Die folgenden AWS Blogbeiträge bieten weitere Informationen zur automatischen Zuordnung von Knoten zu Ihrem Chef Automate-Server, mithilfe von Auto Scaling Scaling-Gruppen oder innerhalb mehrerer Konten.
+ [Verwenden von AWS OpsWorks for Chef Automate zur Verwaltung von EC2 Instances mit Auto Scaling](https://aws.amazon.com/blogs/mt/using-aws-opsworks-for-chef-automate-to-manage-ec2-instances-with-auto-scaling/)
+ [OpsWorks für Chef Automate — Automatisches Bootstrapping von Knoten in verschiedenen Konten](https://aws.amazon.com/blogs/mt/opsworks-for-chef-automate-automatically-bootstrapping-nodes-in-different-accounts/)
# Anmelden beim Chef Automate-Dashboard
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Nachdem Sie die Anmeldedaten von der Eigenschaftenseite des Chef-Servers heruntergeladen haben und wenn der Server online ist, melden Sie sich beim Chef Automate-Dashboard an. In dieser Anleitung haben wir Sie gebeten, zunächst Rezeptbücher hochzuladen und mindestens einen zu verwaltenden Knoten hinzuzufügen. Auf diese Weise werden Informationen über die Rezeptbücher und Knoten im Dashboard angezeigt.
Wenn Sie versuchen, eine Verbindung zur Dashboard-Webseite herzustellen, werden Zertifikatswarnungen in Ihrem Browser angezeigt, bis Sie ein OpsWorks spezifisches, von einer Zertifizierungsstelle signiertes SSL-Zertifikat auf dem Client-Computer installieren, den Sie zur Verwaltung Ihres Chef-Servers verwenden. Wenn die Warnungen beim Aufrufen der Dashboard-Webseite nicht erscheinen sollen, installieren Sie das SSL-Zertifikat, bevor Sie sich anmelden.
Nachdem Sie das Client-seitige SSL-Zertifikat installiert haben, können Sie sich beim Chef Automate-Dashboard anmelden, ohne dass Warnmeldungen erscheinen.
**Anmerkung**
Benutzer von Google Chrome auf den Betriebssystemen Ubuntu und Linux Mint können Schwierigkeiten bei der Anmeldung haben. Wir empfehlen, dass Sie Mozilla Firefox oder andere Browser verwenden, um sich anzumelden und das Chef Automate-Dashboard auf diesen Betriebssystemen zu verwenden. Bei Google Chrome unter Windows oder MacOS wurden keine Probleme berichtet.
**So melden Sie sich beim Chef Automate-Dashboard an**
1. Entpacken und öffnen Sie die Chef Automate-Anmeldeinformationen, die Sie unter [Voraussetzungen](opscm-starterkit.md#finish-server-prereqs) heruntergeladen haben. Sie benötigen diese Anmeldeinformationen, um sich anzumelden.
1. Öffnen Sie die Seite **Properties (Eigenschaften)** für Ihren Chef-Server.
1. Wählen Sie auf der Seite **Properties (Eigenschaften)** oben rechts **Open Chef Automate dashboard (Chef Automate-Dashboard öffnen)** aus.
1. Melden Sie sich mit den Anmeldeinformationen aus Schritt 1 an.
![\[Anmeldeseite für das Chef Automate-Dashboard\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_chefsignin.png)
1. Im Chef Automate-Dashboard werden detaillierte Informationen zu den installierten Knoten, Rezeptbuch-Ausführungsfortschritten und Ereignissen, Compliance-Ebenen der Knoten und vieles mehr angezeigt. Weitere Informationen zu den Funktionen des Chef Automate-Dashboards und dessen Verwendung finden Sie in der [Chef Automate-Dokumentation](https://docs.chef.io/chef_automate.html).
![\[Chef Automate-Dashboard\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_chefdashhome.png)
**Anmerkung**
Weitere Informationen zum Ändern des Passworts, mit dem Sie sich beim Chef Automate-Dashboard anmelden, finden Sie unter [Zurücksetzen der Anmeldeinformationen für das Chef Automate-Dashboard](opscm-resetchefcreds.md).
# Erstellen Sie einen AWS OpsWorks for Chef Automate Server mit CloudFormation
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
AWS OpsWorks for Chef Automate ermöglicht es Ihnen, einen [Chef Automate-Server](https://www.chef.io/automate/) in zu betreiben. AWS Sie können in etwa 15 Minuten einen Chef Automate-Server bereitstellen.
AWS OpsWorks for Chef Automate Speichert ab dem 3. Mai 2021 einige Chef Automate-Serverattribute in AWS Secrets Manager. Weitere Informationen finden Sie unter [Integration mit AWS Secrets Manager](data-protection.md#data-protection-secrets-manager).
Die folgende exemplarische Vorgehensweise hilft Ihnen beim Erstellen eines Servers, AWS OpsWorks for Chef Automate indem Sie einen Stack-In CloudFormation erstellen.
**Topics**
+ [Voraussetzungen](#opscm-create-server-cfn-prereqs)
+ [Erstellen eines Chef Automate-Servers in CloudFormation](#opscm-create-server-cfn-main)
## Voraussetzungen
Bevor Sie einen neuen Chef Automate-Server erstellen, erstellen Sie die Ressourcen außerhalb von AWS OpsWorks for Chef Automate , die für den Zugriff auf Ihren Chef-Server und dessen Verwaltung erforderlich sind. Weitere Informationen finden Sie unter [Voraussetzungen](gettingstarted-opscm.md#gettingstarted-opscm-prereq) im Abschnitt "Erste Schritte" dieses Handbuchs.
Im [Abschnitt OpsWorks -CM](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-opsworkscm-server.html) der Vorlagenreferenz für das *CloudFormation Benutzerhandbuch finden* Sie Informationen zu den unterstützten und erforderlichen Werten in der CloudFormation Vorlage, die Sie zum Erstellen Ihres Servers verwenden.
Wenn Sie einen Server erstellen, der eine benutzerdefinierte Domäne verwendet, benötigen Sie eine benutzerdefinierte Domäne, ein benutzerdefiniertes Zertifikat und eine benutzerdefinierten privaten Schlüssel. Sie müssen Werte für alle drei Parameter in Ihrer CloudFormation Vorlage angeben. Weitere Informationen zu den Anforderungen für die `CustomPrivateKey` Parameter `CustomDomain``CustomCertificate`, und finden Sie [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html)in der *OpsWorks CM-API-Referenz*.
Erstellen Sie einen Passwortwert für das Engine-Attribut „`CHEF_AUTOMATE_ADMIN_PASSWORD`“. Das Passwort muss eine Länge zwischen 8 und 32 Zeichen haben. Das Passwort kann Buchstaben, Zahlen und Sonderzeichen (`(!/@#$%^+=_)`) enthalten. Es muss mindestens einen Kleinbuchstaben, einen Großbuchstaben, eine Zahl und ein Sonderzeichen enthalten. Sie geben dieses Passwort in Ihrer CloudFormation Vorlage oder als Wert des `CHEF_AUTOMATE_ADMIN_PASSWORD` Parameters an, wenn Sie Ihren Stack erstellen.
Generieren Sie ein Base64-kodiertes RSA-Schlüsselpaar, bevor Sie mit der Erstellung eines Chef Automate-Servers in beginnen. CloudFormation Der öffentliche Schlüssel des Paares ist der Wert von`CHEF_AUTOMATE_PIVOTAL_KEY`, der Chef-spezifisch [EngineAttributes](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-opsworkscm-server.html#cfn-opsworkscm-server-engineattributes)aus der API ist. [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html) Dieser Schlüssel wird als Wert von **Parameters** in der CloudFormation Konsole oder im **create-stack** Befehl in der bereitgestellt AWS CLI. Um diesen Schlüssel zu erzeugen, empfehlen wir die folgenden Methoden.
+ Auf Linux-basierten Computern können Sie diesen Schlüssel erzeugen, indem Sie den folgenden [OpenSSL](https://www.openssl.org/)-Befehl ausführen.
```
openssl genrsa -out pivotal_key_file_name.pem 2048
```
Exportieren Sie dann den öffentlichen RSA-Schlüssel des Paares in eine Datei. Der öffentliche Schlüssel wird zum Wert von `CHEF_AUTOMATE_PIVOTAL_KEY`.
```
openssl rsa -in pivotal_key_file_name.pem -pubout -out public.pem -outform PEM
```
+ Auf Windows-Computern können Sie das TTYgen Pu-Hilfsprogramm verwenden, um ein Base64-kodiertes RSA-Schlüsselpaar zu generieren. Weitere Informationen finden Sie unter [Pu TTYgen - Key Generator for PuTTY on Windows auf](https://www.ssh.com/ssh/putty/windows/puttygen) SSH.com.
## Erstellen eines Chef Automate-Servers in CloudFormation
In diesem Abschnitt wird beschrieben, wie Sie mithilfe einer CloudFormation Vorlage einen Stack erstellen, der einen Server erstellt. AWS OpsWorks for Chef Automate Sie können dies tun, indem Sie die CloudFormation Konsole oder die verwenden AWS CLI. Es steht eine [CloudFormation Beispielvorlage](samples/opsworkscm-server.zip) zur Verfügung, mit der Sie einen AWS OpsWorks for Chef Automate Server-Stack erstellen können. Achten Sie darauf, die Beispielvorlage mit Ihrem eigenen Servernamen, Ihren IAM-Rollen, Ihrem Instanzprofil, Ihrer Serverbeschreibung, der Anzahl der Backup-Aufbewahrungsfristen, den Wartungsoptionen und optionalen Tags zu aktualisieren. Wenn Ihr Server eine benutzerdefinierte Domain verwendet, müssen Sie Werte für die `CustomPrivateKey` Parameter `CustomDomain``CustomCertificate`, und in Ihrer CloudFormation Vorlage angeben. Sie können die Attribute `CHEF_AUTOMATE_ADMIN_PASSWORD` und die `CHEF_AUTOMATE_PIVOTAL_KEY` Engine-Attribute und ihre Werte in der CloudFormation Vorlage angeben, oder Sie können nur die Attribute angeben und dann Werte für die Attribute im Assistenten oder **create-stack** Befehl „**Stack CloudFormation erstellen**“ angeben. Weitere Informationen zu diesen Attributen finden Sie unter [Erstellen Sie einen Chef Automate-Server im AWS-Managementkonsole](gettingstarted-opscm-create.md#gettingstarted-opscm-create-console) im Abschnitt "Erste Schritte" in diesem Handbuch.
**Topics**
+ [Erstellen eines Chef Automate-Servers mit CloudFormation (Konsole)](#opscm-create-server-cfn-console)
+ [Erstellen eines Chef Automate-Servers mit CloudFormation (CLI)](#opscm-create-server-cfn-cli)
### Erstellen eines Chef Automate-Servers mit CloudFormation (Konsole)
1. Melden Sie sich bei [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole.
1. Wählen Sie auf der CloudFormation Startseite die Option Stack **erstellen** aus.
1. Wenn Sie die **[Beispielvorlage verwenden, wählen Sie unter Voraussetzung — CloudFormation Vorlage](samples/opsworkscm-server.zip) vorbereiten** die Option **Vorlage ist bereit** aus.
1. Wählen Sie unter **Specify template (Vorlage angeben)** die Quelle Ihrer Vorlage aus. Wählen Sie für diese exemplarische Vorgehensweise die Option **Eine Vorlagendatei** hochladen und laden Sie eine CloudFormation Vorlage hoch, die einen Chef Automate-Server erstellt. Suchen Sie nach Ihrer Vorlagendatei und klicken Sie dann auf **Next (Weiter)**.
Eine CloudFormation Vorlage kann entweder im YAML- oder JSON-Format vorliegen. Es steht Ihnen eine [CloudFormation Beispielvorlage](samples/opsworkscm-server.zip) zur Verfügung. Achten Sie darauf, die Beispielwerte durch Ihre eigenen zu ersetzen. Sie können den CloudFormation Vorlagendesigner verwenden, um eine neue Vorlage zu erstellen oder eine bestehende zu validieren. Weitere Informationen zu diesem Verfahren finden Sie unter [Übersicht über die CloudFormation Designer-Oberfläche](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer-overview.html) im *CloudFormation -Benutzerhandbuch*.
![\[CloudFormation Stack-Seite erstellen\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/cfn_select_template.png)
1. Geben Sie auf der Seite **Specify stack details (Stack-Details angeben)** einen Namen für den Stack ein. Dies ist nicht dasselbe wie der Name Ihres Servers; es ist nur ein Stack-Name. Fügen Sie im Bereich **Parameters (Parameter)** die Werte ein, die Sie unter [Voraussetzungen](#opscm-create-server-cfn-prereqs) erstellt haben. Geben Sie unter **Password (Passwort)** das Passwort ein.
Fügen Sie den Inhalt der RSA-Schlüsseldatei ein. **PivotalKey** In der CloudFormation Konsole müssen Sie am Ende jeder Zeile des Schlüsselwerts Zeilenumbrüche (**\$1n**) hinzufügen, wie im folgenden Screenshot gezeigt. Wählen Sie **Weiter** aus.
![\[Geben Sie die Seite mit den Stapeldetails in an CloudFormation\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/cfn_template_params_opscm.png)
1. Auf der Seite „**Stack-Optionen konfigurieren**“ können Sie dem Server, den Sie mit dem Stack erstellen, Tags hinzufügen und eine IAM-Rolle für die Erstellung von Ressourcen auswählen, falls Sie noch keine IAM-Rolle zur Verwendung in Ihrer Vorlage angegeben haben. Wenn Sie alle Optionen angegeben haben, wählen Sie **Next (Weiter)** aus. *Weitere Informationen zu erweiterten Optionen wie Rollback-Triggern finden Sie im Benutzerhandbuch unter [CloudFormation Stack-Optionen einrichten](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html).CloudFormation *
1. Überprüfen Sie auf der Seite **Review (Prüfen)** Ihre Auswahl. Wenn Sie bereit sind, den Server-Stack zu erstellen, wählen Sie **Create stack (Stack erstellen)** aus.
Während Sie darauf warten, den Stack CloudFormation zu erstellen, sehen Sie sich den Status der Stack-Erstellung an. Wenn die Stack-Erstellung fehlschlägt, überprüfen Sie die Fehlermeldungen in der Konsole, die Sie bei der Fehlerbehebung unterstützen. Weitere Informationen zur Fehlerbehebung bei CloudFormation -Stacks finden Sie im Abschnitt zur [Fehlerbehebung](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors) im *CloudFormation -Benutzerhandbuch*.
Wenn die Server-Erstellung abgeschlossen ist, ist Ihr Chef Automate-Server auf der AWS OpsWorks for Chef Automate -Startseite verfügbar und weist den Status **online** auf. Erstellen Sie auf der Seite "Properties (Eigenschaften)" des Servers ein neues Starter Kit und die Anmeldeinformationen für das Chef Automate-Dashboard. Nachdem sich der Server online befindet, ist das Chef Automate-Dashboard auf der Server-Domäne mit einer URL mit folgendem Format verfügbar: `https://your_server_name-randomID.region.opsworks-cm.io`.
**Anmerkung**
Wenn Sie eine benutzerdefinierte Domäne, ein Zertifikat und einen privaten Schlüssel für Ihren Server angegeben haben, erstellen Sie im DNS-Verwaltungstool Ihres Unternehmens einen CNAME-Eintrag, der Ihre benutzerdefinierte Domain dem Endpunkt zuordnet, der AWS OpsWorks for Chef Automate automatisch für den Server generiert wurde. Sie können den Server erst verwalten oder erst dann eine Verbindung mit dem Chef Automate-Dashboard für den Server herstellen, nachdem Sie den generierten Endpunkt Ihrem benutzerdefinierten Domänenwert zugeordnet haben.
Um den generierten Endpunktwert abzurufen, führen Sie den folgenden AWS CLI Befehl aus, nachdem Ihr Server online ist:
```
aws opsworks describe-servers --server-name server_name
```
### Erstellen eines Chef Automate-Servers mit CloudFormation (CLI)
Wenn auf Ihrem lokalen Computer das noch nicht ausgeführt wird AWS CLI, laden Sie es herunter und installieren Sie es, AWS CLI indem Sie den [Installationsanweisungen](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) im *AWS-Benutzerhandbuch für die Befehlszeilenschnittstelle* folgen. In diesem Abschnitt werden nicht alle Parameter beschrieben, die Sie mit dem Befehl **create-stack** verwenden können. Weitere Informationen zu den **create-stack**-Parametern finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html) in der *AWS CLI -Referenz*.
1. Stellen Sie sicher, dass Sie die [Voraussetzungen](gettingstarted-opscm.md#gettingstarted-opscm-prereq) für das Erstellen eines AWS OpsWorks for Chef Automate -Servers erfüllt haben.
1. Erstellen Sie eine Servicerolle und ein Instanzprofil.
Suchen und kopieren Sie ARNs die Servicerollen in Ihrem Konto.
```
aws iam list-roles --path-prefix "/service-role/" --no-paginate
```
Suchen Sie in den Ergebnissen des Befehls `list-roles` nach den Einträgen der Servicerolle und des Instance-Profils. Diese sehen etwa wie folgt aus. Notieren Sie sich die ARNs Servicerolle und das Instanzprofil und fügen Sie sie der CloudFormation Vorlage hinzu, mit der Sie Ihren Server-Stack erstellen.
1. Erstellen Sie den AWS OpsWorks for Chef Automate Server, indem Sie den **create-stack** Befehl erneut ausführen.
+ *stack\$1name*Ersetzen Sie ihn durch den Namen Ihres Stacks. Dies ist der Name des CloudFormation Stacks, nicht Ihr Chef Automate-Server. Der Chef Automate-Servername ist der Wert von `ServerName` in Ihrer CloudFormation Vorlage.
+ *template*Ersetzen Sie durch den Pfad zu Ihrer Vorlagendatei und die Erweiterung *yaml or json* durch `.yaml` oder, `.json` falls zutreffend.
+ Die Werte für `--parameters` entsprechen denen [EngineAttributes](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-opsworkscm-server.html#cfn-opsworkscm-server-engineattributes)der [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html)API. Für Chef lauten die zur Erstellung eines Servers genutzten, vom Benutzer angegebenen Engine-Attribute „`CHEF_AUTOMATE_PIVOTAL_KEY`“, ein base64-kodierter öffentlicher RSA-Schlüssel, den Sie mit Dienstprogrammen wie unter „[Voraussetzungen](#opscm-create-server-cfn-prereqs)“ beschrieben erstellen, sowie „`CHEF_AUTOMATE_ADMIN_PASSWORD`“, ein Passwort mit 8 bis 32 Zeichen, das Sie erstellen. Weitere Informationen zu `CHEF_AUTOMATE_ADMIN_PASSWORD`finden Sie unter [Erstellen Sie einen Chef Automate-Server mit dem AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli). Sie können einen Zeiger zu der PEM-Datei angeben, die Ihren pivotalen Schlüssel als Wert des Parameters `PivotalKey` enthält, wie im Beispiel gezeigt. Wenn die Werte für `CHEF_AUTOMATE_ADMIN_PASSWORD` und nicht in Ihrer Vorlage angegeben `CHEF_AUTOMATE_PIVOTAL_KEY` sind, müssen Sie die Werte in Ihrem AWS CLI Befehl angeben.
```
aws cloudformation create-stack --stack-name stack_name --template-body file://template.yaml or json --parameters ParameterKey=PivotalKey,ParameterValue="base64_encoded_RSA_public_key_value"
```
Nachfolgend sehen Sie ein Beispiel mit Beispielwerten für die Attribute „`CHEF_AUTOMATE_ADMIN_PASSWORD`“ und „`CHEF_AUTOMATE_PIVOTAL_KEY`“. Führen Sie einen ähnlichen Befehl aus, wenn Sie in Ihrer CloudFormation Vorlage keine Werte für diese Attribute angegeben haben.
```
aws cloudformation create-stack --stack-name "OpsWorksCMChefServerStack" --template-body file://opsworkscm-server.yaml --parameters ParameterKey=PivotalKey,ParameterValue="$(openssl rsa -in "pivotalKey.pem" -pubout)" ParameterKey=Password,ParameterValue="SuPer\$ecret890"
```
1. Wenn die Stack-Erstellung abgeschlossen ist, öffnen Sie die Eigenschaftenseite für den neuen Server in der AWS OpsWorks for Chef Automate Konsole und laden Sie ein Starterkit herunter. Wenn Sie ein neues Starter Kit herunterladen, wird das Administratorpasswort des Chef Automate-Dashboards zurückgesetzt.
1. Wenn Ihr Server eine benutzerdefinierte Domäne, ein Zertifikat und einen privaten Schlüssel verwendet, führen Sie die Schritte für die Konfiguration von `knife.rb` in [(Optional) Konfigurieren von `knife` zur Verwendung mit einer benutzerdefinierten Domäne](opscm-starterkit.md#opscm-starterkit-customdomain) aus und fahren Sie mit Schritt 7 fort.
1. Um die `knife`-Befehle auf dem neuen Server zu verwenden, aktualisieren Sie die Einstellungen der Chef-Konfigurationsdatei `knife.rb`. Ein Beispiel für die Datei `knife.rb` ist im Starter Kit enthalten. Das folgende Beispiel zeigt, wie Sie `knife.rb` auf einem Server einrichten, der keine benutzerdefinierte Domäne verwendet. Wenn Sie eine benutzerdefinierte Domäne verwenden, finden Sie unter [(Optional) Konfigurieren von `knife` zur Verwendung mit einer benutzerdefinierten Domäne](opscm-starterkit.md#opscm-starterkit-customdomain) `knife`-Konfigurationsanweisungen.
+ *ENDPOINT*Ersetzen Sie es durch den Endpunktwert des Servers. Dies ist Teil der Ausgabe des Stack-Erstellungsvorgangs. Sie erhalten den Endpunkt, indem Sie den folgenden Befehl ausführen.
```
aws cloudformation describe-stacks --stack-name stack_name
```
+ Ersetzen Sie *key\$1pair\$1file.pem* in der `client_key` Konfiguration durch den Namen der PEM-Datei, die die Datei enthält`CHEF_AUTOMATE_PIVOTAL_KEY`, mit der Sie Ihren Server erstellt haben.
```
base_dir = File.join(File.dirname(File.expand_path(__FILE__)), '..')
log_level :info
log_location STDOUT
node_name 'pivotal'
client_key File.join(base_dir, '.chef', 'key_pair_file.pem')
syntax_check_cache_path File.join(base_dir, '.chef', 'syntax_check_cache')
cookbook_path [File.join(base_dir, 'cookbooks')]
chef_server_url 'ENDPOINT/organizations/default'
ssl_ca_file File.join(base_dir, '.chef', 'ca_certs', 'opsworks-cm-ca-2020-root.pem')
trusted_certs_dir File.join(base_dir, '.chef', 'ca_certs')
```
1. Fahren Sie nach Abschluss der Servererstellung mit [Konfigurieren des Chef-Servers mit dem Starter Kit](opscm-starterkit.md) fort. Wenn die Stack-Erstellung fehlschlägt, überprüfen Sie die Fehlermeldungen in der Konsole, die Sie bei der Fehlerbehebung unterstützen. Weitere Informationen zur Behebung von Fehlern in CloudFormation Stacks finden Sie unter [Problembehandlung](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors) im *CloudFormation Benutzerhandbuch*.
# Einen AWS OpsWorks for Chef Automate Server für die Verwendung einer benutzerdefinierten Domain aktualisieren
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
In diesem Abschnitt wird beschrieben, wie Sie einen vorhandenen AWS OpsWorks for Chef Automate Server für die Verwendung einer benutzerdefinierten Domain und eines benutzerdefinierten Zertifikats aktualisieren, indem Sie ein Backup des Servers verwenden, um einen neuen Server zu erstellen. Im Wesentlichen kopieren Sie einen vorhandenen AWS OpsWorks for Chef Automate 2.0-Server, indem Sie einen neuen Server aus einem Backup erstellen und den neuen Server dann so konfigurieren, dass er eine benutzerdefinierte Domäne, ein Zertifikat und einen privaten Schlüssel verwendet.
**Topics**
+ [Voraussetzungen](#opscm-update-server-custom-domain-reqs)
+ [Einschränkungen](#opscm-update-server-custom-domain-limits)
+ [Aktualisieren eines Servers zur Verwendung einer benutzerdefinierten Domäne](#opscm-update-server-custom-domain-howto)
+ [Weitere Informationen finden Sie unter:](#opscm-update-server-custom-domain-seealso)
## Voraussetzungen
Im Folgenden sind die Anforderungen für die Aktualisierung eines vorhandenen AWS OpsWorks for Chef Automate Servers für die Verwendung einer benutzerdefinierten Domäne und eines benutzerdefinierten Zertifikats aufgeführt.
+ Auf dem Server, den Sie aktualisieren (oder kopieren) möchten, muss Chef Automate 2.0 ausgeführt werden.
+ Legen Sie fest, welche Sicherung Sie zum Erstellen eines neuen Servers verwenden möchten. Sie müssen mindestens eine Sicherung des Servers zur Verfügung haben, den Sie aktualisieren möchten. Weitere Informationen zu Backups finden Sie unter[Einen AWS OpsWorks for Chef Automate Server sichern](opscm-chef-backup.md). AWS OpsWorks for Chef Automate
+ Halten Sie die Servicerolle und ARNs das Instanzprofil bereit, mit denen Sie den vorhandenen Server erstellt haben, der die Quelle Ihres Backups ist.
+ Stellen Sie sicher, dass Sie die neueste Version von AWS CLI ausführen. Weitere Informationen zur Aktualisierung Ihrer AWS CLI Tools finden Sie unter [Installation von AWS CLI im](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) *AWS-Benutzerhandbuch für die Befehlszeilenschnittstelle*.
## Einschränkungen
Wenn Sie einen vorhandenen Server aktualisieren, indem Sie einen neuen Server aus einem Backup erstellen, kann der neue Server nicht exakt mit dem vorhandenen AWS OpsWorks for Chef Automate Server identisch sein.
+ Sie können dieses Verfahren nur abschließen, indem Sie die AWS CLI oder eine der Optionen verwenden [AWS SDKs](https://docs.aws.amazon.com/#sdks). Sie können mit der AWS-Managementkonsole keinen neuen Server aus einer Sicherung erstellen.
+ Der neue Server kann nicht denselben Namen wie der vorhandene Server in einem Konto und in einer AWS-Region verwenden. Der Name muss sich von dem vorhandenen Server unterscheiden, den Sie als Quelle der Sicherung verwendet haben.
+ Knoten, die an den vorhandenen Server angeschlossen wurden, werden nicht vom neuen Server verwaltet. Sie müssen einen der folgenden Schritte ausführen.
+ Fügen Sie verschiedene Knoten hinzu, da Knoten von nicht von mehr als einem Chef Automate-Server verwaltet werden können.
+ Migrieren Sie die Knoten vom vorhandenen Server (der Quelle der Sicherung) auf den neuen Server und den neuen benutzerdefinierten Domänenendpunkt. Weitere Informationen zum Migrieren von Knoten finden Sie in der Chef-Dokumentation.
## Aktualisieren eines Servers zur Verwendung einer benutzerdefinierten Domäne
Um einen vorhandenen Chef Automate 2.0-Server zu aktualisieren, erstellen Sie eine Kopie davon, indem Sie den Befehl `create-server` ausführen und Parameter hinzufügen, um eine Sicherung, eine benutzerdefinierte Domäne, ein benutzerdefiniertes Zertifikat und einen benutzerdefinierten privaten Schlüssel anzugeben.
1. Wenn Ihnen keine Servicerolle oder kein Instanzprofil ARNs zur Verfügung steht, das Sie in Ihrem `create-server` Befehl angeben können, folgen Sie den Schritten 1-5 unter, [Erstellen Sie einen Chef Automate-Server mit dem AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli) um eine Servicerolle und ein Instanzprofil zu erstellen, das Sie verwenden können.
1. Wenn Sie dies noch nicht getan haben, suchen Sie die Sicherung des vorhandenen Chef Automate 2.0-Servers, auf dem Sie einen neuen Server mit einer benutzerdefinierten Domäne erstellen möchten. Führen Sie den folgenden Befehl aus, um Informationen zu allen AWS OpsWorks for Chef Automate Backups in Ihrem Konto und in einer Region anzuzeigen. Notieren Sie sich die ID der Sicherung, die Sie verwenden möchten.
```
aws opsworks-cm --region region name describe-backups
```
1. Erstellen Sie den AWS OpsWorks for Chef Automate Server, indem Sie den `create-server` Befehl ausführen.
+ Der Wert `--engine` ist `ChefAutomate`, `--engine-model` ist `Single` und `--engine-version` ist `12`.
+ Der Servername muss innerhalb Ihres AWS Kontos in jeder Region eindeutig sein. Servernamen müssen mit einem Buchstaben beginnen. Danach können Buchstaben, Zahlen und Bindestriche (-) verwendet werden, insgesamt höchstens 40 Zeichen.
+ Verwenden Sie den Instance-Profil-ARN und den Servicerollen-ARN aus Schritt 1.
+ Gültige Instance-Typen sind `m5.large`, `r5.xlarge` und `r5.2xlarge`. Weitere Informationen zu den Spezifikationen dieser Instance-Typen finden Sie unter [Instance-Typen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html) im * EC2 Amazon-Benutzerhandbuch*.
+ Der Parameter `--engine-attributes` ist optional. Wenn Sie nicht einen oder beide Werte festlegen, werden die Werte bei der Servererstellung für Sie generiert. Wenn Sie `--engine-attributes` hinzufügen, geben Sie entweder den Wert `CHEF_AUTOMATE_PIVOTAL_KEY`, den Sie in Schritt 2 generiert haben, ein `CHEF_AUTOMATE_ADMIN_PASSWORD` oder beides an.
Wenn Sie keinen Wert für `CHEF_AUTOMATE_ADMIN_PASSWORD` festlegen, wird ein Passwort für Sie generiert und in der Antwort des Befehls `create-server` zurückgegeben. Sie können auch das Starter Kit in der Konsole erneut herunterladen, um dieses Passwort erneut zu generieren. Das Passwort muss eine Länge zwischen 8 und 32 Zeichen haben. Das Passwort kann Buchstaben, Zahlen und Sonderzeichen (`!/@#$%^+=_`) enthalten. Es muss mindestens einen Kleinbuchstaben, einen Großbuchstaben, eine Zahl und ein Sonderzeichen enthalten.
+ Ein SSH-Schlüsselpaar ist optional. Es kann Ihnen dabei helfen, sich mit dem Chef Automate-Server zu verbinden, wenn Sie das Administratorpasswort des Chef Automate-Dashboards zurücksetzen müssen. Weitere Informationen zum Erstellen eines SSH-Schlüsselpaars finden Sie unter [Amazon EC2 Key Pairs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html) im * EC2 Amazon-Benutzerhandbuch*.
+ Um eine benutzerdefinierte Domäne zu verwenden, fügen Sie dem Befehl die folgenden Parameter hinzu. Andernfalls generiert der Erstellungsprozess des Chef Automate-Servers automatisch einen Endpunkt für Sie. Alle drei Parameter sind erforderlich, um eine benutzerdefinierte Domäne zu konfigurieren. Informationen zu zusätzlichen Anforderungen für die Verwendung dieser Parameter finden Sie [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html)in der OpsWorks CM-API-Referenz.
+ `--custom-domain` – Ein optionaler öffentlicher Endpunkt eines Servers, z. B. `https://aws.my-company.com`.
+ `--custom-certificate` – Ein PEM-formatiertes HTTPS-Zertifikat. Der Wert kann ein einzelnes, selbstsigniertes Zertifikat oder eine Zertifikatkette sein.
+ `--custom-private-key` – Ein privater Schlüssel im PEM-Format für die Verbindung mit dem Server mithilfe von HTTPS. Der private Schlüssel darf nicht verschlüsselt sein; er kann nicht durch ein Passwort oder eine Passphrase geschützt werden.
+ Es ist eine wöchentliche Systemwartung erforderlich. Gültige Werte müssen im folgenden Format angegeben werden: `DDD:HH:MM`. Die angegebene Uhrzeit entspricht der Zeitzone UTC (Coordinated Universal Time). Wenn Sie für `--preferred-maintenance-window` keinen Wert angeben, wird ein zufälliger Standardwert mit einem einstündigen Zeitraum an einem Dienstag, Mittwoch oder Freitag festgelegt.
+ Gültige Werte für `--preferred-backup-window` müssen in einem der folgenden Formate angegeben werden: `HH:MM` für tägliche Sicherungen oder `DDD:HH:MM` für wöchentliche Sicherungen. Die angegebene Uhrzeit entspricht der Zeitzone UTC. Standardmäßig wird ein zufälliger täglicher Startzeitpunkt festgelegt. Wenn Sie automatische Sicherungen deaktivieren möchten, verwenden Sie stattdessen den Parameter `--disable-automated-backup`.
+ Geben Sie für `--security-group-ids` eine oder mehrere Sicherheitsgruppen IDs, getrennt durch ein Leerzeichen, ein.
+ Geben Sie für `--subnet-ids` eine Subnetz-ID ein.
+ Geben Sie für `--backup-id` die ID der Sicherung ein, die Sie in Schritt 2 kopiert haben.
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" --server-name "server_name" --instance-profile-arn "instance_profile_ARN" --instance-type "instance_type" --engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"pivotal_key","CHEF_AUTOMATE_ADMIN_PASSWORD":"password"}' --key-pair "key_pair_name" --preferred-maintenance-window "ddd:hh:mm" --preferred-backup-window "ddd:hh:mm" --security-group-ids security_group_id1 security_group_id2 --service-role-arn "service_role_ARN" --subnet-ids subnet_ID --backup-id backup_ID
```
Im folgenden Beispiel wird ein Chef Automate-Server erstellt, der eine benutzerdefinierte Domäne verwendet.
```
aws opsworks-cm create-server --engine "ChefAutomate" --engine-model "Single" --engine-version "12" \
--server-name "my-custom-domain-server" \
--instance-profile-arn "arn:aws:iam::12345678912:instance-profile/aws-opsworks-cm-ec2-role" \
--instance-type "m5.large" \
--engine-attributes '{"CHEF_AUTOMATE_PIVOTAL_KEY":"MZZE...Wobg","CHEF_AUTOMATE_ADMIN_PASSWORD":"zZZzDj2DLYXSZFRv1d"}' \
--custom-domain "my-chef-automate-server.my-corp.com" \
--custom-certificate "-----BEGIN CERTIFICATE----- EXAMPLEqEXAMPLE== -----END CERTIFICATE-----" \
--custom-private-key "-----BEGIN RSA PRIVATE KEY----- EXAMPLEqEXAMPLE= -----END RSA PRIVATE KEY-----" \
--key-pair "amazon-test" \
--preferred-maintenance-window "Mon:08:00" \
--preferred-backup-window "Sun:02:00" \
--security-group-ids sg-b00000001 sg-b0000008 \
--service-role-arn "arn:aws:iam::12345678912:role/service-role/aws-opsworks-cm-service-role" \
--subnet-ids subnet-300aaa00 \
--backup-id MyChefServer-20191004122143125
```
1. AWS OpsWorks for Chef Automate benötigt etwa 15 Minuten, um einen neuen Server zu erstellen. Kopieren Sie in der Ausgabe des Befehls `create-server` den Wert des Attributs `Endpoint`. Im Folgenden wird ein -Beispiel gezeigt.
```
"Endpoint": "automate-07-exampleexample.opsworks-cm.us-east-1.amazonaws.com"
```
Sie sollten die Ausgabe des Befehls `create-server` nicht verwerfen oder die Shell-Sitzung beenden, da die Ausgabe wichtige Informationen enthalten kann, die nicht wiederhergestellt werden können. Um Passwörter und das Starter Kit aus den Ergebnissen von `create-server` zu extrahieren, fahren Sie mit dem nächsten Schritt fort.
1. Wenn Sie sich dafür entschieden haben, einen Schlüssel und ein Passwort für Sie AWS OpsWorks for Chef Automate generieren zu lassen, können Sie diese mithilfe eines JSON-Prozessors wie [jq](https://stedolan.github.io/jq/) in verwendbaren Formaten aus den `create-server` Ergebnissen extrahieren. Nachdem Sie [jq](https://stedolan.github.io/jq/) installiert haben, können Sie die folgenden Befehle ausführen, um den pivotalen Schlüssel, das Administratorpasswort für das Chef Automate-Dashboard und das Starter Kit zu extrahieren. Wenn Sie in Schritt 3 keinen eigenen pivotalen Schlüssel und kein eigenes Passwort angegeben haben, speichern Sie den extrahierten pivotalen Schlüssel und das extrahierte Administratorpasswort an einem sicheren Speicherort.
```
#Get the Chef password:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_AUTOMATE_ADMIN_PASSWORD") | .Value'
#Get the Chef Pivotal Key:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_AUTOMATE_PIVOTAL_KEY") | .Value'
#Get the Chef Starter Kit:
cat resp.json | jq -r '.Server.EngineAttributes[] | select(.Name == "CHEF_STARTER_KIT") | .Value' | base64 -D > starterkit.zip
```
1. Falls Sie das Starterkit nicht aus den `create-server` Befehlsergebnissen extrahiert haben, können Sie optional ein neues Starterkit von der Eigenschaftenseite des Servers in der AWS OpsWorks for Chef Automate Konsole herunterladen. Wenn Sie ein neues Starter Kit herunterladen, wird das Administratorpasswort des Chef Automate-Dashboards zurückgesetzt.
1. Erstellen Sie einen CNAME-Eintrag im DNS-Verwaltungstool Ihres Unternehmens, um Ihre benutzerdefinierte Domain auf den AWS OpsWorks for Chef Automate Endpunkt zu verweisen, den Sie in Schritt 4 kopiert haben. Sie können den Server erst erreichen oder sich erst dann anmelden, nachdem Sie diesen Schritt ausgeführt haben.
1. Fahren Sie nach Abschluss der Servererstellung mit [Konfigurieren des Chef-Servers mit dem Starter Kit](opscm-starterkit.md) fort.
## Weitere Informationen finden Sie unter:
+ [Erstellen Sie einen Chef Automate-Server mit dem AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli)
+ [Einen AWS OpsWorks for Chef Automate Server aus einem Backup wiederherstellen](opscm-chef-restore.md)
+ [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html)in der OpsWorks CM-API-Referenz
+ [https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/create-server.html](https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/create-server.html) in der *AWS CLI Befehlsreferenz*
# Regenerieren Sie das Starterkit für einen Server AWS OpsWorks for Chef Automate
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Das Starterkit für AWS OpsWorks for Chef Automate enthält eine README-Datei mit Beispielen, eine `knife.rb` Konfigurationsdatei und einen privaten Schlüssel für den primären oder zentralen Benutzer. Jedes Mal, wenn Sie das Starterkit herunterladen, wird ein neues key pair generiert — und der alte Schlüssel wird zurückgesetzt. Sie können das Starterkit für einen AWS OpsWorks for Chef Automate Server auf zwei Arten neu generieren:
+ In der OpsWorks Konsole im Menü **Aktionen** der Detailseite für einen AWS OpsWorks for Chef Automate Server. Sie werden aufgefordert zu bestätigen, ob Sie den alten Pivotalschlüssel regenerieren und zurücksetzen möchten.
+ Durch das Ausführen von Befehlen in der. AWS CLI
Weitere Informationen zur Verwendung des Starterkits finden Sie unter[Konfigurieren des Chef-Servers mit dem Starter Kit](opscm-starterkit.md).
## Regenerieren Sie das AWS OpsWorks for Chef Automate Starterkit mit dem AWS CLI
**Anmerkung**
Wenn Sie das Starterkit regenerieren, regenerieren und setzen Sie auch das Authentifizierungsschlüsselpaar für Ihren Chef Automate-Server zurück und löschen das aktuelle key pair.
Regenerieren Sie das Starterkit, indem Sie den Befehl ausführen. [https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/update-server-engine-attributes.html](https://docs.aws.amazon.com/cli/latest/reference/opsworks-cm/update-server-engine-attributes.html) Führen Sie in einer AWS CLI Sitzung den folgenden Befehl aus. Geben Sie Ihren Servernamen als Wert von an`--server-name`. Um einen eigenen öffentlichen Schlüssel als Wert von festzulegen`CHEF_AUTOMATE_PIVOTAL_KEY`, geben Sie den Wert des öffentlichen Schlüssels in an`--attribute-value`. Andernfalls setzen Sie ihn `--attribute-value` auf Null.
```
aws opsworks-cm update-server-engine-attributes \
--server-name server_name \
--attribute-name "CHEF_AUTOMATE_PIVOTAL_KEY" \
--attribute-value your_public_key
```
Der folgende Befehl ist ein Beispiel, das einen öffentlichen Schlüsselwert angibt, den der Serveradministrator verwenden möchte.
```
aws opsworks-cm update-server-engine-attributes \
--server-name your-test-server \
--attribute-name "CHEF_AUTOMATE_PIVOTAL_KEY" \
--attribute-value "-----BEGIN PUBLIC KEY-----ExamplePublicKey-----END PUBLIC KEY-----"
```
Der folgende Befehl ist ein Beispiel, mit dem der öffentliche Schlüssel AWS OpsWorks for Chef Automate neu generiert werden kann.
```
aws opsworks-cm update-server-engine-attributes \
--server-name your-test-server \
--attribute-name "CHEF_AUTOMATE_PIVOTAL_KEY" \
--attribute-value null
```
Die Ausgabe dieses Befehls besteht aus Informationen über den Server und einer Base64-codierten ZIP-Datei. Die ZIP-Datei enthält ein Chef-Starterkit, das eine README-Datei, eine Konfigurationsdatei und den erforderlichen privaten RSA-Schlüssel enthält. Speichern Sie diese Datei, entpacken Sie sie und wechseln Sie dann in das Verzeichnis, in das Sie den Dateiinhalt entpackt haben. In diesem Verzeichnis können Sie Befehle ausführen. `knife`
# Mit Tags auf AWS OpsWorks for Chef Automate Ressourcen arbeiten
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Tags sind Wörter oder Ausdrücke, die in Form von Metadaten zum Identifizieren und Organisieren Ihrer AWS-Ressourcen verwendet werden. In AWS OpsWorks for Chef Automate kann eine Ressource bis zu 50 vom Benutzer angewendete Tags haben. Jedes Tag besteht aus einem Schlüssel und einem einzelnen optionalen Wert. Sie können Tags auf die folgenden Ressourcen in AWS OpsWorks for Chef Automate anwenden:
+ AWS OpsWorks for Chef Automate Server
+ Backups von AWS OpsWorks for Chef Automate Servern
Mithilfe von Tags auf AWS Ressourcen können Sie Kosten verfolgen, den Zugriff auf Ressourcen kontrollieren, Ressourcen zur Automatisierung von Aufgaben gruppieren oder Ressourcen nach Zweck oder Lebensphase organisieren. Weitere Informationen zu den Vorteilen von Tags finden Sie unter [AWS-Tagging-Strategien](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) in AWS Answers und unter [Verwendung von Kostenzuweisungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html#allocation-what) im *AWS Fakturierung und Kostenmanagement -Benutzerhandbuch*.
Um mithilfe von Tags den Zugriff auf AWS OpsWorks for Chef Automate Server oder Backups zu kontrollieren, erstellen oder bearbeiten Sie Richtlinienerklärungen in AWS Identity and Access Management (IAM). Weitere Informationen finden Sie unter [Steuern des Zugriffs auf AWS -Ressourcen mithilfe von Ressourcen-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) im *AWS Identity and Access Management -Benutzerhandbuch*.
Wenn Sie Tags auf einen AWS OpsWorks for Chef Automate Server anwenden, werden die Tags auch auf die Backups des Servers, den Amazon S3 S3-Bucket, in dem die Backups gespeichert sind, die EC2 Amazon-Instance des Servers, die auf dem Server gespeichert sind AWS Secrets Manager, und die vom Server verwendete Elastic IP-Adresse angewendet. Tags werden nicht an den CloudFormation Stack weitergegeben, der zur Erstellung Ihres Servers OpsWorks verwendet wird.
**Topics**
+ [So funktionieren Tags in AWS OpsWorks for Chef Automate](#opscm-tags-concepts)
+ [Hinzufügen und Verwalten von Tags in AWS OpsWorks for Chef Automate (Konsole)](#opscm-tags-howto-console)
+ [Hinzufügen und Verwalten von Tags in AWS OpsWorks for Chef Automate (CLI)](#opscm-tags-howto)
+ [Weitere Informationen finden Sie unter:](#opscm-tags-seealso)
## So funktionieren Tags in AWS OpsWorks for Chef Automate
In dieser Version können Sie Tags hinzufügen und verwalten, indem Sie die [OpsWorks -CM-API](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/Welcome.html) oder die AWS-Managementkonsole verwenden. OpsWorks CM versucht auch, Tags, die Sie einem Server hinzufügen, zu den AWS Ressourcen hinzuzufügen, die dem Server zugeordnet sind, einschließlich der EC2 Instance, Secrets in Secrets Manager, Elastic IP-Adresse, Sicherheitsgruppe, S3-Bucket und Backups. In der folgenden Tabelle finden Sie eine Übersicht darüber, wie Sie Tags in AWS OpsWorks for Chef Automate hinzufügen und verwalten.
| Action | Was zu verwenden ist |
| --- | --- |
| Fügen Sie einem neuen AWS OpsWorks for Chef Automate Server oder einem Backup, das Sie manuell erstellen, Tags hinzu. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/opscm-tags.html) |
| Anzeigen von Tags auf einer Ressource. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/opscm-tags.html) |
| Fügen Sie einem vorhandenen AWS OpsWorks for Chef Automate Server oder einem Backup Tags hinzu, unabhängig davon, ob das Backup manuell oder automatisch erstellt wurde. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/opscm-tags.html) |
| Löschen Sie Tags von einer Ressource. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/opscm-tags.html) |
`DescribeServers`- und `DescribeBackups`-Antworten enthalten keine Tag-Informationen. Verwenden Sie die `ListTagsForResource`-API, um Tags anzuzeigen.
## Hinzufügen und Verwalten von Tags in AWS OpsWorks for Chef Automate (Konsole)
Die Prozeduren in diesem Abschnitt werden in der AWS-Managementkonsole durchgeführt.
Wenn Sie Tags hinzufügen, darf ein Tag-Schlüssel nicht leer sein. Der Schlüssel darf maximal 127 Zeichen lang sein und nur Unicode-Buchstaben, Ziffern oder Trennzeichen oder die folgenden Sonderzeichen enthalten: `+ - = . _ : / @`-Tag-Werte sind optional. Sie können einen Tag hinzufügen, der einen Schlüssel, aber keine Werte enthält. Der Wert darf maximal 255 Zeichen lang sein und können nur Unicode-Buchstaben, Ziffern oder Trennzeichen oder die folgenden Sonderzeichen enthalten: `+ - = . _ : / @`.
**Topics**
+ [Hinzufügen von Tags zu einem neuen AWS OpsWorks for Chef Automate Server (Konsole)](#opscm-tags-howto-createserver-console)
+ [Hinzufügen von Tags zu einer neuen Sicherung (Konsole)](#opscm-tags-howto-createbackup-console)
+ [Hinzufügen oder Anzeigen von Tags auf einem vorhandenen Server (Konsole)](#opscm-tags-howto-server-tag-console)
+ [Hinzufügen oder Anzeigen von Tags in einer vorhandenen Sicherung (Konsole)](#opscm-tags-existing-backup-console)
+ [Löschen von Tags aus einem Server (Konsole)](#opscm-tags-delete-server-console)
+ [Löschen von Tags aus einer Sicherung (Konsole)](#opscm-tags-delete-backup-console)
### Hinzufügen von Tags zu einem neuen AWS OpsWorks for Chef Automate Server (Konsole)
1. Stellen Sie sicher, dass alle [Voraussetzungen](gettingstarted-opscm.md#gettingstarted-opscm-prereq-customdomain) für die Erstellung eines AWS OpsWorks for Chef Automate Servers erfüllt sind.
1. Führen Sie die Schritte 1-10 in [Erstellen eines Chef Automate-Servers](gettingstarted-opscm-create.md) aus.
1. Nachdem Sie automatische Sicherungseinstellungen festgelegt haben, fügen Sie Tags im Bereich **Tags** der Seite **Configure advanced settings (Erweiterte Einstellungen konfigurieren)** hinzu. Sie können maximal 50 Tags hinzufügen. Wenn Sie alle Tags hinzugefügt haben, wählen Sie **Next** aus.
1. Fahren Sie mit Schritt 13 von [Erstellen eines Chef Automate-Servers](gettingstarted-opscm-create.md) fort und überprüfen Sie die Einstellungen, die Sie für den neuen Server ausgewählt haben.
### Hinzufügen von Tags zu einer neuen Sicherung (Konsole)
1. Wählen Sie auf der AWS OpsWorks for Chef Automate Startseite einen vorhandenen Chef Automate-Server aus.
1. Wählen Sie auf der Detailseite des Servers im Navigationsbereich **Backups (Sicherungen)** aus.
1. Wählen Sie auf der Seite **Backups (Sicherungen)** die Option **Create Backup (Sicherung erstellen)** aus.
1. Tags hinzufügen Wählen Sie **Create (Erstellen)** aus, sobald Sie mit dem Hinzufügen von Tags fertig sind.
### Hinzufügen oder Anzeigen von Tags auf einem vorhandenen Server (Konsole)
1. Wählen Sie auf der AWS OpsWorks for Chef Automate Startseite einen vorhandenen Chef Automate-Server aus, um dessen Detailseite zu öffnen.
1. Wählen Sie im Navigationsbereich **Tags** oder unten auf der Detailseite die Option **View all tags (Alle Tags anzeigen)** aus.
1. Wählen Sie auf der Seite **Tags** die Option **Edit (Bearbeiten)** aus.
1. Tags auf dem Server hinzufügen oder bearbeiten. Wählen Sie **Save (Speichern)** aus, wenn Sie fertig sind.
**Anmerkung**
Beachten Sie, dass durch das Ändern von Tags auf Ihrem Chef Automate-Server auch Tags auf Ressourcen geändert werden, die dem Server zugeordnet sind, z. B. die EC2 Instance, die Elastic IP-Adresse, die Sicherheitsgruppe, der S3-Bucket und Backups.
### Hinzufügen oder Anzeigen von Tags in einer vorhandenen Sicherung (Konsole)
1. Wählen Sie auf der AWS OpsWorks for Chef Automate Startseite einen vorhandenen Chef Automate-Server aus, um dessen Detailseite zu öffnen.
1. Wählen Sie im Navigationsbereich **Backups (Sicherungen)** oder im Bereich **Recent backups (Zuletzt verwendete Sicherungen)** auf der Detailseite die Option **View all backups (Alle Sicherungen anzeigen)** aus.
1. Wählen Sie auf der Seite **Backups (Sicherungen)** eine zu verwaltende Sicherung aus, und wählen Sie dann **Edit Backups (Sicherung bearbeiten)** aus.
1. Tags in der Sicherung hinzufügen oder bearbeiten. Wählen Sie **Update (Aktualisieren)** aus, wenn Sie fertig sind.
### Löschen von Tags aus einem Server (Konsole)
1. Wählen Sie auf der AWS OpsWorks for Chef Automate Startseite einen vorhandenen Chef Automate-Server aus, um dessen Detailseite zu öffnen.
1. Wählen Sie im Navigationsbereich **Tags** oder unten auf der Detailseite die Option **View all tags (Alle Tags anzeigen)** aus.
1. Wählen Sie auf der Seite **Tags** die Option **Edit (Bearbeiten)** aus.
1. Wählen Sie das **X** neben einem Tag aus, um das Tag zu löschen. Wählen Sie **Save (Speichern)** aus, wenn Sie fertig sind.
**Anmerkung**
Beachten Sie, dass durch das Ändern von Tags auf Ihrem Chef Automate-Server auch Tags auf Ressourcen geändert werden, die dem Server zugeordnet sind, z. B. die EC2 Instance, die Elastic IP-Adresse, die Sicherheitsgruppe, der S3-Bucket und Backups.
### Löschen von Tags aus einer Sicherung (Konsole)
1. Wählen Sie auf der AWS OpsWorks for Chef Automate Startseite einen vorhandenen Chef Automate-Server aus, um dessen Detailseite zu öffnen.
1. Wählen Sie im Navigationsbereich **Backups (Sicherungen)** oder im Bereich **Recent backups (Zuletzt verwendete Sicherungen)** auf der Detailseite die Option **View all backups (Alle Sicherungen anzeigen)** aus.
1. Wählen Sie auf der Seite **Backups (Sicherungen)** eine zu verwaltende Sicherung aus, und wählen Sie dann **Edit Backups (Sicherung bearbeiten)** aus.
1. Wählen Sie das **X** neben einem Tag aus, um das Tag zu löschen. Wählen Sie **Update (Aktualisieren)** aus, wenn Sie fertig sind.
## Hinzufügen und Verwalten von Tags in AWS OpsWorks for Chef Automate (CLI)
Die Prozeduren in diesem Abschnitt werden in der AWS CLI durchgeführt. Stellen Sie sicher, dass Sie die neueste Version von ausführen, AWS CLI bevor Sie mit der Arbeit mit Tags beginnen. Weitere Informationen zur Installation oder Aktualisierung von finden Sie unter [Installation von AWS CLI im AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) *Benutzerhandbuch*. AWS CLI
Wenn Sie Tags hinzufügen, darf ein Tag-Schlüssel nicht leer sein. Der Schlüssel darf maximal 127 Zeichen lang sein und nur Unicode-Buchstaben, Ziffern oder Trennzeichen oder die folgenden Sonderzeichen enthalten: `+ - = . _ : / @`-Tag-Werte sind optional. Sie können einen Tag hinzufügen, der einen Schlüssel, aber keine Werte enthält. Der Wert darf maximal 255 Zeichen lang sein und können nur Unicode-Buchstaben, Ziffern oder Trennzeichen oder die folgenden Sonderzeichen enthalten: `+ - = . _ : / @`.
**Topics**
+ [Hinzufügen von Tags zu einem neuen AWS OpsWorks for Chef Automate Server (CLI)](#opscm-tags-howto-createserver)
+ [Hinzufügen von Tags zu einer neuen Sicherung (CLI)](#opscm-tags-howto-createbackup)
+ [Hinzufügen von Tags zu vorhandenen Servern oder Sicherungen (CLI)](#opscm-tags-howto-addtags)
+ [Auflisten der Ressourcen-Tags](#opscm-tags-howto-listtags)
+ [Löschen von Tags von einer Ressource](#opscm-tags-howto-untag)
### Hinzufügen von Tags zu einem neuen AWS OpsWorks for Chef Automate Server (CLI)
Sie können das verwenden AWS CLI , um Tags hinzuzufügen, wenn Sie einen AWS OpsWorks for Chef Automate Server erstellen. In diesem Verfahren wird nicht vollständig beschrieben, wie ein Server erstellt wird. Ausführliche Informationen zum Erstellen eines AWS OpsWorks for Chef Automate Servers AWS CLI finden Sie unter [Erstellen Sie einen Chef Automate-Server mit dem AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli) in diesem Handbuch. Sie können einem Server bis zu 50 Tags hinzufügen.
1. Stellen Sie sicher, dass alle [Voraussetzungen](gettingstarted-opscm.md#gettingstarted-opscm-prereq-customdomain) für die Erstellung eines AWS OpsWorks for Chef Automate Servers erfüllt sind.
1. Führen Sie die Schritte 1-5 von [Erstellen Sie einen Chef Automate-Server mit dem AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli) durch.
1. Fügen Sie beim Ausführen des `create-server`-Befehls in Schritt 6 den `--tags`-Parameter zu dem Befehl hinzu, wie im folgenden Beispiel gezeigt.
```
aws opsworks-cm create-server ... --tags Key=Key1,Value=Value1 Key=Key2,Value=Value2
```
Im Folgenden finden Sie ein Beispiel, das nur den Tag-Teil des `create-server`-Befehls zeigt.
```
aws opsworks-cm create-server ... --tags Key=Stage,Value=Production Key=Department,Value=Marketing
```
1. Führen Sie die verbleibenden Schritte unter [Erstellen Sie einen Chef Automate-Server mit dem AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli) aus. Führen Sie die Schritte unter [Auflisten der Ressourcen-Tags](#opscm-tags-howto-listtags) in diesem Thema aus, um zu überprüfen, ob Ihre Tags dem neuen Server hinzugefügt wurden.
### Hinzufügen von Tags zu einer neuen Sicherung (CLI)
Sie können den verwenden AWS CLI , um Tags hinzuzufügen, wenn Sie ein neues, manuelles Backup eines AWS OpsWorks for Chef Automate Servers erstellen. In diesem Verfahren wird nicht vollständig beschrieben, wie eine manuelle Sicherung erstellt wird. Ausführliche Informationen zum Erstellen einer manuellen Sicherung finden Sie unter „So führen Sie eine manuelle Sicherung durch AWS CLI“ im "in[Einen AWS OpsWorks for Chef Automate Server sichern](opscm-chef-backup.md). Sie können einer Sicherung bis zu 50 Tags hinzufügen. Wenn ein Server über Tags verfügt, werden neue Sicherungen automatisch mit den Tags des Servers markiert.
Wenn Sie einen neuen AWS OpsWorks for Chef Automate Server erstellen, sind automatische Backups standardmäßig aktiviert. Sie können Tags zu einer automatisierten Sicherung hinzufügen, indem Sie den unter [Hinzufügen von Tags zu vorhandenen Servern oder Sicherungen (CLI)](#opscm-tags-howto-addtags) in diesem Thema beschriebenen `tag-resource`-Befehl ausführen.
+ Führen Sie den folgenden Befehl aus, um einer manuellen Sicherung während der Erstellung der Sicherung Tags hinzuzufügen. Nur der Tag-Teil des Befehls wird angezeigt. Ein Beispiel für den vollständigen `create-backup`-Befehl finden Sie unter „So führen Sie eine manuelle Sicherung in der AWS CLI aus" in [Einen AWS OpsWorks for Chef Automate Server sichern](opscm-chef-backup.md).
```
aws opsworks-cm create-backup ... --tags Key=Key1,Value=Value1 Key=Key2,Value=Value2
```
Das folgende Beispiel zeigt nur den Tag-Teil des `create-backup`-Befehls.
```
aws opsworks-cm create-backup ... --tags Key=Stage,Value=Production Key=Department,Value=Marketing
```
### Hinzufügen von Tags zu vorhandenen Servern oder Sicherungen (CLI)
Sie können den `tag-resource`-Befehl ausführen, um Tags zu vorhandenen AWS OpsWorks for Chef Automate -Servern oder Sicherungen hinzuzufügen (unabhängig davon, ob die Sicherungen automatisch oder manuell erstellt wurden). Geben Sie den Amazon-Ressourcennamen (ARN) einer Zielressource an, um ihr Tags hinzuzufügen.
1. So rufen Sie den ARN der Ressource ab, auf die Sie Tags anwenden möchten:
+ Führen Sie für einen Server `describe-servers --server-name server_name` aus. Die Ergebnisse des Befehls zeigen den Server-ARN an.
+ Führen Sie für eine Sicherung `describe-backups --backup-id backup_ID` aus. Die Ergebnisse des Befehls zeigen den ARN der Sicherung an. Sie können auch ausführen`describe-backups --server-name server_name`, um Informationen zu allen Backups für einen bestimmten AWS OpsWorks for Chef Automate Server anzuzeigen.
Das folgende Beispiel zeigt nur die `ServerArn` in den Ergebnissen eines `describe-servers --server-name opsworks-cm-test`-Befehls an. Der `ServerArn`-Wert wird einem `tag-resource`-Befehl hinzugefügt, um dem Server Tags hinzuzufügen.
```
{
"Servers": [
{
...
"ServerArn": "arn:aws:opsworks-cm:us-west-2:123456789012:server/opsworks-cm-test/EXAMPLEd-66b0-4196-8274-d1a2bEXAMPLE"
}
]
}
```
1. Führen Sie den `tag-resource`-Befehl mit dem ARN aus, den Sie in Schritt 1 erhalten haben.
```
aws opsworks-cm tag-resource --resource-arn "server_or_backup_ARN" --tags Key=Key1,Value=Value1 Key=Key2,Value=Value2
```
Im Folgenden wird ein -Beispiel gezeigt.
```
aws opsworks-cm tag-resource --resource-arn "arn:aws:opsworks-cm:us-west-2:123456789012:server/opsworks-cm-test/EXAMPLEd-66b0-4196-8274-d1a2bEXAMPLE" --tags Key=Stage,Value=Production Key=Department,Value=Marketing
```
1. Um zu überprüfen, ob Tags erfolgreich hinzugefügt wurden, fahren Sie mit der nächsten Prozedur, [Auflisten der Ressourcen-Tags](#opscm-tags-howto-listtags), fort.
### Auflisten der Ressourcen-Tags
Sie können den `list-tags-for-resource` Befehl ausführen, um die Tags anzuzeigen, die an AWS OpsWorks for Chef Automate Server oder Backups angehängt sind. Geben Sie den ARN einer Zielressource an, um deren Tags anzuzeigen.
1. So rufen Sie den ARN der Ressource ab, für die Sie Tags auflisten möchten:
+ Führen Sie für einen Server `describe-servers --server-name server_name` aus. Die Ergebnisse des Befehls zeigen den Server-ARN an.
+ Führen Sie für eine Sicherung `describe-backups --backup-id backup_ID` aus. Die Ergebnisse des Befehls zeigen den ARN der Sicherung an. Sie können auch ausführen`describe-backups --server-name server_name`, um Informationen zu allen Backups für einen bestimmten AWS OpsWorks for Chef Automate Server anzuzeigen.
1. Führen Sie den `list-tags-for-resource`-Befehl mit dem ARN aus, den Sie in Schritt 1 erhalten haben.
```
aws opsworks-cm list-tags-for-resource --resource-arn "server_or_backup_ARN"
```
Im Folgenden wird ein -Beispiel gezeigt.
```
aws opsworks-cm tag-resource --resource-arn "arn:aws:opsworks-cm:us-west-2:123456789012:server/opsworks-cm-test/EXAMPLEd-66b0-4196-8274-d1a2bEXAMPLE"
```
Wenn Tags auf der Ressource vorhanden sind, gibt der Befehl Ergebnisse wie die folgenden zurück.
```
{
"Tags": [
{
"Key": "Stage",
"Value": "Production"
},
{
"Key": "Department",
"Value": "Marketing"
}
]
}
```
### Löschen von Tags von einer Ressource
Sie können den `untag-resource`-Befehl ausführen, um Tags von AWS OpsWorks for Chef Automate -Servern oder Sicherungen zu löschen. Wenn die Ressource gelöscht wird, werden auch die Tags in der Ressource gelöscht. Geben Sie den Amazon-Ressourcennamen (ARN) einer Zielressource an, um Tags von ihr zu entfernen.
1. So rufen Sie den ARN der Ressource ab, von der Sie Tags entfernen möchten:
+ Führen Sie für einen Server `describe-servers --server-name server_name` aus. Die Ergebnisse des Befehls zeigen den Server-ARN an.
+ Führen Sie für eine Sicherung `describe-backups --backup-id backup_ID` aus. Die Ergebnisse des Befehls zeigen den ARN der Sicherung an. Sie können auch ausführen`describe-backups --server-name server_name`, um Informationen zu allen Backups für einen bestimmten AWS OpsWorks for Chef Automate Server anzuzeigen.
1. Führen Sie den `untag-resource`-Befehl mit dem ARN aus, den Sie in Schritt 1 erhalten haben. Geben Sie nur die Tags an, die Sie löschen möchten.
```
aws opsworks-cm untag-resource --resource-arn "server_or_backup_ARN" --tags Key=Key1,Value=Value1 Key=Key2,Value=Value2
```
In diesem Beispiel entfernt der `untag-resource`-Befehl nur den Tag mit dem Schlüssel `Stage` und dem Wert `Production`.
```
aws opsworks-cm untag-resource --resource-arn "arn:aws:opsworks-cm:us-west-2:123456789012:server/opsworks-cm-test/EXAMPLEd-66b0-4196-8274-d1a2bEXAMPLE" --tags Key=Stage,Value=Production
```
1. Führen Sie die Schritte unter [Auflisten der Ressourcen-Tags](#opscm-tags-howto-listtags) in diesem Thema aus, um zu überprüfen, ob Tags erfolgreich gelöscht wurden.
## Weitere Informationen finden Sie unter:
+ [Erstellen Sie einen Chef Automate-Server mit dem AWS CLI](gettingstarted-opscm-create.md#gettingstarted-opscm-create-cli)
+ [Einen AWS OpsWorks for Chef Automate Server sichern](opscm-chef-backup.md)
+ [AWS-Strategien für das Tagging](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
+ [Steuern des Zugriffs auf AWS Ressourcen mithilfe von Ressourcen-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) im *AWS Identity and Access Management Benutzerhandbuch*
+ [Verwenden von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html#allocation-what) im *AWS Fakturierung und Kostenmanagement - Benutzerhandbuch*.
+ [CreateBackup](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateBackup.html) in der *OpsWorks CM-API-Referenz*
+ [CreateServer](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html) in der *OpsWorks CM-API-Referenz*
+ [TagResource](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_TagResource.html) in der *OpsWorks CM-API-Referenz*
+ [ListTagsForResource](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_ListTagsForResource.html) in der *OpsWorks CM-API-Referenz*
+ [UntagResource](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_UntagResource.html) in der *OpsWorks CM-API-Referenz*
# Einen AWS OpsWorks for Chef Automate Server sichern und wiederherstellen
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
In diesem Abschnitt wird beschrieben, wie Sie einen AWS OpsWorks for Chef Automate Server sichern und wiederherstellen und wie Sie Backups löschen.
**Topics**
+ [Einen AWS OpsWorks for Chef Automate Server sichern](opscm-chef-backup.md)
+ [Einen AWS OpsWorks for Chef Automate Server aus einem Backup wiederherstellen](opscm-chef-restore.md)
# Einen AWS OpsWorks for Chef Automate Server sichern
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Nutzungsdauer erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Sie können ein täglich oder wöchentlich wiederkehrendes AWS OpsWorks for Chef Automate Server-Backup definieren und den Service die Backups in Ihrem Namen in Amazon Simple Storage Service (Amazon S3) speichern lassen. Alternativ können Sie bei Bedarf manuelle Sicherungen durchführen.
Da Backups in Amazon S3 gespeichert werden, fallen zusätzliche Gebühren an. Sie können einen Aufbewahrungszeitraum für Backups von bis zu 30 Generationen definieren. Sie können eine Serviceanfrage stellen, um dieses Limit ändern zu lassen, indem Sie die AWS Support-Kanäle nutzen. Inhalte, die an Amazon-S3-Buckets geliefert werden, können Kundeninhalte enthalten. Weitere Informationen zum Entfernen sensibler Daten finden Sie unter [Wie entleere ich einen S3 Bucket?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/empty-bucket.html) oder [Wie lösche ich einen S3 Bucket?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html).
Sie können den Backups eines AWS OpsWorks for Chef Automate Servers Tags hinzufügen. Wenn Sie einem AWS OpsWorks for Chef Automate -Server Tags hinzugefügt haben, werden diese Tags von automatischen Sicherungen des Servers geerbt. Weitere Informationen zum Hinzufügen und Verwalten von Tags für Sicherungen finden Sie unter [Mit Tags auf AWS OpsWorks for Chef Automate Ressourcen arbeiten](opscm-tags.md) in diesem Handbuch.
**Topics**
+ [Automatische Backups](#opscm-chef-backup-auto)
+ [Manuelle Sicherungen](#opscm-chef-backup-manual)
+ [Sicherungen löschen](#opscm-chef-backup-delete)
## Automatische Backups
Wenn Sie Ihren AWS OpsWorks for Chef Automate Server konfigurieren, wählen Sie entweder automatische oder manuelle Backups. AWS OpsWorks for Chef Automate startet automatische Backups während der Stunde und an dem Tag, den Sie im Abschnitt **Automatisches Backup** auf der Seite **Erweiterte Einstellungen konfigurieren** von Setup ausgewählt haben. Wenn Ihr Server bereits online ist, können Sie die Sicherungseinstellungen ändern, indem Sie die folgenden Schritte ausführen, entweder über die Kachel des Servers auf der Startseite der Chef Automate-Server oder auf der Eigenschaftenseite des Servers.
**Ändern der Einstellungen für automatische Sicherungen**
1. Wählen Sie im Menü **Actions (Aktionen)** der Serverkachel auf der Startseite **Chef servers (Chef-Server)** die Option **Change settings (Einstellungen ändern)** aus.
1. Um automatisierte Sicherungen zu deaktivieren, wählen Sie **No (Nein)** für die Option **Enable automated backups (Automatische Sicherungen aktivieren)** aus. Speichern Sie Ihre Änderungen. Sie müssen nicht zum nächsten Schritt gehen.
1. Ändern Sie im Abschnitt **Automated Backup (Automatische Sicherung)** die Häufigkeit, die Startzeit oder die Generationen, die aufbewahrt werden sollen. Speichern Sie Ihre Änderungen.
## Manuelle Sicherungen
Sie können ein manuelles Backup jederzeit im oder starten AWS-Managementkonsole, indem Sie den Befehl AWS CLI [create-backup](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateBackup.html) ausführen. Manuelle Backups sind nicht in den maximal 30 Generationen automatisierter Backups enthalten, die gespeichert werden. Es werden maximal 10 manuelle Backups gespeichert und müssen manuell aus Amazon S3 gelöscht werden.
Sie können Tags hinzufügen, wenn Sie ein neues, manuelles Backup eines AWS OpsWorks for Chef Automate Servers erstellen. Weitere Informationen zum Hinzufügen von Tags beim Erstellen einer manuellen Sicherung finden Sie unter [Hinzufügen von Tags zu einer neuen Sicherung (CLI)](opscm-tags.md#opscm-tags-howto-createbackup).
**Um ein manuelles Backup durchzuführen in AWS-Managementkonsole**
1. Wählen Sie auf der Seite **Chef Automate servers (Chef Automate-Server)** den Server aus, für den Sie eine Sicherung erstellen möchten.
1. Wählen Sie auf der Eigenschaftenseite im linken Navigationsbereich die Option **Backups (Sicherungen)**.
1. Wählen Sie **Create backup** (Backup erstellen).
1. Die manuelle Sicherung ist fertig, wenn auf der Seite ein grünes Häkchen in der Spalte **Status** der Sicherung angezeigt wird.
**Um ein manuelles Backup durchzuführen in AWS CLI**
+ Führen Sie den folgenden AWS CLI Befehl aus, um ein manuelles Backup zu starten.
```
aws opsworks-cm --region region name create-backup --server-name "Chef server name" --description "optional descriptive string"
```
## Sicherungen löschen
Das Löschen einer Sicherung löscht diese endgültig aus dem S3-Bucket, in dem Sicherungen gespeichert werden.
**Um ein Backup in der AWS-Managementkonsole**
1. Wählen Sie auf der Seite **Chef Automate servers (Chef Automate-Server)** den Server aus, für den Sie eine Sicherung erstellen möchten.
1. Wählen Sie auf der Eigenschaftenseite im linken Navigationsbereich die Option **Backups (Sicherungen)**.
1. Wählen Sie die Sicherung, die Sie löschen möchten, und wählen Sie dann **Delete backup (Sicherung löschen)**. Sie können jeweils nur eine Sicherung auswählen.
1. Wenn Sie aufgefordert werden, das Löschen zu bestätigen, markieren Sie das Kontrollkästchen für **Delete the backup, which is stored in an S3 bucket (Sicherung löschen, die in einem S3-Bucket gespeichert ist)** und wählen Sie dann **Yes, Delete (Ja, löschen)**.
**Um ein Backup zu löschen in AWS CLI**
+ Um ein Backup zu löschen, führen Sie den folgenden AWS CLI Befehl aus und `--backup-id` ersetzen Sie es durch die ID des Backups, das Sie löschen möchten. Backup IDs sind im Format*ServerName-yyyyMMddHHmmssSSS*. Beispiel, **test-chef-server-20171218132604388**.
```
aws opsworks-cm --region region name delete-backup --backup-id ServerName-yyyyMMddHHmmssSSS
```
# Einen AWS OpsWorks for Chef Automate Server aus einem Backup wiederherstellen
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Nachdem du deine verfügbaren Backups durchsucht hast, kannst du einen Zeitpunkt wählen, ab dem du deinen AWS OpsWorks for Chef Automate Server wiederherstellen möchtest. Serversicherungen enthalten nur für Konfigurationsmanagementsoftware persistente Daten (Rezeptbücher, registrierte Knoten usw.). Wenn Sie eine direkte Wiederherstellung eines Servers durchführen (d. h. den vorhandenen AWS OpsWorks for Chef Automate Server auf einer neuen EC2 Instanz wiederherstellen), werden Knoten, die zum Zeitpunkt der Sicherung registriert waren, mit der Sie den Server wiederherstellen, erneut registriert wurden, und der Datenverkehr wird auf die neue Instanz umgeleitet, wenn die Wiederherstellung erfolgreich ist und der wiederhergestellte AWS OpsWorks for Chef Automate Serverstatus lautet. `Healthy` Bei der Wiederherstellung auf einem neu erstellten AWS OpsWorks for Chef Automate -Server werden keine Knotenverbindungen beibehalten. Beim Wiederherstellen eines Servers werden Nebenversionen der Chef-Software nicht aktualisiert. Es gelten dieselbe Chef-Version und dieselben Konfigurationsmanagement-Daten, die im Umfang der gewählten Sicherung verfügbar sind.
Die Wiederherstellung eines Servers nimmt in der Regel mehr Zeit in Anspruch als die Erstellung eines neuen Servers. Die Dauer hängt von der Größe des ausgewählten Backups ab. Nach Abschluss der Wiederherstellung verbleibt die alte EC2 Instanz im `Stopped` Zustand `Running` oder, jedoch nur vorübergehend. Dieser Zustand wird letztendlich beendet.
In dieser Version können Sie den verwenden, AWS CLI um einen Chef-Server in wiederherzustellen AWS OpsWorks for Chef Automate.
**Anmerkung**
Sie können auch den Befehl [restore-server](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_RestoreServer.html) verwenden, um den aktuellen Instance-Typ zu ändern oder Ihren SSH-Schlüssel wiederherzustellen oder festzulegen, wenn er verloren ging oder beschädigt wurde.
**Wiederherstellen eines Servers von einer Sicherung**
1. Führen Sie in der den folgenden Befehl aus AWS CLI, um eine Liste der verfügbaren Backups und deren zurückzugeben IDs. Notieren Sie sich die ID der Sicherung, die Sie verwenden möchten. Backup IDs sind im Format*myServerName-yyyyMMddHHmmssSSS*.
```
aws opsworks-cm --region region name describe-backups
```
1. Führen Sie den folgenden Befehl aus.
```
aws opsworks-cm --region region name restore-server --backup-id "myServerName-yyyyMMddHHmmssSSS" --instance-type "Type of instance" --key-pair "name of your EC2 key pair" --server-name "name of Chef server"
```
Im Folgenden wird ein -Beispiel gezeigt.
```
aws opsworks-cm --region us-west-2 restore-server --backup-id "MyChefServer-20161120122143125" --server-name "MyChefServer"
```
1. Warten Sie, bis die Wiederherstellung abgeschlossen ist.
# Systemwartung in AWS OpsWorks for Chef Automate
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Nutzungsdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Durch die obligatorische Systemwartung wird sichergestellt, dass die neuesten Nebenversionen von Chef Server und Chef Automate Server, einschließlich Sicherheitsupdates, immer auf einem AWS OpsWorks for Chef Automate Server laufen. Die Systemwartung muss mindestens einmal pro Woche durchgeführt werden. Mit dem AWS CLI können Sie auf Wunsch die tägliche automatische Wartung konfigurieren. Sie können den auch verwenden AWS CLI , um neben der planmäßigen Systemwartung auch Systemwartungen bei Bedarf durchzuführen.
Wenn neue Nebenversionen der Chef-Software verfügbar werden, aktualisiert die Systemwartung die Nebenversion von Chef Automate und Chef Server automatisch auf dem Server, wenn sie den AWS-Test bestanden hat. AWS führt umfangreiche Tests durch, um sicherzustellen, dass Chef-Upgrades produktionsbereit sind und bestehende Kundenumgebungen nicht stören. Daher kann es zu Verzögerungen zwischen den Chef-Softwareversionen und ihrer Verfügbarkeit für die Anwendung auf bestehenden OpsWorks Chef Automate-Servern kommen. Weitere Informationen zum Aktualisieren verfügbarer Nebenversionen von Chef-Software auf Anfrage finden Sie [Starten der Systemwartung nach Bedarf](#opscm-maintenance-startdemand) in diesem Thema.
Bei der Systemwartung wird eine neue Instance anhand eines Backups gestartet, das im Rahmen des Wartungsprozesses durchgeführt wird. Dadurch wird das Risiko von heruntergekommenen oder beeinträchtigten EC2 Amazon-Instances, die regelmäßig gewartet werden, reduziert.
**Wichtig**
Die Systemwartung löscht alle Dateien oder benutzerdefinierten Konfigurationen, die Sie dem AWS OpsWorks for Chef Automate -Server hinzugefügt haben. Weitere Informationen zum Reparieren von Konfigurationen oder Wiederherstellen von Dateien finden Sie unter [Wiederherstellung benutzerdefinierter Konfigurationen und Dateien nach der Wartung](#opscm-maintenance-restore) in diesem Thema.
**Topics**
+ [Sicherstellen, dass die Knoten der OpsWorks Zertifizierungsstelle vertrauen](#w2ab1b9c40c15)
+ [Konfigurieren der Systemwartung](#w2ab1b9c40c17)
+ [Starten der Systemwartung nach Bedarf](#opscm-maintenance-startdemand)
+ [Wiederherstellung benutzerdefinierter Konfigurationen und Dateien nach der Wartung](#opscm-maintenance-restore)
## Sicherstellen, dass die Knoten der OpsWorks Zertifizierungsstelle vertrauen
**Anmerkung**
Die Schritte in diesem Abschnitt sind nicht erforderlich, wenn Sie eine benutzerdefinierte Domäne und ein benutzerdefiniertes Zertifikat mit Ihrem AWS OpsWorks for Chef Automate Server verwenden.
Knoten, die Sie mit einem AWS OpsWorks for Chef Automate Server verwalten, müssen sich mithilfe von Zertifikaten beim Server authentifizieren. OpsWorks Ersetzt während der Systemwartung die Serverinstanz und generiert neue Zertifikate über die OpsWorks Zertifizierungsstelle (CA) neu. Um die Kommunikation mit Ihren verwalteten Knoten nach Abschluss der Wartung automatisch wiederherzustellen, sollten die Knoten der OpsWorks Zertifizierungsstelle vertrauen, die im Starterkit enthalten ist und in den Regionen gehostet wird, die von AWS OpsWorks for Chef Automate unterstützt werden. Wenn Sie die OpsWorks Zertifizierungsstelle verwenden, um die Vertrauensstellung zwischen Knoten und Server herzustellen, stellen die Knoten nach der Wartung wieder eine Verbindung zur neuen Serverinstanz her. Wenn Sie EC2 Knoten mithilfe des unter beschriebenen EC2 `userdata` Skripts hinzufügen[Fügen Sie Knoten automatisch hinzu AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md), sind die Knoten bereits so konfiguriert, dass sie der OpsWorks CA vertrauen.
+ Für Linux-basierte Knoten ist der S3-Bucket-Speicherort der Zertifizierungsstelle `https://opsworks-cm-${REGION}-prod-default-assets.s3.amazonaws.com/misc/opsworks-cm-ca-2020-root.pem`. Die OpsWorks vertrauenswürdige Zertifizierungsstelle muss im Pfad gespeichert werden`/etc/chef/opsworks-cm-ca-2020-root.pem`.
+ Für Windows-basierte Knoten ist der S3-Bucket-Speicherort der Zertifizierungsstelle `https://opsworks-cm-$env:AWS_REGION-prod-default-assets.s3.amazonaws.com/misc/opsworks-cm-ca-2020-root.pem`. Die OpsWorks CA muss im Chef-Stammordner gespeichert sein; zum Beispiel `C:\chef\opsworks-cm-ca-2020-root.pem`
Bei beiden Pfaden wird die Regionsvariable wie folgt aufgelöst.
+ `us-east-2`
+ `us-east-1`
+ `us-west-1`
+ `us-west-2`
+ `ap-northeast-1`
+ `ap-southeast-1`
+ `ap-southeast-2`
+ `eu-central-1`
+ `eu-west-1`
## Konfigurieren der Systemwartung
Wenn Sie einen neuen AWS OpsWorks for Chef Automate Server erstellen, können Sie einen Wochentag und eine Uhrzeit in [koordinierter Weltzeit (Coordinated Universal Time](https://en.wikipedia.org/wiki/Coordinated_Universal_Time), UTC) für den Beginn der Systemwartung konfigurieren. Die Wartung beginnt während der Stunde, die Sie angeben. Da der Server während der Systemwartung offline ist, wählen Sie eine Uhrzeit innerhalb der normalen Geschäftszeiten mit geringer Server-Nachfrage aus. Der Serverstatus ist `UNDER_MAINTENANCE`, während die Wartung läuft.
Sie können auch die Systemwartungseinstellungen auf einem vorhandenen AWS OpsWorks for Chef Automate Server ändern, indem Sie die Einstellungen im Bereich **Systemwartung** der **Einstellungsseite** für Ihren Server ändern, wie im folgenden Screenshot gezeigt.
![\[Chef Automate Servereinstellungen, zeigt den Abschnitt Systemwartung an.\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_exist_update_maintenance.png)
Legen Sie im Abschnitt **System maintenance (Systemwartung)** den Tag und die Uhrzeit fest, zu der die Systemwartung beginnen soll.
### Konfiguration der Systemwartung mit dem AWS CLI
Sie können die automatische Startzeit der Systemwartung auch mithilfe der AWS CLI konfigurieren. AWS CLI Damit können Sie bei Bedarf die tägliche automatische Wartung konfigurieren, indem Sie das dreistellige Wochentagspräfix weglassen.
Fügen Sie in einem `create-server`-Befehl den Parameter `--preferred-maintenance-window` Ihrem Befehl hinzu, nachdem Sie die Anforderungen zum Erstellen der Server-Instance angegeben haben (z. B. Instance-Typ, Instance-Profil-ARN und Service-Rollen-ARN). Im folgenden `create-server`-Beispiel ist `--preferred-maintenance-window` auf `Mon:08:00` eingestellt. Das bedeutet, dass Sie den Start der Wartung für jeden Montag um 08:00 Uhr festgelegt haben. festgelegt.
```
aws opsworks-cm create-server --engine "Chef" --engine-model "Single" --engine-version "12" --server-name "automate-06" --instance-profile-arn "arn:aws:iam::1019881987024:instance-profile/aws-opsworks-cm-ec2-role" --instance-type "t2.medium" --key-pair "amazon-test" --service-role-arn "arn:aws:iam::044726508045:role/aws-opsworks-cm-service-role" --preferred-maintenance-window "Mon:08:00"
```
In einem `update-server`-Befehl können Sie ggf. allein den Wert `--preferred-maintenance-window` aktualisieren. Im folgenden Beispiel wird das Wartungsfenster auf Freitag um 18:15 Uhr festgelegt. festgelegt.
```
aws opsworks-cm update-server --server-name "shiny-kitchen" --preferred-maintenance-window "Fri:18:15"
```
Um den Beginn des Wartungsfensters auf jeden Tag um 18:15 Uhr (UTC) zu ändern, lassen Sie das aus drei Zeichen bestehende Präfix für den Wochentag weg, wie im folgenden Beispiel gezeigt.
```
aws opsworks-cm update-server --server-name "shiny-kitchen" --preferred-maintenance-window "18:15"
```
[Weitere Informationen zum Einstellen des bevorzugten Systemwartungsfensters mithilfe von finden Sie unter [create-server AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/opsworkscm/update-server.html) und update-server.](https://docs.aws.amazon.com/cli/latest/reference/opsworkscm/update-server.html)
## Starten der Systemwartung nach Bedarf
Um die Systemwartung bei Bedarf außerhalb der konfigurierten wöchentlichen oder täglichen automatischen Wartung zu starten, führen Sie den folgenden Befehl aus. AWS CLI Sie können die Wartung nach Bedarf nicht in der AWS-Managementkonsole starten.
```
aws opsworks-cm start-maintenance --server-name server_name
```
Weitere Informationen über diesen Befehl finden Sie unter [start-maintenance](https://docs.aws.amazon.com/cli/latest/reference/opsworkscm/start-maintenance.html).
## Wiederherstellung benutzerdefinierter Konfigurationen und Dateien nach der Wartung
Bei der Systemwartung können benutzerdefinierte Dateien oder Konfigurationen, die Sie Ihrem AWS OpsWorks for Chef Automate Server hinzugefügt haben, gelöscht oder geändert werden.
Wenn nach einem Wartungslauf auf Ihrem Chef-Server Dateien oder Einstellungen fehlen, die Sie mithilfe von `RunCommand` oder SSH hinzugefügt haben, können Sie ein Amazon Machine Image (AMI) verwenden, um eine neue EC2 Amazon-Instance zu starten. AMIs sind verfügbar, die auf der Konfiguration eines Servers vor der Wartung basieren.
Die neue Instance befindet sich in demselben Zustand, in dem sich der Chef-Server vor der Wartung befand, und sollte Ihre fehlenden Dateien und Einstellungen enthalten.
**Wichtig**
Sie können die neue Instance nicht verwenden, um Ihren Server wiederherzustellen; die Instance kann nicht als Chef-Server ausgeführt werden. Sie können die Instance nur verwenden, um Ihre Dateien und Konfigurationseinstellungen wiederherzustellen.
Um eine EC2 Instance von einem AMI aus zu starten, öffnen Sie in der EC2 Amazon-Konsole den **Startassistenten**, wählen Sie **My AMIs** und dann das AMI aus, das Ihren Servernamen hat. Folgen Sie den Schritten des EC2 Amazon-Assistenten wie bei jedem anderen Instance-Start.
# Konformitätsscans in AWS OpsWorks for Chef Automate
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Mit Compliance-Scans können Sie die Compliance verwalteter Knoten in Ihrer Infrastruktur basierend auf vordefinierten Richtlinien nachverfolgen, die auch als *Regeln* bezeichnet werden. Compliance-Ansichten ermöglichen Ihnen, Ihre Anwendungen regelmäßig auf Schwachstellen und nicht konforme Konfigurationen zu überprüfen. Chef bietet über 100 vordefinierter Compliance-*Profile* – Regelsammlungen, die für bestimmte Knotenkonfigurationen gelten –, die Sie für Ihre Compliance-Scans verwenden können. Sie können auch die [ InSpec Chef-Sprache](https://www.inspec.io/docs/) verwenden, um Ihre eigenen benutzerdefinierten Profile zu erstellen.
Wenn auf Ihrem Server noch nicht Chef Automate 2.0 ausgeführt wird, können Sie[Chef-Compliance](https://www.chef.io/solutions/compliance/)manuell einrichten, indem Sie das Audit-Rezeptbuch installieren.
**Anmerkung**
Die unterstützte Mindestversion der Chef Infra-Client-Agent-Software (`chef-client`) auf Knoten, die einem AWS OpsWorks for Chef Automate Server zugeordnet sind, ist 13. *x.* Wir empfehlen, die aktuellste, stabilste `chef-client` Version oder mindestens 14.10.9 zu verwenden.
**Topics**
+ [Compliance in Chef Automate 2.0](#opscm-compliance-ca20)
+ [Compliance in Chef Automate 1.*x*](#opscm-compliance-ca1x)
+ [Aktualisierungen der Compliance](#opscm-chefcompliance-updates)
+ [Community- und benutzerdefiniertes Compliance-Profile](#opscm-compliance-custom)
+ [Weitere Informationen finden Sie unter:](#opscm-compliance-seealso)
## Compliance in Chef Automate 2.0
Wenn auf Ihrem AWS OpsWorks for Chef Automate Server Chef Automate 2.0 ausgeführt wird, richten Sie Chef Compliance mithilfe der Verfahren in diesem Abschnitt ein.
### Ausführen von Compliance Scan-Aufgaben mit Chef Automate 2.0
Chef Automate 2.0 beinhaltet die Funktion Chef InSpec Compliance-Scanning, für die früher eine manuelle Einrichtung und Kochbuchkonfiguration erforderlich war. Sie können *Scanjobs* auf einem AWS OpsWorks for Chef Automate Server ausführen, auf dem Chef Automate 2.0 ausgeführt wird. Aufgaben können (einmalig) sofort ausgeführt, für einen späteren Zeitpunkt geplant oder in regelmäßigen Abständen, beispielsweise täglich oder alle zwei Stunden, ausgeführt werden. Die Ergebnisse einer Scan-Aufgabe werden an die Compliance-Berichterstellung gesendet. Sie können die Ergebnisse des Compliance-Scans im Dashboard von Chef Automate anzeigen und Maßnahmen dazu ergreifen. Wenn Sie die Registerkarte **Compliance** öffnen und Berichte auf der Registerkarte **Scan-Aufgaben** im Chef Automate-Dashboard anzeigen möchten, wählen rechts neben derSpalte verwalteter Knoten die Option **Bericht** aus.
Für Scan-Aufgaben auf verwalteten Knoten ist Folgendes erforderlich:
+ Mindestens ein in Ihrem Namespace installiertes Compliance-Profil.
+ Mindestens ein Zielknoten, entweder manuell hinzugefügt oder eine automatisch [hinzugefügte EC2 ](opscm-unattend-assoc.md) Instanz.
In AWS OpsWorks for Chef Automate werden Scanaufträge auf den folgenden Zielen unterstützt.
+ Manuell hinzugefügte Knoten
+ `aws-ec2`-Instances
+ AWS-Regionen
Detaillierte Anweisungen zum Ausführen von Scan-Aufgaben finden Sie unter [Scan-Aufgaben in Chef Automate](https://automate.chef.io/docs/scan-jobs/) in der Chef-Dokumentation.
### (Optional, Chef Automate 2.0) Einrichten von Compliance mit dem Audit-Rezeptbuch
Sie können die Konformität auf jedem AWS OpsWorks for Chef Automate Server konfigurieren. Nachdem Sie einen AWS OpsWorks for Chef Automate -Server gestartet haben, können Sie Profile aus dem Chef Automate-Dashboard installieren, oder die gewünschten Profile den Audit-Rezeptbuchattributen in der `Policyfile.rb`-Richtliniendatei hinzufügen. Eine vorbelegte `Policyfile.rb`-Datei ist im Starter Kit enthalten.
Nach dem Sie `Policyfile.rb` mit Profilen als Attribute des Audit-Rezeptbuchs bearbeitet haben, führen Sie `chef push`-Befehle zum Hochladen des [Audit-Rezeptbuchs](https://supermarket.chef.io/cookbooks/audit) und anderer in `Policyfile.rb` angegebener Rezeptbücher auf Ihren Chef Automate-Server hoch. Durch die Installation des Audit-Kochbuchs wird auch das Gem für [Chef](https://www.inspec.io/) installiert InSpec, ein Open-Source-Framework für Tests und Prüfungen, das von Chef entwickelt wurde. Für Chef Automate [2.0](https://discourse.chef.io/t/automate-2-version-20190410001346-released/14930) wählen Sie Version 7.1.0 des Audit-Rezeptbuchs oder höher aus. Das InSpec Gem muss Version 2.2.102 oder höher sein.
Die Anweisungen in diesem Abschnitt verdeutlichen, wie Sie das `opsworks-audit`-Rezeptbuch implementieren. Das Audit-Kochbuch lädt bestimmte Profile vom Chef Automate-Server herunter, bewertet Knoten anhand des **DevSec SSH-Baseline-Profils** und meldet bei jedem Lauf das Ergebnis der Konformitätsscans. `chef-client`
**So installieren Sie Compliance-Profile**
1. [Melden Sie sich beim web-basierten Dashboard von Chef Automate an](opscm-chef-dashboard.md), falls Sie dies noch nicht getan haben. Verwenden Sie die Anmeldeinformationen, die Sie beim Herunterladen des Starter Kits während der Erstellung Ihres AWS OpsWorks for Chef Automate -Servers erhalten haben.
1. Wählen Sie im Chef Automate-Dashboard die Registerkarte ** Asset Store (Objekt-Store)** aus.
![\[Compliance-Profile\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_profiles.png)
1. Wählen Sie die Registerkarte **Available (Verfügbar)** aus, um vordefinierte Profile anzuzeigen.
1. Durchsuchen Sie die Liste der Profile. Wählen Sie ein Profil, das mit dem Betriebssystem und der Konfiguration von mindestens einem Ihrer verwalteten Knoten übereinstimmt. Um Details über das Profil anzuzeigen, einschließlich einer Beschreibung der Verletzungen, auf die das Profil ausgelegt ist, und des zugrunde liegenden Regelcodes, wählen Sie **>** rechts neben dem Profileintrag. Sie können mehrere Profile auswählen. **Wenn Sie das Beispiel im Starter Kit einrichten, wählen Sie DevSec SSH Baseline.**
![\[Chef Compliance-Profil – Detailansicht\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_rule.png)
1. Um die ausgewählten Profile auf Ihrem Chef Automate-Server zu installieren, wählen Sie **Get (Abrufen)**.
1. Nachdem Sie Profile installiert haben, werden sie in der Registerkarte **Profiles (Profile)** des Chef Automate-Dashboards angezeigt.
**So installieren Sie Rezeptbücher mit `Policyfile.rb`**
1. Zeigen Sie `Policyfile.rb` in Ihrem Starter Kit an, um zu sehen, dass die Attribute für das Audit-Rezeptbuch das `ssh-baseline`-Profil in `['profiles']` angeben.
```
# Define audit cookbook attributes
default["opsworks-demo"]["audit"]["reporter"] = "chef-server-automate"
default["opsworks-demo"]["audit"]["profiles"] = [
{
"name": "DevSec SSH Baseline",
"compliance": "admin/ssh-baseline"
}
]
```
1. Laden Sie die in `Policyfile.rb` definierten Rezeptbücher herunter und installieren Sie sie.
```
chef install
```
Alle Rezeptbücher sind in der `metadata.rb`-Datei des Rezeptbuchs versioniert. Immer wenn Sie ein Rezeptbuch ändern, müssen Sie die Version des Rezeptbuchs ändern, die sich in seiner `metadata.rb` befindet.
1. Leiten Sie die in `Policyfile.rb` definierte `opsworks-demo`-Richtlinie an Ihren Server weiter.
```
chef push opsworks-demo
```
1. Überprüfen Sie die Installation Ihrer Richtlinie. Führen Sie den folgenden Befehl aus.
```
chef show-policy
```
Die Ergebnisse sollten etwa wie folgt aussehen:
```
opsworks-demo-webserver
=======================
* opsworks-demo: ec0fe46314
```
1. Fügen Sie Ihrem Server zu verwaltende Knoten hinzu, sofern Sie dies nicht bereits getan haben. Verwenden Sie das `userdata.sh` Skript, das in diesem Starterkit enthalten ist, um Ihren ersten Knoten mit dem AWS OpsWorks for Chef Automate Server zu verbinden. Es verwendet die OpsWorks `AssociateNode` API, um einen Knoten mit Ihrem Server zu verbinden.
Sie können die Zuordnung von Knoten automatisieren, indem Sie die Schritte in [Fügen Sie Knoten automatisch hinzu AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md) ausführen, oder Knoten einzeln hinzufügen, indem Sie die Schritte in [Fügen Sie Knoten einzeln hinzu](opscm-addnodes-individually.md) ausführen.
1. Nachdem Sie die Ausführungsliste für Ihre Knoten aktualisiert haben, führt der `chef-client`-Agent bei der nächsten Ausführung die von Ihnen spezifizierten Rezepte aus. Dies erfolgt standardmäßig alle 1800 Sekunden (30 Minuten). Nach der Ausführung können Sie Compliance-Ergebnisse in der Registerkarte **Compliance** auf dem Chef Automate-Dashboard anzeigen und entsprechende Maßnahmen ergreifen.
![\[Ergebnisse der Compliance-Scans in Chef\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_scan.png)
### Ausführen eines Compliance-Scans
Sie sollten die Ergebnisse des Compliance-Scans kurz nach der ersten Ausführung des Agenten-Daemons nach der Konfiguration Knoten-Ausführungslisten im Dashboard von Chef Automate sehen.
![\[Chef Compliance Reporting – Seitenansicht\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_reporting.png)
Wählen Sie im Chef Automate-Dashboard die Registerkarte **Compliance**. Wählen Sie im linken Navigationsbereich die Option **Reporting (Berichterstellung)** aus. Wählen Sie auf die Registerkarte **Profiles (Profile)**, dort **Scan Results (Scan-Ergebnisse)** und dann einen Knoten mit Scan-Fehlern aus, um mehr über die Regeln zu erfahren, gegen die ein Knoten verstoßen hat.
![\[Compliance-Liste der fehlgeschlagenen Ergebnisse\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_results.png)
In der Regel werden fehlerhafte Scanergebnisse angezeigt, da neue Knoten noch nicht alle Regeln im **DevSec SSH-Baseline-Profil** erfüllen. **Das [DevSec Hardening Framework](https://github.com/dev-sec), ein Community-Projekt, bietet Kochbücher zur Behebung von Problemen, die gegen die Regeln im SSH-Baseline-Profil verstoßen. DevSec **
### (Optional) Auflösen nicht konformer Ergebnisse
**Das Starterkit enthält ein Open-Source-Kochbuch, das Sie ausführen können`ssh-hardening`, um fehlerhafte Ergebnisse von Läufen gegen das SSH-Baseline-Profil zu korrigieren. DevSec **
**Anmerkung**
**Das `ssh-hardening` Cookbook nimmt Änderungen an Ihren Knoten vor, um den SSH-Baseline-Regeln zu entsprechen. DevSec ** Bevor Sie dieses Kochbuch auf Produktionsknoten ausführen, überprüfen Sie die Details zum **DevSec SSH-Baseline-Profil** in der Chef Automate-Konsole, um zu verstehen, auf welche Regelverstöße das Cookbook abzielt. Sehen Sie sich die Informationen über das als Open-Source bereitgestellte [https://github.com/dev-sec/chef-ssh-hardening](https://github.com/dev-sec/chef-ssh-hardening)-Rezeptbuch an, bevor Sie es auf Produktionsknoten ausführen.
**So führen Sie das `ssh-hardening`-Rezeptbuch aus**
1. Wesen Sie in einem Texteditor das `ssh-hardening`-Rezeptbuch einer `Policyfile.rb`-Ausführungsliste zu. Die `Policyfile.rb`-Ausführungsliste sollte wie folgt aussehen.
```
run_list 'chef-client', 'opsworks-webserver', 'audit', 'ssh-hardening'
```
1. Aktualisieren Sie `Policyfile.rb` und leiten Sie die Datei an Ihrem AWS OpsWorks for Chef Automate -Server weiter.
```
chef update Policyfile.rb
chef push opsworks-demo
```
1. Knoten, der die `opsworks-demo`-Richtlinien zugewiesen sind, aktualisieren die Ausführungsliste automatisch und wenden das `ssh-hardening`-Rezeptbuch bei der nächsten Ausführung von `chef-client` an.
Da Sie das `chef-client`-Rezeptbuch verwenden, meldet sich Ihr Knoten in regelmäßigen Zeitabständen an (standardmäßig alle 30 Minuten). Beim nächsten Check-in wird das `ssh-hardening` Cookbook ausgeführt und trägt dazu bei, die Knotensicherheit zu verbessern, um die Regeln des **DevSec SSH-Baseline-Profils** zu erfüllen.
1. Warten Sie nach der ersten Ausführung des `ssh-hardening`-Rezeptbuchs 30 Minuten, bevor Sie wieder einen Compliance-Scan ausführen. Sehen Sie sich die Ergebnisse im Chef Automate-Dashboard an. Die fehlerhaften Ergebnisse, die beim ersten Durchlauf des **DevSec SSH-Baseline-Scans** aufgetreten sind, sollten behoben werden.
## Compliance in Chef Automate 1.*x*
Wenn auf Ihrem AWS OpsWorks for Chef Automate Server Chef Automate 1 ausgeführt wird. *x*, richten Sie Chef Compliance mithilfe der Verfahren in diesem Abschnitt ein.
### (Optional, Chef Automate 1.*x*) Einrichten von Chef-Compliance
Sie können Chef Compliance auf jedem AWS OpsWorks for Chef Automate Server konfigurieren. Nachdem Sie einen AWS OpsWorks for Chef Automate -Server gestartet haben, wählen Sie Profile aus, die Sie von den Profilen auf dem Chef Automate-Dashboard aus ausführen wollen. Nachdem Sie Profile installiert haben, führen Sie `berks`-Befehle zum Hochladen des [Audit-Rezeptbuchs](https://supermarket.chef.io/cookbooks/audit) auf Ihren Chef Automate-Server aus. Durch die Installation des Audit-Kochbuchs wird auch das Gem for installiert [InSpec](https://www.inspec.io/), ein von Chef entwickeltes Open-Source-Test-Framework, mit dem Sie automatisierte Tests in jede Phase Ihrer Bereitstellungspipeline integrieren können. Für Chef Automate 1.*x* wählen Sie Version 5.0.1 oder höher des Audit-Rezeptbuchs aus. Das InSpec Gem muss Version 1.24.0 oder höher sein.
Das AWS OpsWorks for Chef Automate Starterkit enthält ein Wrapper-Kochbuch`opsworks-audit`, das die richtige Version des Kochbuches von Chef's Audit für Sie herunterlädt und installiert. Das `opsworks-audit` Kochbuch weist den `chef-client` Agenten außerdem an, Knoten anhand des **DevSecSSH-Baseline-Profils** zu bewerten, das Sie später in diesem Thema über die Compliance-Konsole von Chef installieren. Sie können Compliance unter Verwendung eines beliebigen Rezeptbuchs nach Ihren Anforderungen einrichten. Die Anweisungen in diesem Abschnitt verdeutlichen, wie Sie das `opsworks-audit`-Rezeptbuch implementieren.
**So installieren Sie Compliance-Profile**
1. [Melden Sie sich beim web-basierten Dashboard von Chef Automate an](opscm-chef-dashboard.md), falls Sie dies noch nicht getan haben. Verwenden Sie bei der Erstellung Ihres Servers die Anmeldeinformationen, die Sie beim Herunterladen des Starter Kits erhalten haben. AWS OpsWorks for Chef Automate
1. Wählen Sie im Chef Automate-Dashboard die Registerkarte **Compliance**.
![\[Chef Compliance-Profile\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_profiles_ca1.png)
1. Wählen Sie in der linken Navigationsleiste **Profile Store (Profilspeicher)** und gehen Sie auf die Registerkarte **Available (Verfügbar)**, um vordefinierte Profile anzuzeigen.
1. Durchsuchen Sie die Liste der Profile. Wählen Sie ein Profil, das mit dem Betriebssystem und der Konfiguration von mindestens einem Ihrer verwalteten Knoten übereinstimmt. Um Details über das Profil anzuzeigen, einschließlich einer Beschreibung der Verletzungen, auf die das Profil ausgelegt ist, und des zugrunde liegenden Regelcodes, wählen Sie **>** rechts neben dem Profileintrag. Sie können mehrere Profile auswählen.
![\[Chef Compliance-Profil – Detailansicht\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_rule_ca1.png)
1. Um die ausgewählten Profile auf Ihrem Chef Automate-Server zu installieren, wählen Sie **Get (Abrufen)**.
1. Wenn der Download abgeschlossen ist, gehen Sie zum nächsten Verfahren über.
**So installieren Sie das `opsworks-audit`-Rezeptbuch und richten es ein**
1. Dieser Schritt ist optional, aber spart Zeit in Schritt 6, wenn Sie den Knotenausführungslisten Rezepte hinzufügen. Bearbeiten Sie die `roles/opsworks-example-role.rb`-Datei aus dem Starter Kit, das Sie bei der Erstellung Ihres AWS OpsWorks for Chef Automate -Servers heruntergeladen haben. Fügen Sie die folgende Zeilen hinzu. Die letzte Zeile ist auskommentiert, weil das Hinzufügen des `ssh-hardening`-Rezeptbuchs und des Rezepts für die Auflösung nichtkonformer Knoten nach der Ausführung Ihres Compliance-Scans optional ist.
```
run_list(
"recipe[chef-client]",
"recipe[apache2]",
"recipe[opsworks-audit]"
# "recipe[ssh-hardening]"
)
```
1. Verwenden Sie einen Texteditor, um die gewünschten Rezeptbücher in Ihrer Berksfile-Datei anzugeben. Ein Beispiel für eine Berksfile-Datei finden Sie im Starter Kit. In diesem Beispiel installieren wir das Chef Infra-Client(`chef-client`)-Rezeptbuch, das `apache2`-Rezeptbuch und das `opsworks-audit`-Rezeptbuch. Ihr Berksfile sollte etwa folgendermaßen aussehen.
```
source 'https://supermarket.chef.io
cookbook 'chef-client'
cookbook 'apache2', '~> 5.0.1'
cookbook 'opsworks-audit', path: 'cookbooks/opsworks-audit', '~> 1.0.0'
```
Alle Rezeptbücher sind in der `metadata.rb`-Datei des Rezeptbuchs versioniert. Immer wenn Sie ein Rezeptbuch ändern, müssen Sie die Version des Rezeptbuchs ändern, die sich in seiner `metadata.rb` befindet.
1. Führen Sie den folgenden Befehl aus, um die Rezeptbücher in den Ordner `cookbooks` auf Ihrem lokalen oder auf Ihrem Arbeitscomputer herunterzuladen und zu installieren.
```
berks vendor cookbooks
```
1. Führen Sie den folgenden Befehl aus, um die von Anbietern bereitgestellten Rezeptbücher auf Ihren AWS OpsWorks for Chef Automate -Server hochzuladen.
```
knife upload .
```
1. Führen Sie den folgenden Befehl aus, um die Installation des `opsworks-audit`-Rezeptbuchs zu überprüfen, indem Sie eine Liste der Rezeptbücher anzeigen, die gegenwärtig auf dem Server verfügbar sind.
```
knife cookbook list
```
1. Fügen Sie Ihrem Server zu verwaltende Knoten hinzu, sofern Sie dies nicht bereits getan haben. Sie können die Zuordnung von Knoten automatisieren, indem Sie die Schritte in [Fügen Sie Knoten automatisch hinzu AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md) ausführen, oder Knoten einzeln hinzufügen, indem Sie die Schritte in [Fügen Sie Knoten einzeln hinzu](opscm-addnodes-individually.md) ausführen. Bearbeiten Sie die Liste Ihrer Knoten, um die in Schritt 1 spezifizierte Rolle hinzuzufügen, `opsworks-example-role`. In diesem Beispiel bearbeiten wir das `RUN_LIST`-Attribut im `userdata`-Skript, das Sie verwenden, um die Zuordnung von Knoten zu automatisieren.
```
RUN_LIST="role[opsworks-example-role]"
```
Wenn Sie Schritt 1 übersprungen und die Rolle nicht eingerichtet haben, fügen Sie der Ausführungsliste die Namen der einzelnen Rezepte hinzu. Speichern Sie Ihre Änderungen und folgen Sie den Schritten unter, [Schritt 3: Erstellen von Instances mit einem unbeaufsichtigten Skript für die Zuordnung](opscm-unattend-assoc.md#opscm-unattend-script) um Ihr Benutzerdatenskript auf EC2 Amazon-Instances anzuwenden.
```
RUN_LIST="recipe[chef-client],recipe[apache2],recipe[opworks-audit]"
```
1. Nachdem Sie die Ausführungsliste für Ihre Knoten aktualisiert haben, führt der `chef-client`-Agent bei der nächsten Ausführung die von Ihnen spezifizierten Rezepte aus. Dies erfolgt standardmäßig alle 1800 Sekunden (30 Minuten). Nach der Ausführung werden Ihre Compliance-Ergebnisse auf dem Chef Automate-Dashboard angezeigt.
### Ausführen eines Compliance-Scans
Sie sollten die Ergebnisse des Compliance-Scans im Dashboard von Chef Automate kurz nach der ersten Ausführung des Agenten-Daemons sehen, der stattfindet, nachdem Sie Knoten-Ausführungslisten konfiguriert haben.
![\[Chef Compliance Reporting – Seitenansicht\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_reporting_ca1.png)
Wählen Sie im Chef Automate-Dashboard die Registerkarte **Compliance**. Wählen Sie im linken Navigationsbereich die Option **Reporting (Berichterstellung)** aus. Wählen Sie auf die Registerkarte **Profiles (Profile)**, dort **Scan Results (Scan-Ergebnisse)** und dann einen Knoten mit Scan-Fehlern aus, um mehr über die Regeln zu erfahren, gegen die ein Knoten verstoßen hat.
![\[Chef Compliance-Liste der fehlgeschlagenen Ergebnisse\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_results_ca1.png)
In der Regel werden fehlerhafte Scanergebnisse angezeigt, da neue Knoten noch nicht alle Regeln im **DevSec SSH-Baseline-Profil** erfüllen. **Das [DevSec Hardening Framework](https://github.com/dev-sec), ein Community-Projekt, bietet Kochbücher zur Behebung von Problemen, die gegen die Regeln im SSH-Baseline-Profil verstoßen. DevSec **
### (Optional) Auflösen nicht konformer Ergebnisse
**Das Starterkit enthält ein Open-Source-Kochbuch, das Sie ausführen können`ssh-hardening`, um fehlerhafte Ergebnisse von Läufen gegen das SSH-Baseline-Profil zu korrigieren. DevSec **
**Anmerkung**
**Das `ssh-hardening` Cookbook nimmt Änderungen an Ihren Knoten vor, um den SSH-Baseline-Regeln zu entsprechen. DevSec ** Bevor Sie dieses Kochbuch auf Produktionsknoten ausführen, überprüfen Sie die Details zum **DevSec SSH-Baseline-Profil** in der Chef Automate-Konsole, um zu verstehen, auf welche Regelverstöße das Cookbook abzielt. Sehen Sie sich die Informationen über das als Open-Source bereitgestellte [https://github.com/dev-sec/chef-ssh-hardening](https://github.com/dev-sec/chef-ssh-hardening)-Rezeptbuch an, bevor Sie es auf Produktionsknoten ausführen.
**So führen Sie das `ssh-hardening`-Rezeptbuch aus**
1. Fügen Sie das `ssh-hardening`-Rezeptbuch in einem Texteditor Ihrer Berksfile-Datei hinzu. Ihr Berksfile sollte etwa folgendermaßen aussehen.
```
source 'https://supermarket.chef.io'
cookbook 'chef-client'
cookbook 'apache2', '~> 5.0.1'
cookbook 'opsworks-audit', path: 'cookbooks/opsworks-audit', '~> 1.0.0' # optional
cookbook 'ssh-hardening'
```
1. Führen Sie die folgenden Befehle zum Herunterladen des `ssh-hardening`-Rezeptbuchs in Ihren lokalen Rezeptbuchordner aus, und laden Sie es dann auf Ihren AWS OpsWorks for Chef Automate -Server hoch.
```
berks vendor cookbooks
knife upload .
```
1. Fügen Sie Ihrer Knotenausführungsliste das `ssh-hardening`-Rezept hinzu, wie in den Schritten 1 und 6 von [So installieren Sie das `opsworks-audit`-Rezeptbuch und richten es ein](#opscm-compliance-setup-cookbook) beschrieben.
Wenn Sie die `opsworks-example-role.rb`-Datei aktualisieren, laden Sie Ihre Änderungen auf Ihren Server hoch, indem Sie den folgenden Befehl ausführen.
```
knife upload .
```
Wenn Sie die Ausführungsliste direkt aktualisieren, laden Sie Änderungen hoch, indem Sie den folgenden Befehl ausführen. Der Knotenname ist in der Regel die Instance-ID.
```
knife node run_list add 'recipe[ssh-hardening]'
```
1. Da Sie das `chef-client`-Rezeptbuch verwenden, meldet sich Ihr Knoten in regelmäßigen Zeitabständen an (standardmäßig alle 30 Minuten). Beim nächsten Check-in wird das `ssh-hardening` Cookbook ausgeführt und trägt dazu bei, die Knotensicherheit zu verbessern, um die Regeln des **DevSec SSH-Baseline-Profils** zu erfüllen.
1. Warten Sie nach der ersten Ausführung des `ssh-hardening`-Rezeptbuchs 30 Minuten, bevor Sie wieder einen Compliance-Scan ausführen. Sehen Sie sich die Ergebnisse im Chef Automate-Dashboard an. Die fehlerhaften Ergebnisse, die beim ersten Durchlauf des **DevSec SSH-Baseline-Scans** aufgetreten sind, sollten behoben werden.
## Aktualisierungen der Compliance
Auf einem AWS OpsWorks for Chef Automate Server wird die Compliance-Funktionalität automatisch durch Ihre geplante [Systemwartung](opscm-maintenance.md) aktualisiert. Sobald aktualisierte Versionen von Chef Automate, Chef Infra Server und Chef für Ihren AWS OpsWorks for Chef Automate Server verfügbar InSpec werden, müssen Sie möglicherweise die unterstützten Versionen des Audit-Kochbuchs und des InSpec Chef-Gems, die auf Ihrem Server laufen, überprüfen und aktualisieren. Profile, die Sie bereits auf Ihrem AWS OpsWorks for Chef Automate Server installiert haben, werden im Rahmen der Wartung nicht aktualisiert.
## Community- und benutzerdefiniertes Compliance-Profile
Chef umfasst derzeit fast über 100 Compliance-Scan-Profile. Sie können der Liste Community- und benutzerdefinierten Profile hinzufügen und dann basierend auf diesen Profilen Compliance-Scans ausführen, genau wie für eingebundene Profile. Community-basierte Compliance-Profile stehen über den [Chef Supermarket](https://supermarket.chef.io/tools?q=&type=compliance_profile) zur Verfügung. Benutzerdefinierte Profile sind auf Ruby basierende Programme, die einen Ordner mit Steuerelementen zur Spezifizierung Ihrer Scan-Regeln enthalten.
## Weitere Informationen finden Sie unter:
+ [Blogbeitrag zur Ankündigung von Chef Compliance](https://blog.chef.io/2017/07/05/chef-automate-release-july-2017/)
+ [Online-Schulung zu Chef Automate Compliance](https://training.chef.io/instructor-led-training/chef-automate-compliance)
+ [ InSpecChef-Webseite](https://www.inspec.io/)
+ [ InSpec Anleitungen für Köche](https://www.inspec.io/tutorials/)
# Einen Knoten von einem AWS OpsWorks for Chef Automate Server trennen
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Nutzungsdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
In diesem Abschnitt wird beschrieben, wie Sie einen verwalteten Knoten von der Verwaltung durch einen Server trennen oder entfernen. AWS OpsWorks for Chef Automate Dieser Vorgang wird in der Befehlszeile ausgeführt. Sie können die Zuordnung von Knoten in der AWS OpsWorks for Chef Automate Managementkonsole nicht trennen. Derzeit erlaubt die AWS OpsWorks for Chef Automate API nicht, mehrere Knoten stapelweise zu entfernen. Mit dem in diesem Abschnitt verwendeten Befehl wird ein Knoten nach dem anderen getrennt.
Es empfiehlt sich, Knoten von Chef-Servern zu trennen, bevor Sie den Server löschen, damit die Knoten im weiteren Verlauf nicht ständig versuchen, sich erneut mit dem Server zu verbinden. Führen Sie dazu den [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html) AWS CLI Befehl aus.
**So heben Sie die Zuordnung von Knoten auf**
1. Führen Sie in der den folgenden Befehl aus AWS CLI, um die Zuordnung von Knoten zu trennen. *Node\$1name*ist der Name des Knotens, dessen Zuordnung Sie aufheben möchten. Für EC2 Amazon-Instances ist dies die Instance-ID. *Server\$1name*ist der Name des Chef-Servers, von dem Sie die Verbindung zum Knoten trennen möchten. `--engine-attributes`gibt Ihren `CHEF_AUTOMATE_ORGANIZATION` Standardnamen an. Es werden alle drei dieser Parameter benötigt.
Der Parameter `--region` wird nur benötigt, wenn Sie einen Knoten von einem Chef-Server außerhalb der Standardregion trennen möchten.
```
aws opsworks-cm --region Region_name disassociate-node --node-name Node_name --server-name Server_name --engine-attributes "Name=CHEF_AUTOMATE_ORGANIZATION,Value='default'"
```
Nachfolgend finden Sie einen Beispielbefehl.
```
aws opsworks-cm --region us-west-2 disassociate-node --node-name i-0010zzz00d66zzz90 --server-name opsworkstest --engine-attributes "Name=CHEF_AUTOMATE_ORGANIZATION,Value='default'"
```
1. Warten Sie, bis in einer Antwortnachricht angezeigt wird, dass die Zuordnung aufgehoben wurde.
Nachdem Sie einen Knoten erfolgreich von einem AWS OpsWorks for Chef Automate Server getrennt haben, ist er möglicherweise immer noch im Chef Automate-Dashboard sichtbar. Standardmäßig erzwingt Chef einen Aufbewahrungszeitraum für Knotenzustandsinformationen und löscht den Knoten nach ein paar Tagen automatisch.
Weitere Informationen zum Löschen eines AWS OpsWorks for Chef Automate Servers finden Sie unter[Einen AWS OpsWorks for Chef Automate Server löschen](opscm-delete-server.md).
## Verwandte Themen
Die folgenden AWS Blogbeiträge bieten weitere Informationen zur automatischen Zuordnung von Knoten zu Ihrem Chef Automate-Server, mithilfe von Auto Scaling Scaling-Gruppen oder innerhalb mehrerer Konten.
+ [Verwenden von AWS OpsWorks for Chef Automate zur Verwaltung von EC2 Instances mit Auto Scaling](https://aws.amazon.com/blogs/mt/using-aws-opsworks-for-chef-automate-to-manage-ec2-instances-with-auto-scaling/)
+ [OpsWorks für Chef Automate — Automatisches Bootstrapping von Knoten in verschiedenen Konten](https://aws.amazon.com/blogs/mt/opsworks-for-chef-automate-automatically-bootstrapping-nodes-in-different-accounts/)
# Einen AWS OpsWorks for Chef Automate Server löschen
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
In diesem Abschnitt wird beschrieben, wie Sie einen AWS OpsWorks for Chef Automate Server löschen. Durch Löschen eines Servers werden auch seine Ereignisse und Protokolle sowie alle auf dem Server gespeicherten Rezeptbücher gelöscht. Unterstützende Ressourcen (Amazon Elastic Compute Cloud-Instanz, Amazon Elastic Block Store-Volume usw.) werden zusammen mit allen automatisierten Backups ebenfalls gelöscht.
Obwohl durch Löschen eines Servers die Knoten nicht gelöscht werden, werden sie nicht mehr vom gelöschten Server verwaltet und versuchen fortlaufend, erneut eine Verbindung herzustellen. Aus diesem Grund empfehlen wir, die Zuordnung verwalteter Knoten aufzuheben, bevor Sie einen Chef-Server löschen. In dieser Version können Sie Knoten trennen, indem Sie einen AWS CLI Befehl ausführen.
## Schritt 1: Aufheben der Zuordnung von verwalteten Knoten
Heben Sie die Zuordnung von Knoten zum Chef-Server auf, bevor Sie den Server löschen, damit die Knoten nicht fortlaufend versuchen, erneut eine Verbindung mit dem Server herzustellen. Führen Sie dazu den [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DisassociateNode.html) AWS CLI Befehl aus.
**So heben Sie die Zuordnung von Knoten auf**
1. Führen Sie in der den folgenden Befehl aus AWS CLI, um die Zuordnung von Knoten zu trennen. *Server\$1name*ist der Name des Chef-Servers, von dem Sie die Verbindung zum Knoten trennen möchten.
```
aws opsworks-cm --region Region_name disassociate-node --node-name Node_name --server-name Server_name
```
1. Warten Sie, bis in einer Antwortnachricht angezeigt wird, dass die Zuordnung aufgehoben wurde.
## Schritt 2: Löschen des Servers
1. Erweitern Sie auf dem Dashboard auf der Serverkachel das Menü** Actions (Aktionen)**.
1. Wählen Sie **Delete Server (Server löschen)** aus.
1. Wenn Sie zum Bestätigen des Löschvorgangs aufgefordert werden, wählen Sie **Yes (Ja)** aus.
# Zurücksetzen der Anmeldeinformationen für das Chef Automate-Dashboard
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Sie sollten das Passwort, mit dem Sie sich beim Chef Automate-Dashboard anmelden, regelmäßig ändern. Sie können auch die in diesem Abschnitt gezeigten Amazon EC2 Systems Manager AWS CLI Manager-Befehle verwenden, um das Chef Automate-Dashboard-Passwort zu ändern, falls Sie es verloren haben. Welchen Befehl Sie verwenden, hängt davon ab, ob auf Ihrem Chef Automate-Server Version 1 oder Version 2 von Chef Automate ausgeführt wird.
1. Um die Instanz-ID Ihres Chef-Servers zurückzugeben, öffnen AWS-Managementkonsole Sie die folgende Seite.
https://console.aws.amazon.com/ec2/v2/Home? region= \$1Instanzen:search= *region\$1of\$1your\$1server* - aws-opsworks-cm *server\$1name*
Für einen Chef-Server mit dem Namen **MyChefServer**in der Region USA West (Oregon) würde die Konsolen-URL beispielsweise wie folgt lauten.
https://console.aws.amazon.com/ec2/v2/Home? region=us-west-2 \$1instanzen:search= - aws-opsworks-cm MyChefServer
Notieren Sie sich die Instance-ID, die in der Konsole angezeigt wird. Sie brauchen sie, um das Passwort zu ändern.
1. Um das Anmeldekennwort für das Chef Automate-Dashboard zurückzusetzen, führen Sie einen der folgenden AWS CLI Befehle aus, je nachdem, ob auf Ihrem Server Chef Automate 1 oder Chef Automate 2 ausgeführt wird. *enterprise\$1name*Ersetzen Sie es durch Ihren Unternehmens- oder Organisationsnamen, *user\$1name* durch den Benutzernamen eines Administrators auf dem Server, *new\$1password* durch das Passwort, das Sie verwenden möchten, und *region\$1name* durch die Region, in der sich Ihr Server befindet. Wenn Sie keinen Unternehmensnamen angeben, erhält das Unternehmen den Namen `default`. Standardmäßig *enterprise\$1name* ist `default` (dies ist der Name der Organisation, die immer bereitgestellt wird). Für *user\$1name* erstellt AWS OpsWorks for Chef Automate nur einen Benutzer mit dem Namen`admin`. Notieren Sie sich das neue Passwort und speichern Sie es an einem sicheren Speicherort.
Für Chef Automate 1:
```
aws ssm send-command --document-name "AWS-RunShellScript" --comment "reset admin password" --instance-ids "instance_id"
--parameters commands="sudo delivery-ctl reset-password enterprise_name user_name new_password" --region region_name --output text
```
Für Chef Automate 2:
```
aws ssm send-command --document-name "AWS-RunShellScript" --comment "reset admin password" --instance-ids "instance_id"
--parameters commands="sudo chef-automate iam admin-access restore new_password" --region region_name --output text
```
1. Warten Sie auf die Textausgabe (in diesem Fall der Befehl "ID") als Bestätigung, dass das Passwort geändert wurde.
# AWS OpsWorks for Chef Automate API-Aufrufe protokollieren mit AWS CloudTrail
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Nutzungsdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
AWS OpsWorks for Chef Automate ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einer IAM-Identität oder einem AWS Dienst in ausgeführt werden. AWS OpsWorks for Chef Automate CloudTrail erfasst alle API-Aufrufe AWS OpsWorks for Chef Automate als Ereignisse, einschließlich Aufrufe von der AWS OpsWorks for Chef Automate Konsole und von Codeaufrufen an die AWS OpsWorks for Chef Automate APIs. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für AWS OpsWorks for Chef Automate. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage ermitteln CloudTrail, an die die Anfrage gestellt wurde AWS OpsWorks for Chef Automate, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS OpsWorks for Chef Automate Informationen in CloudTrail
CloudTrail ist in Ihrem AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn eine Aktivität in stattfindet AWS OpsWorks for Chef Automate, wird diese Aktivität zusammen mit anderen CloudTrail AWS Serviceereignissen im **Ereignisverlauf in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto ansehen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS Konto, einschließlich der Ereignisse für AWS OpsWorks for Chef Automate, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle -Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie unter:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle AWS OpsWorks for Chef Automate Aktionen werden von der [AWS OpsWorks for Chef Automate API-Referenz](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/Welcome.html) protokolliert CloudTrail und sind in dieser dokumentiert. Beispielsweise generieren Aufrufe der [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html)Aktionen [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateServer.html), [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateBackup.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_CreateBackup.html), und Einträge in den CloudTrail Protokolldateien.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Gibt an, ob die Anforderung mit Root- oder IAM-Benutzer-Anmeldeinformationen ausgeführt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail userIdentity-Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Grundlegendes zu AWS OpsWorks for Chef Automate Protokolldateieinträgen
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für die AWS OpsWorks for Chef Automate `CreateServer` Aktion.
```
{"eventVersion":"1.05",
"userIdentity":{
"type":"AssumedRole",
"principalId":"ID number:OpsWorksCMUser",
"arn":"arn:aws:sts::831000000000:assumed-role/Admin/OpsWorksCMUser",
"accountId":"831000000000","accessKeyId":"ID number",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2017-01-05T22:03:47Z"
},
"sessionIssuer":{
"type":"Role",
"principalId":"ID number",
"arn":"arn:aws:iam::831000000000:role/Admin",
"accountId":"831000000000",
"userName":"Admin"
}
}
},
"eventTime":"2017-01-05T22:18:23Z",
"eventSource":"opsworks-cm.amazonaws.com",
"eventName":"CreateServer",
"awsRegion":"us-west-2",
"sourceIPAddress":"101.25.190.51",
"userAgent":"console.amazonaws.com",
"requestParameters":{
"serverName":"OpsChef-test-server",
"engineModel":"Single",
"engine":"Chef",
"instanceProfileArn":"arn:aws:iam::831000000000:instance-profile/aws-opsworks-cm-ec2-role",
"backupRetentionCount":3,"serviceRoleArn":"arn:aws:iam::831000000000:role/service-role/aws-opsworks-cm-service-role",
"engineVersion":"12",
"preferredMaintenanceWindow":"Fri:21:00",
"instanceType":"t2.medium",
"subnetIds":["subnet-1e111f11"],
"preferredBackupWindow":"Wed:08:00"
},
"responseElements":{
"server":{
"endpoint":"OpsChef-test-server-thohsgreckcnwgz3.us-west-2.opsworks-cm.io",
"createdAt":"Jan 5, 2017 10:18:22 PM",
"serviceRoleArn":"arn:aws:iam::831000000000:role/service-role/aws-opsworks-cm-service-role",
"preferredBackupWindow":"Wed:08:00",
"status":"CREATING",
"subnetIds":["subnet-1e111f11"],
"engine":"Chef",
"instanceType":"t2.medium",
"serverName":"OpsChef-test-server",
"serverArn":"arn:aws:opsworks-cm:us-west-2:831000000000:server/OpsChef-test-server/8epp7f6z-e91f-4z10-89z5-8c6219cdb09f",
"engineModel":"Single",
"backupRetentionCount":3,
"engineAttributes":[
{"name":"CHEF_STARTER_KIT","value":"*** Redacted ***"},
{"name":"CHEF_PIVOTAL_KEY","value":"*** Redacted ***"},
{"name":"CHEF_DELIVERY_ADMIN_PASSWORD","value":"*** Redacted ***"}],
"engineVersion":"12.11.1",
"instanceProfileArn":"arn:aws:iam::831000000000:instance-profile/aws-opsworks-cm-ec2-role",
"preferredMaintenanceWindow":"Fri:21:00"
}
},
"requestID":"de7f64f9-d394-12ug-8081-7bb0386fbcb6",
"eventID":"8r7b18df-6c90-47be-87cf-e8346428cfc3",
"eventType":"AwsApiCall",
"recipientAccountId":"831000000000"
}
```
# Problembehebung AWS OpsWorks for Chef Automate
**Wichtig**
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Ende seiner Nutzungsdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.
Dieses Thema enthält einige häufig auftretende AWS OpsWorks for Chef Automate Probleme und Lösungsvorschläge für diese Probleme.
**Topics**
+ [Allgemeine Tipps zur Problembehebung](#w2ab1b9c52b9)
+ [Behebung bestimmter Fehler](#tshooterrors-chef)
+ [Weitere Hilfe und Support](#tshooterrors-chef-support)
## Allgemeine Tipps zur Problembehebung
Sollte es Ihnen nicht möglich sein, einen Chef-Server zu erstellen oder damit zu arbeiten, können Sie Fehlermeldungen oder Protokolle einsehen, die Ihnen helfen, den Fehler zu beheben. Die folgenden Aufgaben beschreiben allgemeine Ausgangspunkte bei der Fehlerbehebung eines Chef-Server Problems. Weitere Informationen zu bestimmten Fehlern und Lösungen finden Sie im Abschnitt [Behebung bestimmter Fehler](#tshooterrors-chef) dieses Themas.
+ Verwenden Sie die AWS OpsWorks for Chef Automate Konsole, um Fehlermeldungen anzuzeigen, wenn ein Chef-Server nicht gestartet werden kann. Fehlermeldungen im Zusammenhang mit dem Starten und Ausführen des Servers werden auf der Detailseite des Chef-Servers oben angezeigt. Fehler können von AWS OpsWorks for Chef Automate Diensten oder Amazon herrühren EC2, die zum Erstellen eines Chef-Servers verwendet werden. CloudFormation Auf der Detailseite können Sie auch Ereignisse sehen, die auf einem laufenden Server auftreten und Fehlerereignismeldungen beinhalten können.
+ Um EC2 Probleme zu lösen, stellen Sie mithilfe von SSH eine Verbindung zur Instance Ihres Servers her und sehen Sie sich die Protokolle an. EC2 Instanzprotokolle werden im `/var/log/aws/opsworks-cm` Verzeichnis gespeichert. Diese Protokolle erfassen Befehlsausgaben beim AWS OpsWorks for Chef Automate Start eines Chef-Servers.
## Behebung bestimmter Fehler
**Topics**
+ [Der Server befindet sich in einem Zustand „**Verbindung verloren**“](#tshooterrors-chef-connection-lost)
+ [Verwaltete Knoten im Chef Automate-Dashboard in der Spalte für fehlende Einträge](#w2ab1b9c52c11b6)
+ [Chef-Tresor kann nicht erstellt werden; der Befehl `knife vault` schlägt fehl](#w2ab1b9c52c11b8)
+ [Servererstellung schlägt mit der Nachricht "Die angefragte Konfiguration wird derzeit nicht unterstützt" fehl](#w2ab1b9c52c11c10)
+ [Der Chef-Server erkennt keine Organisationsbezeichnungen, die dem Chef Automate-Dashboard hinzugefügt wurden.](#w2ab1b9c52c11c12)
+ [Die EC2 Amazon-Instance des Servers konnte nicht erstellt werden](#w2ab1b9c52c11c14)
+ [Service-Rollen-Fehler verhindert die Servererstellung](#w2ab1b9c52c11c16)
+ [Elastisches Limit der IP-Adresse überschritten](#w2ab1b9c52c11c18)
+ [Anmeldung beim Chef Automate-Dashboard nicht möglich](#w2ab1b9c52c11c20)
+ [Unbeaufsichtigte Knotenzuordnung fehlgeschlagen](#w2ab1b9c52c11c22)
+ [Die Systemwartung schlägt fehl](#tshooterrors-chef-maintenance-fails)
### Der Server befindet sich in einem Zustand „**Verbindung verloren**“
**Problem:** Der Status eines Servers wird als **Verbindung unterbrochen** angezeigt.
**Ursache:** Dies tritt am häufigsten auf, wenn eine Entität außerhalb von Änderungen an einem AWS OpsWorks for Chef Automate Server oder dessen unterstützenden Ressourcen OpsWorks vornimmt. OpsWorks kann im Status „**Verbindung verloren“ keine Verbindung** zu Chef Automate-Servern herstellen, um Wartungsaufgaben wie das Erstellen von Backups, das Anwenden von Betriebssystem-Patches oder das Aktualisieren von Chef Automate zu erledigen. Infolgedessen fehlen auf Ihrem Server möglicherweise wichtige Updates, er ist anfällig für Sicherheitsprobleme oder er funktioniert auf andere Weise nicht wie erwartet.
**Lösung:** Führen Sie die folgenden Schritte aus, um die Serververbindung wiederherzustellen.
1. Stellen Sie sicher, dass Ihre Servicerolle über alle erforderlichen Berechtigungen verfügt.
1. Wählen Sie auf der Seite **Einstellungen** für Ihren Server unter **Netzwerk und Sicherheit** den Link für die Servicerolle aus, die der Server verwendet. Dadurch wird die Servicerolle zur Anzeige in der IAM-Konsole geöffnet.
1. Vergewissern Sie sich, dass auf der Registerkarte **Berechtigungen** der Eintrag in der Liste der **Berechtigungsrichtlinien** aufgeführt `AWSOpsWorksCMServiceRole` ist. Wenn sie nicht aufgeführt ist, fügen Sie die `AWSOpsWorksCMServiceRole` verwaltete Richtlinie manuell zur Rolle hinzu.
1. Stellen Sie auf der Registerkarte **Vertrauensbeziehungen** sicher, dass die Servicerolle über eine Vertrauensrichtlinie verfügt, die darauf vertraut, dass der `opsworks-cm.amazonaws.com` Dienst Rollen in Ihrem Namen übernimmt. Weitere Informationen zur Verwendung von Vertrauensrichtlinien mit Rollen finden Sie unter [Ändern einer Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) oder im AWS Sicherheits-Blogbeitrag [So verwenden Sie Vertrauensrichtlinien mit IAM-Rollen](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/).
1. Stellen Sie sicher, dass Ihr Instanzprofil über alle erforderlichen Berechtigungen verfügt.
1. Wählen Sie auf der Seite **Einstellungen** für Ihren Server unter **Netzwerk und Sicherheit** den Link für das Instanzprofil aus, das der Server verwendet. Dadurch wird das Instanzprofil zur Anzeige in der IAM-Konsole geöffnet.
1. Stellen Sie auf der Registerkarte **Berechtigungen** sicher, dass `AmazonEC2RoleforSSM` beide in der Liste der **Berechtigungsrichtlinien** aufgeführt `AWSOpsWorksCMInstanceProfileRole` sind. Wenn eine oder beide nicht aufgeführt sind, fügen Sie diese verwalteten Richtlinien manuell zur Rolle hinzu.
1. Stellen Sie auf der Registerkarte **Vertrauensbeziehungen** sicher, dass die Servicerolle über eine Vertrauensrichtlinie verfügt, die darauf vertraut, dass der `ec2.amazonaws.com` Dienst Rollen in Ihrem Namen übernimmt. Weitere Informationen zur Verwendung von Vertrauensrichtlinien mit Rollen finden Sie unter [Ändern einer Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) oder im AWS Sicherheits-Blogbeitrag [So verwenden Sie Vertrauensrichtlinien mit IAM-Rollen](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/).
1. Stellen Sie in der EC2 Amazon-Konsole sicher, dass Sie sich in derselben Region wie die Region des AWS OpsWorks for Chef Automate Servers befinden, und starten Sie dann die EC2 Instance neu, die Ihr Server verwendet.
1. Wählen Sie die benannte EC2 Instance aus `aws-opsworks-cm-instance-`*server-name*.
1. Wählen Sie im Menü **Instanzstatus** die Option **Instanz neu starten**.
1. Warten Sie bis zu 15 Minuten, bis Ihr Server neu gestartet und vollständig online ist.
1. Stellen Sie in der AWS OpsWorks for Chef Automate Konsole auf der Seite mit den Serverdetails sicher, dass der Serverstatus jetzt **fehlerfrei** ist.
Wenn der Serverstatus nach Durchführung der vorherigen Schritte immer noch **Verbindung verloren** lautet, versuchen Sie es mit einer der folgenden Methoden.
+ Ersetzen Sie den Server, [indem Sie einen neuen](gettingstarted-opscm-create.md) Server erstellen und [das Original löschen](opscm-delete-server.md). Wenn Daten auf dem aktuellen Server für Sie wichtig sind, [stellen Sie den Server anhand einer aktuellen Sicherung wieder her](opscm-chef-restore.md) und überprüfen Sie, ob die Daten auf dem neuesten Stand sind, bevor Sie [den ursprünglichen Server löschen, der nicht mehr reagiert](opscm-delete-server.md).
+ [Wenden Sie sich an den AWS Support](#tshooterrors-chef-support).
### Verwaltete Knoten im Chef Automate-Dashboard in der Spalte für fehlende Einträge
**Problem:** Ein verwalteter Knoten erscheint in der Chef Automate-Dashboard-Spalte **Missing (Fehlend)**.
**Ursache:** Wenn ein Knoten sich länger als 12 Stunden nicht mit dem Chef Automate-Server verbunden hat und `chef-client` nicht auf dem Knoten ausgeführt werden kann, ändert sich der Status des Knotens zurück in den Status, der vor den 12 Stunden aktiv war, und der Knoten wird in die Spalte **Missing (Fehlend)** des Chef Automate-Dashboard verschoben.
**Lösung:** Überprüfen Sie, ob der Knoten online ist. Versuchen Sie, `knife node show node_name --run-list` auszuführen, um zu sehen, ob `chef-client` auf dem Knoten ausgeführt werden kann, oder `knife node show -l node_name`, um alle Informationen über den Knoten anzuzeigen. Der Knoten könnte offline oder vom Netzwerk abgemeldet sein.
### Chef-Tresor kann nicht erstellt werden; der Befehl `knife vault` schlägt fehl
**Problem:** Sie versuchen, einen Tresor auf Ihrem Chef Automate-Server zu erstellen (z. B. einen Tresor zum Speichern von Anmeldeinformationen für die Domäneneinbindung von Windows-basierten Knoten), indem Sie den Befehl `knife vault` ausführen. Der Befehl gibt eine ähnliche Fehlermeldung wie die diese zurück.
```
WARN: Auto inflation of JSON data is deprecated. Please pass in the class to inflate or use #edit_hash (CHEF-1)
at /opt/chefdk/embedded/lib/ruby/2.3.0/forwardable.rb:189:in `edit_data'.Please see https://docs.chef.io/deprecations_json_auto_inflate.html
for further details and information on how to correct this problem.
WARNING: pivotal not found in users, trying clients.
ERROR: ChefVault::Exceptions::AdminNotFound: FATAL: Could not find pivotal in users or clients!
```
Der pivotale Benutzer wird nicht zurückgegeben, wenn Sie `knife user list` remote ausgeführt haben. Sie können jedoch den pivotalen Benutzer in den Ergebnissen sehen, wenn Sie den Befehl `chef-server-ctl user-show` lokal auf Ihrem Chef Automate-Server ausführen. Mit anderen Worten: Ihr Befehl `knife vault` kann den pivotalen Benutzer nicht finden, aber Sie wissen, dass er vorhanden ist.
**Ursache:** Obwohl der pivotale Benutzer in Chef als Superuser gilt und über vollständige Berechtigungen verfügt, ist er nicht Mitglied irgendeiner Organisation, einschließlich der `default`-Organisation, die in AWS OpsWorks for Chef Automate verwendet wird. Der Befehl `knife user list` gibt alle Benutzer zurück, die sich in der aktuellen Organisation in Ihrer Chef-Konfiguration befinden. Der Befehl `chef-server-ctl user-show` gibt alle Benutzer zurück, unabhängig von der Organisation und einschließlich des pivotalen Benutzers.
**Lösung:** Um das Problem zu beheben, fügen Sie den pivotalen Benutzer der Standard-Organisation hinzu, indem Sie `knife opc` ausführen.
Zunächst müssen Sie das Plug-In [knife opc](https://github.com/chef/knife-opc) installieren.
```
chef gem install knife-opc
```
Nach der Installation des Plug-Ins führen Sie den folgenden Befehl aus, um den pivotalen Benutzer der Standard-Organisation hinzuzufügen.
```
knife opc org user add default pivotal
```
Sie können überprüfen, ob der pivotale Benutzer Teil der Standard-Organisation ist, indem Sie `knife user list` erneut ausführen. `pivotal` sollte in den Ergebnissen aufgeführt sein. Starten Sie anschließend `knife vault` erneut.
### Servererstellung schlägt mit der Nachricht "Die angefragte Konfiguration wird derzeit nicht unterstützt" fehl
**Problem:** Sie versuchen einen Chef Automate-Server zu erstellen. Die Servererstellung schlägt jedoch mit einer Fehlermeldung wie "Die angefragte Konfiguration wird derzeit nicht unterstützt" fehl. Bitte überprüfen Sie die Dokumentation auf unterstützte Konfigurationen.
**Ursache:** Ein nicht unterstützter Instance-Typ könnte für den Chef Automate-Server angegeben worden sein. Wenn Sie einen Chef Automate-Server in einer VPC erstellen möchten, die über eine nicht standardmäßige Tenancy verfügt, z. B. eine für [dedizierte Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html), müssen alle Instances innerhalb der angegebenen VPC auch einer dedizierten oder Host-Tenancy angehören. Da einige Instance-Typen, z. B. t2, nur mit einem Standard-Abonnement verfügbar sind, könnte der Chef Automate-Server-Instance-Typ möglicherweise nicht durch die angegebene VPC unterstützt werden. Außerdem schlägt die Servererstellung fehl.
**Lösung:** Wenn Sie eine VPC mit einer Nicht-Standard-Tenancy auswählen, nutzen Sie einen m4-Instance-Typ, der eine dedizierte Tenancy unterstützt.
### Der Chef-Server erkennt keine Organisationsbezeichnungen, die dem Chef Automate-Dashboard hinzugefügt wurden.
**Problem:** Sie haben dem Chef Automate-Dashboard neue Workflow-Organisationsnamen hinzugefügt oder einen anderen `CHEF_AUTOMATE_ORGANIZATION`-Wert als `"default"` im [unbeaufsichtigten Knoten-Zuordnungsskript](opscm-unattend-assoc.md) angegeben. Die Knotenzuordnung schlägt jedoch fehl. Ihr AWS OpsWorks for Chef Automate -Server erkennt die neuen Organisationsnamen nicht.
**Ursache:** Workflow-Organisationsnamen und Chef-Server-Organisationsnamen sind nicht identisch. Sie können neue Workflow-Organisationen in dem webbasierten Chef Automate-Dashboard erstellen, aber keine Chef-Server-Organisationsnamen. Sie können das Chef Automate-Dashboard nur nutzen, um vorhandene Chef-Server-Organisationen anzuzeigen. Eine neue Organisation, die Sie in dem Chef Automate-Dashboard erstellen, ist eine Workflow-Organisation und wird von dem Chef-Server nicht erkannt. Sie können keine neuen Organisationsnamen erstellen, indem Sie sie in dem Knoten-Zuordnungsskript angeben. Der Verweis auf einen Organisationsnamen in einem Knoten-Zuordnungsskript bewirkt, dass die Knotenzuordnung fehlschlägt, falls die Organisation nicht zuerst dem Chef-Server hinzugefügt wurde.
**Lösung:** Um neue Organisationen zu erstellen, die auf dem Chef-Server erkannt werden, verwenden Sie den Befehl [https://docs.chef.io/plugin_knife_opc.html#opc-org-create](https://docs.chef.io/plugin_knife_opc.html#opc-org-create) oder führen Sie [https://docs.chef.io/ctl_chef_server.html#organization-management](https://docs.chef.io/ctl_chef_server.html#organization-management) aus.
### Die EC2 Amazon-Instance des Servers konnte nicht erstellt werden
**Problem:** Die Servererstellung schlug fehl und es wurde eine Fehlermeldung ähnlich der folgenden angezeigt: „Die folgenden Ressourcen konnten nicht erstellt werden: [EC2Instance]. Fehler beim Empfang von 1 Ressource-Signal innerhalb der angegebenen Dauer."
**Ursache:** Das liegt höchstwahrscheinlich daran, dass die EC2 Instanz keinen Netzwerkzugriff hat.
**Lösung:** Stellen Sie sicher, dass die Instanz über ausgehenden Internetzugang verfügt und der AWS Service Agent Befehle ausgeben kann. Stellen Sie sicher, dass Ihre VPC (eine VPC mit einem einzigen öffentlichen Subnetz) **DNS resolution (DNS-Auflösung)** aktiviert hat und Ihr Subnetz die Einstellung **Auto-assign Public IP (Öffentliche IP-Adresse automatisch zuweisen)** aktiviert hat.
### Service-Rollen-Fehler verhindert die Servererstellung
**Problem:** Die Servererstellung schlägt fehl und es wird eine Fehlermeldung angezeigt, die besagt: „Nicht autorisiert, sts auszuführen:AssumeRole.“
**Ursache:** Dies kann auftreten, wenn die Service-Rolle, die Sie nutzen, nicht über die erforderlichen Berechtigungen zum Erstellen eines neuen Servers verfügt.
**Lösung:** Öffnen Sie die AWS OpsWorks for Chef Automate Konsole und verwenden Sie die Konsole, um eine neue Servicerolle und eine Instanzprofilrolle zu generieren. Wenn Sie lieber Ihre eigene Servicerolle verwenden möchten, fügen Sie der **CMServiceRolle die AWSOps Works-Rollenrichtlinie** hinzu. **Vergewissern Sie sich, dass **opsworks-cm.amazonaws.com unter den Diensten in den Vertrauensbeziehungen** der Rolle aufgeführt ist.** **Stellen Sie sicher, dass der Servicerolle, die dem Chef-Server zugeordnet ist, die verwaltete Works-Role-Richtlinie angehängt ist. AWSOps CMService**
### Elastisches Limit der IP-Adresse überschritten
**Problem:** Die Servererstellung schlägt fehl und es wird eine Fehlermeldung angezeigt, die besagt: „Die folgenden Ressourcen konnten nicht erstellt werden: [EIP, EC2 Instanz]. Ressourcenerstellung abgebrochen, die maximale Anzahl an Adressen wurde erreicht."
**Ursache:** Dieses Problem tritt auf, wenn Ihr Konto die maximale Anzahl an Elastic IP (EIP)-Adressen genutzt hat. Das standardmäßige EIP-Adressenlimit ist fünf.
**Lösung:** Sie können entweder bestehende EIP-Adressen freigeben oder solche löschen, die Ihr Konto nicht aktiv verwendet, oder Sie können sich an den AWS Kundensupport wenden, um das Limit an EIP-Adressen zu erhöhen, das mit Ihrem Konto verknüpft ist.
### Anmeldung beim Chef Automate-Dashboard nicht möglich
**Problem:** Das Chef Automate-Dashboard zeigt einen Fehler an, der dem folgenden ähnelt: „Cross-Origin-Anfrage blockiert: Die gleiche Origin-Richtlinie verbietet das Lesen der Remote-Ressource, wenn die eingegebene https://myserver-name.region.opsworks-cm.io/api/v0/e/default/verify-token. (Reason: CORS header 'Access-Control-Allow-Origin' missing)". The error can also be similar to "The User Id / Password com Bination falsch ist.“
**Ursache:** Das Chef Automate-Dashboard legt ausdrücklich den FQDN fest und akzeptiert keinen relativen Namen. URLs Derzeit ist es nicht möglich, sich über die Chef-Server-IP-Adresse anzumelden. Sie können sich nur anmelden, indem Sie den DNS-Namen des Servers nutzen.
**Lösung:** Melden Sie sich beim Chef Automate-Dashboard nur an, indem Sie den DNS-Namenseintrag des Servers nutzen und nicht seine IP-Adresse. Sie können auch versuchen, die Chef Automate-Dashboard-Anmeldeinformationen zurückzusetzen, indem Sie einen AWS CLI -Befehl ausführen, der in [Zurücksetzen der Anmeldeinformationen für das Chef Automate-Dashboard](opscm-resetchefcreds.md) beschrieben wird.
### Unbeaufsichtigte Knotenzuordnung fehlgeschlagen
**Problem:** Die unbeaufsichtigte oder automatische Zuordnung neuer EC2 Amazon-Knoten schlägt fehl. Knoten, die dem Chef-Server hinzugefügt werden sollten, erscheinen nicht im Chef Automate-Dashboard und sind nicht in den Ergebnisse der Befehle `knife client show` oder `knife node show` aufgeführt.
**Ursache:** Dies kann vorkommen, wenn Sie keine IAM-Rolle als Instance-Profil eingerichtet haben, das `opsworks-cm` API-Aufrufe für die Kommunikation mit neuen EC2 Instances zulässt.
**Lösung:** Hängen Sie Ihrem EC2 Instanzprofil eine Richtlinie an, die es ermöglicht, mit den `AssociateNode` und `DescribeNodeAssociationStatus` API-Aufrufen zu arbeiten EC2, wie unter beschrieben[Fügen Sie Knoten automatisch hinzu AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md).
### Die Systemwartung schlägt fehl
AWS OpsWorks CM führt wöchentliche Systemwartungen durch, um sicherzustellen, dass die neuesten Nebenversionen von Chef Server und Chef Automate Server, einschließlich Sicherheitsupdates, immer auf einem AWS OpsWorks for Chef Automate-Server laufen. Wenn die Systemwartung aus irgendeinem Grund fehlschlägt, werden Sie über den Fehler AWS OpsWorks CM informiert. Weitere Hinweise zur Systemwartung finden Sie unter[Systemwartung in AWS OpsWorks for Chef Automate](opscm-maintenance.md).
In diesem Abschnitt werden mögliche Fehlerursachen beschrieben und Lösungen vorgeschlagen.
**Topics**
+ [Ein Fehler im Servicerollen- oder Instanzprofil verhindert die Systemwartung](#w2ab1b9c52c11c24b8)
#### Ein Fehler im Servicerollen- oder Instanzprofil verhindert die Systemwartung
**Problem:** Die Systemwartung schlägt fehl und es wird eine Fehlermeldung angezeigt, die besagt, dass Sie nicht berechtigt sind, sts auszuführen:AssumeRole, oder es wird eine ähnliche Fehlermeldung zu den Berechtigungen angezeigt.
**Ursache:** Dieses Problem kann auftreten, wenn entweder die von Ihnen verwendete Servicerolle oder das Instanzprofil nicht über ausreichende Berechtigungen für die Durchführung der Systemwartung auf dem Server verfügt.
**Lösung:** Stellen Sie sicher, dass Ihre Servicerolle und Ihr Instanzprofil über alle erforderlichen Berechtigungen verfügen.
1. Stellen Sie sicher, dass Ihre Servicerolle über alle erforderlichen Berechtigungen verfügt.
1. Wählen Sie auf der Seite **Einstellungen** für Ihren Server unter **Netzwerk und Sicherheit** den Link für die Servicerolle aus, die der Server verwendet. Dadurch wird die Servicerolle zur Anzeige in der IAM-Konsole geöffnet.
1. Vergewissern Sie sich auf der Registerkarte „**Berechtigungen**“, dass sie der Servicerolle zugeordnet `AWSOpsWorksCMServiceRole` ist. Wenn sie nicht aufgeführt `AWSOpsWorksCMServiceRole` ist, fügen Sie diese Richtlinie der Rolle hinzu.
1. **Vergewissern Sie sich, dass **opsworks-cm.amazonaws.com unter den Diensten in den Vertrauensbeziehungen** der Rolle aufgeführt ist.** Weitere Informationen zur Verwendung von Vertrauensrichtlinien mit Rollen finden Sie unter [Rolle ändern (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) oder im AWS Sicherheits-Blogbeitrag [So](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/) verwenden Sie Vertrauensrichtlinien mit IAM-Rollen.
1. Stellen Sie sicher, dass Ihr Instanzprofil über alle erforderlichen Berechtigungen verfügt.
1. Wählen Sie auf der Seite **Einstellungen** für Ihren Server unter **Netzwerk und Sicherheit** den Link für das Instanzprofil aus, das der Server verwendet. Dadurch wird das Instanzprofil zur Anzeige in der IAM-Konsole geöffnet.
1. Stellen Sie auf der Registerkarte **Berechtigungen** sicher, dass `AmazonEC2RoleforSSM` beide in der Liste der **Berechtigungsrichtlinien** aufgeführt `AWSOpsWorksCMInstanceProfileRole` sind. Wenn eine oder beide nicht aufgeführt sind, fügen Sie diese verwalteten Richtlinien manuell zur Rolle hinzu.
1. Stellen Sie auf der Registerkarte **Vertrauensbeziehungen** sicher, dass die Servicerolle über eine Vertrauensrichtlinie verfügt, die darauf vertraut, dass der `ec2.amazonaws.com` Dienst Rollen in Ihrem Namen übernimmt. Weitere Informationen zur Verwendung von Vertrauensrichtlinien mit Rollen finden Sie unter [Ändern einer Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) oder im AWS Sicherheits-Blogbeitrag [So verwenden Sie Vertrauensrichtlinien mit IAM-Rollen](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/).
## Weitere Hilfe und Support
Wenn Ihr spezifisches Problem in diesem Thema nicht beschrieben wird oder Sie die Vorschläge in diesem Thema ausprobiert und weiterhin Probleme haben, besuchen Sie die [OpsWorks -Foren](https://forums.aws.amazon.com/forum.jspa?forumID=153&start=0).
Sie können auch das [AWS Support-Center](https://console.aws.amazon.com/support/home#/) besuchen. Das AWS Support Center ist die zentrale Anlaufstelle für die Erstellung und Verwaltung von AWS Support-Fällen. Das AWS Support Center enthält auch Links zu anderen hilfreichen Ressourcen wie Foren, technischen FAQs Informationen, Servicestatus und AWS Trusted Advisor.