AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Installation von SSM Agent auf hybriden Linux-Knoten
In diesem Thema wird beschrieben, wie die Installation AWS Systems Manager SSM Agent auf Linux-Computern, die nicht EC2 (Amazon Elastic Compute Cloud) sind, in einer Hybrid- und Multi-Cloud-Umgebung durchgeführt wird. Informationen zur Installation SSM Agent auf EC2 Instances für Linux finden Sie unterManuelles Installieren und Deinstallieren SSM Agent auf EC2 Instanzen für Linux.
Bevor Sie beginnen, suchen Sie den Aktivierungscode und die Aktivierungs-ID, die Sie während der Hybrid-Aktivierung generiert haben, wie unter Eine Hybridaktivierung erstellen, um Knoten bei Systems Manager zu registrieren beschrieben. Sie geben den Code und die ID in den folgenden Schritten an.
Zur Installation SSM Agent auf EC2 Nicht-Computern in einer Hybrid- und Multi-Cloud-Umgebung
-
Melden Sie sich bei einem Server oder einer VM in Ihrer Hybrid- und Multi-Cloud-Umgebung an.
-
Wenn Sie einen HTTP- oder HTTPS-Proxy verwenden, müssen Sie die
http_proxyoderhttps_proxy-Umgebungsvariablen in der aktuellen Shell-Sitzung einstellen. Wenn Sie keinen Proxy verwenden, können Sie diesen Schritt überspringen.Geben Sie für einen HTTP-Proxy-Server die folgenden Befehle in der Befehlszeile ein:
export http_proxy=http://hostname:portexport https_proxy=http://hostname:portGeben Sie für einen HTTPS-Proxy-Server die folgenden Befehle in der Befehlszeile ein:
export http_proxy=http://hostname:portexport https_proxy=https://hostname:port -
Kopieren Sie einen der folgenden Befehlsblöcke und fügen Sie ihn in SSH ein. Ersetzen Sie die Platzhalterwerte durch den Aktivierungscode und die Aktivierungs-ID, die während des Hybrid-Aktivierungsprozesses generiert wurden, sowie durch die ID der Datei, von der AWS-Region Sie herunterladen SSM Agent möchten, und drücken Sie dann auf.
EnterWichtig
Beachten Sie die folgenden wichtigen Details:
-
Die Verwendung
ssm-setup-clifür EC2 Nichtinstallationen maximiert die Sicherheit Ihrer Systems Manager Manager-Installation und -Konfiguration. -
sudoist nicht erforderlich, wenn Sie ein Stammbenutzer sind. -
Laden Sie es
ssm-setup-clivon dem Ort herunter AWS-Region , an dem Ihre Hybrid-Aktivierung erstellt wurde. -
ssm-setup-cliunterstützt einemanifest-url-Option, die die Quelle bestimmt, von der der Agent heruntergeladen wird. Geben Sie für diese Option keinen Wert an, es sei denn, Ihre Organisation verlangt dies. -
Verwenden Sie bei der Registrierung von Instances nur den bereitgestellten Download-Link für
ssm-setup-cli.ssm-setup-clisollte nicht separat für die zukünftige Verwendung aufbewahrt werden. -
Sie können das hier
bereitgestellte Skript verwenden, um die Signatur von ssm-setup-clizu überprüfen.
regionsteht für die Kennung einer Region, die von AWS-Region unterstützt wird AWS Systems Manager, z. B.us-east-2für die Region USA Ost (Ohio). Eine Liste der unterstütztenregionWerte finden Sie in der Spalte Region der Systems Manager Manager-Dienstendpunkte in der Allgemeine Amazon Web Services-Referenz.ssm-setup-clienthält zusätzlich die folgenden Optionen:-
version– Gültige Werte sindlatestundstable. -
downgrade– Erlaubt, dass SSM Agent auf eine ältere Version zurückgesetzt wird. Geben Sietruean, um eine frühere Version des Agenten zu installieren. -
skip-signature-validation– Überspringt die Signaturvalidierung während des Herunterladens und der Installation des Agenten.
-
mkdir /tmp/ssm curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
-
Verwenden von .deb-Paketen
mkdir /tmp/ssm curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region" -
Verwenden von Snap-Paketen
Sie müssen keine URL für den Download angeben, da der
snap-Befehl den Agenten automatisch aus dem Snap App Storeunter https://snapcraft.io herunterlädt. Unter Ubuntu Server 20.04, 18.04 und 16.04 LTS werden SSM Agent-Installationsdateien, einschließlich Agentenbinär- und Konfigurationsdateien, im folgenden Verzeichnis gespeichert:
/snap/amazon-ssm-agent/current/. Wenn Sie Änderungen an einer Konfigurationsdatei in diesem Verzeichnis vornehmen, müssen Sie dies Datei aus dem Verzeichnis/snapin das Verzeichnis/etc/amazon/ssm/kopieren. Protokoll- und Bibliotheksdateien wurden nicht geändert (/var/lib/amazon/ssm,/var/log/amazon/ssm).sudo snap install amazon-ssm-agent --classic sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.serviceWichtig
Der Kandidat-Kanal im Snap Store enthält die neueste Version von SSM Agent; nicht den stabilen Kanal. Wenn Sie SSM Agent-Versionsinformationen auf dem Kandidatenkanal nachverfolgen möchten, führen Sie den folgenden Befehl auf Ihren von Ubuntu Server verwalteten 18.04- und 16.04-LTS-64-Bit-Knoten aus.
sudo snap switch --channel=candidate amazon-ssm-agent
Der Befehl lädt SSM Agent herunter und installiert es auf der hybrid-aktivierten Maschine in Ihrer Hybrid- und Multi-Cloud-Umgebung. Der Befehl stoppt den SSM Agent und registriert die Maschine beim Systems Manager-Service. Die Maschine ist nun ein verwalteter Knoten. EC2 Amazon-Instances, die für Systems Manager konfiguriert sind, sind ebenfalls verwaltete Knoten. In der Systems Manager Manager-Konsole werden Ihre hybridaktivierten Knoten jedoch mit dem Präfix „mi-“ von EC2 Amazon-Instances unterschieden.
Fahren Sie fort mit Installation von SSM Agent auf hybriden Windows Server-Knoten.
Automatische Drehung des privaten Schlüssels einrichten
Um Ihre Sicherheitslage zu stärken, können Sie AWS Systems Manager Agent (SSM Agent) so konfigurieren, dass der private Schlüssel für Ihre Hybrid- und Multi-Cloud-Umgebung automatisch rotiert wird. Sie können auf dieses Feature zugreifen, indem Sie SSM Agent-Version 3.0.1031.0 oder höher verwenden. Aktivieren Sie dieses Feature wie folgt.
Um SSM Agent zu konfigurieren, um den privaten Schlüssel für eine Hybrid- und Multi-Cloud-Umgebung zu rotieren
-
Navigieren Sie zu
/etc/amazon/ssm/auf einem Linux-Computer oder zuC:\Program Files\Amazon\SSMfür einen Windows-Computer. -
Kopieren Sie den Inhalt von
amazon-ssm-agent.json.templatein eine neue Datei namensamazon-ssm-agent.json. Speichern Sieamazon-ssm-agent.jsonin demselben Verzeichnis, in dem sichamazon-ssm-agent.json.templatebefindet. -
Suchen Sie
Profile,KeyAutoRotateDays. Geben Sie die gewünschte Anzahl der Tage zwischen den automatischen Drehungen des privaten Schlüssels eingeben. -
Starten Sie SSM Agent neu.
Jedes Mal, wenn Sie die Konfiguration ändern, starten Sie SSM Agent neu.
Sie können andere Features von SSM Agent mit dem gleichen Verfahren personalisieren. Eine up-to-date Liste der verfügbaren Konfigurationseigenschaften und ihrer Standardwerte finden Sie unter Definitionen von Konfigurationseigenschaften
Abmelden und Neuregistrieren eines verwalteten Knotens (Linux)
Sie können die Registrierung eines hybridaktivierten verwalteten Knotens aufheben, indem Sie den DeregisterManagedInstanceAPI-Vorgang entweder über Tools für Windows AWS CLI oder über Tools for Windows aufrufen. PowerShell Hier sehen Sie ein Beispiel für einen CLI-Befehl:
aws ssm deregister-managed-instance --instance-id
"mi-1234567890"
Um die verbleibenden Registrierungsinformationen für den Agenten zu entfernen, entfernen Sie den IdentityConsumptionOrder-Schlüssel aus der amazon-ssm-agent.json-Datei. Dann führen Sie je nach Installationstyp einen der folgenden Befehle aus.
Auf Ubuntu Server-Knoten, auf denen SSM Agent mithilfe von Snap-Paketen installiert wurde:
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -clear
In allen anderen Linux-Installationen:
amazon-ssm-agent -register -clear
Anmerkung
Sie können einen lokalen Server, ein Edge-Gerät oder eine VM mit demselben Aktivierungscode und derselben ID erneut registrieren, solange Sie das Instance-Limit für den angegebenen Aktivierungscode und die angegebene ID nicht erreicht haben. Sie können das Instance-Limit für einen Aktivierungscode und eine Aktivierungs-ID überprüfen, indem Sie in der AWS CLI die describe-activations API aufrufen. Nachdem Sie den Befehl ausgeführt haben, stellen Sie sicher, dass der Wert für RegistrationCount nicht über RegistrationLimit liegt. Wenn der Wert über dem Limit liegt, müssen Sie einen anderen Aktivierungscode und eine andere Aktivierungs-ID verwenden.
Um einen verwalteten Knoten auf einem Computer, der nicht zu Linux gehört, erneut zu registrieren EC2
-
Verbinden Sie sich mit Ihrer Maschine.
-
Führen Sie den folgenden Befehl aus. Stellen Sie sicher, dass Sie die Platzhalterwerte durch den Aktivierungscode und die Aktivierungs-ID ersetzen, die generiert wurden, als Sie eine Aktivierung für einen verwalteten Knoten erstellt haben, sowie durch die Kennung der Region, aus der Sie den SSM Agent herunterladen möchten.
echo "yes" | sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region
Problembehandlung bei der SSM Agent Installation auf Nicht-Linux-Computern EC2
Nutzen Sie die folgenden Informationen, um Probleme bei der Installation von SSM Agent auf hybrid-aktivierten Linux-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung zu beheben.
Sie erhalten eine DeliveryTimedOut Fehlermeldung
Problem: Wenn Sie eine Maschine in einer Maschine AWS-Konto als verwalteten Knoten für eine separate Maschine konfigurieren AWS-Konto, erhalten Sie DeliveryTimedOut nach der Ausführung die Befehle zur Installation SSM Agent auf dem Zielcomputer.
Lösung: DeliveryTimedOut ist der erwartete Antwortcode für dieses Szenario. Der Befehl zum Installieren von SSM Agent auf dem Zielknoten ändert die Knoten-ID des Quellknotens. Da sich die Knoten-ID geändert hat, kann der Quellknoten dem Zielknoten nicht antworten, dass der Befehl bei der Ausführung fehlgeschlagen, abgeschlossen oder abgelaufen ist.
Knotenzuordnungen können nicht geladen werden
Problem: Nach dem Ausführen der Installationsbefehle wird der folgende Fehler im SSM Agent in den Fehlerprotokollen angezeigt:
Unable to load instance associations, unable to retrieve associations
unable to retrieve associations error occurred in
RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint
doesn't match
Sie sehen diesen Fehler, wenn die Computer-ID bei einem Neustart nicht beibehalten wird.
Lösung: Um dieses Problem zu lösen, führen Sie den folgenden Befehl aus. Dieser Befehl zwingt, dass die Computer-ID bei einem Neustart beibehalten wird.
umount /etc/machine-id systemd-machine-id-setup
