AWSSupport-TroubleshootEC2InstanceConnect - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-TroubleshootEC2InstanceConnect

Deskripsi

AWSSupport-TroubleshootEC2InstanceConnectotomatisasi membantu menganalisis dan mendeteksi kesalahan yang mencegah koneksi ke instans Amazon Elastic Compute Cloud (Amazon EC2) menggunakan Amazon EC2 Instance Connect. Ini mengidentifikasi masalah yang disebabkan oleh Amazon Machine Image (AMI) yang tidak didukung, instalasi atau konfigurasi paket tingkat OS yang hilang, izin AWS Identity and Access Management (IAM) yang hilang, atau masalah konfigurasi jaringan.

Bagaimana cara kerjanya?

Runbook mengambil ID EC2 instans Amazon, nama pengguna, mode koneksi, CIDR IP sumber, port SSH, dan Amazon Resource Name (ARN) untuk peran IAM atau pengguna yang mengalami masalah dengan Amazon Instance Connect. EC2 Kemudian memeriksa prasyarat untuk menghubungkan ke instans Amazon EC2 menggunakan Amazon Instance Connect: EC2

  • Contohnya berjalan dan dalam keadaan sehat.

  • Instans terletak di AWS wilayah yang didukung oleh Amazon EC2 Instance Connect.

  • AMI instans didukung oleh Amazon EC2 Instance Connect.

  • Instance dapat mencapai Instance Metadata Service ()IMDSv2.

  • Paket Amazon EC2 Instance Connect diinstal dan dikonfigurasi dengan benar di tingkat OS.

  • Konfigurasi jaringan (grup keamanan, ACL jaringan, dan aturan tabel rute) memungkinkan koneksi ke instans melalui Amazon EC2 Instance Connect.

  • Peran IAM atau pengguna yang digunakan untuk memanfaatkan Amazon EC2 Instance Connect memiliki akses ke tombol push ke EC2 instans Amazon.

penting

  • Untuk memeriksa instans AMI, IMDSv2 reachability, dan instalasi paket Amazon Instance EC2 Connect, instans harus dikelola SSM. Jika tidak, ia melewatkan langkah-langkah itu. Untuk informasi selengkapnya, lihat Mengapa EC2 instance Amazon saya tidak ditampilkan sebagai node terkelola.

  • Pemeriksaan jaringan hanya akan mendeteksi jika grup keamanan dan aturan ACL jaringan memblokir lalu lintas ketika SourceIp CIDR disediakan sebagai parameter input. Jika tidak, itu hanya akan menampilkan aturan terkait SSH.

  • Sambungan yang menggunakan Amazon EC2 Instance Connect Endpoint tidak divalidasi di runbook ini.

  • Untuk koneksi pribadi, otomatisasi tidak memeriksa apakah klien SSH diinstal pada mesin sumber dan apakah itu dapat mencapai alamat IP pribadi instans.

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux

Parameter

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ec2:DescribeInstances

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeInternetGateways

  • iam:SimulatePrincipalPolicy

  • ssm:DescribeInstanceInformation

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:SendCommand

Instruksi

Ikuti langkah-langkah ini untuk mengonfigurasi otomatisasi:

  1. Arahkan ke AWSSupport-TroubleshootEC2InstanceConnectdalam AWS Systems Manager konsol.

  2. Pilih Jalankan otomatisasi.

  3. Untuk parameter input, masukkan yang berikut ini:

    • InstanceId (Diperlukan):

      ID EC2 instans Amazon target yang tidak dapat Anda sambungkan menggunakan Amazon EC2 Instance Connect.

    • AutomationAssumeRole (Opsional):

      ARN dari peran IAM yang memungkinkan Systems Manager Automation untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

    • Nama Pengguna (Diperlukan):

      Nama pengguna yang digunakan untuk menyambung ke EC2 instans Amazon menggunakan Amazon EC2 Instance Connect. Ini digunakan untuk mengevaluasi apakah akses IAM diberikan untuk pengguna khusus ini.

    • EC2InstanceConnectRoleOrUser(Diperlukan):

      ARN peran IAM atau pengguna yang memanfaatkan Amazon Instance EC2 Connect untuk menekan tombol ke instans.

    • SSHPort (Opsional):

      Port SSH dikonfigurasi pada EC2 instans Amazon. Nilai default-nya adalah 22. Nomor port harus antara1-65535.

    • SourceNetworkType (Opsional):

      Metode akses jaringan ke EC2 instans Amazon:

      • Browser: Anda terhubung dari AWS Management Console.

      • Publik: Anda terhubung ke instans yang terletak di subnet publik melalui internet (misalnya, komputer lokal Anda).

      • Pribadi: Anda terhubung melalui alamat IP pribadi instans.

    • SourceIpCIDR (Opsional):

      Sumber CIDR yang menyertakan alamat IP perangkat (seperti komputer lokal Anda) akan Anda log dari menggunakan Amazon EC2 Instance Connect. Contoh: 172.31.48.6/32. Jika tidak ada nilai yang diberikan dengan mode akses publik atau pribadi, runbook tidak akan mengevaluasi apakah grup keamanan EC2 instans Amazon dan aturan ACL jaringan mengizinkan lalu lintas SSH. Ini akan menampilkan aturan terkait SSH sebagai gantinya.

    Input parameters form for EC2 Instance Connect troubleshooting with various fields.

  4. Pilih Jalankan.

  5. Otomatisasi dimulai.

  6. Dokumen melakukan langkah-langkah berikut:

    • AssertInitialState:

      Memastikan status EC2 instans Amazon berjalan. Jika tidak, otomatisasi berakhir.

    • GetInstanceProperties:

      Mendapat properti EC2 instance Amazon saat ini (PlatformDetails, PublicIpAddress, VpcId, SubnetId dan MetadataHttpEndpoint).

    • GatherInstanceInformationFromSSM:

      Mendapat status ping dan detail sistem operasi instans Systems Manager jika instans dikelola SSM.

    • CheckIfAWSRegionDidukung:

      Memeriksa apakah EC2 instans Amazon terletak di AWS wilayah yang didukung Amazon EC2 Instance Connect.

    • BranchOnIfAWSRegionDidukung:

      Melanjutkan eksekusi jika AWS Wilayah didukung oleh Amazon EC2 Instance Connect. Jika tidak, itu menciptakan output dan keluar dari otomatisasi.

    • CheckIfInstanceAMIIsDidukung:

      Memeriksa apakah AMI yang terkait dengan instans didukung oleh Amazon EC2 Instance Connect.

    • BranchOnIfInstanceAMIIsDidukung:

      Jika instans AMI didukung, instans akan melakukan pemeriksaan tingkat OS, seperti jangkauan metadata serta instalasi dan konfigurasi paket Amazon Instance EC2 Connect. Jika tidak, ia memeriksa apakah metadata HTTP diaktifkan menggunakan AWS API, lalu melanjutkan ke langkah pemeriksaan jaringan.

    • Periksa IMDSReachabilityFromOs:

      Menjalankan skrip Bash pada instance Amazon EC2 Linux target untuk memeriksa apakah skrip tersebut IMDSv2 dapat mencapai file.

    • Periksa EICPackage Instalasi:

      Menjalankan skrip Bash pada instans Amazon EC2 Linux target untuk memeriksa apakah paket Amazon EC2 Instance Connect diinstal dan dikonfigurasi dengan benar.

    • Periksa SSHConfigFromOs:

      Menjalankan skrip Bash pada instance Amazon EC2 Linux target untuk memeriksa apakah port SSH yang dikonfigurasi cocok dengan parameter input `. SSHPort `

    • CheckMetadataHTTPEndpointIsEnabled:

      Memeriksa apakah layanan metadata instance HTTP endpoint diaktifkan.

    • Periksa EICNetwork Akses:

      Memeriksa apakah konfigurasi jaringan (grup keamanan, ACL jaringan, dan aturan tabel rute) memungkinkan koneksi ke instans melalui Amazon EC2 Instance Connect.

    • Periksa IAMRoleOrUserPermissions:

      Memeriksa apakah peran IAM atau pengguna yang digunakan untuk memanfaatkan Amazon EC2 Instance Connect memiliki akses ke tombol push ke EC2 instans Amazon menggunakan nama pengguna yang disediakan.

    • MakeFinalOutput:

      Mengkonsolidasikan output dari semua langkah sebelumnya.

  7. Setelah selesai, tinjau bagian Output untuk hasil eksekusi yang terperinci:

    Eksekusi di mana instance target memiliki semua prasyarat yang diperlukan:

    EC2 Instance Connect prerequisites check results showing successful validations for various configurations.

    Eksekusi di mana AMI dari instans target tidak didukung:

    Error message indicating EC2 Instance Connect does not support the specified AMI version.

Referensi

Otomatisasi Systems Manager

AWS dokumentasi layanan