AWS Systems ManagerChange Managertidak lagi terbuka untuk pelanggan baru. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat perubahan AWS Systems ManagerChange Manager ketersediaan.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pelajari detail teknis tentang SSM Agent
Gunakan informasi dalam topik ini untuk membantu Anda menerapkan AWS Systems Manager Agen (SSM Agent) dan memahami cara kerja agen.
Topik
SSM Agentversi 3.2.xx perilaku kredensi
SSM Agentmenyimpan satu set kredensi sementara di /var/lib/amazon/ssm/credentials (untuk Linux danmacOS) atau %PROGRAMFILES%\Amazon\SSM\credentials (untukWindows Server) ketika sebuah instance di-onboard menggunakan Konfigurasi Manajemen Host Default di. Quick Setup Kredensi sementara memiliki izin yang Anda tentukan untuk peran IAM yang Anda pilih untuk Konfigurasi Manajemen Host Default. Di Linux, hanya akun root yang dapat mengakses kredensil ini. Windows ServerAktif, hanya akun SYSTEM dan Administrator lokal yang dapat mengakses kredensil ini.
SSM Agentkredensialnya diutamakan
Topik ini menjelaskan informasi penting tentang bagaimana izin SSM Agent diberikan untuk melakukan tindakan pada sumber daya Anda.
catatan
Support untuk perangkat edge sedikit berbeda. Anda harus mengonfigurasi perangkat edge Anda untuk menggunakan perangkat lunak AWS IoT Greengrass Core, mengonfigurasi peran layanan AWS Identity and Access Management (IAM), dan menyebarkan SSM Agent ke perangkat Anda dengan menggunakan. AWS IoT Greengrass Untuk informasi selengkapnya, lihat Mengelola perangkat edge dengan Systems Manager.
Ketika SSM Agent diinstal pada mesin, itu memerlukan izin untuk berkomunikasi dengan layanan Systems Manager. Pada instans Amazon Elastic Compute Cloud (Amazon EC2), izin ini disediakan dalam profil instans yang dilampirkan ke instance. Pada EC2 non-mesin, SSM Agent biasanya mendapatkan izin yang diperlukan dari file kredensi bersama, yang terletak di /root/.aws/credentials (Linux danmacOS) atau %USERPROFILE%\.aws\credentials (). Windows Server Izin yang diperlukan ditambahkan ke file ini selama proses aktivasi hybrid. Jika node yang diaktifkan hibrida dideregistrasi, agen dapat memasuki mode hibernasi. Untuk informasi selengkapnya, lihat Memahami SSM Agent hibernasi.
Namun, dalam kasus yang jarang terjadi, mesin mungkin berakhir dengan izin yang ditambahkan ke lebih dari satu lokasi tempat SSM Agent memeriksa izin untuk menjalankan tugasnya.
Misalnya, Anda telah mengonfigurasi EC2 instance yang akan dikelola oleh Systems Manager. Konfigurasi itu termasuk melampirkan profil instance. Tetapi kemudian Anda memutuskan untuk juga menggunakan instance itu untuk tugas pengembang atau pengguna akhir dan menginstal AWS Command Line Interface (AWS CLI) di atasnya. Instalasi ini menghasilkan izin tambahan yang ditambahkan ke file kredensial pada instans.
Ketika Anda menjalankan perintah Systems Manager pada instance, SSM Agent mungkin mencoba menggunakan kredensial yang berbeda dari yang Anda harapkan untuk digunakan, seperti dari file kredensial alih-alih profil instance. Ini karena SSM Agent mencari kredensil dalam urutan yang ditentukan untuk rantai penyedia kredensi default.
catatan
Di Linux danmacOS, SSM Agent berjalan sebagai pengguna root. Oleh karena itu, variabel lingkungan dan file kredensial yang SSM Agent dicari dalam proses ini adalah milik pengguna root only ()/root/.aws/credentials. SSM Agenttidak melihat variabel lingkungan atau file kredensional dari pengguna lain pada instance selama pencarian kredensil.
Rantai penyedia default mencari kredensial dalam urutan sebagai berikut:
-
Variabel lingkungan, jika dikonfigurasi (
AWS_ACCESS_KEY_IDdanAWS_SECRET_ACCESS_KEY). -
file kredensial bersama (
$HOME/.aws/credentialsuntuk Linux dan macOS atau%USERPROFILE%\.aws\credentialsuntuk Windows Server) dengan izin yang disediakan oleh, misalnya, aktivasi hibrid atau instalasi AWS CLI . -
Peran AWS Identity and Access Management (IAM) untuk tugas jika ada aplikasi yang menggunakan definisi tugas Amazon Elastic Container Service (Amazon ECS) atau operasi API. RunTask
-
Profil instance yang dilampirkan ke EC2 instans Amazon.
-
Peran IAM dipilih untuk Konfigurasi Manajemen Host Default.
Untuk informasi terkait, lihat topik berikut:
-
Profil instans untuk EC2 instance — Konfigurasikan izin instans yang diperlukan untuk Systems Manager
-
Aktivasi hibrida — Buat aktivasi hibrida untuk mendaftarkan node dengan Systems Manager
-
AWS CLI credentials — Konfigurasi dan pengaturan file kredensi di Panduan Pengguna AWS Command Line Interface
-
Rantai penyedia kredensial default – Menentukan Kredensial di Panduan Developer AWS SDK untuk Go
catatan
Topik ini dalam Panduan AWS SDK untuk Go Pengembang menjelaskan rantai penyedia default dalam hal SDK for Go; namun, prinsip yang sama berlaku untuk mengevaluasi kredensialnya. SSM Agent
Konfigurasi SSM Agent untuk digunakan dengan Federal Information Processing Standard (FIPS)
Jika Anda perlu menggunakan Systems Manager dengan Federal Information Processing Standard (FIPS) 140-3 modul kriptografi tervalidasi, Anda dapat mengonfigurasi AWS Systems Manager Agent (SSM Agent) untuk menggunakan endpoint FIPS di Wilayah yang didukung.
Untuk mengkonfigurasi SSM Agent untuk terhubung ke titik akhir FIPS 140-3
-
Connect ke node terkelola Anda.
-
Arahkan ke direktori yang berisi
amazon-ssm-agent.jsonfile:-
Linux:
/etc/amazon/ssm/ -
macOS:
/opt/aws/ssm/ -
Windows Server:
C:\Program Files\Amazon\SSM\
-
-
Buka file bernama
amazon-ssm-agent.jsonuntuk mengedit.Tip
Jika belum ada
amazon-ssm-agent.jsonfile, salin isiamazon-ssm-agent.json.templateke file baru bernamaamazon-ssm-agent.json. Simpanamazon-ssm-agent.jsondi direktori yang sama dimana dengan lokasiamazon-ssm-agent.json.template. -
Tambahkan konten berikut ke file. Ganti nilai
regionplaceholder dengan kode Region yang sesuai untuk partisi Anda:{ ---Existing file content, if any--- "Mds": { "Endpoint": "ec2messages-fips.region.amazonaws.com", }, "Ssm": { "Endpoint": "ssm-fips.region.amazonaws.com", }, "Mgs": { "Endpoint": "ssmmessages-fips.region.amazonaws.com", "Region": "region" }, "S3": { "Endpoint": "s3-fips.dualstack.region.amazonaws.com", "Region":region" }, "Kms": { "Endpoint": "kms-fips.region.amazonaws.com" } }Wilayah yang Didukung meliputi:
-
us-east-1untuk Wilayah AS Timur (Virginia N.) -
us-east-2untuk Wilayah Timur AS (Ohio) -
us-west-1untuk Wilayah AS Barat (California Utara) -
us-west-2untuk Wilayah Barat AS (Oregon) -
ca-west-1untuk Wilayah Kanada Barat (Calgary)
-
-
Simpan file dan restartSSM Agent.
Setiap kali Anda mengubah konfigurasi, restartSSM Agent.
Anda dapat menyesuaikan fitur lain SSM Agent menggunakan prosedur yang sama. Untuk up-to-date daftar properti konfigurasi yang tersedia dan nilai defaultnya, lihat Config Property Definitionsamazon-ssm-agent repositori di. GitHub
Untuk informasi selengkapnya tentang AWS dukungan untuk FIPS, lihat Federal Information Processing Standard (FIPS)
Tentang akun ssm-user lokal
Dimulai dengan versi 2.3.50.0 dariSSM Agent, agen membuat akun pengguna lokal yang disebut ssm-user dan menambahkannya ke /etc/sudoers.d direktori (Linux danmacOS) atau ke grup Administrator (). Windows Server Pada versi agen sebelum 2.3.612.0, akun dibuat pertama kali SSM Agent dimulai atau dimulai ulang setelah instalasi. Pada versi 2.3.612.0 dan yang lebih baru, akun ssm-user dibuat saat pertama kali sesi dimulai pada sebuah instans. Ini ssm-user adalah pengguna OS default ketika sesi dimulaiSession Manager, alat di AWS Systems Manager. Anda dapat mengubah izin dengan memindahkan ssm-user ke grup yang kurang istimewa atau dengan mengubah file sudoers. ssm-userAkun tidak dihapus dari sistem saat SSM Agent dihapus.
Windows ServerAktif, SSM Agent menangani pengaturan kata sandi baru untuk ssm-user akun saat setiap sesi dimulai. Tidak ada kata sandi yang ditetapkan untuk ssm-user pada instans yang dikelola Linux.
Dimulai dengan SSM Agent versi 2.3.612.0, ssm-user akun tidak dibuat secara otomatis pada Windows Server mesin yang digunakan sebagai pengontrol domain. Untuk digunakan Session Manager pada pengontrol Windows Server domain, buat ssm-user akun secara manual jika belum ada, dan tetapkan izin Administrator Domain kepada pengguna.
penting
Agar ssm-user akun dapat dibuat, profil instance yang dilampirkan pada instance harus memberikan izin yang diperlukan. Untuk selengkapnya, lihat Langkah 2: Verifikasi atau tambahkan izin instans untuk Session Manager.
SSM Agentdan Instance Metadata ServiceIMDS
Systems Manager mengandalkan metadata EC2 instance agar berfungsi dengan benar. Systems Manager dapat mengakses metadata instans menggunakan versi 1 atau versi 2 dari Instance Metadata Service (IMDSv1 dan IMDSv2). Instans Anda harus dapat mengakses IPv4 alamat layanan metadata instans: 169.254.169.254. Untuk informasi selengkapnya, lihat Metadata instans dan data pengguna di EC2 Panduan Pengguna Amazon.
Menjaga SSM Agent up-to-date
Versi terbaru dirilis setiap kali alat baru ditambahkan ke Systems Manager atau pembaruan dibuat ke alat yang ada. SSM Agent Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai alat dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses menjaga agar tetap SSM Agent up to date pada mesin Anda. Untuk informasi, lihat Mengotomatiskan pembaruan ke SSM Agent. Berlangganan halaman Catatan SSM Agent Rilis
catatan
Versi terbaru dirilis setiap kali alat baru ditambahkan ke Systems Manager atau pembaruan dibuat ke alat yang ada. SSM Agent Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai alat dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses menjaga agar tetap SSM Agent up to date pada mesin Anda. Untuk informasi, lihat Mengotomatiskan pembaruan ke SSM Agent. Berlangganan halaman Catatan SSM Agent Rilis
Amazon Machine Images(AMIs) yang menyertakan secara SSM Agent default dapat memakan waktu hingga dua minggu untuk diperbarui dengan versi terbaruSSM Agent. Kami menyarankan Anda mengonfigurasi pembaruan otomatis yang lebih sering keSSM Agent.
Memastikan bahwa direktori SSM Agent instalasi tidak diubah, dipindahkan, atau dihapus
SSM Agentdiinstal di /var/lib/amazon/ssm/ (Linux danmacOS) dan %PROGRAMFILES%\Amazon\SSM\ (Windows Server). Direktori instalasi ini berisi file dan folder penting yang digunakan olehSSM Agent, seperti file kredensial, sumber daya untuk komunikasi antar-proses (IPC), dan folder orkestrasi. Tidak ada dalam direktori instalasi yang harus dimodifikasi, dipindahkan, atau dihapus. Jika tidak, SSM Agent mungkin berhenti berfungsi dengan baik.
SSM Agentpembaruan bergulir oleh Wilayah AWS
Setelah SSM Agent pembaruan tersedia di GitHub repositori, dapat memakan waktu hingga dua minggu hingga versi yang diperbarui diluncurkan ke semua Wilayah AWS pada waktu yang berbeda. Untuk alasan ini, Anda mungkin menerima kesalahan “Tidak didukung pada platform saat ini” atau “memperbarui amazon-ssm-agent ke versi yang lebih lama, aktifkan izinkan penurunan versi untuk melanjutkan” saat mencoba menerapkan versi baru SSM Agent di Wilayah.
Untuk menentukan versi yang SSM Agent tersedia untuk Anda, Anda dapat menjalankan curl perintah.
Untuk melihat versi agen yang tersedia di bucket unduhan global, jalankan perintah berikut.
curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/VERSION
Untuk melihat versi agen yang tersedia di Wilayah tertentu, jalankan perintah berikut, ganti region dengan Wilayah tempat Anda bekerja, seperti us-east-2 untuk Wilayah Timur AS (Ohio).
curl https://s3.region.amazonaws.com/amazon-ssm-region/latest/VERSION
Anda juga dapat membuka file VERSION secara langsung di peramban Anda tanpa perintah curl.
SSM Agentkomunikasi dengan bucket S3 AWS terkelola
Dalam menjalankan berbagai operasi Systems Manager, AWS Systems Manager Agent (SSM Agent) mengakses sejumlah bucket Amazon Simple Storage Service (Amazon S3). Bucket S3 ini dapat diakses publik, dan secara default, SSM Agent terhubung ke mereka menggunakan panggilan. HTTP
Namun, jika Anda menggunakan titik akhir virtual private cloud (VPC) dalam operasi Systems Manager, Anda harus memberikan izin eksplisit di profil instans Amazon Elastic Compute Cloud ( EC2Amazon) untuk Systems Manager, atau dalam peran layanan untuk EC2 non-mesin di lingkungan hybrid dan multicloud. Jika tidak, sumber daya Anda tidak dapat mengakses bucket publik ini.
Untuk memberikan akses node terkelola ke bucket ini saat Anda menggunakan titik akhir VPC, Anda membuat kebijakan izin Amazon S3 khusus, lalu melampirkannya ke profil instans (untuk instance) atau peran layanan Anda ( EC2 untuk node yang tidak dikelola). EC2
Untuk informasi tentang penggunaan titik akhir virtual private cloud (VPC) dalam operasi Systems Manager Anda, lihat Meningkatkan keamanan EC2 instans dengan menggunakan titik akhir VPC untuk Systems Manager.
catatan
Izin ini hanya menyediakan akses ke bucket AWS terkelola yang diperlukan oleh. SSM Agent Mereka tidak memberikan izin yang diperlukan untuk operasi Amazon S3 lainnya. Mereka juga tidak memberikan izin untuk bucket S3 Anda sendiri.
Untuk informasi selengkapnya, lihat topik berikut:
Daftar Isi
Izin bucket yang diperlukan
Tabel berikut menjelaskan setiap bucket S3 yang SSM Agent mungkin perlu diakses untuk operasi Systems Manager.
catatan
regionmewakili pengenal untuk yang Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah AS Timur (Ohio). Untuk daftar region nilai yang didukung, lihat kolom Region di titik akhir layanan Systems Manager di Referensi Umum Amazon Web Services.
Izin Amazon S3 diperlukan oleh SSM Agent
| Bucket S3 ARN | Deskripsi |
|---|---|
|
|
Diperlukan untuk beberapa dokumen SSM yang hanya mendukung sistem Windows Server operasi, ditambah beberapa untuk dukungan lintas platform, seperti. |
|
|
Diperlukan untuk memperbarui SSM Agent instalasi. Ember ini berisi paket SSM Agent instalasi, dan manifes instalasi yang direferensikan oleh AWS-UpdateSSMAgent dokumen dan plugin. Jika izin ini tidak diberikan, maka akan SSM Agent membuat panggilan HTTP untuk mengunduh pembaruan. |
arn:aws:s3:::aws-ssm- |
Menyediakan akses ke bucket S3 yang berisi modul yang diperlukan untuk digunakan dengan dokumen Systems Manager (SSM Command documents), termasuk operasi non-patching dan patching. Sebagai contoh: arn:aws:s3:::aws-ssm-us-east-2/*.
Berikut ini adalah beberapa dokumen SSM yang umum digunakan yang menggunakan modul dari bucket ini.
|
|
-atau-
|
Menyediakan akses ke bucket S3 yang berisi snapshot dasar patch. Ini diperlukan jika Anda menggunakan salah satu dokumen SSM Command berikut:
Ember untuk yang paling didukung Wilayah AWS menggunakan format berikut:
Untuk beberapa Wilayah, akhiran unik tambahan disertakan dalam nama bucket. Misalnya, nama ember untuk Wilayah Timur Tengah (Bahrain) (me-south-1) adalah sebagai berikut:
Untuk daftar lengkap nama bucket snapshot baseline patch, lihat. Bucket yang berisi snapshot AWS baseline patch terkelola catatanJika Anda menggunakan firewall lokal dan berencana untuk menggunakannyaPatch Manager, firewall tersebut juga harus mengizinkan akses ke titik akhir dasar patch yang sesuai. |
|
Untuk Linux dan node Windows Server terkelola: Untuk EC2 instans Amazon untukmacOS: |
Menyediakan akses ke bucket S3 yang berisi modul yang digunakan oleh dokumen SSM Command untuk menambal operasi di. Patch Manager Setiap nama bucket menyertakan akhiran unik, seperti
Dokumen SSMBerikut ini adalah beberapa dokumen SSM yang umum digunakan yang menggunakan modul dari bucket ini.
Untuk daftar lengkap bucket S3 AWS terkelola untuk operasi patching, lihat topik berikut: |
Contoh
Contoh berikut menggambarkan cara menyediakan akses ke bucket S3 yang diperlukan untuk operasi Systems Manager di Wilayah US East (Ohio) Region (us-east-2). Dalam kebanyakan kasus, Anda perlu memberikan izin ini secara eksplisit dalam profil instans atau peran layanan hanya saat menggunakan titik akhir VPC.
penting
Kami menyarankan Anda untuk menghindari menggunakan karakter wildcard (*) di tempat Wilayah tertentu dalam kebijakan ini. Misalnya, gunakan arn:aws:s3:::aws-ssm-us-east-2/* dan jangan gunakan arn:aws:s3:::aws-ssm-*/*. Menggunakan wildcard dapat menyediakan akses ke bucket S3 yang tidak ingin Anda berikan akses. Jika Anda ingin menggunakan profil instans untuk lebih dari satu Wilayah, kami sarankan Anda mengulangi blok Statement pertama untuk setiap Wilayah.
Memvalidasi mesin yang diaktifkan hibrida menggunakan sidik jari perangkat keras
Ketika EC2 non-mesin di lingkungan hybrid dan multicloud, SSM Agent mengumpulkan sejumlah atribut sistem (disebut sebagai hash perangkat keras) dan menggunakan atribut ini untuk menghitung sidik jari. Sidik jari adalah string buram yang dilewatkan agen ke Systems Manager APIs tertentu. Sidik jari unik ini mengaitkan penelepon dengan node terkelola yang diaktifkan hibrida tertentu. Agen menyimpan sidik jari dan hash perangkat keras pada disk lokal di lokasi yang disebut Vault.
Agen menghitung hash perangkat keras dan sidik jari saat mesin terdaftar untuk digunakan dengan Systems Manager. Kemudian, sidik jari diteruskan kembali ke layanan Systems Manager ketika agen mengirimkan perintah RegisterManagedInstance.
Kemudian, ketika mengirim perintah RequestManagedInstanceRoleToken, agen memeriksa sidik jari dan hash perangkat keras di Vault untuk memastikan bahwa atribut mesin saat ini cocok dengan hash perangkat keras yang disimpan. Jika atribut mesin saat ini cocok dengan hash perangkat keras yang disimpan di Vault, agen akan meneruskan sidik jari dari Vault ke RegisterManagedInstance, menghasilkan panggilan yang sukses.
Jika atribut mesin saat ini tidak cocok dengan hash perangkat keras yang disimpan, SSM Agent menghitung sidik jari baru, menyimpan hash perangkat keras dan sidik jari baru di Vault, dan meneruskan sidik jari baru ke. RequestManagedInstanceRoleToken Ini menyebabkan RequestManagedInstanceRoleToken gagal, dan agen tidak akan dapat memperoleh token peran untuk menghubungkan ke layanan Systems Manager.
Kegagalan ini dirancang dan digunakan sebagai langkah verifikasi untuk mencegah beberapa node terkelola berkomunikasi dengan layanan Systems Manager sebagai node terkelola yang sama.
Ketika membandingkan atribut mesin saat ini untuk hash perangkat keras yang disimpan di Vault, agen menggunakan logika berikut untuk menentukan apakah hash lama dan yang baru cocok:
-
Jika SID (ID sistem/mesin) berbeda, maka tidak ada yang cocok.
-
Jika tidak, jika alamat IP sama, maka cocokkan.
-
Jika tidak, persentase atribut mesin yang cocok dihitung dan dibandingkan dengan batas kesamaan yang dikonfigurasi pengguna untuk menentukan apakah ada kecocokan.
Batas kesamaan disimpan di Vault, sebagai bagian dari hash perangkat keras.
Batas kesamaan dapat diatur setelah instans terdaftar menggunakan perintah seperti berikut.
Pada mesin Linux:
sudo amazon-ssm-agent -fingerprint -similarityThreshold 1
Pada Windows Server mesin yang menggunakan PowerShell:
cd "C:\Program Files\Amazon\SSM\" ` .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
penting
Jika salah satu komponen yang digunakan untuk menghitung sidik jari berubah, ini bisa menyebabkan agen hibernasi. Untuk membantu terhindar dari hibernasi ini, tetapkan batas kesamaan kepada nilai yang rendah, seperti 1. Untuk informasi lebih lanjut tentang hibernasi, lihat. Memahami SSM Agent hibernasi
SSM Agent pada GitHub
Kode sumber SSM Agent tersedia GitHub
Memahami SSM Agent hibernasi
AWS Systems Manager Hibernasi Agen (SSM Agent) adalah mode operasional yang terjadi ketika agen tidak dapat mempertahankan komunikasi yang tepat dengan layanan Systems Manager. Selama hibernasi, agen mengurangi frekuensi komunikasinya dan memasuki keadaan siaga.
Ketika SSM Agent hibernasi terjadi
SSM Agenthibernasi dapat terjadi dalam skenario berikut:
- Node hibrida yang dideregistrasi
-
Saat Anda membatalkan pendaftaran node yang diaktifkan hibrida dari Systems Manager, SSM Agent pada node tersebut tidak dapat me-refresh token otorisasi. Hal ini menyebabkan agen masuk ke mode hibernasi karena tidak dapat mengautentikasi dengan layanan.
- Perubahan sidik jari perangkat keras
-
SSM Agentmenggunakan sidik jari perangkat keras untuk memvalidasi mesin yang diaktifkan hibrida. Jika salah satu komponen yang digunakan untuk menghitung sidik jari ini berubah secara signifikan, agen mungkin hibernasi sebagai tindakan pengamanan. Ini dirancang untuk mencegah beberapa node terkelola berkomunikasi dengan Systems Manager sebagai node yang sama. Untuk informasi selengkapnya, lihat Memvalidasi mesin yang diaktifkan hibrida menggunakan sidik jari perangkat keras.
- SSM Agenthibernasi pada instans Amazon EC2
-
Hibernasi juga dapat terjadi pada EC2 instans Amazon dalam kondisi tertentu, seperti ketika ada masalah konektivitas atau masalah otentikasi dengan layanan Systems Manager.
Perilaku komunikasi hibernasi
Saat SSM Agent memasuki mode hibernasi, pola komunikasinya dengan layanan Systems Manager berubah:
-
Operasi normal: Agen secara teratur berkomunikasi dengan Systems Manager (biasanya setiap beberapa menit) untuk memeriksa perintah baru dan status laporan.
-
Mode hibernasi: Frekuensi ping dimulai pada 5 menit dan secara bertahap meningkat menjadi sekali per jam secara default (dapat dikonfigurasi hingga 24 jam). Frekuensi komunikasi yang berkurang ini membantu meminimalkan lalu lintas jaringan yang tidak perlu sambil tetap memungkinkan agen berpotensi pulih jika kondisi berubah.
Selama hibernasi, agen terus mencoba lagi otentikasi dan upaya koneksi pada frekuensi yang dikurangi, tetapi tidak dapat memproses perintah baru atau melaporkan informasi status terperinci sampai hibernasi diselesaikan.
Opsi konfigurasi untuk mencegah hibernasi dalam instance hybrid
Opsi konfigurasi utama untuk membantu mencegah hibernasi yang disebabkan oleh perubahan sidik jari perangkat keras adalah menyesuaikan ambang kesamaan:
Pada mesin Linux:
sudo amazon-ssm-agent -fingerprint -similarityThreshold 1
Pada mesin Windows Server menggunakan PowerShell:
cd "C:\Program Files\Amazon\SSM\" ` .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
Ambang kesamaan menentukan seberapa ketat agen membandingkan atribut mesin saat ini dengan hash perangkat keras yang disimpan:
-
Nilai yang lebih tinggi membutuhkan lebih banyak atribut yang cocok
-
Nilai yang lebih rendah (seperti
1) lebih lunak dan dapat membantu menghindari hibernasi yang disebabkan oleh perubahan perangkat keras kecil
Pencatatan dan pemantauan hibernasi
Saat SSM Agent memasuki mode hibernasi, itu membuat entri log yang dapat membantu Anda mengidentifikasi dan memecahkan masalah status hibernasi:
-
File log agen: Peristiwa hibernasi dicatat dalam file SSM Agent log standar. Untuk informasi selengkapnya tentang lokasi file log, lihatMemecahkan masalah menggunakan file log SSM Agent.
-
Pencatatan EC2 konsol Amazon: Untuk EC2 contoh, pesan hibernasi sekarang dicatat ke log sistem EC2 konsol Amazon, memberikan visibilitas tambahan ke status agen. Untuk mengakses log, pilih instance di EC2 konsol, lalu pilih Actions, Monitor dan troubleshoot, Dapatkan log sistem.
-
File log tertentu: Ketika hibernasi dimulai, file log tertentu dibuat yang berisi informasi rinci tentang pemicu dan status hibernasi.
Pantau sumber log ini untuk mendeteksi peristiwa hibernasi lebih awal dan mengambil tindakan korektif untuk memulihkan operasi agen normal.
Memulihkan dari hibernasi
Untuk pulih dari hibernasi, atasi penyebab yang mendasarinya:
-
Untuk node hybrid deregistered: Daftarkan ulang node dengan Systems Manager menggunakan kode aktivasi dan ID baru, seperti yang dijelaskan dalam dan. Deregister dan registrasi ulang node terkelola (Linux) Deregister dan registrasi ulang node terkelola () Windows Server
-
Untuk masalah sidik jari perangkat keras: Sesuaikan ambang kesamaan seperti yang dijelaskan di atas di bawah Opsi konfigurasi untuk mencegah hibernasi dalam instance hybrid, atau daftarkan ulang node jika perubahan perangkat keras signifikan.
-
Untuk masalah konektivitas: Verifikasi konektivitas jaringan dan pastikan titik akhir yang diperlukan dapat diakses. Untuk informasi selengkapnya, lihat Memecahkan masalah ketersediaan node terkelola menggunakan ssm-cli.
Setelah Anda menyelesaikan masalah mendasar, agen harus secara otomatis keluar dari mode hibernasi dan melanjutkan operasi normal pada upaya komunikasi berikutnya.
