Installare SSM Agent su nodi Linux ibridi - AWS Systems Manager
Impostazione della rotazione automatica della chiave privataAnnullamento della registrazione e nuova registrazione di un nodo gestito (Linux)Risoluzione dei problemi SSM Agent di installazione su macchine non Linux EC2

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Installare SSM Agent su nodi Linux ibridi

Questo argomento descrive come installare AWS Systems Manager SSM Agent su macchine Linux non EC2 (Amazon Elastic Compute Cloud) in un ambiente ibrido e multicloud. Per informazioni sull'installazione SSM Agent su EC2 istanze per Linux, consulta. Installazione e disinstallazione manuale SSM Agent su EC2 istanze per Linux

Prima di iniziare, individua il codice e l'ID di attivazione generati durante il processo di attivazione ibrida, come descritto in Crea un'attivazione ibrida per registrare i nodi con Systems Manager. È possibile specificare il codice e l'ID nella procedura seguente.

Per l'installazione SSM Agent su EC2 macchine diverse in un ambiente ibrido e multicloud

  1. Accedi a un server o una macchina virtuale all'interno dell'ambiente ibrido e multicloud.

  2. Se si utilizza un proxy HTTP o HTTPS, è necessario impostare l'http_proxyohttps_proxynella sessione della shell corrente. Se non utilizzi un proxy, questa fase può essere ignorata.

    Per un server proxy HTTP, immettere i comandi seguenti nella riga di comando:

    export http_proxy=http://hostname:port
export https_proxy=http://hostname:port

    Per un server proxy HTTPS, immettere i comandi seguenti nella riga di comando:

    export http_proxy=http://hostname:port
export https_proxy=https://hostname:port

  3. Copia e incolla uno dei seguenti blocchi di comandi in SSH. Sostituisci i valori segnaposto con il Codice di attivazione e l'ID di attivazione generati durante il processo di attivazione ibrida e con l'identificatore del codice da Regione AWS cui desideri effettuare il downloadSSM Agent, quindi premi. Enter

    Importante

    Tieni presenti queste importanti informazioni relative a questo processo:

    • L'utilizzo ssm-setup-cli per non EC2 installazioni massimizza la sicurezza dell'installazione e della configurazione di Systems Manager.

    • sudonon è necessario se sei un utente root.

    • Effettua il download ssm-setup-cli dallo Regione AWS stesso sito in cui è stata creata l'attivazione ibrida.

    • La ssm-setup-cli supporta un'opzione manifest-url che determina l'origine da cui viene scaricato l'agente. Non specificare un valore per questa opzione a meno che non sia richiesto dall'organizzazione.

    • Durante la registrazione delle istanze, utilizza solo il link per il download fornito per la ssm-setup-cli. La ssm-setup-cli non deve essere conservata separatamente per usi futuri.

    • Utilizza lo script fornito qui per convalidare la firma di ssm-setup-cli.

    regionrappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei region valori supportati, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services

    Inoltre, la ssm-setup-cli include le seguenti opzioni:

    • version: i valori validi sono latest e stable.

    • downgrade: consente il downgrade di SSM Agent a una versione precedente. Specifica true per installare una versione precedente dell'agente.

    • skip-signature-validation: ignora la convalida della firma durante il download e l'installazione dell'agente.

mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"
mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

  • Utilizzo dei pacchetti .deb

    mkdir /tmp/ssm
curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/debian_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli
sudo chmod +x /tmp/ssm/ssm-setup-cli
sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region"

  • Utilizzo dei pacchetti Snap

    Non è necessario specificare un URL per il download, perché il comando snap scarica automaticamente l'agente dall'app store Snap all'indirizzo https://snapcraft.io.

    Su Ubuntu Server 20.4, 18.04 e 16.04 LTS, i file del programma di installazione di SSM Agent, compresi i file binari dell'agente e i file di configurazione, vengono archiviati nella seguente directory: /snap/amazon-ssm-agent/current/. Se apporti modifiche ai file di configurazione in questa directory, devi copiare questi file dalla cartella /snap nella cartella /etc/amazon/ssm/. I file di log e della libreria non sono cambiati (/var/lib/amazon/ssm, /var/log/amazon/ssm).

    sudo snap install amazon-ssm-agent --classic
sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service
sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" 
sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service
    Importante

    Lacandidatonell'archivio Snap contiene l'ultima versione diSSM Agent; non il canale stabile. Se desideri tenere traccia delle informazioni sulla versione SSM Agent sul canale candidato, esegui il comando seguente sui nodi gestiti 18.04 e 16.04 LTS a 64 bit di Ubuntu Server.

    sudo snap switch --channel=candidate amazon-ssm-agent

Il comando scarica e installa SSM Agent sulla macchina attivata da sistemi ibridi nell'ambiente ibrido e multicloud. Il comando interrompe SSM Agent e quindi registra la macchina con il servizio Systems Manager. La macchina è ora un nodo gestito. EC2 Le istanze Amazon configurate per Systems Manager sono anche nodi gestiti. Nella console Systems Manager, tuttavia, i nodi attivati in modalità ibrida si distinguono EC2 dalle istanze Amazon con il prefisso «mi-».

Continua su Installazione di SSM Agent su nodi ibridi di Windows Server.

Impostazione della rotazione automatica della chiave privata

Per rafforzare il tuo livello di sicurezza, puoi configurare AWS Systems Manager Agent (SSM Agent) in modo che ruoti automaticamente la chiave privata per il tuo ambiente ibrido e multicloud. È possibile accedere a questa funzione utilizzandoSSM Agent3.0.1031.0 o versioni successive Attivare questa funzione seguendo la procedura seguente per.

Per configurare SSM Agent per ruotare la chiave privata di un ambiente ibrido e multicloud

  1. Accedi a /etc/amazon/ssm/ su una macchina Linux o C:\Program Files\Amazon\SSM per una macchina Windows.

  2. Copiare il contenuto diamazon-ssm-agent.json.templateIn un nuovo file denominatoamazon-ssm-agent.json. Save (Salva)amazon-ssm-agent.jsonnella stessa directory doveamazon-ssm-agent.json.templatesi trova.

  3. Trova Profile, KeyAutoRotateDays. Immettere il numero di giorni desiderato tra le rotazioni automatiche della chiave privata.

  4. Riavviare SSM Agent.

Ogni volta che si modifica la configurazione, riavviareSSM Agent.

È possibile personalizzare altre funzionalità diSSM Agentutilizzando la stessa procedura. Per un up-to-date elenco delle proprietà di configurazione disponibili e dei relativi valori predefiniti, vedere Config Property Definitions.

Annullamento della registrazione e nuova registrazione di un nodo gestito (Linux)

È possibile annullare la registrazione di un nodo gestito ad attivazione ibrida richiamando l'operazione DeregisterManagedInstanceAPI da o Tools for Windows. AWS CLI PowerShell Di seguito è illustrato un esempio di comando CLI:

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Per rimuovere le informazioni di registrazione rimanenti per l'agente, rimuovi la chiave IdentityConsumptionOrder dal file amazon-ssm-agent.json. Quindi, a seconda del tipo di installazione, esegui uno dei seguenti comandi.

Sui nodi Ubuntu Server in cui è stato installato SSM Agent utilizzando i pacchetti Snap:

sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -clear

Su tutte le altre installazioni Linux:

amazon-ssm-agent -register -clear
Nota

Puoi registrare nuovamente un server on-premises, un dispositivo periferico o una macchina virtuale locale utilizzando lo stesso codice di attivazione e lo stesso ID, purché non sia stato raggiunto il limite di istanze per il codice di attivazione e l'ID designati. Puoi verificare il limite di istanza per un codice e un ID di attivazione chiamando l'API describe-activations utilizzando il AWS CLI. Dopo aver eseguito il comando, verifica che il valore di RegistrationCount non sia superiore a RegistrationLimit. Se è maggiore, è necessario utilizzare un codice e un ID di attivazione diversi.

Per registrare nuovamente un nodo gestito su un computer non Linux EC2

  1. Connettiti alla macchina.

  2. Esegui il comando seguente. Assicurati di sostituire i valori segnaposto con il codice e l'ID di attivazione generati quando hai creato un'attivazione del nodo gestito e con l'identificativo della Regione da cui desideri scaricare l'SSM Agent.

    echo "yes" | sudo /tmp/ssm/ssm-setup-cli -register -activation-code "activation-code" -activation-id "activation-id" -region "region

Risoluzione dei problemi SSM Agent di installazione su macchine non Linux EC2

Usa le informazioni seguenti per risolvere i problemi relativi all'installazione di SSM Agent su macchine Linux attivate da sistemi ibridi in un ambiente ibrido e multicloud.

Viene visualizzato un errore DeliveryTimedOut

Problema: durante la configurazione di una macchina in una macchina Account AWS come nodo gestito per un altro nodo Account AWS, si ricevono DeliveryTimedOut dopo aver eseguito i comandi da installare SSM Agent sul computer di destinazione.

Soluzione:DeliveryTimedOutè il codice di risposta previsto per questo scenario. Il comando per installare SSM Agent sul nodo target modifica l'ID del nodo di origine. Poiché l'ID nodo è stato modificato, il nodo di origine non è in grado di comunicare al nodo di destinazione che il comando non è riuscito, completato o scaduto durante l'esecuzione.

Impossibile caricare le associazioni del nodo

Problema: dopo aver eseguito i comandi di installazione, viene visualizzato il seguente errore nellaSSM AgentLog di errore:

Unable to load instance associations, unable to retrieve associations unable to retrieve associations error occurred in RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint doesn't match

Questo errore viene visualizzato quando l'ID macchina non persiste dopo un riavvio.

Soluzione: Per risolvere questo problema, eseguire il comando seguente. Questo comando costringe l'ID macchina a mantenere l'aspetto persistente dopo un riavvio.

umount /etc/machine-id
systemd-machine-id-setup