AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Scopri i dettagli tecnici sull'SSM Agent
Utilizza le informazioni contenute in questo argomento per aiutarti a implementare AWS Systems Manager Agent (SSM Agent) e a capire come funziona l'agente.
Argomenti
Comportamento delle credenziali di SSM Agent versione 3.2.x.x
SSM Agent memorizza un set di credenziali temporanee in /var/lib/amazon/ssm/credentials (per Linux e macOS) o %PROGRAMFILES%\Amazon\SSM\credentials (per Windows Server) quando si esegue l'onboarding di un'istanza utilizzando la funzionalità Configurazione di gestione host predefinita in Quick Setup. Le credenziali temporanee dispongono delle autorizzazioni specificate per il ruolo IAM scelto per la funzionalità Configurazione gestione host predefinita. Su Linux, solo l'account root può accedere a queste credenziali. Su Windows Server, solo l'account SYSTEM e gli amministratori locali possono accedere a queste credenziali.
Precedenza credenziali SSM Agent
In questa sezione sono riportate informazioni importanti su come SSM Agent ha l'autorizzazione per eseguire operazioni sulle risorse dell'utente.
Nota
Il supporto per i dispositivi edge è leggermente diverso. È necessario configurare i dispositivi edge per utilizzare il software AWS IoT Greengrass Core, configurare un ruolo di servizio AWS Identity and Access Management (IAM) e SSM Agent distribuirli sui dispositivi utilizzando AWS IoT Greengrass. Per ulteriori informazioni, consulta Gestione dei dispositivi edge con Systems Manager.
Quando l'SSM Agent è installato su una macchina, richiede le autorizzazioni per comunicare con il servizio Systems Manager. Nelle istanze Amazon Elastic Compute Cloud (Amazon EC2), queste autorizzazioni vengono fornite in un profilo di istanza collegato all'istanza. Su una EC2 macchina diversa, SSM Agent normalmente ottiene le autorizzazioni necessarie dal file di credenziali condiviso, che si trova in /root/.aws/credentials (Linux andmacOS) o (). %USERPROFILE%\.aws\credentials Windows Server Le autorizzazioni necessarie vengono aggiunte a questo file durante il processo di attivazione ibrida. Se viene annullata la registrazione di un nodo attivato in modalità ibrida, l'agente può entrare in modalità di ibernazione. Per ulteriori informazioni, consulta Comprendere l'ibernazione SSM Agent.
In rari casi, tuttavia, una macchina potrebbe ritrovarsi autorizzazioni aggiunte a più di una delle posizioni in cui SSM Agent controlla le autorizzazioni per eseguire le sue attività.
Ad esempio, supponiamo di aver configurato un' EC2 istanza per essere gestita da Systems Manager. Questa configurazione include il collegamento di un profilo dell'istanza. Tuttavia, si può decidere di utilizzare tale istanza anche per le attività di sviluppatore o utente finale e di installarvi il AWS Command Line Interface (AWS CLI). Questa installazione comporta l'aggiunta di ulteriori autorizzazioni a un file di credenziali nell'istanza.
Quando si esegue un comando di Systems Manager sull'istanza, SSM Agent potrebbe provare a utilizzare credenziali diverse da quelle previste, ad esempio da un file di credenziali anziché da un profilo dell'istanza. Questo perché SSM Agent cerca le credenziali nell'ordine prescritto per la catena di provider di credenziali predefinita.
Nota
Su Linux e macOS, SSM Agent funziona come utente root. Di conseguenza, le variabili di ambiente e i file delle credenziali che SSM Agent cerca in questo processo sono solo quelli dell'utente root (/root/.aws/credentials). Durante la ricerca delle credenziali, SSM Agent non esamina le variabili di ambiente o il file delle credenziali di altri utenti sull'istanza.
La catena di provider predefinita cerca le credenziali nel seguente ordine:
-
Variabili di ambiente, se configurate (
AWS_ACCESS_KEY_IDeAWS_SECRET_ACCESS_KEY). -
File delle credenziali condiviso (
$HOME/.aws/credentialsper Linux e macOS o%USERPROFILE%\.aws\credentialsper Windows Server) con autorizzazioni fornite, ad esempio, da un'attivazione ibrida o da un'installazione di AWS CLI . -
Un ruolo AWS Identity and Access Management (IAM) per le attività se è presente un'applicazione che utilizza una definizione RunTask di attività o un'operazione API di Amazon Elastic Container Service (Amazon ECS).
-
Un profilo di istanza collegato a un' EC2 istanza Amazon.
-
Il ruolo IAM scelto per la funzionalità Configurazione di gestione host predefinita.
Per le relative informazioni, consultare i seguenti argomenti:
-
Profili di istanza per EC2 le istanze: configura le autorizzazioni di istanza richieste per Systems Manager
-
Attivazioni ibride: crea un'attivazione ibrida per registrare i nodi con Systems Manager
-
AWS CLI credenziali: impostazioni dei file di configurazione e credenziali nella Guida per l'utente AWS Command Line Interface
-
Catena di provider di credenziali predefinita: Specificare le credenziali nella Guida per gli sviluppatori di AWS SDK per Go
Nota
Questo argomento nella Guida per gli sviluppatori di AWS SDK per Go descrive la catena di provider predefinita dal punto di vista di SDK for Go; tuttavia, gli stessi principi si applicano alla valutazione delle credenziali per SSM Agent.
Configurazione SSM Agent per l'utilizzo con FIPS (Federal Information Processing Standard)
Se è necessario utilizzare Systems Manager con moduli crittografici convalidati FIPS (Federal Information Processing Standard) 140-3, è possibile configurare AWS Systems Manager Agent (SSM Agent) per utilizzare gli endpoint FIPS nelle regioni supportate.
Per connettere SSM Agent agli endpoint FIPS 140-3
-
Connessione al nodo gestito.
-
Passa alla directory che contiene il file
amazon-ssm-agent.json:-
Linux:
/etc/amazon/ssm/ -
macOS:
/opt/aws/ssm/ -
Windows Server:
C:\Program Files\Amazon\SSM\
-
-
Aprire il file denominato
amazon-ssm-agent.jsonper la modifica.Suggerimento
Se non esiste ancora alcun file
amazon-ssm-agent.json, copia il contenuto diamazon-ssm-agent.json.templatein un nuovo file denominatoamazon-ssm-agent.json. Save (Salva)amazon-ssm-agent.jsonnella stessa directory doveamazon-ssm-agent.json.templatesi trova. -
Aggiungi i seguenti contenuti al file. Sostituite i valori
regionsegnaposto con il codice regionale appropriato per la partizione:{ ---Existing file content, if any--- "Mds": { "Endpoint": "ec2messages-fips.region.amazonaws.com", }, "Ssm": { "Endpoint": "ssm-fips.region.amazonaws.com", }, "Mgs": { "Endpoint": "ssmmessages-fips.region.amazonaws.com", "Region": "region" }, "S3": { "Endpoint": "s3-fips.dualstack.region.amazonaws.com", "Region":region" }, "Kms": { "Endpoint": "kms-fips.region.amazonaws.com" } }Le regioni supportate includono quanto segue:
-
us-east-1per la regione Stati Uniti orientali (Virginia settentrionale) -
us-east-2per la regione Stati Uniti orientali (Ohio) -
us-west-1per la regione Stati Uniti occidentali (California settentrionale) -
us-west-2per la regione Stati Uniti occidentali (Oregon) -
ca-west-1per la regione Canada occidentale (Calgary)
-
-
Salvare il file e riavviare l'SSM Agent.
Ogni volta che si modifica la configurazione, riavviare SSM Agent.
È possibile personalizzare altre funzionalità diSSM Agentutilizzando la stessa procedura. Per un up-to-date elenco delle proprietà di configurazione disponibili e dei relativi valori predefiniti, vedere Config Property Definitionsamazon-ssm-agent repository in. GitHub
Per ulteriori informazioni sul AWS supporto per FIPS, vedere Federal Information Processing Standard (FIPS
Informazioni sull'account ssm-user locale
A partire dalla versione 2.3.50.0 di SSM Agent, l'agente crea un account utente locale denominato ssm-user e lo aggiunge alla directory di /etc/sudoers.d (Linux e macOS) o al gruppo Administrators (Windows Server). Nelle versioni dell'agente precedenti alla 2.3.612.0, l'account viene creato la prima volta che SSM Agent viene avviato o riavviato dopo l'installazione. Nella versione 2.3.612.0 e successive, l'account ssm-user viene creato la prima volta che una sessione viene avviata su un'istanza. Questo ssm-user è l'utente del sistema operativo predefinito quando viene avviata una sessione in Session Manager, uno strumento di AWS Systems Manager. È possibile modificare le autorizzazioni spostando ssm-user in un gruppo con meno privilegi o cambiando il file sudoers. Quando si disinstalla SSM Agent, l'account ssm-user non viene rimosso dal sistema.
In Windows Server, SSM Agent gestisce l'impostazione di una nuova password per l'account ssm-user all'avvio di ogni sessione. Nessuna password viene impostata per ssm-user su istanze gestite Linux.
A partire dalla versione di SSM Agent 2.3.612.0, l'account ssm-user non viene creato automaticamente sui computer Windows Server utilizzati come controller di dominio. Per utilizzare Session Manager su un controller di dominio Windows Server, creare l'account ssm-user manualmente, se non è già presente, e assegnare le autorizzazioni di amministratore di dominio all'utente.
Importante
Per poter creare l'account ssm-user, il profilo dell'istanza collegato all'istanza deve fornire le autorizzazioni necessarie. Per informazioni, consulta Fase 2: Verifica o aggiungi le autorizzazioni dell'istanza per Session Manager.
SSM Agent e Instance Metadata Service (IMDS)
Systems Manager si affida ai metadati delle EC2 istanze per funzionare correttamente. Systems Manager può accedere ai metadati dell'istanza utilizzando la versione 1 o la versione 2 di Instance Metadata Service (IMDSv1 e IMDSv2). L'istanza deve essere in grado di accedere all' IPv4 indirizzo del servizio di metadati dell'istanza: 169.254.169.254. Per ulteriori informazioni, consulta Metadati dell'istanza e dati utente nella Amazon EC2 User Guide.
Mantenere SSM Agent up-to-date
Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunti nuovi strumenti a Systems Manager o eseguiti aggiornamenti degli strumenti esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare vari strumenti e funzionalità di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consulta Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina Note di rilascio di SSM Agent
Nota
Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunti nuovi strumenti a Systems Manager o eseguiti aggiornamenti degli strumenti esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare vari strumenti e funzionalità di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consulta Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina Note di rilascio di SSM Agent
Le Amazon Machine Images (AMIs) che includono SSM Agent per impostazione predefinita possono impiegare fino a due settimane per essere aggiornate con la versione più recente di SSM Agent. Consigliamo di configurare aggiornamenti automatici di SSM Agent ancora più frequenti.
Verifica che la directory di installazione SSM Agent non venga modificata, spostata o eliminata
SSM Agent sia installato in /var/lib/amazon/ssm/ (Linux e macOS) e %PROGRAMFILES%\Amazon\SSM\ (Windows Server). Queste directory di installazione contengono file e cartelle critici utilizzati da SSM Agent, ad esempio un file di credenziali, risorse per la comunicazione tra processi (IPC) e cartelle di orchestrazione. Nulla all'interno della directory di installazione deve essere modificato, spostato o eliminato. In caso contrario, SSM Agent potrebbe smettere di funzionare correttamente.
SSM Agentaggiornamenti continui di Regioni AWS
Una volta reso disponibile un SSM Agent aggiornamento nel relativo GitHub repository, possono essere necessarie fino a due settimane prima che la versione aggiornata venga distribuita a tutti Regioni AWS in momenti diversi. Per questo motivo, potresti ricevere l'errore «Non supportato sulla piattaforma corrente» o «Aggiornamento amazon-ssm-agent a una versione precedente, attiva l'opzione consenti al downgrade di procedere» quando tenti di distribuire una nuova versione di SSM Agent In una regione.
Per determinare la versione di SSM Agent disposizione per l'utente, è possibile eseguire un comando curl.
Per visualizzare la versione dell'agente disponibile nel bucket di download globale, eseguire il comando seguente.
curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/VERSION
Per visualizzare la versione dell'agente disponibile in una regione specifica, esegui il comando seguente, sostituendolo region con la regione in cui lavori, ad esempio la regione Stati Uniti orientali (us-east-2Ohio).
curl https://s3.region.amazonaws.com/amazon-ssm-region/latest/VERSION
È possibile anche aprire il file VERSION direttamente nel browser senza un comando curl.
Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS
Durante l'esecuzione di varie operazioni di Systems Manager, AWS Systems Manager Agent (SSM Agent) accede a diversi bucket Amazon Simple Storage Service (Amazon S3). Questi bucket S3 sono accessibili pubblicamente e, per impostazione predefinita, l'SSM Agent si connette con essi usando chiamate HTTP.
Tuttavia, se utilizzi un endpoint di cloud privato virtuale (VPC) nelle operazioni di Systems Manager, devi fornire un'autorizzazione esplicita in un profilo di istanza Amazon Elastic Compute Cloud ( EC2Amazon) per Systems Manager o in un ruolo di servizio per non macchine in un ambiente ibrido e EC2 multicloud. In caso contrario, le risorse non accedono a questi bucket pubblici.
Per concedere ai nodi gestiti l'accesso a questi bucket quando utilizzi un endpoint VPC, devi creare una policy di autorizzazioni Amazon S3 personalizzata e quindi collegarla al profilo dell'istanza (per le istanze) o al tuo ruolo di servizio ( EC2 per i nodi non gestiti). EC2
Per informazioni sull'utilizzo di un endpoint VPC (Virtual Private Cloud) nelle operazioni di Systems Manager, consulta Migliorare la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager.
Nota
Queste autorizzazioni forniscono l'accesso solo ai bucket gestiti richiesti da. AWS SSM Agent Non forniscono le autorizzazioni necessarie per altre operazioni Amazon S3. Inoltre, non offrono l'autorizzazione per i propri bucket S3.
Per ulteriori informazioni, consulta i seguenti argomenti:
Indice
Autorizzazioni dei bucket necessarie
La tabella seguente descrive ciascuno dei bucket S3 di cui SSM Agent potrebbe aver bisogno per accedere alle operazioni di Systems Manager.
Nota
regionrappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei region valori supportati, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services
Autorizzazioni di Amazon S3 richieste da SSM Agent
| ARN di bucket S3 | Description |
|---|---|
|
|
Richiesto per alcuni documenti SSM che supportano solo i sistemi operativi Windows Server, oltre ad alcuni per il supporto multipiattaforma, come. |
|
|
Necessario per l'aggiornamento di installazioni SSM Agent. Questi bucket contengono i pacchetti di installazione dell'SSM Agent e i file manifest a cui fanno riferimento il documento AWS-UpdateSSMAgent e il plugin. Se queste autorizzazioni non vengono fornite, l'SSM Agent effettua una chiamata HTTP per scaricare l'aggiornamento. |
arn:aws:s3:::aws-ssm- |
Fornisce l'accesso al bucket S3 contenente i moduli necessari per l'uso con i documenti Systems Manager (documenti SSM Command), incluse le operazioni di non patching e di patching. Ad esempio: arn:aws:s3:::aws-ssm-us-east-2/*.
Di seguito sono riportati alcuni documenti SSM di uso comune che utilizzano i moduli di questi bucket.
|
|
oppure
|
Fornisce l'accesso al bucket S3 contenente snapshot della base di patch. È necessario se si utilizza uno dei seguenti documenti SSM Command:
I bucket più supportati Regioni AWS utilizzano il seguente formato:
Per alcune regioni, nel nome del bucket è incluso un suffisso univoco aggiuntivo. Ad esempio, il nome del bucket per la regione Medio Oriente (Bahrein) (me-south-1) è il seguente:
Per un elenco completo dei nomi dei bucket di snapshot della baseline delle patch, consulta Bucket contenenti snapshot di baseline delle patch gestite da AWS. NotaSe si usa un firewall locale e si intende utilizzare Patch Manager, il firewall deve consentire anche l'accesso all'endpoint della base di patch appropriato. |
|
Per nodi gestiti dal Linux e Windows Server: Per le EC2 istanze Amazon permacOS: |
Fornisce l'accesso al bucket S3 contenente i moduli utilizzati dai documenti di comando SSM per le operazioni di patching in. Patch Manager Ogni nome bucket include un suffisso univoco, ad esempio
Documenti SSMDi seguito sono riportati alcuni documenti SSM di uso comune che utilizzano i moduli di questi bucket.
Per gli elenchi completi dei bucket S3 AWS gestiti per le operazioni di patching, consulta i seguenti argomenti: |
Esempio
L'esempio seguente mostra come fornire l'accesso al bucket S3 richiesto per le operazioni di Systems Manager nella regione Stati Uniti orientali (Ohio) (us-east-2). Nella maggior parte dei casi, è necessario fornire queste autorizzazioni esplicitamente in un profilo dell'istanza o in un ruolo di servizio solo quando si utilizza un endpoint VPC.
Importante
Consigliamo di evitare l'uso di caratteri jolly (*) al posto delle Regioni specifiche in questa policy. Ad esempio, è preferibile usare arn:aws:s3:::aws-ssm-us-east-2/* anziché arn:aws:s3:::aws-ssm-*/*. L'utilizzo di caratteri jolly potrebbe fornire l'accesso ai bucket S3 a cui non si intende concedere l'accesso. Se si desidera utilizzare il profilo dell'istanza per più di una regione, si consiglia di ripetere il primo elemento Statement per ogni regione.
Convalida di macchine attivate da sistemi tramite un'impronta digitale hardware
Quando non si utilizzano EC2 macchine in un ambiente ibrido e multicloud, SSM Agent raccoglie una serie di attributi di sistema (denominati hash hardware) e li utilizza per calcolare un'impronta digitale. L'impronta digitale è una stringa opaca che l'agente passa a determinati Systems Manager. APIs Questa impronta digitale univoca associa il chiamante a un particolare nodo gestito attivato da sistemi ibridi. L'agente memorizza l'impronta digitale e l'hash hardware sul disco locale in una posizione chiamata Vault.
L'agente calcola l'hash hardware e l'impronta digitale quando la macchina viene registrata per essere utilizzata con Systems Manager. Quindi, l'impronta digitale viene restituita al servizio Systems Manager quando l'agente invia un comando RegisterManagedInstance.
Più tardi, quando si invia un comando RequestManagedInstanceRoleToken, l'agente controlla l'impronta digitale e l'hash hardware nel vault per verificare che gli attributi correnti della macchina corrispondano all'hash hardware archiviato. Se gli attributi correnti della macchina corrispondono effettivamente all'hash hardware archiviato nel vault, l'agente passa l'impronta digitale dal vault a RegisterManagedInstance, dando come risultato una chiamata riuscita.
Se gli attributi correnti della macchina non corrispondono all'hash hardware memorizzato, SSM Agent calcola una nuova impronta digitale, memorizza il nuovo hash hardware e l'impronta digitale nel vault e passa la nuova impronta digitale a RequestManagedInstanceRoleToken. Questo causa un errore in RequestManagedInstanceRoleToken e l'agente non sarà in grado di ottenere un token di ruolo per connettersi al servizio Systems Manager.
Questo errore varia in base alla progettazione e viene utilizzato come fase di verifica per impedire che più nodi gestiti comunichino con il servizio Systems Manager come fossero lo stesso nodo gestito.
Quando si confrontano gli attributi correnti della macchina con l'hash hardware memorizzato nel vault, l'agente utilizza la logica seguente per stabilire se gli hash vecchi e nuovi corrispondono:
-
Se il SID (ID sistema/macchina) è diverso, non c'è corrispondenza.
-
Altrimenti, se l'indirizzo IP è lo stesso, c'è corrispondenza.
-
In caso contrario, la percentuale di attributi della macchina corrispondenti viene calcolata e confrontata con la soglia di similarità configurata dall'utente per determinare se esiste una corrispondenza.
La soglia di somiglianza viene memorizzata nel vault, insieme all'hash hardware.
La soglia di somiglianza può essere impostata dopo che un'istanza è stata registrata utilizzando un comando simile al seguente.
Su macchine Linux:
sudo amazon-ssm-agent -fingerprint -similarityThreshold 1
Su Windows Server macchine che utilizzano: PowerShell
cd "C:\Program Files\Amazon\SSM\" ` .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
Importante
Se uno dei componenti utilizzati per calcolare l'impronta digitale cambia, questo può causare l'ibernazione dell'agente. Per evitare questa ibernazione, impostare la soglia di somiglianza su un valore basso, ad esempio 1. Per ulteriori informazioni sull'ibernazione, vedere. Comprendere l'ibernazione SSM Agent
SSM Agent - GitHub
Il codice sorgente per SSM Agent è disponibile su GitHub
Comprendere l'ibernazione SSM Agent
AWS Systems Manager L'ibernazione dell'agente (SSM Agent) è una modalità operativa che si verifica quando l'agente non riesce a mantenere una comunicazione corretta con il servizio Systems Manager. Durante l'ibernazione, l'agente riduce la frequenza di comunicazione ed entra in uno stato di standby.
Quando si verifica l'ibernazione SSM Agent
SSM Agentl'ibernazione può verificarsi nei seguenti scenari:
- nodi ibridi annullati
-
Quando si annulla la registrazione di un nodo attivato in modalità ibrida da Systems Manager, il SSM Agent relativo nodo non può aggiornare il token di autorizzazione. Ciò fa sì che l'agente entri in modalità di ibernazione perché non può autenticarsi con il servizio.
- Modifiche all'impronta digitale dell'hardware
-
SSM Agentutilizza un'impronta digitale hardware per convalidare le macchine ad attivazione ibrida. Se uno dei componenti utilizzati per calcolare questa impronta digitale cambia in modo significativo, l'agente potrebbe ibernarsi come misura di sicurezza. Questo è stato progettato per impedire che più nodi gestiti comunichino con Systems Manager come lo stesso nodo. Per ulteriori informazioni, consulta Convalida di macchine attivate da sistemi tramite un'impronta digitale hardware.
- SSM Agentibernazione su istanze Amazon EC2
-
L'ibernazione può verificarsi anche EC2 sulle istanze Amazon in determinate condizioni, ad esempio in caso di problemi di connettività o problemi di autenticazione con il servizio Systems Manager.
Comportamento di comunicazione durante l'ibernazione
Quando SSM Agent entra in modalità di ibernazione, il modello di comunicazione con il servizio Systems Manager cambia:
-
Funzionamento normale: l'agente comunica regolarmente con Systems Manager (in genere ogni pochi minuti) per verificare la presenza di nuovi comandi e segnalare lo stato.
-
Modalità di ibernazione: la frequenza di ping inizia a 5 minuti e aumenta gradualmente fino a una volta all'ora per impostazione predefinita (configurabile fino a 24 ore). Questa frequenza di comunicazione ridotta aiuta a ridurre al minimo il traffico di rete non necessario, pur consentendo all'agente di riprendersi se le condizioni cambiano.
Durante l'ibernazione, l'agente continua a riprovare l'autenticazione e i tentativi di connessione con una frequenza ridotta, ma non può elaborare nuovi comandi o riportare informazioni dettagliate sullo stato fino a quando l'ibernazione non viene risolta.
Opzioni di configurazione per prevenire l'ibernazione nelle istanze ibride
L'opzione di configurazione principale per evitare l'ibernazione causata dalle modifiche delle impronte digitali dell'hardware consiste nella regolazione della soglia di somiglianza:
Su macchine Linux:
sudo amazon-ssm-agent -fingerprint -similarityThreshold 1
Su macchine Windows Server che utilizzano: PowerShell
cd "C:\Program Files\Amazon\SSM\" ` .\amazon-ssm-agent.exe -fingerprint -similarityThreshold 1
La soglia di somiglianza determina la precisione con cui l'agente confronta gli attributi correnti della macchina con l'hash hardware memorizzato:
-
I valori più alti richiedono più attributi corrispondenti
-
I valori più bassi (ad esempio
1) sono più indulgenti e possono aiutare a evitare l'ibernazione causata da piccole modifiche hardware
Registrazione e monitoraggio dell'ibernazione
Quando SSM Agent entra in modalità di ibernazione, crea voci di registro che possono aiutarti a identificare e risolvere i problemi dello stato di ibernazione:
-
File di registro dell'agente: gli eventi di ibernazione vengono registrati nei file di registro standard. SSM Agent Per ulteriori informazioni sulle posizioni dei file di registro, vedere. Risolvere i problemi utilizzando i file di log dI SSM Agent
-
Registrazione EC2 della console Amazon: ad esempio EC2 , i messaggi di ibernazione vengono ora registrati nei log di sistema della console EC2 Amazon, fornendo ulteriore visibilità sullo stato dell'agente. Per accedere ai log, seleziona l'istanza nella EC2 console, quindi scegli Azioni, Monitoraggio e risoluzione dei problemi, Ottieni il registro di sistema.
-
File di registro specifici: all'avvio dell'ibernazione, vengono creati particolari file di registro che contengono informazioni dettagliate sull'attivazione e sullo stato dell'ibernazione.
Monitora queste fonti di registro per rilevare tempestivamente gli eventi di ibernazione e intraprendere azioni correttive per ripristinare il normale funzionamento dell'agente.
Ripristino dalla modalità di ibernazione
Per riprendervi dall'ibernazione, risolvete la causa sottostante:
-
Per i nodi ibridi annullati: registrare nuovamente il nodo con Systems Manager utilizzando un nuovo codice di attivazione e un ID, come descritto in and. Annullamento della registrazione e nuova registrazione di un nodo gestito (Linux) Annullamento della registrazione e nuova registrazione di un nodo gestito (Windows Server)
-
Per problemi relativi alle impronte digitali hardware: regolate la soglia di somiglianza come descritto sopra in Opzioni di configurazione per evitare l'ibernazione nelle istanze ibride, oppure registrate nuovamente il nodo se le modifiche hardware sono significative.
-
Per problemi di connettività: verifica la connettività di rete e assicurati che gli endpoint richiesti siano accessibili. Per ulteriori informazioni, consulta Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti tramite ssm-cli.
Dopo aver risolto il problema sottostante, l'agente dovrebbe uscire automaticamente dalla modalità di ibernazione e riprendere il normale funzionamento al successivo tentativo di comunicazione.
