Introduzione al funzionamento di State Manager - AWS Systems Manager
Capire quando le associazioni vengono applicate alle risorseInformazioni sugli aggiornamenti di destinazione con i runbook Automation

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Introduzione al funzionamento di State Manager

State Manager, uno strumento di AWS Systems Manager, è un servizio sicuro e scalabile che automatizza il processo di mantenimento dei nodi gestiti in un'infrastruttura ibrida e multicloud in uno stato definito.

Ecco come funziona State Manager:

1. Determina lo stato che si desidera applicare alle tue risorse AWS.

Vuoi assicurarti che i nodi gestiti siano configurato con applicazioni specifiche, ad esempio applicazioni antivirus o malware? Vuoi automatizzare il processo di aggiornamento dell'SSM Agent o di altri pacchetti AWS, come ad esempio AWSPVDriver? Vuoi accertarti che determinate porte siano aperte o chiuse? Per iniziare a utilizzare State Manager, stabilisci lo stato che desideri applicare alle tue risorse AWS. Lo stato che desideri applicare determinerà quale documento SSM utilizzerai per creare un'associazione di State Manager.

Un'State Manager associazione è una configurazione che assegni alle tue risorse AWS. La configurazione definisce lo stato che desideri mantenere sulle risorse. Ad esempio, un'associazione può specificare che il software antivirus debba essere installato ed eseguito su un nodo gestito o che determinate porte debbano essere chiuse.

Un'associazione specifica una pianificazione per quando applicare la configurazione e le destinazioni per l'associazione. Ad esempio, un'associazione per il software antivirus potrebbe essere eseguita una volta al giorno su tutti i nodi gestiti in un account Account AWS. Se il software non è installato su un nodo, l'associazione potrebbe istruire State Manager per installarlo. Se il software è installato, ma il servizio non è in esecuzione, l'associazione potrebbe indicare a State Manager di avviare il servizio.

2. Determinare se un documento SSM preconfigurato può aiutare a creare lo stato desiderato sulle tue risorse AWS.

Systems Manager include decine di documenti SSM preconfigurati che è possibile utilizzare per creare un'associazione. I documenti preconfigurati sono pronti per eseguire attività comuni, tra cui l'installazione di applicazioni, la configurazione di Amazon CloudWatch, l'esecuzione di automazioni di AWS Systems Manager, l'esecuzione di script PowerShell e Shell e l'unione di nodi gestiti a un dominio Directory Service per Active Directory.

È possibile visualizzare tutti i documenti SSM nella console di Systems Manager. Scegliere il nome di un documento per scoprire ulteriori informazioni su ciascuno di essi. Di seguito, sono riportati due esempi: AWS-ConfigureAWSPackage e AWS-InstallApplication.

3. Creazione di un'associazione

È possibile creare l'associazione utilizzando la console di Systems Manager, il comando AWS Command Line Interface (AWS CLI), AWS Tools for Windows PowerShell (Tools for Windows PowerShell) o l'API Systems Manager. Quando viene creata l'associazione, si specifica quanto segue:

  • Un nome per l'associazione.

  • I parametri per il documento SSM (ad esempio, il percorso dell'applicazione da installare o lo script da eseguire sui nodi).

  • I target per l'associazione. È possibile definire come target i nodi gestiti specificando i tag , scegliendo gli ID di nodi individuali o scegliendo un gruppo in AWS Resource Groups. È anche possibile definire come target tutti i nodi gestiti nella Regione AWS e nell'Account AWS correnti. Se le tue destinazioni includono più di 1.000 nodi, il sistema utilizza un meccanismo di limitazione (della larghezza di banda della rete). Ciò significa che potresti riscontrare imprecisioni nel conteggio dell'aggregazione dello stato, poiché il processo di aggregazione viene eseguito ogni ora e solo quando lo stato di esecuzione di un nodo cambia.

  • Una pianificazione per il momento o la frequenza di applicazione dello stato. È possibile specificare un'espressione cron o rate. Per ulteriori informazioni sulla creazione di pianificazioni utilizzando espressioni cron e rate, consulta Espressioni Cron e Rate per le associazioni.

    Nota

    State Manager attualmente non supporta la specifica di mesi nelle espressioni cron per le associazioni.

Quando si esegue il comando per creare l'associazione, Systems Manager associa le informazioni specificate (pianificazione, target, documento SSM e parametri) alle risorse target. Lo stato dell'associazione inizialmente mostra "Pending" (In sospeso) mentre il sistema tenta di raggiungere tutti i target e applica immediatamente lo stato specificato nell'associazione.

Nota

Se si crea una nuova associazione pianificata per essere eseguita mentre un'associazione precedente è ancora in esecuzione, la prima associazione viene messa in timeout e viene eseguita la nuova associazione.

Systems Manager indica lo stato della richiesta di creazione di associazioni sulle risorse. È possibile visualizzare i dettagli dello stato nella console (per i nodi gestiti) oppure utilizzando l'operazione API DescribeInstanceAssociationsStatus. Se si sceglie di scrivere l'output del comando in Amazon Simple Storage Service (Amazon S3) quando si crea un'associazione, è possibile anche visualizzare l'output nel bucket Amazon S3 specificato.

Per ulteriori informazioni, consulta Utilizzo delle associazioni in Systems Manager.

Nota

Le operazioni API avviate dal documento SSM durante un'esecuzione di associazione non vengono registrate in AWS CloudTrail.

4. Monitorare e aggiornare.

Una volta creata l'associazione, State Manager riapplica la configurazione in base alla pianificazione definita nell'associazione. È possibile visualizzare lo stato delle associazioni nella pagina di State Manager nella console oppure chiamando direttamente l'ID di associazione generato da Systems Manager quando è stata creata l'associazione. Per ulteriori informazioni, consulta Visualizzazione della cronologia delle associazioni. È possibile aggiornare i documenti delle associazioni e riapplicarli come necessario. È possibile inoltre creare più versioni di un'associazione. Per ulteriori informazioni, consulta Modifica e creazione di una nuova versione di un'associazione.

Capire quando le associazioni vengono applicate alle risorse

Quando crei un'associazione, specifichi un documento SSM che definisce la configurazione, un elenco di risorse target e una pianificazione per l'applicazione della configurazione. Per impostazione predefinita, State Manager esegue l'associazione al momento della creazione e quindi in base alla pianificazione specificata. State Manager prova inoltre a eseguire l'associazione nelle seguenti situazioni:

  • Modifica associazione: State Manager esegue l'associazione dopo che un utente ha modificato e salvato le modifiche in uno dei seguenti campi di associazione: DOCUMENT_VERSION, PARAMETERS, SCHEDULE_EXPRESSION, OUTPUT_S3_LOCATION.

  • Modifica documento: State Manager esegue l'associazione dopo che un utente ha modificato e salvato le modifiche al documento SSM che definisce lo stato di configurazione dell'associazione. In particolare, l'associazione viene eseguita dopo le seguenti modifiche al documento:

    • Un utente specifica una nuova versione del documento $DEFAULT e l'associazione era stata creata utilizzando la versione $DEFAULT.

    • Un utente aggiorna un documento e l'associazione era stata creata utilizzando la versione $LATEST.

    • Un utente elimina il documento specificato al momento della creazione dell'associazione.

  • Avvio manuale: State Manager esegue l'associazione quando viene avviata dall'utente dalla console di Systems Manager o a livello di programmazione.

  • Modifiche alla destinazione: State Manager esegue l'associazione dopo che si è verificata una delle seguenti attività su un nodo di destinazione:

    • Un nodo gestito passa online per la prima volta.

    • Un nodo gestito passa online dopo la mancata esecuzione di un'associazione pianificata.

    • Un nodo gestito passa online dopo essere stato arrestato per più di 30 giorni.

       

    Nota

    State Manager non monitora i documenti o i pacchetti utilizzati nelle associazioni all'interno degli Account AWS. Se aggiorni un documento o un pacchetto in un account, l'aggiornamento non causerà l'esecuzione dell'associazione nel secondo account. È necessario eseguire manualmente l'associazione nel secondo account.

    Impedire l'esecuzione delle associazioni quando una destinazione cambia

    In alcuni casi, potresti non voler eseguire un'associazione, quando una destinazione composta da nodi gestiti cambia, ma solo in base alla pianificazione specificata.

    Nota

    L'esecuzione di un runbook di automazione comporta un costo. Se un'associazione a un runbook di automazione è diretta a tutte le istanze del tuo account e avvii regolarmente un gran numero di istanze, il runbook viene eseguito su ciascuna istanza al momento dell'avvio. Ciò può comportare costi di automazione elevati.

    Per evitare che un'associazione venga eseguita quando le destinazioni di quell'associazione cambiano, seleziona la casella di controllo Applica l'associazione solo al successivo intervallo cron specificato. Questa casella di controllo si trova nell'area Specifica pianificazione delle pagine Crea associazione e Modifica associazione.

    Questa opzione si applica alle associazioni che incorporano sia un runbook di automazione che un documento SSM.

Informazioni sugli aggiornamenti di destinazione con i runbook Automation

Affinché le associazioni create con i runbook Automation vengano applicate quando vengono rilevati nuovi nodi di destinazione, è necessario che vengano soddisfatte le seguenti condizioni:

  • È necessario che l'associazione sia creata da una configurazione Quick Setup. Quick Setup è uno strumento di AWS Systems Manager. Le associazioni create da altri processi non sono attualmente supportate.

  • È necessario che il runbook Automation indirizzi esplicitamente il tipo di risorsa AWS::EC2::Instance o AWS::SSM::ManagedInstance.

  • È necessario che l'associazione specifichi parametri e destinazioni.

    Nella console, i campi Parametro e Destinazioni vengono visualizzati quando si sceglie un'esecuzione per il controllo della velocità.

    Le opzioni relative ai parametri e alle destinazioni sono presentate nella console per le esecuzioni di controllo della velocità

    Quando si utilizzano le azioni di API CreateAssociation, CreateAssociationBatch o UpdateAssociation, è possibile specificare questi valori utilizzando gli input AutomationTargetParameterName e Targets. In ognuna di queste azioni di API, puoi anche impedire l'esecuzione dell'associazione ogni volta che una destinazione cambia impostando il parametro ApplyOnlyAtCronInterval su true.

    Per informazioni sull'utilizzo della console per controllare quando vengono eseguite le associazioni, compresi i dettagli per evitare costi inaspettatamente elevati per le esecuzioni di automazione, consulta Capire quando le associazioni vengono applicate alle risorse.