Share Your AWS re:Post Experience - Quick 3 Question Survey
Help us improve AWS re:Post! We're interested in understanding how you use re:Post and its impact on your AWS journey. Please take a moment to complete our brief 3-question survey.
Perché Systems Manager non mostra la mia istanza Amazon EC2 come istanza gestita?
Ho un'istanza Amazon Elastic Compute Cloud (Amazon EC2), ma non appare come istanza gestita in AWS Systems Manager.
Breve descrizione
Per stabilire perché AWS Systems Manager non mostra la tua istanza come gestita, puoi utilizzare il runbook AWSSupport-TroubleshootManagedInstance. Per ulteriori informazioni, consulta Esegui un'operazione di automazione basata su Systems Manager Automation e Configurazione dell'automazione.
Puoi anche risolvere manualmente i problemi dell’istanza Amazon EC2.
Risoluzione
Nota: se si verificano errori durante l'esecuzione dei comandi dell'interfaccia a riga di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Esegui il runbook di Systems Manager Automation
Prerequisiti: installa ed esegui l’agente AWS Systems Manager (agente SSM) sulla tua istanza. Prima di eseguire l'automazione, assicurati che il tuo utente o ruolo AWS Identity and Access Management (IAM) disponga delle autorizzazioni necessarie. Consulta la sezione Autorizzazioni IAM richieste su AWSSupport-TroubleshootManagedInstance.
Per eseguire il runbook, completa i passaggi seguenti:
- Apri la console Systems Manager.
- Nel pannello di navigazione, scegli Database.
- Nella barra di ricerca, inserisci ** AWSSupport-TroubleshootManagedInstance** (Proprietario: Amazon).
- Scegli il documento AWSSupport-TroubleshootManagedInstance.
- Scegli Esegui automazione.
- Per i parametri di input, inserisci le seguenti informazioni:
Per InstanceID, inserisci l'ID dell'istanza interessata. Puoi inserire manualmente l'ID dell'istanza oppure utilizzare il selettore di istanze interattivo. Se utilizzi il selettore di istanze, modifica il filtro da Mostra solo istanze gestite a Mostra tutte le istanze.
(Facoltativo) Per AutomationAssumeRole, inserisci l'ARN del ruolo IAM che consente a Systems Manager Automation di eseguire azioni per tuo conto. Se non specifichi un ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che esegue il runbook. - Scegli Esegui.
Una volta completata l'automazione, consulta la sezione Output per i seguenti risultati dettagliati:
- La sezione InstanceIsOnline.output mostra se Systems Manager sta gestendo l'istanza.
- La sezione FinalOutput.output mostra se un controllo è stato superato o non è stato superato e include informazioni su come risolvere un errore.
Risolvi manualmente i problemi dell'istanza Amazon EC2
Importante: durante le fasi di risoluzione dei problemi, seleziona la regione AWS in cui si trova la tua istanza.
Verifica che l’agente SSM sia installato e in esecuzione sull'istanza
Dopo aver verificato che il tuo sistema operativo supporti Systems Manager, controlla che l’agente SSM sia installato e in esecuzione sull'istanza.
L’agente SSM è preinstallato su alcune Amazon Machine Images (AMI) per Linux, macOS e Windows.
Per installare manualmente l’agente SSM quando non è preinstallato, consulta la seguente documentazione AWS:
- Installazione manuale dell’agente SSM su istanze EC2 per Linux
- Installazione manuale dell’agente SSM su istanze EC2 per macOS
- Installazione manuale dell’agente SSM su istanze EC2 per Windows Server
Per verificare che l’agente SSM Agent sia in esecuzione, esegui il comando specifico del tuo sistema operativo per controllare lo stato dell'agente.
Dopo aver verificato che l’agente SSM sia in esecuzione, esegui il comando ssm-cli per risolvere i problemi di disponibilità delle istanze gestite.
Verifica la connettività agli endpoint di Systems Manager sulla porta 443
La verifica della connettività agli endpoint di Systems Manager sulla porta 443 è specifica per le impostazioni del sistema operativo e della sottorete. Per un elenco degli endpoint di Systems Manager per area geografica, consulta Endpoint di servizio.
Nota: negli esempi seguenti, l'endpoint ssmmessages serve per Session Manager, una funzionalità di AWS Systems Manager.
Istanze EC2 per Linux
Utilizza i comandi Telnet o Netcat per verificare la connettività agli endpoint sulla porta 443 per le istanze EC2 per Linux. Netcat non è preinstallato sulle istanze EC2. Per installare manualmente Netcat, consulta Ncat sul sito Web Nmap.
Nota: nei comandi seguenti, sostituisci a regionID l'ID della regione della tua istanza.
Comandi Telnet:
telnet ssm.RegionID.amazonaws.com 443 telnet ec2messages.RegionID.amazonaws.com 443 telnet ssmmessages.RegionID.amazonaws.com 443
Esempio di connessione Telnet:
root@111800186:~# telnet ssm.us-east-1.amazonaws.com 443 Trying 52.46.141.158... Connected to ssm.us-east-1.amazonaws.com. Escape character is '^]'.
Per uscire da telnet, premi i tasti Ctrl e ]. Inserisci quit, quindi premi Invio.
Comandi Netcat:
nc -vz ssm.RegionID.amazonaws.com 443 nc -vz ec2messages.RegionID.amazonaws.com 443 nc -vz ssmmessages.RegionID.amazonaws.com 443
Istanze EC2 per Windows
Per verificare la connettività agli endpoint sulla porta 443 per le istanze Windows EC2, esegui i seguenti comandi di Windows PowerShell:
`Test-NetConnection ssm.RegionID.amazonaws.com -port 443 Test-N`etConnection ec2messages.RegionID.amazonaws.com -port 443 Test-NetConnection ssmmessages.RegionID.amazonaws.com -port 443
Sottoreti pubbliche
Gli endpoint di Systems Manager sono pubblici. Per risolvere i problemi di connettività con le istanze in una sottorete pubblica, la tabella di routing dell'istanza deve indirizzare il traffico Internet a un gateway Internet. Inoltre, i gruppi di sicurezza di Amazon Virtual Private Cloud (Amazon VPC) e le liste di controllo degli accessi alla rete (ACL di rete) devono consentire le connessioni in uscita sulla porta 443.
Sottoreti private
Utilizza indirizzi IP privati per accedere privatamente alle API di Amazon EC2 e Systems Manager. Per risolvere i problemi di connettività con un'istanza in una sottorete privata, la tabella di routing dell'istanza deve indirizzare il traffico Internet a un gateway NAT. In alternativa, è necessario configurare l'endpoint VPC per raggiungere gli endpoint di Systems Manager.
Per ulteriori informazioni, consulta Come posso creare endpoint VPC in modo da poter utilizzare Systems Manager per gestire istanze EC2 private senza accesso a Internet?
Nota: ogni endpoint di interfaccia crea un'interfaccia di rete elastica nella sottorete fornita.
Per la sicurezza delle sottoreti private è consigliabile verificare le seguenti impostazioni:
- Il gruppo di sicurezza collegato all'interfaccia di rete dell'endpoint VPC consente il traffico in entrata della porta TCP 443 dal gruppo di sicurezza collegato all'istanza.
- Il gruppo di sicurezza collegato all’istanza consente il traffico in uscita della porta TCP 443 verso l'indirizzo IP privato dell'interfaccia di rete dell'endpoint VPC.
Verifica l'impostazione di Configurazione di gestione host predefinita
**Nota:Se non hai attivato Configurazione di gestione host predefinita, passa alla sezione ** Verifica che il ruolo IAM corretto sia collegato all'istanza.
Se il ruolo IAM creato da Configurazione di gestione host predefinita non dispone di autorizzazioni sufficienti per il tuo caso d'uso, puoi aggiungere policy.
Tutte le istanze associate devono utilizzare il Servizio di metadati dell'istanza versione 2 (IMDSv2). Per verificare la configurazione di IMDSv2, utilizza la metrica MetadatanoToken di Amazon CloudWatch per stabilire quando l'utilizzo di IMDSv1 è pari a zero. Quindi controlla se le tue istanze sono passate a IMDSv2.
Configurazione di gestione host predefinita è disponibile nella versione 3.2.582.0 o successiva dell’agente SSM. Per verificare la versione dell’agente SSM, consulta Verifica del numero di versione dell’agente SSM.
Per verificare l’impostazione di Configurazione di gestione host predefinita, utilizza la console di Systems Manager o l'interfaccia a riga di comando di AWS.
Console di Systems Manager
Completa i seguenti passaggi:
- Apri la console Systems Manager.
- Nel pannello di navigazione, scegli Fleet Manager.
- Dal menu a discesa Gestione account, scegli Configurazione di gestione host predefinita.
- Verifica che l'impostazione Abilita la configurazione di gestione host predefinita sia attiva.
Interfaccia a riga di comando AWS
Esegui il comando get-service-setting di AWS CLI per verificare l’impostazione di Configurazione di gestione host predefinita:
aws ssm get-service-setting \ --setting-id arn:aws:ssm:RegionID:AccountID:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
Nota: sostituisci ad AccountID l'ID del tuo account AWS.
Dopo aver attivato Configurazione di gestione host predefinita, riceverai un output simile al seguente:
{ "ServiceSetting": { "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role", "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole", "LastModifiedDate": 1679492424.738, "LastModifiedUser": "arn:aws:sts::012345678910:assumed-role/role/role-name", "ARN": "arn:aws:ssm:ap-southeast-1:012345678910:servicesetting/ssm/managed-instance/default-ec2-instance-management-role", "Status": "Customized" } }
Nota: se il valore di SettingValue è $None, Configurazione di gestione host predefinita non sarà impostata.
Verifica che Configurazione di gestione host predefinita stia utilizzando un ruolo IAM appropriato
È consigliabile utilizzare il ruolo IAM AWSSystemsManagerDefaultEC2InstanceManagementRole quando si imposta Configurazione di gestione host predefinita. Per utilizzare un ruolo diverso, assicurati che al ruolo sia associata la policy IAM AmazonSSMManagedEC2InstanceDefaultPolicy.
Se hai collegato profili delle istanze alle tue istanze EC2, rimuovi tutte le autorizzazioni che consentono l'operazione ssm:UpdateInstanceInformation. L'agente SSM tenta di utilizzare le autorizzazioni del profilo dell’istanza prima di utilizzare le autorizzazioni di Configurazione di gestione host predefinita. Se consenti l'operazione ssm:UpdateInstanceInformation nei profili delle istanze, l'istanza non utilizzerà le autorizzazioni di Configurazione di gestione host predefinita.
Verifica che all'istanza sia collegato il ruolo IAM corretto
Nota: se hai attivato Configurazione di gestione host predefinita, passa alla sezione Verifica la connettività con IMDS.
Per effettuare chiamate API a un endpoint di Systems Manager, è necessario collegare la policy AmazonSSMManagedInstanceCore al ruolo IAM associato all'istanza. Se stai utilizzando una policy IAM personalizzata, conferma che la tua policy personalizzata utilizzi le autorizzazioni in ** AmazonSSMManagedInstanceCore**. Inoltre, assicurati che la policy di attendibilità per il tuo ruolo IAM consenta di assumere questo ruolo a ec2.amazonaws.com. Per ulteriori informazioni, consulta Configurazione alternativa per le autorizzazioni delle istanze EC2.
Verifica la connettività con IMDS
L'agente SSM deve comunicare con IMDS per ottenere informazioni sull'istanza. Per testare la connessione, esegui il seguente comando Netcat:
nc -vz 169.254.169.254 80
Per verificare che IMDS sia configurato per l'istanza esistente, utilizza la console Amazon EC2 o l'interfaccia a riga di comando AWS.
Console di Amazon EC2
Completa i seguenti passaggi:
- Apri la console di Amazon EC2.
- Seleziona Istanze dal pannello di navigazione, quindi seleziona la tua istanza.
- Scegli Azioni, quindi scegli Impostazioni dell’istanza.
- Scegli Modifica le opzioni dei metadati dell'istanza.
- Nella finestra di dialogo, assicurati che il servizio di metadati dell'istanza sia Abilitato.
Interfaccia a riga di comando AWS
Esegui il comando describe-instances di AWS CLI per verificare che IMDS sia impostato per la tua istanza esistente:
aws ec2 describe-instances --query "Reservations[*].Instances[*].MetadataOptions" --instance-ids i-012345678910
Esempio di output:
[ [ { "State": "applied", "HttpTokens": "optional", "HttpPutResponseHopLimit": 1, "HttpEndpoint": "enabled", "HttpProtocolIpv6": "disabled", "InstanceMetadataTags": "disabled" } ] ]
Nota: se l'output mostra “HTTPTokens”: “optional”, sono supportati sia IMDSv1 che IMDSv2. Se l'output mostra ”HttpTokens”: “required”, è supportato solo IMDSv2. Se l'output mostra “HTTPendpoint”: “enabled”, IMDS è attivo.
Se utilizzi un proxy sull'istanza, il proxy potrebbe bloccare la connettività all'URL dei metadati. Per evitare il blocco, configura il tuo agente SSM in modo che funzioni con un proxy e no_proxy per l'URL dei metadati.
Per configurare l’agente SSM per l'utilizzo di un proxy, consulta la seguente documentazione AWS:
- Configurazione dell'agente SSM per l'utilizzo di un proxy sui nodi Linux
- Configurazione dell’agente SSM per l’utilizzo di un proxy per le istanze Windows Server
Altre indicazioni sulla risoluzione dei problemi
Se l’istanza continua a non apparire come nodo gestito o mostra una connessione persa in Systems Manager, rivedi i log dell’agente SSM per continuare la risoluzione dei problemi. Per Linux e macOS, i log si trovano in /var/log/amazon/ssm. Per Windows, i log si trovano in %PROGRAMDATA%\Amazon\SSM\Logs.
Se la tua istanza non invia report all’agente SSM, utilizza Remote Desktop Protocol (RDP) per Windows o SSH per Linux per raccogliere i log. Se non riesci a raccogliere i log, devi arrestare l'istanza e scollegare il volume root. Quindi collega il volume root a un'altra istanza nella stessa zona di disponibilità del volume secondario per ottenere i log.
Informazioni correlate
Riferimento al runbook di Systems Manager Automation
Collega un volume Amazon Elastic Block Store (Amazon EBS) a un'istanza Amazon EC2
Video correlati


Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa