AWS Systems Manager を使用して、Amazon Elastic Compute Cloud ((Amazon EC2) インスタンスをマネージドインスタンスとして登録しようとしています。しかし、インスタンスの登録に失敗し、次のようなTCPタイムアウトエラーメッセージが表示されます。
「RequestError: send request failed caused by: Post https://ssm.RegionId.amazonaws.com/: dial tcp IP:443: i/o timeout」
登録に失敗する理由、およびこのエラーのトラブルシューティングの方法を教えてください。
簡単な説明
TCP タイムアウトエラーは、次のいずれかの問題により、インスタンスの登録が妨げられていることを示します。
- インスタンスがプライベートサブネットにあり、Systems Manager Virtual Private Cloud (VPC) エンドポイントとカスタム DNS サーバーを使用する。
- インスタンスがプライベートサブネットにあり、インターネットまたは Systems Manager エンドポイントにアクセスできない。
- EC2 インスタンスがパブリックサブネットにあり、VPC のセキュリティグループ およびネットワークアクセスコントロールリスト (ネットワーク ACL) は、ポート 443 の Systems Manager エンドポイントへのアウトバウンド接続を許可するように構成されていない。
- インスタンスがプロキシの背後にあり、SSM Agent は HTTP プロキシ経由で通信するように構成されていないのでインスタンスメタデータサーバーに接続できない。
TCP タイムアウトエラーは、次のパスにあるインスタンスの SSM Agent ログで確認できます。
Linux および macOS
/var/log/amazon/ssm/amazon-ssm-agent.log
/var/log/amazon/ssm/errors.log
Windows
%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log
解決方法
Systems Manager エンドポイントとカスタム DNS を使用するプライベートサブネットのインスタンス
VPC エンドポイントは、Amazon Route 53 を介して、Amazon が提供する DNS のみをサポートします。独自の DNS サーバーを使用するには、次のいずれかを試してください。
インスタンスが Systems Manager エンドポイントに接続できない
VPC セキュリティグループとネットワーク ACL がポート 443 でアウトバウンド接続を許可するように設定されていない
インスタンスがプロキシの背後にあり、インスタンスメタデータサービスに接続できない
詳細については、「Systems Manager コンソールの [マネージドインスタンス] に EC2 インスタンスが表示されないのはなぜですか?」をご参照ください。
関連情報
Virtual Private Cloud エンドポイントの作成