`AWSSupport-TroubleshootEC2InstanceConnect`

Deskripsi

AWSSupport-TroubleshootEC2InstanceConnectotomatisasi membantu menganalisis dan mendeteksi kesalahan yang mencegah koneksi ke instans Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) menggunakan Amazon EC2 Instance Connect. Ini mengidentifikasi masalah yang disebabkan oleh Amazon Machine Image (AMI) yang tidak didukung, instalasi atau konfigurasi paket tingkat OS yang hilang, izin AWS Identity and Access Management (IAM) yang hilang, atau masalah konfigurasi jaringan.

Bagaimana cara kerjanya?

Runbook mengambil ID instans Amazon EC2, nama pengguna, mode koneksi, CIDR IP sumber, port SSH, dan Amazon Resource Name (ARN) untuk peran IAM atau pengguna yang mengalami masalah dengan Amazon EC2 Instance Connect. Kemudian memeriksa prasyarat untuk menghubungkan ke instans Amazon EC2 menggunakan Amazon EC2 Instance Connect:

Contohnya berjalan dan dalam keadaan sehat.
Instans terletak di AWS wilayah yang didukung oleh Amazon EC2 Instance Connect.
AMI instans didukung oleh Amazon EC2 Instance Connect.
Instance dapat mencapai Instance Metadata Service ()IMDSv2.
Paket Amazon EC2 Instance Connect diinstal dan dikonfigurasi dengan benar di tingkat OS.
Konfigurasi jaringan (grup keamanan, ACL jaringan, dan aturan tabel rute) memungkinkan koneksi ke instans melalui Amazon EC2 Instance Connect.
Peran IAM atau pengguna yang digunakan untuk memanfaatkan Amazon EC2 Instance Connect memiliki akses ke tombol push ke instans Amazon EC2.

penting

Untuk memeriksa instans AMI, jangkauan IMDSv2, dan penginstalan paket Instans Connect Amazon EC2, instans harus dikelola SSM. Jika tidak, ia melewatkan langkah-langkah itu. Untuk informasi selengkapnya, lihat Mengapa instans Amazon EC2 saya tidak ditampilkan sebagai node terkelola.
Pemeriksaan jaringan hanya akan mendeteksi jika grup keamanan dan aturan ACL jaringan memblokir lalu lintas ketika SourceIp CIDR disediakan sebagai parameter input. Jika tidak, itu hanya akan menampilkan aturan terkait SSH.
Sambungan yang menggunakan Endpoint Instans Connect Amazon EC2 tidak divalidasi di runbook ini.
Untuk koneksi pribadi, otomatisasi tidak memeriksa apakah klien SSH diinstal pada mesin sumber dan apakah itu dapat mencapai alamat IP pribadi instans.

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux

Parameter

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

ec2:DescribeInstances
ec2:DescribeSecurityGroups
ec2:DescribeNetworkAcls
ec2:DescribeRouteTables
ec2:DescribeInternetGateways
iam:SimulatePrincipalPolicy
ssm:DescribeInstanceInformation
ssm:ListCommands
ssm:ListCommandInvocations
ssm:SendCommand

Instruksi

Ikuti langkah-langkah ini untuk mengonfigurasi otomatisasi:

Arahkan ke AWSSupport-TroubleshootEC2InstanceConnectdalam AWS Systems Manager konsol.
Pilih Jalankan otomatisasi.
Untuk parameter input, masukkan yang berikut ini:
- InstanceId (Diperlukan):
  
  ID instans Amazon EC2 target yang tidak dapat Anda sambungkan menggunakan Amazon EC2 Instance Connect.
- AutomationAssumeRole (Opsional):
  
  ARN dari peran IAM yang memungkinkan Systems Manager Automation untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
- Nama Pengguna (Diperlukan):
  
  Nama pengguna yang digunakan untuk menyambung ke instans Amazon EC2 menggunakan Amazon EC2 Instance Connect. Ini digunakan untuk mengevaluasi apakah akses IAM diberikan untuk pengguna khusus ini.
- EC2InstanceConnectRoleOrUser(Diperlukan):
  
  ARN peran IAM atau pengguna yang memanfaatkan Amazon EC2 Instance Connect untuk menekan tombol ke instans.
- SSHPort (Opsional):
  
  Port SSH dikonfigurasi pada instans Amazon EC2. Nilai default-nya adalah 22. Nomor port harus berada di antara1-65535.
- SourceNetworkType (Opsional):
  
  Metode akses jaringan ke instans Amazon EC2:
  - Browser: Anda terhubung dari AWS Management Console.
  - Publik: Anda terhubung ke instans yang terletak di subnet publik melalui internet (misalnya, komputer lokal Anda).
  - Pribadi: Anda terhubung melalui alamat IP pribadi instans.
- SourceIpCIDR (Opsional):
  
  Sumber CIDR yang menyertakan alamat IP perangkat (seperti komputer lokal Anda) akan Anda log dari menggunakan Amazon EC2 Instance Connect. Contoh: 172.31.48.6/32. Jika tidak ada nilai yang diberikan dengan mode akses publik atau pribadi, runbook tidak akan mengevaluasi apakah grup keamanan instans Amazon EC2 dan aturan ACL jaringan mengizinkan lalu lintas SSH. Ini akan menampilkan aturan terkait SSH sebagai gantinya.
Pilih Jalankan.
Otomatisasi dimulai.
Dokumen melakukan langkah-langkah berikut:
- AssertInitialState:
  
  Memastikan status instans Amazon EC2 berjalan. Jika tidak, otomatisasi berakhir.
- GetInstanceProperties:
  
  Mendapatkan properti instans Amazon EC2 saat ini (PlatformDetails,, PublicIpAddress VpcId, SubnetId dan MetadataHttpEndpoint).
- GatherInstanceInformationFromSSM:
  
  Mendapat status ping dan detail sistem operasi instans Systems Manager jika instans dikelola SSM.
- CheckIfAWSRegionDidukung:
  
  Memeriksa apakah instans Amazon EC2 terletak di wilayah yang didukung Amazon EC2 Instance Connect AWS .
- BranchOnIfAWSRegionDidukung:
  
  Melanjutkan eksekusi jika AWS Wilayah didukung oleh Amazon EC2 Instance Connect. Jika tidak, itu menciptakan output dan keluar dari otomatisasi.
- CheckIfInstanceAMIIsDidukung:
  
  Memeriksa apakah AMI yang terkait dengan instans didukung oleh Amazon EC2 Instance Connect.
- BranchOnIfInstanceAMIIsDidukung:
  
  Jika instans AMI didukung, instans akan melakukan pemeriksaan tingkat OS, seperti jangkauan metadata dan instalasi dan konfigurasi paket Amazon EC2 Instance Connect. Jika tidak, ia memeriksa apakah metadata HTTP diaktifkan menggunakan AWS API, lalu melanjutkan ke langkah pemeriksaan jaringan.
- Periksa IMDSReachabilityFromOs:
  
  Menjalankan skrip Bash pada instans Linux Amazon EC2 target untuk memeriksa apakah skrip tersebut dapat mencapai file. IMDSv2
- Periksa EICPackage Instalasi:
  
  Menjalankan skrip Bash pada instans Linux Amazon EC2 target untuk memeriksa apakah paket Amazon EC2 Instance Connect diinstal dan dikonfigurasi dengan benar.
- Periksa SSHConfigFromOs:
  
  Menjalankan skrip Bash pada instans Linux Amazon EC2 target untuk memeriksa apakah port SSH yang dikonfigurasi cocok dengan parameter input `. SSHPort `
- CheckMetadataHTTPEndpointIsEnabled:
  
  Memeriksa apakah layanan metadata instance HTTP endpoint diaktifkan.
- Periksa EICNetwork Akses:
  
  Memeriksa apakah konfigurasi jaringan (grup keamanan, ACL jaringan, dan aturan tabel rute) mengizinkan koneksi ke instans melalui Amazon EC2 Instance Connect.
- Periksa IAMRoleOrUserPermissions:
  
  Memeriksa apakah peran IAM atau pengguna yang digunakan untuk memanfaatkan Amazon EC2 Instance Connect memiliki akses ke tombol push ke instans Amazon EC2 menggunakan nama pengguna yang disediakan.
- MakeFinalOutput:
  
  Mengkonsolidasikan output dari semua langkah sebelumnya.
Setelah selesai, tinjau bagian Output untuk hasil eksekusi yang terperinci:

Eksekusi di mana instance target memiliki semua prasyarat yang diperlukan:

Eksekusi di mana AMI dari instans target tidak didukung:

Referensi

Otomatisasi Systems Manager

AWS dokumentasi layanan

Bagaimana cara mengatasi masalah saat terhubung ke instans Amazon EC2 menggunakan Amazon EC2 Instance Connect?

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWSPremiumSupport-TroubleshootEC2DiskUsage

AWSSupport-TroubleshootLinuxMGNDRSAgentLogs