Phenquestions
SCP und SSH einrichten:
Sie müssen die folgenden Konfigurationsschritte ausführen, um SCP- und SSH-Vorgänge vom Localhost zum Remote-Cloud-Asset auszuführen:
Installieren des AWS Systems Manager-Agenten auf EC2-Instances:
Was ist ein SSM-Agent??
Amazons Software SSM Agent kann auf einer EC2-Instance, einer virtuellen Maschine oder einem Server vor Ort installiert und konfiguriert werden. Der SSM-Agent ermöglicht dem Systemmanager, diese Tools zu aktualisieren, zu steuern und anzupassen. Der Agent verarbeitet Anfragen vom AWS Cloud System Manager-Service, führt sie wie in der Anfrage definiert aus und überträgt die Status- und Ausführungsinformationen mithilfe des Amazon Message Delivery Service zurück an den Device Manager-Service. Wenn Sie den Datenverkehr verfolgen, können Sie Ihre Amazon EC2-Instances und alle On-Site-Server oder virtuellen Maschinen in Ihrem Hybridsystem sehen, die mit ec2-Nachrichtenendpunkten interagieren.
SSM-Agent installieren:
Der SSM-Agent ist standardmäßig auf einigen EC2- und Amazon System Images (AMIs)-Instances installiert, z. Außerdem können Sie SSM manuell aus jeder AWS-Region installieren.
Um es unter Amazon Linux zu installieren, laden Sie zunächst das SSM-Agent-Installationsprogramm herunter und führen Sie es dann mit dem folgenden Befehl aus:
[email protected]:~$ sudo yum install -y https://s3.Region.Amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.U/minIm obigen Befehl „Region" spiegelt die AWS-Regionskennung wider, die vom Systems Manager bereitgestellt wird. Wenn Sie es nicht aus der von Ihnen angegebenen Region herunterladen können, verwenden Sie die globale URL i.e
[email protected]:~$ sudo yum install -y https://s3.Amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.U/minBestätigen Sie nach der Installation mit dem folgenden Befehl, ob der Agent ausgeführt wird oder nicht:
[email protected]:~$ sudo status amazon-ssm-agentWenn der obige Befehl anzeigt, dass der amazon-ssm-agent gestoppt wurde, versuchen Sie es mit diesen Befehlen:
[email protected]:~$ sudo starte amazon-ssm-agent[email protected]:~$ sudo status amazon-ssm-agent
IAM-Instanzprofil erstellen:
AWS Systems Manager verfügt standardmäßig nicht über die Berechtigung zum Ausführen von Aktionen auf Ihren Instances. Sie müssen den Zugriff zulassen, indem Sie das AWS Identity and Access Management Instant Profile (IAM) verwenden. Beim Start überträgt ein Container IAM-Positionsdaten an eine Amazon EC2-Instance, die als Instance-Profil bezeichnet wird. Diese Bedingung erstreckt sich auf Genehmigungen für alle AWS Systems Manager-Funktionen. Wenn Sie System Manager-Funktionen wie den Ausführen-Befehl verwenden, kann bereits ein Instanzprofil mit den für Session Manager erforderlichen grundlegenden Berechtigungen an Ihre Instanzen angehängt werden. Wenn Ihre Instances bereits mit einem Instance-Profil verbunden sind, das die AmazonSSMManagedInstanceCore AWS Managed Policy enthält, sind die entsprechenden Session Manager-Berechtigungen bereits erteilt. In bestimmten Fällen müssen die Berechtigungen jedoch möglicherweise geändert werden, um Sitzungsmanagerberechtigungen zu einem Instanzprofil hinzuzufügen. Öffnen Sie zunächst die IAM-Konsole, indem Sie sich bei der AWS-Verwaltungskonsole anmelden. Klicken Sie nun auf „Rollen”-Option in der Navigationsleiste. Wählen Sie hier den Namen der Position aus, die in die Police aufgenommen werden soll. Wählen Sie auf der Registerkarte Berechtigungen die Option Inline-Richtlinie hinzufügen aus, die sich am unteren Rand der Seite befindet. Klicken Sie auf die Registerkarte JSON und ersetzen Sie den bereits temporierten Inhalt durch den folgenden:
"Version": "2012-10-17",
"Aussage": [
"Effekt": "Zulassen",
"Aktion": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Ressource": "*"
,
"Effekt": "Zulassen",
"Aktion": [
"s3:GetEncryptionConfiguration"
],
"Ressource": "*"
,
"Effekt": "Zulassen",
"Aktion": [
"kms:Entschlüsseln"
],
"Ressource": "Schlüsselname"
]
Klicken Sie nach dem Ersetzen des Inhalts auf die Bewertungsrichtlinie. Geben Sie auf dieser Seite den Namen der Inline-Richtlinie wie SessionManagerPermissions unter der Option Name ein. Wählen Sie danach die Option Richtlinie erstellen.
Aktualisieren der Befehlszeilenschnittstelle:
Um Version 2 von AWS CLI über die Linux-Befehlszeile herunterzuladen, laden Sie zunächst die Installationsdatei mit dem Befehl curl herunter:
[email protected]:~$ curl "https://awscli.Amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.Postleitzahl"Entpacken Sie das Installationsprogramm mit diesem Befehl:
[email protected]:~$ awscliv2 entpacken.PostleitzahlUm sicherzustellen, dass das Upgrade an derselben Stelle wie die bereits installierte AWS CLI Version 2 aktiviert ist, suchen Sie den vorhandenen Symlink mit dem Befehl what und das Installationsverzeichnis mit dem Befehl ls wie folgt:
[email protected]:~$ was aws[email protected]:~$ ls -l /usr/local/bin/aws
Erstellen Sie den Installationsbefehl mit diesem Symlink und den Verzeichnisinformationen und bestätigen Sie dann die Installation mit den folgenden Befehlen:
[email protected]:~$ sudo ./aws/install --bin-dir /usr/local/bin --install-dir /usr/local/aws-cli --update[email protected]:~$ aws --version
Session-Manager-Plug-in installieren:
Installieren Sie das Session Manager-Plugin auf Ihrem lokalen Computer, wenn Sie die AWS CLI zum Starten und Beenden von Sitzungen verwenden möchten. Um dieses Plugin unter Linux zu installieren, laden Sie zuerst das RPM-Paket herunter und installieren Sie es dann mit der folgenden Befehlsfolge:
[email protected]:~$ curl "https://s3.Amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm" -o "session-manager-plugin.U/min"[email protected]:~$ sudo yum install -y session-manager-plugin. U/min
Nach der Installation des Pakets können Sie mit dem folgenden Befehl bestätigen, ob das Plugin erfolgreich installiert wurde oder nicht:
[email protected]:~$ session-manager-pluginODER
[email protected]:~$ aws ssm start-session --target id-of-an-instance-you-have-permissions-to-accessAktualisieren der SSH-Konfigurationsdatei des lokalen Hosts:
Ändern Sie die SSH-Konfigurationsdatei so, dass ein Proxy-Befehl eine Sitzung des Session-Managers starten und alle Daten über die Verbindung übergeben kann. Fügen Sie diesen Code der SSH-Konfigurationsdatei mit dem Tempo "~/.ssh/config“:
Verwenden von SCP und SSH:
Jetzt sind Sie bereit, SSH- und SCP-Verbindungen mit Ihren Cloud-Eigenschaften direkt von Ihrem PC in der Nähe zu versenden, nachdem die zuvor genannten Schritte abgeschlossen sind.
Abrufen der Cloud-Asset-Instanz-ID. Dies kann über die AWS-Verwaltungskonsole oder den folgenden Befehl erreicht werden:
[email protected]:~$ aws ec2 BeschreibungsinstanzenSSH kann wie gewohnt ausgeführt werden, indem die Instanz-ID als Hostname verwendet wird, und die SSH-Befehlszeile wechselt wie folgt:
Jetzt können Dateien mit SCP . einfach und ohne Zwischenschritt auf den Remote-Rechner übertragen werden.
Fazit:
Benutzer verlassen sich seit Jahren auf Firewalls, um sicher auf Cloud-Inhalte zuzugreifen, aber diese Optionen haben Probleme mit der Verschlüsselung und dem Verwaltungsaufwand. Eine änderungsfreie Infrastruktur ist zwar aus verschiedenen Gründen ein ideales Ziel, aber in bestimmten Fällen müssen beim Erstellen oder Warten eines Live-Systems Patches oder andere Daten auf die Live-Instanzen kopiert werden, und viele werden am Ende die Notwendigkeit haben, live laufende Systeme zu erreichen oder anzupassen. Der AWS Systems Manager Session Manager ermöglicht diese Funktion ohne zusätzlichen Firewall-Zugang und die Notwendigkeit externer Lösungen wie z. B. S3-Zwischennutzung.
