AWS 布道者系列 了解 AWS 的基础知识的特别版系统管理器第 1 部分并在 AWS Systems Manager(以下简称 SSM)中接触了 Fleet Manager(以下简称 Fleet Manager)。
会话管理器我接触过不少,但我对队列管理器了解不多,所以我做了一个单独的调查,以及查看我在动手的后半部分偶然发现的 EC2 实例的性能计数器(需要使用 KMS 进行会话加密)描述。
1.什么是Fleet?(自我解读)
舰队
[名词] 舰队,海军,车队,军团,集团
[形容词] 快的;迅速的。
术语“服务器机群”似乎是指一组实例,一组实例,那么它是否意味着“管理一组服务器”之类的东西?
2. SSM 中的 Fleet Manager 是什么?
- Fleet Manager 是 SSM 的一项功能
- 远程管理在 AWS 或本地运行的节点
- 从 AWS 管理控制台查看整个服务器组的运行状况和性能状态
- 从各个节点收集数据并从控制台执行常见的故障排除和管理任务
- 允许您使用远程桌面协议 (RDP) 连接到 Windows 实例、查看文件夹和文件的内容、管理 Windows 注册表、管理操作系统用户等
2-1.会话管理器和车队管理器的区别
两者都是 SSM 功能的一种,具有以下特点。
- 您可以远程管理您的服务器,而无需打开 SSH 端口 22、RDP 端口 443 等。
- 需要安装 SSM 代理
- 您需要权限(IAM 角色)才能访问您管理的服务器上的 SSM
- 需要保护通信路径以连接到 SSM
- 如果安装了 SSM 代理并保护了通信路径,则可以管理本地服务器
以下是我轻触的个人看法
会话管理器
- 到 Windows Server 的连接是 CUI
车队经理
- 可以 RDP 到 Windows Server
- 您可以在 AWS 管理控制台上看到以下信息
- (对于 Windows)Windows 事件日志、Windows 注册表
- 性能计数器
- 文件系统
- 处理新
- 用户和组
三、用法
既然有日文动手,我就贴上来。
3-1. 在 Fleet Manager 中查看 EC2 实例性能计数器
这次的配置
3-1-1. 在 Fleet Manager 中查看 EC2 实例性能计数器的机制
-
Fleet Manager 使用 Session Manager 获取性能数据
- 也就是说,你需要准备使用会话管理器
- 准备使用 Session Manager 连接到 EC2 实例
- 向 EC2 实例授予有权访问 SSM (
AmazonSSMManagedInstanceCore) 的 IAM 角色 - 保护从 SSM(会话管理器)到 EC2 实例的通信路径
- 这一次,通过 Internet 网关连接到放置在 VPC 内公共子网中的 EC2 实例
- 向 EC2 实例授予有权访问 SSM (
3-1-2.为什么要使用KMS加密?
- 要在 Fleet Manager 中查看 EC2 实例性能计数器,必须在会话管理器设置中启用 AWS Key Management Service (AWS KMS) 加密
3-1-3. 加密什么?
启用会话数据的 KMS 密钥加密(控制台),它声明“在 AWS 账户内的托管节点和用户本地计算机之间发送的会话数据是使用 KMS 密钥加密程序加密的。”
如果“托管节点”是在 SSM 中可以从 Fleet Manager 中看到的托管节点,而“用户在 AWS 账户中的本地机器”是实际 VPC 中的 EC2 实例,则下图所示位置的会话数据是加密的. (如有错误请指出)
顺便说一句,AWS 云中的通信默认提供 TLS 1.2 加密,即使在公共 IP 之间也是如此。
仅供参考:问:如果两个实例使用公共 IP 地址进行通信,或者实例与公共 AWS 服务端点进行通信,流量会通过 Internet 传输吗?
使用在 AWS KMS 中创建的密钥加密会话数据的选项时,必须安装 SSM SSM 代理版本 2.3.539.0 或更高版本。
将分配给 EC2 实例的 IAM 角色指定给密钥用户,以便可以在 EC2 实例端使用 KMS 密钥。
3-2. 使用 Fleet Manager 连接到 EC2 实例
3-2-1.创建IAM角色
- 转到 IAM 管理控制台
- 创建角色
- 可信实体类型:AWS 服务
- 用例:EC2
- 下一个
- 添加权限
- 检查管理策略
AmazonSSMManagedInstanceCore - 下一个
- 检查管理策略
- 根据角色名称创建角色
3-2-2.创建EC2实例(这次是Windows)
- 转到 EC2 管理控制台
- 启动实例
- 用名称和标签填写任何名称
- 为应用程序和操作系统映像(Amazon 系统映像)选择 Windows
- 指定任何密钥对
- 网络设置
- 这次选择默认VPC的公有子网(默认)
- 在防火墙(安全组)中创建一个新的安全组,不要配置任何入站允许规则,因为它们是不需要的
- 除非出站 HTTPS 访问受到限制,否则无需入站授权
- 展开高级详细信息
- 在IAM实例配置文件中选择“3-2-1.创建IAM角色”中创建的IAM角色
- 启动实例
3-2-3. 检查与 SSM Fleet Manager 的连接
- 转到 SSM 管理控制台
- 在左侧导航窗格中选择 Fleet Manager
- 检查已启动的 Windows Server [节点操作] - [与远程桌面 (RDP) 的链接]
- 选择密钥对并连接
- Windows GUI 出现
- Fleet Manager 存在即使 IME 设置为日语也无法输入日语的问题。您可以从本地终端复制和粘贴。
3-3. 在 Fleet Manager 中检查性能计数器
3-3-1.创建KMS加密密钥
- 转到 KMS 管理控制台
- 在左侧导航窗格中选择客户管理的密钥,然后单击创建密钥。
- [密钥类型][密钥用法]继续
- 为别名和下一步输入任意字符串
- 选择任何 IAM 用户作为密钥管理员,然后选择下一步
- 定义密钥使用权限 选择“3-2-1.创建IAM角色”中创建的IAM角色,点击下一步
- 完成
3-3-2. 在会话管理器中启用加密
- 转到 SSM 管理控制台
- 在左侧导航窗格中选择 Fleet Manager
- 单击您启动的 Windows Server 的节点 ID 链接
- 选择“性能计数器”时出错。单击错误中的“会话设置”
- 打开会话管理器配置屏幕
- 可以看到KMS加密被禁用了
- 单击编辑
- 勾选“KMS加密”中的“启用KMS加密”,选择“3-2-5.创建KMS加密密钥”中创建的密钥
- 点击屏幕底部的保存
3-3-3. 在 Fleet Manager 中检查性能计数器
- 转到 SSM 管理控制台
- 在左侧导航窗格中选择 Fleet Manager
- 单击您启动的 Windows Server 的节点 ID 链接
- 选择“性能计数器”查看性能计数器
参考
原创声明:本文系作者授权爱码网发表,未经许可,不得转载;
原文地址:https://www.likecs.com/show-308622611.html