"`,则意味着已成功验证签名,您可以继续运行 EC2Rescue for Linux 安装脚本。
如果输出包含短语 `BAD signature`,则检查是否正确执行了此过程。如果您持续获得此响应,请联系 Amazon Web Services,而不要运行之前下载的安装文件。
下面是有关您可能看到的警告的详细信息:
+ **WARNING: This key is not certified with a trusted signature\$1 There is no indication that the signature belongs to the owner.**这表示您坚信自己拥有 EC2Rescue for Linux 的可信公有密钥的个人信任级别。理想情况下,您将前往 Amazon Web Services 办公室并亲自接收此密钥。但更常见的情况是,从网站下载此密钥。在这种情况下,该网站是 Amazon Web Services 网站。
+ **gpg2: no ultimately trusted keys found.** 这意味着您 (或您信任的其他人) 对特定密钥不是“绝对信任”。
有关更多信息,请参阅 [https://www.gnupg.org/](https://www.gnupg.org/)。
# 在 Amazon EC2 Linux 实例上运行 EC2Rescue 命令
运行 EC2Rescue 命令
EC2Rescue 是一个命令行工具。在 Linux 实例上安装 EC2Rescue 后,您可以通过运行 `./ec2rl help` 获得有关如何使用该工具的一般帮助。您可以通过运行 `./ec2rl list` 查看可用模块,也可以通过运行 `./ec2rl help module_name` 获得有关特定模块的帮助。
下面是您可以执行以便开始使用此工具的常见任务。
**Topics**
+ [
## 运行 EC2Rescue 模块
](#ec2rl_running_module)
+ [
## 上传 EC2Rescue 模块结果
](#ec2rl_uploading_results)
+ [
## 创建 Amazon EC2 Linux 实例的备份
](#ec2rl_creating_backups)
## 运行 EC2Rescue 模块
**运行所有 EC2Rescue 模块**
使用 **./ec2rl run** 命令而不指定任何附加参数。有些模块需要根访问权限。如果您不是根用户,请在运行命令时使用 **sudo**。
```
./ec2rl run
```
**运行特定的 EC2Rescue 模块**
使用 **./ec2rl run** 命令并为 `--only-modules` 指定要运行的模块的名称。有些模块需要*参数*才能使用。
```
./ec2rl run --only-modules=module_name --arguments
```
例如,要运行 **dig** 模块查询 `amazon.com` 域,请使用以下命令。
```
./ec2rl run --only-modules=dig --domain=amazon.com
```
**查看 EC2Rescue 模块的结果**
运行该模块,然后查看 `cat /var/tmp/ec2rl/logfile_location` 中的日志文件。例如,可在以下位置找到 **dig** 模块的日志文件:
```
cat /var/tmp/ec2rl/timestamp/mod_out/run/dig.log
```
## 上传 EC2Rescue 模块结果
如果 Amazon Web Services 支持 请求 EC2Rescue 模块的结果,则可以使用 EC2Rescue 工具上传日志文件。您可以将结果上传到 Amazon Web Services 支持 提供的位置或您自己的 Amazon S3 存储桶。
**将结果上传到 Amazon Web Services 支持 提供的位置**
使用 **./ec2rl upload** 命令。对于 `--upload-directory`,指定日志文件的位置。对于 `--support-url`,请指定 Amazon Web Services 支持 提供的 URL。
```
./ec2rl upload --upload-directory=/var/tmp/ec2rl/logfile_location --support-url="url_provided_by_aws_support"
```
**将结果上传到 Amazon S3 存储桶**
使用 **./ec2rl upload** 命令。对于 `--upload-directory`,指定日志文件的位置。对于 `--presigned-url`,为 S3 存储桶指定预签名 URL。有关为 Amazon S3 生成预签名 URL 的更多信息,请参阅[使用预签名 URL 上传对象](https://docs.amazonaws.cn/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)。
```
./ec2rl upload --upload-directory=/var/tmp/ec2rl/logfile_location --presigned-url="presigned_s3_url"
```
## 创建 Amazon EC2 Linux 实例的备份
您可以使用 EC2Rescue 通过创建 AMI 或创建其附加卷的快照来备份您的 Linux 实例。
**创建 AMI**
使用 `./ec2rl run` 命令,并为 --`backup` 指定 `ami`。
```
./ec2rl run --backup=ami
```
**创建所有附加卷的多卷快照**
使用 `./ec2rl run` 命令,并为 --`backup` 指定 `allvolumes`。
```
./ec2rl run --backup=allvolumes
```
**创建特定附加卷的快照**
使用 `./ec2rl run` 命令,并为 --`backup` 指定要备份的卷的 ID。
```
./ec2rl run --backup=vol-01234567890abcdef
```
# 为 Amazon EC2 Linux 实例开发 EC2Rescue 模块
开发 EC2Rescue 模块
模块使用 YAML 编写,这是一种数据序列化标准。模块的 YAML 文件包括一个文档,用于表示模块及其属性。
## 添加模块属性
下表列出了可用的模块属性。
| 属性 | 说明 |
| --- | --- |
| name | 模块的名称。该名称长度应少于或等于 18 个字符。 |
| 版本 | 模块的版本号。 |
| 删除实例快照 | 模块的简短说明性标题。此值的长度应少于或等于 50 个字符。 |
| helptext | 模块的详细说明。每一行的长度应少于或等于 75 个字符。如果模块使用必需或可选参数,请在 helptext 值中包括这些参数。 例如: helptext: !!str |
Collect output from ps for system analysis
Consumes --times= for number of times to repeat
Consumes --period= for time period between repetition
|
| placement | 运行模块的阶段。支持的值: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| language | 编写模块代码使用的语言。支持的值: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) Python 代码必须同时兼容 Python 2.7.9\$1 和 Python 3.2\$1。 |
| 修复 | 指示模块是否支持修正。支持的值为 `True` 或 `False`。 模块默认为 `False`(如果不存在),这使其成为那些不支持修正的模块的可选属性。 |
| content | 整个脚本代码。 |
| constraint | 包含限制值的对象的名称。 |
| 域 | 说明如何分组或分类模块的描述符。所包括的模块组使用以下域: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| class | 由模块执行的任务类型的描述符。所包括的模块组使用以下类: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| distro | 此模块支持的 Linux 发行版的列表。所包含的模块组使用以下发行版: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| 必需 | 模块从 CLI 选项使用的必需参数。 |
| optional | 模块可使用的可选参数。 |
| 软件 | 模块中使用的软件可执行文件。此属性用于指定默认情况下未安装的软件。EC2Rescue for Linux 逻辑在运行模块之前确保这些程序存在并且可执行。 |
| 程序包 | 可执行文件的源软件包。此属性用于随软件提供软件包的详细信息,包括用于下载或者获取更多信息的 URL。 |
| sudo | 指示运行模块是否需要根访问权限。 您无需在模块脚本中实施 sudo 检查。如果值为 true,则 EC2Rescue for Linux 逻辑仅在执行用户具有根访问权限时才运行模块。 |
| perfimpact | 指示模块对其运行环境是否会产生重大性能影响。如果值为 true 并且没有 `--perfimpact=true` 参数,则跳过模块。 |
| parallelexclusive | 指定需要互斥的程序。例如,所有指定“bpf”的模块以串行方式运行。 |
## 设置环境变量
下表列出了可用的环境变量。
| 环境变量 | 说明 |
| --- | --- |
| `EC2RL_CALLPATH` | ec2rl.py 的路径。此路径可用于定位 lib 目录和使用分发的 Python 模块。 |
| `EC2RL_WORKDIR` | 诊断工具的主 tmp 目录。 默认值:`/var/tmp/ec2rl`。 |
| `EC2RL_RUNDIR` | 用于存储所有输出的目录。 默认值:`/var/tmp/ec2rl/`。 |
| `EC2RL_GATHEREDDIR` | 用于放置收集的模块数据的根目录。 默认值:`/var/tmp/ec2rl//mod_out/gathered/`。 |
| `EC2RL_NET_DRIVER` | 为实例上第一个 (按照字母顺序排序) 非虚拟网络接口使用的驱动程序。 示例: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| `EC2RL_SUDO` | 如果 EC2Rescue for Linux 以根身份运行,则为 true;否则为 false。 |
| `EC2RL_VIRT_TYPE` | 由实例元数据提供的虚拟化类型。 示例: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rl_moduledev.html) |
| `EC2RL_INTERFACES` | 系统上的接口枚举列表。该值为包含名称的字符串,例如 `eth0`、`eth1` 等。这通过 `functions.bash` 生成,仅对其来源模块可用。 |
## 使用 YAML 语法
在您构建模块 YAML 文件时,应注意以下事项:
+ 三个连字符 (`---`) 表示文档的明确开始位置。
+ `!ec2rlcore.module.Module` 标签指示 YAML 分析器在从数据流创建对象时调用哪个构造函数。您可在 `module.py` 文件内部查找构造函数。
+ `!!str` 标签告知 YAML 解析器不尝试确定数据的类型,而是将内容解释为字符串文本。
+ 竖线字符 (`|`) 告知 YAML 解析器该值为文字类型的标量。在这种情况下,解析器包括所有空格。对于模块而言这非常重要,因为保留了缩进和换行字符。
+ YAML 标准缩进为两个空格,在下例中可以看到。请确保您为脚本保留了标准缩进 (例如,对于 Python 为四个空格),然后在模块文件中将全部内容缩进两个空格。
## 模块示例
示例 1 (`mod.d/ps.yaml`):
```
--- !ec2rlcore.module.Module
# Module document. Translates directly into an almost-complete Module object
name: !!str ps
path: !!str
version: !!str 1.0
title: !!str Collect output from ps for system analysis
helptext: !!str |
Collect output from ps for system analysis
Requires --times= for number of times to repeat
Requires --period= for time period between repetition
placement: !!str run
package:
- !!str
language: !!str bash
content: !!str |
#!/bin/bash
error_trap()
{
printf "%0.s=" {1..80}
echo -e "\nERROR: "$BASH_COMMAND" exited with an error on line ${BASH_LINENO[0]}"
exit 0
}
trap error_trap ERR
# read-in shared function
source functions.bash
echo "I will collect ps output from this $EC2RL_DISTRO box for $times times every $period seconds."
for i in $(seq 1 $times); do
ps auxww
sleep $period
done
constraint:
requires_ec2: !!str False
domain: !!str performance
class: !!str collect
distro: !!str alami ubuntu rhel suse
required: !!str period times
optional: !!str
software: !!str
sudo: !!str False
perfimpact: !!str False
parallelexclusive: !!str
```
# 使用 EC2Rescue 对受损的 Amazon EC2 Windows 实例进行问题排查
EC2Rescue for Windows 实例
EC2Rescue for Windows Server 是一个易于使用的工具,可以在 Amazon EC2 Windows Server 实例上运行,以诊断和排查可能存在的问题。它不仅可以收集日志文件以及进行故障排除,还会主动搜索可能存在问题的区域,具有很高的价值。它甚至可以检查其他实例中的 Amazon EBS 根卷,并收集相关日志以对使用该卷的 Windows Server 实例进行故障排除。以下是 EC2Rescue 可以解决的一些常见问题:
+ 防火墙、远程桌面协议(RDP)或网络接口配置导致的实例连接问题
+ 停止错误、启动循环或注册表损坏导致的操作系统启动问题
+ 可能需要进行高级日志分析和问题排查的问题
EC2Rescue for Windows Server 有两个不同模块:
+ 一个是**数据收集器模块**,用于收集所有不同来源的数据
+ 一个是**分析器模块**,用于解析根据一系列预定义规则收集的数据,从而识别问题并提供建议
EC2Rescue for Windows Server 工具只能在运行 Windows Server 2012 及更高版本的 Amazon EC2 实例上运行。该工具启动后,将检查它是否正在 Amazon EC2 实例上运行。
**注意**
`AWSSupport-ExecuteEC2Rescue` Amazon Systems Manager 自动化运行手册使用 EC2Rescue 工具进行问题排查,并尽可能修复指定 EC2 实例的常见连接问题。有关详细信息以及要运行此自动化,请参阅 [>AWSSupport-ExecuteEC2Rescue](https://docs.amazonaws.cn/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-executeec2rescue.html)。
如果您使用的是 Linux 实例,则请参阅 [使用 EC2Rescue 对受损的 Amazon EC2 Linux 实例进行问题排查](Linux-Server-EC2Rescue.md)。
**Topics**
+ [使用 EC2Rescue GUI 进行问题排查](ec2rw-gui.md)
+ [使用 EC2Rescue CLI 进行问题排查](ec2rw-cli.md)
+ [使用 EC2Rescue 和 Systems Manager 进行问题排查](ec2rw-ssm.md)
# 使用 EC2Rescue GUI 对受损的 Windows 实例进行问题排查
使用 EC2Rescue GUI 进行问题排查
EC2Rescue for Windows Server 可以对**离线实例**执行以下分析:
| 选项 | 描述 |
| --- | --- |
| 诊断和抢救 | EC2Rescue for Windows Server 可以使用以下服务设置检测和解决问题: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-gui.html) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-gui.html) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-gui.html) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-gui.html) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-gui.html) [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-gui.html) |
| Restore | 执行以下操作之一: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-gui.html) |
| 捕获日志 | 允许您捕获实例的日志,用于分析。 |
EC2Rescue for Windows Server 可以从**活动实例和离线实例**收集以下数据:
| Item | 说明 |
| --- | --- |
| Event Log (事件日志) | 收集应用程序、系统和 EC2Config 事件日志。 |
| 注册表 | 收集 SYSTEM 和 SOFTWARE Hive。 |
| Windows 更新日志 | 收集 Windows 更新生成的日志文件。 在 Windows Server 2016 及更高版本中,日志以 Windows 事件跟踪 (ETW) 格式收集。 |
| Sysprep 日志 | 收集 Windows 系统准备工具生成的日志文件。 |
| 驱动程序安装日志 | 收集 Windows SetupAPI 日志 (setupapi.dev.log 和 setupapi.setup.log)。 |
| 启动配置 | 收集 HKEY\$1LOCAL\$1MACHINE\$1BCD00000000 Hive。 |
| 内存转储 | 收集实例上的所有内存转储文件。 |
| EC2Config 文件 | 收集 EC2Config 服务生成的日志文件。 |
| EC2Launch 文件 | 收集 EC2Launch 脚本生成的日志文件。 |
| SSM Agent 文件 | 收集 SSM Agent 生成的日志文件和 Patch Manager 日志。 |
| EC2 ElasticGPU 文件 | 收集与 Elastic GPU 相关的事件日志。 |
| ECS | 收集与 Amazon ECS 相关的日志。 |
| CloudEndure | 收集与 CloudEndure 代理相关的日志文件。 |
| 适用于 MGN 或 DRS 日志文件的 Amazon Replication Agent | 收集与 Amazon Application Migration Service 或 Amazon Elastic Disaster Recovery相关的日志文件。 |
EC2Rescue for Windows Server 可以从**活动实例**收集以下额外数据:
| Item | 说明 |
| --- | --- |
| 信息系统 | 收集 MSInfo32。 |
| 组策略结果 | 收集组策略报告。 |
## 分析离线实例
**Offline Instance** 选项在调试 Windows 实例的启动问题时很有用。
**在离线实例上执行操作**
1. 在正在运行的 Windows Server 实例上,下载 [EC2Rescue for Windows Server](https://s3.amazonaws.com/ec2rescue/windows/EC2Rescue_latest.zip?x-download-source=docs) 工具并提取文件。
您可以运行以下 PowerShell 命令以下载 EC2Rescue,而无需更改 Internet Explorer 增强安全性配置 (ESC):
```
Invoke-WebRequest https://s3.amazonaws.com/ec2rescue/windows/EC2Rescue_latest.zip -OutFile $env:USERPROFILE\Desktop\EC2Rescue_latest.zip
```
该命令将 EC2Rescue .zip 文件下载到当前登录用户的桌面中。
**注意**
如果您在下载文件时收到错误,并且正在使用 Windows Server 2016 或更早的版本,则可能需要为 PowerShell 终端启用 TLS 1.2。可以使用以下命令为当前 PowerShell 会话启用 TLS 1.2,然后重试:
```
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
```
1. 停止出现故障的实例 (如果目前尚未停止)。
1. 从出现故障的实例中分离 EBS 根卷,并将该卷附加到安装了 EC2Rescue for Windows Server 的正在运行的 Windows 实例。
1. 在正在运行的实例上运行 EC2Rescue for Windows Server 工具并选择**离线实例**。
1. 选择新装载卷的磁盘,并选择 **Next**。
1. 确认所选磁盘并选择 **Yes**。
1. 选择要执行的离线实例选项,并选择 **Next**。
EC2Rescue for Windows Server 工具会扫描该卷,并根据所选的日志文件收集故障排除信息。
## 收集来自活动实例的数据
您可以收集活动实例的日志和其他数据。
**收集来自活动实例的数据**
1. 连接到您的 Windows 实例。
1. 将 [EC2Rescue for Windows Server](https://s3.amazonaws.com/ec2rescue/windows/EC2Rescue_latest.zip?x-download-source=docs) 工具下载到您的 Windows 实例并提取文件。
您可以运行以下 PowerShell 命令以下载 EC2Rescue,而无需更改 Internet Explorer 增强安全性配置 (ESC):
```
Invoke-WebRequest https://s3.amazonaws.com/ec2rescue/windows/EC2Rescue_latest.zip -OutFile $env:USERPROFILE\Desktop\EC2Rescue_latest.zip
```
该命令将 EC2Rescue .zip 文件下载到当前登录用户的桌面中。
**注意**
如果您在下载文件时收到错误,并且正在使用 Windows Server 2016 或更早的版本,则可能需要为 PowerShell 终端启用 TLS 1.2。可以使用以下命令为当前 PowerShell 会话启用 TLS 1.2,然后重试:
```
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
```
1. 打开 EC2Rescue for Windows Server 应用程序并接受许可协议。
1. 选择 **Next**、**Current instance**、**Capture logs**。
1. 选择要收集的数据项,然后选择 **Collect...**。阅读警告并选择 **Yes** 以继续操作。
1. 选择 ZIP 文件的文件名和位置,然后选择 **Save**。
1. EC2Rescue for Windows Server 完成之后,选择**打开包含文件夹**查看 ZIP 文件。
1. 选择**结束**。
# 使用 EC2Rescue CLI 对受损的 Windows 实例进行问题排查
使用 EC2Rescue CLI 进行问题排查
利用 EC2Rescue for Windows Server 命令行界面 (CLI),您可以编程方式运行 EC2Rescue for Windows Server 插件(称为“操作”)。
EC2Rescue for Windows Server 工具有两种执行模式:
+ **/online** — 这允许您对安装了 EC2Rescue for Windows Server 的实例执行操作(如收集日志文件)。
+ **/offline:** — 这允许您对附加到单独的 Amazon EC2 Windows 实例(已安装 EC2Rescue for Windows Server)的脱机根卷执行操作。
将 [EC2Rescue for Windows Server](https://s3.amazonaws.com/ec2rescue/windows/EC2Rescue_latest.zip?x-download-source=docs) 工具下载到您的 Windows 实例并提取文件。您可以使用以下命令查看帮助文件:
```
EC2RescueCmd.exe /help
```
EC2Rescue for Windows Server 可对 Amazon EC2 Windows 实例执行下列操作:
+ [收集操作](#ec2rw-collect)
+ [救援行动](#ec2rw-rescue)
+ [还原操作](#ec2rw-restore)
## 收集操作
**注意**
您可以收集所有日志、整个日志组或一个组中的单个日志。
EC2Rescue for Windows Server 可以从**活动实例和离线实例**收集以下数据。
| 日志组 | 可用日志 | 说明 |
| --- | --- | --- |
| all | | 收集所有可用日志。 |
| eventlog | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | 收集应用程序、系统和 EC2Config 事件日志。 |
| memory-dump | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | 收集实例上的所有内存转储文件。 |
| ec2config | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | 收集 EC2Config 服务生成的日志文件。 |
| ec2launch | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | 收集 EC2Launch 脚本生成的日志文件。 |
| ssm-agent | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | 收集 SSM Agent 生成的日志文件和 Patch Manager 日志。 |
| sysprep | 'Log Files' | 收集 Windows 系统准备工具生成的日志文件。 |
| driver-setup | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | 收集 Windows SetupAPI 日志 (setupapi.dev.log 和 setupapi.setup.log)。 |
| registry | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | 收集 SYSTEM 和 SOFTWARE Hive。 |
| egpu | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | 收集与 Elastic GPU 相关的事件日志。 |
| boot-config | 'BCDEDIT Output' | 收集 HKEY\$1LOCAL\$1MACHINE\$1BCD00000000 Hive。 |
| windows-update | 'Log Files' | 收集 Windows 更新生成的日志文件。 在 Windows Server 2016 及更高版本中,日志以 Windows 事件跟踪 (ETW) 格式收集。 |
| cloudendure | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | 收集与 CloudEndure 代理相关的日志文件。 |
EC2Rescue for Windows Server 可以从**活动实例**收集以下额外数据。
| 日志组 | 可用日志 | 说明 |
| --- | --- | --- |
| system-info | 'MSInfo32 Output' | 收集 MSInfo32。 |
| gpresult | 'GPResult Output' | 收集组策略报告。 |
可用选项如下:
+ **/output:** – 使用 zip 格式保存收集的日志文件所需的目标文件路径位置。
+ **/no-offline** – 离线模式下使用的可选属性。不会在完成操作后将卷设置为脱机。
+ **/no-fix-signature** – 离线模式下使用的可选属性。不会在完成操作后修复可能的磁盘签名冲突。
### 示例
以下示例使用的是 EC2Rescue for Windows Server CLI。
#### 在线模式示例
收集所有可用日志:
```
EC2RescueCmd /accepteula /online /collect:all /output:
```
仅收集特定日志组:
```
EC2RescueCmd /accepteula /online /collect:ec2config /output:
```
收集日志组中的单个日志:
```
EC2RescueCmd /accepteula /online /collect:'ec2config.Log Files,driver-setup.SetupAPI Log Files' /output:
```
#### 离线模式示例
从 EBS 卷收集所有可用日志。该卷按 device\$1id 值指定。
```
EC2RescueCmd /accepteula /offline:xvdf /collect:all /output:
```
仅收集特定日志组:
```
EC2RescueCmd /accepteula /offline:xvdf /collect:ec2config /output:
```
## 救援行动
EC2Rescue for Windows Server 可以使用以下服务设置检测和解决问题:
| 服务组 | 可用操作 | 说明 |
| --- | --- | --- |
| all | | |
| system-time | 'RealTimeIsUniversal' | 系统时间[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) |
| firewall | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | Windows 防火墙 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) |
| rdp | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | 远程桌面 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) |
| ec2config | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) | EC2Config [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) |
| ec2launch | 'Reset Administrator Password' | 生成新的 Windows 管理员密码。 |
| network | 'DHCP Service Startup' | 网络接口 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2rw-cli.html) |
可用选项如下:
+ **/level:** – 操作应触发的检查级别的可选属性。允许的值包括:`information`、`warning`、`error`、`all`。默认情况下,将它设置为 `error`。
+ **/check-only** – 可生成报告但不修改离线卷的可选属性。
**注意**
如果 EC2Rescue for Windows Server 检测到可能存在磁盘签名冲突,则默认情况下,即使您使用 `/check-only` 选项,它也会在此离线过程完成后更正签名。必须使用 `/no-fix-signature` 选项才能阻止更正。
+ **/no-offline** – 可防止在完成操作之后将卷设置为离线的可选属性。
+ **/no-fix-signature** – 不会在完成操作后修复可能的磁盘签名冲突的可选属性。
### 救援示例
以下示例使用的是 EC2Rescue for Windows Server CLI。该卷是使用 device\$1id 值指定的。
尝试修复在卷上发现的所有问题:
```
EC2RescueCmd /accepteula /offline:xvdf /rescue:all
```
尝试修复卷上的一个服务组内的所有问题:
```
EC2RescueCmd /accepteula /offline:xvdf /rescue:firewall
```
尝试修复卷上的一个服务组内的特定项目:
```
EC2RescueCmd /accepteula /offline:xvdf /rescue:rdp.'Service Start'
```
指定在一个卷上要尝试修复的多个问题:
```
EC2RescueCmd /accepteula /offline:xvdf /rescue:'system-time.RealTimeIsUniversal,ec2config.Service Start'
```
## 还原操作
EC2Rescue for Windows Server 可以使用以下服务设置检测和解决问题:
| 服务组 | 可用操作 | 说明 |
| --- | --- | --- |
| 还原上次已知的正常配置 | lkgc | 上次已知的正常配置 – 尝试以上次已知的可启动状态启动实例。 |
| 从最新备份还原 Windows 注册表 | regback | 从备份还原注册表 – 从 \$1Windows\$1System32\$1config\$1RegBack 还原注册表。 |
可用选项如下:
+ **/no-offline** — 可防止在完成操作之后将卷设置为脱机的可选属性。
+ **/no-fix-signature** — 不会在完成操作后修复可能的磁盘签名冲突的可选属性。
### 还原示例
以下示例使用的是 EC2Rescue for Windows Server CLI。该卷是使用 device\$1id 值指定的。
在卷上还原上次已知的正常配置:
```
EC2RescueCmd /accepteula /offline:xvdf /restore:lkgc
```
在卷上还原上一个 Windows 注册表备份:
```
EC2RescueCmd /accepteula /offline:xvdf /restore:regback
```
# 使用 EC2Rescue 和 Systems Manager 对受损的 Windows 实例进行问题排查
使用 EC2Rescue 和 Systems Manager 进行问题排查
Amazon Web Services 支持 为您提供了 Systems Manager Run Command 文档,目的是与您启用了 Systems Manager 的实例交互来运行 EC2Rescue for Windows Server。Run Command 文档称为 `AWSSupport-RunEC2RescueForWindowsTool`。
此 Systems Manager Run Command 文档执行下列任务:
+ 下载并验证 EC2Rescue for Windows Server。
+ 导入 PowerShell 模块以使您与此工具的交互变得简单。
+ 使用提供的命令和参数运行 EC2RescueCmd。
Systems Manager Run Command 文档接受三个参数:
+ **命令** — EC2Rescue for Windows Server 操作。当前允许的值如下:
+ **ResetAccess** — 重置本地管理员密码。将会重置当前实例的本地管理员密码,并且随机生成的密码将会作为 `/EC2Rescue/Password/` 安全地存储在 Parameter Store 中。如果您选择此操作并且不提供任何参数,则密码将自动使用默认的 KMS 密钥 密钥加密。(可选)可以在参数中指定 KMS 密钥 ID,以使用您自己的密钥来加密密码。
+ **CollectLogs** — 使用 `/collect:all` 操作运行 EC2Rescue for Windows Server。如果选择此操作,`Parameters` 必须包含将日志上传到的 Amazon S3 存储桶名称。
+ **FixAll** — 使用 `/rescue:all` 操作运行 EC2Rescue for Windows Server。如果您选择此操作,`Parameters` 必须包含要抢救的块储存设备名称。
+ **参数** — 要为指定命令传递的 PowerShell 参数。
## 要求
要运行 **ResetAccess** 操作,您的 Amazon EC2 实例必须附加策略,以授予将加密的密码写入 Parameter Store 的权限。附加策略后,请等待几分钟,然后再将此策略附加到相关 IAM 角色后尝试重置实例的密码。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/EC2Rescue/Passwords/"
]
}
]
}
```
------
如果您使用的是自定义 KMS 密钥而不是默认 KMS 密钥,请使用此策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/EC2Rescue/Passwords/"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/"
]
}
]
}
```
------
## 查看文档的 JSON
查看文档
以下过程介绍了如何查看此文档的 JSON。
**查看 Systems Manager Run Command 文档的 JSON**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.amazonaws.cn/systems-manager/),打开 Amazon Systems Manager 控制台。
1. 在导航窗格中,展开**变更管理工具**,然后选择**文档**。
1. 在搜索栏中,输入 `AWSSupport-RunEC2RescueForWindowsTool`,然后选择 `AWSSupport-RunEC2RescueForWindowsTool` 文档。
1. 选择**内容**选项卡。
## 示例
下面是一些有关如何使用 Systems Manager Run Command 文档通过 Amazon CLI 运行 EC2Rescue for Windows Server 的示例。有关使用 Amazon CLI 发送命令的更多信息,请参阅 [send-command](https://docs.amazonaws.cn/cli/latest/reference/ssm/send-command.html)。
**Topics**
+ [
### 尝试修复脱机根卷上的所有已识别问题
](#ec2rw-ssm-exam1)
+ [
### 从当前 Amazon EC2 Windows 实例收集日志
](#ec2rw-ssm-exam2)
+ [
### 重置本地管理员密码
](#ec2rw-ssm-exam4)
### 尝试修复脱机根卷上的所有已识别问题
尝试修复在附加到 Amazon EC2 Windows 实例的脱机根卷上发现的所有问题:
```
aws ssm send-command --instance-ids "i-0cb2b964d3e14fd9f" --document-name "AWSSupport-RunEC2RescueForWindowsTool" --parameters "Command=FixAll, Parameters='xvdf'" --output text
```
### 从当前 Amazon EC2 Windows 实例收集日志
从当前的在线 Amazon EC2 Windows 实例收集所有日志并将日志上传到 Amazon S3 存储桶:
```
aws ssm send-command --instance-ids "i-0cb2b964d3e14fd9f" --document-name "AWSSupport-RunEC2RescueForWindowsTool" --parameters "Command=CollectLogs, Parameters='amzn-s3-demo-bucket'" --output text
```
### 重置本地管理员密码
下面的示例显示了可用于重置本地管理员密码的方法。输出提供了一个指向 Parameter Store 的链接,在那里您可以找到随机生成的安全密码,然后您可以使用它以本地管理员身份来 RDP 到您的 Amazon EC2 Windows 实例。
使用默认的 Amazon KMS key 密钥 alias/aws/ssm 重置联机实例的本地管理员密码:
```
aws ssm send-command --instance-ids "i-0cb2b964d3e14fd9f" --document-name "AWSSupport-RunEC2RescueForWindowsTool" --parameters "Command=ResetAccess" --output text
```
使用 KMS 密钥 重置联机实例的本地管理员密码:
```
aws ssm send-command --instance-ids "i-0cb2b964d3e14fd9f" --document-name "AWSSupport-RunEC2RescueForWindowsTool" --parameters "Command=ResetAccess, Parameters=a133dc3c-a2g4-4fc6-a873-6c0720104bf0" --output text
```
**注意**
在此示例中,KMS 密钥 为 `a133dc3c-a2g4-4fc6-a873-6c0720104bf0`。
# 适用于实例的 EC2 Serial Console
EC2 Serial Console
使用 EC2 Serial Console,您可以访问 Amazon EC2 实例的串行端口,通过该端口可以排查启动、网络配置和其他方面的问题。串行控制台不要求您的实例拥有任何联网功能。使用串行控制台,您可以向实例输入命令,就像键盘和显示器直接连接到实例的串行端口一样。串行控制台会话在实例重启和停止期间持续存在。在重新启动过程中,您可以从一开始就查看所有引导消息。
默认情况下,对串行控制台的访问权限不可用。您的组织必须授予账户对串行控制台的访问权限,并配置 IAM policy 以授予用户对串行控制台的访问权限。通过使用实例 ID、资源标签和其他 IAM 操作,可以精细地控制串行控制台访问。有关更多信息,请参阅[配置对 EC2 Serial Console 的访问](configure-access-to-serial-console.md)。
串行控制台可使用 EC2 控制台或 Amazon CLI 访问。
串行控制台不会产生额外的成本。
**Topics**
+ [
# EC2 Serial Console 的先决条件
](ec2-serial-console-prerequisites.md)
+ [
# 配置对 EC2 Serial Console 的访问
](configure-access-to-serial-console.md)
+ [
# 连接到 EC2 Serial Console
](connect-to-serial-console.md)
+ [
# 断开与 EC2 Serial Console 的连接
](disconnect-serial-console-session.md)
+ [
# 使用 EC2 Serial Console 对 Amazon EC2 实例进行故障排查
](troubleshoot-using-serial-console.md)
# EC2 Serial Console 的先决条件
先决条件
**Topics**
+ [
## Amazon Web Services 区域
](#sc-prereqs-regions)
+ [
## Wavelength 区域和 Amazon Outposts
](#sc-prereqs-wavelength-zones-outposts)
+ [
## Local Zones
](#sc-prereqs-local-zones)
+ [
## 实例类型
](#sc-prereqs-instance-types)
+ [
## 授予访问权限
](#sc-prereqs-configure-ec2-serial-console)
+ [
## 支持基于浏览器的客户端
](#sc-prereqs-for-browser-based-connection)
+ [
## 实例状态
](#sc-prereqs-instance-state)
+ [
## Amazon EC2 Systems Manager
](#sc-prereqs-ssm)
+ [
## 配置您选择的故障排除工具
](#sc-prereqs-configure-troubleshooting-tool)
## Amazon Web Services 区域
在除亚太地区(台北)之外的所有 Amazon Web Services 区域中都受支持。
## Wavelength 区域和 Amazon Outposts
不支持。
## Local Zones
在所有 Local Zones 中支持。
## 实例类型
支持的实例类型:
+ **Linux**
+ 基于 Nitro 系统构建的所有虚拟化实例。
+ 所有裸机实例,以下项除外:
+ 通用:`a1.metal`、`mac1.metal`、`mac2.metal`
+ 加速计算:`g5g.metal`
+ 内存优化型:`u-6tb1.metal`、`u-9tb1.metal`、`u-12tb1.metal`、`u-18tb1.metal`、`u-24tb1.metal`
+ **Windows**
基于 Nitro 系统构建的所有虚拟化实例。不支持裸机实例。
## 授予访问权限
您必须完成配置任务才能授予对 EC2 Serial Console 的访问权限。有关更多信息,请参阅 [配置对 EC2 Serial Console 的访问](configure-access-to-serial-console.md)。
## 支持基于浏览器的客户端
如需[使用基于浏览器的客户端](connect-to-serial-console.md#sc-connect-browser-based-client)连接至串行控制台,您的浏览器必须支持 WebSocket。如果您的浏览器不支持 WebSocket,请[使用您自己的密钥和 SSH 客户端](connect-to-serial-console.md#sc-connect-SSH)连接至串行控制台。
## 实例状态
必须是 `running`。
如果实例处于 `pending`、`stopping`、`stopped`、`shutting-down` 或 `terminated` 状态,则无法连接到串行控制台。
有关实例状态的更多信息,请参阅 [Amazon EC2 实例状态更改](ec2-instance-lifecycle.md)。
## Amazon EC2 Systems Manager
如果实例使用 Amazon EC2 Systems Manager,则必须在实例上安装 SSM Agent 3.0.854.0 版或更高版本。有关 SSM Agent 的更多信息,请参阅《*Amazon Systems Manager 用户指南*》中的[使用 SSM Agent](https://docs.amazonaws.cn/systems-manager/latest/userguide/ssm-agent.html)。
## 配置您选择的故障排除工具
要使用串行控制台对 Windows 实例进行故障排除,在 Linux 实例上可以使用 GRUB 或 SysRq,在 Windows 实例上可使用特殊管理控制台(SAC)。您必须先在要使用这些工具的每个实例上执行配置步骤,然后才可以使用这些工具。
请使用适用于实例操作系统的说明,配置您选择的故障排除工具。
### (Linux 实例)配置 GRUB
要配置 GRUB,请根据用于启动实例的 AMI 选择以下程序之一。
------
#### [ Amazon Linux 2 ]
**在 Amazon Linux 2 实例上配置 GRUB**
1. [使用 SSH 连接到 Linux 实例](connect-to-linux-instance.md)
1. 在 `/etc/default/grub` 中添加或更改以下选项:
+ 设置 `GRUB_TIMEOUT=1`。
+ 添加 `GRUB_TERMINAL="console serial"`。
+ 添加 `GRUB_SERIAL_COMMAND="serial --speed=115200"`。
以下是 `/etc/default/grub` 的示例。您可能需要根据系统设置更改配置。
```
GRUB_CMDLINE_LINUX_DEFAULT="console=tty0 console=ttyS0,115200n8 net.ifnames=0 biosdevname=0 nvme_core.io_timeout=4294967295 rd.emergency=poweroff rd.shell=0"
GRUB_TIMEOUT=1
GRUB_DISABLE_RECOVERY="true"
GRUB_TERMINAL="console serial"
GRUB_SERIAL_COMMAND="serial --speed=115200"
```
1. 运行以下命令以应用更新后的配置。
```
[ec2-user ~]$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg
```
------
#### [ Ubuntu ]
**在 Ubuntu 实例上配置 GRUB**
1. [连接到您的实例](connect-to-linux-instance.md)。
1. 在 `/etc/default/grub.d/50-cloudimg-settings.cfg` 中添加或更改以下选项:
+ 设置 `GRUB_TIMEOUT=1`。
+ 添加 `GRUB_TIMEOUT_STYLE=menu`。
+ 添加 `GRUB_TERMINAL="console serial"`。
+ 删除 `GRUB_HIDDEN_TIMEOUT`。
+ 添加 `GRUB_SERIAL_COMMAND="serial --speed=115200"`。
以下是 `/etc/default/grub.d/50-cloudimg-settings.cfg` 的示例。您可能需要根据系统设置更改配置。
```
# Cloud Image specific Grub settings for Generic Cloud Images
# CLOUD_IMG: This file was created/modified by the Cloud Image build process
# Set the recordfail timeout
GRUB_RECORDFAIL_TIMEOUT=0
# Do not wait on grub prompt
GRUB_TIMEOUT=1
GRUB_TIMEOUT_STYLE=menu
# Set the default commandline
GRUB_CMDLINE_LINUX_DEFAULT="console=tty1 console=ttyS0 nvme_core.io_timeout=4294967295"
# Set the grub console type
GRUB_TERMINAL="console serial"
GRUB_SERIAL_COMMAND="serial --speed 115200"
```
1. 运行以下命令以应用更新后的配置。
```
[ec2-user ~]$ sudo update-grub
```
------
#### [ RHEL ]
**在 RHEL 实例上配置 GRUB**
1. [连接到您的实例](connect-to-linux-instance.md)。
1. 在 `/etc/default/grub` 中添加或更改以下选项:
+ 删除 `GRUB_TERMINAL_OUTPUT`。
+ 添加 `GRUB_TERMINAL="console serial"`。
+ 添加 `GRUB_SERIAL_COMMAND="serial --speed=115200"`。
以下是 `/etc/default/grub` 的示例。您可能需要根据系统设置更改配置。
```
GRUB_TIMEOUT=1
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_CMDLINE_LINUX="console=tty0 console=ttyS0,115200n8 net.ifnames=0 rd.blacklist=nouveau nvme_core.io_timeout=4294967295 crashkernel=auto"
GRUB_DISABLE_RECOVERY="true"
GRUB_ENABLE_BLSCFG=true
GRUB_TERMINAL="console serial"
GRUB_SERIAL_COMMAND="serial --speed=115200"
```
1. 运行以下命令以应用更新后的配置。
```
[ec2-user ~]$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg --update-bls-cmdline
```
对于 RHEL 9.2 及更早版本,请使用以下命令。
```
[ec2-user ~]$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg
```
------
#### [ CentOS ]
对于使用 CentOS AMI 启动的实例,默认情况下为串行控制台配置了 GRUB。
以下是 `/etc/default/grub` 的示例。根据您的系统设置,您的配置可能会有所不同。
```
GRUB_TIMEOUT=1
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL="serial console"
GRUB_SERIAL_COMMAND="serial --speed=115200"
GRUB_CMDLINE_LINUX="console=tty0 crashkernel=auto console=ttyS0,115200"
GRUB_DISABLE_RECOVERY="true"
```
------
### (Linux 实例)配置 SysRq
要配置 SysRq,请在当前引导周期中启用 SysRq 命令。要使配置永久化,您还可以为后续引导启用 SysRq 命令。
**为当前引导周期启用所有 SysRq 命令**
1. [连接到您的实例](connect-to-linux-instance.md)。
1. 运行以下命令。
```
[ec2-user ~]$ sudo sysctl -w kernel.sysrq=1
```
下次重新启动时将会清除此设置。
**为后续引导启用所有 SysRq 命令**
1. 创建文件 `/etc/sysctl.d/99-sysrq.conf` 并在您收藏的编辑器中打开。
```
[ec2-user ~]$ sudo vi /etc/sysctl.d/99-sysrq.conf
```
1. 添加以下行。
```
kernel.sysrq=1
```
1. 重启实例以应用更改。
```
[ec2-user ~]$ sudo reboot
```
1. 在 `login` 提示符下,输入您[之前设置](configure-access-to-serial-console.md#set-user-password)的、基于密码的用户的用户名,然后按 **Enter** 键。
1. 在 `Password` 提示符下,输入密码,然后按 **Enter** 键。
### (Windows 实例)启用 SAC 和启动菜单
**注意**
如果您在实例上启用 SAC,则依赖密码检索的 EC2 服务将无法通过 Amazon EC2 控制台运行。Amazon EC2 启动代理(EC2Config、EC2Launch v1 和 EC2Launch v2)上的 Windows 依靠串行控制台来执行各种任务。当您在实例上启用 SAC 时,这些任务不会成功执行。有关 Amazon EC2 启动代理上的 Windows 的更多信息,请参阅 [配置您的 Amazon EC2 Windows 实例](ec2-windows-instances.md)。如果您启用 SAC,则可在之后将其禁用。有关更多信息,请参阅 [禁用 SAC 和启动菜单](troubleshoot-using-serial-console.md#disable-sac-bootmenu)。
使用以下方法之一在实例上启用 SAC 和启动菜单。
------
#### [ PowerShell ]
**在 Windows 实例上启用 SAC 和启动菜单**
1. [连接到](connecting_to_windows_instance.md)您的实例并从提升的 PowerShell 命令行执行以下步骤。
1. 启用 SAC。
```
bcdedit /ems '{current}' on
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
```
1. 启用启动菜单。
```
bcdedit /set '{bootmgr}' displaybootmenu yes
bcdedit /set '{bootmgr}' timeout 15
bcdedit /set '{bootmgr}' bootems yes
```
1. 重新启动实例以应用更新后的配置。
```
shutdown -r -t 0
```
------
#### [ Command prompt ]
**在 Windows 实例上启用 SAC 和启动菜单**
1. [连接到](connecting_to_windows_instance.md)您的实例并从命令提示符执行以下步骤。
1. 启用 SAC。
```
bcdedit /ems {current} on
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
```
1. 启用启动菜单。
```
bcdedit /set {bootmgr} displaybootmenu yes
bcdedit /set {bootmgr} timeout 15
bcdedit /set {bootmgr} bootems yes
```
1. 重新启动实例以应用更新后的配置。
```
shutdown -r -t 0
```
------
# 配置对 EC2 Serial Console 的访问
要配置对串行控制台的访问权限,您必须在账户级别授予串行控制台访问权限,然后配置 IAM policy 以向用户授予访问权限。对于 Linux 实例,您还必须在每个实例上配置基于密码的用户,以使您的用户能够使用串行控制台进行问题排查。
EC2 Serial Console 使用虚拟串行端口连接与实例进行交互。此连接独立于实例 VPC,因此即使出现引导故障或网络配置问题,您仍可以使用实例操作系统和运行故障排除工具。由于此连接在 VPC 网络之外,因此 EC2 Serial Console 不使用实例安全组或子网网络 ACL 来授权实例的流量。
**开始前的准备工作**
验证是否满足[先决条件](ec2-serial-console-prerequisites.md)。
**Topics**
+ [
## EC2 Serial Console 的访问级别
](#serial-console-access-levels)
+ [
## 管理账户对 EC2 Serial Console 的访问权限
](#serial-console-account-access)
+ [
## 为 EC2 Serial Console 访问配置 IAM policy
](#serial-console-iam)
+ [
## 在 Linux 实例上设置操作系统用户密码
](#set-user-password)
## EC2 Serial Console 的访问级别
访问级别
默认情况下,在账户级别无法访问串行控制台。您需要在账户级别明确授予对串行控制台的访问权限。有关更多信息,请参阅[管理账户对 EC2 Serial Console 的访问权限](#serial-console-account-access)。
您可以使用服务控制策略 (SCP) 来允许在组织内访问串行控制台。然后,您可以使用 IAM policy 控制访问,从而在用户级别实现精确的访问控制。通过使用 SCP 和 IAM policy 的组合,您可以对串行控制台进行不同级别的访问控制。
**组织级别**
您可以使用服务控制策略 (SCP) 来允许组织内的成员账户访问串行控制台。有关 SCP 的更多信息,请参阅 *Amazon Organizations 用户指南*中的[服务控制策略](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)。
**实例级别**
您可以通过使用 IAM PrincipalTag 和 ResourceTag 构造以及通过其 ID 指定实例,来配置串行控制台访问策略。有关更多信息,请参阅 [为 EC2 Serial Console 访问配置 IAM policy](#serial-console-iam)。
**用户级别**
您可以通过配置 IAM policy 以允许或拒绝指定用户将 SSH 公钥推送到特定实例的串行控制台服务的权限,来配置用户级别的访问权限。有关更多信息,请参阅 [为 EC2 Serial Console 访问配置 IAM policy](#serial-console-iam)。
**操作系统级别**(仅限 Linux 实例)
您可以在访客操作系统级别设置用户密码。这为某些使用案例提供了对串行控制台的访问权限。但是,要监控日志,您不需要基于密码的用户。有关更多信息,请参阅[在 Linux 实例上设置操作系统用户密码](#set-user-password)。
## 管理账户对 EC2 Serial Console 的访问权限
管理账户访问权限
默认情况下,在账户级别无法访问串行控制台。您需要在账户级别明确授予对串行控制台的访问权限。
此设置是在账户级别配置,可以直接在账户中配置,也可以使用声明式策略进行配置。必须在要授予串行控制台访问权限的每个 Amazon Web Services 区域中配置该设置。使用声明式策略可同时将设置应用于多个区域,也可以同时应用于多个账户。当使用声明式策略时,您无法直接在账户中修改设置。本主题介绍如何直接在账户中配置设置。有关使用声明式策略的信息,请参阅《Amazon Organizations User Guide》**中的 [Declarative policies](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_declarative.html)。
**Contents**
+ [
### 授予用户账户访问管理权限
](#sc-account-access-permissions)
+ [
### 查看账户对串行控制台的访问权限状态
](#sc-view-account-access)
+ [
### 授予账户访问串行控制台的权限。
](#sc-grant-account-access)
+ [
### 拒绝账户访问串行控制台
](#sc-deny-account-access)
### 授予用户账户访问管理权限
要允许用户管理对 EC2 Serial Console 的账户访问权限,您需要授予其所需的 IAM 权限。
以下策略授予查看账户状态以及允许和阻止账户访问 EC2 Serial Console 的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:GetSerialConsoleAccessStatus",
"ec2:EnableSerialConsoleAccess",
"ec2:DisableSerialConsoleAccess"
],
"Resource": "*"
}
]
}
```
------
有关更多信息,请参阅 *IAM 用户指南* 中的[创建 IAM 策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html)。
### 查看账户对串行控制台的访问权限状态
------
#### [ Console ]
**查看账户对串行控制台的访问权限**
1. 通过以下网址打开 Amazon EC2 控制台:[https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/)。
1. 在导航窗格中,选择**控制面板**。
1. 在**账户属性**卡的**设置**下,选择 **EC2 Serial Console**。
1. 在 **EC2 Serial Console** 选项卡上,**EC2 Serial Console 访问权限**的值为**已允许**或**已阻止**。
------
#### [ Amazon CLI ]
**查看账户对串行控制台的访问权限**
使用 [get-serial-console-access-status](https://docs.amazonaws.cn/cli/latest/reference/ec2/get-serial-console-access-status.html) 命令。
```
aws ec2 get-serial-console-access-status
```
下面是示例输出。值为 `true` 表示允许该账户访问串行控制台。
```
{
"SerialConsoleAccessEnabled": true,
"ManagedBy": "account"
}
```
`ManagedBy` 字段表示配置了该设置的实体。可能的值是 `account`(直接配置)或 `declarative-policy`。有关更多信息,请参阅《Amazon Organizations User Guide》**中的 [Declarative policies](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_declarative.html)。
------
#### [ PowerShell ]
**查看账户对串行控制台的访问权限**
使用 [Get-EC2SerialConsoleAccessStatus](https://docs.amazonaws.cn/powershell/latest/reference/items/Get-EC2SerialConsoleAccessStatus.html) cmdlet。
```
Get-EC2SerialConsoleAccessStatus -Select *
```
下面是示例输出。值为 `True` 表示允许该账户访问串行控制台。
```
ManagedBy SerialConsoleAccessEnabled
--------- --------------------------
account True
```
`ManagedBy` 字段表示配置了该设置的实体。可能的值是 `account`(直接配置)或 `declarative-policy`。有关更多信息,请参阅《Amazon Organizations User Guide》**中的 [Declarative policies](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_declarative.html)。
------
### 授予账户访问串行控制台的权限。
------
#### [ Console ]
**授予账户对串行控制台的访问权限**
1. 通过以下网址打开 Amazon EC2 控制台:[https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/)。
1. 在导航窗格中,选择**控制面板**。
1. 在**账户属性**卡的**设置**下,选择 **EC2 Serial Console**。
1. 选择**管理**。
1. 要允许访问账户中所有实例的 EC2 Serial Console,请选中**允许**复选框。
1. 选择**更新**。
------
#### [ Amazon CLI ]
**授予账户对串行控制台的访问权限**
使用 [enable-serial-console-access](https://docs.amazonaws.cn/cli/latest/reference/ec2/enable-serial-console-access.html) 命令。
```
aws ec2 enable-serial-console-access
```
下面是示例输出。
```
{
"SerialConsoleAccessEnabled": true
}
```
------
#### [ PowerShell ]
**授予账户对串行控制台的访问权限**
使用 [Enable-EC2SerialConsoleAccess](https://docs.amazonaws.cn/powershell/latest/reference/items/Enable-EC2SerialConsoleAccess.html) cmdlet。
```
Enable-EC2SerialConsoleAccess
```
下面是示例输出。
```
True
```
------
### 拒绝账户访问串行控制台
------
#### [ Console ]
**拒绝账户访问串行控制台**
1. 通过以下网址打开 Amazon EC2 控制台:[https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/)。
1. 在导航窗格中,选择**控制面板**。
1. 在**账户属性**卡的**设置**下,选择 **EC2 Serial Console**。
1. 选择**管理**。
1. 要阻止访问账户中所有实例的 EC2 Serial Console,请清除**允许**复选框。
1. 选择**更新**。
------
#### [ Amazon CLI ]
**拒绝账户访问串行控制台**
使用 [disable-serial-console-access](https://docs.amazonaws.cn/cli/latest/reference/ec2/disable-serial-console-access.html) 命令。
```
aws ec2 disable-serial-console-access
```
下面是示例输出。
```
{
"SerialConsoleAccessEnabled": false
}
```
------
#### [ PowerShell ]
**拒绝账户访问串行控制台**
使用 [Disable-EC2SerialConsoleAccess](https://docs.amazonaws.cn/powershell/latest/reference/items/Disable-EC2SerialConsoleAccess.html) cmdlet。
```
Disable-EC2SerialConsoleAccess
```
下面是示例输出。
```
False
```
------
## 为 EC2 Serial Console 访问配置 IAM policy
配置 IAM 策略。
默认情况下,用户无权访问串行控制台。您的组织必须配置 IAM policy 以授予用户所需的访问权限。有关更多信息,请参阅 *IAM 用户指南* 中的[创建 IAM 策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html)。
对于串行控制台访问,请创建包含 `ec2-instance-connect:SendSerialConsoleSSHPublicKey` 操作的 JSON 策略文档。此操作会授予用户将公钥推送到串行控制台服务的权限,该服务将启动串行控制台会话。我们建议限制对特定 EC2 实例的访问。否则,具有此权限的所有用户都可以连接到所有 EC2 实例的串行控制台。
**Topics**
+ [
### 明确允许访问串行控制台
](#iam-explicitly-allow-access)
+ [
### 明确拒绝访问串行控制台
](#serial-console-IAM-policy)
+ [
### 使用资源标签控制对串行控制台的访问
](#iam-resource-tags)
### 明确允许访问串行控制台
默认情况下,没有人可以访问串行控制台。要授予对串行控制台的访问权限,您需要将策略配置为明确允许访问。我们建议配置一个策略以限制对特定实例的访问。
以下策略允许访问由实例 ID 标识的特定实例的串行控制台。
请注意,`DescribeInstances`、`DescribeInstanceTypes` 和 `GetSerialConsoleAccessStatus` 操作不支持资源级权限,因此必须为这些操作指定以 `*`(星号)表示的所有资源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeInstances",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:GetSerialConsoleAccessStatus"
],
"Resource": "*"
},
{
"Sid": "AllowinstanceBasedSerialConsoleAccess",
"Effect": "Allow",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7"
}
]
}
```
------
### 明确拒绝访问串行控制台
以下 IAM policy 允许访问标有 `*`(星号)的所有实例的串行控制台,并明确拒绝访问由 ID 标识的特定实例的串行控制台。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSerialConsoleAccess",
"Effect": "Allow",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:GetSerialConsoleAccessStatus"
],
"Resource": "*"
},
{
"Sid": "DenySerialConsoleAccess",
"Effect": "Deny",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7"
}
]
}
```
------
### 使用资源标签控制对串行控制台的访问
您可以使用资源标签来控制对实例的串行控制台的访问。
基于属性的访问控制是一种授权策略,它根据可附加到用户和 Amazon 资源的标签来定义权限。例如,只有当实例的资源标签和委托人标签具有相同的标签键 `SerialConsole` 值时,以下策略才会允许用户启动该实例的串行控制台连接。
有关使用标签控制对Amazon资源的访问的更多信息,请参阅 *IAM 用户指南*中的[控制对Amazon资源的访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources)。
请注意,`DescribeInstances`、`DescribeInstanceTypes` 和 `GetSerialConsoleAccessStatus` 操作不支持资源级权限,因此必须为这些操作指定以 `*`(星号)表示的所有资源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeInstances",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:GetSerialConsoleAccessStatus"
],
"Resource": "*"
},
{
"Sid": "AllowTagBasedSerialConsoleAccess",
"Effect": "Allow",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SerialConsole": "${aws:PrincipalTag/SerialConsole}"
}
}
}
]
}
```
------
## 在 Linux 实例上设置操作系统用户密码
您可以在没有密码的情况下连接到串行控制台。但是,要*使用*串行控制台对 Linux 实例进行故障排查,实例必须拥有基于密码的操作系统用户。
您可以为任何 OS 用户(包括根用户)设置密码。请注意,根用户可以修改所有文件,而每个 OS 用户可能只有有限权限。
您必须为要使用串行控制台的每个实例设置用户密码。这是每个实例的一次性要求。
**注意**
默认情况下,Amazon 提供的 AMI 未配置基于密码的用户。如果您使用已配置了根用户密码的 AMI 启动实例,则可以跳过这些说明。
**在 Linux 实例上设置操作系统用户密码**
1. [连接到您的 实例](connect-to-linux-instance.md)。除 EC2 Serial Console 连接方法外,您还可以使用任何方法连接到自己的实例。
1. 要为用户设置密码,请使用 **passwd** 命令。在以下示例中,用户是 `root`。
```
[ec2-user ~]$ sudo passwd root
```
下面是示例输出。
```
Changing password for user root.
New password:
```
1. 出现提 `New password` 示时,输入新密码。
1. 出现提示时,重新输入密码。
# 连接到 EC2 Serial Console
您可以使用 Amazon EC2 控制台或通过 SSH 连接到 EC2 实例的串行控制台。连接到串行控制台后,您可以使用它来排除引导、网络配置和其他方面的问题。有关排查故障的更多信息,请参阅 [使用 EC2 Serial Console 对 Amazon EC2 实例进行故障排查](troubleshoot-using-serial-console.md)。
**注意事项**
+ 每个实例仅支持一个活动串行控制台连接。
+ 串行控制台连接通常会持续一小时,除非您[断开连接](disconnect-serial-console-session.md)。但是,在系统维护期间,Amazon EC2 将断开串行控制台会话。
连接的持续时间并不是由 IAM 凭证的持续时间决定的。如果您的 IAM 凭证过期,连接将继续保持,直到达到串行控制台连接的最长持续时间。使用 EC2 Serial Console 控制台体验时,如果 IAM 凭证过期,请关闭浏览器页面终止连接。
+ 在断开与串行控制台的连接后,需要 30 秒钟来停用会话,然后才能允许新会话。
+ 支持的串行控制台端口:`ttyS0`(Linux 实例)和 `COM1`(Windows 实例)
+ 连接到串行控制台时,您可能会观察到实例的吞吐量略有下降。
**Topics**
+ [
## 使用基于浏览器的客户端进行连接
](#sc-connect-browser-based-client)
+ [
## 使用您自己的密钥和 SSH 客户端进行连接
](#sc-connect-SSH)
+ [
## EC2 Serial Console 端点和指纹
](#sc-endpoints-and-fingerprints)
## 使用基于浏览器的客户端进行连接
您可以使用基于浏览器的客户端连接到 EC2 实例的串行控制台。您可以通过在 Amazon EC2 控制台中选择实例并选择连接到串行控制台来完成此操作。基于浏览器的客户端处理权限并可提供成功连接。
EC2 Serial Console 适用于大多数浏览器,并支持键盘和鼠标输入。
在连接之前,请确保您已完成[先决条件](ec2-serial-console-prerequisites.md)。
**使用基于浏览器的客户端(Amazon EC2 控制台)连接到实例的串行端口**
1. 通过以下网址打开 Amazon EC2 控制台:[https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/)。
1. 在导航窗格中,选择 **Instances (实例)**。
1. 您可以选择相应实例,然后选择 **Actions**(操作)、**Monitor and troubleshoot**(监控和问题排查)、**EC2 Serial Console**、**Connect**(连接)。
您也可以选择相应实例,然后选择 **Connect**(连接)、**EC2 Serial Console**、**Connect**(连接)。
浏览器内终端窗口随即打开。
1. 按 **Enter**。如果返回登录提示,则表示您已连接到串行控制台。
如果保持黑屏,则可以使用以下信息来帮助解决连接到串行控制台的问题:
+ **检查您是否已配置了串行控制台的访问权限。**有关更多信息,请参阅 [配置对 EC2 Serial Console 的访问](configure-access-to-serial-console.md)。
+ (仅限 Linux 实例)**使用 SysRq 连接到串行控制台。**SysRq 不要求您使用基于浏览器的客户端进行连接。有关更多信息,请参阅 [(Linux 实例)使用 SysRq 对您的实例进行故障排除SysRq (Linux)](troubleshoot-using-serial-console.md#SysRq)。
+ (仅限 Linux 实例)**重新启动 getty。**如果您对实例拥有 SSH 访问权限,则使用 SSH 连接到实例,然后使用以下命令重新启动 getty。
```
[ec2-user ~]$ sudo systemctl restart serial-getty@ttyS0
```
+ **重启实例。**您可以使用 SysRq(Linux 实例)、EC2 控制台或 Amazon CLI 重启实例 。有关更多信息,请参阅 [(Linux 实例)使用 SysRq 对您的实例进行故障排除SysRq (Linux)](troubleshoot-using-serial-console.md#SysRq)(Linux 实例)或 [重启 Amazon EC2 实例](ec2-instance-reboot.md)。
1. (仅限 Linux 实例)在 `login` 提示符下,输入您[之前设置](configure-access-to-serial-console.md#set-user-password)的、基于密码的用户的用户名,然后按 **Enter** 键。
1. (仅限 Linux 实例)在 `Password` 提示符下,输入密码,然后按 **Enter** 键。
## 使用您自己的密钥和 SSH 客户端进行连接
您可以使用自己的 SSH 密钥,并在使用 串行控制台 API 时从您选择的 SSH 客户端连接到您的实例。这使您能够从将公有密钥推送到实例的串行控制台功能中受益。
将 SSH 密钥推送到实例后,SSH 连接不受您配置用于授予用户 EC2 Serial Console 访问权限的 IAM 策略约束。
**开始前的准备工作**
验证是否满足[先决条件](ec2-serial-console-prerequisites.md)。
**使用 SSH 连接到实例的串行控制台**
1. **将 SSH 公钥推送到实例以启动串行控制台会话**
使用 [send-serial-console-ssh-public-key](https://docs.amazonaws.cn/cli/latest/reference/ec2-instance-connect/send-serial-console-ssh-public-key.html) 命令可将 SSH 公有密钥推送到实例。这将启动串行控制台会话。
如果已为此实例启动串行控制台会话,则该命令将失败,因为您每次只能打开一个会话。在断开与串行控制台的连接后,需要 30 秒钟来停用会话,然后才能允许新会话。
```
aws ec2-instance-connect send-serial-console-ssh-public-key \
--instance-id i-001234a4bf70dec41EXAMPLE \
--serial-port 0 \
--ssh-public-key file://my_key.pub \
--region us-east-1
```
1.
**使用私钥连接到串行控制台**
在从串行控制台服务删除公钥之前,使用 **ssh** 命令连接到串行控制台。在移除之前,您有 60 秒钟的时间。
使用与公钥对应的私钥。
用户名格式为 `instance-id.port0`,其中包括实例 ID 和端口 0。在以下示例中,用户名为 `i-001234a4bf70dec41EXAMPLE.port0`。
串行控制台服务的端点因区域而异。有关每个区域的端点,请参阅 [EC2 Serial Console 端点和指纹](#sc-endpoints-and-fingerprints) 表。在以下示例中,串行控制台服务位于 us-east-1 区域。
```
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
```
以下示例使用 `timeout 3600` 将 SSH 会话设置为 1 小时后终止。会话终止后,会话期间启动的进程可能会继续在您的实例上运行。
```
timeout 3600 ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
```
1.
**(可选)验证指纹**
首次连接到串行控制台时,系统会提示您验证指纹。您可以比较串行控制台指纹与为了进行验证而显示的指纹。如果这些指纹不匹配,则表示有人可能在试图实施“中间人”攻击。如果它们匹配,您可以放心地连接到串行控制台。
以下指纹用于 us-east-1 区域中的串行控制台服务。有关每个区域的指纹,请参阅 [EC2 Serial Console 端点和指纹](#sc-endpoints-and-fingerprints)。
```
SHA256:dXwn5ma/xadVMeBZGEru5l2gx+yI5LDiJaLUcz0FMmw
```
该指纹仅在您第一次连接到串行控制台时出现。
1. 按 **Enter**。如果返回提示,则表示您已连接到串行控制台。
如果保持黑屏,则可以使用以下信息来帮助解决连接到串行控制台的问题:
+ **检查您是否已配置了串行控制台的访问权限。**有关更多信息,请参阅 [配置对 EC2 Serial Console 的访问](configure-access-to-serial-console.md)。
+ (仅限 Linux 实例)**使用 SysRq 连接到串行控制台。**SysRq 不要求您使用 SSH 连接。有关更多信息,请参阅 [(Linux 实例)使用 SysRq 对您的实例进行故障排除SysRq (Linux)](troubleshoot-using-serial-console.md#SysRq)。
+ (仅限 Linux 实例)**重新启动 getty。**如果您对实例拥有 SSH 访问权限,则使用 SSH 连接到实例,然后使用以下命令重新启动 getty。
```
[ec2-user ~]$ sudo systemctl restart serial-getty@ttyS0
```
+ **重启实例。**您可以使用 SysRq(仅限 Linux 实例)、EC2 控制台或 Amazon CLI 重启实例 。有关更多信息,请参阅 [(Linux 实例)使用 SysRq 对您的实例进行故障排除SysRq (Linux)](troubleshoot-using-serial-console.md#SysRq)(仅限 Linux 实例)或 [重启 Amazon EC2 实例](ec2-instance-reboot.md)。
1. (仅限 Linux 实例)在 `login` 提示符下,输入您[之前设置](configure-access-to-serial-console.md#set-user-password)的、基于密码的用户的用户名,然后按 **Enter** 键。
1. (仅限 Linux 实例)在 `Password` 提示符下,输入密码,然后按 **Enter** 键。
## EC2 Serial Console 端点和指纹
以下是 EC2 Serial Console 的服务端点和指纹。要以编程方式连接到实例的串行控制台,请使用 EC2 Serial Console 端点。EC2 Serial Console 端点和指纹对每个 Amazon 区域都是唯一的。
| 区域名称 | 区域 | 端点 | 指纹 |
| --- | --- | --- | --- |
| 美国东部(俄亥俄州) | us-east-2 | serial-console.ec2-instance-connect.us-east-2.aws | SHA256:EhwPkTzRtTY7TRSzz26XbB0/HvV9jRM7mCZN0xw/d/0 |
| 美国东部(弗吉尼亚州北部) | us-east-1 | serial-console.ec2-instance-connect.us-east-1.aws | SHA256:dXwn5ma/xadVMeBZGEru5l2gx\$1yI5LDiJaLUcz0FMmw |
| 美国西部(北加利福尼亚) | us-west-1 | serial-console.ec2-instance-connect.us-west-1.aws | SHA256:OHldlcMET8u7QLSX3jmRTRAPFHVtqbyoLZBMUCqiH3Y |
| 美国西部(俄勒冈州) | us-west-2 | serial-console.ec2-instance-connect.us-west-2.aws | SHA256:EMCIe23TqKaBI6yGHainqZcMwqNkDhhAVHa1O2JxVUc |
| 非洲(开普敦) | af-south-1 | ec2-serial-console.af-south-1.api.aws | SHA256:RMWWZ2fVePeJUqzjO5jL2KIgXsczoHlz21Ed00biiWI |
| 亚太地区(香港) | ap-east-1 | ec2-serial-console.ap-east-1.api.aws | SHA256:T0Q1lpiXxChoZHplnAkjbP7tkm2xXViC9bJFsjYnifk |
| 亚太地区(海得拉巴) | ap-south-2 | ec2-serial-console.ap-south-2.api.aws | SHA256:WJgPBSwV4/shN\$1OPITValoewAuYj15DVW845JEhDKRs |
| 亚太地区(雅加达) | ap-southeast-3 | ec2-serial-console.ap-southeast-3.api.aws | SHA256:5ZwgrCh\$1lfns32XITqL/4O0zIfbx4bZgsYFqy3o8mIk |
| 亚太地区(马来西亚) | ap-southeast-5 | ec2-serial-console.ap-southeast-5.api.aws | SHA256:cQXTHQMRcqRdIjmAGoAMBSExeoRobYyRwT67yTjnEiA |
| 亚太地区(墨尔本) | ap-southeast-4 | ec2-serial-console.ap-southeast-4.api.aws | SHA256:Avaq27hFgLvjn5gTSShZ0oV7h90p0GG46wfOeT6ZJvM |
| 亚太地区(孟买) | ap-south-1 | serial-console.ec2-instance-connect.ap-south-1.aws | SHA256:oBLXcYmklqHHEbliARxEgH8IsO51rezTPiSM35BsU40 |
| 亚太地区(大阪) | ap-northeast-3 | ec2-serial-console.ap-northeast-3.api.aws | SHA256:Am0/jiBKBnBuFnHr9aXsgEV3G8Tu/vVHFXE/3UcyjsQ |
| 亚太地区(首尔) | ap-northeast-2 | serial-console.ec2-instance-connect.ap-northeast-2.aws | SHA256:FoqWXNX\$1DZ\$1\$1GuNTztg9PK49WYMqBX\$1FrcZM2dSrqrI |
| 亚太地区(新加坡) | ap-southeast-1 | serial-console.ec2-instance-connect.ap-southeast-1.aws | SHA256:PLFNn7WnCQDHx3qmwLu1Gy/O8TUX7LQgZuaC6L45CoY |
| 亚太地区(悉尼) | ap-southeast-2 | serial-console.ec2-instance-connect.ap-southeast-2.aws | SHA256:yFvMwUK9lEUQjQTRoXXzuN\$1cW9/VSe9W984Cf5Tgzo4 |
| 亚太地区(泰国) | ap-southeast-7 | ec2-serial-console.ap-southeast-7.api.aws | SHA256:KCAZiRYrR1Q2lqsg7vTwixWmvc2wmjVT31XRgSdEfDY |
| 亚太地区(东京) | ap-northeast-1 | serial-console.ec2-instance-connect.ap-northeast-1.aws | SHA256:RQfsDCZTOfQawewTRDV1t9Em/HMrFQe\$1CRlIOT5um4k |
| 加拿大(中部) | ca-central-1 | serial-console.ec2-instance-connect.ca-central-1.aws | SHA256:P2O2jOZwmpMwkpO6YW738FIOTHdUTyEv2gczYMMO7s4 |
| 加拿大西部(卡尔加里) | ca-west-1 | ec2-serial-console.ca-west-1.api.aws | SHA256:s3rc8lI2xhbhr3iedjJNxGAFLPGOLjx7IxxXrGckk6Q |
| 中国(北京) | cn-north-1 | ec2-serial-console.cn-north-1.api.amazonwebservices.com.cn | SHA256:2gHVFy4H7uU3\$1WaFUxD28v/ggMeqjvSlgngpgLgGT\$1Y |
| 中国(宁夏) | cn-northwest-1 | ec2-serial-console.cn-northwest-1.api.amazonwebservices.com.cn | SHA256:TdgrNZkiQOdVfYEBUhO4SzUA09VWI5rYOZGTogpwmiM |
| 欧洲地区(法兰克福) | eu-central-1 | serial-console.ec2-instance-connect.eu-central-1.aws | SHA256:aCMFS/yIcOdOlkXvOl8AmZ1Toe\$1bBnrJJ3Fy0k0De2c |
| 欧洲地区(爱尔兰) | eu-west-1 | serial-console.ec2-instance-connect.eu-west-1.aws | SHA256:h2AaGAWO4Hathhtm6ezs3Bj7udgUxi2qTrHjZAwCW6E |
| 欧洲(伦敦) | eu-west-2 | serial-console.ec2-instance-connect.eu-west-2.aws | SHA256:a69rd5CE/AEG4Amm53I6lkD1ZPvS/BCV3tTPW2RnJg8 |
| 欧洲地区(米兰) | eu-south-1 | ec2-serial-console.eu-south-1.api.aws | SHA256:lC0kOVJnpgFyBVrxn0A7n99ecLbXSX95cuuS7X7QK30 |
| 欧洲地区(巴黎) | eu-west-3 | serial-console.ec2-instance-connect.eu-west-3.aws | SHA256:q8ldnAf9pymeNe8BnFVngY3RPAr/kxswJUzfrlxeEWs |
| 欧洲(西班牙) | eu-south-2 | ec2-serial-console.eu-south-2.api.aws | SHA256:GoCW2DFRlu669QNxqFxEcsR6fZUz/4F4n7T45ZcwoEc |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | serial-console.ec2-instance-connect.eu-north-1.aws | SHA256:tkGFFUVUDvocDiGSS3Cu8Gdl6w2uI32EPNpKFKLwX84 |
| 欧洲(苏黎世) | eu-central-2 | ec2-serial-console.eu-central-2.api.aws | SHA256:8Ppx2mBMf6WdCw0NUlzKfwM4/IfRz4OaXFutQXWp6mk |
| 以色列(特拉维夫) | il-central-1 | ec2-serial-console.il-central-1.api.aws | SHA256:JR6q8v6kNNPi8\$1QSFQ4dj5dimNmZPTgwgsM1SNvtYyU |
| 墨西哥(中部) | mx-central-1 | ec2-serial-console.mx-central-1.api.aws | SHA256:BCuVl13iQNk\$1CcVnt18Ef4p2ZHUrBBAOxlFetB32GS0 |
| 中东(巴林) | me-south-1 | ec2-serial-console.me-south-1.api.aws | SHA256:nPjLLKHu2QnLdUq2kVArsoK5xvPJOMRJKCBzCDqC3k8 |
| 中东(阿联酋) | me-central-1 | ec2-serial-console.me-central-1.api.aws | SHA256:zpb5duKiBZ\$1l0dFwPeyykB4MPBYhI/XzXNeFSDKBvLE |
| 南美洲(圣保罗) | sa-east-1 | serial-console.ec2-instance-connect.sa-east-1.aws | SHA256:rd2\$1/32Ognjew1yVIemENaQzC\$1Botbih62OqAPDq1dI |
| Amazon GovCloud(美国东部) | us-gov-east-1 | serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com | SHA256:tIwe19GWsoyLClrtvu38YEEh\$1DHIkqnDcZnmtebvF28 |
| Amazon GovCloud(美国西部) | us-gov-west-1 | serial-console.ec2-instance-connect.us-gov-west-1.amazonaws.com | SHA256:kfOFRWLaOZfB\$1utbd3bRf8OlPf8nGO2YZLqXZiIw5DQ |
# 断开与 EC2 Serial Console 的连接
如果您不再需要连接到实例的 EC2 Serial Console,则可以断开连接。当您断开与串行控制台的连接时,在该实例上运行的所有 shell 会话都将继续运行。如果要结束 shell 会话,则需要先结束会话,然后再断开与串行控制台的连接。
**注意事项**
+ 串行控制台连接通常会持续一小时,除非您断开连接。但是,在系统维护期间,Amazon EC2 将断开串行控制台会话。
+ 在断开与串行控制台的连接后,需要 30 秒钟来停用会话,然后才能允许新会话。
从串行控制台断开连接的方法取决于客户端。
**基于浏览器的客户端**
要断开串行控制台,请关闭串行控制台浏览器内终端窗口。
**标准 OpenSSH 客户端**
要断开串行控制台,请使用以下命令关闭 SSH 连接。此命令必须在换行之后立即运行。
```
~.
```
您用于关闭 SSH 连接的命令可能会有所不同,取决于您正在使用的 SSH 客户端。
# 使用 EC2 Serial Console 对 Amazon EC2 实例进行故障排查
使用 EC2 Serial Console 对实例进行故障排查
通过使用 EC2 Serial Console,您可以通过连接到实例的串行端口来排查启动、网络配置和其他方面的问题。
请使用适用于实例操作系统和在实例上配置的工具的说明。
**Topics**
+ [GRUB (Linux)](#grub)
+ [SysRq (Linux)](#SysRq)
+ [SAC (Windows)](#troubleshooting-sac)
**先决条件**
开始之前,请确保您已完成[先决条件](ec2-serial-console-prerequisites.md),包括配置您选择的故障排除工具。
## (Linux 实例)使用 GRUB 对您的实例进行故障排除
GRUB (Linux)
GNU GRUB(GNU GRand Unified Bootloader [统一引导加载程序] 的缩写,通常称为 GRUB)是大多数 Linux 操作系统的默认引导加载程序。从 GRUB 菜单中,您可以选择要引导到哪个内核,或修改菜单项以更改内核的启动方式。这在对失败的实例进行故障排查时非常有用。
在引导流程中将显示 GRUB 菜单。该菜单无法通过普通 SSH 访问,但您可以通过 EC2 Serial Console 访问。
启动到单用户模式或紧急模式。单用户模式将在较低的运行级别启动内核。例如,它可能会挂载文件系统,但不会激活网络,从而使您有机会执行修复实例所需的维护。紧急模式与单用户模式类似,只是内核在可达到的最低运行级别运行。
**启动到单用户模式**
1. [连接到](connect-to-serial-console.md)实例的串行控制台。
1. 使用以下命令重新引导实例。
```
[ec2-user ~]$ sudo reboot
```
1. 在重新启动期间,当 GRUB 菜单出现时,按任意键停止引导流程。
1. 在 GRUB 菜单中,使用箭头键选择要引导的内核,然后按键盘上的 `e`。
1. 使用箭头键将光标定位在包含内核的行上。该行以 `linux` 或 `linux16` 开头,取决于启动实例所使用的 AMI。对于 Ubuntu,有两行开头为 `linux`,必须在下一步中修改。
1. 在行末添加 `single` 一词。
以下是 Amazon Linux 2 的示例。
```
linux /boot/vmlinuz-4.14.193-149.317.amzn2.aarch64 root=UUID=d33f9c9a-\
dadd-4499-938d-ebbf42c3e499 ro console=tty0 console=ttyS0,115200n8 net.ifname\
s=0 biosdevname=0 nvme_core.io_timeout=4294967295 rd.emergency=poweroff rd.she\
ll=0 single
```
1. 按 **Ctrl\$1X** 可启动到单用户模式。
1. 在 `login` 提示符下,输入您[之前设置](configure-access-to-serial-console.md#set-user-password)的、基于密码的用户的用户名,然后按 **Enter** 键。
1. 在 `Password` 提示符下,输入密码,然后按 **Enter** 键。
**启动到紧急模式**
请按照与单用户模式相同的步骤操作,但在第 6 步中添加单词 `emergency` 而不是 `single`。
## (Linux 实例)使用 SysRq 对您的实例进行故障排除
SysRq (Linux)
系统请求 (SysRq) 键(有时称为“magic SysRq”)可用于在 Shell 外直接向内核发送命令,无论内核正在执行什么操作,内核都会响应。例如,如果实例已停止响应,则可以使用 SysRq 密钥告诉内核崩溃或重新启动。有关更多信息,请参阅 Wikipedia 中的 [Magic SysRq 键](https://en.wikipedia.org/wiki/Magic_SysRq_key)。
您可以在基于 EC2 Serial Console 浏览器的客户端中或 SSH 客户端中使用 SysRq 命令。每个客户端发送中断请求的命令都不同。
要使用 SysRq,请根据您正在使用的客户端选择以下程序之一。
------
#### [ Browser-based client ]
**在串行控制台基于浏览器的客户端中使用 SysRq**
1. [连接到](connect-to-serial-console.md)实例的串行控制台。
1. 要发送中断请求,请按 `CTRL+0`(零)。如果您的键盘支持,还可以使用暂停或中断键发送中断请求。
```
[ec2-user ~]$ CTRL+0
```
1. 要发出 SysRq 命令,请按键盘上与所需命令对应的键。例如,要显示 SysRq 命令列表,请按 `h`。
```
[ec2-user ~]$ h
```
`h` 命令的输出类似于以下内容。
```
[ 1169.389495] sysrq: HELP : loglevel(0-9) reboot(b) crash(c) terminate-all-tasks(e) memory-full-oom-kill(f) kill-all-tasks(i) thaw-filesystems
(j) sak(k) show-backtrace-all-active-cpus(l) show-memory-usage(m) nice-all-RT-tasks(n) poweroff(o) show-registers(p) show-all-timers(q) unraw(r
) sync(s) show-task-states(t) unmount(u) show-blocked-tasks(w) dump-ftrace-buffer(z)
```
------
#### [ SSH client ]
**在 SSH 客户端中使用 SysRq**
1. [连接到](connect-to-serial-console.md)实例的串行控制台。
1. 要发送中断请求,请按 `~B`(波浪号后跟大写 `B`)。
```
[ec2-user ~]$ ~B
```
1. 要发出 SysRq 命令,请按键盘上与所需命令对应的键。例如,要显示 SysRq 命令列表,请按 `h`。
```
[ec2-user ~]$ h
```
`h` 命令的输出类似于以下内容。
```
[ 1169.389495] sysrq: HELP : loglevel(0-9) reboot(b) crash(c) terminate-all-tasks(e) memory-full-oom-kill(f) kill-all-tasks(i) thaw-filesystems
(j) sak(k) show-backtrace-all-active-cpus(l) show-memory-usage(m) nice-all-RT-tasks(n) poweroff(o) show-registers(p) show-all-timers(q) unraw(r
) sync(s) show-task-states(t) unmount(u) show-blocked-tasks(w) dump-ftrace-buffer(z)
```
**注意**
您用于发送中断请求的命令可能会有所不同,取决于您正在使用的 SSH 客户端。
------
## (Windows 实例)使用 SAC 对您的实例进行故障排除
SAC (Windows)
Windows 的特殊管理控制台 (SAC) 功能可用于对 Windows 实例进行故障排查。通过连接到实例的串行控制台并使用 SAC,您可以中断引导流程并在安全模式下启动 Windows。
**注意**
如果您在实例上启用 SAC,则依赖密码检索的 EC2 服务将无法通过 Amazon EC2 控制台运行。Amazon EC2 启动代理(EC2Config、EC2Launch v1 和 EC2Launch v2)上的 Windows 依靠串行控制台来执行各种任务。当您在实例上启用 SAC 时,这些任务不会成功执行。有关 Amazon EC2 启动代理上的 Windows 的更多信息,请参阅 [配置您的 Amazon EC2 Windows 实例](ec2-windows-instances.md)。如果您启用 SAC,则可在之后将其禁用。有关更多信息,请参阅 [禁用 SAC 和启动菜单](#disable-sac-bootmenu)。
**Topics**
+ [
### 使用 SAC
](#use-sac)
+ [
### 使用启动菜单
](#use-boot-menu)
+ [
### 禁用 SAC 和启动菜单
](#disable-sac-bootmenu)
### 使用 SAC
**使用 SAC**
1. [连接到串行控制台。](connect-to-serial-console.md)
如果在实例上启用了 SAC,串行控制台将显示 `SAC>` 提示。
![\[串行控制台中显示的 SAC 提示符。\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/images/win-boot-3.png)
1. 要显示 SAC 命令,请输入 ?,然后按 **Enter**。
预期输出
![\[输入问号以显示 SAC 命令。\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/images/win-boot-4.png)
1. 要创建命令提示符通道(例如 `cmd0001` 或 `cmd0002`),请输入 cmd,然后按 **Enter**。
1. 要查看命令提示符通道,请按 **ESC**,然后按 **TAB**。
预期输出
![\[命令提示符通道。\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/images/win-boot-5.png)
1. 要切换通道,请同时按 **ESC\$1TAB\$1通道编号**。例如,要切换至 `cmd0002` 通道(如果已创建),请按 **ESC\$1TAB\$12**。
1. 输入命令提示符通道所需的凭证。
![\[需要凭证的命令提示符。\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/images/win-boot-6.png)
命令提示符与您在桌面上获得的功能全面的命令 Shell 相同,例外之处是它不允许读取已输出的字符。
![\[功能全面的命令 shell。\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/images/win-boot-7.png)
**还可以从命令提示符使用 PowerShell。**
请注意,您可能需要将进度首选项设置为静默模式。
![\[命令提示符中的 PowerShell。\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/images/win-boot-8.png)
### 使用启动菜单
如果实例已启用了启动菜单并在通过 SSH 连接后重新启动,则您应看到启动菜单,如下所示。
![\[命令提示符的启动菜单。\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/images/win-boot-1.png)
**启动菜单命令**
ENTER
启动操作系统的选定条目。
TAB
切换到 Tools(工具)菜单。
ESC
取消并重新启动实例。
按 ESC 后再按 8
相当于按下 **F8**。显示所选项目的高级选项。
ESC 键 \$1 向左箭头
返回到初始启动菜单。
单靠 ESC 密钥不会让您返回主菜单,因为 Windows 正在等待查看转义序列是否正在进行中。
![\[高级启动选项。\]](http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/images/win-boot-2.png)
### 禁用 SAC 和启动菜单
如果您启用 SAC 和启动菜单,则可在之后将这些功能禁用。
使用以下方法之一在实例上禁用 SAC 和启动菜单。
------
#### [ PowerShell ]
**在 Windows 实例上禁用 SAC 和启动菜单**
1. [连接到](connecting_to_windows_instance.md)您的实例并从提升的 PowerShell 命令行执行以下步骤。
1. 首先,将值更改为 `no` 以禁用启动菜单。
```
bcdedit /set '{bootmgr}' displaybootmenu no
```
1. 然后,将值更改为 `off` 以禁用 SAC。
```
bcdedit /ems '{current}' off
```
1. 重新启动实例以应用更新后的配置。
```
shutdown -r -t 0
```
------
#### [ Command prompt ]
**在 Windows 实例上禁用 SAC 和启动菜单**
1. [连接到](connecting_to_windows_instance.md)您的实例并从命令提示符执行以下步骤。
1. 首先,将值更改为 `no` 以禁用启动菜单。
```
bcdedit /set {bootmgr} displaybootmenu no
```
1. 然后,将值更改为 `off` 以禁用 SAC。
```
bcdedit /ems {current} off
```
1. 重新启动实例以应用更新后的配置。
```
shutdown -r -t 0
```
------
# 发送诊断中断来调试无法访问的 Amazon EC2 实例
发送诊断中断
**警告**
诊断中断供高级用户使用。使用不当会对您的实例产生负面影响。向实例发送诊断中断可能会触发实例崩溃和重新启动,从而导致数据丢失。
您可以向无法访问或无响应的实例发送诊断中断,以手动触发 Linux 实例的*内核错误*或 Windows 实例的*停止错误*(通常称为*蓝屏错误*)。
**Linux 实例**
在出现内核错误时,Linux 操作系统通常会发生崩溃并重启。操作系统的具体行为取决于其配置。内核错误也可用于使实例的操作系统内核执行任务,例如生成崩溃转储文件。然后,您可以使用崩溃转储文件中的信息进行根本原因分析并调试实例。崩溃转储数据由操作系统在实例本身上本地生成。
**Windows 实例**
通常,Windows 操作系统在发生停止错误时发生崩溃并重启,但具体行为取决于其配置。停止错误还可能导致操作系统将调试信息(例如内核内存转储)写入文件。然后,您可以使用此信息进行根本原因分析以调试实例。内存转储数据由操作系统在实例本身上本地生成。
在向您的实例发送诊断中断之前,我们建议您查阅适合您操作系统的文档,然后进行必要的配置更改。
**Topics**
+ [
## 支持的实例类型
](#diagnostic-interrupt-instances)
+ [
## 先决条件
](#diagnostic-interrupt-prereqs)
+ [
## 发送诊断中断
](#diagnostic-interrupt-use)
## 支持的实例类型
除 Amazon Graviton 处理器支持的实例类型外的所有基于 Nitro 的实例类型均支持诊断中断。有关更多信息,请参阅[基于 Amazon Nitro System 构建的实例](https://docs.amazonaws.cn/ec2/latest/instancetypes/ec2-nitro-instances.html)和 [Amazon Graviton](https://www.amazonaws.cn/ec2/graviton/)。
## 先决条件
在使用诊断中断之前,必须配置实例的操作系统。这可确保在发生内核错误(Linux 实例)或停止错误(Windows 实例)时执行所需的操作。
### Linux 实例
**将 Amazon Linux 2 或 Amazon Linux 2023 配置为在发生内核错误时生成崩溃转储**
1. 连接到您的 实例。
1. 安装 **kexec** 和 **kdump**。
```
[ec2-user ~]$ sudo yum install kexec-tools -y
```
1. 配置内核以便为辅助内核预留适当的内存量。要预留的内存量取决于实例的总可用内存。使用首选文本编辑器打开 `/etc/default/grub` 文件,找到以 `GRUB_CMDLINE_LINUX_DEFAULT` 开始的行,然后按以下格式添加 `crashkernel` 参数:`crashkernel=memory_to_reserve`。例如,要预留 `256MB`,请修改 `grub` 文件,如下所示:
```
GRUB_CMDLINE_LINUX_DEFAULT="crashkernel=256M console=tty0 console=ttyS0,115200n8 net.ifnames=0 biosdevname=0 nvme_core.io_timeout=4294967295 rd.emergency=poweroff rd.shell=0"
GRUB_TIMEOUT=0
GRUB_DISABLE_RECOVERY="true"
```
1. 保存更改并关闭 `grub` 文件。
1. 重新构建 GRUB2 配置文件。
```
[ec2-user ~]$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg
```
1. 在基于 Intel 和 AMD 处理器的实例上,`send-diagnostic-interrupt` 命令将*未知的非屏蔽中断* (NMI) 发送到实例。您必须将内核配置为在收到未知 NMI 时发生崩溃。使用首选文本编辑器打开 `/etc/sysctl.conf` 文件,并添加以下内容。
```
kernel.unknown_nmi_panic=1
```
1. 重启实例并重新连接到它。
1. 使用正确的 `crashkernel` 参数验证是否已启动内核。
```
$ grep crashkernel /proc/cmdline
```
以下示例输出指示成功的配置。
```
BOOT_IMAGE=/boot/vmlinuz-4.14.128-112.105.amzn2.x86_64 root=UUID=a1e1011e-e38f-408e-878b-fed395b47ad6 ro crashkernel=256M console=tty0 console=ttyS0,115200n8 net.ifnames=0 biosdevname=0 nvme_core.io_timeout=4294967295 rd.emergency=poweroff rd.shell=0
```
1. 确认 **kdump** 服务正在运行。
```
[ec2-user ~]$ systemctl status kdump.service
```
以下示例输出显示在 **kdump** 服务正在运行的情况下的结果。
```
kdump.service - Crash recovery kernel arming
Loaded: loaded (/usr/lib/systemd/system/kdump.service; enabled; vendor preset: enabled)
Active: active (exited) since Fri 2019-05-24 23:29:13 UTC; 22s ago
Process: 2503 ExecStart=/usr/bin/kdumpctl start (code=exited, status=0/SUCCESS)
Main PID: 2503 (code=exited, status=0/SUCCESS)
```
**注意**
默认情况下,崩溃转储文件将保存到 `/var/crash/`。要更改位置,请使用首选文本编辑器修改 `/etc/kdump.conf` 文件。
**配置 SUSE Linux Enterprise、Ubuntu 或 Red Hat Enterprise Linux**
在基于 Intel 和 AMD 处理器的实例上,`send-diagnostic-interrupt` 命令将*未知的非屏蔽中断* (NMI) 发送到实例。必须通过调整操作系统的配置文件,将内核配置为在收到未知 NMI 时发生崩溃。有关如何将内核配置为发生崩溃的信息,请参阅适用于操作系统的文档:
+ [SUSE Linux Enterprise](https://www.suse.com/support/kb/doc/?id=3374462)
+ [Ubuntu](https://ubuntu.com/server/docs/kernel-crash-dump)
+ [Red Hat Enterprise Linux (RHEL)](https://access.redhat.com/solutions/6038)
### Windows 实例
**配置 Windows 以在发生停止错误时生成内存转储**
1. 连接到您的 实例。
1. 打开**控制面板**,然后选择**系统**、**高级系统设置**。
1. 在**系统属性**对话框中,选择**高级**选项卡。
1. 在**启动和恢复**部分中,选择**设置...**。
1. 在**系统故障**部分中,根据需要配置设置,然后选择**确定**。
有关配置 Windows 停止错误的更多信息,请参阅 [Windows 的内存转储文件概述](https://support.microsoft.com/en-us/help/254649/overview-of-memory-dump-file-options-for-windows)。
## 发送诊断中断
在完成必要的配置更改后,您可以使用 Amazon CLI 或 Amazon EC2 API 将诊断中断发送到实例。
------
#### [ Amazon CLI ]
**将诊断中断发送到实例**
使用 [send-diagnostic-interrupt](https://docs.amazonaws.cn/cli/latest/reference/ec2/send-diagnostic-interrupt.html) 命令。
```
aws ec2 send-diagnostic-interrupt --instance-id i-1234567890abcdef0
```
------
#### [ PowerShell ]
**将诊断中断发送到实例**
使用 [Send-EC2DiagnosticInterrupt](https://docs.amazonaws.cn/powershell/latest/reference/items/Send-EC2DiagnosticInterrupt.html) cmdlet。
```
Send-EC2DiagnosticInterrupt -InstanceId i-1234567890abcdef0
```
------