可诊断的非托管 EC2 实例问题类别 - Amazon Systems Manager
问题类别:安全组配置和 HTTPS 通信问题类别:DNS 或 DNS 主机名配置问题类别:VPC 端点配置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

可诊断的非托管 EC2 实例问题类别

本主题列出了 EC2 管理问题的主要类别以及每个类别中 Systems Manager 可帮助您诊断并修复的具体问题。请注意,对于某些问题,Systems Manager 可识别问题,但不能提供自动修正措施。在这些情况下,Systems Manager 控制台会将您引导到帮助您手动解决问题的信息。

诊断过程会根据每组 EC2 实例所属的虚拟私有云 (VPC) 一次检查这些实例。

问题类别:安全组配置和 HTTPS 通信

诊断操作可能发现 SSM Agent 无法通过 HTTPS 与 Systems Manager 服务进行通信。在这些情况下,您可以选择执行一个自动化运行手册来尝试更新附加到实例的安全组。

注意

有时,Systems Manager 可能无法自动修复这些问题,然而您可以手动编辑受影响的安全组。

支持的问题类型

  • 实例安全组:端口 443 不允许出站流量

  • ssm VPC 端点的安全组:端口 443 不允许入站流量

  • ssmmessages VPC 端点的安全组:端口 443 不允许入站流量

  • ec2messages VPC 端点的安全组:端口 443 不允许入站流量

有关更多信息,请参阅 验证端点安全组的入口规则主题中的 排查 SSM Agent 问题

问题类别:DNS 或 DNS 主机名配置

诊断操作可能发现没有为 VPC 正确配置域名系统 (DNS) 或 DNS 主机名。在这些情况下,您可以选择执行一个自动化运行手册来尝试启用受影响 VPC 的 enableDnsSupportenableDnsHostnames 属性。

支持的问题类型

  • VPC 中已禁用 DNS 支持。

  • VPC 中已禁用 DNS 主机名。

有关更多信息,请参阅 验证 VPC DNS 相关属性主题中的 排查 SSM Agent 问题

问题类别:VPC 端点配置

诊断操作可能发现没有为 VPC 正确配置 VPC 端点。

如果 SSM Agent 所需的 VPC 端点不存在,则 Systems Manager 会尝试执行一个自动化运行手册来创建 VPC 端点,并将它们与每个相关区域性可用区 (AZ) 中的一个子网关联。如果所需的 VPC 端点存在,但没有与发现问题的子网相关联,则运行手册会将 VPC 端点关联到受影响的子网。

注意

Systems Manager 不支持修复所有配置错误的 VPC 端点问题。在这些情况下,Systems Manager 会将您引导到手动修复说明,而不是运行自动化运行手册。

支持的问题类型

  • 未找到 PrivateLink 的 ssm.region.amazonaws.com 端点。

  • 未找到 PrivateLink 的 ssmmessages.region.amazonaws.com 端点。

  • 未找到 PrivateLink 的 ec2messages.region.amazonaws.com 端点。

可诊断的问题类型

Systems Manager 可以诊断下面的问题类型,但目前没有可用于修复其问题的运行手册。您可以手动编辑您的配置以解决这些问题。

  • 实例的子网未连接到 ssm.region.amazonaws.com 端点。

  • 实例的子网未连接到 ssmmessages.region.amazonaws.com 端点。

  • 实例的子网未连接到 ec2messages.region.amazonaws.com 端点。

有关更多信息,请参阅 验证您的 VPC 配置主题中的 排查 SSM Agent 问题