使用托管式节点 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用托管式节点

托管式节点是为 Amazon Systems Manager 配置的任何计算机。您可以将以下计算机类型配置为托管式节点:

  • Amazon Elastic Compute Cloud(Amazon EC2)实例

  • 您本地的服务器(本地服务器)

  • Amazon IoT Greengrass 核心设备

  • Amazon IoT 和非 Amazon 边缘设备

  • 虚拟机,包括其他云环境中的虚拟机

注意

在 Systems Manager 控制台中,任何带有“mi-”前缀的计算机都已使用混合激活配置为托管式节点。边缘设备显示其 Amazon IoT 事物名称。

Amazon Systems Manager 提供了标准实例层和高级实例层。两者都支持混合和多云环境中的托管式节点。通过标准实例套餐,每个 Amazon Web Services 区域 内每个 Amazon Web Services 账户 最多可以注册 1000 台计算机。如果您需要在一个账户和区域中注册超过 1000 台计算机,则使用高级实例套餐。在高级实例套餐中,您可以根据需要创建许多托管式节点。为 Systems Manager 配置的所有托管式节点均按使用量付费。有关启用高级实例套餐的更多信息,请参阅 打开高级实例套餐。有关定价的更多信息,请参阅 Amazon Systems Manager 定价

注意
  • 通过高级实例,您还可以使用 Amazon Systems Manager Session Manager 连接到混合和多云环境中的非 EC2 节点。Session Manager 提供了对您的实例的交互式 Shell 访问。有关更多信息,请参阅 Amazon Systems Manager Session Manager

  • 标准实例配额也适用于使用 Systems Manager 本地激活的 Amazon EC2 实例(但这不是常见情况)。

  • 要修补 Microsoft 在虚拟机 (VM) 本地实例上发布的应用程序,请激活高级实例套餐。使用高级实例套餐需支付费用。修补 Microsoft 在 Amazon Elastic Compute Cloud (Amazon EC2) 实例上发布的应用程序不收取额外费用。有关更多信息,请参阅 关于修补由微软在 Windows Server 发布的应用程序

显示托管式节点

如果您没有看到控制台中列出托管式节点,则执行以下操作:

  1. 确认控制台在您创建托管式节点的 Amazon Web Services 区域 中处于打开状态。您可以使用顶部的列表(控制台右上角)切换区域。

  2. 确认托管式节点的设置步骤是否满足 Systems Manager 要求。有关信息,请参阅设置 Amazon Systems Manager

  3. 对于非 EC2 计算机,请确认您已完成混合激活过程。有关更多信息,请参阅 为混合和多云环境设置 Systems Manager

注意

请注意以下信息。

  • Fleet Manager 控制台不显示已终止的 Amazon EC2 节点。

  • Systems Manager 需要准确的时间参考以便在计算机上执行操作。如果托管式节点上的日期和时间设置不正确,计算机可能与 API 请求的签名日期不匹配。有关更多信息,请参阅 应用场景和最佳实践

  • 创建或编辑标签时,系统可能需要最多 1 小时才能在表筛选条件中显示更改。

  • 在托管节点的状态保持 Connection Lost 至少 30 天后,该节点可能不再会在 Fleet Manager 控制台中列出。必须首先解决导致连接中断的问题,然后才能将其恢复到列表中。有关故障排除提示,请参阅 排除托管式节点可用性的问题

验证托管式节点的 Systems Manager 支持

Amazon Config 提供了 Amazon 托管式规则,Amazon Config 使用这些可自定义的预定义规则来评估您的 Amazon 资源配置是否符合常用的最佳实践。Amazon ConfigManaged Rules 包括 ec2-instance-managed-by-systems-manager 规则。该规则会检查您账户中的 Amazon EC2 实例是否由 Systems Manager 托管。有关更多信息,请参阅 Amazon Config Managed Rules

改善托管式节点的安保状况

有关在托管式节点上提高针对未授权根级别命令的安保状况的更多信息,请参阅 通过 SSM Agent 限制对根级别命令的访问

取消注册托管式节点

您可以随时取消注册托管式节点。例如,如果您正在管理多个具有相同 Amazon Identity and Access Management (IAM) 角色的节点,并且您发现了任何类型的恶意行为,则您可以随时取消注册任意数量的计算机。有关取消注册托管式节点的信息,请参阅 在混合和多云环境中取消注册托管式节点