Amazon EC2 主机管理
使用 Amazon Systems Manager 的 Quick Setup 功能在 Amazon Elastic Compute Cloud (Amazon EC2) 实例上快速配置必需的安全角色和常用的 Systems Manager 功能。可通过与 Amazon Organizations 集成在单个账户中或跨多个账户和 Amazon Web Services 区域使用 Quick Setup。这些功能帮助您管理和监控实例的运行状况,同时提供开始使用所需的最低权限。
如果您不熟悉 Systems Manager 的服务和功能,建议您先查看《Amazon Systems Manager 用户指南》,然后再使用 Quick Setup 创建配置。有关 Systems Manager 的更多信息,请参阅 什么是 Amazon Systems Manager?。
重要
如果以下任一项适用于您,则 Quick Setup 可能不是适合 EC2 管理使用的正确工具:
-
您第一次尝试创建 EC2 实例,以尝试 Amazon 功能。
-
您仍然是 EC2 实例管理的新客户。
相反,建议您浏览以下内容:
-
适用于 Linux 实例的 Amazon EC2 用户指南中的使用新启动实例向导启动实例
-
适用于 Linux 实例的 Amazon EC2 用户指南中的使用新启动实例向导启动实例
-
适用于 Linux 实例的 Amazon EC2 用户指南中的使用新启动实例向导启动实例
如果您已经熟悉 EC2 实例管理,并且希望简化多个 EC2 实例的配置和管理,请使用 Quick Setup。无论您的组织有几十个、数千个还是数百万个 EC2 实例,都可以使用以下 Quick Setup 过程一次性为它们配置多个选项。
先决条件
在完成以下任务之前,必须已指定 Quick Setup 的主区域。有关信息,请参阅配置主 Amazon Web Services 区域。
注意
借助此配置类型,您可以为 Amazon Organizations 中定义的整个组织、仅部分组织账户和区域或单个账户设置多个选项。其中一个选项是每两周检查并应用 SSM Agent 更新。如果您是组织管理员,则还可以选择使用默认主机管理配置类型,每两周更新一次代理,从而更新组织中的所有 EC2 实例。有关信息,请参阅组织的默认主机管理。
配置 EC2 实例的主机管理选项
要设置主机管理,请在 Amazon Systems Manager Quick Setup 控制台中执行以下任务。
打开“主机管理配置”页面
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 在导航窗格中,选择 Quick Setup。
-或者-
如果首先打开 Amazon Systems Manager 主页,选择菜单图标 (
) 以打开导航窗格,然后在导航窗格中选择 Quick Setup。-
在主机管理卡片上,选择创建。
提示
如果您的账户中已经有一个或多个配置,请先选择库选项卡或配置部分的中的创建按钮以查看卡片。
配置 Systems Manager 主机管理选项
-
要配置 Systems Manager 功能,请在配置选项部分的 Systems Manager 组中选择要为配置启用的选项:
- 每两周更新一次 Systems Manager(SSM)代理
-
启用 Systems Manager,每两周检查一次是否存在新版本的代理。如果存在新版本,Systems Manager 会自动将托管式节点上的代理更新为发布的最新版本。Quick Setup 不会在尚不存在代理的实例上安装此代理。有关哪些 AMIs 预装了 SSM Agent 的信息,请参阅 预安装了 SSM Agent 的 Amazon Machine Images(AMIs)。
建议您选择此选项,以确保您的节点始终运行最新版本的 SSM Agent。有关 SSM Agent 的更多信息(包括有关如何手动安装该代理的信息),请参阅 使用 SSM Agent。
- 每 30 分钟从实例中收集一次清单
-
启用 Quick Setup 配置以下类型的元数据收集:
-
Amazon 组件 - EC2 驱动程序、代理和版本等。
-
应用程序 - 应用程序名称、发布者和版本等。
-
节点详细信息 - 系统名称、操作系统(OS)名称、操作系统版本、上次启动时间、DNS、域、工作组和操作系统架构等。
-
网络配置 - IP 地址、MAC 地址、DNS、网关和子网掩码等。
-
服务 - 名称、显示名称、状态、相关服务、服务类型和启动类型等(仅限 Windows Server 节点)。
-
Windows 角色 - 名称、显示名称、路径、功能类型和安装状态等(仅限 Windows Server 节点)。
-
Windows 更新 - 补丁 ID、安装者和安装日期等(仅限 Windows Server 节点)。
有关 Amazon Systems Manager 的 Inventory 功能的更多信息,请参阅 Amazon Systems Manager 清单。
注意
即使您仅选择了几个节点,Inventory collection(清单收集)选项也可能需要长达 10 分钟才能完成。
-
- 每天扫描实例以查找缺少的补丁
-
启用 Patch Manager(Systems Manager 的一项功能),每天扫描节点并在合规性页面中生成报告。该报告根据默认补丁基准显示满足补丁合规性的节点数。该报告包含一份关于每个节点及其合规性状态的列表。
有关修补操作和补丁基准的信息,请参阅 Amazon Systems Manager Patch Manager。
要查看补丁合规信息,请参阅 Systems Manager 合规性
页面。 有关在一个配置中修补多个账户和区域中的托管节点的信息,请参阅 使用 Quick Setup 补丁策略 和 Patch Manager 组织修补配置。
重要
Systems Manager 支持多种方法来扫描托管节点,以满足补丁合规性。若同时执行上述方法中的多种方法,您看到的补丁合规信息将始终是最近一次扫描的结果。先前扫描的结果将被覆盖。如果扫描方法使用不同的补丁基准,有不同的批准规则,那么补丁合规信息可能会出现意外变更。有关更多信息,请参阅 避免意外覆盖补丁合规性数据。
配置 Amazon CloudWatch 主机管理选项
-
要配置 CloudWatch 功能,请在配置选项部分的 Amazon CloudWatch 组中选择要为配置启用的选项:
- 安装和配置 CloudWatch 代理
-
在 Amazon EC2 实例上安装统一的 CloudWatch 代理的基本配置。代理将从 Amazon CloudWatch 的实例中收集指标和日志文件。将合并此信息以快速确定实例的运行状况。有关 CloudWatch 代理基本配置的更多信息,请参阅 CloudWatch 代理预定义指标集。可能会增加成本。有关更多信息,请参阅 Amazon CloudWatch 定价
。 - 每 30 天更新一次 CloudWatch 代理
-
启用 Systems Manager,每 30 天检查一次是否存在新版本的 CloudWatch 代理。如果存在新版本, Systems Manager 会自动在实例上更新代理。我们建议您选择该选项,以确保您的实例始终运行最新版本的 CloudWatch 代理。
配置 Amazon EC2 启动代理的主机管理选项
-
要配置 Amazon EC2 启动代理功能,请在配置选项部分的 Amazon EC2 启动代理组中选择要为配置启用的选项:
- 每 30 天更新一次 EC2 启动代理
-
启用 Systems Manager,每 30 天检查一次实例上安装的启动代理是否存在新版本。如果有新版本可用,则 Systems Manager 会在实例上更新代理。我们建议您选择该选项,以确保您的实例始终运行最新版本的适用启动代理。对于 Amazon EC2 Windows 实例,此选项支持 EC2Launch、EC2Launch v2 和 EC2Config。对于 Amazon EC2 Linux 实例,此选项支持
cloud-init。对于 Amazon EC2 Mac 实例,此选项支持ec2-macos-init。Quick Setup 不支持更新安装在启动代理不支持的操作系统或 AL2023 上的启动代理。有关这些初始化代理的更多信息,请参阅以下主题:
选择要通过“主机管理配置”更新的 EC2 实例
-
在目标部分,选择用于确定要部署配置的账户和区域的方法:
注意
无法创建定位同一 Amazon Web Services 区域的多个 Quick Setup 主机管理配置。
指定实例配置文件选项
-
仅限整个组织和自定义目标。
在实例配置文件选项部分,选择是要将必需的 IAM 策略添加至已附加到实例的现有实例配置文件,还是允许 Quick Setup 使用所选配置所需权限创建 IAM 策略和实例配置文件。
指定好所有配置选项后,选择创建。