Phenquestions
Настройка SCP и SSH:
Для выполнения операций SCP и SSH с локального хоста на удаленный облачный ресурс вам потребуется выполнить следующие шаги настройки:
Установка агента AWS Systems Manager на инстансы EC2:
Что такое агент SSM?
Программный агент SSM от Amazon можно установить и настроить на инстансе EC2, виртуальной машине или локальном сервере. Агент SSM позволяет системному администратору обновлять, контролировать и настраивать эти инструменты. Агент обрабатывает запросы от службы AWS Cloud System Manager, выполняет их, как определено в запросе, и передает информацию о состоянии и выполнении обратно в службу диспетчера устройств с помощью службы доставки сообщений Amazon. Если вы отслеживаете трафик, вы можете видеть свои инстансы Amazon EC2 и любые локальные серверы или виртуальные машины в гибридной системе, взаимодействующие с конечными точками сообщений ec2.
Установка агента SSM:
Агент SSM по умолчанию устанавливается на некоторых экземплярах EC2 и Amazon System Images (AMI), таких как Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 и 20 и AMI, оптимизированные для Amazon 2 ECS. Кроме того, вы можете установить SSM вручную из любого региона AWS.
Чтобы установить его в Amazon Linux, сначала загрузите установщик агента SSM, а затем запустите его с помощью следующей команды:
[электронная почта защищена]: ~ $ sudo yum install -y https: // s3.область, край.амазонки.com / amazon-ssm-region / последний / linux_amd64 / amazon-ssm-agent.об / минВ приведенной выше команде "область, край" отражает идентификатор региона AWS, предоставленный системным менеджером. Если вы не можете загрузить его из указанного вами региона, используйте глобальный URL-адрес i.е
[электронная почта защищена]: ~ $ sudo yum install -y https: // s3.амазонки.com / ec2-downloads-windows / SSMAgent / последний / linux_amd64 / amazon-ssm-agent.об / минПосле установки проверьте, запущен агент или нет, с помощью следующей команды:
[электронная почта защищена]: ~ $ sudo status amazon-ssm-agentЕсли приведенная выше команда показывает, что amazon-ssm-agent остановлен, попробуйте следующие команды:
[электронная почта защищена]: ~ $ sudo start amazon-ssm-agent[электронная почта защищена]: ~ $ sudo status amazon-ssm-agent
Создание профиля экземпляра IAM:
По умолчанию AWS Systems Manager не имеет полномочий на выполнение действий в ваших экземплярах. Вы должны разрешить доступ с помощью профиля AWS Identity and Access Management Instant Profile (IAM). При запуске контейнер передает данные о местоположении IAM в инстанс Amazon EC2, что называется профилем инстанса. Это условие распространяется на утверждения всех возможностей AWS Systems Manager. Если вы используете возможности System Manager, такие как команда Run, профиль экземпляра с базовыми разрешениями, необходимыми для Session Manager, уже может быть прикреплен к вашим экземплярам. Если ваши инстансы уже подключены к профилю инстанса, который включает AmazonSSMManagedInstanceCore AWS Managed Policy, соответствующие разрешения Session Manager уже выданы. Однако в определенных случаях может потребоваться изменить разрешения, чтобы добавить разрешения диспетчера сеансов в профиль экземпляра. Прежде всего, откройте консоль IAM, войдя в консоль управления AWS. Теперь нажмите «Роли»На панели навигации. Здесь выберите название должности, которая будет включена в политику. На вкладке «Разрешения» выберите «Добавить встроенную политику», расположенную внизу страницы. Щелкните вкладку JSON и замените уже загруженный контент следующим:
«Версия»: «2012-10-17»,
"Заявление": [
«Эффект»: «Разрешить»,
"Действие": [
"ssmmessages: CreateControlChannel",
"ssmmessages: CreateDataChannel",
"ssmmessages: OpenControlChannel",
"ssmmessages: OpenDataChannel"
],
«Ресурс»: «*»
,
«Эффект»: «Разрешить»,
"Действие": [
"s3: GetEncryptionConfiguration"
],
«Ресурс»: «*»
,
«Эффект»: «Разрешить»,
"Действие": [
«кмс: расшифровать»
],
«Ресурс»: «имя-ключа»
]
После замены содержимого нажмите кнопку «Политика просмотра». На этой странице введите имя встроенной политики, например SessionManagerPermissions, в поле «Имя». После этого выберите параметр «Создать политику».
Обновление интерфейса командной строки:
Чтобы загрузить версию 2 интерфейса командной строки AWS из командной строки Linux, сначала загрузите установочный файл с помощью команды curl:
[электронная почта защищена]: ~ $ curl "https: // awscli.амазонки.com / awscli-exe-linux-x86_64.zip "-o" awscliv2.застежка-молния "Разархивируйте установщик с помощью этой команды:
[электронная почта защищена]: ~ $ unzip awscliv2.застегиватьЧтобы убедиться, что обновление включено в том же месте, что и уже установленный интерфейс командной строки AWS версии 2, найдите существующую символическую ссылку, используя команду which, и каталог установки, используя команду ls, например:
[электронная почта защищена]: ~ $ which aws[электронная почта защищена]: ~ $ ls -l / usr / local / bin / aws
Создайте команду установки, используя эту символическую ссылку и информацию о каталоге, а затем подтвердите установку, используя следующие команды:
[электронная почта защищена]: ~ $ sudo ./ aws / install --bin-dir / usr / local / bin --install-dir / usr / local / aws-cli --update[электронная почта защищена]: ~ $ aws --version
Установка плагина Session Manager:
Установите плагин Session Manager на свой локальный компьютер, если вы хотите использовать интерфейс командной строки AWS для запуска и завершения сеансов. Чтобы установить этот плагин в Linux, сначала загрузите пакет RPM, а затем установите его, используя следующую последовательность команд:
[электронная почта защищена]: ~ $ curl "https: // s3.амазонки.com / session-manager-downloads / plugin / latest / linux_64bit / session-manager-plugin.rpm "-o" плагин диспетчера сеансов.об / мин "[электронная почта защищена]: ~ $ sudo yum install -y плагин-диспетчера сеансов. об / мин
После установки пакета вы можете подтвердить, успешно ли установлен плагин, используя следующую команду:
[электронная почта защищена]: ~ $ session-manager-pluginИЛИ ЖЕ
[электронная почта защищена]: ~ $ aws ssm start-session --target id-of-an-instance-you-have-permissions-to-accessОбновление файла конфигурации SSH локального хоста:
Измените файл конфигурации SSH, чтобы разрешить команде прокси запускать сеанс диспетчера сеансов и передавать все данные через соединение. Добавьте этот код в файл конфигурации SSH с шагом «~ /.ssh / config »:
Использование SCP и SSH:
Теперь вы будете готовы отправлять SSH и SCP-соединения с вашими облачными свойствами напрямую с вашего ближайшего ПК после завершения ранее упомянутых шагов.
Получите идентификатор экземпляра облачного актива. Это можно сделать с помощью консоли управления AWS или следующей команды:
[электронная почта защищена]: ~ $ aws ec2 description-instanceSSH может выполняться как обычно, используя идентификатор экземпляра в качестве имени хоста, а переключатели командной строки SSH выглядят следующим образом:
Теперь файлы можно легко переносить на удаленную машину без необходимости промежуточного этапа, используя SCP.
Заключение:
Пользователи годами полагались на брандмауэры для безопасного доступа к облачному контенту, но эти варианты имеют проблемы с шифрованием и управлением. Хотя неизменяемая инфраструктура является идеальной целью по разным причинам, в некоторых случаях для создания или обслуживания действующей системы требуется копирование исправлений или других данных в действующие экземпляры, и многие из них в конечном итоге столкнутся с необходимостью получить или настроить системы, работающие в реальном времени. AWS Systems Manager Session Manager обеспечивает эту возможность без дополнительного входа в брандмауэр и необходимости во внешних решениях, таких как промежуточное использование S3.
