WavebreakMediaMicro - Fotolia

EC2 Simple Systems Manager (SSM): AWS-Tool zur Cloud-Verwaltung

Für die Verwaltung hybrider Infrastrukturen bietet AWS den EC2 Simple Systems Manager. Die Installation von EC2 SSM erfolgt idealerweise über die Kommandozeile.

Der Schritt in die Cloud öffnet für Unternehmen viele Türen, bringt aber natürlich auch Herausforderungen mit sich. IT-Abteilungen müssen daher neue Fertigkeiten erlernen, um die neuen Funktionen und Plattformen verwalten zu können.

Dabei ist es natürlich nie einfach, eine komplette Infrastruktur einfach in die Cloud zu verlagern. Daher ist die Hybrid Cloud der natürliche erste Schritt auf dem Weg in die Cloud. Dabei bleibt ein Teil der Infrastruktur im eigenen Rechenzentrum, während neue Anwendungen direkt in der Cloud ausgerollt werden. In diesen hybriden Szenarien benötigen IT-Abteilungen neue Tools und Management-Strategien, je nachdem, welche Cloud-Infrastrukturen eingebunden werden sollen. Dies wird vor allem dann komplex, wenn verteilte Server über verschiedene Data Center hinweg verwaltet werden müssen, und zwar im eigenen Rechenzentrum und in der Cloud.

Diese Herausforderungen der Hybrid Cloud adressiert AWS über den Cloud-Service EC2 (Elastic Compute Cloud) SSM (Simple Systems Manager). Dieser legt ein Softwareinventar an, verwaltet Patches und ermöglicht die Konfigurationsverwaltung über Windows- und Linux-Systeme hinweg. Amazon EC2 SSM funktioniert nicht nur mit EC2-Instanzen, sondern unterstützt auch lokal installierte Server, was das Tool ideal für den Einsatz in der Hybrid Cloud macht.

EC2 SSM enthält auch Run Command, eine Komponente für den Remote-Zugriff auf Server. Hierüber kann sowohl mit lokalen als auch mit in der Cloud ausgeführten Servern interagiert werden, was zu einem zentralisierten Server-Management führt.

Eine IAM Service-Rolle erstellen

Lokale Server benötigen zunächst die entsprechende Berechtigung, um den SSM-Service nutzen zu können. Dafür ist das Erstellen einer IAM-Rolle (Identity and Access Management) in der AWS IAM-Konsole oder über die AWS CLI nötig, um die Kommunikation mit SSM zu erlauben. Die Kommandozeile ist natürlich der schnellere Weg, der daher im folgenden Beispiel auch gezeigt werden soll.

Hierfür wird eine Textdatei mit dem Namen ssm.json und dem folgenden Code erstellt:

{

  "Version": "2012-10-17",

  "Statement": {

    "Effect": "Allow",

    "Principal": {"Service": "ssm.amazonaws.com"},

    "Action": "sts:AssumeRole"

  }

}

Zum Erstellen der Service-Rolle wird anschließend der Befehl create-role verwendet. Als Beispiel könnte hiermit die Rolle SSMRole erstellt werden, während angenommen wird, dass die zuvor angelegte Datei ssm.json im gleichen Verzeichnis liegt.

aws iam create-role --role-name SSMRole --assume-role-policy-document file://ssm.json

Nachdem die IAM-Rolle erstellt wurde, wird ihr die Policy AmazonEC2RoleforSSM zugewiesen, womit jedem System mit der entsprechenden Rolle das Ausführen von SSM-Befehlen ermöglicht wird. Der folgende Code muss in einer Zeile eingegeben werden, daher gilt es, den Zeilenumbruch zu ignorieren:

aws iam attach-role-policy --role-name SSMRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforSSM

An diesem Punkt ist die IAM-Konfiguration auch schon bereit für die SSM-Nutzung. Im nächsten Schritt müssen noch die lokalen Server eingebunden werden.

Vor der Installation: Eine Instanz aktivieren

Bevor der SSM-Agent auf lokalen Servern installiert werden kann, muss zunächst eine Managed-Instance-Aktivierung in der EC2-Konsole vorgenommen werden. Damit erhält man einen Aktivierungs-Code sowie eine ID, die zur Installation des SSM-Agents benötigt wird.

In der EC2-Konsole wird hierfür den Bereich Systems Manager Shared Resources ausgeklappt und Activations ausgewählt. Anschließend gibt man über Create an activation die eben erhaltenen Anmeldedaten ein, wie Abbildung 1 zeigt.

Name und Konfiguration der EC2 SSM Aktivierung.
Abbildung 1: Name und Konfiguration der EC2 SSM Aktivierung.

In diesem Beispiel wurde der Aktivierung eine Beschreibung hinzugefügt. Das Instanzen-Limit liegt bei 1, dieser Wert kann aber für mehrere Server auch erhöht werden. Diese Aktivierung verbindet sich mit der IAM-Rolle, die vorher per Kommandozeile erstellt wurde. Zusätzlich wurde ein Ablaufdatum für die Aktivierung festgelegt und der Standardname lautet Web1.

Nachdem man die Konfiguration mit Activate abgeschlossen hat, wird man auf einen Bildschirm wie in Abbildung 2 weitergeleitet.

 Aktivierungs-Code und ID für die Nutzung von EC2 SSM.
Abbildung 2: Aktivierungs-Code und ID für die Nutzung von EC2 SSM.

Aktivierungs-Code und ID sollte man sich an dieser Stelle notieren, da sie für die Installation des SSM-Agents auf lokalen Servern benötigt werden.

Installieren der Agent-Software für EC2 SSM

SSM-Agents gibt es für verschiedene Linux-Distributionen sowie für Windows Server. In diesem Beispiel verwenden wir einfach den Windows-Agent. Entsprechende Anleitungen zur Installation des Linux-Agents finden sich aber leicht in der AWS-Dokumentation.

Für die Installation wird ein Skript benötigt, das Abbildung 3 zeigt.

Code-Snippet zur Installation es EC2 SSM Agenten.
Abbildung 3: Code-Snippet zur Installation es EC2 SSM Agenten.

Das Ganze sieht auf den ersten Blick etwas kompliziert aus, der komplette Vorgang findet sich aber wie gesagt ausführlich in der AWS-Dokumentation. Im Grunde umfasst das Skript die folgenden Punkte:

  • In Zeile 1 und 2 wird der Ort des SSM-Agents deklariert und dieser auf den lokalen Server heruntergeladen.
  • In den Zeilen 4 und 5 werden Variablen erstellt, die den Aktivierungs-Code und die ID referenzieren.
  • In Zeile 7 wird schließlich der Installer mit einigen weiteren Parametern gestartet. Hier wurden Werte für den Aktivierungs-Code, die Aktivierungs-ID und die Region der Managed-Instance-Aktivierung integriert. Damit wird der Server an die zuvor erstellte Aktivierung gekoppelt.

Nachdem dieses Skript ausgeführt wurde, navigiert man in der EC2-Konsole zu Systems Manager Shared Resources und wählt dort Managed Instances aus, um die über SSM verwalteten Serverinstanzen zu sehen.

Sobald dort Instanzen aufgeführt werden, können diese über das Run-Command-Tool verwaltet werden. Dort lassen sich dann verschiedene von SSM unterstützte Funktionen verwenden, also auch das Patching oder die Inventarisierung der Software. Damit wird es wesentlich einfacher, einen Überblick über alle verwendeten Server zu erhalten und diese zu verwalten, egal ob diese im eigenen Rechenzentrum oder in der AWS-Cloud ausgeführt werden.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenüberwachung im AWS Billing-Dashboard

EC2-Instanzen und das Lebenszyklus-Management

Firewall einer AWS Virtual Private Cloud konfigurieren

 

Artikel wurde zuletzt im September 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Public-Cloud-Infrastruktur

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close