Perché non riesco a installare Agente SSM sull'istanza Linux Amazon EC2?

Breve descrizione

Agente SSM è preinstallato sulla maggior parte delle Amazon Machine Images (AMI) fornite da AWS:

• Amazon Linux
• Amazon Linux 2
• AMI di base ottimizzate per Amazon Elastic Container Service (Amazon ECS) su Amazon Linux 2
• Ubuntu Server 16.04, 18.04 e 20.04

Tuttavia, per gestire le istanze basate sulle AMI RedHat, SUSE o CentOS, è necessario installare SSM Agent manualmente.

Risoluzione

Per risolvere gli errori di installazione di Agente SSM, controlla i seguenti problemi comuni:

Versione del sistema operativo non supportata

Agente SSM non è disponibile per tutte le versioni del sistema operativo (OS). L'installazione di Agente SSM non riesce se si esegue una versione non supportata di un sistema operativo. Per confermare se Agente SSM è disponibile per il tuo sistema operativo, consulta Sistemi operativi supportati per Systems Manager.

Errore durante il download del pacchetto

Quando installi manualmente Agente SSM, il pacchetto Agente SSM viene scaricato e installato da un repository Amazon Simple Storage Service (Amazon S3). Se l'istanza non riesce a connettersi al bucket S3 per scaricare il pacchetto, l'installazione di Agente SSM non riesce.

Verifica che l'istanza Amazon EC2 abbia accesso al repository S3 per scaricare il pacchetto Agente SSM:

• Se l'istanza è in una sottorete privata con un gateway Network Address Translation (NAT), consulta Gateway NAT.
• Se l'istanza è in una sottorete privata con un'istanza NAT, consulta Istanze NAT.
• Se l'istanza è in una sottorete pubblica con un gateway Internet, consulta Abilitazione dell'accesso a Internet.
• Se l'istanza è in una sottorete privata o pubblica con un endpoint cloud privato virtuale (VPC) Amazon S3, consulta Endpoint gateway per Amazon S3.

Il download del pacchetto può non riuscire anche nei seguenti scenari:

• I server DNS all'interno del sistema operativo non sono in grado di risolvere gli URL degli endpoint Amazon S3.
• Hai disattivato la risoluzione DNS per il VPC.

Esegui il comando seguente per verificare che il file /etc/resolv.conf includa l'indirizzo IP corretto del server DNS. Quindi controlla l'output e verifica che l'indirizzo IP di nameserver corrisponda all'indirizzo IP del server DNS:

$ cat /etc/resolv.conf

Per ulteriori informazioni, consulta Come posso risolvere i problemi di connettività con gli endpoint Amazon VPC del mio gateway?

Chiave pubblica mancante per il pacchetto Agente SSM

I file del pacchetto Agente SSM dispongono di firme crittografiche. Per verificare che il pacchetto dell'agente sia originale, utilizza una chiave pubblica per verificare la firma del pacchetto di installazione. È possibile utilizzare RPM Package Manager (RPM) o GNU Privacy Guard (GPG). I pacchetti RPM includono già la firma richiesta per la verifica RPM. Tuttavia, se si utilizza GPG per verificare il pacchetto di installazione, è necessario importare manualmente la chiave pubblica. In caso contrario, l'installazione non riesce con il seguente errore:

"Public key for amazon-ssm-agent.rpm is not installed"

Per ulteriori informazioni, consulta Verifica della firma di Agente SSM.

Errore nel test di transazione

Quando usi RPM per installare Agente SSM, esegui il seguente comando per importare la chiave pubblica nel tuo portachiavi:

rpm --import amazon-ssm-agent.gpg

Dopo aver eseguito questo comando e provato a installare Agente SSM, è possibile che venga visualizzato il seguente errore:

"Transaction test error: package amazon-ssm-agent-VERSION_NO does not verify: Header V4 RSA/SHA1 Signature"

Questo errore potrebbe verificarsi nelle istanze RHEL Linux 8.x e 9.x con un algoritmo SHA1 obsoleto. Per risolvere questo problema, procedi nel seguente modo:

1. Usa GPG per importare manualmente la chiave pubblica:

   gpg --import amazon-ssm-agent.gpg

2. Verifica la firma di Agente SSM, quindi installa Agente SSM.