Amazon EC2 Linux 인스턴스에 SSM 에이전트를 설치할 수 없는 이유는 무엇인가요?

간략한 설명

---

SSM 에이전트는 AWS에서 제공하는 대부분의 Amazon Machine Images(AMI)에 사전 설치되어 있습니다.

• Amazon Linux
• Amazon Linux 2
• Amazon Elastic Container Service(Amazon ECS)는 아마존 리눅스 2에서 기본 AMI를 최적화했습니다.
• 우분투 서버 16.04, 18.04, 20.04

하지만 RedHat, SUSE 또는 CentOS AMI를 기반으로 하는 인스턴스를 관리하려면 SSM 에이전트를 수동으로 설치해야 합니다.

해결 방법

SSM 에이전트 설치 실패 문제를 해결하려면, 다음과 같은 일반적인 문제를 확인합니다.

지원되지 않는 운영 체제

일부 운영 체제(OS) 버전에서는 SSM 에이전트를 사용할 수 없습니다. 지원되지 않는 버전의 OS를 실행하는 경우, SSM 에이전트 설치에 실패합니다. OS에서 SSM 에이전트를 사용할 수 있는지 확인하려면, Systems Manager에서 지원되는 운영 체제를 참조합니다.

패키지 다운로드 실패

SSM 에이전트를 수동으로 설치하면, SSM 에이전트 패키지가 Amazon Simple Storage Service(S3) 리포지토리에서 다운로드 및 설치됩니다. 인스턴스를 S3 버킷에 연결하여 패키지를 다운로드할 수 없는 경우, SSM 에이전트 설치에 실패합니다.

Amazon EC2 인스턴스가 S3 리포지토리에 액세스하여 SSM 에이전트 패키지를 다운로드할 수 있는지 확인합니다.

• 인스턴스가 Network Address Translation(NAT) 게이트웨이가 있는 프라이빗 서브넷에 있는 경우, NAT 게이트웨이를 참조합니다.
• 인스턴스가 NAT 인스턴스가 있는 프라이빗 서브넷에 있는 경우, NAT 인스턴스를 참조합니다.
• 인스턴스가 인터넷 게이트웨이가 있는 퍼블릭 서브넷에 있는 경우, 인터넷 액세스 활성화를 참조합니다.
• 인스턴스가 Amazon S3 Virtual Private Cloud(VPC) 엔드포인트가 있는 프라이빗 또는 퍼블릭 서브넷에 있는 경우, Amazon S3용 게이트웨이 엔드포인트를 참조합니다.

다음과 같은 시나리오에서도 패키지 다운로드가 실패할 수 있습니다.

• OS 내의 DNS 서버는 Amazon S3 엔드포인트 URL을 확인할 수 없습니다.
• VPC의 DNS 확인을 비활성화했습니다.

/etc/resolv.conf 파일에 DNS 서버의 올바른 IP 주소가 포함되어 있는지 확인하려면, 다음 명령을 실행합니다. 그런 다음, 출력을 검토하고 네임서버 IP 주소가 DNS 서버의 IP 주소와 일치하는지 확인합니다.

$ cat /etc/resolv.conf

자세한 내용은 게이트웨이 Amazon VPC 엔드포인트의 연결 문제를 해결하려면 어떻게 해야 합니까?를 참조합니다.

SSM 에이전트 패키지의 공개 키가 없습니다.

SSM Agent 패키지 파일에는 암호화 서명이 있습니다. 에이전트 패키지가 원본인지 확인하려면, 공개 키를 사용하여 설치 프로그램 패키지 서명을 확인합니다. RPM 패키지 관리자(RPM) 또는 GNU 프라이버시 가드(GPG)를 사용할 수 있습니다. RPM 패키지에는 RPM 검증을 위한 필수 서명이 이미 포함되어 있습니다. GPG를 사용하여 설치 프로그램 패키지를 확인하는 경우, 공개 키를 수동으로 가져와야 합니다. 그렇지 않으면, 설치에 실패하고 다음 오류가 발생합니다.

"Public key for amazon-ssm-agent.rpm is not installed"

자세한 내용은 SSM 에이전트 서명 확인을 참조합니다.

트랜잭션 테스트 오류

RPM을 사용하여 SSM 에이전트를 설치할 때는 다음 명령을 실행하여 공개 키를 키링으로 가져옵니다.

rpm --import amazon-ssm-agent.gpg

이 명령을 실행하고 SSM Agent를 설치하려고 하면, 다음 오류가 표시될 수 있습니다.

"Transaction test error: package amazon-ssm-agent-VERSION_NO does not verify: Header V4 RSA/SHA1 Signature"

이 오류는 더 이상 사용되지 않는 SHA1 알고리즘을 사용하는 RHEL Linux 8.x 및 9.x 인스턴스에서 발생할 수 있습니다. 이 문제를 해결하려면, 다음 단계를 따릅니다.

1. GPG를 사용하여 공개 키를 수동으로 가져옵니다.

   gpg --import amazon-ssm-agent.gpg

2. SSM 에이전트의 서명을 확인한 다음 SSM 에이전트를 설치합니다.