Minh Bui
Bài viết này Cloudmentor Pro sẽ cùng mọi người tìm hiểu hai chức năng của Systems Manager đó là Session Manager và Fleet Manager.
Systems Manager là service cho phép chúng ta tự động hoá việc quản lí các máy EC2 và các máy on-premise, từ đó giúp tiết kiệm chi phí và giảm effort vận hành. Systems Manager có các tính năng có thể kể đến như:
Đây là tính năng cho phép kết nối ssh từ xa đến các máy được quản lí bởi Systems Manager một cách trực tiếp từ AWS console mà không cần mở port ssh 22. Từ đó sẽ rất tiện lợi khi muốn truy cập ec2, giảm risk security như bị leak ssh key, ngoài ra còn giảm effort quản lí và lưu trữ ssh key.
Đây là tính năng cho phép kết nối rdp (chỉ áp dụng cho máy Windows) từ xa đến các máy được quản lí bởi Systems Managers một cách trực tiếp từ AWS console mà không cần mở port rdp 3389. Ngoài ra Fleet Manager còn cung cấp các tính năng khác như quản lí tình trạng online của các máy, xem thông tin instance trong thời gian thực, xem thông tin windows registry, v.v.. nhưng chủ yếu được dùng để kết nối rdp thôi.
Để sử dụng được thì mình cần biến các instance này thành “managed instance” của Systems Manager, thì cần đảm bảo 3 yếu tố sau:
1. Đường truyền
Từ máy ec2 phải có đường truyền kết nối đến được SSM, đường truyền này có thể thông qua internet hoặc VPC Endpoint như các trường hợp sau:
Ở đây theo quy định của aws thì sẽ cần 3 endpoint sau:2. IAM Permission
AmazonSSMManagedInstanceCore để cho phép SSM có quyền quản lí EC2.3. SSM Agent
Bài lab hôm nay mình sẽ build thử một EC2 Windows nằm trong public subnet, EC2 này có thể connect đến Systems Manager thông qua internet. Từ đó sẽ thực hiện test kết nối đến EC2 này bằng cả hai hình thức SSH & RDP thông qua hai chức năng đó là Session Manager & Fleet Manager.
Vào IAM Console, thực hiện tạo IAM Role với các parameter như sau:
d-saa-ec2-ssm-roleỞ đây mình sẽ configure security group cho ec2 để có thể kết nối SSH và RDP vào được. Cách làm thông thường thì sẽ phải mở 2 port ở inbound rule là port 22 (SSH) và port 3389 (RDP) , nhưng do mình sẽ kết nối thông qua SSM nên không cần mở 2 port này. Do đó security group inbound mình sẽ để trống, outbound để alllow toàn bộ để cho phép ec2 kết nối đến SSM thông qua internet được.
Security group sẽ có thông tin như sau:
Name: d-saa-ec2-ssm-sg
Description: for ssm connection
VPC: Default VPC
Inbound rules This security group has no inbound rules.
Outbound rules
| Type | Protocol | Port range | Destination |
|---|---|---|---|
| All traffic | All | All | 0.0.0.0/0 |
Tags
| Key | value |
|---|---|
| Name | d-saa-ssm-ec2 |
Ở step này mình sẽ tạo ec2 với đoạn user data bên dưới với mục đích khi ec2 được tạo thì cũng đồng thời cài ssm agent phiên bản mới nhất.
Các setting cho ec2 như sau:
d-saa-ssm-ec2d-key-SAA-common (Nếu chưa có thì tạo mới)(default)us-east-1aEnabled-saa-ssm-ec2d-saa-ec2-ssm-role<powershell>
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/windows_amd64/AmazonSSMAgentSetup.exe", $dir + "\AmazonSSMAgentSetup.exe")
Start-Process .\AmazonSSMAgentSetup.exe -ArgumentList @("/q", "/log", "install.log") -Wait
</powershell>
Chờ khoảng 3~5p cho ec2 khởi tạo và cài ssm agent xong.
Chọn instance vừa tạo, nhấn Connect
Chọn tab Session Manager, nhấn Connect
Kết nối thành công, test thử lệnh systeminfo để hiển thị thông tin windows:
Vào Systems Manager console > Fleet Manager > Chọn instance id vừa tạo > Node actions > Connect > Connect with Remote Desktop
Kết nối SSH thông qua Session Manager thì không đòi hỏi key nhưng kết nối RDP thông qua Fleet Manager thì sẽ cần cung cấp key hoặc username password. Ở đây mình sẽ thực hiện upload file key đã set ở step trước và nhấn Connect.
Kết nối RDP thành công:
Thực hiện xoá các resource đã tạo ở các step trên:
Tổng kết
