SSM (AWS Systems Manager)
AWS Systems Manager (SSM) ແມ່ນ AWS Managed Service ທີ່ໃຊ້ສໍາລັບການດໍາເນີນງານ ແລະ ຈັດການ EC2 instances ແລະ on-premises servers ຢ່າງລວມສູນ. ສາມາດດໍາເນີນການດ້ານ operations ຕ່າງໆ ເຊັ່ນ: ການ patch, ການ execute commands, ການຈັດການ parameters, ແລະ ການເກັບກໍາ inventory ໄດ້ຢ່າງລວມສູນ ໂດຍບໍ່ຈໍາເປັນຕ້ອງເຊື່ອມຕໍ່ແຕ່ລະເຄື່ອງຜ່ານ SSH ຫຼື RDP.
ເປັນຫຍັງຈຶ່ງຕ້ອງການ SSM
ໃນຂັ້ນຕອນທີ່ມີເຊີບເວີພຽງສອງສາມເຄື່ອງ, ການ login ດ້ວຍ SSH ແລ້ວເຮັດວຽກກໍ່ຍັງພຽງພໍ, ແຕ່ເມື່ອຈຳນວນເພີ່ມຂຶ້ນ ສະຖານະການກໍ່ປ່ຽນໄປ. ການ patch ດ້ວຍຂໍ້ມູນດຽວກັນໃສ່ຫຼາຍສິບເຄື່ອງ, ການຕິດຕາມ package ທີ່ຕິດຕັ້ງໄວ້ໃນທຸກເຄື່ອງ, ການດຶງ log ທັງໝົດໃນຄາວດຽວເວລາເກີດຄວາມຜິດພາດ——ການດຳເນີນງານເຫຼົ່ານີ້ດ້ວຍມືນັ້ນບໍ່ແມ່ນເລື່ອງທີ່ເຮັດໄດ້ຕາມຄວາມເປັນຈິງ. SSM ສະໜອງກົນໄກໃນການດຳເນີນງານ task ການ operation ເຫຼົ່ານີ້ເປັນຊຸດຈາກ AWS console ຫຼື CLI.
ຟັງຊັນຫຼັກ
SSM ບໍ່ແມ່ນ service ດຽວ, ແຕ່ປະກອບດ້ວຍກຸ່ມຟັງຊັນຫຼາຍຢ່າງ. ຂໍຍົກຕົວຢ່າງທີ່ເດັ່ນໆດັ່ງນີ້.
Run Command ແມ່ນຟັງຊັນທີ່ remote execute shell script ຫຼື PowerShell command ໃສ່ node ທີ່ຢູ່ພາຍໃຕ້ການຄຸ້ມຄອງ. ບໍ່ຈຳເປັນຕ້ອງເປີດ SSH port, ແລະສາມາດຄວບຄຸມສິດໃນການ execute ດ້ວຍ IAM, ດ້ວຍເຫດນີ້ຈຶ່ງໃຊ້ງານໄດ້ງ່າຍກວ່າການເຊື່ອມຕໍ່ SSH ແບບດັ້ງເດີມທັງໃນດ້ານ security ແລະດ້ານ operation. ບໍ່ມີຄ່າໃຊ້ຈ່າຍເພີ່ມເຕີມ.
Parameter Store ແມ່ນຟັງຊັນທີ່ເກັບຮັກສາ ແລະ distribute ຄ່າ configuration ເຊັ່ນ connection string ຂອງ database ຫຼື API key ຢ່າງປອດໄພ. ຮອງຮັບການ encrypt ດ້ວຍ KMS, ແລະຮູບແບບທີ່ໃຊ້ທົ່ວໄປຄືການດຶງຂໍ້ມູນຈາກ application ດ້ວຍ aws ssm get-parameter.
Patch Manager ສະແກນສະຖານະການ apply OS patch ແລະ apply ອັດຕະໂນມັດຕາມ baseline. ເມື່ອໃຊ້ຮ່ວມກັບ maintenance window, ຈະສາມາດ apply patch ໃຫ້ສຳເລັດນອກເວລາທຳການໄດ້.
Session Manager ສະໜອງ shell access ຜ່ານ browser. ບໍ່ຈຳເປັນຕ້ອງມີ bastion server, ແລະຈຸດທີ່ operation log ຂອງ session ຖືກບັນທຶກອັດຕະໂນມັດໃສ່ CloudTrail ແລະ S3 ນັ້ນ ເປັນສິ່ງທີ່ໄດ້ຮັບຄວາມນິຍົມໃນສະພາບແວດລ້ອມທີ່ມີຂໍ້ກຳນົດດ້ານ audit ທີ່ເຂັ້ມງວດ.
ກົນໄກຂອງ SSM Agent
ຟັງຊັນຕ່າງໆຂອງ SSM ເຮັດວຽກຜ່ານ SSM Agent ທີ່ຕິດຕັ້ງໄວ້ໃນ node ທີ່ຢູ່ພາຍໃຕ້ການຄຸ້ມຄອງ. ເນື່ອງຈາກ AMI ຂອງ Amazon Linux 2 ແລະ Windows Server ມີ pre-install ໄວ້ແລ້ວ, ສ່ວນໃຫຍ່ຖ້າເປັນ EC2 ກໍ່ສາມາດເລີ່ມໃຊ້ງານໄດ້ໂດຍບໍ່ຕ້ອງ setup ເພີ່ມເຕີມ. ສຳລັບ on-premises server ຫຼື edge device ຈຳເປັນຕ້ອງ install ດ້ວຍມື, ແຕ່ຖ້າຜ່ານຂັ້ນຕອນການລົງທະບຽນທີ່ເອີ້ນວ່າ hybrid activation ກໍ່ສາມາດເພີ່ມເຂົ້າໃນ node ທີ່ຄຸ້ມຄອງໄດ້ຄືກັນກັບ EC2.
ຈາກປະສົບການຂອງຜູ້ຂຽນ, ຄວາມແຕກຕ່າງຂອງ version ຂອງ SSM Agent ເຄີຍເປັນສາເຫດຂອງບັນຫາ. ໃນກໍລະນີທີ່ Run Command ລົ້ມເຫຼວສະເພາະ node ໃດໜຶ່ງ, ວິທີທີ່ຖືກຕ້ອງຄືໃຫ້ສົງໄສ version ຂອງ Agent ກ່ອນ.
ໂຄງສ້າງລາຄາ
Run Command, Session Manager, Parameter Store (Standard parameter) ສາມາດໃຊ້ງານໄດ້ໂດຍບໍ່ມີຄ່າໃຊ້ຈ່າຍເພີ່ມເຕີມ. ສ່ວນຟັງຊັນລະດັບສູງບາງຢ່າງ ເຊັ່ນ Advanced parameter ຂອງ Parameter Store ຫຼືການດຳເນີນການ OpsItem ຂອງ OpsCenter ຈະມີຄ່າໃຊ້ຈ່າຍ. ການທີ່ຄ່າໃຊ້ຈ່າຍດ້ານ operation management ພື້ນຖານຖືກຮັກສາໄວ້ໃຫ້ຕ່ຳ ແມ່ນໜຶ່ງໃນຈຸດແຂງຂອງ SSM ແມ້ໃນສະພາບແວດລ້ອມຂະໜາດໃຫຍ່.
