SSM (AWS Systems Manager)
AWS Systems Manager (SSM) คือ AWS Managed Service ที่ใช้สำหรับบริหารจัดการและดำเนินการ EC2 Instance และ On-premises Server อย่างรวมศูนย์ โดยสามารถดำเนินงานด้านปฏิบัติการต่างๆ เช่น การ Patch, การรันคำสั่ง, การจัดการ Parameter และการเก็บข้อมูล Inventory ได้จากจุดเดียว โดยไม่จำเป็นต้องเชื่อมต่อแยกผ่าน SSH หรือ RDP
ทำไมถึงต้องใช้ SSM
ในขั้นตอนที่มีเซิร์ฟเวอร์เพียงไม่กี่เครื่อง การล็อกอินผ่าน SSH เพื่อทำงานก็เพียงพอแล้ว แต่เมื่อจำนวนเครื่องเพิ่มขึ้น เรื่องราวก็เปลี่ยนไป การติดตั้งแพตช์เดียวกันบนเครื่องหลายสิบเครื่อง การตรวจสอบแพ็กเกจที่ติดตั้งอยู่บนทุกเครื่อง การดึงล็อกพร้อมกันทั้งหมดเมื่อเกิดความขัดข้อง——การดำเนินงานเหล่านี้ด้วยมือนั้นไม่ใช่เรื่องที่ทำได้จริงในทางปฏิบัติ SSM มอบกลไกในการรันงานด้านการดำเนินงานเหล่านี้แบบรวมศูนย์ผ่าน AWS Console หรือ CLI
ฟีเจอร์หลัก
SSM ไม่ใช่บริการเดี่ยว แต่ประกอบด้วยกลุ่มฟีเจอร์หลายอย่าง ต่อไปนี้คือฟีเจอร์ที่เป็นตัวแทนสำคัญ
Run Command คือฟีเจอร์ที่ใช้รันเชลล์สคริปต์หรือคำสั่ง PowerShell จากระยะไกลบนโหนดที่อยู่ภายใต้การจัดการ ไม่จำเป็นต้องเปิดพอร์ต SSH และสามารถควบคุมสิทธิ์การรันผ่าน IAM ได้ จึงจัดการได้ง่ายกว่าการเชื่อมต่อ SSH แบบเดิมทั้งในด้านความปลอดภัยและด้านการดำเนินงาน ไม่มีค่าใช้จ่ายเพิ่มเติม
Parameter Store คือฟีเจอร์ที่ใช้จัดเก็บและแจกจ่ายค่าการตั้งค่าต่าง ๆ อย่างปลอดภัย เช่น สตริงการเชื่อมต่อฐานข้อมูลหรือ API Key รองรับการเข้ารหัสด้วย KMS และรูปแบบมาตรฐานที่นิยมใช้คือการดึงค่าจากแอปพลิเคชันผ่านคำสั่ง aws ssm get-parameter
Patch Manager ทำการสแกนสถานะการติดตั้งแพตช์ของ OS และดำเนินการติดตั้งอัตโนมัติตาม Baseline เมื่อใช้ร่วมกับ Maintenance Window จะสามารถกำหนดให้การติดตั้งแพตช์เสร็จสิ้นนอกเวลาทำการได้
Session Manager มอบการเข้าถึงเชลล์ผ่านเบราว์เซอร์ ไม่จำเป็นต้องมีเซิร์ฟเวอร์ Bastion และจุดเด่นที่ทำให้เป็นที่นิยมในสภาพแวดล้อมที่มีข้อกำหนดด้านการตรวจสอบเข้มงวดคือ ล็อกการดำเนินการของ Session จะถูกบันทึกอัตโนมัติไปยัง CloudTrail และ S3
กลไกการทำงานของ SSM Agent
ฟีเจอร์ต่าง ๆ ของ SSM ทำงานผ่าน SSM Agent ที่ติดตั้งอยู่บนโหนดที่อยู่ภายใต้การจัดการ เนื่องจาก AMI ของ Amazon Linux 2 และ Windows Server มีการติดตั้ง SSM Agent ไว้ล่วงหน้าแล้ว ในกรณีของ EC2 จึงมักสามารถเริ่มใช้งานได้โดยไม่ต้องตั้งค่าเพิ่มเติม สำหรับเซิร์ฟเวอร์ On-premises หรืออุปกรณ์ Edge จำเป็นต้องติดตั้งด้วยตนเอง แต่หากผ่านขั้นตอนการลงทะเบียนที่เรียกว่า Hybrid Activation ก็สามารถเพิ่มเข้าไปในรายการที่จัดการได้เช่นเดียวกับ EC2
จากประสบการณ์ของผู้เขียน ความแตกต่างของเวอร์ชัน SSM Agent อาจเป็นสาเหตุของปัญหาได้ หาก Run Command ล้มเหลวเฉพาะบางโหนด วิธีการมาตรฐานคือให้สงสัยเวอร์ชันของ Agent เป็นอันดับแรก
โครงสร้างค่าใช้จ่าย
Run Command, Session Manager และ Parameter Store (Standard Parameter) สามารถใช้งานได้โดยไม่มีค่าใช้จ่ายเพิ่มเติม ฟีเจอร์ระดับสูงบางส่วน เช่น Advanced Parameter ของ Parameter Store หรือการดำเนินการ OpsItem ของ OpsCenter จะมีค่าใช้จ่ายเกิดขึ้น การที่ต้นทุนการจัดการการดำเนินงานพื้นฐานสามารถควบคุมให้ต่ำได้แม้ในสภาพแวดล้อมขนาดใหญ่ ถือเป็นหนึ่งในจุดแข็งของ SSM
