Configurar Systems Manager para máquinas virtuales de Microsoft Azure
Puede registrar máquinas virtuales (VM) en Azure como nodos administrados por Systems Manager mediante el proceso de activación híbrido con la integración nativa del servicio de metadatos de instancias (IMDS) de Azure. Al especificar el parámetro -provider Azure durante el registro, SSM Agent lee los datos de identidad de la máquina virtual de Azure directamente desde el punto de conexión IMDS de Azure y asocia el nodo administrado a la máquina virtual en Azure de origen.
Esta integración proporciona las ventajas siguientes:
-
Asociación de identidades de instancias: el nodo administrado por SSM (mi-) se vincula automáticamente al ID de máquina virtual en Azure, lo que permite un seguimiento uniforme de los recursos en todas las nubes.
-
Recopilación exhaustiva de metadatos: las propiedades de las máquinas virtuales en Azure, como el identificador de suscripción, el grupo de recursos, la ubicación y la zona de disponibilidad, se capturan y se muestran como atributos de nodos administrados.
-
Seguridad mejorada: la designación explícita del proveedor evita los ataques de suplantación de identidad mediante IMDS y garantiza que las credenciales se asignen al proveedor de nube correcto.
nota
Antes de empezar, complete los pasos previos para crear un rol de servicio de IAM y una activación híbrida, tal y como se describe en Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube y Creación de una activación híbrida para registrar nodos con Systems Manager.
Instalar SSM Agent en máquinas virtuales Linux en Azure
Utilice el siguiente procedimiento para instalar y registrar SSM Agent en una máquina virtual Linux en Azure.
Para instalar SSM Agent en una máquina virtual Linux en Azure
-
Conéctese a su máquina virtual en Azure.
-
Use los siguientes comandos. Reemplace los valores de marcador por el código y el ID de activación que se generaron durante el proceso de activación híbrido y por el identificador de la Región de AWS que desea utilizar.
nota
El siguiente comando utiliza el binario
linux_amd64. Si la máquina virtual en Azure usa un procesador ARM64 (por ejemplo, las series Dpsv5 o Epsv5), sustituyelinux_amd64porlinux_arm64.mkdir /tmp/ssm curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register \ -activation-code "activation-code" \ -activation-id "activation-id" \ -region "region" \ -provider Azure -
Compruebe que SSM Agent se esté ejecutando y que los datos de registro se hayan escrito correctamente:
sudo systemctl status amazon-ssm-agent cat /var/lib/amazon/ssm/registration
Instalar SSM Agent en máquinas virtuales Windows Server en Azure
Utilice el siguiente procedimiento para instalar y registrar SSM Agent en una máquina virtual Windows Server en Azure.
Para instalar SSM Agent en una máquina virtual Windows Server en Azure
-
Conéctese a su máquina virtual en Azure.
-
Abra Windows PowerShell en modo (administrativo) con permisos elevados.
-
Copie y pegue el siguiente bloque de comandos en Windows PowerShell. Reemplace cada
example resource placeholdercon su propia información.nota
El siguiente comando utiliza el binario
windows_amd64. Si la máquina virtual en Azure usa un procesador ARM64, sustituyawindows_amd64porwindows_arm64.[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12' $code = "activation-code" $id = "activation-id" $region = "us-east-1" $dir = $env:TEMP + "\ssm" New-Item -ItemType directory -Path $dir -Force cd $dir (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe") Start-Process ./ssm-setup-cli.exe -ArgumentList @( "-register", "-activation-code=$code", "-activation-id=$id", "-region=$region", "-provider=Azure" ) -Wait -NoNewWindow Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"
Asignación de metadatos de máquinas virtuales en Azure
Al registrar una máquina virtual en Azure mediante el parámetro -provider Azure, SSM Agent lee las siguientes propiedades del punto de conexión de IMDS de Azure (http://169.254.169.254/metadata/instance) y las asigna a los atributos de nodo administrados de Systems Manager correspondientes.
| Propiedad de nodo administrado | Campo de Azure IMDS | Ejemplo de valor |
|---|---|---|
ComputerName |
{compute.subscriptionId}:{compute.resourceGroupName}:{compute.name} |
14724fea-7bad-4c32-8af0-ebde38f42a46:MyRG:my-azure-vm |
SourceType |
Codificado de forma rígida | Microsoft.Compute/virtualMachines |
SourceID |
{compute.vmId} |
1724afd8-9092-429e-8b04-0708130c38f7 |
SourceLocation |
{compute.location} |
centralus |
AvailabilityZone |
{compute.zone} |
1 |
AvailabilityZoneId |
Zone{compute.zone} |
Zone1 |
Verificar el registro del nodo administrado mediante DescribeInstanceInformation
Tras el registro, utilice el comando describe-instance-information para confirmar que los metadatos de la máquina virtual en Azure se capturaron correctamente. En el siguiente ejemplo, se filtra SourceId mediante el ID de máquina virtual en Azure:
aws ssm describe-instance-information \ --filters "Key=SourceIds,Values=1724afd8-9092-429e-8b04-0708130c38f7" \ --regionus-east-1
La respuesta incluye el ID del nodo administrado (con el prefijo mi-) y los campos de metadatos rellenados, como ComputerName, SourceId y SourceType:
{ "InstanceInformationList": [ { "InstanceId": "mi-008d36be46EXAMPLE", "ComputerName": "14724fea-7bad-4c32-8af0-ebde38f42a46:MyRG:my-azure-vm", "SourceId": "1724afd8-9092-429e-8b04-0708130c38f7", "SourceType": "Microsoft.Compute/virtualMachines", "SourceLocation": "centralus", "AvailabilityZone": "1", "AvailabilityZoneId": "Zone1", "PingStatus": "Online", "PlatformType": "Linux", "PlatformName": "Ubuntu", "PlatformVersion": "24.04" } ] }
