Amazon Elastic Compute Cloud (Amazon EC2) インスタンスをマネージドインスタンスとして AWS Systems Manager に登録しようとしています。しかし、インスタンスの登録が失敗し、TCP タイムアウトのエラーメッセージが表示されます。
簡単な説明
TCP タイムアウトエラーは、次のいずれかの問題がインスタンスの登録を妨げていることを示しています。
- インスタンスがプライベートサブネットにあり、Systems Managerの仮想プライベートクラウド (VPC) エンドポイントとカスタム DNS サーバーを使用している。
- インスタンスがプライベートサブネットにあり、インターネットや Systems Manager エンドポイントにアクセスできない。
- インスタンスがパブリックサブネットにある。VPC セキュリティグループとネットワークアクセスコントロールリスト (ネットワーク ACL) は、ポート 443 の Systems Manager エンドポイントへのアウトバウンド接続を許可するように設定されていない。
- インスタンスはプロキシの背後にあるが、SSM エージェントが HTTP プロキシを介して通信するように設定されていないため、インスタンスのメタデータサーバーに接続できない。
TCP タイムアウトエラーは、次のパスにあるインスタンスの SSM エージェントのログで確認できます。
Linux と macOS の場合
/var/log/amazon/ssm/amazon-ssm-agent.log
/var/log/amazon/ssm/errors.log
Windows の場合
%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log
解決策
Systems Manager エンドポイントとカスタム DNS を使用するプライベートサブネット内のインスタンス
VPC エンドポイントは、Amazon Route 53 を介して Amazon が提供する DNS のみをサポートします。独自の DNS サーバーを使用する場合は、次のいずれかを試してください。
インスタンスが Systems Manager エンドポイントに接続できない
-または-
VPC セキュリティグループとネットワーク ACL が、ポート 443 でのアウトバウンド接続を許可するように設定されていない
-または-
インスタンスがプロキシの背後にあり、インスタンスメタデータサービスに接続できない
トラブルシューティングの手順については、「EC2 インスタンスが Systems Manager でマネージドノードとして表示されない、または「接続が失われました」というステータスが表示されるのはなぜですか?」を参照してください。
関連情報
VPC エンドポイントを作成する