Блог

Я хочу перейти к использованию службы метаданных экземпляра версии 2 (IMDSv2). Я следовал инструкциям в https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html#instance-metadata-transition-to-version-2 , в котором упоминается использование метрики CloudWatch, чтобы узнать, все ли еще что-то вызывает IMDSv1:

CloudWatch: IMDSv2 использует сеансы, поддерживаемые токенами, а IMDSv1 — нет. Показатель MetadataNoToken CloudWatch отслеживает количество вызовов службы метаданных экземпляра, использующих IMDSv1. Отслеживая этот показатель до нуля, вы можете определить, было ли и когда все ваше программное обеспечение обновлено для использования IMDSv2.

Я не хочу угадывать, какие экземпляры все еще могут совершать вызовы IMDSv1, и я не обязательно хочу отключать IMDSv1 один за другим в экземплярах, пока не найду тот, который выходит из строя. Сначала я хочу знать, откуда поступают вызовы. Я слышал, что некоторые действия CLI будут вызывать его, но для меня это черный ящик. Я вижу метрику MetadataNoToken в CloudWatch, но как я могу определить, какие экземпляры все еще выполняют вызовы IMDSv1?

Я понял, что в CloudWatch я могу найти MetadataNoToken метрику в разделе «Метрики для каждого экземпляра», которая, по крайней мере, покажет идентификатор экземпляра для каждого экземпляра. Раньше я просто просматривал раздел «Во всех экземплярах». Теперь кажется очевидным.

Я все еще не могу увидеть, какой конкретный процесс / действие в экземпляре вызывает IMDSv1, но, по крайней мере, я могу определить, какие экземпляры выполняют вызовы:

Также полезно: https://blog.appsecco.com/getting-started-with-version-2-of-aws-ec2-instance-metadata-service-imdsv2-2ad03a1f3650