Configurazione del data collector Amazon EC2
Suggerisci modifiche
PDF
Data Infrastructure Insights utilizza il data collector Amazon EC2 per acquisire i dati di inventario e sulle performance da EC2 istanze.
Requisiti
Per raccogliere dati dai dispositivi Amazon EC2, devi disporre delle seguenti informazioni:
-
È necessario disporre di una delle seguenti opzioni:
-
Il ruolo IAM del tuo account cloud Amazon EC2, se utilizzi l'autenticazione ruolo IAM. Il ruolo IAM si applica solo se l'unità di acquisizione è installata su un'istanza di AWS.
-
L'ID IAM Access Key e la chiave di accesso segreta per l'account cloud Amazon EC2, se si utilizza l'autenticazione IAM Access Key.
-
-
È necessario disporre del privilegio "list organization"
-
Porta 443 HTTPS
-
Le istanze di EC2 possono essere segnalate come macchina virtuale o (meno naturalmente) come host. I volumi EBS possono essere riportati sia come VirtualDisk utilizzato dalla macchina virtuale, sia come datastore che fornisce la capacità per VirtualDisk.
Le chiavi di accesso sono costituite da un ID della chiave di accesso (ad esempio, AKIAIOSFONN7EXAMPLE) e da una chiave di accesso segreta (ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). I tasti di accesso consentono di firmare le richieste programmatiche inviate a EC2 se si utilizzano le operazioni API REST o Query di Amazon EC2 SDK. Queste chiavi vengono fornite con il contratto di Amazon.
Configurazione
Inserire i dati nei campi di raccolta dati in base alla tabella riportata di seguito:
| Campo | Descrizione |
|---|---|
Regione AWS |
Scegliere la regione AWS |
Ruolo IAM |
Da utilizzare solo se acquisito su un AU in AWS. Vedere di seguito per ulteriori informazioni su Ruolo IAM. |
ID chiave di accesso AWS IAM |
Inserire l'ID della chiave di accesso AWS IAM. Obbligatorio se non si utilizza il ruolo IAM. |
Chiave di accesso segreta AWS IAM |
Immettere la chiave di accesso segreta AWS IAM. Obbligatorio se non si utilizza il ruolo IAM. |
Capisco che AWS mi fattura per le richieste API |
Verifica con questa icona la tua comprensione che AWS ti addebita le richieste API fatte dal polling di Data Infrastructure Insights. |
Configurazione avanzata
| Campo | Descrizione |
|---|---|
Includi aree geografiche aggiuntive |
Specificare aree aggiuntive da includere nel polling. |
Ruolo multiaccount |
Ruolo per l'accesso alle risorse in diversi account AWS. |
Intervallo polling inventario (min) |
Il valore predefinito è 60 |
Scegliere "Escludi" o "Includi" per applicare il filtro delle macchine virtuali in base ai tag |
Specificare se includere o escludere le macchine virtuali in base ai tag durante la raccolta dei dati. Se si seleziona ‘Includi’, il campo Tag Key non può essere vuoto. |
Tag Key e valori su cui filtrare le macchine virtuali |
Fare clic su + Filter Tag (Tag filtro) per scegliere quali macchine virtuali (e dischi associati) includere/escludere filtrando le chiavi e i valori corrispondenti alle chiavi e ai valori dei tag sulla macchina virtuale. Tag Key è obbligatorio, Tag Value è facoltativo. Quando il valore Tag è vuoto, la VM viene filtrata finché corrisponde alla chiave Tag. |
Intervallo di polling delle performance (sec) |
Il valore predefinito è 1800 |
Namespace CloudWatch Agent Metrics |
Namespace in EC2/EBS da cui raccogliere i dati. Tenere presente che se i nomi delle metriche predefinite in questo spazio dei nomi vengono modificati, Data Infrastructure Insights potrebbe non essere in grado di raccogliere i dati rinominati. Si consiglia di lasciare i nomi delle metriche di default. |
Chiave di accesso IAM
Le chiavi di accesso sono credenziali a lungo termine per un utente IAM o per l'utente root dell'account AWS. Le chiavi di accesso vengono utilizzate per firmare le richieste programmatiche all'API AWS CLI o AWS (direttamente o utilizzando l'SDK AWS).
Le chiavi di accesso sono composte da due parti: Un ID della chiave di accesso e una chiave di accesso segreta. Quando si utilizza l'autenticazione IAM Access Key (invece dell'autenticazione IAM role), è necessario utilizzare sia l'ID della chiave di accesso che la chiave di accesso segreta per l'autenticazione delle richieste. Per ulteriori informazioni, consultare la documentazione Amazon all'indirizzo "Access Key (chiavi di accesso".
Ruolo IAM
Quando si utilizza l'autenticazione IAM role (invece dell'autenticazione IAM Access Key), è necessario assicurarsi che il ruolo creato o specificato disponga delle autorizzazioni appropriate necessarie per accedere alle risorse.
Ad esempio, se si crea un ruolo IAM denominato InstanceEC2ReadOnly, è necessario impostare il criterio per concedere l'autorizzazione di accesso in sola lettura a tutte le risorse EC2 per questo ruolo IAM. Inoltre, è necessario concedere l'accesso a STS (Security Token Service) in modo che questo ruolo possa assumere ruoli diversi account.
Dopo aver creato un ruolo IAM, è possibile allegarlo quando si crea una nuova istanza EC2 o un'istanza EC2 esistente.
Dopo aver associato il ruolo IAM InstanceEc2ReadOnly a un'istanza EC2, sarà possibile recuperare la credenziale temporanea attraverso i metadati dell'istanza in base al nome del ruolo IAM e utilizzarla per accedere alle risorse AWS da qualsiasi applicazione in esecuzione su questa istanza EC2.
Per ulteriori informazioni, consultare il documento Amazon all'indirizzo "Ruoli IAM".
Nota: Il ruolo IAM può essere utilizzato solo quando l'unità di acquisizione è in esecuzione in un'istanza AWS.
Mappatura dei tag Amazon alle annotazioni di Data Infrastructure Insights
Il data collector Amazon EC2 include un'opzione che consente di popolare le annotazioni di Data Infrastructure Insights con tag configurati su EC2. Le annotazioni devono essere denominate esattamente come tag EC2. Data Infrastructure Insights popolerà sempre annotazioni di tipo testo con lo stesso nome e farà il "miglior tentativo" di popolare annotazioni di altri tipi (numero, booleano, ecc.). Se l'annotazione è di tipo diverso e il data collector non riesce a compilarla, potrebbe essere necessario rimuovere l'annotazione e ricrearla come testo.
Si noti che AWS rileva la distinzione tra maiuscole e minuscole e che Data Infrastructure Insights non rileva la distinzione tra maiuscole e minuscole. Quindi, se si crea un'annotazione denominata "PROPRIETARIO" in Data Infrastructure Insights e tag denominati "PROPRIETARIO", "proprietario" e "proprietario" nel EC2, tutte le EC2 varianti di "proprietario" verranno associate all'annotazione "PROPRIETARIO" di Cloud Insight.
Includi aree geografiche aggiuntive
Nella sezione AWS Data Collector Advanced Configuration, è possibile impostare il campo include extra regions in modo da includere regioni aggiuntive, separate da virgola o punto e virgola. Per impostazione predefinita, questo campo è impostato su us-.*, che raccoglie su tutte le regioni US AWS. Per eseguire la raccolta su tutte regioni, impostare questo campo su .*. Se il campo include extra regions è vuoto, il data collector raccoglierà le risorse specificate nel campo AWS Region come specificato nella sezione Configuration.
Raccolta da account secondari AWS
Data Infrastructure Insights supporta la raccolta degli account child per AWS all'interno di un singolo data collector AWS. La configurazione per questa raccolta viene eseguita nell'ambiente AWS:
-
È necessario configurare ciascun account figlio in modo che disponga di un ruolo AWS che consenta all'ID account principale di accedere ai dettagli EC2 dall'account figlio.
-
Ogni account figlio deve avere il nome del ruolo configurato come la stessa stringa.
-
Immettere questa stringa nome ruolo nella sezione Data Infrastructure Insights AWS Data Collector Configurazione avanzata, nel campo ruolo account incrociato.
-
L'account in cui è installato il Collector deve disporre di delegate access Administrator Privileges. Per "Documentazione AWS"ulteriori informazioni, vedere la .
Best practice: Si consiglia vivamente di assegnare il criterio AmazonEC2ReadOnlyAccess predefinito di AWS all'account principale EC2. Inoltre, l'utente configurato nell'origine dati deve avere assegnato almeno il criterio AWSOrganizationsReadOnlyAccess predefinito, per eseguire query su AWS.
Consulta quanto segue per informazioni sulla configurazione dell'ambiente per consentire a Data Infrastructure Insights di raccogliere dagli account figlio AWS:
Risoluzione dei problemi
Ulteriori informazioni su questo Data Collector sono disponibili nella "Supporto"pagina o nella "Matrice di supporto Data Collector".