Configurazione del raccoglitore dati Amazon EC2
Suggerisci modifiche
PDF
Data Infrastructure Insights utilizza il raccoglitore dati Amazon EC2 per acquisire dati di inventario e prestazioni dalle istanze EC2.
Requisiti
Per raccogliere dati dai dispositivi Amazon EC2, è necessario disporre delle seguenti informazioni:
-
Devi avere uno dei seguenti requisiti:
-
Il ruolo IAM per il tuo account cloud Amazon EC2, se utilizzi l'autenticazione del ruolo IAM. Il ruolo IAM si applica solo se l'unità di acquisizione è installata su un'istanza AWS.
-
ID Chiave di accesso IAM e chiave di accesso segreta per il tuo account cloud Amazon EC2, se utilizzi l'autenticazione con chiave di accesso IAM.
-
-
Devi avere il privilegio "organizzazione elenco"
-
Porta 443 HTTPS
-
Le istanze EC2 possono essere segnalate come macchine virtuali o (in modo meno naturale) come host. I volumi EBS possono essere segnalati sia come VirtualDisk utilizzato dalla VM, sia come DataStore che fornisce la capacità per VirtualDisk.
Le chiavi di accesso sono costituite da un ID chiave di accesso (ad esempio, AKIAIOSFODNN7EXAMPLE) e da una chiave di accesso segreta (ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Le chiavi di accesso vengono utilizzate per firmare le richieste programmatiche inviate a EC2 se si utilizzano gli SDK di Amazon EC2, REST o le operazioni API di query. Queste chiavi sono fornite insieme al contratto Amazon.
Configurazione
Inserire i dati nei campi del raccoglitore dati secondo la tabella seguente:
| Campo | Descrizione |
|---|---|
Regione AWS |
Scegli la regione AWS |
Ruolo IAM |
Da utilizzare solo se acquisito su un'AU in AWS. Vedi sotto per maggiori informazioni suRuolo IAM . |
ID chiave di accesso AWS IAM |
Inserisci l'ID della chiave di accesso AWS IAM. Obbligatorio se non si utilizza il ruolo IAM. |
Chiave di accesso segreta AWS IAM |
Inserisci la chiave di accesso segreta AWS IAM. Obbligatorio se non si utilizza il ruolo IAM. |
Capisco che AWS mi fattura le richieste API |
Seleziona questa opzione per verificare di aver compreso che AWS ti fattura le richieste API effettuate tramite polling di Data Infrastructure Insights . |
Configurazione avanzata
| Campo | Descrizione |
|---|---|
Includi regioni extra |
Specificare le regioni aggiuntive da includere nel sondaggio. |
Ruolo multiaccount |
Ruolo per l'accesso alle risorse in diversi account AWS. |
Intervallo di sondaggio dell'inventario (min) |
Il valore predefinito è 60 |
Scegli "Escludi" o "Includi" per applicare il filtro alle VM in base ai tag |
Specificare se includere o escludere le VM tramite tag durante la raccolta dei dati. Se è selezionato "Includi", il campo Chiave tag non può essere vuoto. |
Taggare chiavi e valori in base ai quali filtrare le VM |
Fare clic su + Filtra tag per scegliere quali VM (e dischi associati) includere/escludere filtrando le chiavi e i valori che corrispondono alle chiavi e ai valori dei tag sulla VM. La chiave tag è obbligatoria, il valore tag è facoltativo. Quando il valore del tag è vuoto, la VM viene filtrata finché corrisponde alla chiave del tag. |
Intervallo di sondaggio sulle prestazioni (sec) |
Il valore predefinito è 1800 |
Spazio dei nomi delle metriche dell'agente CloudWatch |
Namespace in EC2/EBS da cui raccogliere i dati. Tieni presente che se i nomi delle metriche predefinite in questo spazio dei nomi vengono modificati, Data Infrastructure Insights potrebbe non essere in grado di raccogliere i dati rinominati. Si consiglia di lasciare i nomi predefiniti delle metriche. |
Chiave di accesso IAM
Le chiavi di accesso sono credenziali a lungo termine per un utente IAM o per l'utente root dell'account AWS. Le chiavi di accesso vengono utilizzate per firmare richieste programmatiche all'AWS CLI o all'AWS API (direttamente o tramite l'AWS SDK).
Le chiavi di accesso sono composte da due parti: un ID della chiave di accesso e una chiave di accesso segreta. Quando si utilizza l'autenticazione IAM Access Key (anziché l'autenticazione IAM Role), è necessario utilizzare sia l'ID della chiave di accesso che la chiave di accesso segreta insieme per l'autenticazione delle richieste. Per maggiori informazioni, consulta la documentazione di Amazon su"Chiavi di accesso" .
Ruolo IAM
Quando si utilizza l'autenticazione IAM Role (anziché l'autenticazione IAM Access Key), è necessario assicurarsi che il ruolo creato o specificato disponga delle autorizzazioni appropriate necessarie per accedere alle risorse.
Ad esempio, se si crea un ruolo IAM denominato InstanceEc2ReadOnly, è necessario impostare il criterio per concedere a EC2 l'autorizzazione di accesso all'elenco di sola lettura per tutte le risorse EC2 per questo ruolo IAM. Inoltre, è necessario concedere l'accesso STS (Security Token Service) affinché questo ruolo possa assumere ruoli in più account.
Dopo aver creato un ruolo IAM, puoi allegarlo quando crei una nuova istanza EC2 o un'istanza EC2 esistente.
Dopo aver associato il ruolo IAM InstanceEc2ReadOnly a un'istanza EC2, sarà possibile recuperare le credenziali temporanee tramite i metadati dell'istanza in base al nome del ruolo IAM e utilizzarle per accedere alle risorse AWS da parte di qualsiasi applicazione in esecuzione su questa istanza EC2.
Per maggiori informazioni consulta la documentazione di Amazon su"Ruoli IAM" .
Nota: il ruolo IAM può essere utilizzato solo quando l'unità di acquisizione è in esecuzione in un'istanza AWS.
Mappatura dei tag Amazon alle annotazioni Data Infrastructure Insights
Il raccoglitore dati Amazon EC2 include un'opzione che consente di popolare le annotazioni di Data Infrastructure Insights con tag configurati su EC2. Le annotazioni devono essere denominate esattamente come i tag EC2. Data Infrastructure Insights popolerà sempre le annotazioni di tipo testo con lo stesso nome e farà un "miglior tentativo" per popolare le annotazioni di altri tipi (numero, valore booleano, ecc.). Se l'annotazione è di un tipo diverso e il raccoglitore dati non riesce a popolarla, potrebbe essere necessario rimuovere l'annotazione e ricrearla come tipo di testo.
Si noti che AWS distingue tra maiuscole e minuscole, mentre Data Infrastructure Insights non distingue tra maiuscole e minuscole. Pertanto, se si crea un'annotazione denominata "OWNER" in Data Infrastructure Insights e tag denominati "OWNER", "Owner" e "owner" in EC2, tutte le varianti EC2 di "owner" verranno mappate all'annotazione "OWNER" di Cloud Insight.
Includi regioni extra
Nella sezione Configurazione avanzata di AWS Data Collector, puoi impostare il campo Includi regioni extra per includere regioni aggiuntive, separate da virgola o punto e virgola. Per impostazione predefinita, questo campo è impostato su us-.*, che raccoglie dati in tutte le regioni AWS degli Stati Uniti. Per raccogliere dati su tutte le regioni, impostare questo campo su .*. Se il campo Includi regioni extra è vuoto, il raccoglitore dati raccoglierà i dati sulle risorse specificate nel campo Regione AWS come specificato nella sezione Configurazione.
Raccolta da account figlio AWS
Data Infrastructure Insights supporta la raccolta di account figlio per AWS all'interno di un singolo raccoglitore dati AWS. La configurazione per questa raccolta viene eseguita nell'ambiente AWS:
-
È necessario configurare ogni account figlio in modo che disponga di un ruolo AWS che consenta all'ID dell'account principale di accedere ai dettagli EC2 dall'account figlio.
-
Ogni account figlio deve avere il nome del ruolo configurato come la stessa stringa.
-
Inserisci questa stringa del nome del ruolo nella sezione Configurazione avanzata di Data Infrastructure Insights AWS Data Collector, nel campo Ruolo tra account.
-
L'account in cui è installato il collector deve disporre dei privilegi di amministratore di accesso delegato. Vedi il"Documentazione AWS" per maggiori informazioni.
Best Practice: si consiglia vivamente di assegnare la policy predefinita AWS AmazonEC2ReadOnlyAccess all'account principale EC2. Inoltre, all'utente configurato nell'origine dati deve essere assegnata almeno la policy predefinita AWSOrganizationsReadOnlyAccess per poter interrogare AWS.
Per informazioni sulla configurazione dell'ambiente per consentire a Data Infrastructure Insights di raccogliere dati dagli account figlio AWS, consultare quanto segue:
Risoluzione dei problemi
Ulteriori informazioni su questo Data Collector possono essere trovate da"Supporto" pagina o nella"Matrice di supporto del raccoglitore dati" .