简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 Amazon EC2 数据收集器

提供者

Cloud Insights 使用 Amazon EC2 数据收集器从 EC2 实例采集清单和性能数据。

要求

要从 Amazon EC2 设备收集数据,您必须具有以下信息:

  • 您必须具有以下项之一:

    • 如果使用 IAM 角色身份验证,则您的 Amazon EC2 云帐户的 * IAM 角色 * 。仅当采集单元安装在 AWS 实例上时, IAM 角色才适用。

    • 如果使用 IAM 访问密钥身份验证,则为您的 Amazon EC2 云帐户提供 * IAM 访问密钥 * ID 和机密访问密钥。

  • 您必须具有 " 列表组织 " 权限

  • 端口 443 HTTPS

  • EC2 实例可以报告为虚拟机,也可以报告为主机(不太自然)。EBS 卷既可以报告为虚拟机使用的虚拟磁盘,也可以报告为虚拟磁盘提供容量的数据存储库。

访问密钥由一个访问密钥 ID (例如, AKIIOSFODNN7EXAMPLE )和一个机密访问密钥(例如, wJALRXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY )组成。如果您使用 Amazon EC2 SDK , REST 或查询 API 操作,则可以使用访问密钥对向 EC2 发出的编程请求进行签名。这些密钥随 Amazon 的合同一起提供。

配置

根据下表在数据收集器字段中输入数据:

字段 说明

AWS 地区

选择 AWS 区域

IAM 角色

仅在 AWS 中的 AU 上采集时使用。有关的详细信息,请参见下文 "IAM 角色"

AWS IAM 访问密钥 ID

输入 AWS IAM 访问密钥 ID 。如果不使用 IAM 角色,则此为必填项。

AWS IAM 机密访问密钥

输入 AWS IAM 机密访问密钥。如果不使用 IAM 角色,则此为必填项。

我了解 AWS 会向我发出 API 请求

选中此复选框可验证您是否了解 AWS 会为 Cloud Insights 轮询发出的 API 请求向您收费。

高级配置

字段 说明

包括其他区域

指定要包括在轮询中的其他区域。

跨帐户角色

用于访问不同 AWS 帐户中的资源的角色。

清单轮询间隔(分钟)

默认值为 60 。

选择 " 排除 " 或 " 包括 " 以应用于按标记筛选 VM

指定在收集数据时是包含还是排除虚拟机的按标记。如果选择了 ‘include ' ,则标记密钥字段不能为空。

标记要筛选 VM 的密钥和值

单击 * + Filter Tag * ,通过筛选与 VM 上的密钥和标记值匹配的密钥和值来选择要包含 / 排除的 VM (以及关联磁盘)。标记密钥为必填项,标记值为可选项。如果标记值为空,则只要虚拟机与标记密钥匹配,就会对其进行筛选。

性能轮询间隔(秒)

默认值为 1800 。

CloudWatch 代理指标命名空间

EC2/EBS 中用于收集数据的命名空间。请注意,如果更改了此命名空间中默认指标的名称,则 Cloud Insights 可能无法收集已重命名的数据。建议保留默认指标名称。

IAM 访问密钥

访问密钥是 IAM 用户或 AWS 帐户 root 用户的长期凭据。访问密钥用于对指向 AWS 命令行界面或 AWS API 的编程请求进行签名(直接或使用 AWS SDK )。

访问密钥包括两部分:访问密钥 ID 和机密访问密钥。使用 _IAM 访问密钥 _ 身份验证(与 _IAM 角色 _ 身份验证不同)时,必须同时使用访问密钥 ID 和机密访问密钥来对请求进行身份验证。有关详细信息,请参见上的 Amazon 文档 "访问密钥"

IAM 角色

使用 IAM role 身份验证(与 IAM 访问密钥身份验证不同)时,您必须确保您创建或指定的角色具有访问资源所需的适当权限。

例如,如果您创建了一个名为 _InstanceEE2ReadOnly" 的 IAM 角色,则必须设置此策略,以便为此 IAM 角色向所有 EC2 资源授予 EC2 只读列表访问权限。此外,您还必须授予 STS (安全令牌服务)访问权限,以便允许此角色跨帐户承担角色。

创建 IAM 角色后,您可以在创建新的 EC2 实例或任何现有 EC2 实例时附加此角色。

将 IAM 角色 _InstanceEE2ReadOnly" 附加到 EC2 实例后,您将能够通过实例元数据按 IAM 角色名称检索临时凭据,并使用它通过在此 EC2 实例上运行的任何应用程序访问 AWS 资源。

有关详细信息,请参见上的 Amazon 文档 "IAM 角色"

注意:只有在采集单元在 AWS 实例中运行时,才能使用 IAM 角色。

将 Amazon 标记映射到 Cloud Insights 标注

Amazon EC2 数据收集器提供了一个选项,可用于使用 EC2 上配置的标记填充 Cloud Insights 标注。标注的名称必须与 EC2 标记完全相同。Cloud Insights 将始终填充同名文本类型的标注,并 " 尽力 " 填充其他类型(数字,布尔值等)的标注。如果您的标注类型不同,而数据收集器无法填充,则可能需要删除此标注并将其重新创建为文本类型。

请注意, AWS 区分大小写,而 Cloud Insights 不区分大小写。因此,如果您在 Cloud Insights 中创建了一个名为 "owner" 的标注,并在 EC2 中创建了名为 "owner" , "owner" 和 "owner" 的标记,则所有 EC2 变体 "owner" 都将映射到 Cloud Insight 的 "owner" 标注。

包括其他区域

在 AWS Data Collector * 高级配置 * 部分中,您可以设置 * 包括额外区域 * 字段以包括其他区域,以逗号或分号分隔。默认情况下,此字段设置为 * 。 * _ * ,它会在所有美国 AWS 地区收集数据。要在 all 地区收集数据,请将此字段设置为 * 。 * _ * 。如果 * 包括额外区域 * 字段为空,则数据收集器将收集在 * 配置 * 部分中指定的 * AWS 区域 * 字段中指定的资产。

从 AWS 子帐户收集

Cloud Insights 支持在一个 AWS 数据收集器中收集 AWS 的子帐户。此收集的配置在 AWS 环境中执行:

  • 您必须将每个子帐户配置为具有一个 AWS 角色,此角色允许主帐户 ID 从子帐户访问 EC2 详细信息。

  • 每个子帐户都必须将角色名称配置为相同的字符串。

  • 在 * 跨帐户角色 * 字段的 Cloud Insights AWS 数据收集器 * 高级配置 * 部分中输入此角色名称字符串。

最佳实践:强烈建议将 AWS 预定义的 AmazonEC2ReadOnlyAccess 策略分配给 EC2 主帐户。此外,在数据源中配置的用户应至少分配预定义的 AWSOrganizationsReadOnlyAccess 策略,以便查询 AWS 。

有关配置环境以允许 Cloud Insights 从 AWS 子帐户收集数据的信息,请参见以下内容:

"教程:使用 IAM 角色跨 AWS 帐户委派访问"

"AWS 设置:在您拥有的另一个 AWS 帐户中提供对 IAM 用户的访问权限"

"创建角色以将权限委派给 IAM 用户"

故障排除

可从中找到此数据收集器上的追加信息 "支持" 页面或中的 "数据收集器支持列表"