配置 Amazon EC2 数据收集器
建议更改
PDF
Data Infrastructure Insights使用 Amazon EC2 数据收集器从 EC2 实例获取库存和性能数据。
要求
为了从 Amazon EC2 设备收集数据,您必须拥有以下信息:
-
您必须具有以下之一:
-
如果使用 IAM 角色身份验证,则为 Amazon EC2 云帐户的 IAM 角色。仅当您的采集单元安装在 AWS 实例上时,IAM 角色才适用。
-
如果使用 IAM 访问密钥身份验证,则为 Amazon EC2 云帐户的 IAM 访问密钥 ID 和秘密访问密钥。
-
-
您必须拥有“列出组织”权限
-
端口 443 HTTPS
-
EC2 实例可以被报告为虚拟机,或者(不太自然地)主机。 EBS 卷既可以报告为 VM 使用的虚拟磁盘,也可以报告为虚拟磁盘提供容量的数据存储。
访问密钥由访问密钥 ID(例如,AKIAIOSFODNN7EXAMPLE)和秘密访问密钥(例如,wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)组成。如果您使用 Amazon EC2 SDK、REST 或查询 API 操作,则可以使用访问密钥来签署向 EC2 发出的编程请求。这些密钥是随亚马逊的合同提供的。
配置
根据下表将数据输入数据收集器字段:
| 字段 | 描述 |
|---|---|
AWS 区域 |
选择 AWS 区域 |
IAM 角色 |
仅可在 AWS 中的 AU 上获取时使用。请参阅下文以了解更多信息IAM 角色。 |
AWS IAM 访问密钥 ID |
输入 AWS IAM 访问密钥 ID。如果您不使用 IAM 角色,则需要此属性。 |
AWS IAM 秘密访问密钥 |
输入 AWS IAM 秘密访问密钥。如果您不使用 IAM 角色,则需要此属性。 |
我了解 AWS 会向我收取 API 请求的费用 |
选中此项以验证您是否理解 AWS 会针对Data Infrastructure Insights轮询发出的 API 请求向您收费。 |
高级配置
| 字段 | 描述 |
|---|---|
包括额外区域 |
指定要包含在轮询中的其他区域。 |
跨账户角色 |
用于访问不同 AWS 账户中的资源的角色。 |
库存轮询间隔(分钟) |
默认值为 60 |
选择“排除”或“包含”以按标签过滤虚拟机 |
指定收集数据时是否通过标签包含或排除虚拟机。如果选择‘包含’,则标签键字段不能为空。 |
用于筛选虚拟机的标签键和值 |
单击“+ 过滤标签”,通过过滤与虚拟机上的标签的键和值匹配的键和值来选择要包含/排除的虚拟机(和相关磁盘)。标签键是必填项,标签值是可选的。当Tag Value为空时,只要与Tag Key匹配,则过滤该VM。 |
性能轮询间隔(秒) |
默认值为 1800 |
CloudWatch 代理指标命名空间 |
EC2/EBS 中用于收集数据的命名空间。请注意,如果此命名空间中的默认指标名称发生更改,Data Infrastructure Insights可能无法收集重命名的数据。建议保留默认指标名称。 |
IAM 访问密钥
访问密钥是 IAM 用户或 AWS 账户根用户的长期凭证。访问密钥用于签署对 AWS CLI 或 AWS API 的编程请求(直接或使用 AWS SDK)。
访问密钥由两部分组成:访问密钥 ID 和秘密访问密钥。当您使用_IAM 访问密钥_身份验证(而不是_IAM 角色_身份验证)时,您必须同时使用访问密钥 ID 和秘密访问密钥来对请求进行身份验证。欲了解更多信息,请参阅亚马逊文档"访问键"。
IAM 角色
当使用_IAM 角色_身份验证(而不是 IAM 访问密钥身份验证)时,您必须确保您创建或指定的角色具有访问资源所需的适当权限。
例如,如果您创建一个名为 InstanceEc2ReadOnly 的 IAM 角色,则必须设置策略以授予此 IAM 角色对所有 EC2 资源的 EC2 只读列表访问权限。此外,您必须授予 STS(安全令牌服务)访问权限,以便允许该角色跨账户承担角色。
创建 IAM 角色后,您可以在创建新的 EC2 实例或任何现有 EC2 实例时附加它。
将 IAM 角色 InstanceEc2ReadOnly 附加到 EC2 实例后,您将能够通过 IAM 角色名称通过实例元数据检索临时凭证,并使用它来通过在此 EC2 实例上运行的任何应用程序访问 AWS 资源。
更多信息请参阅亚马逊文档"IAM 角色"。
注意:仅当采集单元在 AWS 实例中运行时才可使用 IAM 角色。
将 Amazon 标签映射到Data Infrastructure Insights注释
Amazon EC2 数据收集器包含一个选项,允许您使用在 EC2 上配置的标签填充Data Infrastructure Insights注释。注释的名称必须与 EC2 标签的名称完全相同。Data Infrastructure Insights将始终填充同名的文本类型注释,并将“尽最大努力”填充其他类型(数字、布尔值等)的注释。如果您的注释属于不同类型并且数据收集器无法填充它,则可能需要删除该注释并将其重新创建为文本类型。
请注意,AWS 区分大小写,而Data Infrastructure Insights不区分大小写。因此,如果您在Data Infrastructure Insights中创建名为“OWNER”的注释,并在 EC2 中创建名为“OWNER”、“Owner”和“owner”的标签,则“owner”的所有 EC2 变体都将映射到 Cloud Insight 的“OWNER”注释。
包括额外区域
在 AWS 数据收集器 高级配置 部分中,您可以设置 包括额外区域 字段以包含其他区域,以逗号或分号分隔。默认情况下,此字段设置为 us-.*,即收集所有美国 AWS 区域。要收集所有区域,请将此字段设置为 .*。如果“包括额外区域”字段为空,数据收集器将按照“配置”部分中的指定,在“AWS 区域”字段中收集指定的资产。
从 AWS 子账户收集
Data Infrastructure Insights支持在单个 AWS 数据收集器内收集 AWS 的子账户。此集合的配置在 AWS 环境中执行:
-
您必须配置每个子帐户以具有一个 AWS 角色,该角色允许主帐户 ID 从子帐户访问 EC2 详细信息。
-
每个子账户的角色名称必须配置为相同的字符串。
-
将此角色名称字符串输入到Data Infrastructure InsightsAWS 数据收集器 高级配置 部分的 跨账户角色 字段中。
-
安装收集器的帐户需要具有_委托访问管理员_权限。查看"AWS 文档"了解更多信息。
最佳实践:强烈建议将 AWS 预定义的 AmazonEC2ReadOnlyAccess 策略分配给 EC2 主账户。此外,数据源中配置的用户至少应分配预定义的 AWSOrganizationsReadOnlyAccess 策略,以便查询 AWS。
有关配置环境以允许Data Infrastructure Insights从 AWS 子账户收集信息,请参阅以下内容:
故障排除
关于此数据收集器的更多信息,请参阅"支持"页面或在"数据收集器支持矩阵"。