Schnellstart für AWS

In dieser Kurzanleitung erfahren Sie, wie Sie Systemmesswerte aus einer EC2-Instanz erfassen und diese Messwerte in Cloud Monitoring anzeigen lassen können. In dieser Kurzanleitung führen Sie folgende Schritte aus:

  1. Sie installieren Monitoring- und Logging-Agents auf Ihren EC2-Instanzen.
  2. Sie konfigurieren Ihr AWS-Konto (Amazon Web Services) so, dass es die von den Agents erfassten Daten an Monitoring sendet.
  3. Sie rufen diese Daten auf und lassen sie sich anzeigen.

Auf dieser Seite heißt der Begriff verbunden, dass ein AWS-Konto so konfiguriert ist, dass es die von den Monitoring- und Logging-Agents erfassten Daten an Cloud Monitoring sendet.

Hinweis

Sie müssen ein AWS-Konto haben, das derzeit nicht von einem Arbeitsbereich überwacht wird. AWS-Konten können jeweils nur von einem Arbeitsbereich überwacht werden.

Weitere Informationen zum Trennen eines AWS-Kontos von einem Arbeitsbereich finden Sie unter Projekt aus einem Arbeitsbereich entfernen.

Die einzelnen Schritte im Überblick

Wenn Sie einem Arbeitsbereich ein AWS-Konto hinzufügen, müssen Sie ein Google Cloud-Projekt erstellen, das als Hostprojekt für den Arbeitsbereich dient. Nachdem der Arbeitsbereich erstellt wurde, fügen Sie ihm das AWS-Konto hinzu.

So verbinden Sie Ihr AWS-Konto mit Monitoring:

  1. Erstellen Sie ein neues Google Cloud-Projekt.

  2. Erstellen Sie einen neuen Arbeitsbereich (empfohlen) oder verbinden Sie ein AWS-Konto, wenn Sie einen vorhandenen Arbeitsbereich verwenden möchten.

  3. Identifizieren Sie Ihre vertrauenswürdige Konto-ID und externe ID.

  4. Erstellen Sie eine AWS-Rolle unter Verwendung der Konto-ID und der externen ID.

  5. Verbinden Sie Ihren Arbeitsbereich und Ihr AWS-Konto über die AWS-Rolle mithilfe eines AWS-Verbindungsprojekts.

  6. Erstellen Sie im AWS-Connector-Projekt ein Dienstkonto, um den Zugriff auf Google Cloud zu autorisieren.

Jeder der vorherigen Schritte wird in den folgenden Abschnitten detailliert beschrieben.

Arbeitsbereich konfigurieren

Für diese Kurzanleitung wird empfohlen, dass Sie einen neuen Arbeitsbereich erstellen. Wenn Sie jedoch einen vorhandenen Arbeitsbereich verwenden möchten, fahren Sie mit AWS-Konto verbinden fort.

In beiden Fällen fordern Sie die für Ihr AWS-Konto benötigte Konto-ID und externe ID an. Weitere Informationen finden Sie unter Konto-ID und externe ID erhalten.

Google Cloud-Projekt erstellen

So erstellen Sie ein Google Cloud-Projekt:

  1. Wechseln Sie in der Cloud Console zu Neues Projekt.

    Neues Projekt erstellen

  2. Geben Sie in das Feld Projektname Quickstart ein.

  3. Klicken Sie auf Erstellen.

Konto-ID und externe ID erhalten

So identifizieren Sie die für AWS erforderliche vertrauenswürdige Konto-ID und externe ID:

  1. Zu Monitoring

    Zu Monitoring

    Wenn Sie mit einem Google Cloud-Projekt zum ersten Mal auf Monitoring zugreifen, erstellt Monitoring einen Arbeitsbereich und ordnet ihn dem Projekt zu. Dieser Vorgang läuft automatisch ab, es sei denn, Sie haben einen Arbeitsbereich mit mehreren Projekten. Dann wird ein Dialogfeld angezeigt, in dem Sie aufgefordert werden, zwischen dem Erstellen eines Arbeitsbereichs und dem Hinzufügen des Projekts zu einem vorhandenen Arbeitsbereich zu wählen. Wählen Sie die Option zum Erstellen eines Arbeitsbereichs aus.

  2. Klicken Sie auf Einstellungen und wählen Sie den Tab Zusammenfassung aus.

  3. Klicken Sie auf AWS-Konto hinzufügen.

  4. Speichern Sie die Account ID (Konto-ID) und die External ID (externe ID). Sie benötigen diese Daten, um Ihre AWS-Rolle zu erstellen.

  5. Klicken Sie auf Abbrechen. Erst nachdem Sie Ihre AWS-Rolle erstellt haben, fügen Sie Ihr AWS-Konto hinzu.

AWS-Rolle erstellen

Sie benötigen die Konto-ID und die externe ID für Ihren Arbeitsbereich, um die zum Autorisieren von Cloud Monitoring erforderlich AWS-Rolle zu erstellen. Sollten Sie diese IDs nicht haben, folgen Sie der Anleitung unter Konto-ID und externe ID erhalten.

So erstellen Sie die AWS-Rolle:

  1. Melden Sie sich in der AWS-IAM-Konsole an und klicken Sie im linken Menü auf Rollen.
  2. Klicken Sie auf Rolle erstellen und gehen Sie so vor:

    • Wählen Sie unter Rollentyp die Option Ein anderes AWS-Konto aus.
    • Geben Sie im Feld Konto-ID die von Monitoring zur Verfügung gestellte Konto-ID ein.
    • Aktivieren Sie das Kästchen Externe ID erforderlich.
    • Geben Sie im Feld Externe ID die von Monitoring zur Verfügung gestellte externe ID ein.
    • Wählen Sie nicht MFA erforderlich aus.
  3. Klicken Sie auf Next: Permissions (Weiter: Berechtigungen).

  4. Wählen Sie in der Drop-down-Liste Richtlinienname die Option ReadOnlyAccess aus:

  5. Klicken Sie auf Weiter: Tags.

  6. (Optional) Fügen Sie der Rolle Metadaten hinzu. Hängen Sie hierfür Tags als Schlüssel/Wert-Paare an.

  7. Klicken Sie auf Weiter: Überprüfung. Geben Sie die folgenden Informationen an oder bestätigen Sie sie:

    • Geben Sie im Feld Rollenname einen Namen ein. Beispiel: GoogleStackdriver.
    • (Optional) Geben Sie im Feld Rollenbeschreibung einen beliebigen Text ein.
    • Das Feld Vertrauenswürdige Entitäten muss die Konto-ID enthalten, die Sie zuvor unter Konto-ID eingegeben haben.
    • Das Feld Policies (Richtlinien) muss den Wert ReadOnlyAccess (Lesezugriff) enthalten.
  8. Klicken Sie auf der Seite AWS-IAM auf Rolle erstellen.

  9. Kopieren Sie auf der Seite Zusammenfassung den String Rollen-ARN, um ihn in Monitoring einzufügen. Wenn die Zusammenfassung nicht angezeigt wird, klicken Sie in der Liste der AWS-Rollen auf den Namen Ihrer Rolle (beispielsweise GoogleStackdriver).

AWS-Konto verbinden

So fügen Sie einem vorhandenen Arbeitsbereich ein AWS-Konto hinzu:

  1. Wechseln Sie in der Cloud Console zu Monitoring:

    Zu Monitoring

  2. Klicken Sie auf Einstellungen und wählen Sie den Tab Zusammenfassung aus.

    Der Bereich im folgenden Screenshot zeigt, dass Sie ein einzelnes Google Cloud-Projekt überwachen, nämlich das Hostingprojekt des Arbeitsbereichs. Sie überwachen noch keine AWS-Konten.

    Überwachte Konten überwachen.

  3. Klicken Sie auf AWS-Konto hinzufügen.

  4. Klicken Sie auf Projekt auswählen und erstellen Sie ein Google Cloud-Projekt oder wählen Sie ein vorhandenes Projekt aus, das als AWS-Verbindungsprojekt verwendet werden soll.

    Ein Google Cloud-Projekt kann ein Verbindungsprojekt für nur ein AWS-Konto sein.

    Verwenden Sie Verbindungsprojekte nicht für andere Zwecke und löschen Sie sie nicht, solange Ihr Arbeitsbereich noch mit Ihrem AWS-Konto verbunden ist.

  5. Geben Sie die folgenden Informationen in das Formular ein:

    • Geben Sie im Feld Rollen-ARN den Rollen-ARN aus dem Abschnitt AWS-Rolle erstellen ein oder folgen Sie der Anleitung auf der Seite AWS-Konto hinzufügen, um die Rolle zu erstellen.
    • Geben Sie im Feld Description of account (Beschreibung des Kontos) eine kurze Beschreibung des AWS-Kontos ein. Das erste Wort oder die ersten beiden Wörter werden verwendet, um eine neue Projekt-ID zu erstellen.

      Überwachte AWS-Konten überwachen.

  6. Klicken Sie auf AWS-Konto hinzufügen. Die Verbindung wird kurz danach bestätigt.

AWS-Verbindungsprojekte

Die Seite Überwachte Konten in den Einstellungen für den Arbeitsbereich enthält jetzt die ID für das AWS-Verbindungsprojekt:

Ihre AWS-Kontobeschreibung [YOUR_AWS_ACCOUNT_NUMBER]
Verbunden mit [CONNECTOR_PROJECT_ID]

Dabei gilt:

  • [YOUR_AWS_ACCOUNT_NUMBER] gibt die Nummer Ihres AWS-Kontos an.
  • [CONNECTOR_PROJECT_ID] gibt das Connector-Projekt an, in dem Sie Logs und Messwerte von Ihrem AWS-Konto erhalten sowie Berechtigungen für Agents und andere AWS-Anwendungen einrichten, die Zugriff auf Google Cloud benötigen.

Nächster Schritt: AWS-Anwendungen autorisieren

Fehlerbehebung

Wenn Ihnen mitgeteilt wird, dass Ihr AWS-Konto bereits überwacht wird, gehen Sie so vor:

  • Wenn Ihr AWS-Konto von einem anderen Arbeitsbereich überwacht wird, müssen Sie es trennen. AWS-Konten können nämlich jeweils nur von einem Arbeitsbereich überwacht werden. Informationen zum Trennen eines AWS-Kontos von einem Arbeitsbereich finden Sie unter Projekt aus einem Arbeitsbereich entfernen.

  • Diese Meldung wird auch angezeigt, wenn Sie beim Erstellen Ihrer AWS-Rolle nicht die korrekte Account ID (Konto-ID) und External ID (externe ID) aus Ihrem aktuellen Arbeitsbereich verwendet haben. Die externe ID ist für jeden Arbeitsbereich einmalig.

AWS-Anwendungen autorisieren

Falls einer dieser beiden Punkte auf Ihren Fall zutrifft, müssen Sie so vorgehen:

  • Führen Sie die Monitoring- oder Logging-Agents auf Ihren AWS-VM-Instanzen aus.
  • Verwenden Sie Google Cloud-Dienste aus AWS-Anwendungen.

Wenn Sie in AWS ausgeführten Anwendungen Zugriff auf Google Cloud-Dienste gewähren möchten, erteilen Sie ihnen Zugriff auf ein Google Cloud-Dienstkonto mit entsprechenden Google Cloud IAM-Rollen.

Ein einzelnes Dienstkonto kann mehrere AWS-VM-Instanzen und Anwendungen im selben AWS-Konto autorisieren. Sie können jedoch auch mehrere Dienstkonten erstellen.

Dienstkonto erstellen

So erstellen Sie das Dienstkonto:

  1. Rufen Sie die Seite IAM und Admin > Dienstkonten für Ihr Connector-Projekt auf:

    Zur Seite "Dienstkonten"

  2. Wählen Sie das AWS-Verbindungsprojekt für Ihr AWS-Konto aus.

  3. Das Verbindungsprojekt hat wahrscheinlich keine Dienstkonten. Daher werden Sie aufgefordert, ein Konto zu erstellen. Klicken Sie auf Dienstkonto erstellen und geben Sie die folgenden Informationen ein:

    • Geben Sie im Feld Name des Dienstkontos den Wert Monitoring agent authorization ein und klicken Sie auf Erstellen.

      Erstellen Sie ein Dienstkonto.

    • Wählen Sie im Dialogfeld Dienstkontoberechtigungen die folgenden Rollen aus und klicken Sie dann auf Weiter:

      • Monitoring > Monitoring Metric Writer (Monitoring-Messwert-Autor)
      • Logging > Logs Writer (Logautor)

      Erstellen Sie ein Dienstkonto.

    • Klicken Sie im Dialogfeld Schlüssel erstellen auf Schlüssel erstellen und wählen Sie JSON aus.

  4. Klicken Sie auf Fertig. Die Datei mit dem privaten Schlüssel des Dienstkontos wird mit einem Namen wie Downloads/[PROJECT_NAME]-[KEY_ID].json auf Ihre Workstation heruntergeladen.

    Dabei gilt:

    • [PROJECT_NAME] steht für den Namen Ihres Google Cloud-Projekts.
    • [KEY_ID] ist der generierte private Schlüssel.

    Geben Sie zur Vereinfachung der folgenden Anleitung den Speicherort der Datei auf Ihrer Workstation in der Variablen CREDS an:

    CREDS="Downloads/[PROJECT_NAME]-[KEY_ID].json"
    

Dienstkonto zu einer VM-Instanz hinzufügen

So fügen Sie ein Dienstkonto hinzu:

  1. Kopieren Sie die Datei mit dem privaten Schlüssel von Ihrer Workstation in die AWS EC2-Instanz und speichern Sie sie unter dem Namen temp.json. Geben Sie im Befehl scp den Pfad zu key.pem, der AWS-SSH-Schlüsselpaardatei an, und geben Sie Ihre AWS-Anmeldedaten ein:

    KEY="/path/to/key.pem"
    scp -i "$KEY" "$CREDS" AWS_USERNAME@AWS_HOSTNAME:temp.json
    
  2. Verschieben Sie die Anmeldedaten auf der EC2-Instanz in /etc/google/auth/application_default_credentials.json:

    GOOGLE_APPLICATION_CREDENTIALS="/etc/google/auth/application_default_credentials.json"
    sudo mkdir -p $(dirname "$GOOGLE_APPLICATION_CREDENTIALS")
    sudo mv "$HOME/temp.json" "$GOOGLE_APPLICATION_CREDENTIALS"
    
  3. (Optional:) Beschränken Sie den Zugriff auf die Anmeldedaten des privaten Schlüssels für das Dienstkonto. Beispiel:

    sudo chown root:root "$GOOGLE_APPLICATION_CREDENTIALS"
    sudo chmod 0400 "$GOOGLE_APPLICATION_CREDENTIALS"
    
  4. Achten Sie darauf, dass die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS für die Agents und andere Anwendungen sichtbar ist, die zur Verwendung von Google Cloud autorisiert sind. Der Name der Umgebungsvariablen wird von den standardmäßigen Google Cloud-Clientbibliotheken verstanden.

Agents installieren

  1. (Optional): Installieren Sie den Cloud Monitoring-Agent auf Ihrer EC2-Instanz. Cloud Monitoring kann zwar auf einige Instanzmesswerte ohne den Monitoring-Agent zugreifen, einschließlich Informationen zur CPU-Auslastung und Verfügbarkeit. Der Monitoring-Agent bietet jedoch Messwerte für eine größere Gruppe von Systemressourcen und Anwendungsdiensten.

    Informationen zur Installation des Cloud Monitoring-Agents finden Sie unter Cloud Monitoring-Agent installieren, und wählen Sie die Anleitung für Ihr Betriebssystem aus. Diese Anleitung enthält Informationen dazu, wie Sie überprüfen können, ob der Agent ausgeführt wird, sowie einen Link zu einer Anleitung zur Fehlerbehebung.

  2. (Optional): Installieren Sie den Cloud Logging-Agent, der Logs an Cloud Logging auf Ihrer EC2-Instanz streamt. Siehe Cloud Logging-Agent installieren und wählen Sie die Anleitung für Ihr Betriebssystem aus. Diese Anleitung enthält Informationen dazu, wie Sie überprüfen können, ob der Agent ausgeführt wird, sowie einen Link zu einer Anleitung zur Fehlerbehebung.

Monitoring-Dienste mit AWS verwenden

In diesem Abschnitt erfahren Sie, wie Sie Monitoring-Dienste mit Ihrem AWS-Konto verwenden.

Verfügbarkeitsdiagnose und Benachrichtigungsrichtlinie erstellen

So erstellen Sie eine Verfügbarkeitsdiagnose:

  1. Wählen Sie in der Cloud Console Monitoring aus:

    Zu Monitoring

    Wenn Sie mit einem Google Cloud-Projekt zum ersten Mal auf Monitoring zugreifen, erstellt Monitoring einen Arbeitsbereich und ordnet ihn dem Projekt zu. Dieser Vorgang läuft automatisch ab, es sei denn, Sie haben einen Arbeitsbereich mit mehreren Projekten. Dann wird ein Dialogfeld angezeigt, in dem Sie aufgefordert werden, zwischen dem Erstellen eines Arbeitsbereichs und dem Hinzufügen des Projekts zu einem vorhandenen Arbeitsbereich zu wählen. Wählen Sie die Option zum Erstellen eines Arbeitsbereichs aus.

  2. Klicken Sie auf Verfügbarkeitsdiagnosen.

  3. Klicken Sie auf Verfügbarkeitsdiagnose erstellen.

    Dialogfeld zum Erstellen einer Verfügbarkeitsdiagnose

  4. Geben Sie als Titel My Uptime Check ein und klicken Sie dann auf Weiter.

  5. Ziel:

    1. Achten Sie darauf, dass HTTP für das Protokoll ausgewählt ist.
    2. Wählen Sie eine verfügbare Ressource für den Ressourcentyp aus.
    3. Füllen Sie nach Bedarf zusätzliche Felder aus.
    4. Klicken Sie auf Weiter.
  6. Antwortvalidierung: Übernehmen Sie für diese Felder die Standardwerte und klicken Sie auf Weiter.

  7. Warnungen und Benachrichtigungen

    • Vergewissern Sie sich, dass das Label des Umschalters Benachrichtigungen aktiviert ist.
    • Übernehmen Sie für die Felder für Name und Dauer die Standardwerte.
    • Wenn Sie der Benachrichtigungsrichtlinie einen Benachrichtigungskanal hinzufügen möchten, klicken Sie im Textfeld Benachrichtigungskanäle auf Menü . Wählen Sie die hinzuzufügenden Channels aus und klicken Sie auf OK. Die Benachrichtigungen sind für jeden Kanaltyp alphabetisch gruppiert.

      Um einen Eintrag zur Kästchenliste hinzuzufügen, klicken Sie auf Benachrichtigungskanäle verwalten und folgen Sie der Anleitung. Wenn Sie zu diesem Dialogfeld zurückkehren, klicken Sie auf Aktualisieren .

  8. Klicken Sie auf Test (Testen), um die Konfiguration der Verfügbarkeitsdiagnose zu prüfen. Wenn die Meldung "Connection error – refused" (Verbindungsfehler – abgelehnt) angezeigt wird, ist der Apache HTTP Server möglicherweise nicht installiert oder Sie haben den Diagnosetyp HTTPS anstelle von HTTP angegeben. Details zu anderen Fehlern finden Sie unter Verfügbarkeitsdiagnose überprüfen.

  9. Klicken Sie auf Erstellen. Wenn die Erstellungsaktion erfolgreich war, wird in einem Banner die Meldung Prüfen und Benachrichtigung erstellt angezeigt. Das Fenster Verfügbarkeitsdiagnosen führt die neue Prüfung auf und enthält einen Link zum Dashboard der Verfügbarkeitsdiagnosen. Im Fenster Benachrichtigungen werden die neue Benachrichtigungsrichtlinie und ein Link zum Richtlinien-Dashboard angezeigt. Wenn erforderliche Daten fehlen, schlägt die Erstellungsaktion fehl und eine Liste der Felder, die Daten benötigen, wird neben den Dialogschaltflächen angezeigt.

Dashboard und Diagramm erstellen

So rufen Sie die von Monitoring erfassten Messwerte auf:

  1. Zu Monitoring:

    Zu Monitoring

  2. Wählen Sie Dashboards und dann Dashboard erstellen aus.

  3. Geben Sie Quickstart dashboard als Namen für das Dashboard ein und klicken Sie auf Bestätigen.

  4. Klicken Sie auf Diagramm hinzufügen.

  5. Achten Sie darauf, dass der Tab Messwert markiert ist:

    Rufen Sie das Dialogfeld

  6. Klicken Sie unter Ressourcentyp und Messwert suchen auf das Textfeld und wählen Sie einen AWS-Messwert aus.

  7. Klicken Sie auf Speichern.

Logs aufrufen

Monitoring und Logging sind eng integriert.

  1. Rufen Sie in der Cloud Console Logging auf und wählen Sie das AWS-Verbindungsprojekt aus.
  2. Ihre AWS-Logs sind in der Loganzeige des AWS-Verbindungsprojekts aufgelistet. So ändern Sie den Fokus der Loganzeige, damit die gewünschten Logs angezeigt werden:

    • Öffnen Sie Google-Project > All project_id. Sie sollten mindestens ein Audit-Log sehen, das von der Einrichtung Ihres AWS-Verbindungsprojekts stammt:

      AWS-Loganzeige.

    • Wenn Sie den Cloud Monitoring-Agent auf Ihren unterstützten AWS-VM-Instanzen installiert haben, werden möglicherweise andere Logoptionen angezeigt.

Bereinigen

So vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Kurzanleitung verwendeten Ressourcen in Rechnung gestellt werden:

  1. Entfernen Sie die Monitoring-Diagramme und -Benachrichtigungen. Zu Monitoring:

    1. Löschen Sie unter Benachrichtigung die Benachrichtigungsrichtlinie.
    2. Löschen Sie unter Benachrichtigung die Verfügbarkeitsdiagnose.
    3. Löschen Sie unter Dashboards die Diagramme.
  2. Klicken Sie auf Einstellungen und wählen Sie den Tab Zusammenfassung aus.

  3. Suchen Sie im Abschnitt AWS-Konten nach dem AWS-Konto, das Sie für diese Kurzanleitung verwendet haben, klicken Sie auf Mehr und wählen Sie Aus dem Arbeitsbereich entfernen aus.

  4. Löschen Sie in Ihrem Amazon-Konto die AWS-IAM-Rolle, die Sie für den Schnellstart erstellt haben.

  5. Löschen Sie in der Google Cloud Console Ihr AWS Connector-Projekt und das Google Cloud-Projekt aws-quickstart, falls Sie dieses speziell für diese Kurzanleitung erstellt haben. Zum Löschen eines Projekts wählen Sie das Projekt aus und rufen IAM und Admin auf. Wählen Sie dann Einstellungen aus und klicken Sie auf Herunterfahren.

Nächste Schritte