Inicio rápido para AWS

En este inicio rápido, se te muestra cómo conectar Stackdriver Monitoring a tu cuenta de Amazon Web Services (AWS). También cubre cómo instalar los agentes Monitoring y Logging en tus instancias de EC2.

Antes de comenzar

Debes tener una cuenta de AWS que no esté supervisada actualmente por un lugar de trabajo. No puedes supervisar una cuenta de AWS desde más de un lugar de trabajo.

Para desconectar una cuenta de AWS de un lugar de trabajo, consulta Quita un proyecto de un lugar de trabajo.

Descripción general de los pasos

Los siguientes pasos conectan tu cuenta de AWS a Monitoring:

  1. Crea un lugar de trabajo nuevo (recomendado) o Conecta una cuenta de AWS (si deseas usar un lugar de trabajo existente).

  2. Crea una función de AWS, para ello usa el ID de cuenta y el ID externo.

  3. Conecta tu lugar de trabajo y tu cuenta de AWS que usa la función de AWS para crear un proyecto de conector AWS nuevo.

  4. Crea una cuenta de servicio en el proyecto de conector de AWS para autorizar el acceso a GCP.

Cada uno de los pasos anteriores se describe en detalle en las siguientes secciones.

Configura tu lugar de trabajo

Se recomienda que Crees un lugar de trabajo nuevo para este inicio rápido. Sin embargo, si deseas usar un lugar de trabajo existente, ve directamente a Conectar una cuenta de AWS.

En cualquier caso, asegúrate de obtener el ID de cuenta y el ID externo que necesitas para tu cuenta de AWS.

Crea un lugar de trabajo

Para crear un lugar de trabajo en donde puedas usar con tu cuenta de AWS, haz lo siguiente:

  1. Ve a la consola de Monitoring:

    Ir a la consola de Monitoring

  2. Si no se te pide que crees un lugar de trabajo de inmediato, en la lista desplegable del lugar de trabajo, selecciona Crear lugar de trabajo:

    Menú del lugar de trabajo

  3. En la página Crea tu lugar de trabajo gratis completa los pasos siguientes:

    1. En la lista desplegable Proyecto de Google Cloud Platform, selecciona Proyecto nuevo y escribe un nombre del proyecto, por ejemplo, aws-quickstart.

    2. Haz clic en Crear lugar de trabajo. Habrá una pausa mientras Stackdriver crea el proyecto de GCP nuevo.

      Crea lugar de trabajo

  4. En la página Agrega proyectos de Google Cloud Platform para supervisarlos, haz clic en Continuar, ya que no estarás agregando ningún proyecto de GCP.

  5. En la página Supervisar cuentas de AWS, guarda los valores ID de cuenta y también ID externo que son únicos para tu lugar de trabajo nuevo.

  6. Para terminar de crear tu lugar de trabajo, haz clic en Omitir configuración AWS.

  7. Puedes omitir las siguientes paginas hasta que veas Recopilar información y luego Finalizar la recopilación inicial.

Crea una función de AWS

Para crear una función de AWS que autorice Stackdriver, debes tener el ID de cuenta y también el ID externo de tu lugar de trabajo. Si no las tienes, sigue las instrucciones en Conecta una cuenta de AWS.

Para crear la función de AWS, sigue los pasos a continuación:

  1. Inicia sesión en tu consola de IAM de AWS y haz clic en Funciones en el menú del lado izquierdo.
  2. Haz clic en Crear función nueva y haz lo siguiente:

    • Para el Tipo de función, selecciona Otra cuenta de AWS.
    • En el campo ID de cuenta, ingresa el ID de cuenta proporcionada por Stackdriver.
    • Selecciona la casilla de verificación ID externa obligatoria.
    • En el campo ID externo, ingresa el ID externo proporcionado por Stackdriver.
    • No selecciones MFA obligatorio.
    • Haz clic en Siguiente: Permisos.
  3. En la lista desplegable Nombre de política, selecciona ReadOnlyAccess:

    Política de ReadOnlyAccess

  4. Haz clic en Siguiente: Revisar y llena o verifica la información a continuación:

    • En el campo Nombre de la función, ingresa un nombre como GoogleStackdriver.
    • En el campo Descripción de la función, ingresa lo que desees.
    • En el campo Entidades de confianza, verifica que sea el ID de cuenta que ingresaste anteriormente.
    • En el campo Políticas, verifica que el valor sea ReadOnlyAccess.
  5. En la página IAM de AWS, haz clic en Crear función.

  6. En la página Resumen copia la string Función ARN para que puedas asignarla a Stackdriver. Si no ves el resumen, haz clic en el nombre de tu función (por ejemplo, GoogleStackdriver) en la lista de funciones de AWS.

Conecta una cuenta de AWS

Para agregar una cuenta de AWS a un lugar de trabajo existente, sigue los pasos a continuación:

  1. Ve a la consola de Stackdriver Monitoring.

    Ir a la consola de Stackdriver Monitoring

  2. Desde el menú Lugar de trabajo en la parte superior de la página, selecciona tu Lugar de trabajo. Si creaste un lugar de trabajo nuevo como parte de este inicio rápido, selecciona ese lugar de trabajo.

  3. En la parte inferior del menú Lugar de trabajo, haz clic en Configuración del lugar de trabajo.

  4. En Configuración, haz clic en Cuentas supervisadas. El panel de la siguiente captura de pantalla muestra que estás supervisando un solo proyecto de GCP: El proyecto de alojamiento del lugar de trabajo. Todavía no estarás supervisando ninguna cuenta de AWS.

    Cuentas supervisadas por Stackdriver

  5. Haz clic en Agregar cuenta de AWS. Ingresa el ID de cuenta y el ID externo de cuando creaste un lugar de trabajo.

  6. Ingresa la siguiente información en el formulario:

    • En el campo Función ARN, ingresa tu función ARN desde Crear una función AWS o sigue las instrucciones de la página Agrega cuenta de AWS para crear la función.
    • En el campo Descripción de la cuenta, ingresa una breve descripción de tu cuenta de AWS. La primera palabra o dos se usan para crear un ID del proyecto nueva.

      Cuentas supervisadas por Stackdriver

  7. Haz clic en Agregar cuenta de AWS. En un momento, la conexión se confirmará.

Proyectos de conector AWS

Cuando se conecta a una cuenta de AWS, Monitoring crea un proyecto de conector de AWS para ti. La página de Cuentas supervisadas en la configuración de tu lugar de trabajo ahora incluye el ID para este proyecto:

Descripción de tu cuenta de AWS [YOUR_AWS_ACCOUNT_NUMBER]
Conectado a [CONNECTOR_PROJECT_ID]

Donde:

  • [YOUR_AWS_ACCOUNT_NUMBER] representa el número de cuenta de tu cuenta de AWS.
  • [CONNECTOR_PROJECT_ID] representa el proyecto de conector en el que recibes registros y métricas de tu cuenta de AWS y en donde configuras la autorización para los agentes y otras aplicaciones de AWS que necesitan acceder a GCP.

    El ID del proyecto del conector siempre comienza con aws-, el nombre del proyecto siempre comienza con AWS Link.

Ahora puedes cerrar la página Configuración del lugar de trabajo.

Próximo paso: Autoriza aplicaciones de AWS

Solución de problemas

Si te informan que tu cuenta de AWS ya está siendo supervisada, haz lo siguiente:

  • Si otro lugar de trabajo supervisa tu cuenta de AWS, debes quitar tu cuenta de AWS. No puedes supervisar una cuenta de AWS desde más de un lugar de trabajo. Para desconectar una cuenta de AWS de un lugar de trabajo, consulta Quita un proyecto de un lugar de trabajo.

  • Este mensaje también puede aparecer si no usaste el ID de cuenta y el ID externo correctos de tu lugar de trabajo actual cuando creaste tu función de AWS. El ID externo es único para cada lugar de trabajo.

Autoriza aplicaciones

Debes realizar los siguientes pasos si realizas alguna de las acciones a continuación:

  • Ejecuta cualquiera de los agentes de Stackdriver en las instancias de VM de AWS.
  • Usa cualquier servicio de GCP de las aplicaciones de AWS.

Para autorizar las aplicaciones que se ejecutan en AWS y acceder a los servicios de GCP, les das acceso a una cuenta de servicio de GCP que tiene funciones IAM adecuadas GCP.

Una sola cuenta de servicio puede autorizar varias instancias de VM de AWS y aplicaciones en la misma cuenta de AWS o puedes crear varias cuentas de servicio.

Crea una cuenta de servicio

Las cuentas de servicio se administran en GCP Console, no en la consola de Stackdriver Monitoring.

  1. Para crear la cuenta de servicio, ve a la página IAM y administración > Cuentas de servicio de tu proyecto de conector:

    Ir a la página Cuentas de servicio

  2. Selecciona el proyecto de conector de AWS (llamado AWS Link...) para tu cuenta de AWS.

  3. Es probable que tu proyecto de conector no tenga cuentas de servicio, por lo que se te pide que crear una. Haz clic en Crear cuenta de servicio y escribe la siguiente información:

    • En el campo Nombre de la cuenta de servicio, ingresa Stackdriver agent authorization.
    • En el campo Función, agrega los siguientes valores:

      • Monitoring > Supervisar la métrica escrita
      • Logging > Escritor de registros
    • Marca la casilla de verificación Proporcionar una clave privada nueva.

    • Para el Tipo de clave, haz clic en JSON.

    • Desactiva la casilla de verificación Habilitar la delegación de todo el dominio de G Suite.

      Crear cuenta de servicio

  4. Haz clic en Crear. El archivo de clave privada de la cuenta de servicio se descarga en tu estación de trabajo con un nombre como Downloads/[PROJECT_NAME]-[KEY_ID].json.

    Donde:

    • [PROJECT_NAME] representa el nombre de tu proyecto de GCP.
    • [KEY_ID] representa la clave privada generada.

    Para simplificar las siguientes instrucciones, guarda la ubicación del archivo de credenciales en la variable CREDS de tu estación de trabajo:

    CREDS="Downloads/[PROJECT_NAME]-[KEY_ID].json"
    

Agrega una cuenta de servicio a una instancia de VM

Copia el archivo de credenciales de clave privada de Stackdriver en tu estación de trabajo en una ubicación en tu instancia de AWS EC2. Debes definir la variable de entorno GOOGLE_APPLICATION_CREDENTIALS para mantener su nombre de ruta:

  1. Desde tu estación de trabajo, copia el archivo de credenciales a tu instancia de AWS EC2 y guárdalo en un archivo llamado temp.json. En el comando scp, especifica la ruta de acceso a key.pem, tu archivo de par de claves scp de AWS y proporciona tus credenciales de AWS.

    KEY="/path/to/key.pem"
    scp -i "$KEY" "$CREDS" AWS_USERNAME@AWS_HOSTNAME:temp.json
    
  2. En tu instancia de EC2, mueve $HOME/temp.json a su ubicación final. El siguiente nombre y ubicación son arbitrarios:

    GOOGLE_APPLICATION_CREDENTIALS="/etc/google/auth/application_default_credentials.json"
    sudo mkdir -p $(dirname $GOOGLE_APPLICATION_CREDENTIALS)
    sudo mv "$HOME/temp.json" "$GOOGLE_APPLICATION_CREDENTIALS"
    
  3. (Opcional): Restringe el acceso a las credenciales de clave privada para la cuenta de servicio.

    sudo chown root:root "$GOOGLE_APPLICATION_CREDENTIALS"
    sudo chmod 0400 "$GOOGLE_APPLICATION_CREDENTIALS"
    
  4. Asegúrate de que la variable de entorno GOOGLE_APPLICATION_CREDENTIALS esté visible para los agentes y otras aplicaciones que están autorizadas a usar GCP. El nombre de la variable de entorno se entiende por las bibliotecas cliente estándar de GCP.

Instala los agentes

  1. (Opcional): Instala los agentes Stackdriver Monitoring y Logging. Para ello ejecuta los siguientes comandos en tu instancia de EC2:

    curl -sSO https://dl.google.com/cloudagents/install-monitoring-agent.sh
    sudo bash install-monitoring-agent.sh
    
    curl -sSO https://dl.google.com/cloudagents/install-logging-agent.sh
    sudo bash install-logging-agent.sh --structured
    

    El marcador --structured permite que el agente Logging envíe datos estructurados a Stackdriver Logging. Para obtener más información, consulta Operaciones de registro estructuradas.

  2. Verifica que los agentes se estén ejecutando.

    ps ax | grep fluentd
    ps ax | grep collectd
    

    La salida esperada debe ser similar a la siguiente:

    [PROCESS_ID] ?    Sl   0:00 /opt/google-fluentd/embedded/bin/ruby /usr/sbin/google-fluentd ...
    [PROCESS_ID] ?    Ssl  0:00 /opt/stackdriver/collectd/sbin/stackdriver-collectd ...
    

Usa los servicios de Stackdriver con AWS

Esta sección te muestra cómo usar los servicios de Stackdriver con tu cuenta de AWS.

Crea una verificación de tiempo de actividad

Las verificaciones de tiempo de actividad verifican que se pueda acceder a tu servidor web desde ubicaciones en todo el mundo. La política de alertas controla a quién se le notifica si fallan las verificaciones de tiempo de actividad.

Para crear una política de alertas con esa comprobación, sigue estos pasos:

  1. Vuelve a la consola de Stackdriver Monitoring:

    Ir a Google Cloud Monitoring

  2. Si ves la invitación Crear una verificación de tiempo de actividad, haz clic en ella. De lo contrario, en el menú de la izquierda, ve a Verificaciones de tiempo de actividad > Descripción general de verificaciones de tiempo de actividad y haz clic en Agregar verificaciones de tiempo de actividad o Crear una verificación de tiempo de actividad.

  3. En la ventana Verificación de tiempo de actividad nueva, completa los siguientes campos:

    • En el campo Título, ingresa My Uptime Check.
    • En la lista desplegable Tipo de verificación, selecciona HTTP.
    • En la lista desplegable Tipo de recurso, elige un recurso disponible.
    • Según el tipo de recurso seleccionado, es posible que tengas otros campos adicionales.

      Crea una verificación de tiempo de actividad

  4. Para verificar que tu verificación de tiempo de actividad está trabajando, haz clic en Probar. Si ves un mensaje Connection error - refused, no instalaste el Servidor Apache HTTP o quizás especificaste el tipo de verificación en HTTPS en lugar de HTTP. Para otros errores consulta Comprueba tu verificación de tiempo de actividad.

  5. Haz clic en Guardar.

Crea una política de alertas

  1. En el panel verificación de tiempo de actividad creada, haz clic en Crear política de alertas:

    Creación de verificación de tiempo de actividad

  2. En el campo Condición sin título, ingresa un título para la condición de la política de alertas. Todos los demás campos del panel de condiciones se propagan automáticamente a partir de la verificación del tiempo de actividad que creaste.

    Crea una condición

  3. Haz clic en Guardar.

  4. En la lista desplegable Tipo de canal de notificación, selecciona Correo electrónico.

    Crea una política de alertas nueva

  5. Ingresa tu dirección de correo electrónico y luego haz clic en Agregar canal de notificación.

  6. En el panel Nombre de esta política, ingresa My Uptime Check Policy.

  7. Haz clic en Guardar. Verás un resumen de la política.

Crea un panel y un gráfico

Para mostrar las métricas recopiladas por Monitoring en tus propios gráficos y paneles, completa los siguientes pasos:

  1. En la consola de Stackdriver Monitoring, ve a Paneles > Crear Panel.

    Ir a la página Crear panel

  2. En la esquina superior derecha, haz clic en Agregar gráfico.

  3. Haz clic en la pestaña Métrica:

    Agrega un gráfico en blanco

  4. Bajo el encabezado Buscar el tipo de recurso y la métrica, haz clic en el cuadro de texto y selecciona una métrica de AWS.

  5. Haz clic en Guardar.

  6. En el panel nuevo, cambia Untitled Dashboard a AWS Quickstart dashboard.

Ve tus registros

Monitoring y Logging están estrechamente integrados.

  1. En el menú del lado izquierdo de la consola de Stackdriver Monitoring, ve a Logging > vínculo AWS.
  2. El visor de registros para tu proyecto de conector de AWS contiene tus registros de AWS. Para cambiar el enfoque del visor de registros y ver los registros que deseas, sigue los pasos a continuación:

    • Ve a Proyecto de Google > Todos los project_id deberías ver al menos un registro de auditoría desde la configuración de tu proyecto de conector AWS:

      Visor de registros de AWS

    • Si instalaste el agente Stackdriver Monitoring en tus instancias de VM de AWS compatibles, es posible que veas otras opciones de registro.

Limpieza

Para evitar que se apliquen cargos a tu cuenta de GCP por los recursos que se usan en esta guía de inicio rápido, sigue los pasos a continuación:

  1. Quita tus gráficos y alertas de Stackdriver. En la consola de Stackdriver Monitoring:

    1. Borra tu política de alertas desde Alertar > Descripción general de la política.
    2. Borra tu verificación de tiempo de actividad desde Alertar > Verificaciones de tiempo de actividad.
    3. Borra tus gráficos desde Paneles > Ejemplo de inicio rápido de AWS
  2. En la consola de Stackdriver Monitoring, ve a la página Configuración de lugar de trabajo de tu lugar de trabajo, aws-quickstart. En la sección Cuentas supervisadas, quita tu cuenta de AWS.

  3. En tu cuenta de Amazon, borra la función IAM de AWS que creaste para el inicio rápido.

  4. En Google Cloud Platform Console, borra tu proyecto de conector AWS y, si lo creaste para este inicio rápido, tu proyecto de GCP, aws-quickstart. Para borrar un proyecto, selecciona el proyecto, ve a IAM y administrador >Configuración, y en la parte superior de la página, haz clic en Borrar proyecto.

¿Qué sigue?

  • Consulta Métricas compatibles para obtener una lista de todas las métricas integradas. Hay más de 500 métricas para Amazon AWS. Si deseas crear tus propias métricas de Monitoring, consulta Métricas personalizadas.

  • Para usar la API de Monitoring, consulta la Referencia de la API.

  • Para obtener más información sobre el registro y su relación con la supervisión, consulta Logging.

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Stackdriver Monitoring
¿Necesitas ayuda? Visita nuestra página de asistencia.