Inicio rápido para AWS

En esta guía de inicio rápido, se muestra cómo recopilar métricas del sistema de una instancia de EC2 y cómo verlas en Cloud Monitoring. En esta guía de inicio rápido, harás todo lo siguiente:

  1. Instala los agentes de Monitoring y Logging en tus instancias de EC2.
  2. Configura tu cuenta de Amazon Web Services (AWS) para habilitar el envío de los datos recopilados por los agentes a Monitoring.
  3. Visualiza y muestra esos datos.

En esta página, el término conectada significa que una cuenta de AWS está configurada para enviar los datos que recopilan los agentes de Monitoring y Logging a Cloud Monitoring.

Antes de comenzar

Debes tener una cuenta de AWS que no esté supervisada de momento por un lugar de trabajo. No puedes supervisar una cuenta de AWS desde más de un lugar de trabajo.

Para desconectar una cuenta de AWS de un lugar de trabajo, consulta Quita un proyecto de un lugar de trabajo.

Descripción general de los pasos

Para agregar una cuenta de AWS a un lugar de trabajo, debes crear un proyecto de Google Cloud que sirva como proyecto host para el lugar de trabajo. Después de crear el lugar de trabajo, debes agregar la cuenta de AWS al lugar de trabajo.

Sigue estos pasos para conectar tu cuenta de AWS a Monitoring:

  1. Crea un proyecto de Google Cloud nuevo.

  2. Crea un lugar de trabajo nuevo (recomendado) o conecta una cuenta de AWS (si deseas usar un lugar de trabajo existente).

  3. Identifica el ID externo y el ID de tu cuenta de confianza.

  4. Crea una función de AWS mediante el ID de cuenta y el ID externo.

  5. Conecta tu lugar de trabajo y tu cuenta de AWS mediante la función de AWS con un proyecto de conector de AWS.

  6. Crea una cuenta de servicio en el proyecto de conector de AWS para autorizar el acceso a Google Cloud.

Cada uno de los pasos anteriores se describe en detalle en las siguientes secciones.

Configura tu lugar de trabajo

Se recomienda que crees un lugar de trabajo nuevo para esta guía de inicio rápido. Sin embargo, si deseas usar un lugar de trabajo existente, ve directamente a Conecta una cuenta de AWS.

En cualquier caso, asegúrate de obtener el ID de cuenta y el ID externo que necesitas para tu cuenta de AWS. Para obtener más información, dirígete a Obtén el ID externo y el ID de cuenta.

Crea un proyecto de Google Cloud

Para crear un proyecto de Google Cloud, sigue estos pasos:

  1. En Cloud Console, ve a Proyecto nuevo.

    Crear un proyecto nuevo

  2. En el campo Nombre del proyecto, ingresa Quickstart.

  3. Haz clic en Crear.

Obtén el ID externo y el ID de cuenta

Para identificar el ID externo y el ID de cuenta de confianza que requiere AWS, sigue estos pasos:

  1. Dirígete a Monitoring.

    Ir a Monitoring

    La primera vez que accedes a Monitoring para un proyecto de Google Cloud, Monitoring crea un lugar de trabajo y lo asocia con tu proyecto. Este proceso es automático, a menos que tengas un lugar de trabajo de varios proyectos. En ese caso, aparecerá un cuadro de diálogo que te pedirá que elijas entre crear un lugar de trabajo y agregar el proyecto a un lugar de trabajo existente. Selecciona la opción para crear un lugar de trabajo.

  2. Haz clic en Configuración y selecciona la pestaña Resumen.

  3. Haz clic en Agregar cuenta de AWS.

  4. Registra el ID de cuenta y el ID externo. Necesitas estos datos para crear tu función de AWS.

  5. Haz clic en Cancelar. Agrega tu cuenta de AWS después de crear tu función de AWS.

Crea una función de AWS

Con el fin de crear la función de AWS necesaria para autorizar a Cloud Monitoring, debes tener el ID de cuenta y el ID externo de tu lugar de trabajo. Si no los tienes, sigue las instrucciones en Obtén el ID externo y el ID de cuenta.

Para crear la función de AWS, sigue los pasos a continuación:

  1. Inicia sesión en tu consola de IAM de AWS y haz clic en Funciones, en el menú del lado izquierdo.
  2. Haz clic en Crear función y haz lo siguiente:

    • Para el Tipo de función, selecciona Otra cuenta de AWS.
    • En el campo ID de cuenta, ingresa el ID de cuenta que proporciona Monitoring.
    • Selecciona la casilla de verificación ID externa obligatoria.
    • En el campo ID externo, ingresa el ID externo que proporciona Monitoring.
    • No selecciones MFA obligatoria.
  3. Haz clic en Siguiente: Permisos.

  4. En la lista desplegable Nombre de política, selecciona ReadOnlyAccess:

  5. Haz clic en Siguiente: Etiquetas.

  6. Para agregar metadatos a la función, adjunta etiquetas como pares clave-valor (opcional).

  7. Haz clic en Siguiente: Revisar y llena o verifica la información a continuación:

    • En el campo Nombre de la función, ingresa un nombre como GoogleStackdriver.
    • En el campo Descripción de la función, ingresa lo que desees (opcional).
    • En el campo Entidades de confianza, verifica que sea el ID de cuenta que ingresaste antes.
    • En el campo Políticas, verifica que el valor sea ReadOnlyAccess.
  8. En la página IAM de AWS, haz clic en Crear función.

  9. En la página Resumen, copia la string Función de ARN para poder asignarla a Monitoring. Si no ves el resumen, haz clic en el nombre de tu función (por ejemplo, GoogleStackdriver) en la lista de funciones de AWS.

Conecta una cuenta de AWS

Para agregar una cuenta de AWS a un lugar de trabajo existente, sigue los pasos a continuación:

  1. En Cloud Console, ve a Monitoring:

    Ir a Monitoring

  2. Haz clic en Configuración y selecciona la pestaña Resumen.

    En el panel de la siguiente captura de pantalla se muestra que estás supervisando un único proyecto de Google Cloud: el proyecto de hosting del lugar de trabajo. Todavía no estás supervisando ninguna cuenta de AWS.

    Supervisar cuentas supervisadas.

  3. Haz clic en Agregar cuenta de AWS.

  4. Haz clic en Seleccionar un proyecto y crea un proyecto de Google Cloud o selecciona un proyecto existente para usar como proyecto de conector de AWS.

    Un proyecto de Google Cloud puede ser un proyecto de conector para una sola cuenta de AWS.

    No uses proyectos de conectores para ningún otro propósito y no los borres mientras tu lugar de trabajo aún esté conectado a tu cuenta de AWS.

  5. Ingresa la siguiente información:

    • En el campo Función de ARN (Role ARN), ingresa tu función de ARN de Crea una función AWS o sigue las instrucciones de la página Agregar cuenta de AWS (Add AWS account) para crear la función.
    • En el campo Descripción de la cuenta, ingresa una breve descripción de tu cuenta de AWS. La primera palabra o dos se usan para crear un ID del proyecto nuevo.

      Supervisar las cuentas supervisadas de AWS.

  6. Haz clic en Agregar cuenta de AWS (Add AWS account). Después de un momento, se confirmará la conexión.

Proyectos de conector AWS

La página de Cuentas supervisadas en la configuración de tu lugar de trabajo ahora incluye el ID del proyecto de conector de AWS:

Descripción de tu cuenta de AWS [YOUR_AWS_ACCOUNT_NUMBER]
Conectada a [CONNECTOR_PROJECT_ID]

En el ejemplo anterior, se ilustra lo siguiente:

  • [YOUR_AWS_ACCOUNT_NUMBER] representa el número de cuenta de tu cuenta de AWS.
  • [CONNECTOR_PROJECT_ID] representa el proyecto de conector en el que recibes registros y métricas de tu cuenta de AWS y configuras la autorización para agentes y otras aplicaciones de AWS que necesitan acceder a Google Cloud.

Próximo paso: Autoriza aplicaciones

Solución de problemas

Si te informan que tu cuenta de AWS ya está siendo supervisada, haz lo siguiente:

  • Si otro lugar de trabajo supervisa tu cuenta de AWS, debes quitar tu cuenta de AWS. No puedes supervisar una cuenta de AWS desde más de un lugar de trabajo. Para desconectar una cuenta de AWS de un lugar de trabajo, ve a la página Quita un proyecto de un lugar de trabajo.

  • Este mensaje también puede aparecer si no usaste el ID de cuenta y el ID externo correctos de tu lugar de trabajo actual cuando creaste tu función de AWS. El ID externo es único para cada lugar de trabajo.

Autoriza aplicaciones

Debes realizar los siguientes pasos si llevas a cabo alguna de las acciones a continuación:

  • Ejecutas los agentes de Monitoring o Logging en tus instancias de VM de AWS.
  • Usas cualquier servicio de Google Cloud desde las aplicaciones de AWS.

Para autorizar las aplicaciones que se ejecutan en AWS y acceder a los servicios de Google Cloud, otórgales acceso a una cuenta de servicio de Google Cloud con funciones de Google Cloud IAM adecuadas.

Con una sola cuenta de servicio, puedes autorizar varias instancias de VM de AWS y aplicaciones en la misma cuenta de AWS, o puedes crear varias cuentas de servicio.

Cree una cuenta de servicio

Para crear la cuenta de servicio, haz lo siguiente:

  1. Ve a la página IAM y administración > Cuentas de servicio de tu proyecto de conector:

    Ir a Cuentas de servicio

  2. Selecciona el proyecto de conector de AWS para tu cuenta de AWS.

  3. Es probable que tu proyecto de conector no tenga cuentas de servicio, por lo que se te pedirá crear una. Haz clic en Crear cuenta de servicio y escribe la siguiente información:

    • En el campo Nombre de la cuenta de servicio, ingresa Monitoring agent authorization y haz clic en Crear.

      Crear una cuenta de servicio.

    • En el cuadro de diálogo Permisos de la cuenta de servicio, selecciona las siguientes funciones y, luego, haz clic en Continuar:

      • Monitoring > Supervisar la métrica escrita
      • Logging > Escritor de registros

      Crear una cuenta de servicio.

    • En el diálogo Crear clave, haz clic en Crear clave y selecciona JSON.

  4. Haga clic en Listo. El archivo de clave privada de la cuenta de servicio se descarga en tu estación de trabajo con un nombre como Downloads/[PROJECT_NAME]-[KEY_ID].json.

    En el ejemplo anterior, se ilustra lo siguiente:

    • [PROJECT_NAME] representa el nombre de tu proyecto de Google Cloud.
    • [KEY_ID] representa la clave privada generada.

    Para simplificar las siguientes instrucciones, guarda la ubicación del archivo de credenciales en la variable CREDS de tu estación de trabajo:

    CREDS="Downloads/[PROJECT_NAME]-[KEY_ID].json"
    

Agrega una cuenta de servicio a una instancia de VM

Para agregar una cuenta de servicio, haz lo siguiente:

  1. En tu estación de trabajo, copia el archivo de credenciales de clave privada en tu instancia de AWS EC2 y guárdalo en un archivo llamado temp.json. En el comando scp, especifica la ruta a key.pem, tu archivo de par de llaves SSH de AWS y proporciona tus credenciales de AWS:

    KEY="/path/to/key.pem"
    scp -i "$KEY" "$CREDS" AWS_USERNAME@AWS_HOSTNAME:temp.json
    
  2. En tu instancia de EC2, mueve las credenciales a /etc/google/auth/application_default_credentials.json:

    GOOGLE_APPLICATION_CREDENTIALS="/etc/google/auth/application_default_credentials.json"
    sudo mkdir -p $(dirname "$GOOGLE_APPLICATION_CREDENTIALS")
    sudo mv "$HOME/temp.json" "$GOOGLE_APPLICATION_CREDENTIALS"
    
  3. Restringe el acceso a las credenciales de clave privada para la cuenta de servicio (opcional). Por ejemplo:

    sudo chown root:root "$GOOGLE_APPLICATION_CREDENTIALS"
    sudo chmod 0400 "$GOOGLE_APPLICATION_CREDENTIALS"
    
  4. Asegúrate de que la variable de entorno GOOGLE_APPLICATION_CREDENTIALS sea visible para los agentes y otras aplicaciones autorizadas con el fin de usar Google Cloud. Las bibliotecas cliente estándar de Google Cloud entienden el nombre de la variable de entorno.

Instala los agentes

  1. (Opcional): Instala el agente de Cloud Monitoring en tu instancia de EC2. Si bien Cloud Monitoring puede acceder a algunas métricas de instancia sin el agente de Monitoring, incluida la información de uso de CPU y tiempo de actividad, el agente de Monitoring proporciona métricas para un conjunto más amplio de recursos del sistema y servicios de aplicaciones.

    Para instalar el agente de Cloud Monitoring, consulta Instala el agente de Cloud Monitoring y selecciona las instrucciones según tu sistema operativo. Estas instrucciones incluyen información sobre cómo verificar que el agente se está ejecutando y un vínculo a una guía de solución de problemas.

  2. (Opcional): Instala el agente de Cloud Logging, que transmite los registros a Cloud Logging, en tu instancia de EC2. Consulta Instala el agente de Cloud Logging y selecciona las instrucciones según el sistema operativo. Estas instrucciones incluyen información sobre cómo verificar que el agente se está ejecutando y un vínculo a una guía de solución de problemas.

Usa los servicios de Monitoring con AWS

En esta sección, se muestra cómo usar los servicios de Monitoring con tu cuenta de AWS.

Cree una verificación de tiempo de actividad y una política de alertas

Para crear una verificación de tiempo de actividad, haz lo siguiente:

  1. En Cloud Console, selecciona Monitoring:

    Ir a Monitoring

    La primera vez que accedes a Monitoring para un proyecto de Google Cloud, Monitoring crea un lugar de trabajo y lo asocia con tu proyecto. Este proceso es automático, a menos que tengas un lugar de trabajo de varios proyectos. En ese caso, aparecerá un cuadro de diálogo que te pedirá que elijas entre crear un lugar de trabajo y agregar el proyecto a un lugar de trabajo existente. Selecciona la opción para crear un lugar de trabajo.

  2. Haz clic en Verificaciones de tiempo de actividad.

  3. Haga clic en Crear una verificación de tiempo de actividad.

    Crea un diálogo de verificación de tiempo de actividad.

  4. En el título, ingresa My Uptime Check y, luego, haz clic en Siguiente.

  5. Destino:

    1. Asegúrate de que esté seleccionado HTTP para el protocolo.
    2. Selecciona cualquier recurso disponible para el Tipo de recurso.
    3. Completa los campos adicionales según sea necesario.
    4. Haga clic en Next.
  6. Validación de respuestas: Deja estos campos con sus valores predeterminados y haz clic en Siguiente.

  7. Alerta y notificación:

    • Asegúrate de que la etiqueta para activar o desactivar esté como Alertas habilitadas.
    • Deja los campos de nombre y duración en sus valores predeterminados.
    • Para agregar un canal de notificación a la política de alertas, en el cuadro de texto etiquetado Canales de notificación, haz clic en Menú . Selecciona los canales que quieres agregar y haz clic en Aceptar. Las notificaciones se agrupan alfabéticamente por cada tipo de canal.

      Para agregar una entrada a la lista de casillas de verificación, haz clic en Administrar canales de notificaciones y sigue las instrucciones. Cuando regreses a este diálogo, haz clic en Actualizar .

  8. Para verificar la configuración de verificación de tiempo de actividad, haz clic en Probar (Test). Si ves el mensaje “Error de conexión: rechazado”, es posible que no esté instalado el Servidor HTTP Apache o que hayas especificado HTTPS en lugar de HTTP como tipo de verificación. Para obtener información sobre otros errores, consulta Verifica tu tiempo de actividad.

  9. Haga clic en Crear. Cuando la acción de creación se realiza correctamente, aparece un banner con el mensaje Revisar y crear alertas. La ventana Verificaciones de tiempo de actividad (Uptime checks) enumera la verificación nueva y contiene un vínculo al panel de verificaciones de tiempo de actividad. La ventana Alertas enumera las políticas de alertas nuevas y contiene un vínculo al panel de políticas. Si faltan datos obligatorios, la acción de creación falla y aparece una lista de campos que requieren datos junto a los botones de diálogo.

Cree un panel y un gráfico

Para mostrar las métricas que recopila Monitoring, sigue estos pasos:

  1. Ve a Monitoring:

    Ir a Monitoring

  2. Selecciona Paneles y, a continuación, selecciona Crear panel.

  3. Ingresa Quickstart dashboard como el nombre del panel y haz clic en Confirmar.

  4. Haga clic en Agregar gráfico (Add Chart).

  5. Asegúrate de que la pestaña Métrica (Metric) esté seleccionada:

    Pantalla que muestra el cuadro de diálogo Agregar gráfico (Add Chart) con la configuración predeterminada.

  6. Bajo el encabezado Buscar el tipo de recurso y la métrica (Find resource type and metric), haz clic en el cuadro de texto y selecciona una métrica de AWS.

  7. Haz clic en Guardar.

Visualiza tus registros

Monitoring y Logging están estrechamente integrados.

  1. En Cloud Console, ve a Logging y selecciona el proyecto de conector de AWS.
  2. El visor de registros de tu proyecto de conector de AWS contiene los registros de AWS. Para cambiar el enfoque del visor de registros y ver los registros que deseas, sigue los pasos a continuación:

    • Ve a Proyecto de Google (Google Project) > Todos los project_id. Deberías ver al menos un registro de auditoría desde la configuración de tu proyecto de conector de AWS:

      Visor de registros de AWS.

    • Si instalaste el agente Cloud Monitoring en tus instancias de VM de AWS compatibles, es posible que veas otras opciones de registro.

Realiza una limpieza

Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta guía de inicio rápido.

  1. Quita tus gráficos y alertas de Monitoring. Ve a Monitoring:

    1. Borra tu política de alertas de Alertas.
    2. Borra tu verificación de tiempo de actividad de Alertas.
    3. Borra tus gráficos de Paneles.
  2. Haz clic en Configuración y selecciona la pestaña Resumen.

  3. En la sección Cuentas de AWS, identifica la cuenta de AWS que usaste para esta guía de inicio rápido, haz clic en Más y selecciona Quitar del lugar de trabajo.

  4. En tu cuenta de Amazon, borra la función IAM de AWS que creaste para el inicio rápido.

  5. En Google Cloud Console, borra tu proyecto de conector de AWS y, si lo creaste para esta guía de inicio rápido, tu proyecto de Google Cloud, aws-quickstart. Para borrar un proyecto, selecciona el proyecto, ve a IAM y administración, selecciona Configuración y, luego, haz clic en Apagar.

Qué sigue