Inicio rápido para AWS

En esta guía de inicio rápido, se muestra cómo conectar Monitoring con tu cuenta de Amazon Web Services (AWS). También se describe cómo instalar los agentes de Logging y Monitoring en tus instancias de EC2.

Antes de comenzar

Debes tener una cuenta de AWS que no esté supervisada de momento por un lugar de trabajo. No puedes supervisar una cuenta de AWS desde más de un lugar de trabajo.

Para desconectar una cuenta de AWS de un lugar de trabajo, consulta Quita un proyecto de un lugar de trabajo.

Descripción general de los pasos

Para agregar una cuenta de AWS a un lugar de trabajo, debes crear un proyecto de Google Cloud que sirva como proyecto host para el lugar de trabajo. Después de crear el lugar de trabajo, debes agregar la cuenta de AWS al lugar de trabajo.

Los siguientes pasos conectan tu cuenta de AWS a Monitoring:

  1. Crea un proyecto de Google Cloud nuevo.

  2. Crea un lugar de trabajo nuevo (recomendado) o conecta una cuenta de AWS (si deseas usar un lugar de trabajo existente).

  3. Identifica el ID externo y el ID de tu cuenta de confianza.

  4. Crea una función de AWS mediante el ID de cuenta y el ID externo.

  5. Conecta tu lugar de trabajo y tu cuenta de AWS que usa la función de AWS para crear un proyecto de conector de AWS nuevo.

  6. Crea una cuenta de servicio en el proyecto de conector de AWS para autorizar el acceso a Google Cloud.

Cada uno de los pasos anteriores se describe en detalle en las siguientes secciones.

Configura tu lugar de trabajo

Se recomienda que crees un lugar de trabajo nuevo para esta guía de inicio rápido. Sin embargo, si deseas usar un lugar de trabajo existente, ve directamente a Conecta una cuenta de AWS.

En cualquier caso, asegúrate de obtener el ID de cuenta y el ID externo que necesitas para tu cuenta de AWS. Para obtener más información, dirígete a Obtén el ID externo y el ID de cuenta.

Crea un proyecto de Google Cloud

Para crear un proyecto de Google Cloud, sigue estos pasos:

  1. En Cloud Console, ve a Proyecto nuevo.

    Crear un proyecto nuevo

  2. En el campo Nombre del proyecto, ingresa Quickstart.

  3. Haz clic en Crear.

Obtén el ID externo y el ID de cuenta

Para identificar el ID externo y el ID de cuenta de confianza que requiere AWS, sigue estos pasos:

  1. Dirígete a Monitoring.

    Ir a Monitoring

    La primera vez que accedes a Monitoring para un proyecto de Google Cloud, Monitoring crea un lugar de trabajo y lo asocia con tu proyecto. Este proceso es automático, a menos que tengas un lugar de trabajo de varios proyectos. En ese caso, aparecerá un cuadro de diálogo que te pedirá que elijas entre crear un lugar de trabajo y agregar el proyecto a un lugar de trabajo existente. Selecciona la opción para crear un lugar de trabajo.

  2. Haga clic en Configuración y seleccione la pestaña Resumen.

  3. Haz clic en Agregar cuenta de AWS.

  4. Registra el ID de cuenta y el ID externo. Necesitas estos datos para crear tu función de AWS.

  5. Haz clic en Cancelar. Agrega tu cuenta de AWS después de crear tu función de AWS.

Crea una función de AWS

Para crear tu función de AWS necesaria para autorizar Cloud Monitoring, debes tener el ID de cuenta y el ID externo para tu lugar de trabajo. Si no los tienes, sigue las instrucciones en Obtén el ID externo y el ID de cuenta.

Para crear la función de AWS, sigue los pasos a continuación:

  1. Inicia sesión en tu consola de IAM de AWS y haz clic en Funciones, en el menú del lado izquierdo.
  2. Haz clic en Crear función y haz lo siguiente:

    • Para el Tipo de función, selecciona Otra cuenta de AWS.
    • En el campo ID de cuenta, ingresa el ID de cuenta que proporciona Monitoring.
    • Selecciona la casilla de verificación ID externa obligatoria.
    • En el campo ID externo, ingresa el ID externo que proporciona Monitoring.
    • No selecciones MFA obligatoria.
  3. Haz clic en Siguiente: Permisos.

  4. En la lista desplegable Nombre de política, selecciona ReadOnlyAccess:

  5. Haz clic en Siguiente: Etiquetas.

  6. Para agregar metadatos a la función, adjunta etiquetas como pares clave-valor (opcional).

  7. Haz clic en Siguiente: Revisar y llena o verifica la información a continuación:

    • En el campo Nombre de la función, ingresa un nombre como GoogleStackdriver.
    • En el campo Descripción de la función, ingresa lo que desees (opcional).
    • En el campo Entidades de confianza, verifica que sea el ID de cuenta que ingresaste antes.
    • En el campo Políticas, verifica que el valor sea ReadOnlyAccess.
  8. En la página IAM de AWS, haz clic en Crear función.

  9. En la página Resumen, copia la string Función de ARN para poder asignarla a Monitoring. Si no ves el resumen, haz clic en el nombre de tu función (por ejemplo, GoogleStackdriver) en la lista de funciones de AWS.

Conecta una cuenta de AWS

Para agregar una cuenta de AWS a un lugar de trabajo existente, sigue los pasos a continuación:

  1. En Cloud Console, ve a Monitoring:

    Ir a Monitoring

  2. Haga clic en Configuración y seleccione la pestaña Resumen.

    En el panel de la siguiente captura de pantalla se muestra que estás supervisando un único proyecto de Google Cloud: el proyecto de hosting del lugar de trabajo. Todavía no estás supervisando ninguna cuenta de AWS.

    Supervisar cuentas supervisadas.

  3. Haz clic en Agregar cuenta de AWS. Ingresa el ID de cuenta y el ID externo que usaste cuando creaste un lugar de trabajo.

  4. Ingresa la siguiente información:

    • En el campo Función de ARN (Role ARN), ingresa tu función de ARN de Crea una función AWS o sigue las instrucciones de la página Agregar cuenta de AWS (Add AWS account) para crear la función.
    • En el campo Descripción de la cuenta, ingresa una breve descripción de tu cuenta de AWS. La primera palabra o dos se usan para crear un ID del proyecto nuevo.

      Supervisar las cuentas supervisadas de AWS.

  5. Haz clic en Agregar cuenta de AWS (Add AWS account). En un momento, la conexión se confirmará.

Proyectos de conector AWS

Cuando te conectas a una cuenta de AWS, Monitoring crea un proyecto de conector de AWS. La página Cuentas supervisadas en la configuración de tu lugar de trabajo ahora incluye el ID para este proyecto:

Descripción de tu cuenta de AWS [YOUR_AWS_ACCOUNT_NUMBER]
Conectada a [CONNECTOR_PROJECT_ID]

Aquí:

  • [YOUR_AWS_ACCOUNT_NUMBER] representa el número de cuenta de tu cuenta de AWS.
  • [CONNECTOR_PROJECT_ID] representa el proyecto de conector en el que recibes registros y métricas de tu cuenta de AWS y configuras la autorización para agentes y otras aplicaciones de AWS que necesitan acceder a Google Cloud.

    El ID del proyecto del conector siempre comienza con aws-, y el nombre del proyecto siempre comienza con AWS Link.

Próximo paso: Autoriza aplicaciones

Soluciona problemas

Si te informan que tu cuenta de AWS ya está siendo supervisada, haz lo siguiente:

  • Si otro lugar de trabajo supervisa tu cuenta de AWS, debes quitar tu cuenta de AWS. No puedes supervisar una cuenta de AWS desde más de un lugar de trabajo. Para desconectar una cuenta de AWS de un lugar de trabajo, ve a la página Quita un proyecto de un lugar de trabajo.

  • Este mensaje también puede aparecer si no usaste el ID de cuenta y el ID externo correctos de tu lugar de trabajo actual cuando creaste tu función de AWS. El ID externo es único para cada lugar de trabajo.

Autoriza aplicaciones

Debes realizar los siguientes pasos si realizas alguna de las acciones a continuación:

  • Ejecutas los agentes de Monitoring o Logging en tus instancias de VM de AWS.
  • Usas cualquier servicio de Google Cloud desde las aplicaciones de AWS.

Para autorizar las aplicaciones que se ejecutan en AWS y acceder a los servicios de Google Cloud, otórgales acceso a una cuenta de servicio de Google Cloud con funciones de Google Cloud IAM adecuadas.

Con una sola cuenta de servicio, puedes autorizar varias instancias de VM de AWS y aplicaciones en la misma cuenta de AWS, o puedes crear varias cuentas de servicio.

Crea una cuenta de servicio

Para crear la cuenta de servicio, haz lo siguiente:

  1. Ve a la página IAM y administración > Cuentas de servicio de tu proyecto de conector:

    Ir a Cuentas de servicio

  2. Selecciona el proyecto de conector de AWS (llamado AWS Link...) para tu cuenta de AWS.

  3. Es probable que tu proyecto de conector no tenga cuentas de servicio, por lo que se te pedirá crear una. Haz clic en Crear cuenta de servicio (Create service account) y escribe la siguiente información:

    • En el campo Nombre de la cuenta de servicio, ingrese Monitoring agent authorization y haga clic en Crear.

      Crear una cuenta de servicio.

    • En el cuadro de diálogo Permisos de la cuenta de servicio, selecciona las siguientes funciones y haz clic en Continuar:

      • Monitoring > Supervisar la métrica escrita
      • Logging > Escritor de registros

      Crear una cuenta de servicio.

    • En el cuadro de diálogo Crear clave, haga clic en Crear clave y seleccione JSON.

  4. Haz clic en Listo. El archivo de clave privada de la cuenta de servicio se descarga en tu estación de trabajo con un nombre como Downloads/[PROJECT_NAME]-[KEY_ID].json.

    Aquí:

    • [PROJECT_NAME] representa el nombre de tu proyecto de Google Cloud.
    • [KEY_ID] representa la clave privada generada.

    Para simplificar las siguientes instrucciones, guarda la ubicación del archivo de credenciales en la variable CREDS de tu estación de trabajo:

    CREDS="Downloads/[PROJECT_NAME]-[KEY_ID].json"
        

Agrega una cuenta de servicio a una instancia de VM

Para agregar una cuenta de servicio, haz lo siguiente:

  1. En tu estación de trabajo, copia el archivo de credenciales de clave privada en tu instancia de AWS EC2 y guárdalo en un archivo llamado temp.json. En el comando scp, especifica la ruta a key.pem, tu archivo de par de llaves SSH de AWS y proporciona tus credenciales de AWS:

    KEY="/path/to/key.pem"
        scp -i "$KEY" "$CREDS" AWS_USERNAME@AWS_HOSTNAME:temp.json
        
  2. En tu instancia de EC2, mueve las credenciales a /etc/google/auth/application_default_credentials.json:

    GOOGLE_APPLICATION_CREDENTIALS="/etc/google/auth/application_default_credentials.json"
        sudo mkdir -p $(dirname "$GOOGLE_APPLICATION_CREDENTIALS")
        sudo mv "$HOME/temp.json" "$GOOGLE_APPLICATION_CREDENTIALS"
        
  3. Restringe el acceso a las credenciales de clave privada para la cuenta de servicio (opcional). Por ejemplo:

    sudo chown root:root "$GOOGLE_APPLICATION_CREDENTIALS"
        sudo chmod 0400 "$GOOGLE_APPLICATION_CREDENTIALS"
        
  4. Asegúrate de que la variable de entorno GOOGLE_APPLICATION_CREDENTIALS sea visible para los agentes y otras aplicaciones autorizadas con el fin de usar Google Cloud. Las bibliotecas cliente estándar de Google Cloud entienden el nombre de la variable de entorno.

Instala los agentes

  1. (Opcional): Instala los agentes de Cloud Monitoring y Logging ejecutando los siguientes comandos en tu instancia de EC2:

    curl -sSO https://dl.google.com/cloudagents/install-monitoring-agent.sh
        sudo bash install-monitoring-agent.sh
    
        curl -sSO https://dl.google.com/cloudagents/install-logging-agent.sh
        sudo bash install-logging-agent.sh --structured
        

    La marca --structured permite que el agente de Logging envíe datos estructurados a Cloud Logging. Para obtener más información, ve a Operaciones de registro estructuradas.

  2. Verifica que los agentes se estén ejecutando.

    ps ax | grep fluentd
        ps ax | grep collectd
        

    El resultado esperado debe ser similar al siguiente:

        [PROCESS_ID] ?    Sl   0:00 /opt/google-fluentd/embedded/bin/ruby /usr/sbin/google-fluentd ...
        [PROCESS_ID] ?    Ssl  0:00 /opt/stackdriver/collectd/sbin/stackdriver-collectd ...
        

Usa los servicios de Monitoring con AWS

En esta sección, se muestra cómo usar los servicios de Monitoring con tu cuenta de AWS.

Crea una verificación de tiempo de actividad

Las verificaciones de tiempo de actividad verifican que se pueda acceder a tu servidor web desde ubicaciones en todo el mundo. La política de alertas controla a quién se notifica si fallan las verificaciones de tiempo de actividad.

Para crear una verificación de tiempo de actividad, haz lo siguiente:

  1. Ve a Monitoring:

    Ir a Monitoring

    La primera vez que accedes a Monitoring para un proyecto de Google Cloud, Monitoring crea un lugar de trabajo y lo asocia con tu proyecto. Este proceso es automático, a menos que tengas un lugar de trabajo de varios proyectos. En ese caso, aparecerá un cuadro de diálogo que te pedirá que elijas entre crear un lugar de trabajo y agregar el proyecto a un lugar de trabajo existente. Selecciona la opción para crear un lugar de trabajo.

  2. Si ves la invitación para Crear una verificación de tiempo de actividad en el panel, haz clic en ella. De lo contrario, ve a Verificaciones de tiempo de actividad y, luego, selecciona Crear verificación de tiempo de actividad.

  3. En la ventana Verificación de tiempo de actividad nueva, completa los siguientes campos:

    • En el campo Título (Title), ingresa My Uptime Check.
    • En el menú Tipo de verificación (Check type), selecciona HTTP.
    • En el menú Tipo de recurso (Resource Type), elige un recurso disponible.
    • Según el tipo de recurso seleccionado, es posible que tengas otros campos adicionales.

      Se muestra el cuadro de diálogo de verificación de tiempo de actividad nuevo con campos predeterminados.

  4. Para comprobar que tu verificación de tiempo de actividad esté funcionando, haz clic en Probar (Test). Si ves un mensaje Connection error - refused, no instalaste el servidor HTTP de Apache o podrías haber especificado el tipo de verificación HTTPS en lugar de HTTP. Si surgen otros errores, consulta Comprueba tu verificación de tiempo de actividad.

  5. Haga clic en Save.

Crea una política de alertas

  1. En el panel Verificación de tiempo de actividad creada (Uptime check created), haz clic en Crear política de alertas (Create alert policy):

    Se muestra el cuadro de diálogo de la verificación de tiempo de actividad creada.

  2. En el campo Condición sin título (Untitled Condition), ingresa un título para la condición de la política de alertas. Todos los demás campos del panel de condiciones se propagan de manera automática a partir de la verificación de tiempo de actividad que creaste.

    Se muestra el cuadro de diálogo para crear condiciones con la configuración predeterminada.

  3. Haz clic en Guardar.

  4. Ingresa My Uptime Check Policy como el Nombre (Name) de la política de alertas.

    Pantalla que muestra el cuadro de diálogo para crear una política de alertas nueva con la configuración predeterminada.

  5. De manera opcional, para configurar una notificación por correo electrónico, haz clic en Agregar canal de notificación (Add notification channel), selecciona Correo electrónico en el menú, ingresa tu dirección de correo electrónico y, luego, haz clic en Agregar.

  6. Haga clic en Save. Verás un resumen de la política.

Cree un panel y un gráfico

Para mostrar las métricas que recopila Monitoring, sigue estos pasos:

  1. Ve a Monitoring:

    Ir a Monitoring

  2. Selecciona Paneles y, a continuación, selecciona Crear panel.

  3. Ingresa Quickstart dashboard como el nombre del panel y haz clic en Confirmar.

  4. Haga clic en Add Chart.

  5. Asegúrate de que la pestaña Métrica (Metric) esté seleccionada:

    Se muestra el cuadro de diálogo para agregar un gráfico con la configuración predeterminada.

  6. Bajo el encabezado Buscar el tipo de recurso y la métrica (Find resource type and metric), haz clic en el cuadro de texto y selecciona una métrica de AWS.

  7. Haga clic en Save.

Visualiza tus registros

Monitoring y Logging están estrechamente integrados.

  1. En Cloud Console, dirígete a Registros y selecciona AWS Link.
  2. El visor de registros de tu proyecto de conector de AWS contiene los registros de AWS. Para cambiar el enfoque del visor de registros y ver los registros que deseas, sigue los pasos a continuación:

    • Ve a Proyecto de Google (Google Project) > Todos los project_id. Deberías ver al menos un registro de auditoría desde la configuración de tu proyecto de conector de AWS:

      Visor de registros de AWS.

    • Si instalaste el agente de Cloud Monitoring en tus instancias de VM de AWS compatibles, es posible que veas otras opciones de registro.

Limpia

Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta guía de inicio rápido.

  1. Quita tus gráficos y alertas de Monitoring. Ve a Monitoring:

    1. Borra tu política de alertas de Alertas.
    2. Borra tu verificación de tiempo de actividad de Alertas.
    3. Borra tus gráficos de Paneles.
  2. Haga clic en Configuración y seleccione la pestaña Resumen.

  3. En la sección titulada Cuentas de AWS , identifique la cuenta de AWS que usó para esta Guía de inicio rápido, haga clic en Más y seleccione Eliminar del espacio de trabajo.

  4. En tu cuenta de Amazon, borra la función IAM de AWS que creaste para la guía de inicio rápido.

  5. En Google Cloud Console, borra tu proyecto de conector de AWS y, si lo creaste para esta guía de inicio rápido, tu proyecto de Google Cloud, aws-quickstart. Para borrar un proyecto, selecciona el proyecto, ve a IAM y administración, selecciona Configuración y, luego, haz clic en Apagar.

Qué sigue

  • Ve a Métricas admitidas para obtener una lista de todas las métricas integradas. Hay más de 500 métricas para Amazon AWS. Si deseas crear tus propias métricas de Monitoring, ve a Métricas personalizadas.

  • Para usar la API de Monitoring, consulta la referencia de la API.

  • Para obtener más información sobre el registro y su relación con la supervisión, ve a Registros.