Guía de inicio rápido para Amazon EC2

En esta guía de inicio rápido, se muestra cómo recopilar métricas del sistema desde una instancia existente de Amazon Elastic Compute Cloud (Amazon EC2) y cómo ver esas métricas en Cloud Monitoring.

En esta guía de inicio rápido, harás todo lo siguiente:

  1. Instala los agentes de Monitoring y Logging en tus instancias de Amazon EC2.
  2. Configura tu cuenta de Amazon Web Services (AWS) para habilitar el envío de los datos recopilados por los agentes a Monitoring.
  3. Visualiza y muestra esos datos.

En esta página, el término conectada significa que una cuenta de AWS está configurada para enviar los datos que recopilan los agentes de Monitoring y Logging a Cloud Monitoring.

Antes de comenzar

En estas instrucciones, se supone que tienes una cuenta de AWS que no supervisa Google Cloud en la actualidad.

Descripción general de los pasos

Los siguientes pasos conectan tu cuenta de AWS a Monitoring:

  1. Crea un proyecto de Google Cloud para que sea el proyecto de alcance de un alcance de métricas que supervise tu cuenta de AWS.

  2. Conecta tu cuenta de AWS a Google Cloud. En este paso, usarás el ID de cuenta y el ID externo que proporciona Cloud Monitoring para crear una función de Amazon IAM. También creas un proyecto de conector de AWS.

  3. Crea una cuenta de servicio en el proyecto de conector de AWS para autorizar el acceso a Google Cloud.

Cada uno de los pasos anteriores se describe en detalle en las siguientes secciones.

Crea un proyecto de Google Cloud

Para crear un proyecto de Google Cloud, haz lo siguiente:

  1. En Cloud Console, ve a Proyecto nuevo.

    Crear un proyecto nuevo

  2. En el campo Nombre del proyecto, ingresa Quickstart.

  3. Haga clic en Crear.

Conecta una cuenta de AWS

Para configurar una cuenta de AWS y permitir que Google Cloud lea sus métricas, haz lo siguiente:

  1. En el selector de proyectos de Google Cloud Console, selecciona Quickstart. Este es el proyecto de Google Cloud cuyo alcance de las métricas se modificará para incluir las métricas de tu cuenta de AWS.
  2. En el panel de navegación de Cloud Console, selecciona Monitoring.

  3. En la página Configuración, haz clic en Crear proyecto de conector de AWS.

    Figura que ilustra el botón de creación.

  4. En el paso Crear un proyecto de conector, haz clic en Seleccionar un proyecto y, luego, crea un proyecto.

  5. Haz clic en Siguiente para pasar al paso Autorizar AWS for Monitoring.

  6. En elAutoriza AWS para Monitoring crea una función de Amazon IAM que otorgue a Google Cloud acceso de solo lectura a tu cuenta de AWS y, luego, proporcionas el ARN de esa función a tu proyecto de Google Cloud:

    Para crear la función de IAM de AWS, haz lo siguiente:

    1. Abre una ventana nueva y accede a tu cuenta de AWS, selecciona la página IAM y, luego, haz clic en Funciones.
    2. Selecciona Crear función.
    3. Seleccione Otra cuenta de AWS.
    4. En el cuadro de texto ID de cuenta, ingresa el ID de cuenta que se muestra en la página Autorizar AWS para Monitoring de Google Cloud Console.
    5. Marca Requerir ID externo.
    6. En el cuadro de texto ID externo, ingresa el ID externo que se muestra en la página Autorizar AWS para Monitoring de Google Cloud Console.
    7. Desmarque la opción Requerir MFA y haga clic en Siguiente: Permisos.
    8. En la barra de búsqueda de permisos, ingresa ReadOnlyAccess y, luego, selecciona ReadOnlyAccess.
    9. Expande Establecer límites de permisos y asegúrate de que la opción Crear función sin un límite de permisos esté marcada.
    10. Haz clic en Siguiente: Etiquetas.
    11. Haga clic en Siguiente: Revisión.
    12. Ingresa un nombre y una descripción para la función, y haz clic en Crear función.
    13. Selecciona la función que creaste para abrir la página Resumen. Copia la función de ARN en tu portapapeles.
  7. En Google Cloud Console, pega la función de ARN de AWS en el cuadro de texto Función de ARN y, luego, haz clic en Agregar cuenta de AWS.

    Después de un momento, se confirmará la conexión.

Proyectos de conector AWS

En la página Configuración, el panel Cuentas supervisadas incluye el ID del proyecto de conector de AWS:

Descripción de tu cuenta de AWS [YOUR_AWS_ACCOUNT_NUMBER]
Conectada a [CONNECTOR_PROJECT_ID]

En el ejemplo anterior, se ilustra lo siguiente:

  • [YOUR_AWS_ACCOUNT_NUMBER] representa el número de cuenta de tu cuenta de AWS.
  • [CONNECTOR_PROJECT_ID] representa el proyecto de conector en el que recibes registros y métricas de tu cuenta de AWS y configuras la autorización para agentes y otras aplicaciones de AWS que necesitan acceder a Google Cloud.

Próximo paso: Autoriza aplicaciones

Soluciona problemas

Si un mensaje de error indica que tu cuenta de AWS ya está siendo supervisada, verifica lo siguiente:

  • Si ya conectaste tu cuenta de AWS a Google Cloud, ya existe un proyecto de conector de AWS. No puedes crear varios proyectos de conector de AWS para la misma cuenta.

    Para obtener información sobre cómo agregar un proyecto de conector de AWS existente a un proyecto de Google Cloud, consulta cómo agregar proyectos de conectores de AWS AWS a un alcance de métricas.

  • Verifica que ingresaste el ID de cuenta y el ID externo para tu alcance de métricas actual cuando creaste tu función de AWS. El ID externo es único para cada alcance de las métricas.

Autoriza aplicaciones

Debes autorizar aplicaciones de AWS si quieres realizar alguna de las siguientes acciones:

  • Ejecuta los agentes de Monitoring o Logging en tus instancias de Amazon EC2.
  • Usas cualquier servicio de Google Cloud desde las aplicaciones de AWS.

Para autorizar las aplicaciones que se ejecutan en AWS y acceder a los servicios de Google Cloud, otórgales acceso a una cuenta de servicio de Google Cloud con funciones de Google Cloud IAM adecuadas.

Con una sola cuenta de servicio, puedes autorizar varias instancias de Amazon EC2 y aplicaciones en la misma cuenta de AWS, o puedes crear varias cuentas de servicio.

Cree una cuenta de servicio

Para crear la cuenta de servicio, haz lo siguiente:

  1. Ve a la página IAM y administración > Cuentas de servicio de tu proyecto de conector:

    Ir a Cuentas de servicio

  2. Selecciona el proyecto de conector de AWS para tu cuenta de AWS.

  3. Es probable que tu proyecto de conector no tenga cuentas de servicio, por lo que se te pedirá crear una. Haz clic en Crear cuenta de servicio y escribe la siguiente información:

    • En el campo Nombre de la cuenta de servicio (Service account name), ingresa Monitoring agent authorization y haz clic en Create (Crear).

      Crear una cuenta de servicio.

    • En el cuadro de diálogo Permisos de la cuenta de servicio (Service account permissions), selecciona las siguientes funciones y, luego, haz clic en Continuar (Continue):

      • Monitoring > Supervisar la métrica escrita
      • Logging > Escritor de registros

      Crear una cuenta de servicio.

  4. Haga clic en Listo.

  5. Modifica tu cuenta de servicio nueva para que incluya una clave de servicio:

    1. Haz clic en Más opciones y selecciona Administrar claves.
    2. Selecciona Agregar clave y asegúrate de que el Tipo de clave esté configurado como JSON.

    El archivo de clave privada de la cuenta de servicio se descarga en tu estación de trabajo con un nombre como Downloads/[PROJECT_NAME]-[KEY_ID].json.

    Aquí:

    • [PROJECT_NAME] representa el nombre de tu proyecto de Google Cloud.
    • [KEY_ID] representa la clave privada generada.

    Para simplificar las siguientes instrucciones, guarda la ubicación del archivo de credenciales en la variable CREDS de tu estación de trabajo:

    CREDS="Downloads/[PROJECT_NAME]-[KEY_ID].json"
    

Agrega una cuenta de servicio a una instancia de VM

Para agregar una cuenta de servicio, haz lo siguiente:

  1. En tu estación de trabajo, copia el archivo de credenciales de clave privada en tu instancia de Amazon EC2 y guárdalo en un archivo llamado temp.json. En el comando scp, especifica la ruta a key.pem, tu archivo de par de llaves SSH de AWS y proporciona tus credenciales de AWS:

    KEY="/path/to/key.pem"
    scp -i "$KEY" "$CREDS" AWS_USERNAME@AWS_HOSTNAME:temp.json
    
  2. En tu instancia de Amazon EC2, mueve las credenciales a /etc/google/auth/application_default_credentials.json:

    GOOGLE_APPLICATION_CREDENTIALS="/etc/google/auth/application_default_credentials.json"
    sudo mkdir -p $(dirname "$GOOGLE_APPLICATION_CREDENTIALS")
    sudo mv "$HOME/temp.json" "$GOOGLE_APPLICATION_CREDENTIALS"
    
  3. Restringe el acceso a las credenciales de clave privada para la cuenta de servicio (opcional). Por ejemplo:

    sudo chown root:root "$GOOGLE_APPLICATION_CREDENTIALS"
    sudo chmod 0400 "$GOOGLE_APPLICATION_CREDENTIALS"
    
  4. Asegúrate de que la variable de entorno GOOGLE_APPLICATION_CREDENTIALS sea visible para los agentes y otras aplicaciones autorizadas con el fin de usar Google Cloud. Las bibliotecas cliente estándar de Google Cloud entienden el nombre de la variable de entorno.

Instala los agentes

  1. Instala el agente de Cloud Monitoring en tu instancia de Amazon EC2 (opcional). Si bien Cloud Monitoring puede acceder a algunas métricas de instancia sin el agente de Monitoring, incluida la información de uso de CPU y tiempo de actividad, el agente de Monitoring proporciona métricas para un conjunto más amplio de recursos del sistema y servicios de aplicaciones.

    Para instalar el agente de Cloud Monitoring, consulta Instala el agente de Cloud Monitoring y selecciona las instrucciones según tu sistema operativo. Estas instrucciones incluyen información sobre cómo verificar que el agente se ejecute y un vínculo a una guía de solución de problemas.

  2. Instala el agente de Cloud Logging, que transmite los registros a Cloud Logging, en tu instancia de Amazon EC2 (opcional). Consulta Instala el agente de Cloud Logging y selecciona las instrucciones según el sistema operativo. Estas instrucciones incluyen información sobre cómo verificar que el agente se ejecute y un vínculo a una guía de solución de problemas.

Usa los servicios de Monitoring con AWS

En esta sección, se muestra cómo usar los servicios de Monitoring con tu cuenta de AWS.

Cree una verificación de tiempo de actividad y una política de alertas

Para crear una verificación de tiempo de actividad, haz lo siguiente:

  1. En Cloud Console, selecciona Monitoring:

    Ir a Monitoring

  2. En el panel de navegación, haz clic en Verificaciones de tiempo de actividad.

  3. Haga clic en Crear una verificación de tiempo de actividad.

    Crea un diálogo de verificación de tiempo de actividad.

  4. En el título, ingresa My Uptime Check y, luego, haz clic en Siguiente.

  5. Destino:

    1. Asegúrate de que esté seleccionado HTTP para el protocolo.
    2. Selecciona cualquier recurso disponible para el Tipo de recurso.
    3. Completa los campos adicionales según sea necesario.
    4. Haga clic en Next.
  6. Validación de respuestas: Deja estos campos con sus valores predeterminados y haz clic en Siguiente.

  7. Alerta y notificación:

    • Asegúrate de que la etiqueta para activar o desactivar esté como Alertas habilitadas.
    • Deja los campos de nombre y duración en sus valores predeterminados.
    • Para agregar un canal de notificación a la política de alertas, en el cuadro de texto etiquetado Canales de notificaciones, haz clic en Menú. Selecciona los canales que quieres agregar y haz clic en Aceptar. Los canales de notificaciones se agrupan alfabéticamente por cada tipo de canal.

      Para agregar una entrada a la lista de casillas de verificación, haz clic en Administrar canales de notificaciones y sigue las instrucciones. Cuando regreses a este cuadro de diálogo, haz clic en Actualizar.

  8. Para verificar la configuración de verificación de tiempo de actividad, haz clic en Probar (Test). Si ves el mensaje “Error de conexión: rechazado”, es posible que no esté instalado el Servidor HTTP Apache o que hayas especificado HTTPS en lugar de HTTP como tipo de verificación. Para obtener información sobre otros errores, consulta Verifica tu tiempo de actividad.

  9. Haga clic en Crear. Cuando la acción de creación se realiza correctamente, se muestra el mensaje Verificar y alerta creada y, luego, se muestra la página del panel Verificaciones de tiempo de actividad.

    En el panel de verificaciones de tiempo de actividad, aparece la nueva verificación de tiempo de actividad. Si haces clic en el nombre de la verificación, abre la vista detallada para esa verificación. En esta vista, se muestran varios gráficos, el porcentaje de tiempo de actividad y la información de configuración, y se enumeran las políticas de alertas configuradas. Para ver una política en particular, haz clic en su nombre.

    También puedes ver la política de alertas desde la página Alertas. En la página de alertas, en el panel Políticas, se muestra un subconjunto de políticas. Para ver una lista de todas las políticas, haz clic en Ver todas las políticas.

Cree un panel y un gráfico

Para mostrar las métricas que recopiló Monitoring, crea un gráfico y un panel:

Para crear un panel con el editor de vista previa, sigue estos pasos:

  1. En Google Cloud Console, ve a la página Supervisión.

    Ir a Monitoring

  2. En la página Descripción general de los paneles, haz clic en Crear panel.

  3. (Opcional) Actualiza el título del panel con un nombre descriptivo para tu panel.

  4. Agrega un gráfico de Gráfico de líneas al panel arrastrando esa entrada de la Biblioteca de widgets al área del gráfico.

  5. En la sección titulada ¿Qué datos quieres ver?, haz lo siguiente:

    1. Haz clic en Borrar recurso y métrica.
    2. En el Tipo de recurso, ingresa Amazon y selecciona un tipo de recurso Amazon.
    3. En Métrica, selecciona una entrada del menú.

    Puedes usar el cursor para cambiar el tamaño o la posición del gráfico.

  6. Para agregar un segundo gráfico de Gráfico de líneas al panel, haz clic en la barra de herramientas del panel para habilitar la Biblioteca de widgets, selecciona un tipo de trazado y, luego, arrástra esa entrada de la Biblioteca de widgets al área de gráfico.

Vea sus registros

Monitoring y Logging están estrechamente integrados.

  1. En Cloud Console, ve a Logging y selecciona el proyecto de conector de AWS.
  2. El Explorador de registros de tu proyecto de conector de AWS contiene los registros de AWS. Para cambiar el enfoque del Explorador de registros y ver los registros que deseas, sigue los pasos a continuación:

    • Ve a Proyecto de Google (Google Project) > Todos los project_id. Deberías ver al menos un registro de auditoría desde la configuración de tu proyecto de conector de AWS:

      Visor de registros de AWS.

    • Si instalaste el agente de Cloud Monitoring en tus instancias de Amazon EC2 admitidas, es posible que veas otras opciones de registro.

Limpia

Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta guía de inicio rápido.

  1. Quita tus gráficos y alertas de Monitoring. Ve a Monitoring:

    1. Borra tu política de alertas de Alertas.
    2. Borra tu verificación de tiempo de actividad de Alertas.
    3. Borra tus gráficos de Paneles.
  2. Haz clic en Configuración y selecciona la pestaña Resumen.

  3. En la sección Cuentas de AWS, identifica la cuenta de AWS que usaste para esta guía de inicio rápido, haz clic en Más y selecciona Quitar del lugar de trabajo.

  4. En tu cuenta de Amazon, borra la función IAM de AWS que creaste para el inicio rápido.

  5. En Google Cloud Console, borra tu proyecto de conector de AWS y, si lo creaste para esta guía de inicio rápido, tu proyecto de Google Cloud, Quickstart. Para borrar un proyecto, selecciona el proyecto, ve a IAM y administración, selecciona Configuración y, luego, haz clic en Apagar.

¿Qué sigue?