Início rápido para AWS

Este guia de início rápido mostra como conectar o Monitoring à sua conta da Amazon Web Services (AWS). Ele também mostra como instalar os agentes do Stackdriver Monitoring e Logging nas instâncias do EC2.

Antes de começar

Você precisará ter uma conta da AWS que não seja monitorada por um espaço de trabalho atualmente. Não é possível monitorar uma conta da AWS em mais de um espaço de trabalho.

Para desconectar uma conta da AWS de um espaço de trabalho, acesse Como remover um projeto de um espaço de trabalho.

Visão geral das etapas

Adicionar uma conta da AWS a um espaço de trabalho exige que você crie um projeto do Google Cloud para servir como projeto host do espaço de trabalho. Depois disso, adicione a ele a conta da AWS.

As etapas a seguir conectam sua conta da AWS ao Monitoring:

  1. Criar um novo projeto do Google Cloud.

  2. Criar um novo espaço de trabalho (recomendado) ou Conectar uma conta da AWS (se quiser usar um espaço de trabalho atual).

  3. Identificar o código de conta confiável e o código externo.

  4. Criar um papel da AWS usando o código da conta e o código externo.

  5. Conectar o espaço de trabalho e a conta da AWS usando o papel da AWS para criar um novo projeto de conector da AWS.

  6. Criar uma conta de serviço no projeto de conector da AWS para autorizar o acesso ao Google Cloud.

Todas essas etapas são descritas de forma detalhada nas seções a seguir.

Como configurar o espaço de trabalho

É recomendável Criar um novo espaço de trabalho para este guia de início rápido. No entanto, se você quiser usar um espaço de trabalho atual, pule para Conectar uma conta da AWS.

Nos dois casos, certifique-se de receber o código da conta e o código externo necessários para sua conta da AWS. Para mais informações, acesse Como conseguir o código da sua conta e o código externo.

Criar um projeto do Google Cloud

Para criar um projeto do Google Cloud:

  1. No Console do Cloud, acesse Novo projeto.

    Crie um novo projeto

  2. No campo Nome do projeto, digite Quickstart.

  3. Clique em Criar.

Conseguir código da conta e código externo

Para identificar o código de conta confiável e o código externo exigido pela AWS:

  1. Acesse o Monitoring

    Acessar o Monitoring

    Na primeira vez que você acessar o Monitoring para um projeto do Google Cloud, ele criará um espaço de trabalho e o associará ao projeto. Esse processo é automático, a menos que você tenha um espaço de trabalho com vários projetos. Nesse caso, é exibida uma caixa de diálogo solicitando que você selecione entre a criação de um espaço de trabalho e a adição do projeto a um espaço de trabalho atual. Selecione a opção para criar um espaço de trabalho.

  2. Faça o seguinte:

    • Se Configurações for exibido no painel de navegação, clique em Configurações e selecione a guia Resumo.

    • Caso contrário, na barra de ferramentas, clique em Menu e selecione Configurações do espaço de trabalho. Na página Configurações do espaço de trabalho, selecione Contas monitoradas.

  3. Clique em Adicionar conta da AWS.

  4. Registre o Código da conta e o Código externo. Você precisará desses dados para criar o Papel da AWS.

  5. Clique em Cancelar. Adicione a conta da AWS após a criação da função da AWS.

Como criar um papel da AWS

Para criar seu papel da AWS necessária para autorizar o Stackdriver Monitoring, você precisa ter o ID da conta e o ID externo do seu espaço de trabalho. Se não tiver esses IDs, siga as instruções em Como receber os códigos da conta e o externo.

Para criar o papel da AWS, siga as seguintes etapas:

  1. Faça login no console da AWS IAM e clique em Papéis no menu do lado esquerdo.
  2. Clique em Criar função e faça o seguinte:

    • Para o Tipo de papel, selecione Outra conta da AWS.
    • No campo ID da conta, insira o ID da conta fornecido pelo Monitoring.
    • Marque a caixa de seleção Código externo obrigatório.
    • No campo ID externo, insira o ID externo fornecido pelo Monitoring.
    • Não selecione MFA obrigatório.
  3. Clique em Avançar: permissões.

  4. Na lista suspensa Nome da política, selecione ReadOnlyAccess:

  5. Clique em Avançar: tags.

  6. (Opcional) Adicione metadados ao papel anexando tags como pares de chave-valor.

  7. Clique em Avançar: revisar e preencha ou verifique as informações abaixo:

    • No campo Nome da função, digite um nome como GoogleStackdriver.
    • (Opcional) No campo Descrição da função, insira o que você quiser.
    • No campo Entidades confiáveis, verifique se esse é o Código da conta inserido anteriormente.
    • No campo Políticas, verifique se o valor é ReadOnlyAccess.
  8. Na página AWS IAM, clique em Criar Papel.

  9. Na página Resumo, copie a string ARN da função para que você possa fornecê-la ao Monitoring. Caso você não veja o resumo, clique no nome da sua função (por exemplo, GoogleStackdriver) na lista de funções da AWS.

Como conectar uma conta da AWS

Para adicionar uma conta da AWS a um espaço de trabalho atual, faça o seguinte:

  1. No Console do Cloud, acesse Monitoring:

    Acessar o Monitoring

  2. Faça o seguinte:

    • Se Configurações for exibido no painel de navegação, clique em Configurações e selecione a guia Resumo.

    • Caso contrário, na barra de ferramentas, clique em Menu e selecione Configurações do espaço de trabalho. Na página Configurações do espaço de trabalho, selecione Contas monitoradas.

    O painel na captura de tela a seguir mostra que você está monitorando um único projeto do Google Cloud: o projeto de hospedagem do espaço de trabalho. Você ainda não está monitorando nenhuma conta da AWS.

    Como monitorar contas monitoradas.

  3. Clique em Adicionar conta da AWS. Insira o ID da conta e o ID externo de quando você criou um espaço de trabalho.

  4. Insira as seguintes informações no formulário:

    • No campo ARN da função, insira o ARN da função de Como criar uma função da AWS ou siga as instruções na página Adicionar conta da AWS para criar a função.
    • No campo Descrição da conta, insira uma breve descrição da conta da AWS. A primeira palavra ou as duas primeiras são usadas para criar um novo código do projeto.

      Como monitorar contas monitoradas da AWS.

  5. Clique em Adicionar conta da AWS. A conexão será confirmada em instantes.

Projetos de conector da AWS

Ao se conectar a uma conta da AWS, o Monitoring cria um projeto de conector da AWS para você. A página Contas monitoradas nas configurações do espaço de trabalho agora inclui o código deste projeto:

Descrição da sua conta da AWS [YOUR_AWS_ACCOUNT_NUMBER]
Conectado ao [CONNECTOR_PROJECT_ID]

Em que:

  • [YOUR_AWS_ACCOUNT_NUMBER] representa o número da sua conta da AWS.
  • [CONNECTOR_PROJECT_ID] representa o projeto do conector em que você recebe registros e métricas da sua conta da AWS e em que configura a autorização para agentes e outros aplicativos da AWS que precisam acessar o Google Cloud.

    O código do projeto do conector sempre começa com aws- e o nome do projeto sempre começa com AWS Link.

Próximo passo: como autorizar aplicativos da AWS

Solução de problemas

Se você receber a mensagem de que a conta da AWS já está sendo monitorada, siga estas etapas:

  • Se outro espaço de trabalho estiver monitorando sua conta da AWS, será preciso removê-la. Não é possível monitorar uma conta da AWS em mais de um espaço de trabalho. Para desconectar uma conta da AWS de um espaço de trabalho, acesse Como remover um projeto de um espaço de trabalho.

  • Essa mensagem também aparece se você não usou o Código da conta e o Código externo corretos do seu espaço de trabalho atual quando criou o Papel AWS. O Código externo é único para cada espaço de trabalho.

Como autorizar aplicativos da AWS

É necessário executar as etapas a seguir se você fizer uma destas ações:

  • Execute os agentes do Monitoring ou do Logging nas instâncias de VM da AWS.
  • Use qualquer serviço do Google Cloud dos aplicativos da AWS.

Para autorizar que os aplicativos em execução na AWS acessem os serviços do Google Cloud, conceda a eles acesso a uma conta de serviço do Google Cloud que tenha funções adequadas do Google Cloud IAM.

Uma única conta de serviço pode autorizar várias instâncias de VM e aplicativos da AWS na mesma conta da AWS ou pode criar várias contas de serviço.

Criar uma conta de serviço

Para criar a conta de serviço, faça o seguinte:

  1. Acesse a página IAM e Administrador > Contas de serviço para o projeto do conector:

    Acessar Contas de serviço

  2. Selecione o projeto do conector da AWS (chamado AWS Link...) para sua conta da AWS.

  3. O projeto de conector provavelmente não tem contas de serviço, então será solicitado que você crie uma. Clique em Criar conta de serviço e insira as seguintes informações:

    • No campo Nome da conta de serviço, insira Stackdriver agent authorization.
    • No campo Papel, adicione os dois seguintes valores:

      • Monitoring > Gravador de métricas do Monitoring
      • Logging > Gravador de registros
    • Marque a caixa de seleção Fornecer uma nova chave privada.

    • Para Tipo de chave, clique em JSON.

    • Desmarque a caixa de seleção Ativar a delegação em todo o domínio G Suite.

      Criar conta de serviço.

  4. Clique em Criar. O arquivo de chave privada da conta de serviço é transferido por download para sua estação de trabalho com um nome como Downloads/[PROJECT_NAME]-[KEY_ID].json.

    Em que:

    • [PROJECT_NAME] representa o nome do seu projeto do Google Cloud.
    • [KEY_ID] representa a chave privada gerada.

    Para tornar mais simples as instruções a seguir, salve o local do arquivo de credenciais na variável CREDS em sua estação de trabalho:

    CREDS="Downloads/[PROJECT_NAME]-[KEY_ID].json"
    

Adicionar uma conta de serviço a uma instância de VM

Para adicionar uma conta de serviço, faça o seguinte:

  1. Em sua estação de trabalho, copie o arquivo de credenciais de chave privada para sua instância do EC2 da AWS e salve-o em um arquivo chamado temp.json. No comando scp, especifique o caminho para key.pem, seu arquivo de par de chaves SSH da AWS e forneça suas credenciais da AWS:

    KEY="/path/to/key.pem"
    scp -i "$KEY" "$CREDS" AWS_USERNAME@AWS_HOSTNAME:temp.json
    
  2. Na instância do EC2, mova as credenciais para /etc/google/auth/application_default_credentials.json:

    GOOGLE_APPLICATION_CREDENTIALS="/etc/google/auth/application_default_credentials.json"
    sudo mkdir -p $(dirname "$GOOGLE_APPLICATION_CREDENTIALS")
    sudo mv "$HOME/temp.json" "$GOOGLE_APPLICATION_CREDENTIALS"
    
  3. (Opcional) Acesso restrito às credenciais de chave privada da conta de serviço. Por exemplo:

    sudo chown root:root "$GOOGLE_APPLICATION_CREDENTIALS"
    sudo chmod 0400 "$GOOGLE_APPLICATION_CREDENTIALS"
    
  4. Certifique-se de que a variável de ambiente GOOGLE_APPLICATION_CREDENTIALS esteja visível para os agentes e outros aplicativos que estão autorizados a usar o Google Cloud. O nome da variável de ambiente é compreendido pelas bibliotecas de cliente padrão do Google Cloud.

Instalar os agentes

  1. (Opcional): execute os seguintes comandos na instância do EC2 para instalar os agentes do Stackdriver Monitoring e Logging:

    curl -sSO https://dl.google.com/cloudagents/install-monitoring-agent.sh
    sudo bash install-monitoring-agent.sh
    
    curl -sSO https://dl.google.com/cloudagents/install-logging-agent.sh
    sudo bash install-logging-agent.sh --structured
    

    A sinalização --structured permite que o agente do Logging envie dados estruturados para o Stackdriver Logging. Para mais informações, acesse Operações de geração de registros estruturadas.

  2. Verifique se os agentes estão em execução.

    ps ax | grep fluentd
    ps ax | grep collectd
    

    A saída será semelhante a esta:

    [PROCESS_ID] ?    Sl   0:00 /opt/google-fluentd/embedded/bin/ruby /usr/sbin/google-fluentd ...
    [PROCESS_ID] ?    Ssl  0:00 /opt/stackdriver/collectd/sbin/stackdriver-collectd ...
    

Como usar os serviços do Monitoring com a AWS

Esta seção mostra como usar os serviços do Monitoring com sua conta da AWS.

Crie uma verificação de tempo de atividade

As verificações de tempo de atividade conferem se o servidor da Web for acessível em locais do mundo todo. A política de alertas controla quem será notificado se as verificações falharem.

Para criar uma verificação de tempo de atividade, faça o seguinte:

  1. Acesse o Monitoring:

    Acessar o Monitoring

    Na primeira vez que você acessar o Monitoring para um projeto do Google Cloud, ele criará um espaço de trabalho e o associará ao projeto. Esse processo é automático, a menos que você tenha um espaço de trabalho com vários projetos. Nesse caso, é exibida uma caixa de diálogo solicitando que você selecione entre a criação de um espaço de trabalho e a adição do projeto a um espaço de trabalho atual. Selecione a opção para criar um espaço de trabalho.

  2. Se o convite Criar uma verificação de tempo de atividade aparecer no painel, clique nele. Caso contrário, acesse Verificações de tempo de atividade e selecione Criar verificação de tempo de atividade.

  3. Na janela Nova verificação de tempo de atividade, preencha os seguintes campos:

    • No campo Título, insira My Uptime Check.
    • No menu Verificar tipo, selecione HTTP.
    • No menu Tipo de recurso, escolha um recurso disponível
    • Dependendo do tipo de recurso selecionado, é possível ter mais alguns campos.

      Exibição da nova caixa de diálogo de verificação de tempo de atividade com os campos padrão.

  4. Para conferir se a verificação de tempo de atividade está funcionando, clique em Testar. Se vir uma mensagem Connection error - refused, você não instalou o Servidor HTTP Apache ou você pode ter especificado o tipo de verificação HTTPS em vez de HTTP. Para outros erros, acesse Conferir a verificação de tempo de atividade.

  5. Clique em Salvar.

Criar uma política de alerta

  1. No painel Verificação de tempo de atividade criada, clique em Criar política de alertas.

    Exibição da caixa de diálogo Verificação de tempo de atividade criada.

  2. No campo Condição sem título, insira um título para a condição da política de alertas. Todos os outros campos no painel de condições são preenchidos automaticamente com base na verificação de tempo de atividade criada.

    Exibição da caixa de diálogo de condição de criação com configurações padrão.

  3. Clique em Salvar.

  4. Insira My Uptime Check Policy como o Nome da política de alertas.

    Exibição da caixa de diálogo Criar nova política de alertas com configurações padrão.

  5. (Opcional) Para configurar uma notificação por e-mail, clique em Adicionar canal de notificações, selecione E-mail no menu, insira seu endereço de e-mail e clique em Adicionar.

  6. Clique em Salvar. Você verá um resumo da política.

Criar um painel e um gráfico

Para exibir as métricas coletadas pelo Monitoring, conclua os seguintes passos:

  1. Acesse o Monitoring:

    Acessar o Monitoring

  2. Selecione Painéis e selecione Criar painel.

  3. Insira Quickstart dashboard como o nome do painel e clique em Confirmar.

  4. Clique em Adicionar gráfico.

  5. Verifique se a guia Métrica está selecionada:

    Exiba a caixa de diálogo Adicionar gráfico com as configurações padrão.

  6. No cabeçalho "Encontrar tipo de recurso e métrica", clique na caixa de texto e selecione uma métrica da AWS.

  7. Clique em Salvar.

Ver os registros

O Monitoring e o Logging são totalmente integrados.

  1. No Console do Cloud, acesse Logging e selecione Link da AWS.
  2. O Visualizador de registros do projeto do conector da AWS contém os registros da AWS. Altere o foco do visualizador de registros para ver os registros que quiser:

    • Acesse Projeto do Google > Todos os project_id. Você precisa ver pelo menos um registro de auditoria da configuração do seu projeto de conector da AWS:

      Visualizador de registros da AWS.

    • Se você tiver instalado o agente do Stackdriver Monitoring nas instâncias de VM da AWS compatíveis, outras opções de registro serão exibidas.

Fazer a limpeza

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados neste guia de início rápido, siga estas etapas:

  1. Remova seus gráficos e alertas do Monitoring. Acesse o Monitoring:

    1. Exclua sua política de alertas de Alertas.
    2. Exclua sua verificação de tempo de atividade de Alertas.
    3. Exclua seus gráficos dos Painéis.
  2. No Monitoring, faça o seguinte:

    • Se Configurações aparecer no painel de navegação, clique em Configurações e selecione a guia Resumo. Na seção Contas monitoradas, remova sua conta da AWS.
    • Caso contrário, na barra de ferramentas, clique em Menu e selecione Configurações do espaço de trabalho. Na página Configurações do espaço de trabalho, selecione Contas monitoradas e remova sua conta da AWS.
  3. Na conta da Amazon, exclua o papel de IAM da AWS que você criou para o início rápido.

  4. No Console do Google Cloud, exclua o projeto do conector da AWS e, se você o criou para este guia de início rápido, seu projeto do Google Cloud, aws-quickstart. Para excluir um projeto, selecione-o, acesse IAM e Administrador e selecione Configurações. Em seguida, clique em Excluir projeto.

A seguir

  • Acesse Métricas compatíveis para ver uma lista de todas as métricas integradas. Há mais de 500 métricas para a Amazon AWS. Se quiser criar suas próprias métricas do Monitoring, acesse Métricas personalizadas.

  • Para usar a API Monitoring, acesse a Referência da API.

  • Para saber mais informações sobre os registros e as relações com monitoramento, acesse Logging.