Início rápido para AWS

Este guia de início rápido mostra como conectar o Monitoring à sua conta da Amazon Web Services (AWS). Ele também mostra como instalar os agentes do Stackdriver Monitoring e Logging nas instâncias do EC2.

Antes de começar

Você precisará ter uma conta da AWS que não seja monitorada por um espaço de trabalho atualmente. Não é possível monitorar uma conta da AWS em mais de um espaço de trabalho.

Para desconectar uma conta da AWS de um espaço de trabalho, acesse Como remover um projeto de um espaço de trabalho.

Visão geral das etapas

Adicionar uma conta da AWS a um espaço de trabalho exige que você crie um projeto do Google Cloud para servir como projeto host do espaço de trabalho. Depois disso, adicione a ele a conta da AWS.

As etapas a seguir conectam sua conta da AWS ao Monitoring:

  1. Criar um novo projeto do Google Cloud.

  2. Criar um novo espaço de trabalho (recomendado) ou Conectar uma conta da AWS (se quiser usar um espaço de trabalho atual).

  3. Identificar o código de conta confiável e o código externo.

  4. Criar um papel da AWS usando o código da conta e o código externo.

  5. Conectar o espaço de trabalho e a conta da AWS usando o papel da AWS para criar um novo projeto de conector da AWS.

  6. Criar uma conta de serviço no projeto de conector da AWS para autorizar o acesso ao Google Cloud.

Todas essas etapas são descritas de forma detalhada nas seções a seguir.

Como configurar o espaço de trabalho

É recomendável Criar um novo espaço de trabalho para este guia de início rápido. No entanto, se você quiser usar um espaço de trabalho atual, pule para Conectar uma conta da AWS.

Nos dois casos, certifique-se de receber o código da conta e o código externo necessários para sua conta da AWS. Para mais informações, acesse Como conseguir o código da sua conta e o código externo.

Criar um projeto do Google Cloud

Para criar um projeto do Google Cloud:

  1. No Console do Cloud, acesse Novo projeto.

    Crie um novo projeto

  2. No campo Nome do projeto, digite Quickstart.

  3. Clique em Criar.

Conseguir código da conta e código externo

Para identificar o código de conta confiável e o código externo exigido pela AWS:

  1. Acesse o Monitoring

    Acessar o Monitoring

    Na primeira vez que você acessar o Monitoring para um projeto do Google Cloud, ele criará um espaço de trabalho e o associará ao projeto. Esse processo é automático, a menos que você tenha um espaço de trabalho com vários projetos. Nesse caso, é exibida uma caixa de diálogo solicitando que você selecione entre a criação de um espaço de trabalho e a adição do projeto a um espaço de trabalho atual. Selecione a opção para criar um espaço de trabalho.

  2. Clique em Configurações e selecione a guia Resumo.

  3. Clique em Add AWS account.

  4. Registre o Código da conta e o Código externo. Você precisará desses dados para criar o Papel da AWS.

  5. Clique em Cancelar. Adicione a conta da AWS após a criação da função da AWS.

Como criar um papel da AWS

Para criar o papel da AWS necessário para autorizar o Cloud Monitoring, você precisa ter o ID da conta e ID externo do seu espaço de trabalho. Se não tiver esses IDs, siga as instruções em Como receber os códigos da conta e o externo.

Para criar o papel da AWS, siga as seguintes etapas:

  1. Faça login no console da AWS IAM e clique em Papéis no menu do lado esquerdo.
  2. Clique em Criar função e faça o seguinte:

    • Para o Tipo de papel, selecione Outra conta da AWS.
    • No campo ID da conta, insira o ID da conta fornecido pelo Monitoring.
    • Marque a caixa de seleção Código externo obrigatório.
    • No campo ID externo, insira o ID externo fornecido pelo Monitoring.
    • Não selecione MFA obrigatório.
  3. Clique em Avançar: permissões.

  4. Na lista suspensa Nome da política, selecione ReadOnlyAccess:

  5. Clique em Avançar: tags.

  6. (Opcional) Adicione metadados ao papel anexando tags como pares de chave-valor.

  7. Clique em Avançar: revisar e preencha ou verifique as informações abaixo:

    • No campo Nome da função, digite um nome como GoogleStackdriver.
    • (Opcional) No campo Descrição da função, insira o que você quiser.
    • No campo Entidades confiáveis, verifique se esse é o Código da conta inserido anteriormente.
    • No campo Políticas, verifique se o valor é ReadOnlyAccess.
  8. Na página AWS IAM, clique em Criar Papel.

  9. Na página Resumo, copie a string ARN da função para que você possa fornecê-la ao Monitoring. Caso você não veja o resumo, clique no nome da sua função (por exemplo, GoogleStackdriver) na lista de funções da AWS.

Como conectar uma conta da AWS

Para adicionar uma conta da AWS a um espaço de trabalho atual, faça o seguinte:

  1. No Console do Cloud, acesse Monitoring:

    Acessar Monitoring

  2. Clique em Configurações e selecione a guia Resumo.

    O painel na captura de tela a seguir mostra que você está monitorando um único projeto do Google Cloud: o projeto de hospedagem do espaço de trabalho. Você ainda não está monitorando nenhuma conta da AWS.

    Como monitorar contas monitoradas.

  3. Clique em Adicionar conta da AWS. Insira o ID da conta e o ID externo de quando você criou um espaço de trabalho.

  4. Insira as seguintes informações no formulário:

    • No campo ARN da função, insira o ARN da função de Como criar uma função da AWS ou siga as instruções na página Adicionar conta da AWS para criar a função.
    • No campo Descrição da conta, insira uma breve descrição da conta da AWS. A primeira palavra ou as duas primeiras são usadas para criar um novo código do projeto.

      Como monitorar contas monitoradas da AWS.

  5. Clique em Adicionar conta da AWS. A conexão será confirmada em instantes.

Projetos de conector da AWS

Ao se conectar a uma conta da AWS, o Monitoring cria um projeto de conector da AWS para você. A página Contas monitoradas nas configurações do espaço de trabalho agora inclui o código deste projeto:

Descrição da sua conta da AWS [YOUR_AWS_ACCOUNT_NUMBER]
Conectado ao [CONNECTOR_PROJECT_ID]

Em que:

  • [YOUR_AWS_ACCOUNT_NUMBER] representa o número da sua conta da AWS.
  • [CONNECTOR_PROJECT_ID] representa o projeto do conector em que você recebe registros e métricas da sua conta da AWS e em que configura a autorização para agentes e outros aplicativos da AWS que precisam acessar o Google Cloud.

    O código do projeto do conector sempre começa com aws- e o nome do projeto sempre começa com AWS Link.

Próximo passo: como autorizar aplicativos da AWS

Solução de problemas

Se você receber a mensagem de que a conta da AWS já está sendo monitorada, siga estas etapas:

  • Se outro espaço de trabalho estiver monitorando sua conta da AWS, será preciso removê-la. Não é possível monitorar uma conta da AWS em mais de um espaço de trabalho. Para desconectar uma conta da AWS de um espaço de trabalho, acesse Como remover um projeto de um espaço de trabalho.

  • Essa mensagem também aparece se você não usou o Código da conta e o Código externo corretos do seu espaço de trabalho atual quando criou o Papel AWS. O Código externo é único para cada espaço de trabalho.

Como autorizar aplicativos da AWS

É necessário executar as etapas a seguir se você fizer uma destas ações:

  • Execute os agentes do Monitoring ou do Logging nas instâncias de VM da AWS.
  • Use qualquer serviço do Google Cloud dos aplicativos da AWS.

Para autorizar que os aplicativos em execução na AWS acessem os serviços do Google Cloud, conceda a eles acesso a uma conta de serviço do Google Cloud que tenha funções adequadas do Google Cloud IAM.

Uma única conta de serviço pode autorizar várias instâncias de VM e aplicativos da AWS na mesma conta da AWS ou pode criar várias contas de serviço.

Criar uma conta de serviço

Para criar a conta de serviço, faça o seguinte:

  1. Acesse a página IAM e Administrador > Contas de serviço para o projeto do conector:

    Acessar Contas de serviço

  2. Selecione o projeto do conector da AWS (chamado AWS Link...) para sua conta da AWS.

  3. O projeto de conector provavelmente não tem contas de serviço, então será solicitado que você crie uma. Clique em Criar conta de serviço e insira as seguintes informações:

    • No campo Nome da conta de serviço, insira Monitoring agent authorization e clique em Criar.

      Criar conta de serviço.

    • Na caixa de diálogo Permissões de conta de serviço, selecione as seguintes funções e clique em Continuar:

      • Monitoring > Gravador de métricas do Monitoring
      • Logging > Gravador de registros

      Criar conta de serviço.

    • Na caixa de diálogo Criar chave, clique em Criar chave e selecione JSON.

  4. Clique em Done. O arquivo de chave privada da conta de serviço é transferido por download para sua estação de trabalho com um nome como Downloads/[PROJECT_NAME]-[KEY_ID].json.

    Em que:

    • [PROJECT_NAME] representa o nome do seu projeto do Google Cloud.
    • [KEY_ID] representa a chave privada gerada.

    Para tornar mais simples as instruções a seguir, salve o local do arquivo de credenciais na variável CREDS em sua estação de trabalho:

    CREDS="Downloads/[PROJECT_NAME]-[KEY_ID].json"
    

Adicionar uma conta de serviço a uma instância de VM

Para adicionar uma conta de serviço, faça o seguinte:

  1. Em sua estação de trabalho, copie o arquivo de credenciais de chave privada para sua instância do EC2 da AWS e salve-o em um arquivo chamado temp.json. No comando scp, especifique o caminho para key.pem, seu arquivo de par de chaves SSH da AWS e forneça suas credenciais da AWS:

    KEY="/path/to/key.pem"
    scp -i "$KEY" "$CREDS" AWS_USERNAME@AWS_HOSTNAME:temp.json
    
  2. Na instância do EC2, mova as credenciais para /etc/google/auth/application_default_credentials.json:

    GOOGLE_APPLICATION_CREDENTIALS="/etc/google/auth/application_default_credentials.json"
    sudo mkdir -p $(dirname "$GOOGLE_APPLICATION_CREDENTIALS")
    sudo mv "$HOME/temp.json" "$GOOGLE_APPLICATION_CREDENTIALS"
    
  3. (Opcional) Acesso restrito às credenciais de chave privada da conta de serviço. Por exemplo:

    sudo chown root:root "$GOOGLE_APPLICATION_CREDENTIALS"
    sudo chmod 0400 "$GOOGLE_APPLICATION_CREDENTIALS"
    
  4. Certifique-se de que a variável de ambiente GOOGLE_APPLICATION_CREDENTIALS esteja visível para os agentes e outros aplicativos que estão autorizados a usar o Google Cloud. O nome da variável de ambiente é compreendido pelas bibliotecas de cliente padrão do Google Cloud.

Instalar os agentes

  1. (Opcional) Instale o agente do Cloud Monitoring na instância do EC2. Embora o Cloud Monitoring possa acessar algumas métricas de instância sem o agente do Monitoring, incluindo a utilização da CPU e as informações de tempo de atividade, o agente do Monitoring fornece um conjunto mais amplo de recursos do sistema e serviços de aplicativos.

    Para instalar o agente do Cloud Monitoring, consulte Como instalar o agente do Cloud Monitoring e selecione as instruções com base no seu sistema operacional. Estas instruções incluem informações sobre como verificar se o agente está em execução e um link para um guia de solução de problemas.

  2. (Opcional) Na instância do EC2, instale o agente do Cloud Logging, que transmite registros para o Cloud Logging. Consulte Como instalar o agente do Cloud Logging e selecione as instruções com base no seu sistema operacional. Estas instruções incluem informações sobre como verificar se o agente está em execução e um link para um guia de solução de problemas.

Como usar os serviços do Monitoring com a AWS

Esta seção mostra como usar os serviços do Monitoring com sua conta da AWS.

Crie uma verificação de tempo de atividade e uma política de alertas

Há dois fluxos de usuário diferentes para criar uma verificação de tempo de atividade. Você é atribuído a um dos fluxos aleatoriamente. Esta seção contém instruções para ambos os fluxos.

Novo fluxo

  1. No Console do Cloud, selecione Monitoring:

    Acessar Monitoring

    Na primeira vez que você acessar o Monitoring para um projeto do Google Cloud, ele criará um espaço de trabalho e o associará ao projeto. Esse processo é automático, a menos que você tenha um espaço de trabalho com vários projetos. Nesse caso, é exibida uma caixa de diálogo solicitando que você selecione entre a criação de um espaço de trabalho e a adição do projeto a um espaço de trabalho atual. Selecione a opção para criar um espaço de trabalho.

  2. Clique em Uptime checks.

  3. Clique em Criar verificação de tempo de atividade.

  4. Se a janela Criar verificação de tempo de atividade for semelhante à captura de tela a seguir, siga estas instruções. Caso contrário, clique na guia Fluxo clássico nesta tabela e continue com estas instruções:

    Crie uma caixa de diálogo da verificação de tempo de atividade.

  5. Para o título, digite My Uptime Check e clique em Avançar.

  6. Destino:

    1. Verifique se o protocolo selecionado é HTTP.
    2. Selecione qualquer recurso disponível para o Tipo de recurso.
    3. Preencha os outros campos conforme necessário.
    4. Clique em Next.
  7. Validação de resposta: deixe esses campos com os valores padrão e clique em Próximo.

  8. Alerta e notificação:

    • Verifique se o rótulo do seletor é O alerta está ativado.
    • Deixe os campos de nome e duração nos valores padrão.
    • Para adicionar um canal de notificação à política de alertas, na caixa de texto Canais de notificação, clique em Menu. Selecione os canais a serem adicionados e clique em OK. As notificações são agrupadas em ordem alfabética para cada tipo de canal.

      Para adicionar uma entrada à lista de caixas de seleção, clique em Gerenciar canal de notificação e siga as instruções. Ao retornar a essa caixa de diálogo, clique em Atualizar .

  9. Para verificar a configuração da verificação de tempo de atividade, clique em Test. Se a mensagem "Connection error - refused" for exibida, talvez você não tenha instalado o servidor HTTP Apache ou tenha especificado o tipo de verificação HTTPS em vez de HTTP. Para outros erros, consulte Conferir a verificação de tempo de atividade.

  10. Clique em Criar Quando a ação de criação é bem-sucedida, um banner exibe Verificação e alerta criados. A janela Verificações de tempo de atividade lista a nova verificação e contém um link para o painel das verificações de tempo de atividade. A janela Alerta lista a nova política de alertas e contém um link para o painel de políticas. Se faltarem dados obrigatórios, a ação de criação falhará e uma lista de campos que exigem dados será exibida ao lado dos botões da caixa de diálogo.

Fluxo clássico

Para criar uma verificação de tempo de atividade, faça o seguinte:

  1. Acesse o Monitoring:

    Acessar o Monitoring

    Na primeira vez que você acessar o Monitoring para um projeto do Google Cloud, ele criará um espaço de trabalho e o associará ao projeto. Esse processo é automático, a menos que você tenha um espaço de trabalho com vários projetos. Nesse caso, é exibida uma caixa de diálogo solicitando que você selecione entre a criação de um espaço de trabalho e a adição do projeto a um espaço de trabalho atual. Selecione a opção para criar um espaço de trabalho.

  2. Clique em Uptime checks.

  3. Clique em Criar verificação de tempo de atividade.

  4. Se a janela Nova verificação de tempo de atividade for semelhante à captura de tela a seguir, siga essas instruções. Caso contrário, clique na guia Novo fluxo na tabela e continue com estas instruções:

    Exibição da caixa de diálogo

  5. Preencha os campos a seguir da verificação de tempo de atividade:

    • Em Title, insira My Uptime Check.
    • No menu Check type, selecione HTTP.
    • Selecione qualquer recurso disponível para o Tipo de recurso.
    • Preencha os outros campos conforme necessário.
    • Não altere os valores padrão dos outros campos.
  6. Para conferir se a verificação de tempo de atividade está funcionando, clique em Test. Se a mensagem "Connection error - refused" for exibida, talvez você não tenha instalado o servidor HTTP Apache ou tenha especificado o tipo de verificação HTTPS em vez de HTTP. Para outros erros, consulte Conferir a verificação de tempo de atividade.

  7. Clique em Save. A caixa de diálogo de confirmação é exibida:

    Exibição da caixa de diálogo Verificação de tempo de atividade criada.

Criar uma política de alertas

  1. No painel Uptime Check Created, clique em Create Alerting Policy.

  2. No campo Untitled Condition, insira um título para a condição da política de alertas. Todos os outros campos no painel de condições são preenchidos automaticamente com base na verificação de tempo de atividade criada.

    Exibição da caixa de diálogo

  3. Clique em Salvar.

  4. Insira My Uptime Check Policy como o Nome da política de alertas.

    Exibição da caixa de diálogo Criar nova política de alertas com configurações padrão.

  5. (Opcional) Para configurar uma notificação por e-mail, clique em Adicionar canal de notificações, selecione E-mail no menu, insira seu endereço de e-mail e clique em Adicionar.

  6. Clique em Salvar. Você verá um resumo da política.

Criar um painel e um gráfico

Para exibir as métricas coletadas pelo Monitoring, conclua os seguintes passos:

  1. Acesse o Monitoring:

    Acessar o Monitoring

  2. Selecione Painéis e selecione Criar painel.

  3. Insira Quickstart dashboard como o nome do painel e clique em Confirmar.

  4. Clique em Adicionar gráfico.

  5. Verifique se a guia Métrica está selecionada:

    Exiba a caixa de diálogo Adicionar gráfico com as configurações padrão.

  6. No cabeçalho "Encontrar tipo de recurso e métrica", clique na caixa de texto e selecione uma métrica da AWS.

  7. Clique em Salvar.

Ver os registros

O Monitoring e o Logging são totalmente integrados.

  1. No Console do Cloud, acesse Logging e selecione Link da AWS.
  2. O Visualizador de registros do projeto do conector da AWS contém os registros da AWS. Altere o foco do visualizador de registros para ver os registros que quiser:

    • Acesse Projeto do Google > Todos os project_id. Você precisa ver pelo menos um registro de auditoria da configuração do seu projeto de conector da AWS:

      Visualizador de registros da AWS.

    • Se você tiver instalado o agente do Cloud Monitoring nas instâncias de VM da AWS compatíveis, outras opções de registro serão exibidas.

Fazer a limpeza

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados neste guia de início rápido, siga estas etapas:

  1. Remova seus gráficos e alertas do Monitoring. Acesse o Monitoring:

    1. Exclua sua política de alertas de Alertas.
    2. Exclua sua verificação de tempo de atividade de Alertas.
    3. Exclua seus gráficos dos Painéis.
  2. Clique em Configurações e selecione a guia Resumo.

  3. Na seção intitulada Contas da AWS , identifique a conta do AWS que você usou para este Início rápido, clique em Mais e selecione Remover do espaço de trabalho.

  4. Na conta da Amazon, exclua o papel de IAM da AWS que você criou para o início rápido.

  5. No Console do Google Cloud, exclua o projeto do conector da AWS e, se você o criou para este guia de início rápido, seu projeto do Google Cloud, aws-quickstart. Para excluir um projeto, selecione o projeto, acesse IAM e administrador e selecione Configurações. Em seguida, clique em Encerrar.

A seguir

  • Acesse Métricas compatíveis para ver uma lista de todas as métricas integradas. Há mais de 500 métricas para a Amazon AWS. Se quiser criar suas próprias métricas do Monitoring, acesse Métricas personalizadas.

  • Para usar a API Monitoring, acesse a Referência da API.

  • Para saber mais informações sobre os registros e as relações com monitoramento, acesse Logging.