Início rápido do Amazon EC2

Este guia de início rápido mostra como coletar métricas do sistema de uma instância atual do Amazon Elastic Compute Cloud (Amazon EC2) e como visualizá-las no Cloud Monitoring.

Neste guia de início rápido, você fará o seguinte:

  1. Instale os agentes do Monitoring e do Logging nas instâncias do Amazon EC2.
  2. Configure sua conta da Amazon Web Services (AWS) para permitir o envio dos dados coletados pelos agentes para o Monitoring.
  3. Visualize e exiba esses dados.

Nesta página, o termo conectado significa que uma conta da AWS está configurada para enviar os dados coletados pelos agentes do Monitoring e Logging para o Cloud Monitoring.

Antes de começar

Para seguir estas instruções, é necessário ter uma conta do AWS que não seja monitorada pelo Google Cloud.

Visão geral das etapas

As etapas a seguir conectam sua conta da AWS ao Monitoring:

  1. Crie um projeto do Google Cloud para ser o projeto de escopo de um escopo de métricas que monitore sua conta da AWS.

  2. Conecte sua conta do AWS ao Google Cloud. Nesta etapa, você usa o ID da conta e o código externo fornecidos pelo Cloud Monitoring para criar um papel do Amazon IAM, além de criar um projeto de conector da AWS.

  3. Criar uma conta de serviço no projeto de conector da AWS para autorizar o acesso ao Google Cloud.

Todas essas etapas são descritas de forma detalhada nas seções a seguir.

Criar um projeto do Google Cloud

Para criar um projeto do Google Cloud, faça o seguinte:

  1. No Console do Cloud, acesse Novo projeto.

    Criar um novo projeto

  2. No campo Nome do projeto, digite Quickstart.

  3. Clique em Criar.

Como conectar uma conta da AWS

Para configurar uma conta da AWS e permitir que o Google Cloud leia as métricas, faça o seguinte:

  1. No seletor de projeto do Console do Google Cloud, selecione Quickstart. Este é o projeto do Google Cloud com o escopo de métricas que será modificado para incluir as métricas da conta da AWS.
  2. No painel de navegação do Console do Cloud, selecione Monitoring.

  3. Na página Configuração, clique em Criar projeto de conector da AWS.

    Figura ilustrando o botão "Criar".

  4. Na etapa Criar um projeto de conector, clique em Selecionar um projeto e crie um projeto.

  5. Clique em Próxima para avançar para a etapa Autorizar AWS para monitoramento.

  6. NaAutorizar a AWS para o Monitoring crie um papel do Amazon IAM que conceda acesso somente leitura ao Google Cloud para a conta da AWS e forneça o ARN do papel ao projeto do Google Cloud:

    Para criar o papel do IAM do AWS, faça o seguinte:

    1. Abra uma nova janela e faça login na sua conta da AWS, selecione a página IAM e clique em Papéis.
    2. Selecione Criar papel.
    3. Selecione Outra conta da AWS.
    4. Na caixa de texto ID da conta, insira o ID da conta exibido na página Autorizar AWS para monitoramento do Console do Google Cloud.
    5. Marque Exigir código externo.
    6. Na caixa de texto ID externo, insira o ID externo exibido na página Autorizar AWS para monitoramento do Console do Google Cloud.
    7. Deixe a opção Require MFA desmarcada e clique em Next: Permissions.
    8. Na barra de pesquisa de permissões, insira ReadOnlyAccess e selecione ReadOnlyAccess.
    9. Expanda Definir limite de permissão e verifique se a opção Criar papel sem um limite de permissões está marcada.
    10. Clique em Avançar: tags.
    11. Clique em Next:Review.
    12. Digite um nome e uma descrição e clique em Criar função.
    13. Selecione o papel criado para abrir a página Resumo. Copie o ARN da função na área de transferência.
  7. No Console do Google Cloud, cole o ARN da função da AWS na caixa de texto ARN do papel e clique em Adicionar conta da AWS.

    A conexão será confirmada em instantes.

Projetos de conector da AWS

Na página Configurações, o painel Contas monitoradas inclui o ID do projeto de conector da AWS:

Descrição da sua conta da AWS [YOUR_AWS_ACCOUNT_NUMBER]
Conectado ao [CONNECTOR_PROJECT_ID]

Em que:

  • [YOUR_AWS_ACCOUNT_NUMBER] representa o número da sua conta da AWS.
  • [CONNECTOR_PROJECT_ID] representa o projeto do conector em que você recebe registros e métricas da sua conta da AWS e em que configura a autorização para agentes e outros aplicativos da AWS que precisam acessar o Google Cloud.

Próximo passo: como autorizar aplicativos da AWS

Solução de problemas

Se uma mensagem de erro indicar que a conta da AWS já está sendo monitorada, verifique o seguinte:

  • Se você já conectou sua conta da AWS ao Google Cloud, o projeto de conector da AWS já existe. Não é possível criar vários projetos do conector da AWS para a mesma conta.

    Para informações sobre como adicionar um projeto de conector da AWS a um projeto do Google Cloud, consulte Como adicionar projetos de conector da AWS da AWS a um escopo de métricas.

  • Verifique se você inseriu o Código da conta e o Código externo do escopo das métricas atuais ao criar o Papel da AWS. O código externo é exclusivo para cada escopo de métricas.

Como autorizar aplicativos da AWS

Você precisará autorizar os aplicativos da AWS se quiser fazer uma das seguintes ações:

  • Execute os agentes do Monitoring ou do Logging nas instâncias do Amazon EC2.
  • Use qualquer serviço do Google Cloud dos aplicativos da AWS.

Para autorizar que os aplicativos em execução na AWS acessem os serviços do Google Cloud, conceda a eles acesso a uma conta de serviço do Google Cloud que tenha funções adequadas do Google Cloud IAM.

Uma única conta de serviço pode autorizar várias instâncias e aplicativos do Amazon EC2 na mesma conta da AWS ou pode criar várias contas de serviço.

Crie uma conta de serviço

Para criar a conta de serviço, faça o seguinte:

  1. Acesse a página IAM e Administrador > Contas de serviço para o projeto do conector:

    Acessar Contas de serviço

  2. Selecione o projeto de conector da AWS para sua conta da AWS.

  3. O projeto de conector provavelmente não tem contas de serviço, então será solicitado que você crie uma. Clique em Criar conta de serviço e insira as seguintes informações:

    • No campo Nome da conta de serviço, insira Monitoring agent authorization e clique em Criar.

      Criar conta de serviço.

    • Na caixa de diálogo Permissões de conta de serviço, selecione as seguintes funções e clique em Continuar:

      • Monitoring > Gravador de métricas do Monitoring
      • Logging > Gravador de registros

      Criar conta de serviço.

  4. Clique em Concluído.

  5. Modifique a nova conta de serviço para incluir uma chave de serviço:

    1. Clique em Mais opções e selecione Gerenciar chaves.
    2. Selecione Adicionar chave e verifique se Tipo de chave está definido como JSON.

    O arquivo de chave privada da conta de serviço é transferido por download para sua estação de trabalho com um nome como Downloads/[PROJECT_NAME]-[KEY_ID].json.

    Em que:

    • [PROJECT_NAME] representa o nome do seu projeto do Google Cloud.
    • [KEY_ID] representa a chave privada gerada.

    Para tornar mais simples as instruções a seguir, salve o local do arquivo de credenciais na variável CREDS em sua estação de trabalho:

    CREDS="Downloads/[PROJECT_NAME]-[KEY_ID].json"
    

Adicionar uma conta de serviço a uma instância de VM

Para adicionar uma conta de serviço, faça o seguinte:

  1. Em sua estação de trabalho, copie o arquivo de credenciais de chave privada para sua instância do Amazon EC2 e salve-o em um arquivo chamado temp.json. No comando scp, especifique o caminho para key.pem, seu arquivo de par de chaves SSH da AWS e forneça suas credenciais da AWS:

    KEY="/path/to/key.pem"
    scp -i "$KEY" "$CREDS" AWS_USERNAME@AWS_HOSTNAME:temp.json
    
  2. Na instância do Amazon EC2, mova as credenciais para /etc/google/auth/application_default_credentials.json:

    GOOGLE_APPLICATION_CREDENTIALS="/etc/google/auth/application_default_credentials.json"
    sudo mkdir -p $(dirname "$GOOGLE_APPLICATION_CREDENTIALS")
    sudo mv "$HOME/temp.json" "$GOOGLE_APPLICATION_CREDENTIALS"
    
  3. (Opcional) Acesso restrito às credenciais de chave privada da conta de serviço. Por exemplo:

    sudo chown root:root "$GOOGLE_APPLICATION_CREDENTIALS"
    sudo chmod 0400 "$GOOGLE_APPLICATION_CREDENTIALS"
    
  4. Certifique-se de que a variável de ambiente GOOGLE_APPLICATION_CREDENTIALS esteja visível para os agentes e outros aplicativos que estão autorizados a usar o Google Cloud. O nome da variável de ambiente é compreendido pelas bibliotecas de cliente padrão do Google Cloud.

Instalar os agentes

  1. (Opcional): instale o agente do Cloud Monitoring na instância do Amazon EC2. Embora o Cloud Monitoring possa acessar algumas métricas de instância sem o agente do Monitoring, incluindo a utilização da CPU e as informações de tempo de atividade, o agente do Monitoring fornece um conjunto mais amplo de recursos do sistema e serviços de aplicativos.

    Para instalar o agente do Cloud Monitoring, consulte Como instalar o agente do Cloud Monitoring e selecione as instruções com base no seu sistema operacional. Estas instruções incluem informações sobre como verificar se o agente está em execução e um link para um guia de solução de problemas.

  2. Opcional: instale o agente do Cloud Logging, que transmite registros para o Cloud Logging na instância do Amazon EC2. Consulte Como instalar o agente do Cloud Logging e selecione as instruções com base no seu sistema operacional. Estas instruções incluem informações sobre como verificar se o agente está em execução e um link para um guia de solução de problemas.

Como usar os serviços do Monitoring com a AWS

Esta seção mostra como usar os serviços do Monitoring com sua conta da AWS.

Crie uma verificação de tempo de atividade e uma política de alertas

Para criar uma verificação de tempo de atividade, faça o seguinte:

  1. No Console do Cloud, selecione Monitoramento:

    Acessar o Monitoramento

  2. No painel de navegação, clique em Verificações de tempo de atividade.

  3. Clique em Create Uptime Check:

    Crie uma caixa de diálogo da verificação de tempo de atividade.

  4. Para o título, digite My Uptime Check e clique em Avançar.

  5. Destino:

    1. Verifique se o protocolo selecionado é HTTP.
    2. Selecione qualquer recurso disponível para o Tipo de recurso.
    3. Preencha os outros campos conforme necessário.
    4. Clique em Next.
  6. Validação de resposta: deixe esses campos com os valores padrão e clique em Próximo.

  7. Alerta e notificação:

    • Verifique se o rótulo do seletor é O alerta está ativado.
    • Deixe os campos de nome e duração nos valores padrão.
    • Para adicionar um canal de notificação à política de alertas, na caixa de texto Canais de notificação, clique em Menu. Selecione os canais a serem adicionados e clique em OK. As notificações são agrupadas em ordem alfabética para cada tipo de canal.

      Para adicionar uma entrada à lista de caixas de seleção, clique em Gerenciar canal de notificação e siga as instruções. Quando retornar a esta caixa de diálogo, clique em Atualizar.

  8. Para verificar a configuração da verificação de tempo de atividade, clique em Test. Se a mensagem "Connection error - refused" for exibida, talvez você não tenha instalado o servidor HTTP Apache ou tenha especificado o tipo de verificação HTTPS em vez de HTTP. Para outros erros, consulte Conferir a verificação de tempo de atividade.

  9. Clique em Criar. Quando a ação de criação for bem-sucedida, a mensagem Verificação e alerta criados e a página do painel Verificações de tempo de atividade serão exibidas.

    A nova verificação de tempo de atividade será listada no painel de verificações de tempo de atividade. Se você clicar no nome da verificação, a visualização de detalhes dessa verificação de tempo de atividade será aberta. Essa visualização exibe vários gráficos, mostra a porcentagem de tempo de atividade e informações de configuração, assim como lista as políticas de alerta configuradas. Para ver uma política específica, clique no nome dela.

    Também é possível visualizar a política de alertas na página Alertas. Na página de alertas, o painel Políticas lista um subconjunto de políticas. Para ver uma lista de todas as políticas, clique em Ver todas as políticas.

Crie um painel e um gráfico

Para exibir as métricas coletadas pelo Monitoring, crie um gráfico e um painel:

Para criar um painel usando o editor de visualização, siga estas etapas:

  1. No Console do Google Cloud, acesse a página Monitoring.

    Acessar Monitoring

  2. Na página Visão geral dos painéis, clique em Criar painel.

  3. (Opcional) Atualize o título do painel com um nome descritivo para seu painel.

  4. Adicione um widget de gráfico de linhas ao painel arrastando essa entrada da Biblioteca de widgets para a área do gráfico.

  5. Na seção Quais dados você quer visualizar?, faça o seguinte:

    1. Clique em Limpar recurso e métrica
    2. Em Tipo de recurso, insira Amazon e selecione um tipo de recurso da Amazon.
    3. Em Métricas, selecione uma entrada no menu.

    É possível usar o ponteiro para redimensionar ou reposicionar o gráfico.

  6. Para adicionar um segundo widget de Gráfico de linha ao painel, clique na barra de ferramentas do painel para ativar a Biblioteca de widgets, selecionar um tipo de gráfico e arrastá-lo. da Biblioteca de widgets para a área do gráfico.

Veja os registros

O Monitoring e o Logging são totalmente integrados.

  1. No Console do Cloud , acesse Logging e selecione o projeto do conector da AWS.
  2. O Logs Explorer do projeto do conector da AWS contém seus registros da AWS. Altere o foco do Explorador de registros para ver os registros que você quer:

    • Acesse Projeto do Google > Todos os project_id. Você precisa ver pelo menos um registro de auditoria da configuração do seu projeto de conector da AWS:

      Visualizador de registros da AWS.

    • Se você tiver instalado o agente do Cloud Monitoring nas instâncias compatíveis do Amazone EC2, outras opções de registro serão exibidas.

Limpeza

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados neste guia de início rápido, siga estas etapas:

  1. Remova seus gráficos e alertas do Monitoring. Acesse o Monitoring:

    1. Exclua sua política de alertas de Alertas.
    2. Exclua sua verificação de tempo de atividade de Alertas.
    3. Exclua seus gráficos dos Painéis.
  2. Clique em Configurações e selecione a guia Resumo.

  3. Na seção intitulada Contas da AWS , identifique a conta do AWS que você usou para este Início rápido, clique em Mais e selecione Remover do espaço de trabalho.

  4. Na conta da Amazon, exclua o papel de IAM da AWS que você criou para o início rápido.

  5. No Console do Google Cloud, exclua o projeto do conector da AWS e, se você o criou para este guia de início rápido, seu projeto do Google Cloud, Quickstart. Para excluir um projeto, selecione o projeto, acesse IAM e administrador e selecione Configurações. Em seguida, clique em Encerrar.

A seguir