Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Centralizza il monitoraggio utilizzando Amazon CloudWatch Observability Access Manager
Creato da Anand Krishna Varanasi (AWS), Jimmy Morgan (), Ashish Kumar (), Balaji Vedagiri (AWS), (), Sarat Chandra Pothula (AWS) e Vivek Thangamuthu () AWS JAGDISH KOMAKULA AWS AWS AWS
cloudwatch-obervability-access-managerArchivio | Ambiente: produzione | Tecnologie: infrastruttura; gestione e governance; Strategia multi-account |
AWSservizi: Amazon CloudWatch; Amazon CloudWatch Logs |
Riepilogo
L'osservabilità è fondamentale per il monitoraggio, la comprensione e la risoluzione dei problemi delle applicazioni. Le applicazioni che si estendono su più account, come nelle AWS Control Tower nostre implementazioni di landing zone, generano un gran numero di log e dati di traccia. Per risolvere rapidamente i problemi o comprendere l'analisi degli utenti o l'analisi aziendale, è necessaria una piattaforma di osservabilità comune per tutti gli account. Amazon CloudWatch Observability Access Manager ti consente di accedere e controllare più log di account da una posizione centrale.
Puoi utilizzare Observability Access Manager per visualizzare e gestire i log dei dati di osservabilità generati dagli account di origine. Gli account di origine sono singoli Account AWS che generano dati di osservabilità per le proprie risorse. I dati di osservabilità sono condivisi tra gli account di origine e gli account di monitoraggio. I dati di osservabilità condivisi possono includere metriche in Amazon CloudWatch, log in Amazon CloudWatch Logs e tracce in. AWS X-Ray Per ulteriori informazioni, consulta la documentazione di Observability Access Manager.
Questo modello è destinato agli utenti che dispongono di applicazioni o infrastrutture eseguite su più sistemi Account AWS e necessitano di un posto comune in cui visualizzare i log. Spiega come configurare Observability Access Manager utilizzando Terraform, per monitorare lo stato e l'integrità di queste applicazioni o infrastrutture. È possibile installare questa soluzione in diversi modi:
Come modulo Terraform autonomo da configurare manualmente
Utilizzando una pipeline di integrazione e distribuzione continua (CI/CD)
Integrandosi con altre soluzioni come AWS Control Tower Account Factory for Terraform () AFT
Le istruzioni nella sezione Epics riguardano l'implementazione manuale. Per i passaggi AFT di installazione, consulta il README file per il repository di GitHub Observability Access Manager
Prerequisiti e limitazioni
Prerequisiti
Terraform
è installato o referenziato nel sistema o in pipeline automatizzate. (Ti consigliamo di utilizzare la versione più recente .) Un account che puoi utilizzare come account di monitoraggio centralizzato. Altri account creano collegamenti all'account di monitoraggio centrale per visualizzare i registri.
(Facoltativo) Un archivio di codice sorgente come GitHub Atlassian Bitbucket o un sistema simile. AWS CodeCommit Un archivio di codice sorgente non è necessario se si utilizzano pipeline CI/CD automatizzate.
(Facoltativo) Autorizzazioni per creare richieste pull (PRs) per la revisione e la collaborazione del codice in. GitHub
Limitazioni
Observability Access Manager ha le seguenti quote di servizio, che non possono essere modificate. Considerate queste quote prima di implementare questa funzionalità. Per ulteriori informazioni, consulta le quote CloudWatch di servizio nella documentazione. CloudWatch
Collegamenti agli account di origine: puoi collegare ciascun account di origine a un massimo di cinque account di monitoraggio.
Lavandini: puoi creare più sink per un account, ma Regione AWS è consentito un solo sink per account.
Inoltre:
I sink e i link devono essere creati nello stesso ambiente Regione AWS; non possono essere interregionali.
Monitoraggio interregionale e interaccount
Per il monitoraggio interregionale e tra più account, puoi scegliere una di queste opzioni:
Crea CloudWatch dashboard per più account e più regioni per allarmi e metriche. Questa opzione non supporta log e tracce.
Implementa la registrazione centralizzata utilizzando Amazon OpenSearch Service.
Crea un sink per regione da tutti gli account tenant, invia i parametri a un account di monitoraggio centralizzato (come descritto in questo schema), quindi utilizza i flussi di CloudWatch metrici per inviare i dati a una destinazione esterna comune o a prodotti di monitoraggio di terze parti come Datadog, Dynatrace, Sumo Logic, Splunk o New Relic.
Architettura
Componenti
CloudWatch Observability Access Manager è costituito da due componenti principali che consentono l'osservabilità tra account:
Un sink offre agli account di origine la possibilità di inviare dati di osservabilità all'account di monitoraggio centrale. Un sink fornisce fondamentalmente una giunzione gateway a cui gli account di origine possono connettersi. Può esserci solo un gateway o una connessione sink e più account possono connettersi ad esso.
Ogni account di origine ha un collegamento alla giunzione del sink gateway e i dati di osservabilità vengono inviati tramite questo collegamento. È necessario creare un sink prima di creare collegamenti da ciascun account di origine.
Architettura
Il diagramma seguente illustra Observability Access Manager e i suoi componenti.
Strumenti
Servizi AWS
Amazon ti CloudWatch aiuta a monitorare i parametri delle tue AWS risorse e delle applicazioni su cui esegui AWS in tempo reale.
AWS Organizationsè un servizio di gestione degli account che ti aiuta a consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente.
AWS Identity and Access Management (IAM) consente di gestire in modo sicuro l'accesso alle AWS risorse controllando chi è autenticato e autorizzato a utilizzarle.
Strumenti
Terraform
è uno strumento di infrastruttura come codice (IaC) HashiCorp che ti aiuta a creare e gestire risorse cloud e locali. AWS Control Tower Account Factory for Terraform (AFT) imposta una pipeline Terraform per aiutarti a fornire e personalizzare gli account. AWS Control TowerÈ possibile utilizzare facoltativamente AFT per configurare Observability Access Manager su larga scala su più account.
Deposito di codici
Il codice per questo modello è disponibile nel repository di GitHub Observability Access Manager
Best practice
Negli AWS Control Tower ambienti, contrassegna l'account di registrazione come account di monitoraggio centrale (sink).
Se hai più organizzazioni con più account AWS Organizations, ti consigliamo di includere le organizzazioni anziché i singoli account nella politica di configurazione. Se disponi di un numero limitato di account o se gli account non fanno parte di un'organizzazione nella politica di configurazione del sink, potresti decidere di includere invece account individuali.
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Clonare il repository. | Clonare il repository di GitHub Observability Access Manager:
| AWS DevOps, Amministratore cloud, amministratore AWS |
Specificare i valori delle proprietà per il modulo sink. | Nel
Per ulteriori informazioni, vedere AWS: :Oam: :Sink nella documentazione. AWS CloudFormation | AWS DevOps, Amministratore cloud, amministratore AWS |
Installa il modulo sink. | Esporta le credenziali dell'account Account AWS che hai selezionato come account di monitoraggio e installa il modulo sink di Observability Access Manager:
| AWS DevOps, Amministratore del cloud, amministratore AWS |
Attività | Descrizione | Competenze richieste |
---|---|---|
Specificate i valori delle proprietà per il modulo di collegamento. | Nel
Per ulteriori informazioni, vedere AWS: :Oam: :Link nella documentazione. AWS CloudFormation | AWS DevOps, Amministratore cloud, architetto cloud |
Installa il modulo di collegamento per i singoli account. | Esporta le credenziali dei singoli account e installa il modulo di collegamento Observability Access Manager:
È possibile configurare il modulo di collegamento individualmente per ciascun account o utilizzarlo AFTper installare automaticamente questo modulo su un gran numero di account. | AWS DevOps, Amministratore del cloud, architetto del cloud |
Attività | Descrizione | Competenze richieste |
---|---|---|
Controlla il messaggio di stato. |
Sulla destra, dovresti vedere il messaggio di stato «Account di monitoraggio abilitato» con un segno di spunta verde. Ciò significa che l'account di monitoraggio dispone di un sink di Observability Access Manager a cui si collegheranno i collegamenti di altri account. | |
Approva le connessioni. link-to-sink |
Per ulteriori informazioni, consulta Collegare gli account di monitoraggio agli account di origine nella CloudWatch documentazione. | AWS DevOps, Amministratore cloud, architetto cloud |
Attività | Descrizione | Competenze richieste |
---|---|---|
Visualizza i dati relativi a più account. |
| AWS DevOps, Amministratore cloud, architetto cloud |
Attività | Descrizione | Competenze richieste |
---|---|---|
Visualizza metriche, dashboard, registri, widget e allarmi di altri account. | Come funzionalità aggiuntiva, puoi condividere CloudWatch metriche, dashboard, registri, widget e allarmi con altri account. Ogni account utilizza un IAM ruolo chiamato CloudWatch- CrossAccountSharingRole per accedere a questi dati. Gli account di origine che hanno un rapporto di fiducia con l'account di monitoraggio centrale possono assumere questo ruolo e visualizzare i dati dell'account di monitoraggio. CloudWatch fornisce uno CloudFormation script di esempio per creare il ruolo. Scegli Gestisci ruolo ed esegui questo script negli account in cui desideri visualizzare i dati. IAM
Per ulteriori informazioni, consulta Attivazione della funzionalità tra account CloudWatch nella CloudWatch documentazione. | AWS DevOps, Amministratore del cloud, architetto del cloud |
Attività | Descrizione | Competenze richieste |
---|---|---|
Configura l'accesso su più account e più regioni. | Nell'account di monitoraggio centralizzato, puoi aggiungere facoltativamente un selettore di account per passare facilmente da un account all'altro e visualizzarne i dati senza dover autenticarti.
Per ulteriori informazioni, consulta Console interregionale CloudWatch tra account nella documentazione. CloudWatch | AWS DevOps, Amministratore cloud, architetto cloud |
Risorse correlate
CloudWatch osservabilità tra account (documentazione Amazon CloudWatch )
APIRiferimento ad Amazon CloudWatch Observability Access Manager ( CloudWatch documentazione Amazon)
Fonte dati: aws_oam_link (documentazione Terraform
) CloudWatchObservabilityAccessManager
AWS (Documentazione Boto3)