Instalando o CloudWatch agente usando o Systems Manager Distributor and State Manager

Você pode usar o Systems Manager State Manager com o Systems Manager Distributor para instalar e atualizar automaticamente o CloudWatch agente em servidores e EC2 instâncias. O distribuidor inclui o pacote AmazonCloudWatchAgent AWS gerenciado que instala a versão mais recente do CloudWatch agente.

Essa abordagem de instalação tem os seguintes pré-requisitos:

• O agente do Systems Manager deve estar instalado e executado em seus servidores ou EC2 instâncias. O agente do Systems Manager vem pré-instalado no Amazon Linux, no Amazon Linux 2 e em alguns outros AMIs. O agente também deve ser instalado e configurado em outras imagens ou no local VMs e em servidores.

  nota

  O Amazon Linux 2 está chegando ao fim do suporte. Para obter mais informações, consulte o Amazon Linux 2 FAQs.

• Uma função ou credenciais do IAM que tenham as permissões necessárias CloudWatch e do Systems Manager devem ser anexadas à EC2 instância ou definidas no arquivo de credenciais de um servidor local. Por exemplo, você pode criar uma função do IAM que inclua as políticas AWS gerenciadas: AmazonSSMManagedInstanceCore para Systems Manager e CloudWatchAgentServerPolicy para CloudWatch. Você pode usar o AWS CloudFormation modelo ssm-cloudwatch-instance-role.yaml para implantar uma função do IAM e um perfil de instância que inclua essas duas políticas. Esse modelo também pode ser modificado para incluir outras permissões padrão do IAM para suas EC2 instâncias. Para servidores locais ou VMs, deve configurar o CloudWatch agente para usar a função de serviço Systems Manager que foi configurada para o servidor local. Para obter mais informações sobre isso, consulte Como posso configurar servidores locais que usam o Systems Manager Agent e o CloudWatch agente unificado para usar somente credenciais temporárias? no Centro de AWS Conhecimento.

A lista a seguir fornece várias vantagens de usar a abordagem Systems Manager Distributor and State Manager para instalar e manter o CloudWatch agente:

• Instalação automatizada para vários OSs — Você não precisa escrever e manter um script para cada sistema operacional para baixar e instalar o CloudWatch agente.

• Verificações automáticas de atualização — O State Manager verifica automática e regularmente se cada EC2 instância tem a CloudWatch versão mais recente.

• Relatórios de conformidade — O painel de conformidade do Systems Manager mostra quais EC2 instâncias falharam na instalação bem-sucedida do pacote Distributor.

• Instalação automatizada para EC2 instâncias recém-lançadas — Novas EC2 instâncias que são lançadas em sua conta recebem automaticamente o CloudWatch agente.

No entanto, você também deve considerar as três áreas a seguir antes de escolher essa abordagem:

• Colisão com uma associação existente — Se outra associação já instalar ou configurar o CloudWatch agente, as duas associações poderão interferir uma na outra e potencialmente causar problemas. Ao usar essa abordagem, você deve remover todas as associações existentes que instalam ou atualizam o CloudWatch agente e a configuração.

• Atualização dos arquivos de configuração personalizados do agente — O distribuidor executa uma instalação usando o arquivo de configuração padrão. Se você usar um arquivo de configuração personalizado ou vários arquivos de CloudWatch configuração, deverá atualizar a configuração após a instalação.

• Configuração multirregional ou multiconta — A associação do State Manager deve ser configurada em cada conta e região. Novas contas em um ambiente com várias contas devem ser atualizadas para incluir a associação State Manager. Você precisa centralizar ou sincronizar a CloudWatch configuração para que várias contas e regiões possam recuperar e aplicar os padrões exigidos.

Configurar o State Manager and Distributor para implantação e configuração do CloudWatch agente

Você pode usar o Systems Manager Quick Setup para configurar rapidamente os recursos do Systems Manager, incluindo instalar e atualizar automaticamente o CloudWatch agente em suas EC2 instâncias. A Configuração rápida implanta uma AWS CloudFormation pilha que implanta e configura os recursos do Systems Manager com base em suas escolhas.

A lista a seguir fornece duas ações importantes que são executadas pela Configuração rápida para instalação e atualização automatizadas do CloudWatch agente:

1. Crie documentos personalizados do Systems Manager — O Quick Setup cria os seguintes documentos do Systems Manager para uso com o State Manager. Os nomes dos documentos podem variar, mas o conteúdo permanece o mesmo:

   • CreateAndAttachIAMToInstance— Cria a AmazonSSMRoleForInstancesQuickSetup função e o perfil da instância, se eles não existirem, e anexa a AmazonSSMManagedInstanceCore política à função. Isso não inclui a política de CloudWatchAgentServerPolicy IAM necessária. Você deve atualizar essa política e atualizar este documento do Systems Manager para incluir essa política conforme descrito na seção a seguir.

   • InstallAndManageCloudWatchDocument— Instala o CloudWatch agente com o Distributor e configura cada EC2 instância uma vez com uma configuração de CloudWatch agente padrão usando o documento AWS-ConfigureAWSPackage Systems Manager.

   • UpdateCloudWatchDocument— Atualiza o CloudWatch agente instalando o CloudWatch agente mais recente usando o documento AWS-ConfigureAWSPackage Systems Manager. Atualizar ou desinstalar o agente não remove os arquivos de CloudWatch configuração existentes da EC2 instância.

2. Criar associações do State Manager — As associações do State Manager são criadas e configuradas para usar os documentos personalizados do Systems Manager. Os nomes da associação State Manager podem variar, mas a configuração permanece a mesma:

   • ManageCloudWatchAgent— Executa o documento InstallAndManageCloudWatchDocument Systems Manager uma vez para cada EC2 instância.

   • UpdateCloudWatchAgent— Executa o documento do UpdateCloudWatchDocument Systems Manager a cada 30 dias para cada EC2 instância.

   • Executa o documento CreateAndAttachIAMToInstance Systems Manager uma vez para cada EC2 instância.

Você deve aumentar e personalizar a configuração completa da Configuração rápida para incluir CloudWatch permissões e oferecer suporte a CloudWatch configurações personalizadas. Em particular, o documento CreateAndAttachIAMToInstance e o InstallAndManageCloudWatchDocument documento precisarão ser atualizados. Você pode atualizar manualmente os documentos do Systems Manager criados pelo Quick Setup. Como alternativa, você pode usar seu próprio CloudFormation modelo para provisionar os mesmos recursos com as atualizações necessárias, bem como configurar e implantar outros recursos do Systems Manager, sem usar o Quick Setup.

Importante

O Quick Setup cria uma AWS CloudFormation pilha para implantar e configurar os recursos do Systems Manager com base em suas escolhas. Se você atualizar suas opções de Configuração Rápida, talvez seja necessário reatualizar manualmente os documentos do Systems Manager.

As seções a seguir descrevem como atualizar manualmente os recursos do Systems Manager criados pela Configuração Rápida, bem como usar seu próprio AWS CloudFormation modelo para realizar uma Configuração Rápida atualizada. Recomendamos que você use seu próprio AWS CloudFormation modelo para evitar a atualização manual dos recursos criados pelo Quick Setup AWS CloudFormation e.

Use o Systems Manager Quick Setup e atualize manualmente os recursos criados do Systems Manager

Os recursos do Systems Manager criados pela abordagem Quick Setup devem ser atualizados para incluir as permissões necessárias do CloudWatch agente e oferecer suporte a vários arquivos de CloudWatch configuração. Esta seção descreve como atualizar a função do IAM e os documentos do Systems Manager para usar um bucket S3 centralizado contendo CloudWatch configurações acessíveis a partir de várias contas. A criação de um bucket do S3 para armazenar os arquivos de CloudWatch configuração é discutida na Gerenciando CloudWatch configurações seção deste guia.

Atualizar o documento CreateAndAttachIAMToInstance Systems Manager

Este documento do Systems Manager criado pelo Quick Setup verifica se uma EC2 instância tem um perfil de instância do IAM existente anexado a ela. Se isso acontecer, ele anexa a AmazonSSMManagedInstanceCore política à função existente. Isso evita que suas EC2 instâncias existentes percam AWS permissões que podem ser atribuídas por meio de perfis de instância existentes. Você precisa adicionar uma etapa neste documento para anexar a política do CloudWatchAgentServerPolicy IAM às EC2 instâncias que já têm um perfil de instância anexado. O documento Systems Manager também cria a função do IAM se ela não existir e se a EC2 instância não tiver um perfil de instância anexado a ela. Você deve atualizar esta seção do documento para incluir também a política CloudWatchAgentServerPolicy do IAM.

Analise o documento de amostra CreateAndAttachIAMToInstance.yaml concluído e compare-o com o documento criado pela Configuração rápida. Edite o documento existente para incluir as etapas e alterações necessárias. Com base nas suas opções de Configuração rápida, o documento criado pela Configuração rápida pode ser diferente do documento de amostra fornecido, portanto, certifique-se de fazer os ajustes necessários. O documento de amostra inclui a opção Configuração rápida para verificar diariamente as instâncias em busca de patches ausentes e, portanto, inclui uma política para o Systems Manager Patch Manager.

Atualizar o documento InstallAndManageCloudWatchDocument Systems Manager

Este documento do Systems Manager criado pelo Quick Setup instala o CloudWatch agente e o configura com a configuração padrão do CloudWatch agente. A CloudWatch configuração padrão se alinha ao conjunto métrico básico e predefinido. Você deve substituir a etapa de configuração padrão e adicionar etapas para baixar seus arquivos de CloudWatch configuração do bucket S3 de CloudWatch configuração.

Analise o documento atualizado em InstallAndManageCloudWatchDocument.yaml concluído e compare-o com o documento criado pela Configuração rápida. O documento criado pela Configuração rápida pode ser diferente, portanto, certifique-se de ter feito os ajustes necessários. Edite seu documento existente para incluir as etapas e alterações necessárias.

Use AWS CloudFormation em vez da Configuração rápida

Em vez de usar o Quick Setup, você pode usar AWS CloudFormation para configurar o Systems Manager. Essa abordagem permite que você personalize a configuração do Systems Manager de acordo com seus requisitos específicos. Essa abordagem também evita atualizações manuais nos recursos configurados do Systems Manager criados pelo Quick Setup para oferecer suporte a CloudWatch configurações personalizadas.

O recurso Quick Setup também usa AWS CloudFormation e cria um conjunto de AWS CloudFormation pilhas para implantar e configurar os recursos do Systems Manager com base em suas escolhas. Antes de usar conjuntos de AWS CloudFormation pilhas, você deve criar as funções do IAM usadas pelo AWS CloudFormation StackSets para oferecer suporte a implantações em várias contas ou regiões. A Configuração rápida cria as funções necessárias para oferecer suporte a implantações em várias regiões ou várias contas. AWS CloudFormation StackSets Você deve preencher os pré-requisitos AWS CloudFormation StackSets se quiser configurar e implantar recursos do Systems Manager em várias regiões ou várias contas de uma única conta e região. Para obter mais informações sobre isso, consulte Pré-requisitos para operações de conjunto de pilhas na documentação. AWS CloudFormation

Revise o AWS CloudFormation modelo AWS- QuickSetup - SSMHost Mgmt.yaml para uma configuração rápida personalizada.

Você deve analisar os recursos e capacidades do AWS CloudFormation modelo e fazer ajustes de acordo com seus requisitos. Você deve controlar a versão do AWS CloudFormation modelo que você usa e testar as alterações incrementalmente para confirmar o resultado necessário. Além disso, você deve realizar análises de segurança na nuvem para determinar se há algum ajuste de política necessário com base nos requisitos da sua organização.

Você deve implantar a AWS CloudFormation pilha em uma única conta de teste e região e realizar todos os casos de teste necessários para personalizar e confirmar o resultado desejado. Em seguida, você pode graduar sua implantação em várias regiões em uma única conta e, em seguida, em várias contas e várias regiões.

Configuração rápida personalizada em uma única conta e região com uma AWS CloudFormation pilha

Se você estiver usando apenas uma única conta e região, poderá implantar o exemplo completo como uma AWS CloudFormation pilha em vez de um conjunto de AWS CloudFormation pilhas. No entanto, se possível, recomendamos que você use a abordagem de conjunto de pilhas de várias contas e várias regiões, mesmo que use apenas uma única conta e região. AWS CloudFormation StackSets O uso facilita a expansão para contas e regiões adicionais no futuro.

Use as etapas a seguir para implantar o AWS CloudFormation modelo AWS- QuickSetup - SSMHost Mgmt.yaml como uma AWS CloudFormation pilha em uma única conta e: Região da AWS

1. Faça o download do modelo e coloque-o no sistema de controle de versão de sua preferência (por exemplo, GitHub).

2. Personalize os valores padrão dos AWS CloudFormation parâmetros com base nos requisitos da sua organização.

3. Personalize os horários da associação State Manager.

4. Personalize o documento do Systems Manager com a ID InstallAndManageCloudWatchDocument lógica. Confirme se os prefixos do bucket do S3 estão alinhados aos prefixos do bucket do S3 que contém sua configuração. CloudWatch

5. Recupere e registre o Amazon Resource Name (ARN) para o bucket do S3 que contém suas configurações. CloudWatch Para obter mais informações sobre isso, consulte a Gerenciando CloudWatch configurações seção deste guia. Está disponível um exemplo de AWS CloudFormation modelo cloudwatch-config-s3-bucket.yaml que inclui uma política de bucket para fornecer acesso de leitura às contas. AWS Organizations

6. Implante o AWS CloudFormation modelo personalizado de configuração rápida na mesma conta do seu bucket do S3:

   • Para o CloudWatchConfigBucketARN parâmetro, insira o ARN do bucket do S3.

   • Faça ajustes nas opções de parâmetros, dependendo dos recursos que você deseja habilitar para o Systems Manager.

7. Implante uma EC2 instância de teste com e sem uma função do IAM para confirmar se a EC2 instância funciona com CloudWatch.

• Aplique a associação AttachIAMToInstance State Manager. Este é um runbook do Systems Manager configurado para ser executado de acordo com um cronograma. As associações do State Manager que usam runbooks não são aplicadas automaticamente a novas EC2 instâncias e podem ser configuradas para serem executadas de forma programada. Para obter mais informações, consulte Executando automações com gatilhos usando o State Manager na documentação do Systems Manager.

• Confirme se a EC2 instância tem a função do IAM necessária anexada.

• Confirme se o agente do Systems Manager está funcionando corretamente confirmando se a EC2 instância está visível no Systems Manager.

• Confirme se o CloudWatch agente está funcionando corretamente visualizando CloudWatch registros e métricas com base nas CloudWatch configurações do seu bucket do S3.

Configuração rápida personalizada em várias regiões e várias contas com AWS CloudFormation StackSets

Se você estiver usando várias contas e regiões, poderá implantar o AWS CloudFormation modelo AWS- QuickSetup - SSMHost Mgmt.yaml como um conjunto de pilhas. Você deve preencher os AWS CloudFormation StackSetpré-requisitos antes de usar conjuntos de pilhas. Os requisitos variam dependendo se você está implantando conjuntos de pilhas com permissões autogerenciadas ou gerenciadas por serviços.

Recomendamos que você implante conjuntos de pilhas com permissões gerenciadas pelo serviço para que as novas contas recebam automaticamente a Configuração rápida personalizada. Você deve implantar um conjunto de pilhas gerenciadas por serviços a partir da conta de AWS Organizations gerenciamento ou da conta de administrador delegado. Você deve implantar o conjunto de pilhas a partir de uma conta centralizada usada para automação que tenha privilégios de administrador delegados, em vez da conta de gerenciamento. AWS Organizations Também recomendamos que você teste a implantação do conjunto de pilhas visando uma unidade organizacional (OU) de teste com um único ou pequeno número de contas em uma região.

1. Conclua as etapas 1 a 5 da Configuração rápida personalizada em uma única conta e região com uma AWS CloudFormation pilha seção deste guia.

2. Faça login no AWS Management Console, abra o AWS CloudFormation console e escolha Criar StackSet:

   • Escolha “O modelo está pronto” e faça o upload de um arquivo de modelo. Faça o upload do AWS CloudFormation modelo que você personalizou de acordo com suas necessidades.

   • Especifique os detalhes do conjunto de pilhas:

     • Insira um nome de conjunto de pilhas, por exemplo,StackSet-SSM-QuickSetup.

     • Faça ajustes nas opções de parâmetros, dependendo dos recursos que você deseja habilitar para o Systems Manager.

     • Para o CloudWatchConfigBucketARN parâmetro, insira o ARN do bucket S3 da sua CloudWatch configuração.

     • Especifique as opções do conjunto de pilhas e escolha se você usará permissões gerenciadas por serviços AWS Organizations ou permissões autogerenciadas.

       • Se você escolher permissões autogerenciadas, insira os detalhes da função AWSCloudFormationStackSetAdministrationRolee AWSCloudFormationStackSetExecutionRoledo IAM. A função de administrador deve existir na conta e a função de execução deve existir em cada conta de destino

     • Para permissões gerenciadas por serviços com AWS Organizations, recomendamos que você primeiro implante em uma OU de teste em vez de em toda a organização.

       • Escolha se você deseja habilitar implantações automáticas. Recomendamos que você escolha Ativado. Para o comportamento de remoção de contas, a configuração recomendada é Excluir pilhas.

     • Para permissões autogerenciadas, insira IDs a AWS conta das contas que você deseja configurar. Você deve repetir esse processo para cada nova conta se usar permissões autogerenciadas.

     • Insira as regiões em que você usará o CloudWatch Systems Manager.

     • Confirme se a implantação foi bem-sucedida visualizando o status do conjunto de pilhas na guia Operações e instâncias de pilha.

     • Teste se o Systems Manager e se CloudWatch estão funcionando corretamente nas contas implantadas seguindo a etapa 7 da Configuração rápida personalizada em uma única conta e região com uma AWS CloudFormation pilha seção deste guia.

Considerações sobre a configuração de servidores locais

O CloudWatch agente para servidores locais VMs é instalado e configurado usando uma abordagem semelhante à das EC2 instâncias. No entanto, a tabela a seguir fornece considerações que você deve avaliar ao instalar e configurar o CloudWatch agente em servidores locais e. VMs

Direcione o CloudWatch agente para as mesmas credenciais temporárias usadas no Systems Manager.	Ao configurar o Systems Manager em um ambiente híbrido que inclui servidores locais, você pode ativar o Systems Manager com uma função do IAM. Você deve usar a função criada para suas EC2 instâncias que inclui as AmazonSSMManagedInstanceCore políticas CloudWatchAgentServerPolicy e. Isso faz com que o agente do Systems Manager recupere e grave credenciais temporárias em um arquivo de credenciais local. Você pode direcionar a configuração do seu CloudWatch agente para o mesmo arquivo. Você pode usar o processo de Configurar servidores locais que usam o agente do Systems Manager e o CloudWatch agente unificado para usar somente credenciais temporárias no Centro de AWS Conhecimento. Você também pode automatizar esse processo definindo um runbook separado do Systems Manager Automation e uma associação do State Manager e direcionando suas instâncias locais com tags. Ao criar uma ativação do Systems Manager para suas instâncias locais, você deve incluir uma tag que identifique as instâncias como instâncias locais.
Considere usar contas e regiões que tenham VPN ou AWS Direct Connect acesso AWS PrivateLink e.	Você pode usar AWS Direct Connect ou AWS Virtual Private Network (AWS VPN) para estabelecer conexões privadas entre redes locais e sua nuvem privada virtual (VPC). AWS PrivateLinkestabelece uma conexão privada com o CloudWatch Logs com uma interface VPC endpoint. Essa abordagem é útil se você tiver restrições que impeçam o envio de dados pela Internet pública para um terminal de serviço público.
Todas as métricas devem ser incluídas no arquivo CloudWatch de configuração.	A Amazon EC2 inclui métricas padrão (por exemplo, utilização da CPU), mas essas métricas devem ser definidas para instâncias locais. Você pode usar um arquivo de configuração de plataforma separado para definir essas métricas para servidores locais e, em seguida, anexar a configuração à configuração de CloudWatch métricas padrão da plataforma.

Considerações sobre instâncias efêmeras EC2

EC2 as instâncias são temporárias ou efêmeras se forem provisionadas pelo Amazon Auto EC2 Scaling, Amazon EMR, Amazon Spot Instances ou. EC2 AWS Batch EC2 Instâncias efêmeras podem causar um número muito grande de CloudWatch fluxos em um grupo de registros comum sem informações adicionais sobre sua origem de tempo de execução.

Se você usa EC2 instâncias efêmeras, considere adicionar mais informações contextuais dinâmicas nos nomes do grupo de registros e do fluxo de registros. Por exemplo, você pode incluir o ID de solicitação da Instância Spot, o nome do cluster do Amazon EMR ou o nome do grupo Auto Scaling. Essas informações podem variar para EC2 instâncias recém-lançadas e talvez você precise recuperá-las e configurá-las em tempo de execução. Você pode fazer isso gravando um arquivo de configuração do CloudWatch agente na inicialização e reiniciando o agente para incluir o arquivo de configuração atualizado. Isso permite a entrega de registros e métricas CloudWatch usando informações dinâmicas de tempo de execução.

Você também deve garantir que suas métricas e registros sejam enviados pelo CloudWatch agente antes que suas EC2 instâncias efêmeras sejam encerradas. O CloudWatch agente inclui um flush_interval parâmetro que pode ser configurado para definir o intervalo de tempo para a descarga dos buffers de registro e métrica. Você pode reduzir esse valor com base na sua carga de trabalho, interromper o CloudWatch agente e forçar a descarga dos buffers antes que a EC2 instância seja encerrada.

Usando uma solução automatizada para implantar o CloudWatch agente

Se você usa uma solução de automação (por exemplo, Ansible ou Chef), pode aproveitá-la para instalar e atualizar automaticamente o CloudWatch agente. Se você usar essa abordagem, deverá avaliar as seguintes considerações:

• Valide se a automação abrange as versões do sistema operacional OSs e as que você suporta. Se o script de automação não oferecer suporte a todos os scripts da sua organização OSs, você deverá definir soluções alternativas para os que não são suportados OSs.

• Verifique se a solução de automação verifica regularmente as atualizações e upgrades do CloudWatch agente. Sua solução de automação deve verificar regularmente se há atualizações no CloudWatch agente ou desinstalar e reinstalar regularmente o agente. Você pode usar uma funcionalidade de agendador ou solução de automação para verificar e atualizar regularmente o agente.

• Valide que você pode confirmar a conformidade da instalação e configuração do agente. Sua solução de automação deve permitir que você determine quando um sistema não tem o agente instalado ou quando o agente não está funcionando. Você pode implementar uma notificação ou alarme em sua solução de automação para que instalações e configurações com falhas sejam rastreadas.