設定 Grafana 開放原始碼或 Grafana 企業版，以搭配 Amazon Managed Service for Prometheus 使用

您可以使用 Grafana 的執行個體在 Amazon Prometheus 受管服務中查詢您的指標。本主題將引導您瞭解如何使用獨立的 Grafana 執行個體，從適用於 Prometheus 的 Amazon 受管服務查詢指標。

必要條件

Grafana 執行個體 — 您必須擁有一個能夠透過適用於 Prometheus 的 Amazon 受管服務進行驗證的 Grafana 執行個體。

Amazon Managed Service for Prometheus 支援使用 Grafana 7.3.5 及更新版本來查詢工作區中的指標。7.3.5 及更高版本包括對 AWS 簽名版本 4（SIGv4）身份驗證的支持。

要檢查您的 Grafana 版本，請輸入以下命令，替換 grafana_install_directory 與您的 Grafana 安裝路徑：

grafana_install_directory/bin/grafana-server -v

如果您還沒有獨立的 Grafana，或需要更新的版本，則可以安裝新的執行個體。如需設定獨立 Grafana 的說明，請參閱 Grafana 文件中的安裝 Grafana。如需開始使用 Grafana 的相關資訊，請參閱 Grafana 文件中的 Grafana 開始使用。

AWS 帳戶— 您必須具有正確 AWS 帳戶 的許可，才能訪問 Prometheus 指標的 Amazon 託管服務。

若要設定 Grafana 使用適用於 Prometheus 的 Amazon 受管服務，您必須登入具有AmazonPrometheusQueryAccess政策或aps:QueryMetrics、、aps:GetMetricMetadata和許可的帳戶。aps:GetSeries aps:GetLabels如需詳細資訊，請參閱IAM 許可和政策。

下一節將詳細說明從 Grafana 設定驗證。

第一步：設定第 4 AWS 步

適用於 Prometheus 的 Amazon 受管服務可與 AWS Identity and Access Management (IAM) 搭配使用憑證保護對 Pro APIs metheus 的所有呼叫。IAM依預設，Grafana 中的 Prometheus 資料來源假定 Prometheus 不需要身份驗證。若要讓 Grafana 能夠利用 Amazon Managed Service for Prometheus 身份驗證和授權功能，您必須在 Grafana 資料來源中啟用 SigV4 身份驗證支援。當您使用自我管理的 Grafana 開放原始碼或 Grafana 企業伺服器時，請依照本頁面上的步驟操作。如果您使用的是 Amazon 受管 Grafana，則SIGv4身份驗證是完全自動化的。如需有關 Amazon Managed Grafana 的詳細資訊，請參閱什麼是 Amazon Managed Grafana？

若要在 Grafana 上啟用 SigV4，請在 AWS_SDK_LOAD_CONFIG 和 GF_AUTH_SIGV4_AUTH_ENABLED 環境變數設為 true 的情況下啟動 Grafana。GF_AUTH_SIGV4_AUTH_ENABLED 環境變數會覆寫 Grafana 的預設組態，以啟用 SigV4 支援。如需詳細資訊，請參閱 Grafana 說明文件中的組態 。

Linux

若要在 Linux 的獨立 Grafana 伺服器上啟用 SigV4，請輸入以下命令。

export AWS_SDK_LOAD_CONFIG=true

export GF_AUTH_SIGV4_AUTH_ENABLED=true

cd grafana_install_directory

./bin/grafana-server

Windows

若要在 Windows 的獨立 Grafana 上使用 Windows 命令提示啟用 SigV4，請輸入下列命令。

set AWS_SDK_LOAD_CONFIG=true

set GF_AUTH_SIGV4_AUTH_ENABLED=true

cd grafana_install_directory

.\bin\grafana-server.exe

步驟 2：在 Grafana 中添加 Prometheus 數據源

下列步驟說明如何在 Grafana 中設定 Prometheus 資料來源，以查詢您的 Amazon Managed Service for Prometheus 指標。

在您的 Grafana 伺服器中新增 Prometheus 資料來源

1. 開啟 Grafana 主控台。

2. 在組態下方，選擇資料來源。

3. 選擇新增資料來源。

4. 選擇 Prometheus。

5. 對於 HTTPURL，指定URL顯示在 Prometheus Amazon 受管服務主控台的工作區詳細資訊頁面中的端點-查詢。

6. 在HTTPURL您剛才指定的字串中，移除附加至的/api/v1/query字串URL，因為 Prometheus 資料來源會自動附加它。

   正確的看起來URL應該類似於 WS-1234a5b6-78-九十一https://aps-workspaces.us-west-2.amazonaws.com/workspaces/電子- 3i45j6k178l9。

7. 在驗證下，選取SigV4 驗證的切換功能以啟用。

8. 您可以直接在 Grafana 中指定長期憑證，或使用預設提供者鏈結來設定 SigV4 授權。直接指定長期憑證可讓您更快速地開始，而下列步驟會先提供這些指示。一旦您更熟悉與 Amazon Managed Service for Prometheus 搭配使用 Grafana，我們建議您使用預設提供者鏈結，因為這提供更佳的彈性和安全性。如需有關設定預設提供者鏈結的詳細資訊，請參閱指定憑證。

   • 若要直接使用長期憑證，請執行下列動作：

     1. 在 SigV4 身分驗證詳細資訊下，請針對身份驗證提供者選擇存取和密鑰。

     2. 針對存取金鑰 ID，輸入您的 AWS 存取金鑰 ID。

     3. 針對私密存取金鑰輸入您的 AWS 私密存取金鑰。

     4. 將「假設角色」ARN 和「外部 ID」欄位保留空白。

     5. 對於預設區域，請選擇 Amazon Managed Service for Prometheus 工作區的區域。此區域應符合您在步驟 5 中列出URL的「區域」中所包含的區域。

     6. 選擇儲存並測試。

        您應該看到以下訊息：資料來源正在運作

        面的螢幕截取畫面顯示存取金鑰、密鑰 SigV4 身份驗證詳細資料設定。

        

   • 要改用預設提供者鏈結 (建議用於正式運作環境)，請執行下列步驟：

     1. 在 [Sigv4 驗證詳細資料] 下，對於 [驗證提供者]，請AWS SDK

     2. 將「假設角色」ARN 和「外部 ID」欄位保留空白。

     3. 對於預設區域，請選擇 Amazon Managed Service for Prometheus 工作區的區域。此區域應符合您在步驟 5 中列出URL的「區域」中所包含的區域。

     4. 選擇儲存並測試。

        您應該看到以下訊息：資料來源正在運作

        如果您沒有看到該訊息，下一節將提供連線的疑難排解提示。

        下列螢幕擷取畫面顯示SDK預設的 Sigv4 驗證詳細資料設定。

        

9. 針對新的資料來源測試 PromQL 查詢：

   1. 選擇探索。

   2. 執行範例 PromQL 查詢，例如：

      prometheus_tsdb_head_series

步驟 3：（可選）如果保存和測試不起作用，請進行故障排除

在上一個程序中，如果您在選擇儲存並測試時看到錯誤，請檢查下列項目。

HTTP找不到錯誤

請確定中的工作區 ID URL 正確無誤。

HTTP錯誤禁止

此錯誤表示憑證無效。請檢查以下內容：

• 檢查預設區域中指定的區域是否正確。

• 檢查您的憑證是否有錯別字。

• 請確定您使用的認證具有原AmazonPrometheusQueryAccess則。如需詳細資訊，請參閱IAM 許可和政策。

• 確保您正在使用的憑證可存取此 Amazon Managed Service for Prometheus 工作區。

HTTP錯誤網關錯誤

請查看 Grafana 伺服器日誌以解決此錯誤。如需詳細資訊，請參閱 Grafana 說明文件中的疑難排解。

如果您看到Error http: proxy error: NoCredentialProviders: no valid providers in chain，則預設認證提供者鏈結無法找到要使用的有效 AWS 認證。確認您已按照指定憑證中的說明設定您的憑證。若您要使用共用組態，請確認 AWS_SDK_LOAD_CONFIG 環境已設定為 true。