Monitoraggio dei servizi web di Amazon (AWS)

In Checkmk tutti gli oggetti da monitorare sono organizzati in una struttura gerarchica di host e servizi. Il concetto di host non esiste nei servizi basati sul cloud. Tuttavia, per mantenere la semplicità e la coerenza di Checkmk, mappiamo gli oggetti AWS secondo lo schema host/servizio.

Il modo in cui si ottiene questo risultato può essere illustrato al meglio con un esempio: In una regione sono state configurate diverse istanze EC2. Un'istanza EC2 è solitamente assegnata a EBS. Questa costellazione si presenta come segue in Checkmk:

AWS fornisce un'API basata su HTTP attraverso la quale sono disponibili anche i dati di monitoraggio. Checkmk accede a questa API tramite l'agente speciale agent_aws, che sostituisce l'agente Checkmk, ma che viene eseguito localmente sul server Checkmk.

Per abilitare il monitoraggio tramite Checkmk, è meglio creare un utente speciale di AWS sotto il tuo account root.Accedi ad AWS come utente root e naviga in All services fino a Security, Identity, & Compliance > IAM (Identity and Access Management). Vai in Users e crea un nuovo utente con Add user. Come nome utente scegli, ad esempio, check-mk. È importante che tu selezioni Access key - Programmatic access per Select AWS credential type.

L'utente appena creato deve essere utilizzato solo per il monitoraggio di Checkmk e deve avere un accesso di sola lettura ad AWS. Ti consigliamo di assegnare a questo utente la policy ReadOnlyAccess. Per trovare questa policy, clicca prima su Attach existing policies directly e poi digita readonlyaccess nel box di ricerca. Nell'elenco sotto il campo di ricerca, devi scorrere ancora un po' in basso, perché ci sono molte policy che contengono questa stringa.

Dopo aver completato la creazione dell'utente, verrà generata automaticamente una chiave d'accesso.Importante: il segreto della chiave viene visualizzato solo una volta, direttamente dopo la sua creazione. Pertanto, copia la chiave e salvala, ad esempio, nell'archivio password di Checkmk. In alternativa, specificala in testo normale come regola (vedi sotto). Per Checkmk, oltre al segreto, hai bisogno di Access key ID. Il nome dell'utente (nel nostro esempio check-mk) non ha importanza.

Se per qualche motivo dovessi perdere il segreto, puoi creare una nuova chiave di accesso per l'utente e ottenere un nuovo segreto:

Se vuoi che Checkmk abbia accesso in lettura alle informazioni di fatturazione (per eseguire il controllo globale di Costs and Usage ), hai bisogno di un'altra policy per il tuo utente AWS, che dovrai prima definire tu stesso.

In Security, Identity, & Compliance > IAM > Policies seleziona il pulsante Create Policy. Seleziona da Select a Service > Service > Choose a Service il servizio Billing. In Actions spunta il checkbox Read. Dobbiamo impostare un ulteriore permesso. Aggiungine uno tramite il pulsante Add additional permissions. Seleziona da Select a Service > Service > Choose a Service il servizio Cost Explorer Service. In Actions spunta di nuovo il checkbox Read.

Clicca su Review per passare alla fase due. Imposta BillingViewAccess come Name e salva il tutto con il pulsante Create policy.

Ora devi aggiungere questa nuova policy all'utente. Vai di nuovo su Security, Identity, & Compliance > IAM > Policies- nel box di ricerca di Filter Policies cerca BillingViewAccess, selezionalo cliccando sul cerchio a sinistra e poi vai su Policy actions > Attach. Qui troverai l'utente check-mk, selezionalo e confermalo con Attach policy.

Ora crea un host per monitorare AWS in Checkmk. Puoi assegnare il nome dell'host come desideri. Importante: poiché AWS come servizio non ha un indirizzo IP o un nome DNS (l'accesso è garantito dall'agente speciale stesso), devi impostare IP address family su No IP.

AWS non può essere interrogato attraverso il normale agente Checkmk, quindi è necessario configurare l'agente speciale AWS. Per farlo, alla voce Setup > Agents > VM, cloud, container > Amazon Web Services (AWS) aggiungi una regola le cui condizioni si applicano solo all'host AWS appena creato.

Nel contenuto vero e proprio della regola, troverai innanzitutto le informazioni per il login: inserisci qui l'"ID della chiave di accesso" per l'utente AWS appena creato check-mk. Scegli anche se hai bisogno di un proxy per recuperare i dati e quali dati globali vuoi monitorare, cioè quelli che non dipendono da una regione. Attualmente sono solo i dati relativi ai costi:

Nell'immagine qui sopra puoi vedere anche l'opzione Use STS AssumeRole to assume a different IAM role. Se utilizzi diversi account su AWS, puoi utilizzare un unico utente per monitorare anche gli altri account.

Ma i dati più interessanti sono quelli assegnati alle regioni, quindi seleziona la tua regione AWS:

Alla voce Services by region to monitor specifica quali informazioni vuoi recuperare da queste regioni. Per impostazione predefinita tutti i servizi AWS e il monitoraggio dei loro limiti sono attivati. Nell'immagine seguente sono tutti disattivati tranne uno per avere una panoramica migliore:

Ora puoi limitare i dati recuperati per servizio web o a livello globale con Restrict monitoring services by one of these AWS tags. La restrizione globale verrà sovrascritta se la restrizione viene effettuata per servizio web. Inoltre, non solo hai la possibilità di limitare per tag AWS ma anche di specificare i nomi espliciti:

Non dimenticare di assegnare lo special agent all'host precedentemente creato inserendo il nome host in Conditions > Explicit hosts.

Ora passa alla scoperta del servizio dell'host AWS appena creato in Checkmk, dove Checkmk dovrebbe trovare diversi servizi. Dopo aver aggiunto i servizi e dopo aver attivato le modifiche, l'aspetto sarà simile a questo nel monitoraggio:

I servizi assegnati alle istanze EC2 non sono assegnati all'host AWS, ma ai cosiddetti host piggyback. In questo modo i dati recuperati dall'host AWS vengono distribuiti a questi host piggyback, che operano senza agenti di monitoraggio propri. A ogni istanza EC2 viene assegnato un host piggyback.

Per quanto riguarda la denominazione di questi host piggyback, al momento della configurazione dell'agente speciale puoi scegliere tra due schemi: da un lato, puoi nominare gli host in base al loro nome DNS IP privato, dall'altro puoi scegliere una denominazione un po' più lunga ma unica in base a IP, regione e ID dell'istanza. Quest'ultima variante è la nostra impostazione predefinita a partire da Checkmk 2.2.0. La variante senza regione e ID dell'istanza è ancora offerta solo per motivi di compatibilità. Un host piggyback di questo tipo potrebbe quindi chiamarsi, ad esempio, 172.23.1.123-ap-northeast-2-i-0b16121900a32960c. Puoi creare questi host manualmente oppure, se possibile, lasciare questo compito alla gestione dinamica degli host.

Anche i servizi dell'ELB sono assegnati a host piggyback. I nomi corrispondono ai loro nomi DNS.

Con Checkmk puoi monitorare il traffico di ciascuno dei tuoi bucket S3. In Checkmk devi semplicemente attivare l'opzione Request metrics sotto Simple Storage Service (S3).

In AWS è necessario un po' più di lavoro: devi ancora impostare le metriche di richiesta per i bucket che vuoi monitorare. AWS descrive in dettaglio come funziona nell'articolo Creare una configurazione di metriche CloudWatch per tutti gli oggetti del tuo bucket. Durante la configurazione in AWS, ti verrà chiesto di creare un filtro. Devi dare a questo filtro il nome EntireBucket in modo che venga riconosciuto da Checkmk. Qualsiasi filtro con un nome diverso verrà ignorato da Checkmk. Quindi sei libero di definire altri filtri per questo bucket senza influenzare le funzionalità di Checkmk.

Anche la scelta del cosiddetto (filtro) Scope in AWS dipende da te. Nella maggior parte dei casi, tuttavia, avrà senso includere nel filtro tutti gli oggetti del bucket.

Dopo aver impostato le metriche di richiesta, ci vorranno alcuni minuti prima che le metriche vengano memorizzate. AWS indica un tempo di 15 minuti.

Importante: finché i grafici all'interno della console S3 sono ancora vuoti, non arriverà nulla a Checkmk nemmeno tramite l'agente speciale. Solo quando le metriche saranno state registrate, Checkmk potrà creare i servizi corrispondenti. Se necessario, esegui nuovamente una scoperta del servizio sull'host AWS.

Alcuni servizi web di AWS hanno dei limiti e Checkmk è in grado di monitorarli. Ecco alcuni esempi:

Non appena un plug-in di controllo crea dei servizi e li controlla in seguito, l'agente speciale recupera sempre tutti gli elementi del servizio web. Solo in questo modo Checkmk è in grado di calcolare in modo ragionevole il workload corrente a questi limiti e di controllare le soglie. Questo vale anche se nella configurazione limiti i dati recuperati con alcuni tag o nomi del servizio.

Il controllo dei limiti è attivato per impostazione predefinita per ogni servizio web monitorato. Se vuoi limitare i dati recuperati nella regola dell'agente speciale per limitare la quantità di dati trasferiti, devi anche disattivare i limiti.

Gli altri servizi web di AWS sono assegnati come segue: