Monitorización de Amazon Web Services (AWS)

En Checkmk, todos los objetos que se van a monitorizar se organizan en una estructura jerárquica de hosts y servicios. El concepto de host no existe en los servicios basados en la nube. Sin embargo, para mantener la simplicidad y la coherencia de Checkmk, seguimos realizando el mapeo de los objetos de AWS según el esquema de host/servicio.

La mejor forma de ilustrar cómo se consigue esto es con un ejemplo: en una región se han configurado varias instancias EC2. Normalmente, a un EC2 se le asigna un EBS. Esta configuración se ve así en Checkmk:

AWS proporciona una API basada en HTTP a través de la cual también están disponibles los datos de monitorización. Checkmk accede a esta API a través del agente especial agent_aws —que sustituye al agente Checkmk—, pero, a diferencia de este, dicho agente se ejecuta localmente en el servidor Checkmk.

Para habilitar la monitorización a través de Checkmk, lo mejor es crear un usuario especial de AWS bajo tu cuenta de root. Inicia sesión en AWS como usuario root y ve en All services a Security, Identity, & Compliance > IAM (Gestión de identidades y accesos). Ve a Users y crea un nuevo usuario con Add user. Como nombre de usuario, elige, por ejemplo, check-mk. Es importante que selecciones el Access key - Programmatic access para Select AWS credential type.

El usuario que acabas de crear solo debe utilizarse para la monitorización por parte de Checkmk y solo necesita acceso de solo lectura a AWS. Te recomendamos que simplemente le asignes la directiva «ReadOnlyAccess» a este usuario. Para encontrar esta directiva, primero haz clic en «Attach existing policies directly» y, a continuación, escribe «readonlyaccess» en el cuadro de búsqueda. En la lista que aparece debajo del campo de búsqueda, tendrás que desplazarte bastante hacia abajo, ya que hay bastantes directivas que contienen esta cadena.

Una vez completada la creación del usuario, se generará automáticamente una clave de acceso para ti. Importante: El secreto de la clave solo se muestra una vez, justo después de su creación. Por lo tanto, copia la clave sin falta y guárdala, por ejemplo, en el almacén de contraseñas de Checkmk. También puedes especificarla en texto sin formato como una regla (ver más abajo). Para Checkmk necesitas el Access key ID además del secreto. El nombre del usuario (en nuestro ejemplo, check-mk) no importa aquí.

Si por alguna razón perdieras el secreto, puedes crear una nueva clave de acceso para el usuario y obtener un nuevo secreto:

Si quieres que Checkmk tenga acceso de lectura a la información de facturación (para realizar la comprobación global de Costs and Usage), necesitas otra directiva para tu usuario de AWS, una directiva que tú mismo debes definir primero.

En «Security, Identity, & Compliance > IAM > Policies», selecciona el botón «Create Policy». En «Select a Service > Service > Choose a Service», selecciona el servicio «Billing». En «Actions», marca la checkbox «Read». Tenemos que establecer un permiso adicional. Añade uno mediante el botón «Add additional permissions». En «Select a Service > Service > Choose a Service», selecciona el servicio «Cost Explorer Service». En «Actions», vuelve a marcar la checkbox «Read».

Haz clic en «Review» para pasar al paso dos. Establece «BillingViewAccess» como «Name» y guárdalo con el botón «Create policy».

Ahora debes añadir esta nueva directiva al usuario. Vuelve a Security, Identity, & Compliance > IAM > Policies; en la caja de búsqueda «Filter Policies», busca «BillingViewAccess», selecciónalo haciendo clic en el círculo de la izquierda y, a continuación, ve a «Policy actions > Attach». Aquí encontrarás tu usuario «check-mk»; selecciónalo y confírmalo con «Attach policy».

Ahora crea un host para supervisar AWS en Checkmk. Puedes asignarle el nombre del host que quieras. Importante: Como AWS, al ser un servicio, no tiene dirección IP ni nombre DNS (el acceso lo concede el propio agente especial), tienes que configurar el IP address family en No IP.

AWS no se puede consultar a través del agente Checkmk habitual, así que a continuación configura el agente especial de AWS. Para ello, en «Setup > Agents > VM, cloud, container > Amazon Web Services (AWS)» añade una regla cuyas condiciones se apliquen únicamente al host de AWS que acabas de crear.

En el contenido de la regla, lo primero que encontrarás es la información de inicio de sesión. Aquí introduce el «Access key ID» del usuario de AWS recién creado check-mk. Elige también aquí si necesitas un proxy para recuperar los datos y qué datos globales quieres realizar la monitorización, es decir, aquellos que son independientes de una región. Actualmente, solo son los datos relacionados con los costes:

En la imagen de arriba también puedes ver la opción Use STS AssumeRole to assume a different IAM role. Si utilizas diferentes cuentas en AWS, puedes usar un único usuario de monitorización para supervisar también las otras cuentas.

Pero los datos realmente interesantes están asignados a las regiones. Por lo tanto, selecciona aquí tu(s) región(es) de AWS:

En «Services by region to monitor» (Seleccionar datos de monitorización), especifica qué información quieres recuperar de estas regiones. Por defecto, todos los servicios de AWS y la monitorización de sus límites están activados. En la siguiente imagen, todos menos uno están desactivados para obtener una mejor vista general:

Ahora puedes restringir los datos recuperados por servicio web o de forma global con «Restrict monitoring services by one of these AWS tags». La restricción global se anulará si restringes por servicio web. Además, no solo tienes la opción de restringir por tags de AWS, sino también de especificar los nombres explícitos:

No te olvides de asignar el agente especial al host creado anteriormente introduciendo ese nombre del host en Conditions > Explicit hosts.

Ahora switch al descubrimiento de servicios del host de AWS recién creado en Checkmk, donde Checkmk debería encontrar varios servicios. Después de añadir los servicios y después de activar los cambios, se verá algo así en la monitorización:

Los servicios asignados a las instancias EC2 no se asignan al host de AWS, sino a los llamados hosts piggybacked. Esto funciona de tal manera que los datos recuperados del host de AWS se distribuyen a estos hosts piggybacked, que operan sin sus propios agentes de monitorización. Se asigna un host piggyback a cada instancia EC2.

Para nombrar estos hosts piggyback, puedes elegir entre dos esquemas al configurar el agente especial. Por un lado, puedes nombrar los hosts según su nombre DNS de IP privada o puedes elegir el nombre algo más largo pero único según la IP, la región y el ID de la instancia. Esta última variante es nuestra configuración predeterminada a partir de Checkmk 2.2.0. La variante sin región ni ID de instancia solo se ofrece por motivos de compatibilidad. Así, un host piggyback de este tipo podría llamarse, por ejemplo, 172.23.1.123-ap-northeast-2-i-0b16121900a32960c. Crea estos hosts manualmente o, si es posible, deja esta tarea a la administración dinámica del host.

Los servicios para el ELB también se asignan a hosts piggyback. Los nombres se corresponden con sus nombres DNS.

Con Checkmk puedes realizar la monitorización del tráfico de cada uno de tus buckets de S3. En Checkmk solo tienes que activar la opción «Request metrics» (Monitorización del tráfico de los buckets de S3) en «Simple Storage Service (S3)».

En AWS, se requiere un poco más de trabajo. Aquí aún tienes que configurar estas métricas de solicitud para los buckets que quieras realizar la monitorización de ellos. AWS describe cómo funciona esto en detalle en el artículo «Creación de una configuración de métricas de CloudWatch para todos los objetos de tu bucket». Durante la configuración en AWS, se te pedirá que crees un filtro. Debes llamar a este filtro «EntireBucket» para que Checkmk lo reconozca. Checkmk ignorará cualquier filtro con un nombre diferente. Así que puedes definir otros filtros para este bucket sin que afecte al funcionamiento de Checkmk.

La forma de elegir el denominado filtro «Scope» en AWS también depende de ti. Sin embargo, en la mayoría de los casos, tendrá sentido incluir todos los objetos del bucket en el filtro.

Tras configurar las métricas de solicitud, pasarán unos minutos antes de que se almacene ninguna métrica. AWS especifica este tiempo en 15 minutos.

Importante: Mientras los gráficos de la consola de S3 sigan vacíos, tampoco llegará nada a Checkmk a través del agente especial. Solo cuando se hayan registrado métricas, Checkmk podrá crear los servicios correspondientes. Si es necesario, vuelve a realizar un descubrimiento de servicios en el host de AWS.

Algunos servicios web de AWS tienen límites y Checkmk puede realizar la monitorización. Aquí tienes algunos ejemplos:

En cuanto un check plugin de este tipo crea servicios y los comprueba más tarde, el agente especial siempre recuperará todos los elementos del servicio web. Solo así Checkmk puede calcular de forma razonable la carga de trabajo actual en estos límites y comprobar los umbrales. Esto también ocurre aunque restrinjas los datos recuperados mediante algunas etiquetas o nombres en la configuración.

La comprobación de los límites está activada por defecto para cada servicio web supervisado. Si quieres restringir los datos recuperados en la regla del agente especial para limitar la cantidad de datos transferidos, también debes desactivar los límites.

Los demás servicios web de AWS se asignan de la siguiente manera: