Supervision d’Amazon Web Services (AWS)

Dans Checkmk, tous les objets à surveiller sont organisés selon une structure hiérarchique d’ordinateurs hôtes et de services. Le concept d’ordinateur hôte n’existe pas dans les services basés sur le cloud. Toutefois, afin de préserver la simplicité et la cohérence de Checkmk, nous continuons à effectuer l’affectation des objets AWS selon le schéma hôte/service.

Un exemple permet d’illustrer au mieux comment cela est réalisé : dans une région, plusieurs instances EC2 ont été configurées. Une instance EC2 est généralement associée à un volume EBS. Cette configuration se présente ainsi dans Checkmk :

AWS fournit une API basée sur HTTP via laquelle les données de surveillance sont également disponibles. Checkmk accède à cette API via l’agent spécial « agent_aws » — qui remplace l’agent Checkmk — mais, contrairement à ce dernier, cet agent s’exécute localement sur le serveur Checkmk.

Pour activer la supervision via Checkmk, il est préférable de créer un utilisateur AWS dédié sous votre compte root. Connectez-vous à AWS en tant qu’utilisateur root, puis accédez à All services et rendez-vous dans la section « Security, Identity, & Compliance > IAM » (Gestion des identités et des accès). Rendez-vous à l’adresse Users et créez un nouvel utilisateur en cliquant sur « Add user ». Choisissez comme nom d’utilisateur, par exemple, check-mk. Il est important de sélectionner l’Access key - Programmatic accesse « Select AWS credential type ».

L'utilisateur que vous venez de créer ne doit servir qu'à la supervision par Checkmk et n'a besoin que d'un accès en lecture seule à AWS. Nous vous recommandons d'attribuer simplement la directive « ReadOnlyAccess » à cet utilisateur. Pour trouver cette directive, cliquez d'abord sur « Attach existing policies directly », puis saisissez « readonlyaccess » dans le champ de recherche. Dans la liste située sous le champ de recherche, vous devrez faire défiler la page assez loin vers le bas, car il existe un certain nombre de directives contenant cette chaîne de caractères.

Une fois la création de l'utilisateur terminée, une clé d'accès sera générée automatiquement pour vous. Important : le secret de la clé n'est affiché qu'une seule fois, immédiatement après sa création. Veillez donc à copier la clé et à l'enregistrer, par exemple dans le coffre-fort à mot de passe de Checkmk. Vous pouvez également la spécifier en texte clair dans une règle (voir ci-dessous). Pour Checkmk, vous avez besoin de l'Access key ID, en plus du secret. Le nom de l'utilisateur (dans notre exemple check-mk) n'a ici aucune importance.

Si, pour une raison quelconque, vous deviez perdre le secret, vous pouvez créer une nouvelle clé d'accès pour l'utilisateur et obtenir un nouveau secret :

Si vous souhaitez que Checkmk dispose d'un accès en lecture aux informations de facturation (afin d'effectuer la vérification globale « Costs and Usage »), vous avez besoin d'une autre directive pour votre utilisateur AWS — une directive que vous devez d'abord définir vous-même.

Sous « Security, Identity, & Compliance > IAM > Policies », sélectionnez le bouton « Create Policy ». Sélectionnez le service « Billing » dans « Select a Service > Service > Choose a Service ». Sous « Actions », cochez la case à cocher « Read ». Nous devons définir une autorisation supplémentaire. Ajoutez-en une via le bouton « Add additional permissions ». Sélectionnez le service « Cost Explorer Service » dans « Select a Service > Service > Choose a Service ». Sous « Actions », cochez à nouveau la case à cocher « Read ».

Cliquez sur « Review » pour passer à l'étape 2. Définissez « BillingViewAccess » comme « Name », puis enregistrez-le à l'aide du bouton « Create policy ».

Vous devez maintenant ajouter cette nouvelle directive à l'utilisateur. Accédez à nouveau à « Security, Identity, & Compliance > IAM > Policies » (Gérer les directives) — dans la case de recherche « Filter Policies » (Directive de gestion des utilisateurs et des ordinateurs), recherchez « BillingViewAccess » (Directive de gestion des utilisateurs et des ordinateurs), sélectionnez-la en cliquant sur le cercle à gauche, puis cliquez sur « Policy actions > Attach » (Appliquer). Vous trouverez ici votre utilisateur « check-mk » ; sélectionnez-le et confirmez en cliquant sur « Attach policy » (Appliquer).

Créez maintenant un hôte pour surveiller AWS dans Checkmk. Vous pouvez attribuer le nom de domaine de votre choix. Important : comme AWS, en tant que service, ne dispose ni d'adresse IP ni de nom DNS (l'accès est accordé par l'agent spécial lui-même), vous devez définir l'IP address familye sur No IP.

AWS ne peut pas être interrogé via l'agent Checkmk standard ; vous devez donc configurer l'agent spécial AWS. Pour ce faire, sous « Setup > Agents > VM, cloud, container > Amazon Web Services (AWS) », ajoutez une règle dont les conditions s'appliquent uniquement à l'hôte AWS que vous venez de créer.

Dans le contenu de la règle, vous trouverez tout d’abord les informations de login. Saisissez ici l’« Access key ID » de l’utilisateur AWS nouvellement créé check-mk. Indiquez également ici si vous avez besoin d’un proxy pour récupérer les données et quelles données globales vous souhaitez soumettre à la supervision, c’est-à-dire celles qui sont indépendantes d’une région. Il s’agit actuellement uniquement des données relatives aux coûts :

Sur l'image ci-dessus, vous pouvez également voir l'option « Use STS AssumeRole to assume a different IAM role ». Si vous utilisez différents comptes sur AWS, vous pouvez utiliser un seul utilisateur de supervision pour surveiller également les autres comptes.

Mais les données vraiment intéressantes sont attribuées à des régions. Sélectionnez donc ici votre ou vos régions AWS :

Sous « Services by region to monitor », vous spécifiez les informations que vous souhaitez récupérer à partir de ces régions. Par défaut, tous les services AWS et la supervision de leurs limites sont activés. Dans l'image suivante, tous sauf un sont désactivés afin d'obtenir un meilleur aperçu :

Vous pouvez désormais limiter les données récupérées par service web ou de manière globale via « Restrict monitoring services by one of these AWS tags ». La restriction globale sera remplacée si vous appliquez une restriction par service web. De plus, vous avez non seulement la possibilité de limiter par balises AWS, mais également de spécifier des noms explicites :

N'oubliez pas d'attribuer l'agent spécial à l'ordinateur hôte créé précédemment en saisissant ce nom de domaine dans Conditions > Explicit hosts.

Passez maintenant à la reconnaissance du service de l'ordinateur hôte AWS nouvellement créé dans Checkmk, où Checkmk devrait désormais trouver plusieurs services. Une fois les services ajoutés et les modifications activées, la supervision se présentera comme suit :

Les services attribués aux instances EC2 ne sont pas affectés à l’hôte AWS, mais à ce que l’on appelle des hôtes « ferroutés ». Le fonctionnement est le suivant : les données récupérées depuis l’hôte AWS sont distribuées à ces hôtes « ferroutés », qui fonctionnent sans agents de supervision propres. Un hôte « ferrouté » est attribué à chaque instance EC2.

Pour la dénomination de ces hôtes ferroutés, vous pouvez choisir entre deux schémas lors de la configuration de l’agent spécial. D’une part, vous pouvez nommer les hôtes en fonction de leur nom DNS d’adresse IP privée, ou bien vous pouvez opter pour une dénomination un peu plus longue mais unique, basée sur l’adresse IP, la région et l’ID d’instance. Cette dernière variante est notre paramètre par défaut depuis la version Checkmk 2.2.0. La variante sans région ni ID d'instance n'est proposée que pour des raisons de compatibilité. Un tel hôte ferrouté pourrait ainsi être nommé 172.23.1.123-ap-northeast-2-i-0b16121900a32960c, par exemple. Créez ces hôtes manuellement ou, si possible, confiez cette tâche à la gestion dynamique des hôtes.

Les services pour l'ELB sont également attribués à des hôtes ferroutés. Les noms correspondent à leurs noms DNS.

Avec Checkmk, vous pouvez effectuer la supervision du trafic de chacun de vos compartiments S3. Dans Checkmk, il vous suffit d’activer l’option « Request metrics » sous « Simple Storage Service (S3) ».

Dans AWS, cela demande un peu plus de travail. Ici, vous devez encore configurer ces métriques de requête pour les compartiments que vous souhaitez soumettre à la supervision. AWS décrit en détail comment cela fonctionne dans l’article Créer une configuration de métriques CloudWatch pour tous les objets de votre compartiment. Lors de la configuration dans AWS, il vous sera demandé de créer un filtre. Vous devez nommer ce filtre « EntireBucket » afin qu’il soit reconnu par Checkmk. Tout filtre portant un nom différent sera ignoré par Checkmk. Vous êtes donc libre de définir d’autres filtres pour ce compartiment sans affecter le fonctionnement de Checkmk.

Le choix de ce que l'on appelle le filtre « Scope » dans AWS vous appartient également. Dans la plupart des cas, il sera toutefois judicieux d'inclure tous les objets du compartiment dans le filtre.

Une fois les métriques de requête configurées, il faudra attendre quelques minutes avant que des métriques ne soient enregistrées. AWS indique que ce délai est de 15 minutes.

Important : tant que les graphiques dans la console S3 sont vides, aucune donnée n'arrivera non plus dans Checkmk via l'agent spécial. Ce n'est qu'une fois les métriques enregistrées que Checkmk peut créer les services correspondants. Si nécessaire, effectuez à nouveau la reconnaissance du service sur l'ordinateur hôte AWS.

Certains services web d'AWS ont des limites et Checkmk est capable de les surveiller. Voici quelques exemples :

Dès qu’un tel plugin de supervision crée des services et les vérifie par la suite, l’agent spécial récupère systématiquement tous les éléments du service web. Ce n’est que de cette manière que Checkmk est en mesure de calculer de manière raisonnable la charge de travail actuelle au niveau de ces limites et de vérifier les valeurs seuils. C’est également le cas même si vous limitez les données récupérées à l’aide de certaines balises ou de certains noms dans la configuration.

La vérification des limites est activée par défaut pour chaque service web surveillé. Si vous souhaitez limiter les données récupérées dans la règle de l'agent spécial afin de réduire la quantité de données transférées, vous devez également désactiver les limites.

Les autres services web dans AWS sont attribués comme suit :