Monitoraggio dei servizi web di Amazon (AWS)

In Checkmk tutti gli oggetti da monitorare sono organizzati in una struttura gerarchica di host e servizi. Il concetto di host non esiste nei servizi basati sul cloud. Tuttavia, per mantenere la semplicità e la coerenza di Checkmk, continuiamo a effettuare la mappatura degli oggetti AWS secondo lo schema host/servizio.

Il modo in cui ciò viene realizzato può essere illustrato al meglio con un esempio: in una regione sono state configurate diverse istanze EC2. Un'istanza EC2 è solitamente assegnata a un EBS. Questa configurazione appare così in Checkmk:

AWS fornisce un'API basata su HTTP tramite la quale sono disponibili anche i dati di monitoraggio. Checkmk accede a questa API tramite l'special agent agent_aws — che sostituisce l'agente Checkmk — ma, a differenza di quest'ultimo, questo agente viene eseguito localmente sul server Checkmk.

Per abilitare il monitoraggio tramite Checkmk, è consigliabile creare un utente AWS dedicato sotto il tuo account root. Accedi ad AWS come utente root e vai su All services, quindi su Security, Identity, & Compliance > IAM (Identity and Access Management). Vai su Users e crea un nuovo utente con Add user. Come nome utente scegli, ad esempio, check-mk. È importante selezionare l'Access key - Programmatic accesse per Select AWS credential type.

L'utente che hai appena creato dovrebbe essere utilizzato solo per il monitoraggio da parte di Checkmk e necessita solo di un accesso in sola lettura ad AWS. Ti consigliamo di assegnare semplicemente a questo utente la policy ReadOnlyAccess. Per trovare questa policy, clicca prima su Attach existing policies directly e poi digita readonlyaccess nella casella di ricerca. Nell'elenco sotto il campo di ricerca, dovrai scorrere abbastanza in basso, perché ci sono parecchie policy che contengono questa stringa.

Una volta completata la creazione dell'utente, verrà generata automaticamente una chiave di accesso. Importante: il segreto della chiave viene visualizzato solo una volta, subito dopo la sua creazione. Pertanto, copia la chiave e salvala, ad esempio, nell'archivio password di Checkmk. In alternativa, specificala in chiaro come regola (vedi sotto). Per Checkmk, oltre al segreto, ti serve l'Access key ID. Il nome dell'utente (nel nostro esempio check-mk) qui non ha importanza.

Se per qualche motivo dovessi perdere il segreto, puoi creare una nuova chiave di accesso per l'utente e ottenere un nuovo segreto:

Se vuoi che Checkmk abbia accesso in lettura alle informazioni di fatturazione (per eseguire il controllo globale Costs and Usage), ti serve un'altra policy per il tuo utente AWS — una policy che devi definire tu stesso.

Sotto "Security, Identity, & Compliance > IAM > Policies" seleziona il pulsante "Create Policy". Seleziona da "Select a Service > Service > Choose a Service" il servizio "Billing". Sotto "Actions" spunta la checkbox "Read". Dobbiamo impostare un permesso aggiuntivo. Aggiungine uno tramite il pulsante "Add additional permissions". Seleziona da "Select a Service > Service > Choose a Service" il servizio "Cost Explorer Service". Sotto "Actions" spunta nuovamente la checkbox "Read".

Clicca su Review per passare alla fase due. Imposta BillingViewAccess come Name e salva con il pulsante Create policy.

Ora devi aggiungere questa nuova policy all'utente. Torna su Security, Identity, & Compliance > IAM > Policies — nel box di ricerca Filter Policies cerca BillingViewAccess, selezionalo cliccando sul cerchio a sinistra, poi vai su Policy actions > Attach. Qui troverai il tuo utente check-mk, selezionalo e conferma con Attach policy.

Ora crea un host per monitorare AWS in Checkmk. Puoi assegnare il nome host che preferisci. Importante: poiché AWS come servizio non ha un indirizzo IP o un nome DNS (l'accesso è concesso dallo stesso special agent), devi impostare l'IP address familye su No IP.

AWS non può essere interrogato tramite l'agente Checkmk normale, quindi configura ora l'agente speciale AWS. Per farlo, in "Setup > Agents > VM, cloud, container > Amazon Web Services (AWS)" aggiungi una regola le cui condizioni si applicano solo all'host AWS appena creato.

Nel contenuto effettivo della regola, troverai innanzitutto le informazioni per il login. Qui inserisci l’“Access key ID” dell’utente AWS appena creato check-mk. Scegli qui anche se hai bisogno di un proxy per recuperare i dati e quali dati globali vuoi monitorare, cioè quelli indipendenti da una regione. Attualmente si tratta solo dei dati relativi ai costi:

Nell'immagine sopra puoi vedere anche l'opzione Use STS AssumeRole to assume a different IAM role. Se utilizzi diversi account su AWS, puoi usare un unico utente di monitoraggio per effettuare il monitoraggio degli altri account.

Ma i dati davvero interessanti sono assegnati alle regioni. Pertanto, seleziona qui la tua regione o le tue regioni AWS:

In "Services by region to monitor" specifichi quali informazioni vuoi recuperare da queste regioni. Di default sono attivati tutti i servizi AWS e il monitoraggio dei loro limiti. Nell'immagine seguente sono disattivati tutti tranne uno per avere una panoramica migliore:

Ora puoi limitare i dati recuperati per servizio web o a livello globale tramite "Restrict monitoring services by one of these AWS tags". La limitazione globale verrà sovrascritta se imposti una limitazione per servizio web. Inoltre, non solo hai la possibilità di limitare in base ai tag AWS, ma anche di specificare i nomi espliciti:

Non dimenticare di assegnare l'special agent all'host creato in precedenza inserendo il nome host in Conditions > Explicit hosts.

Ora passa alla scoperta del servizio dell'host AWS appena creato in Checkmk, dove Checkmk dovrebbe ora trovare diversi servizi. Dopo aver aggiunto i servizi e dopo aver attivato le modifiche, il monitoraggio apparirà più o meno così:

I servizi assegnati alle istanze EC2 non vengono assegnati all'host AWS, ma ai cosiddetti host piggybacked. Questo funziona in modo tale che i dati recuperati dall'host AWS vengano distribuiti a questi host piggybacked, che operano senza propri agenti di monitoraggio. A ogni istanza EC2 viene assegnato un host piggybacked.

Per la denominazione di questi host piggybacked, puoi scegliere tra due schemi durante la configurazione dell'agente speciale. Da un lato, puoi denominare gli host in base al loro nome DNS IP privato oppure puoi scegliere la denominazione leggermente più lunga ma univoca in base a IP, regione e ID istanza. Quest'ultima variante è la nostra impostazione predefinita a partire da Checkmk 2.2.0. La variante senza regione e ID istanza è ancora disponibile solo per motivi di compatibilità. Un host piggybacked potrebbe quindi essere denominato, ad esempio, 172.23.1.123-ap-northeast-2-i-0b16121900a32960c. Crea questi host manualmente oppure, se possibile, lascia questo compito alla gestione dinamica degli host.

Anche i servizi per l'ELB sono assegnati a host piggybacked. I nomi corrispondono ai loro nomi DNS.

Con Checkmk puoi effettuare il monitoraggio del traffico di ciascuno dei tuoi bucket S3. In Checkmk devi semplicemente attivare l'opzione "Request metrics" sotto "Simple Storage Service (S3)".

In AWS, è necessario un po' più di lavoro. Qui devi ancora configurare queste metriche di richiesta per i bucket che desideri monitorare. AWS descrive in dettaglio come funziona nell'articolo Creazione di una configurazione delle metriche CloudWatch per tutti gli oggetti nel tuo bucket. Durante il Setup in AWS, ti verrà chiesto di creare un filtro. Devi chiamare questo filtro "EntireBucket" in modo che venga riconosciuto da Checkmk. Qualsiasi filtro con un nome diverso verrà ignorato da Checkmk. Quindi sei libero di definire altri filtri per questo bucket senza influire sulla funzionalità in Checkmk.

Anche la scelta del cosiddetto filtro "Scope" in AWS dipende da te. Nella maggior parte dei casi, tuttavia, avrà senso includere nel filtro tutti gli oggetti presenti nel bucket.

Dopo aver configurato le metriche di richiesta, ci vorranno alcuni minuti prima che le metriche vengano effettivamente memorizzate. AWS specifica questo tempo come 15 minuti.

Importante: finché i grafici all’interno della console S3 sono ancora vuoti, non arriverà nulla in Checkmk nemmeno tramite l’special agent. Solo quando le metriche sono state registrate, Checkmk può creare i servizi corrispondenti. Se necessario, esegui nuovamente la scoperta del servizio sull’host AWS.

Alcuni servizi web di AWS hanno dei limiti e Checkmk è in grado di effettuare il monitoraggio. Ecco alcuni esempi:

Non appena un plug-in di controllo di questo tipo crea dei servizi e li controlla in seguito, l’agente speciale recupererà sempre tutti gli elementi del servizio web. Solo in questo modo Checkmk è in grado di calcolare in modo ragionevole il carico di lavoro attuale rispetto a questi limiti e di verificare le soglie. Questo vale anche se limiti i dati recuperati tramite alcuni tag o nomi nella configurazione.

Il controllo dei limiti è attivato di default per ogni servizio web monitorato. Se vuoi limitare i dati recuperati nella regola dell'agente speciale per ridurre la quantità di dati trasferiti, devi anche disattivare i limiti.

Gli altri servizi web in AWS sono assegnati come segue: