系列文章

AWS Cloudwatch 数据源

对于 AWS Cloudwatch, 主要在于 3 种不同的认证方式:

  • AWS SDK Default
  • IAM Role
  • AK&SK
  • Credentials file

现在推荐的是使用 IAM Role 的认证方式,避免了密钥泄露的风险。

但是特别要注意的是,要读取 CloudWatch 指标和 EC2 标签 (tags)、实例、区域和告警,你必须通过 IAM 授予 Grafana 权限。你可以将这些权限附加到你在 AWS 认证中配置的 IAM role 或 IAM 用户。

IAM policy 示例如下:

Metrics-only:

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Sid": "AllowReadingMetricsFromCloudWatch",

      "Effect": "Allow",

      "Action": [

        "cloudwatch:DescribeAlarmsForMetric",

        "cloudwatch:DescribeAlarmHistory",

        "cloudwatch:DescribeAlarms",

        "cloudwatch:ListMetrics",

        "cloudwatch:GetMetricData",

        "cloudwatch:GetInsightRuleReport"

      ],

      "Resource": "*"

    },

    {

      "Sid": "AllowReadingTagsInstancesRegionsFromEC2",

      "Effect": "Allow",

      "Action": ["ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions"],

      "Resource": "*"

    },

    {

      "Sid": "AllowReadingResourcesForTags",

      "Effect": "Allow",

      "Action": "tag:GetResources",

      "Resource": "*"

    }

  ]

}

Logs-only:

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Sid": "AllowReadingLogsFromCloudWatch",

      "Effect": "Allow",

      "Action": [

        "logs:DescribeLogGroups",

        "logs:GetLogGroupFields",

        "logs:StartQuery",

        "logs:StopQuery",

        "logs:GetQueryResults",

        "logs:GetLogEvents"

      ],

      "Resource": "*"

    },

    {

      "Sid": "AllowReadingTagsInstancesRegionsFromEC2",

      "Effect": "Allow",

      "Action": ["ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions"],

      "Resource": "*"

    },

    {

      "Sid": "AllowReadingResourcesForTags",

      "Effect": "Allow",

      "Action": "tag:GetResources",

      "Resource": "*"

    }

  ]

}

Metrics and Logs:

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Sid": "AllowReadingMetricsFromCloudWatch",

      "Effect": "Allow",

      "Action": [

        "cloudwatch:DescribeAlarmsForMetric",

        "cloudwatch:DescribeAlarmHistory",

        "cloudwatch:DescribeAlarms",

        "cloudwatch:ListMetrics",

        "cloudwatch:GetMetricData",

        "cloudwatch:GetInsightRuleReport"

      ],

      "Resource": "*"

    },

    {

      "Sid": "AllowReadingLogsFromCloudWatch",

      "Effect": "Allow",

      "Action": [

        "logs:DescribeLogGroups",

        "logs:GetLogGroupFields",

        "logs:StartQuery",

        "logs:StopQuery",

        "logs:GetQueryResults",

        "logs:GetLogEvents"

      ],

      "Resource": "*"

    },

    {

      "Sid": "AllowReadingTagsInstancesRegionsFromEC2",

      "Effect": "Allow",

      "Action": ["ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions"],

      "Resource": "*"

    },

    {

      "Sid": "AllowReadingResourcesForTags",

      "Effect": "Allow",

      "Action": "tag:GetResources",

      "Resource": "*"

    }

  ]

}

跨账号可观测性:

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Action": ["oam:ListSinks", "oam:ListAttachedLinks"],

      "Effect": "Allow",

      "Resource": "*"

    }

  ]

}

AWS Cloudwatch 数据源配置示例

几种认证方式的 AWS CLoudwatch 配置示例如下:

AWS SDK(default):

apiVersion: 1

datasources:

  - name: CloudWatch

    type: cloudwatch

    jsonData:

      authType: default

      defaultRegion: eu-west-2

使用 Credentials 配置文件:

apiVersion: 1

datasources:

  - name: CloudWatch

    type: cloudwatch

    jsonData:

      authType: credentials

      defaultRegion: eu-west-2

      customMetricsNamespaces: 'CWAgent,CustomNameSpace'

      profile: secondary

使用 AK&SK:

apiVersion: 1

datasources:

  - name: CloudWatch

    type: cloudwatch

    jsonData:

      authType: keys

      defaultRegion: eu-west-2

    secureJsonData:

      accessKey: '<your access key>'

      secretKey: '<your secret key>'

使用 AWS SDK Default 和 IAM Role 的 ARM 来 Assume:

apiVersion: 1

datasources:

  - name: CloudWatch

    type: cloudwatch

    jsonData:

      authType: default

      assumeRoleArn: arn:aws:iam::123456789012:root

      defaultRegion: eu-west-2

Cloudwatch 自带仪表板

Cloudwatch 自带的几个仪表板都不太好用,建议使用 monitoringartist/grafana-aws-cloudwatch-dashboards 替代。

创建告警的查询

告警需要返回 numeric 数据的查询,而 CloudWatch Logs 支持这种查询。例如,你可以通过使用 stats 命令来启用告警。

这也是一个有效的查询,用于对包括文本 "Exception" 的消息发出告警:

filter @message like /Exception/

    | stats count(*) as exceptionCount by bin(1h)

    | sort exceptionCount desc

跨账户的可观察性

CloudWatch 插件使您能够跨区域账户监控应用程序并排除故障。利用跨账户的可观察性,你可以无缝地搜索、可视化和分析指标和日志,而不必担心账户的界限。

要使用这个功能,请在 AWS 控制台的 Cloudwatch 设置下,配置一个 monitoring 和 source 账户,然后按照上文所述添加必要的 IAM 权限。

Grafana 系列-统一展示-4-AWS Cloudwatch 数据源的更多相关文章

  1. 【转载四】Grafana系列教程–Grafana基本概念

    在上面几篇文章中,我们介绍了Grafana的安装配置以及运行的方法,本篇文章我们就来介绍下Grafana的基本概念. 有问题欢迎加群讨论,InfluxDB&Grafana技术交流群:58048 ...

  2. Grafana 系列文章(十二):如何使用Loki创建一个用于搜索日志的Grafana仪表板

    概述 创建一个简单的 Grafana 仪表板, 以实现对日志的快速搜索. 有经验的直接用 Grafana 的 Explore 功能就可以了. 但是对于没有经验的人, 他们如何能有一个已经预设了简单的标 ...

  3. 性能测试 CentOS下结合InfluxDB及Grafana图表实时展示JMeter相关性能数据

    CentOS下结合InfluxDB及Grafana图表实时展示JMeter相关性能数据   by:授客 QQ:1033553122 实现功能 1 测试环境 1 环境搭建 2 1.安装influxdb ...

  4. 分布式监控系统Zabbix--使用Grafana进行图形展示

      今天介绍一款高颜值监控绘图工具Grafana,在使用Zabbix监控环境中,通常我们会结合Grafana进行图形展示.Grafana默认没有zabbix作为数据源,需要手动给zabbix安装一个插 ...

  5. 【转】Grafana系列教程–Grafana基本概念

    在上面几篇文章中,我们介绍了Grafana的安装配置以及运行的方法,本篇文章我们就来介绍下Grafana的基本概念. 一.Data Source — 数据源 Grafana支持多种不同的时序数据库数据 ...

  6. Grafana 系列文章(一):基于 Grafana 的全栈可观察性 Demo

    ️Reference: https://github.com/grafana/intro-to-mlt 这是关于 Grafana 中可观察性的三个支柱的一系列演讲的配套资源库. 它以一个自我封闭的 D ...

  7. Grafana 系列文章(三):Tempo-使用 HTTP 推送 Spans

    ️URL: https://grafana.com/docs/tempo/latest/api_docs/pushing-spans-with-http/ Description: 有时,使用追踪系统 ...

  8. Grafana 系列文章(四):Grafana Explore

    ️URL: https://grafana.com/docs/grafana/latest/explore/ Description: Explore Grafana 的仪表盘 UI 是关于构建可视化 ...

  9. Grafana 系列文章(五):Grafana Explore 查询管理

    ️URL: https://grafana.com/docs/grafana/latest/explore/query-management/ Description: Explore 中的查询管理 ...

  10. Grafana 系列文章(六):Grafana Explore 中的日志

    ️URL: https://grafana.com/docs/grafana/latest/explore/logs-integration/#labels-and-detected-fields D ...

随机推荐

  1. 【Azure App Service】如何来停止 App Service 的高级工具站点 Kudu ?

    问题描述 如何来停止 App Service 的高级工具站点 Kudu ? kudu 介绍 Kudu 提供了一组面向开发人员的工具和扩展点,用于您的应用服务应用程序. Kudu (Advanced T ...

  2. 【Azure API 管理】 为APIM创建一个审批订阅申请的RBAC角色,最少的Action内容是什么呢?

    问题描述 在使用APIM服务中,需要为专门的一组用户赋予特殊的权限:审批APIM用户的对产品的订阅.需要自定义一个RBAC角色,那么如何来设置最少的Action满足需求呢? 问题解答 要对APIM订阅 ...

  3. 一文上手图数据备份恢复工具 NebulaGraph BR

    作者:NebulaGraph 工程师 Kenshin NebulaGraph BR 开源已经有一段时间了,为了给社区用户提供一个更稳.更快.更易用的备份恢复工具,去年对其进行了比较大的重构.Nebul ...

  4. C++ //统计元素个数 //统计内置数据类型 //统计自定义数据类型

    1 //统计元素个数 2 3 #include<iostream> 4 #include<string> 5 #include<vector> 6 #include ...

  5. 文心一言 VS 讯飞星火 VS chatgpt (210)-- 算法导论16.1 1题

    一.根据递归式(16.2)为活动选择问题设计一个动态规划算法.算法应该按前文定义计算最大兼容活动集的大小 c[i,j]并生成最大集本身.假定输入的活动已按公式(16.1)排好序.比较你的算法和GREE ...

  6. Sagas论文原文读后总结

    一.引子 分布式事务组件seata最近社区很活跃,刚好公司有对接seata的计划.刚好借此机会,彻底了解下seata的价值.其中有一个比较特殊的模式叫SAGA模式,听起来就很懵逼,按照官网的介绍起源于 ...

  7. Zabbix“专家坐诊”第187期问答汇总

    问题一 Q:zabbix server 5.0有办法不通过脚本监控SSL证书到期时间么? A:目前还是流行通过脚本方式去获取. Q:如果是通配符证书应该怎么监控? A:通过解析域名获取对应的过期时间的 ...

  8. iview 部分表单验证

    引用:https://github.com/ElemeFE/element/issues/3686 zxmantou commented on 25 Feb 2019 @Murraya-panicul ...

  9. pod为什么会被驱逐及如何避免pod被驱逐导致的服务中断

    Pod被驱逐的原因主要有以下几点: 资源不足:当节点资源(如CPU.内存.存储等)不足以满足Pod的资源需求时,调度器会选择将其中一个或多个Pod驱逐出节点,以便在资源有限的节点上安排新的Pod. 超 ...

  10. 【LLM】在Colab上使用免费T4 GPU进行Chinese-Llama-2-7b-4bit推理

    一.配置环境 1.打开colab,创建一个空白notebook,在[修改运行时环境]中选择15GB显存的T4 GPU. 2.pip安装依赖python包 !pip install --upgrade ...