将 AWS 服务与 Site24x7 集成
要监控您的 AWS 基础设施和托管服务,您需要在 Site24x7 控制台中创建一个 AWS 监视器。在设置过程中,您首先需要为 Site24x7 授予只读访问权限,以访问您 Amazon Web Services(AWS)账户中运行的各种 AWS 资源。这可以通过两种不同的方式实现。
您可以在您的账户与 Site24x7 的 AWS 账户之间创建跨账户 IAM 角色,或者将 Site24x7 创建为 IAM 用户(通过安全凭证进行身份验证)。完成后,登录 Site24x7 控制台,将角色 ARN 或安全凭证粘贴到集成 AWS 账户表单中,以启用 AWS 集成。
如果您已经生成了安全凭证(访问密钥 ID 和私有访问密钥)或角色 ARN,可以直接跳到"连接 AWS 账户"部分;否则,请按照"为 Site24x7 启用账户访问权限"部分中提到的步骤进行操作。
为 Site24x7 启用账户访问权限
将 AWS 账户与 Site24x7 连接
- 基于 IAM 角色的跨账户身份验证
- CloudFormation IAM 基于角色的访问
- 基于 AWS Control Tower 生命周期事件的访问
- 基于 AWS IAM Identity Center 的访问
- 基于委托管理员的访问
- 基于 IAM 用户密钥的身份验证
- 高级发现选项
- 使用标签排除/包含 AWS 资源
- 配置通知配置文件、用户组和阈值
- 发现 AWS 资源
- 从发现中禁用服务
- 从 Site24x7 中移除 AWS 账户
通过基于角色的身份验证连接 AWS 账户
创建 IAM 角色后,返回 AWS Identity and Access Management(IAM)控制台。
- 在导航窗格中,单击角色
- 使用筛选标签,通过角色名称参数搜索您创建的 IAM 角色。
- 单击该角色,查看角色摘要
- 摘要中将包含角色 ARN。
- 现在,登录 Site24x7 Web 控制台。
- 单击 AWS > 集成 AWS 账户
- 选择 AWS 账户类型——全球区域、GovCloud(美国)或中国区域。
账户类型应与您创建 IAM 角色的位置相同。例如,如果您在 GovCloud(美国)账户中创建了 IAM 角色,请将账户类型标签从"全球"切换为"GovCloud(美国)"。
- 将集成方式选择为单个账户。选择集成方式字段允许您选择如何将 AWS 账户与 Site24x7 连接。您可以根据需要选择所需的集成方式。
根据您是集成单个 AWS 账户还是多个账户,可用的部署方式会有所不同。- 如果您选择"单个账户"作为集成方式,可以使用以下方法之一进行部署:
- 使用 CloudFormation 注册
- 使用 IAM 角色注册
- 如果您选择"多个账户",则以下部署方式可用:
- 使用 Control Tower 注册
- 使用 AWS IAM Identity Center 注册
- 使用委托管理员注册
- 如果您选择"单个账户"作为集成方式,可以使用以下方法之一进行部署:
选择集成方式选项仅适用于全球和中国 AWS 账户类型。
- 选择使用 IAM 角色注册。在使用 IAM 角色注册标签中,填写以下信息以将 AWS 账户与 Site24x7 连接:
- 角色 ARN:复制并粘贴您为 Site24x7 创建的跨账户 IAM 角色的角色 ARN。
- 显示名称:为您的 AWS 账户提供一个合适的标签
CloudFormation IAM 基于角色的访问
您可以通过为 Site24x7 创建基于 IAM 角色的访问权限来启用对 AWS 资源的访问。您可以使用 CloudFormation 模板自动创建 IAM 角色。了解更多。
基于 AWS Control Tower 生命周期事件的访问
您可以通过 AWS Control Tower 生命周期事件 为现有和新 AWS 账户启用访问权限,并自动发现组织中所有需要与 Site24x7 集成的账户。
基于 AWS IAM Identity Center 的访问
AWS IAM Identity Center 通过一致的单点登录体验为您的 AWS 账户提供访问权限,并帮助将多个 AWS 账户与 Site24x7 集成。
基于委托管理员的访问
您可以通过委托管理员为 AWS 账户启用访问权限,并自动发现组织中所有需要与 Site24x7 集成的账户。
通过基于密钥的身份验证连接 AWS 账户
此身份验证方法已弃用。请使用基于角色的身份验证方法监控您的 AWS 资源。
将 Site24x7 创建为 IAM 用户并下载安全凭证(访问密钥 ID 和私有访问密钥)后,请按照以下步骤创建 AWS 监视器:
- 登录 Site24x7 Web 控制台。
- 单击 AWS > 集成 AWS 账户
- 根据您要监控的基础设施和服务所在位置,选择 AWS 账户类型(全球区域、GovCloud(美国)或中国区域)
- 切换到使用访问密钥注册标签,填写以下信息以启用 AWS 集成
- 显示名称:为您的 AWS 账户提供一个合适的标签
- 访问密钥 ID:复制并粘贴访问密钥 ID
- 私有访问密钥:复制并粘贴私有访问密钥。
发现选项
高级配置
为每项支持的 AWS 服务配置默认阈值配置文件、静默资源终止告警、使用 AWS 原生标签自动创建监视器组、自定义指导报表等。请访问我们的帮助手册了解详细信息。
待发现的服务
从监视器的相应列表框中选择您希望监控的 AWS 服务。Site24x7 将仅发现该服务的各个实例。
重新发现间隔(轮询 AWS 账户以检测新变更的间隔)
Site24x7 需要查询 AWS 服务,以获取 AWS 账户中各基础设施组件的近实时状态和视图。这样,AWS 环境中发生的任何变更——新建实例、实例终止、数据库表名修改、新主题创建等——都能被检测并在 Site24x7 控制台中反映出来。重新发现间隔决定了执行这些检查的频率。通过配置,您可以安排重新发现按规律间隔进行。
目前,我们的 AWS 基础设施监控支持以下按区域划分的轮询方式:
- 默认轮询:具有 Amazon 服务的区域每 5 分钟轮询一次,其他受支持区域的轮询间隔为 1 小时。
- 较少轮询:具有 Amazon 服务的区域每 5 分钟轮询一次,其他受支持区域的轮询间隔为 6 小时。
- 从不:不会对任何区域的任何 Amazon 服务进行重新发现。用户需要使用"立即轮询"选项来启动重新发现。
*其他受支持的 AWS 服务包括:RDS、DynamoDB、SNS、S3、ELB(经典型、应用型和网络型)、Lambda、ElastiCache、SQS、Kinesis 服务(Data Streams、Video Streams、Firehose 和 Analytics)、Elastic Beanstalk、Direct Connect、VPC-VPN 连接、API Gateway、Elastic Container Service(ECS)、Redshift、Elastic File System(EFS)、Simple Email Service(SES)、CloudFront、Lightsail、WorkSpaces、Elastic Kubernetes Service(EKS)等更多服务。
配置时需注意以下几点:
- 重新发现间隔是两次查询 AWS 账户之间的时间间隔。
- 如果您希望立即发现 AWS 环境中的变更,可以使用立即轮询选项
- 已挂载 EBS 卷的重新发现将与 EC2 实例同步进行,因此任何卷调整大小的变更将在 5 分钟内得到反映。
- 适用于各受支持 AWS 服务的性能指标轮询间隔不受重新发现轮询间隔的影响,默认始终为 5 分钟。
您可以在 AWS 账户级别启动立即轮询(导航至已监控 AWS 账户的库存仪表板 > 
> 立即轮询),或在单个 AWS 资源级别启动立即轮询(导航至监视器摘要页面 > > 立即轮询)
筛选 AWS 资源
默认情况下,Site24x7 会发现策略声明中提及的所有受支持 AWS 资源。如果您希望限制或减少 CloudWatch API 请求,或者希望 Site24x7 仅发现和监控在生产/测试环境中运行的特定资源,可以使用我们基于标签的筛选功能来包含或排除任何 AWS 服务的子集。
包含和排除标签可与自定义标签结合,使用 AND/OR 逻辑运算。如果同时使用包含和排除标签来筛选 AWS 资源,则会先执行包含标签搜索,再执行排除标签操作。
目前,您可以使用系统属性(区域、VPC ID)以及在 AWS 控制台中定义的标签(键值对)来筛选 AWS 基础设施监控中包含的 AWS 资源。
开始前需要注意的重要事项:
- 您可以在 Site24x7 控制台中随时配置任意数量的标签。
- 包含和排除这两种筛选选项可同时用于各种标签,但"区域"标签除外。
- 仅当在包含或排除部分输入多个标签时,才能执行 AND/OR 逻辑。
- 系统属性(区域、VPC ID)和用户自定义标签均适用于包含和排除筛选选项。
- AWS 控制台中用户自定义标签的所有基本限制,例如键长度、字符长度和区分大小写,在此同样适用。
标签相关性
上述包含/排除/AND/OR 标签可能并不适用于每种 AWS 资源。关于标签相关性,有以下两点需要考虑:
- 不支持标签:部分 AWS 服务可能完全不支持标签。这些 AWS 资源将自动发现,与添加的任何特定筛选标签无关。
- 支持全球区域、无 VPC ID:当您在"键"字段中输入 $ 以搜索默认标签时,"REGION"和"VPC ID"是默认建议。当 AWS 资源支持全球区域扩展且没有关联 VPC ID 时,默认标签不可用。在这种情况下,只有"包含/排除"部分中指定的键值才会被考虑。
- 无论配置何种标签,如果该标签不适用于某 AWS 资源,则不会被考虑。
- 当前正在被监控的 AWS 资源无法通过配置标签来排除。要使 Site24x7 排除/包含资源,必须在启动自动发现之前配置标签,或者标记的资源必须是尚未被发现的新实例。例如,设想您想要排除一组 5 个在特定 VPC 中启动的实例,但这些资源已被发现并正在监控中。此时配置排除标签,使用键 $VPC 和值"VPC ID"将无法筛选这些资源。这些资源只能通过在 Site24x 控制台中暂停相应监视器来排除。
从发现中排除/包含资源
根据标签筛选您的 AWS 资源,以在 Site24x7 中进行排除和包含。
系统属性(区域)
使用现有系统属性筛选资源,使其不被发现。目前,可以将绑定到特定区域的 AWS 资源或在特定 VPC 平台中启动的实例排除在发现之外。
- 在"集成 AWS 账户"页面中,在"根据标签排除 AWS 资源"部分下选择"排除"标签以排除标签。
- 在"键"字段中输入 $ 以搜索可用标签,从建议中选择"REGION"。单击"值"字段中的下拉菜单查看选项,在此可以选择您的区域。根据您的选择,托管或在该特定区域启动的资源将从发现中排除。无需多次配置"区域"标签,您可以一次性选择多个区域。
- 您也可以对要排除的标签使用 AND/OR 逻辑。
系统属性(VPC ID)
- 在"集成 AWS 账户"页面中,在"根据标签排除 AWS 资源"部分下选择"排除"标签以排除标签。
- 在"键"字段中输入 $ 以搜索可用标签,从建议中选择"VPC"。在"值"字段中输入 VPC ID。在该特定 VPC 平台中启动的资源将在发现过程中被筛选。
- 也可以对标签执行 AND/OR 逻辑运算。
用户自定义标签
您在 AWS 控制台中根据所有者、用途、环境或其他标准为各种资源分组所配置的标签,现在可以在 Site24x7 控制台中用于筛选不被发现的资源。
例如,假设您为两组不同的 EC2 实例分配了两个标签,一个名为"Environment",另一个名为"Role",分别具有"Development"和"Webserver"值,并且您希望筛选这些实例不被发现。
- 在"集成 AWS 账户"页面中,在"根据标签排除 AWS 资源"部分下选择"排除"标签以排除标签。
- 输入正确的键值对以匹配您在 AWS 账户中创建的标签。
- 如果您想通过 API 请求添加键值对,添加格式为:[{"name":"environment","value":"production"},{}....]
正则表达式支持
键值也支持正则表达式(regex)。举另一个例子说明:假设您为不同组的 RDS 实例分配了标签"Owner",并为其设置了多个值——"DBadmin"、"DBtest"和"DBuser",并希望将它们从发现中排除。您无需在 Site24x7 控制台中多次配置标签键值,只需使用"DB.*"(正则表达式)即可一次性筛选出所有这些资源。
请输入正确的正则表达式以匹配您在 AWS 控制台中配置的标签。
使用正则表达式时,请确保值字符串末尾附加了 .*。Site24x7 将匹配 .* 内包含的字符串的开头和结尾。
上述示例将匹配任何键值对(例如,owner = DBusergroup、owner = DBadmin),只要遵循 DB.* 模式。
Site24x7 自定义标签
您也可以为资源分配自定义标签键"monitor_site24x7",并在 AWS 控制台中将其值设置为 false。具有此标签和值的资源将在自动发现期间被忽略。您可以通过从资源中移除该标签来恢复此行为。
当自定义标签(monitor_site24x7)在 AWS 控制台中的值设置为 false 时,此标签将优先于所有其他用户自定义标签。在这种情况下,即使可以为 AWS 资源添加包含和排除标签,也不支持包含/排除/AND/OR 逻辑。
需要注意的是,必须提前配置标签。为此,请登录 Amazon 管理控制台,导航到您要标记的服务仪表板,选择资源并添加标签。完成后,您可以返回 Site24x7 控制台,在相应字段中配置自定义标签键和值。
编辑高级发现选项
编辑"待发现的服务"字段
当您导航到已监控 AWS 账户的编辑部分时,您会看到已授予只读访问权限的各种 AWS 服务已在"待发现的服务"字段中勾选。
取消勾选某个已选的 AWS 服务,将确保不再对该服务进行重新发现。例如,如果您希望 Site24x7 停止发现并添加新创建的 SNS 主题,而不是编辑自定义策略 JSON 中的权限,您可以导航到已监控 AWS 账户的编辑部分,在"待发现的服务"字段中取消勾选 SNS 主题。
编辑重新发现轮询间隔
重新发现轮询间隔可以随时编辑。完成后,新配置的轮询频率将从下一次轮询开始生效。
在编辑部分配置新标签
- 如果未配置任何标签(包括排除和包含),则"排除/包含 AWS 资源"部分下的键和值字段将为空。
- 当前正在被监控的 AWS 资源无法通过配置标签来排除。要使 Site24x7 排除/包含资源,必须在启动自动发现之前配置标签,或者标记的资源必须是尚未被发现的新实例。例如,设想您想要排除一组 5 个在特定 VPC 中启动的实例,但这些资源已被发现并正在监控中。此时配置排除标签,使用键 $VPC 和值"VPC ID"将无法筛选这些资源。这些资源只能通过在 Site24x 控制台中暂停相应监视器来排除。
- 当标签分配给特定类型的 Amazon 账户时,它将适用于该账户中的所有资源。
配置通知配置文件、用户组和阈值
- 通知配置文件:通知配置文件决定在阈值违规时何时以及向谁发送告警。您可以编辑默认或系统生成的通知配置文件,也可以自行创建新的配置文件。如果您已配置通知配置文件,可以从下拉菜单中选择。请参阅通知配置文件以创建自定义通知配置文件。
- 用户组:选择在中断期间需要接收告警的用户组。要在组中添加多个用户,请参阅用户组。
- 阈值配置:请参阅以下服务的配置文件设置,以为每个性能指标设置单独的阈值:EC2、RDS、S3、DynamoDB、经典型 ELB、应用型 ELB、网络型 ELB、Lambda、ElastiCache、SQS、SNS 主题、Kinesis 服务、Elastic Beanstalk、VPC - VPN 连接、Direct Connect、API Gateway 和 CloudFront。
- 标签:这些标签在 Amazon 账户级别分配。
- 第三方集成:您还可以将此监视器与第三方告警或工单服务关联。这样,您可以将告警通知推送到所选服务,促进改进的事件管理。要设置第三方集成,请在 Site24x7 控制台中导航到"管理 > 第三方集成"。要了解更多关于各种受支持的第三方集成,请参阅我们的文档。
发现 AWS 资源
单击发现 AWS 资源按钮后,您将进入 AWS 资源发现页面。您可以停留在页面上查看已发现的资源,也可以探索我们的其他监控功能。Site24x7 的直观向导将接管并检测当前在您的 AWS 账户中运行的各种受支持服务的所有可用资源。
以下用户界面(UI)变化也将发生:
- 停靠栏(Site24x7 客户端左侧窗格)中的 AWS 图标将自动被选中,最近添加的 AWS 账户将显示在"集成 AWS 账户"选项下方。
- 列出各种受支持 AWS 服务以及基础设施和库存仪表板的下拉菜单也将自动为最近添加的 AWS 账户激活。
- 发现过程完成后,已发现的各个 AWS 资源将在 AWS 资源发现页面中列出。
发现向导会同时检测并显示托管在 Amazon Route 53 上以及面向互联网的负载均衡器上、符合互联网服务监控条件的所有公开域名。您还可以通过访问页面中提供的链接来更改深度发现设置。
- 当您单击 Site24x7 停靠栏中的 AWS 标签时,最近添加的 AWS 账户将默认被选中,下拉菜单也将被激活。
- 选择任意 AWS 服务以导航到监视器列表页面。例如,如果您从下拉菜单中选择 EC2 实例,首先会看到监视器状态信息,其中已发现的 EC2 实例监视器按其运行状态分组(正常、告警、宕机、配置错误、维护)。在其下方,您可以找到当前正在监控的所有已发现 EC2 实例的列表视图。每个 EC2 实例还会显示高级性能概览——CPU 利用率、内存和磁盘 I/O 活动。您还可以单击列表中任意实例查看其详细指标。
禁止发现一项或多项 AWS 服务
如果您希望禁止对一项或多项服务进行重新发现,建议您编辑"集成 AWS 账户"表单中的"待发现的服务"字段。这样,您可以禁止对某些服务的重新发现,同时仍将您的 AWS 账户与 Site24x7 保持集成。
- 选择 AWS > 已监控 AWS 账户的库存仪表板 > > 编辑
- 在编辑"集成 AWS 账户"页面中,取消勾选您要从发现中排除的服务对应的复选框。
从 Site24x7 中完全移除 AWS 账户
首先,选择 AWS > 已监控 AWS 账户的库存仪表板 > > 删除
然后,登录您的 AWS IAM 控制台 > 单击"角色" > 选择您为 Site24x7 创建的角色 > 单击"角色操作"并继续删除。
如果您通过基于密钥的访问连接了 AWS 账户,请登录您的 AWS IAM 控制台 > 单击"用户" > 选择您为 Site24x7 创建的 IAM 用户 > 然后单击"删除"。
当您从 Site24x7 控制台删除 AWS 账户监视器时,所有相关的 AWS 资源监视器也将随之删除。