Utilizzo CloudWatch in account centralizzati o distribuiti - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo CloudWatch in account centralizzati o distribuiti

Sebbene CloudWatch sia progettato per monitorare AWS servizi o risorse in un unico account e regione, è possibile utilizzare un account centrale per acquisire registri e metriche da più account e regioni. Se utilizzi più di un account o di una regione, dovresti valutare se utilizzare l'approccio centralizzato dell'account o un singolo account per acquisire log e metriche. In genere, è necessario un approccio ibrido per le implementazioni con più account e più regioni per supportare i requisiti di sicurezza, analisi, operazioni e proprietari dei carichi di lavoro.

La tabella seguente fornisce le aree da considerare quando si sceglie di utilizzare un approccio centralizzato, distribuito o ibrido.

Strutture degli account L'organizzazione potrebbe avere diversi account separati (ad esempio, account per carichi di lavoro non di produzione e di produzione) o migliaia di account per singole applicazioni in ambienti specifici. Ti consigliamo di conservare i log e le metriche delle applicazioni nell'account su cui viene eseguito il carico di lavoro, in modo da consentire ai proprietari dei carichi di lavoro di accedere ai log e alle metriche. Ciò consente loro di svolgere un ruolo attivo nella registrazione e nel monitoraggio. Si consiglia inoltre di utilizzare un account di registrazione separato per aggregare tutti i registri dei carichi di lavoro per analisi, aggregazione, tendenze e operazioni centralizzate. È inoltre possibile utilizzare account di registrazione separati per la sicurezza, l'archiviazione, il monitoraggio e l'analisi.

Requisiti di accesso I membri del team (ad esempio, i proprietari dei carichi di lavoro o gli sviluppatori) richiedono l'accesso a log e metriche per risolvere i problemi e apportare miglioramenti. I log devono essere conservati nell'account del carico di lavoro per facilitare l'accesso e la risoluzione dei problemi. Se i log e le metriche vengono conservati in un account separato dal carico di lavoro, gli utenti potrebbero dover alternare regolarmente gli account.

L'utilizzo di un account centralizzato fornisce informazioni di registro agli utenti autorizzati senza concedere l'accesso all'account del carico di lavoro. Ciò può semplificare i requisiti di accesso per i carichi di lavoro analitici in cui è richiesta l'aggregazione dei carichi di lavoro eseguiti su più account. L'account di registrazione centralizzato può anche avere opzioni di ricerca e aggregazione alternative, come un cluster Amazon OpenSearch Service. Amazon OpenSearch Service fornisce un controllo granulare degli accessi ai log fino al livello di campo. Un controllo granulare degli accessi è importante quando si dispone di dati sensibili o riservati che richiedono accessi e autorizzazioni specializzati.
Operazioni Molte organizzazioni dispongono di un team operativo e di sicurezza centralizzato o di un'organizzazione esterna per il supporto operativo che richiede l'accesso ai registri per il monitoraggio. La registrazione e il monitoraggio centralizzati possono semplificare l'identificazione delle tendenze, la ricerca, l'aggregazione e l'esecuzione di analisi su tutti gli account e i carichi di lavoro. Se la tua organizzazione utilizza l'approccio «tu lo costruisci, lo esegui» DevOps, i proprietari dei carichi di lavoro devono registrare e monitorare le informazioni nel proprio account. Potrebbe essere necessario un approccio ibrido per soddisfare le operazioni e l'analisi centrali, oltre alla proprietà distribuita dei carichi di lavoro.
Ambiente

Puoi scegliere di ospitare log e metriche in una posizione centrale per gli account di produzione e conservare log e metriche per altri ambienti (ad esempio, sviluppo o test) nello stesso account o in account separati, a seconda dei requisiti di sicurezza e dell'architettura dell'account. Questo aiuta a impedire l'accesso ai dati sensibili creati durante la produzione da parte di un pubblico più ampio.

CloudWatch offre diverse opzioni per elaborare i log in tempo reale con filtri di CloudWatch abbonamento. È possibile utilizzare i filtri di abbonamento per trasmettere i log in tempo reale a AWS servizi per l'elaborazione, l'analisi e il caricamento personalizzati su altri sistemi. Ciò può essere particolarmente utile se si adotta un approccio ibrido in cui i log e le metriche sono disponibili in singoli account e regioni, oltre a un account e una regione centralizzati. L'elenco seguente fornisce esempi di AWS servizi che possono essere utilizzati a tale scopo:

  • Amazon Data Firehose — Firehose fornisce una soluzione di streaming che si ridimensiona e si ridimensiona automaticamente in base al volume di dati prodotto. Non è necessario gestire il numero di shard in un flusso di dati Amazon Kinesis e puoi connetterti direttamente ad Amazon Simple Storage Service (Amazon S3) OpenSearch , Amazon Service o Amazon Redshift senza codifica aggiuntiva. Firehose è una soluzione efficace se si desidera centralizzare i log in tali servizi. AWS

  • Amazon Kinesis Data Streams — Kinesis Data Streams è una soluzione appropriata se è necessario integrarsi con un servizio che Firehose non supporta e implementare una logica di elaborazione aggiuntiva. Puoi creare una destinazione Amazon CloudWatch Logs nei tuoi account e nelle tue regioni che specifichi un flusso di dati Kinesis in un account centrale e un ruolo AWS Identity and Access Management (IAM) che gli conceda l'autorizzazione a inserire record nel flusso. Kinesis Data Streams offre una landing zone flessibile e aperta per i dati di registro, che possono poi essere utilizzati da diverse opzioni. Puoi leggere i dati di registro di Kinesis Data Streams nel tuo account, eseguire la preelaborazione e inviare i dati alla destinazione prescelta.

    Tuttavia, è necessario configurare gli shard per lo stream in modo che abbia le dimensioni appropriate per i dati di registro prodotti. Kinesis Data Streams funge da intermediario o coda temporanea per i dati di registro e puoi archiviare i dati all'interno del flusso Kinesis per un periodo compreso tra uno e 365 giorni. Kinesis Data Streams supporta anche la funzionalità di replay, il che significa che è possibile riprodurre dati che non sono stati consumati.

  • Amazon OpenSearch Service: CloudWatch i log possono trasmettere i log di un gruppo di log a un OpenSearch cluster in un account individuale o centralizzato. Quando si configura un gruppo di log per lo streaming di dati verso un OpenSearch cluster, viene creata una funzione Lambda nello stesso account e nella stessa regione del gruppo di log. La funzione Lambda deve disporre di una connessione di rete con il OpenSearch cluster. Puoi personalizzare la funzione Lambda per eseguire una preelaborazione aggiuntiva, oltre a personalizzare l'inserimento in Amazon Service. OpenSearch La registrazione centralizzata con Amazon OpenSearch Service semplifica l'analisi, la ricerca e la risoluzione dei problemi tra più componenti della tua architettura cloud.

  • Lambda: se utilizzi Kinesis Data Streams, devi fornire e gestire le risorse di calcolo che consumano i dati del tuo stream. Per evitare ciò, puoi trasmettere i dati di registro direttamente a Lambda per l'elaborazione e inviarli a una destinazione in base alla tua logica. Ciò significa che non è necessario fornire e gestire le risorse di calcolo per elaborare i dati in arrivo. Se scegli di utilizzare Lambda, assicurati che la tua soluzione sia compatibile con le quote Lambda.

Potrebbe essere necessario elaborare o condividere i dati di registro memorizzati in CloudWatch Logs in formato file. Puoi creare un'attività di esportazione per esportare un gruppo di log in Amazon S3 per una data o un intervallo di tempo specifico. Ad esempio, puoi scegliere di esportare i log su base giornaliera in Amazon S3 per analisi e audit. Lambda può essere utilizzata per automatizzare questa soluzione. Puoi anche combinare questa soluzione con la replica di Amazon S3 per spedire e centralizzare i log da più account e regioni a un unico account e regione centralizzati.

La configurazione CloudWatch dell'agente può anche specificare un credentials campo nella sezione. agent Questo specifica un IAM ruolo da utilizzare per l'invio di metriche e log a un account diverso. Se specificato, questo campo contiene il parametro. role_arn Questo campo può essere utilizzato quando sono necessari solo la registrazione e il monitoraggio centralizzati in un account e in una regione centralizzati specifici.

Puoi anche usarlo AWSSDKper scrivere la tua applicazione di elaborazione personalizzata in una lingua a tua scelta, leggere i log e le metriche dei tuoi account e inviare dati a un account centralizzato o a un'altra destinazione per ulteriori elaborazioni e monitoraggio.