Comment puis-je configurer des instances EC2 dans un groupe Auto Scaling qui n'a pas accès à Internet pour envoyer des métriques et des journaux à CloudWatch ?

Date de la dernière mise à jour : 21/05/2020

Comment puis-je configurer des instances Amazon Elastic Compute Cloud (Amazon EC2) dans un groupe Amazon EC2 Auto Scaling qui n'a pas accès à Internet pour envoyer des journaux et des métriques à Amazon CloudWatch ?

Solution

  1. Installez l'agent CloudWatch sur une instance Amazon EC2. Cette instance doit disposer d'une connectivité Internet. Vous pouvez également choisir une instance Amazon EC2 qui envoie déjà les journaux et les métriques vers CloudWatch à l'aide de l'agent CloudWatch.
  2. Vérifiez que l'agent CloudWatch envoie des métriques et des journaux à partir de votre instance Amazon EC2.
  3. Créez une Amazon Machine Image (AMI) de votre instance Amazon EC2 pour le groupe Auto Scaling.
  4. Créez un modèle de lancement pour le groupe Auto Scaling à l'aide de l'AMI que vous avez créée à l'étape 3. Pour permettre aux instances de transmettre les métriques et les journaux vers CloudWatch, fournissez le bon rôle AWS Identity and Access Management (IAM) dans le modèle de lancement. Le cas échéant, vous pouvez lancer une instance Amazon EC2 dans un sous-réseau public à partir de ce modèle de lancement pour confirmer que l'agent CloudWatch envoie les métriques et journaux requis.
  5. Ajoutez des points de terminaison d'interface d'un Virtual Private Cloud (VPC) pour la surveillance CloudWatch et Amazon CloudWatch Logs au VPC qui héberge les sous-réseaux privés. Pour trouver le bon point de terminaison, consultez Points de terminaison et quotas Amazon CloudWatch. Pour plus de détails, reportez-vous à la section « Considérations relatives à la création d'un point de terminaison d'interface d'un VPC ».
  6. Mettez à jour la stratégie de point de terminaison pour chacun des points de terminaison d'interface d'un VPC que vous avez créés à l'étape 5 :
    Ouvrez la console Amazon VPC.
    Choisissez Points de terminaison, puis sélectionnez votre point de terminaison d'interface.
    Remarque : vous devez suivre ces étapes pour chacun de vos points de terminaison d'interface d'un VPC.
    Choisissez Actions, puis choisissez « Edit policy » (Modifier la stratégie).
    Dans Policy (Stratégie), choisissez Full Access (Accès complet).
    Sélectionnez Save (Enregistrer).
  7. Créez un groupe Auto Scaling (avec des sous-réseaux privés activés) à l'aide du modèle de lancement que vous avez créé à l'étape 4. L'agent CloudWatch s'exécute dans les instances que vous lancez dans ce groupe Auto Scaling. L'agent envoie également des métriques et des journaux via les points de terminaison d'interface d'un VPC que vous avez créés à l'étape 5.

Considérations relatives à la création d'un point de terminaison d'interface d'un VPC

  • Assurez-vous d'utiliser le point de terminaison correspondant à la région AWS de votre groupe Auto Scaling. Par exemple, si le groupe Auto Scaling se trouve dans la région Londres, le point de terminaison des métriques est monitoring.eu-west-2.amazonaws.com. Le point de terminaison des journaux dans ce scénario est logs.eu-west-2.amazonaws.com.
  • Vérifiez que vous avez activé l'option Enable Private DNS name (Activer le nom DNS privé). Vous pouvez activer cette option uniquement si les attributs Enable DNS hostnames  (Activer les noms d'hôte DNS) et Enable DNS Support (Activer la prise en charge DNS) sont définis sur true  (vrai) pour le VPC. Si cette option est désactivée, le point de terminaison d'interface d'un VPC n'est pas mappé au point de terminaison du service. Par conséquent, les instances ne peuvent pas atteindre le point de terminaison du service public. L'activation de cette option mappe le point de terminaison de service au point de terminaison d'interface d'un VPC et rend la communication avec le point de terminaison de service privée. Par défaut, l'agent CloudWatch se connecte à ce point de terminaison. Vous pouvez utiliser le paramètre endpoint_override dans le fichier de configuration d'agent pour remplacer le point de terminaison par défaut, si nécessaire.
  • Vérifiez que les règles du groupe de sécurité autorisent la communication entre l'interface réseau du point de terminaison et les ressources de votre VPC qui communiquent avec le service. Les appels d'API pour transmettre les journaux et les métriques sont des demandes GET/POST basées sur HTTPS. Le groupe de sécurité de l'interface réseau du point de terminaison nécessite des règles entrantes pour le protocole HTTPS à partir des adresses IP source. Les adresses IP source sont les adresses IP des instances EC2 transmettant les métriques et les journaux, ou le CIDR VPC.
  • Lorsque des instances font partie d'un groupe Auto Scaling, spécifiez l'une des dimensions en tant que nom du groupe Auto Scaling dans le fichier de configuration de l'agent. Pour trouver le nom du groupe Auto Scaling, l'agent obtient les balises associées à l'instance à partir du point de terminaison Amazon EC2. Vous devez ajouter le point de terminaison d'interface d'un VPC du service Amazon EC2. L'agent obtient les valeurs ImageId, InstanceId, et InstanceType à partir des métadonnéesde l'instance Amazon EC2.

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?