Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren von Berechtigungen, damit Agenten Metriken liefern
Nachdem Sie Agenten für Network Flow Monitor installiert haben, müssen Sie die Agenten so einrichten, dass sie Netzwerkmetriken an die Network Flow Monitor-Erfassung APIs senden können. Agenten im Network Flow Monitor müssen berechtigt sein, auf die Network Flow Monitor-Aufnahme zuzugreifen, APIs damit sie Netzwerkfluss-Metriken, die sie für jede Instanz gesammelt haben, bereitstellen können. Sie gewähren diesen Zugriff, indem Sie IAM-Rollen für Servicekonten implementieren.
Folgen Sie den Schritten in diesem Abschnitt, um Agenten zu ermöglichen, Netzwerkmetriken an Network Flow Monitor zu senden.
Implementieren von IAM-Rollen für Servicekonten
IAM-Rollen für Dienstkonten bieten die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2 Amazon-Instance-Profile Anmeldeinformationen für EC2 Amazon-Instances bereitstellen. Die Implementierung von IRSA ist die empfohlene Methode, um alle Berechtigungen bereitzustellen, die Network Flow Monitor-Agenten benötigen, um erfolgreich auf die Network Flow Monitor-Aufnahme zuzugreifen. APIs Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten im Benutzerhandbuch für Amazon EKS.
Verwenden Sie die folgenden Informationen, wenn Sie IAM-Rollen für Servicekonten für Network-Flow-Monitor-Agenten einrichten:
ServiceAccount: Wenn Sie Ihre IAM-Rollenvertrauensrichtlinie definieren, geben Sie für an.
ServiceAccountaws-network-flow-monitor-agent-service-accountNamespace: Geben Sie für
namespaceden Wertamazon-network-flow-monitoran.Bereitstellung temporärer Anmeldeinformationen: Wenn Sie Berechtigungen konfigurieren, nachdem Sie Agenten-Pods für Network Flow Monitor bereitgestellt und den
ServiceAccountmit Ihrer IAM-Rolle aktualisiert haben, stellt Kubernetes keine Anmeldeinformationen für die IAM-Rolle bereit. Damit die Network-Flow-Monitor-Agenten die angegebenen Anmeldeinformationen für die IAM-Rolle erhalten, müssen Sie einen Neustart vonDaemonSetdurchführen. Verwenden Sie z. B. einen Befehl wie diesen:kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent
Vergewissern Sie sich, dass der Network Flow Monitor-Agent erfolgreich auf die Network Flow Monitor-Aufnahme zugreift APIs
Sie können überprüfen, ob Ihre Konfiguration für Agenten ordnungsgemäß funktioniert. Verwenden Sie dazu die HTTP-200-Protokolle für Agenten-Pods von Network Flow Monitor. Suchen Sie zunächst nach einem Agenten-Pod für Network Flow Monitor und suchen Sie dann in den Protokolldateien nach erfolgreichen HTTP-200-Anforderungen. Sie können z. B. Folgendes tun:
Suchen Sie einen Pod-Namen für den Network Flow Monitor-Agenten. Sie können z. B. den folgenden Befehl verwenden:
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)Suchen Sie mit dem grep-Befehl in allen HTTP-Protokollen nach dem Pod-Namen, den Sie gefunden haben. Wenn Sie den NAMESPACE geändert haben, müssen Sie den neuen verwenden.
NAMESPACE=amazon-network-flow-monitor kubectl logs $RANDOM_AGENT_POD_NAME-\-namespace ${NAMESPACE} | grep HTTP
Wenn der Zugriff gewährt wurde, sollten Sie Protokolleinträge wie diese sehen:
... {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679} {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}Beachten Sie, dass der Network Flow Monitor-Agent alle 30 Sekunden Netzwerkflussberichte veröffentlicht, indem er den Network Flow Monitor-Ingestion aufruft. APIs
