Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurez les autorisations permettant aux agents de fournir des métriques
Après avoir installé les agents pour Network Flow Monitor, vous devez permettre aux agents d'envoyer des métriques réseau au Network Flow Monitor ingestion APIs. Les agents de Network Flow Monitor doivent être autorisés à accéder à l'ingestion du Network Flow Monitor APIs afin de pouvoir fournir les métriques de flux réseau qu'ils ont collectées pour chaque instance. Vous accordez cet accès en implémentant les rôles IAM pour les comptes de service (IRSA).
Pour permettre aux agents de fournir des métriques de réseau à Network Flow Monitor, suivez les étapes de cette section.
Implémenter les rôles IAM pour les comptes de service
Les rôles IAM pour les comptes de service permettent de gérer les informations d'identification de vos applications, de la même manière que les profils d' EC2 instance Amazon fournissent des informations d'identification aux EC2 instances Amazon. La mise en œuvre de l'IRSA est la méthode recommandée pour fournir toutes les autorisations requises par les agents Network Flow Monitor pour accéder avec succès à l'ingestion APIs de Network Flow Monitor. Pour plus d’informations, consultez Rôles IAM pour les comptes de service dans le Guide de l’utilisateur Amazon EKS.
Lorsque vous configurez l’IRSA pour les agents Network Flow Monitor, utilisez les informations suivantes :
ServiceAccount: Lorsque vous définissez votre politique de confiance en matière de rôles IAM, pour
ServiceAccount, spécifiezaws-network-flow-monitor-agent-service-account.Espace de noms : pour
namespace, spécifiezamazon-network-flow-monitor.Déploiement d’informations d’identification temporaires : lorsque vous configurez les autorisations après avoir déployé les pods des agents Network Flow Monitor, en mettant à jour le
ServiceAccountavec votre rôle IAM, Kubernetes ne déploie pas les informations d’identification du rôle IAM. Pour que les agents Network Flow Monitor acquièrent les informations d’identification du rôle IAM que vous avez spécifiées, vous devez effectuer un redémarrage deDaemonSet. Par exemple, utilisez une commande comme la suivante :kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent
Vérifiez que l'agent Network Flow Monitor accède correctement à l'ingestion du Network Flow Monitor APIs
Vous pouvez vérifier que votre configuration pour les agents fonctionne correctement en utilisant les journaux HTTP 200 pour les pods d’agent Network Flow Monitor. Commencez par rechercher un pod d’agent Network Flow Monitor, puis parcourez les fichiers journaux pour trouver les requêtes HTTP 200 réussies. Par exemple, vous pouvez effectuer les opérations suivantes :
Recherchez le nom d'un pod d'agent Network Flow Monitor. Par exemple, vous pouvez utiliser la commande suivante :
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)Effectuez un grep de tous les journaux HTTP pour trouver le nom du pod que vous avez localisé. Si vous avez modifié le NAMESPACE, assurez-vous d’utiliser le nouveau.
NAMESPACE=amazon-network-flow-monitor kubectl logs $RANDOM_AGENT_POD_NAME-\-namespace ${NAMESPACE} | grep HTTP
Si l’accès a été accordé, vous devriez voir des entrées de journal similaires à celles qui suivent :
... {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679} {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}Notez que l'agent Network Flow Monitor publie des rapports de flux réseau toutes les 30 secondes, en appelant le Network Flow Monitor ingestion APIs.
