Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione delle autorizzazioni per consentire agli agenti di fornire metriche
Dopo aver installato gli agenti per Network Flow Monitor, è necessario consentire agli agenti di inviare le metriche di rete all'ingestione di Network Flow Monitor. APIs Gli agenti in Network Flow Monitor devono disporre dell'autorizzazione per accedere all'ingestione di Network Flow Monitor APIs in modo da poter fornire le metriche del flusso di rete che hanno raccolto per ogni istanza. Concedi questo accesso implementando ruoli IAM per gli account di servizio (IRSA).
Per consentire agli agenti di fornire metriche di rete a Network Flow Monitor, segui i passaggi riportati in questa sezione.
Implementazione dei ruoli IAM per gli account di servizio
I ruoli IAM per gli account di servizio offrono la possibilità di gestire le credenziali per le applicazioni, in modo simile al modo in cui i profili di EC2 istanza Amazon forniscono le credenziali alle istanze Amazon EC2 . L'implementazione di IRSA è il modo consigliato per fornire tutte le autorizzazioni richieste dagli agenti di Network Flow Monitor per accedere correttamente all'ingestione di Network Flow Monitor. APIs Per ulteriori informazioni, consulta IAM roles for service accounts nella Guida per l'utente di Amazon EKS.
Quando configuri gli IRSA per gli agenti Network Flow Monitor, utilizza le seguenti informazioni:
ServiceAccount: Quando definisci la tua policy di fiducia per i ruoli IAM, specifica.
ServiceAccountaws-network-flow-monitor-agent-service-accountNamespace: per
namespace, specificaamazon-network-flow-monitor.Implementazione delle credenziali temporanee: quando configuri le autorizzazioni dopo aver implementato i pod degli agenti di Network Flow Monitor, aggiornando
ServiceAccountcon il tuo ruolo IAM, Kubernetes non implementa le credenziali del ruolo IAM. Per garantire che gli agenti di Network Flow Monitor acquisiscano le credenziali del ruolo IAM che hai specificato, devi eseguire un riavvio diDaemonSet. Ad esempio, utilizza un comando di questo genere:kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent
Verifica che l'agente Network Flow Monitor stia accedendo correttamente all'ingestione di Network Flow Monitor APIs
È possibile verificare che la configurazione per gli agenti funzioni correttamente utilizzando i log HTTP 200 per i pod degli agenti di Network Flow Monitor. Innanzitutto, cerca un pod di agenti Network Flow Monitor, quindi cerca nei file di log per trovare le richieste HTTP 200 riuscite. Ad esempio, puoi eseguire le operazioni seguenti:
Individua il nome del pod dell'agente Network Flow Monitor. Ad esempio, puoi utilizzare il seguente comando:
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)Archivia tutti i log HTTP relativi al nome del pod che hai individuato. Se hai cambiato il NAMESPACE, assicurati di utilizzare quello nuovo.
NAMESPACE=amazon-network-flow-monitor kubectl logs $RANDOM_AGENT_POD_NAME-\-namespace ${NAMESPACE} | grep HTTP
Se l'accesso è stato concesso correttamente, dovresti visualizzare voci di log simili alle seguenti:
... {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679} {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}Tieni presente che l'agente Network Flow Monitor pubblica report sul flusso di rete ogni 30 secondi, richiamando l' APIsingestione di Network Flow Monitor.
