Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Installieren Sie Network Flow Monitor-Agenten auf EC2- und selbstverwalteten Kubernetes-Instances
Um Leistungsmetriken für Netzwerkflüsse in Ihren AWS Workloads bereitzustellen, stützt sich Network Flow Monitor auf von Ihnen installierte *Agenten*, die die Metriken an Network Flow Monitor senden. Sie installieren Network-Flow-Monitor-Agenten auf Ihren Instances und legen dann die richtigen Berechtigungen für die Agenten fest, damit sie Metriken an das Network-Flow-Monitor-Backend senden können.
Ein Agent ist eine einfache Softwareanwendung, die Sie auf Ressourcen wie VPC-EC2-Instances installieren. Agenten senden kontinuierlich Leistungsmetriken an das Network-Flow-Monitor-Backend. Anschließend können Sie die Metriken auf der Seite mit den **Workload-Einblicken** in der Network-Flow-Monitor-Konsole einsehen. Sie können auch detaillierte Metriken für einen bestimmten Netzwerk-Flow oder eine Reihe von Flows verfolgen, indem Sie einen Monitor erstellen.
Die Schritte, die Sie befolgen, um Agenten in Ihren Instances bereitzustellen, hängen vom Instance-Typ ab: Amazon EKS Kubernetes-Instances, VPC EC2-Instances oder selbstverwaltete Kubernetes-Instances (ohne EKS).
+ Informationen zur Arbeit mit Amazon EKS, einschließlich der Installation von Agenten auf EKS, finden Sie unter[Arbeite mit EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.md).
+ Informationen zur Installation von Agenten auf VPC EC2-Instances und selbstverwalteten Kubernetes-Instances finden Sie in den Abschnitten in diesem Kapitel.
Sie können eine private Verbindung zwischen Ihrer VPC und den Network Flow Monitor-Agenten herstellen, indem Sie AWS PrivateLink Weitere Informationen finden Sie unter [Verwendung CloudWatch, CloudWatch Synthetics und CloudWatch Netzwerküberwachung mit VPC-Endpunkten mit Schnittstellen](cloudwatch-and-interface-VPC.md).
**Topics**
+ [Linux-Versionen, die für Network Flow Monitor-Agenten unterstützt werden](CloudWatch-NetworkFlowMonitor-agents-versions.md)
+ [Agenten für EC2-Instances installieren und verwalten](CloudWatch-NetworkFlowMonitor-agents-ec2.md)
+ [Installieren von Agenten für selbstverwaltete Kubernetes-Instances](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)
# Linux-Versionen, die für Network Flow Monitor-Agenten unterstützt werden
Die Instances, auf denen Sie Agenten installieren, müssen unterstützte Versionen und Distributionen von Linux ausführen. Network Flow Monitor unterstützt nur Agenten, die unter Linux ausgeführt werden, und die Linux-Kernelversion muss 5.8 oder höher sein. Folgende Linux-Distributionen werden unterstützt. Agenten werden für die Ausführung auf den neuesten Versionen dieser Distributionen getestet.
+ Amazon Linux
+ Ubuntu
+ Red Hat
+ Suse Linux
+ Debian-Distributionen für x86 und aarch64
# Agenten für EC2-Instances installieren und verwalten
Führen Sie die Schritte in diesem Abschnitt aus, um Network-Flow-Monitor-Agenten für Workloads auf Amazon-EC2-Instances zu installieren. Sie können Agenten mithilfe von SSM installieren oder vorgefertigte Pakete für den Network-Flow-Monitor-Agenten über die Befehlszeile herunterladen und installieren.
Unabhängig davon, wie Sie Agenten auf EC2-Instances installieren, müssen Sie Berechtigungen für die Agenten konfigurieren, damit sie Leistungsmetriken an das Network-Flow-Monitor-Backend senden können.
**Topics**
+ [Konfigurieren von Berechtigungen für Agents](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)
+ [EC2-Instance-Agenten mit SSM](CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm.md)
+ [Herunterladen und Installieren des Agenten](CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline.md)
# Konfigurieren von Berechtigungen für Agents
Damit Agenten Metriken an das Aufnahme-Backend von Network Flow Monitor senden können, müssen die EC2-Instances, auf denen die Agenten ausgeführt werden, eine Rolle mit einer Richtlinie zuweisen, die die richtigen Berechtigungen enthält. Um die erforderlichen Berechtigungen bereitzustellen, verwenden Sie eine Rolle, der die folgende AWS verwaltete Richtlinie zugewiesen ist: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Fügen Sie diese Richtlinie an die IAM-Rollen der EC2-Instances an, auf denen Sie Network-Flow-Monitor-Agenten installieren möchten.
Wir empfehlen, dass Sie die Berechtigungen hinzufügen, bevor Sie Agents auf den EC2-Instances installieren. Sie können warten, bis die Agenten installiert sind, aber die Agenten können erst dann Metriken an den Service senden, wenn die Berechtigungen vorliegen.
**Sie fügen Berechtigungen für Network-Flow-Monitor-Agenten wie folgt hinzu:**
1. Suchen Sie in der AWS-Managementkonsole Amazon EC2 EC2-Konsole nach den EC2-Instances, auf denen Sie Network Flow Monitor-Agenten installieren möchten.
1. Ordnen Sie der [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)IAM-Rolle für jede Instance die zu.
Wenn einer Instance keine IAM-Rolle angefügt ist, wählen Sie wie folgt eine Rolle aus:
1. Wählen Sie unter **Aktionen** die Option **Sicherheit** aus.
1. Wählen Sie **IAM-Rolle ändern** oder **Neue IAM-Rolle erstellen** aus, um eine neue Rolle zu erstellen.
1. Wählen Sie eine Rolle für die Instance und hängen Sie die [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)Richtlinie an.
# Installieren von Agenten auf EC2-Instances mit SSM
Network-Flow-Monitor-Agenten stellen Leistungsmetriken zu Netzwerk-Flows bereit. Folgen Sie den Schritten in diesem Abschnitt, um Network Flow Monitor-Agenten auf EC2-Instances zu installieren und mit ihnen zu arbeiten, indem Sie AWS Systems Manager Wenn Sie Kubernetes verwenden, fahren Sie mit den nächsten Abschnitten fort. Dort finden Sie Informationen zum Installieren von Agenten mit Amazon-EKS-Clustern oder selbstverwalteten Kubernetes-Clustern.
Network Flow Monitor stellt Ihnen in Systems Manager ein Distributor-Paket zur Verfügung, mit dem Sie Agenten installieren oder deinstallieren können. Darüber hinaus bietet Network Flow Monitor ein Dokument zum Aktivieren oder Deaktivieren von Agenten mithilfe des Befehls „document type“. Nutzen Sie die Standardverfahren von Systems Manager, um das Paket und das Dokument zu verwenden, oder führen Sie die hier beschriebenen Schritte aus.
Allgemeine Informationen zur Verwendung von Systems Manager finden Sie in der folgenden Dokumentation:
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [AWS Systems Manager Distributor](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)
Führen Sie die Schritte in den folgenden Abschnitten aus, um Berechtigungen zu konfigurieren, Network-Flow-Monitor-Agenten zu installieren und mit ihnen zu arbeiten.
**Inhalt**
+ [Installieren oder Deinstallieren von Agenten](#CloudWatch-NetworkFlowMonitor-agents-ec2-install)
+ [Aktivieren oder Deaktivieren von Agenten](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)
## Installieren oder Deinstallieren von Agenten mit Systems Manager
Network Flow Monitor bietet ein Vertriebspaket, mit dem Sie Network Flow Monitor-Agenten installieren können: **AmazonCloudWatchNetworkFlowMonitorAgent**. AWS Systems Manager Folgen Sie den hier beschriebenen Schritten, um das Paket aufzurufen und auszuführen und Agenten zu installieren.
**Installieren Sie Agenten auf EC2-Instances wie folgt:**
1. Wählen Sie AWS-Managementkonsole im AWS Systems Manager unter **Node Tools** die Option **Distributor** aus.
1. Suchen Sie unter **Owned by Amazon** das Network Flow Monitor-Paket und wählen Sie es aus. **AmazonCloudWatchNetworkFlowMonitorAgent**
1. Wählen Sie im Flow **Befehl ausführen** die Option **Einmal installieren** oder **Nach Zeitplan installieren** aus.
1. Geben Sie im Abschnitt **Zielauswahl** an, wie Sie die EC2-Instances auswählen möchten, auf denen Agenten installiert werden sollen. Sie können Instances anhand von Tags oder manuell auswählen oder die Auswahl anhand von Ressourcengruppen treffen.
1. Wählen Sie im Abschnitt **Befehlsparameter** unter **Aktion** die Option **Installieren** aus.
1. Scrollen Sie gegebenenfalls nach unten und wählen Sie **Ausführen** aus, um die Installation zu starten.
Wenn die Installation erfolgreich ist und die Instances Berechtigungen für den Zugriff auf Network-Flow-Monitor-Endpunkte haben, beginnt der Agent, Metriken zu erfassen und Berichte an das Network-Flow-Monitor-Backend zu senden.
Für aktive Agenten (die Metrikdaten senden) fallen Abrechnungskosten an. Weitere Informationen zu Network Flow Monitor und den CloudWatch Amazon-Preisen finden Sie unter Network Monitoring auf der [ CloudWatch Amazon-Preisseite](https://aws.amazon.com//cloudwatch/pricing/). Wenn Sie vorübergehend keine Metrikdaten benötigen, können Sie einen Agenten deaktivieren. Weitere Informationen finden Sie unter [Aktivieren oder Deaktivieren von Agenten](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage). Wenn Sie Network-Flow-Monitor-Agenten nicht mehr benötigen, können Sie sie von den EC2-Instances deinstallieren.
**Deinstallieren Sie Agenten von EC2-Instances wie folgt:**
1. Wählen Sie AWS-Managementkonsole im AWS Systems Manager unter **Node Tools** die Option **Distributor** aus.
1. Suchen Sie unter **Owned by Amazon** das Network Flow Monitor-Paket und wählen Sie es aus. **AmazonCloudWatchNetworkFlowMonitorAgent**
1. Wählen Sie im Abschnitt **Befehlsparameter** unter **Aktion** die Option **Deinstallieren** aus.
1. Wählen Sie die EC2-Instances aus, von denen Agenten deinstalliert werden sollen.
1. Scrollen Sie gegebenenfalls nach unten und wählen Sie **Ausführen** aus, um die Installation zu starten.
## Aktivieren oder Deaktivieren von Agenten mit Systems Manager
Nachdem Sie einen Network-Flow-Monitor-Agenten mit SSM installiert haben, müssen Sie ihn aktivieren, um Netzwerk-Flow-Metriken von der Instance zu erhalten, auf der er installiert ist. Für aktive Agenten (die Metrikdaten senden) fallen Abrechnungskosten an. Weitere Informationen zu Network Flow Monitor und den CloudWatch Amazon-Preisen finden Sie unter Network Monitoring auf der [ CloudWatch Amazon-Preisseite](https://aws.amazon.com//cloudwatch/pricing/). Wenn Sie vorübergehend keine Metrikdaten benötigen, können Sie einen Agenten deaktivieren, um laufende Kosten zu vermeiden.
Network Flow Monitor bietet ein Dokument AWS Systems Manager , in dem Sie Agenten, die Sie auf Ihren EC2-Instances installiert haben, aktivieren oder deaktivieren können. Wenn Sie dieses Dokument zur Verwaltung der Agenten ausführen, können Sie sie aktivieren, um Leistungsmetriken zu empfangen. Alternativ können Sie sie deaktivieren, um das Senden von Metriken vorübergehend zu unterbinden, ohne die Agenten zu deinstallieren.
**Das Dokument in SSM, das Sie zum Aktivieren oder Deaktivieren von Agenten verwenden können, heißt AmazonCloudWatch -. NetworkFlowMonitorManageAgent** Führen Sie die Schritte im Verfahren aus, um das Dokument aufzurufen und auszuführen.
**Aktivieren oder deaktivieren Sie Network-Flow-Monitor-Agenten wie folgt:**
1. Wählen Sie AWS-Managementkonsole im AWS Systems Manager unter **Change Management Tools** die Option **Dokumente** aus.
1. Suchen Sie unter **Owned by Amazon** das Network Flow Monitor-Dokument, **AmazonCloudWatch- NetworkFlowMonitorManageAgent**, und wählen Sie das Dokument aus.
1. Geben Sie im Abschnitt **Zielauswahl** an, wie Sie die EC2-Instances auswählen möchten, auf denen Agenten installiert werden sollen. Sie können Instances anhand von Tags oder manuell auswählen oder die Auswahl anhand von Ressourcengruppen treffen.
1. Wählen Sie im Abschnitt **Befehlsparameter** unter **Aktion** die Option **Aktivieren** oder **Deaktivieren** aus, je nachdem, welche Aktion Sie für die Agenten ausführen möchten.
1. Scrollen Sie gegebenenfalls nach unten und wählen Sie **Ausführen** aus, um die Installation zu starten.
# Herunterladen vorkonfigurierter Pakete des Network-Flow-Monitor-Agenten über die Befehlszeile
Sie können die Befehlszeile verwenden, um den Network-Flow-Monitor-Agenten als Paket in Amazon Linux 2023 zu installieren. Alternativ können Sie vorgefertigte Pakete des Network-Flow-Monitor-Agenten herunterladen und installieren.
Vor oder nach dem Download des Pakets können Sie die Paketsignatur überprüfen. Weitere Informationen finden Sie unter [Überprüfen der Signatur des Network-Flow-Monitor-Agentenpakets](#CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig).
Wählen Sie unten je nach verwendetem Linux-Betriebssystem und Art der gewünschten Installation die entsprechenden Anweisungen.
**Amazon Linux AMIs**
Der Network-Flow-Monitor-Agent ist in Amazon Linux 2023 als Paket verfügbar. Wenn Sie dieses Betriebssystem verwenden, können Sie das Paket installieren, indem Sie den folgenden Befehl eingeben:
`sudo yum install network-flow-monitor-agent`
Sie müssen außerdem sicherstellen, dass der IAM-Rolle, die der Instance zugewiesen ist, die [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy)Richtlinie angehängt ist. Weitere Informationen finden Sie unter [Konfigurieren von Berechtigungen für Agenten](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md).
**Amazon Linux 2023**
Installieren Sie das Paket für Ihre Architektur mit einem der folgenden Befehle:
+ **x86\$164**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.rpm`
+ **ARM64 (Graviton**): `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm`
Führen Sie den folgenden Befehl aus, um zu prüfen, ob der Network-Flow-Monitor-Agent erfolgreich installiert wurde. Die Antwort muss zeigen, dass der Agent aktiviert und aktiv ist:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
**DEB-basierte Distributionen (Debian, Ubuntu)**
Installieren Sie das Paket für Ihre Architektur mit einem der folgenden Befehle:
+ **x86\$164**: `wget https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.deb`
+ **ARM64 (Graviton**): `wget https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb`
Installieren Sie das Paket mit dem folgenden Befehl: `$ sudo apt-get install ./network-flow-monitor-agent.deb`
Führen Sie den folgenden Befehl aus, um zu prüfen, ob der Network-Flow-Monitor-Agent erfolgreich installiert wurde. Die Antwort muss zeigen, dass der Agent aktiviert und aktiv ist:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
## Überprüfen der Signatur des Network-Flow-Monitor-Agentenpakets
Die Deb- und RPM-Installer-Pakete für Network-Flow-Monitor-Agenten für Linux-Instances sind kryptografisch signiert. Sie können einen öffentlichen Schlüssel verwenden, um sicherzustellen, dass das Paket des Agenten original und unverändert ist. Wenn die Dateien beschädigt oder verändert werden, schlägt die Überprüfung fehl. Sie können die Signatur des Installer-Pakets entweder mit RPM oder GPG überprüfen. Die folgenden Informationen gelten für Network-Flow-Monitor-Agenten ab Version 0.1.3.
Die richtige Signaturdatei nach Architektur und Betriebssystem finden Sie in der folgenden Tabelle.
| Architektur | Plattform | Download-Link | Link zur Signaturdatei |
| --- | --- | --- | --- |
| x86-64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ .rpm network-flow-monitor-agent | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .rpm.sig |
| ARM64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/arm64/ .rpm network-flow-monitor-agent | https://networkflowmonitoragent.awsstatic.com/latest/arm64/ network-flow-monitor-agent .rpm.sig |
| x86-64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .deb | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .deb.sig |
| ARM64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/arm64/ .deb network-flow-monitor-agent | https://networkflowmonitoragent.awsstatic.com/latest/arm64/ network-flow-monitor-agent .deb.sig |
Führen Sie die folgenden Schritte aus, um die Signatur des Network-Flow-Monitor-Agenten zu überprüfen.
**Überprüfen Sie die Signatur des Network-Flow-Monitor-Agentenpakets für Amazon S3 wie folgt:**
1. Installieren Sie GnuPG, um den gpg-Befehl ausführen zu können. GnuPG ist erforderlich, um die Authentizität und die Integrität eines heruntergeladenen Network-Flow-Monitor-Agenten für ein Amazon-S3-Paket zu überprüfen. GnuPG ist standardmäßig auf Amazon Linux Amazon Machine Images () AMIs installiert.
1. Kopieren Sie den folgenden Schlüssel und speichern Sie ihn in einer Datei mit dem Namen `nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Importieren Sie den öffentlichen Schlüssel in Ihren Schlüsselbund und notieren Sie den zurückgegebenen Wert.
```
PS> rpm --import nfm-agent.gpg
gpg: key 3B789C72: public key "Network Flow Monitor Agent" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
Notieren Sie sich den Schlüsselwert. Sie benötigen ihn im nächsten Schritt. In diesem Beispiel lautet der Schlüsselwert `3B789C72`.
1. Überprüfen Sie den Fingerabdruck, indem Sie den folgenden Befehl ausführen. Achten Sie darauf, durch den Wert aus *key-value* dem vorherigen Schritt zu ersetzen. Es wird empfohlen, GPG zu verwenden, um den Fingerprint zu überprüfen, auch wenn Sie RPM verwenden, um das Installer-Paket zu überprüfen.
```
PS> gpg --fingerprint key-value
pub rsa4096 2025-04-08 [SC] [expires: 2028-04-07]
7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1
uid Network Flow Monitor Agent
```
Die Fingerabdruck-Zeichenfolge muss der folgenden entsprechen:
`7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1`
Wenn die Fingerabdruck-Zeichenfolge nicht übereinstimmt, installieren Sie den Agent nicht. Wenden Sie sich an Amazon Web Services.
Nachdem Sie den Fingerabdruck verifiziert haben, können Sie ihn verwenden, um die Signatur des Network-Flow-Monitor-Agentenpakets zu verifizieren.
1. Laden Sie die passende Signaturdatei für die Architektur und das Betriebssystem Ihrer Instance herunter.
1. Überprüfen Sie die Installer-Paketsignatur. Ersetzen Sie `signature-filename` und `agent-download-filename` mit den Werten, die Sie beim Herunterladen der Signaturdatei und des Agenten angegeben haben, wie in der Tabelle weiter oben in diesem Thema angegeben.
```
PS> gpg --verify sig-filename agent-download-filename
gpg: Signature made Tue Apr 8 00:40:02 2025 UTC
gpg: using RSA key 77777777EXAMPLEKEY
gpg: issuer "network-flow-monitor-agent@amazon.com"
gpg: Good signature from "Network Flow Monitor Agent " [unknown]
gpg: WARNING: Using untrusted key!
```
Wenn die Ausgabe die Bezeichnung `BAD signature` enthält, überprüfen Sie, ob Sie das Verfahren korrekt durchgeführt haben. Wenn Sie diese Antwort weiterhin erhalten, wenden Sie sich bitte an den [AWS -Support](https://aws.amazon.com/premiumsupport/) und vermeiden Sie die Verwendung der heruntergeladenen Datei.
Beachten Sie die Warnung zu vertrauenswürdigen Inhalten. Beachten Sie die Warnung zu vertrauenswürdigen Inhalten. Das bedeutet nicht, dass die Signatur ungültig ist, sondern nur, dass Sie den öffentlichen Schlüssel nicht überprüft haben.
Folgen Sie als Nächstes den hier beschriebenen Schritten, um das RPM-Paket zu überprüfen.
**Überprüfen Sie die Signatur des RPM-Pakets wie folgt:**
1. Kopieren Sie den folgenden Schlüssel und speichern Sie ihn in einer Datei mit dem Namen `nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Importieren Sie den öffentlichen Schlüssel in Ihren Schlüsselbund.
```
PS> rpm --import nfm-agent.gpg
```
1. Überprüfen Sie die Installer-Paketsignatur. Ersetzen Sie `agent-download-filename` mit dem Wert, den Sie beim Herunterladen des Agenten angegeben haben, wie in der Tabelle weiter oben in diesem Thema angegeben.
```
PS> rpm --checksig agent-download-filename
```
Für die x86\$164-Architektur unter Amazon Linux 2023 verwenden Sie beispielsweise den folgenden Befehl:
```
PS> rpm --checksig network-flow-monitor-agent.rpm
```
Dieser Befehl gibt etwa die folgende Ausgabe zurück.
```
network-flow-monitor-agent.rpm: digests signatures OK
```
Wenn die Ausgabe die Bezeichnung `NOT OK (MISSING KEYS: (MD5) key-id)` enthält, überprüfen Sie, ob Sie das Verfahren korrekt durchgeführt haben. Wenn Sie diese Antwort weiterhin erhalten, wenden Sie sich bitte an den [AWS -Support](https://aws.amazon.com/premiumsupport/) und installieren Sie den Agenten nicht.
# Installieren von Agenten für selbstverwaltete Kubernetes-Instances
Führen Sie die Schritte in diesem Abschnitt aus, um Network-Flow-Monitor-Agenten für Workloads auf selbstverwalteten Kubernetes-Clustern zu installieren. Nachdem Sie die Schritte abgeschlossen haben, werden die Agenten-Pods für Network Flow Monitor auf all Ihren selbstverwalteten Kubernetes-Clusterknoten ausgeführt.
Wenn Sie Amazon Elastic Kubernetes Service (Amazon EKS) verwenden, finden Sie die entsprechenden Installationsschritte im folgenden Abschnitt: [Installieren Sie das EKS AWS Network Flow Monitor Agent-Add-on](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md).
**Topics**
+ [Bevor Sie beginnen](CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin.md)
+ [Herunterladen von Helm-Charts und Installieren von Agenten](CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents.md)
+ [Konfigurieren von Berechtigungen, damit Agenten Metriken liefern](CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions.md)
# Bevor Sie beginnen
Bevor Sie mit der Installation beginnen, führen Sie die Schritte in diesem Abschnitt aus, um sicherzustellen, dass Ihre Umgebung für die erfolgreiche Installation von Agenten auf den richtigen Kubernetes-Clustern eingerichtet ist.
**Sicherstellen, dass Ihre Version von Kubernetes unterstützt wird**
Für die Installation des Network-Flow-Monitor-Agenten brauchen Sie mindestens Kubernetes Version 1.25.
**Sicherstellen, dass Sie die erforderlichen Tools installiert haben**
Die Skripts, die Sie für diesen Installationsvorgang verwenden, erfordern die folgenden Tools. Falls Sie die Tools noch nicht installiert haben, finden Sie unter den bereitgestellten Links weitere Informationen.
+ Die AWS Command Line Interface (CLI). Weitere Informationen finden Sie im AWS Command Line Interface Referenzhandbuch unter [Installation oder Aktualisierung AWS Command Line Interface auf die neueste Version von](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ Der Helm-Paketmanager. Weitere Informationen finden Sie unter [Installieren von Helm](https://helm.sh/docs/intro/install/) auf der Helm-Website.
+ Das `kubectl`-Befehlszeilen-Tool. Weitere Informationen finden Sie unter [Installieren von kubectl](https://kubernetes.io/docs/tasks/tools/#kubectl) auf der Kubernetes-Website.
+ Die Abhängigkeit vom Linux-Befehl `make`. Weitere Informationen finden Sie im folgenden Blogbeitrag: [Einführung zum Linux-Befehl „make“: Installation und Verwendung](https://ioflood.com/blog/install-make-command-linux/). Führen Sie beispielsweise einen der folgenden Schritte aus:
+ Verwenden Sie für Debian-basierte Distributionen wie Ubuntu den folgenden Befehl: `sudo apt-get install make`
+ Verwenden Sie für RPM-basierte Distributionen wie CentOS den folgenden Befehl: `sudo yum install make`
**Stellen Sie sicher, dass Sie über gültige, korrekt konfigurierte KubeConfig Umgebungsvariablen verfügen**
Bei der Installation des Network-Flow-Monitor-Agenten wird der Helm-Paketmanager genutzt, der die kubeconfig-Variable `$HELM_KUBECONTEXT` verwendet, um die Kubernetes-Zielcluster zu bestimmen, mit denen gearbeitet werden soll. Beachten Sie außerdem, dass Helm bei der Ausführung von Installationsskripten standardmäßig auf die Standarddatei `~/.kube/config` verweist. Sie können die Umgebungsvariablen der Konfiguration ändern, um eine andere Konfigurationsdatei zu verwenden (durch Aktualisierung von `$KUBECONFIG`) oder um den Zielcluster zu definieren, mit dem Sie arbeiten möchten (durch Aktualisierung von `$HELM_KUBECONTEXT`).
**Erstellen eines Kubernetes-Namespace für Network Flow Monitor**
Die Ressourcen der Kubernetes-Anwendung des Network-Flow-Monitor-Agenten werden in einem bestimmten Namespace installiert. Der Namespace muss vorhanden sein, damit die Installation erfolgreich ist. Um sicherzustellen, dass der erforderliche Namespace vorhanden ist, können Sie einen der folgenden Schritte ausführen:
+ Erstellen Sie den Standard-Namespace `amazon-network-flow-monitor`, bevor Sie beginnen.
+ Erstellen Sie einen anderen Namespace und definieren Sie ihn in der Umgebungsvariablen `$NAMESPACE`, wenn Sie die Installation ausführen, um Ziele zu erstellen.
# Herunterladen von Helm-Charts und Installieren von Agenten
Sie können die Helm-Diagramme des Network Flow Monitor-Agenten mithilfe des folgenden Befehls aus dem AWS öffentlichen Repository herunterladen. Stellen Sie sicher, dass Sie sich zuerst mit Ihrem GitHub Konto authentifizieren.
`git clone https://github.com/aws/network-flow-monitor-agent.git`
Im Verzeichnis `./charts/amazon-network-flow-monitor-agent` finden Sie die Helm-Charts und das Makefile des Network-Flow-Monitor-Agenten, die die make-Ziele der Installation enthalten, die Sie für die Installation von Agenten verwenden. Sie installieren Agenten für Network Flow Monitor mithilfe des folgenden Makefile-Ziels: `helm/install/customer`
Sie können die Installation bei Bedarf anpassen. Zum Beispiel folgendermaßen:
```
# Overwrite the kubeconfig files to use
KUBECONFIG= make helm/install/customer
# Overwrite the Kubernetes namespace to use
NAMESPACE= make helm/install/customer
```
Um die erfolgreiche Erstellung und Bereitstellung der Kubernetes-Anwendungs-Pods für die Network-Flow-Monitor-Agenten zu verifizieren, prüfen Sie, ob ihr Status `Running` lautet. Sie können den Status der Agenten überprüfen, indem Sie den folgenden Befehl ausführen: `kubectl get pods -o wide -A | grep amazon-network-flow-monitor`
# Konfigurieren von Berechtigungen, damit Agenten Metriken liefern
Nachdem Sie Agenten für Network Flow Monitor installiert haben, müssen Sie die Agenten so einrichten, dass sie Netzwerkmetriken an die Network Flow Monitor-Erfassung APIs senden können. Agenten im Network Flow Monitor müssen berechtigt sein, auf die Network Flow Monitor-Aufnahme zuzugreifen, APIs damit sie Netzwerkfluss-Metriken, die sie für jede Instanz gesammelt haben, bereitstellen können. Sie gewähren diesen Zugriff, indem Sie IAM-Rollen für Servicekonten implementieren.
Folgen Sie den Schritten in diesem Abschnitt, um Agenten zu ermöglichen, Netzwerkmetriken an Network Flow Monitor zu senden.
1. **Implementieren von IAM-Rollen für Servicekonten**
IAM-Rollen für Servicekonten bieten die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie Amazon-EC2-Instance-Profile Anmeldeinformationen für Amazon-EC2-Instances bereitstellen. Die Implementierung von IRSA ist die empfohlene Methode, um alle Berechtigungen bereitzustellen, die Network Flow Monitor-Agenten benötigen, um erfolgreich auf die Network Flow Monitor-Aufnahme zuzugreifen. APIs Weitere Informationen finden Sie unter [IAM-Rollen für Servicekonten](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) im Benutzerhandbuch für Amazon EKS.
Verwenden Sie die folgenden Informationen, wenn Sie IAM-Rollen für Servicekonten für Network-Flow-Monitor-Agenten einrichten:
+ **ServiceAccount:** Wenn Sie Ihre IAM-Rollenvertrauensrichtlinie definieren, geben Sie für an. `ServiceAccount` `aws-network-flow-monitor-agent-service-account`
+ **Namespace: **Geben Sie für `namespace` den Wert `amazon-network-flow-monitor` an.
+ **Bereitstellung temporärer Anmeldeinformationen:** Wenn Sie Berechtigungen konfigurieren, nachdem Sie Agenten-Pods für Network Flow Monitor bereitgestellt und den `ServiceAccount` mit Ihrer IAM-Rolle aktualisiert haben, stellt Kubernetes keine Anmeldeinformationen für die IAM-Rolle bereit. Damit die Network-Flow-Monitor-Agenten die angegebenen Anmeldeinformationen für die IAM-Rolle erhalten, müssen Sie einen Neustart von `DaemonSet` durchführen. Verwenden Sie z. B. einen Befehl wie diesen:
`kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent`
1. **Vergewissern Sie sich, dass der Network Flow Monitor-Agent erfolgreich auf die Network Flow Monitor-Aufnahme zugreift APIs**
Sie können überprüfen, ob Ihre Konfiguration für Agenten ordnungsgemäß funktioniert. Verwenden Sie dazu die HTTP-200-Protokolle für Agenten-Pods von Network Flow Monitor. Suchen Sie zunächst nach einem Agenten-Pod für Network Flow Monitor und suchen Sie dann in den Protokolldateien nach erfolgreichen HTTP-200-Anforderungen. Sie können z. B. Folgendes tun:
1. Suchen Sie einen Pod-Namen für den Network Flow Monitor-Agenten. Sie können z. B. den folgenden Befehl verwenden:
```
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)
```
1. Suchen Sie mit dem grep-Befehl in allen HTTP-Protokollen nach dem Pod-Namen, den Sie gefunden haben. Wenn Sie den NAMESPACE geändert haben, müssen Sie den neuen verwenden.
```
NAMESPACE=amazon-network-flow-monitor
kubectl logs $RANDOM_AGENT_POD_NAME -\-namespace ${NAMESPACE} | grep HTTP
```
Wenn der Zugriff gewährt wurde, sollten Sie Protokolleinträge wie diese sehen:
```
...
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679}
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}
```
Beachten Sie, dass der Network Flow Monitor-Agent alle 30 Sekunden Netzwerkflussberichte veröffentlicht, indem er den Network Flow Monitor-Ingestion aufruft. APIs