Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasikan izin bagi agen untuk mengirimkan metrik
Setelah Anda menginstal agen untuk Network Flow Monitor, Anda harus mengaktifkan agen untuk mengirim metrik jaringan ke konsumsi APIs Network Flow Monitor. Agen di Network Flow Monitor harus memiliki izin untuk mengakses konsumsi Network Flow Monitor APIs sehingga mereka dapat mengirimkan metrik aliran jaringan yang telah mereka kumpulkan untuk setiap instance. Anda memberikan akses ini dengan menerapkan peran IAM untuk akun layanan (IRSA).
Untuk memungkinkan agen mengirimkan metrik jaringan ke Network Flow Monitor, ikuti langkah-langkah di bagian ini.
Menerapkan peran IAM untuk akun layanan
Peran IAM untuk akun layanan menyediakan kemampuan untuk mengelola kredensil untuk aplikasi Anda, mirip dengan cara profil EC2 instans Amazon memberikan kredensil ke instans Amazon. EC2 Menerapkan IRSA adalah cara yang disarankan untuk memberikan semua izin yang diperlukan oleh agen Network Flow Monitor agar berhasil mengakses konsumsi Network Flow Monitor. APIs Untuk informasi selengkapnya, lihat peran IAM untuk akun layanan di Panduan Pengguna Amazon EKS.
Saat Anda mengatur IRSA untuk agen Network Flow Monitor, gunakan informasi berikut:
ServiceAccount: Saat Anda menentukan kebijakan kepercayaan peran IAM Anda, untuk
ServiceAccount, tentukanaws-network-flow-monitor-agent-service-account.Namespace: Untuk
namespace, tentukan.amazon-network-flow-monitorPenerapan kredensial sementara: Ketika Anda mengonfigurasi izin setelah Anda menerapkan pod agen Network Flow Monitor, memperbarui
ServiceAccountdengan peran IAM Anda, Kubernetes tidak menerapkan kredensial peran IAM. Untuk memastikan bahwa agen Network Flow Monitor memperoleh kredensi peran IAM yang telah Anda tentukan, Anda harus meluncurkan restart.DaemonSetMisalnya, gunakan perintah seperti berikut:kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent
Konfirmasikan bahwa agen Network Flow Monitor berhasil mengakses konsumsi Network Flow Monitor APIs
Anda dapat memeriksa untuk memastikan bahwa konfigurasi Anda untuk agen berfungsi dengan benar dengan menggunakan log HTTP 200 untuk pod agen Network Flow Monitor. Pertama, cari pod agen Network Flow Monitor, lalu cari melalui file log untuk menemukan permintaan HTTP 200 yang berhasil. Misalnya, Anda dapat melakukan hal berikut:
Temukan nama pod agen Network Flow Monitor. Misalnya, Anda dapat menggunakan perintah berikut:
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)Grep semua log HTTP untuk nama pod yang Anda temukan. Jika Anda telah mengubah NAMESPACE, pastikan Anda menggunakan yang baru.
NAMESPACE=amazon-network-flow-monitor kubectl logs $RANDOM_AGENT_POD_NAME-\-namespace ${NAMESPACE} | grep HTTP
Jika akses telah berhasil diberikan, Anda akan melihat entri log yang mirip dengan yang berikut ini:
... {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679} {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}Perhatikan bahwa agen Network Flow Monitor menerbitkan laporan aliran jaringan setiap 30 detik, dengan memanggil konsumsi APIs Network Flow Monitor.
