Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan Network Flow Monitor
Network Flow Monitor memberi Anda visibilitas hampir real-time ke kinerja jaringan untuk lalu lintas antara sumber daya komputasi (Amazon EC2 dan Amazon Elastic Kubernetes Service), lalu lintas ke layanan lain AWS (Amazon S3 dan Amazon DynamoDB), dan lalu lintas ke tepi yang lain. Wilayah AWS Network Flow Monitor mengumpulkan data dari agen perangkat lunak ringan yang Anda instal pada instans Anda. Agen ini mengumpulkan statistik kinerja dari koneksi TCP dan mengirimkan data ini ke layanan backend Network Flow Monitor, yang menghitung kontributor teratas untuk setiap jenis metrik.
Network Flow Monitor juga menentukan AWS apakah penyebab masalah jaringan yang terdeteksi, dan melaporkan informasi untuk aliran jaringan yang Anda pilih untuk memantau detailnya.
Anda dapat melihat informasi kinerja jaringan untuk alur jaringan untuk sumber daya dalam satu akun, atau Anda dapat mengonfigurasi Network Flow Monitor dengan AWS Organizations untuk melihat informasi kinerja untuk beberapa akun dalam organisasi, dengan masuk dengan akun administrator manajemen atau delegasi.
Network Flow Monitor ditujukan untuk operator jaringan dan pengembang aplikasi yang menginginkan wawasan real-time tentang kinerja jaringan. Di konsol Network Flow Monitor di CloudWatch, Anda dapat melihat data kinerja untuk lalu lintas jaringan sumber daya Anda yang telah dikumpulkan dari agen dan dikelompokkan ke dalam kategori yang berbeda. Misalnya, Anda dapat melihat data untuk aliran antara Availability Zones atau di antaranya VPCs. Kemudian, Anda dapat membuat monitor untuk alur tertentu yang ingin Anda lihat lebih detail atau lacak lebih dekat dari waktu ke waktu.
Dengan menggunakan monitor, Anda dapat dengan cepat memvisualisasikan kehilangan paket dan latensi koneksi jaringan Anda selama jangka waktu yang Anda tentukan. Untuk setiap monitor, Network Flow Monitor juga menghasilkan indikator kesehatan jaringan (NHI). Nilai NHI memberi tahu Anda apakah ada masalah AWS jaringan untuk arus jaringan yang dilacak oleh monitor Anda selama periode waktu yang Anda evaluasi. Dengan menggunakan informasi NHI, Anda dapat dengan cepat memutuskan apakah akan memfokuskan upaya pemecahan masalah pada masalah jaringan atau masalah AWS jaringan yang berasal dari beban kerja Anda.
Untuk melihat contoh mengonfigurasi dan menggunakan Network Flow Monitor, lihat posting blog berikut: [Memvisualisasikan kinerja jaringan beban kerja AWS Cloud Anda dengan Network](https://aws.amazon.com/blogs/networking-and-content-delivery/visualizing-network-performance-of-your-aws-cloud-workloads-with-network-flow-monitor/) Flow Monitor.
# Apa itu Monitor Aliran Jaringan?
Network Flow Monitor adalah fitur dari Amazon CloudWatch Network Monitoring. Network Flow Monitor menggunakan agen yang dikelola sepenuhnya yang Anda instal di AWS beban kerja untuk mengembalikan metrik kinerja dan ketersediaan tentang alur jaringan. Menggunakan Network Flow Monitor, Anda dapat mengakses metrik hampir real-time, termasuk transmisi ulang dan data yang ditransfer, untuk beban kerja Anda yang sebenarnya. Anda juga dapat mengidentifikasi apakah masalah AWS jaringan yang mendasari terjadi untuk alur jaringan yang dilacak oleh monitor, dengan memeriksa nilai indikator kesehatan jaringan (NHI).
**Fitur utama dari Network Flow Monitor**
+ Dengan Network Flow Monitor, Anda menerima metrik hampir real-time untuk latensi dan kehilangan paket yang dialami oleh lalu lintas berbasis TCP dalam jaringan VPC Anda, sehingga Anda dapat melacak dan menyelidiki masalah jaringan untuk lalu lintas beban kerja Anda.
+ Ketika AWS beban kerja Anda mengalami degradasi jaringan, Network Flow Monitor membantu Anda menentukan apakah masalah tersebut disebabkan oleh beban kerja aplikasi Anda atau infrastruktur yang mendasarinya. AWS Kemudian, Anda dapat dengan cepat memfokuskan pemecahan masalah pada area di mana masalah terjadi.
**Cara menggunakan Network Flow Monitor**
Dengan Network Flow Monitor, Anda memasang agen ringan pada instans Anda, yang mengumpulkan dan menggabungkan metrik kinerja. Agen Network Flow Monitor menganalisis lalu lintas TCP, dan kemudian mengekspor metrik kinerja ke backend layanan Network Flow Monitor.
Agen mengumpulkan metrik berikut untuk beban kerja Anda: Waktu pulang-pergi TCP (RTT), batas waktu transmisi ulang TCP, transmisi ulang TCP, dan data (byte) yang ditransfer. Setelah Anda menginstal agen pada instans Anda, agen mendeteksi beban kerja terkait yang di-host oleh instans. Agen kemudian menghasilkan metrik kinerja jaringan dan mengirim metrik ke backend Network Flow Monitor. Metrik digabungkan ke dalam kategori seperti subnet, Availability Zone VPCs, dan layanan. AWS
Metrik kinerja untuk kontributor teratas (menurut jenis metrik) dari semua alur jaringan yang ada di lingkup Network Flow Monitor ditampilkan pada tab **Wawasan Beban Kerja** di. Konsol Manajemen AWS Dengan meninjau tabel dan grafik kontributor teratas, Anda dapat menentukan di mana mungkin ada gangguan yang ingin Anda pecahkan dan beban kerja mana yang ingin Anda pantau secara berkelanjutan, dengan membuat monitor.
Dengan monitor, Anda dapat memantau beban kerja tertentu lebih dekat dari waktu ke waktu dan melihat informasi terperinci tentang alur jaringan tertentu. Selain melihat metrik kinerja untuk kontributor teratas untuk alur jaringan yang telah Anda pilih, Anda dapat melihat informasi jalur jaringan dengan hop jaringan yang telah dilalui aliran jaringan, untuk membantu Anda memecahkan masalah. Selain itu, Network Flow Monitor menghasilkan indikator kesehatan jaringan (NHI) untuk monitor. Nilai NHI dari **Degraded** menunjukkan bahwa ada masalah AWS jaringan untuk setidaknya satu alur jaringan yang dilacak oleh monitor Anda, selama periode waktu yang Anda pilih.
Selain meninjau informasi di monitor yang Anda buat, sebaiknya Anda juga memeriksa kembali secara berkala untuk meninjau metrik di halaman **Wawasan Beban Kerja**, untuk melihat kontributor teratas terbaru untuk metrik kinerja untuk alur jaringan Anda. Saat Anda meninjau informasi terbaru, pertimbangkan apakah akan membantu untuk menambah atau menghapus beban kerja dari monitor Anda saat ini, atau membuat monitor baru.
**Topics**
+ [Didukung Wilayah AWS](CloudWatch-NetworkFlowMonitor-Regions.md)
+ [Komponen-komponen](CloudWatch-NetworkFlowMonitor-components.md)
+ [Cara kerjanya](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)
+ [Harga](CloudWatch-NetworkFlowMonitor.pricing.md)
# Didukung Wilayah AWS untuk Network Flow Monitor
Network Flow Monitor saat ini tersedia sebagai berikut Wilayah AWS:
| Nama wilayah | Region |
| --- | --- |
| Asia Pasifik (Mumbai) | ap-south-1 |
| Asia Pacific (Osaka) | ap-northeast-3 |
| Asia Pacific (Seoul) | ap-northeast-2 |
| Asia Pacific (Singapore) | ap-southeast-1 |
| Asia Pacific (Sydney) | ap-southeast-2 |
| Asia Pacific (Tokyo) | ap-northeast-1 |
| Canada (Central) | ca-sentral-1 |
| Europe (Frankfurt) | eu-central-1 |
| Europe (Ireland) | eu-west-1 |
| Europe (London) | eu-west-2 |
| Europe (Paris) | eu-west-3 |
| Europe (Stockholm) | eu-north-1 |
| South America (Sao Paulo) | sa-east-1 |
| US East (Northern Virginia) | us-east-1 |
| US East (Ohio) | us-east-2 |
| AS Barat (California Utara) | us-west-1 |
| US West (Oregon) | us-west-2 |
# Komponen dan fitur Monitor Aliran Jaringan
Network Flow Monitor menggunakan atau referensi konsep-konsep berikut.
**Agen**
*Agen* di Network Flow Monitor adalah aplikasi perangkat lunak yang Anda instal pada sumber daya AWS komputasi Anda (Amazon EC2 dan Amazon EKS). Aplikasi ini memiliki dua bagian:
+ Bagian pertama menerima peristiwa yang terkait dengan koneksi TCP dan terdaftar dalam kernel Linux menggunakan eBPF. eBPF adalah kemampuan Linux Extended Berkley Packet Filter (eBPF) yang memungkinkan program yang ditunjuk untuk menerima peristiwa tertentu yang diangkat oleh kernel Linux.
+ Bagian kedua menggabungkan statistik yang dikumpulkan oleh bagian eBPF. Agen mengirimkan metrik agregat ke backend Network Flow Monitor setiap 30 detik, dengan potensi jitter 5 detik (dengan kata lain, 25 hingga 35 detik).
Untuk informasi lebih lanjut tentang agen, lihat[Cara kerjanya](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md).
**Kontributor teratas**
*Kontributor teratas* adalah alur jaringan yang memiliki nilai tertinggi untuk metrik tertentu (seperti transmisi ulang) dalam lingkup Network Flow Monitor atau di antara alur jaringan yang Anda lacak di monitor. Meninjau arus dengan angka tertinggi yang dilaporkan untuk pengukuran metrik kinerja dapat membantu Anda melihat di mana mungkin ada gangguan untuk diselidiki. *Network Flow Monitor menampilkan metrik kinerja untuk kontributor teratas dalam lingkup pemantauan Anda untuk wawasan beban kerja.* Selain itu, jika Anda membuat monitor, Network Flow Monitor menampilkan metrik kinerja untuk kontributor teratas untuk alur jaringan yang Anda pilih untuk monitor.
**Sumber daya lokal dan jarak jauh**
*Sumber daya lokal* adalah lokasi host — atau lokasi beberapa host — tempat agen Network Flow Monitor diinstal. Ini bisa berupa subnet, VPC, Availability Zone, cluster Amazon EKS, atau file. Wilayah AWS Misalnya, pertimbangkan beban kerja yang terdiri dari interaksi antara layanan web dan database backend, misalnya, DynamoDB. Dalam skenario ini, sumber daya lokal adalah subnet dari instans EC2 yang menghosting layanan web, yang juga menjalankan agen. Aliran jaringan biasanya terarah, meskipun dapat dikonfigurasi menjadi dua arah.
*Sumber daya jarak jauh* adalah ujung lain dari aliran jaringan. Dalam contoh layanan web dengan database backend ini, DynamoDB adalah sumber daya jarak jauh. Sumber daya jarak jauh dapat berupa subnet, VPC, Availability Zone, layanan, AWS atau file. Wilayah AWS Jika Anda menentukan Wilayah sebagai sumber daya jarak jauh, Network Flow Monitor mengukur kinerja aliran jaringan hingga ke tepi Wilayah. Ini tidak mengukur kinerja ke titik akhir tertentu di dalam Wilayah.
Sumber daya diidentifikasi oleh ARN sumber daya, nama AWS layanan, atau, untuk Availability Zone atau Region, dengan nama zona atau Wilayah.
**Wawasan beban kerja**
*Wawasan beban kerja* mencakup metrik kinerja yang dikembalikan untuk semua alur jaringan dalam cakupan Anda. Di Konsol Manajemen AWS halaman **Wawasan Beban Kerja** menyediakan data performa tentang beban kerja tempat Anda menginstal agen Network Flow Monitor pada instance beban kerja. Halaman **Wawasan Beban Kerja** menyediakan tampilan ke dalam aplikasi Anda yang mencakup jumlah data yang ditransfer dan beberapa metrik lainnya, dikelompokkan ke dalam kategori beban kerja. Misalnya, Anda dapat melihat semua metrik untuk beban kerja dengan lalu lintas antara Availability Zones (AZs) atau dalam AZ. Dengan menggunakan wawasan ini, Anda dapat memilih beban kerja yang ingin Anda buat monitor untuk melihat detail selengkapnya dan melacak kinerja jaringan secara berkelanjutan.
**Monitor**
Anda membuat *monitor* sehingga Anda dapat memantau, secara berkelanjutan, kinerja jaringan untuk satu atau beberapa beban kerja tertentu, dan melihat informasi lebih rinci tentang alur jaringan. Untuk setiap monitor, Network Flow Monitor menerbitkan metrik end-to-end kinerja, dan indikator kesehatan jaringan (NHI), yang dapat Anda gunakan untuk membantu menentukan atribusi gangguan. Sebaiknya Anda meninjau informasi di halaman **Wawasan Beban Kerja** untuk melihat alur jaringan mana yang ingin Anda fokuskan, lalu membuat monitor untuk alur tersebut. Kemudian, dengan meninjau **wawasan Beban Kerja** secara teratur, Anda dapat memutuskan apakah Anda memiliki monitor yang Anda butuhkan, atau apakah membuat monitor baru akan sangat membantu.
**Indikator kesehatan jaringan (NHI)**
*Indikator kesehatan jaringan* (NHI) adalah nilai biner yang memberi tahu Anda apakah ada masalah AWS jaringan untuk satu atau lebih aliran jaringan yang dilacak oleh monitor, selama periode waktu yang Anda pilih. Ketika nilai NHI adalah 1, atau **Terdegradasi**, ada masalah AWS jaringan untuk setidaknya satu aliran jaringan. Dengan indikator NHI, Anda dapat dengan cepat memutuskan apakah akan memfokuskan upaya pemecahan masalah pada masalah jaringan atau masalah AWS jaringan yang berasal dari beban kerja Anda.
Untuk informasi selengkapnya, lihat [Lihat metrik Monitor Aliran Jaringan di CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).
**Lingkup**
Di Network Flow Monitor, *cakupannya* adalah akun atau akun yang dapat Anda amati ketika Anda melihat indikator kinerja jaringan. Jika Anda masuk sebagai akun manajemen dan AWS Organizations mengonfigurasinya CloudWatch, Anda dapat mengatur cakupan ke lebih dari satu akun di organisasi Anda (total hingga 100 akun). Jika tidak, jika Anda masuk dengan Akun AWS yang tidak memiliki izin manajemen di Organizations, atau jika Anda belum mengonfigurasi Organizations CloudWatch, Network Flow Monitor akan menetapkan cakupan Anda ke akun yang Anda gunakan untuk masuk.
Setelah mengonfigurasi Organizations, Anda dapat mengubah cakupan dengan menambahkan atau menghapus akun. Namun, setiap kali Anda mengubah ruang lingkup, Network Flow Monitor harus membuat topologi baru sumber daya dalam lingkup. Untuk informasi selengkapnya, lihat [Menambahkan beberapa akun ke cakupan Anda](CloudWatch-NetworkFlowMonitor-multi-account.md#CloudWatch-NetworkFlowMonitor-multi-account.config-scope).
Network Flow Monitor menghasilkan **ID lingkup** unik untuk ruang lingkup. Kueri untuk data metrik menggunakan ID cakupan untuk menentukan sumber daya yang dihasilkan oleh Metrik Network Flow Monitor. (Anda harus menginstal agen untuk mengumpulkan dan mengirimkan data metrik sebelum Anda dapat melihat metrik kinerja untuk akun dengan Network Flow Monitor.)
**ID Kueri**
Network Flow Monitor menghasilkan *ID kueri* unik untuk setiap kueri yang dibuat untuk mengambil data metrik kinerja, seperti kueri untuk kontributor teratas untuk monitor. Dengan menggunakan ID kueri dengan panggilan API di Network Flow Monitor, Anda dapat memeriksa status kueri, menghentikan kueri, menjalankan kueri lagi, atau bekerja dengan kueri dengan cara lain.
**Metrik kinerja**
Network Flow Monitor mengumpulkan dan menghitung *metrik end-to-end kinerja*, termasuk waktu pulang-pergi TCP (RTT), transmisi ulang TCP, waktu tunggu transmisi ulang TCP, dan byte yang ditransfer untuk setiap aliran yang ada dalam lingkup Network Flow Monitor Anda. Layanan menggabungkan metrik ini dan mengembalikannya ke backend layanan. Anda dapat melihat kontributor teratas berdasarkan jenis metrik. Ketika Anda melihat anomali di Network Flow Monitor, Anda juga dapat memeriksa indikator kesehatan jaringan (NHI) untuk melihat apakah ada masalah jaringan yang mendasarinya AWS .
Ketahuilah bahwa data RTT bisa jarang karena RTT tidak selalu dihitung.
Anda juga dapat menggunakan CloudWatch fitur Amazon untuk membuat dasbor, alarm, dan notifikasi berdasarkan metrik ini. Misalnya, Anda dapat mempelajari cara mengatur alarm dengan metrik Network Flow Monitor dengan meninjau informasi di dalamnya. [Buat alarm dengan Network Flow Monitor](CloudWatch-NetworkFlowMonitor-create-alarm.md)
# Cara kerjanya
Bagian ini memberikan informasi tentang beberapa aspek tentang cara kerja Network Flow Monitor.
**Bagaimana agen Network Flow Monitor mengumpulkan statistik**
Agen di Network Flow Monitor diinstal pada sumber daya AWS komputasi (Amazon EC2 dan Amazon EKS), tempat mereka mengumpulkan metrik kinerja dan mengirimkannya ke backend Network Flow Monitor. Agen tidak memiliki akses ke muatan koneksi TCP Anda. Agen hanya menerima apa yang disebut struktur “bpf\$1sock\$1ops” dari kernel Linux. Struktur ini menyediakan alamat IP lokal dan jarak jauh dan port TCP sumber dan tujuan, serta penghitung dan waktu pulang pergi. Untuk daftar statistik TCP yang dikumpulkan dan diterbitkan oleh agen, lihat[Lihat metrik Monitor Aliran Jaringan di CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).
Agen menggunakan Network Flow Monitor `Publish` API untuk mengirim metrik ke server backend Network Flow Monitor.
*Catatan:* Network Flow Monitor mendukung hingga sekitar 5 juta aliran per menit. Ini adalah sekitar 5.000 instans (Amazon EC2 dan Amazon EKS node) dengan agen NFM diinstal. Memasang agen pada lebih dari 5000 instans dapat memengaruhi kinerja pemantauan hingga kapasitas tambahan tersedia.
**Bagaimana aliran jaringan dikategorikan dalam Network Flow Monitor**
Network Flow Monitor mengkategorikan aliran jaringan ke dalam klasifikasi tergantung dari mana aliran berasal dan berakhir.
# Harga untuk Monitor Aliran Jaringan
Dengan Network Flow Monitor, tidak ada biaya dimuka atau komitmen jangka panjang. Harga untuk Network Flow Monitor memiliki dua komponen: sumber daya yang dipantau (agen menginstal dan mengirim data secara aktif) dan CloudWatch metrik yang dijual. Perhatikan bahwa Anda juga dikenakan CloudWatch harga standar untuk setiap metrik, dasbor, alarm, atau wawasan tambahan yang Anda buat.
Untuk informasi selengkapnya tentang Network Flow Monitor dan CloudWatch harga Amazon, lihat Pemantauan Jaringan di halaman [ CloudWatch harga Amazon](https://aws.amazon.com//cloudwatch/pricing/).
# Memulai penggunaan Monitor Aliran Jaringan
Untuk membantu Anda memulai, bagian ini memberikan ikhtisar tingkat tinggi tentang langkah-langkah untuk mengonfigurasi, dan kemudian mendapatkan wawasan, dengan Network Flow Monitor. Untuk detailnya, lihat bagian tambahan dalam panduan ini tentang menginisialisasi Network Flow Monitor, menyebarkan agen, dan membuat monitor.
+ Inisialisasi Network Flow Monitor, untuk menerima izin peran terkait layanan, buat *ruang lingkup* untuk pemantauan di Network Flow Monitor, dan buat topologi awal. Jika Anda ingin mengamati kinerja jaringan untuk alur jaringan untuk instance di beberapa akun, Anda harus mengintegrasikan dengan AWS Organizations, dan kemudian menambahkan akun ke cakupan Anda. Untuk mempelajari selengkapnya, lihat [Memulai Monitor Aliran Jaringan](CloudWatch-NetworkFlowMonitor-configure-begin.md).
+ Terapkan *agen* pada instans Anda, dengan menggunakan AWS Systems Manager atau dengan mengonfigurasi Kubernetes, tergantung pada bagaimana sumber daya Anda digunakan. Jika Anda menginstal agen pada instans VPC EC2, pastikan Anda mengaktifkan izin agen pada setiap instance untuk mengirim metrik ke backend Network Flow Monitor. Untuk mempelajari selengkapnya, lihat [Instal agen Network Flow Monitor di EC2 dan instans Kubernetes yang dikelola sendiri](CloudWatch-NetworkFlowMonitor-agents.md).
+ Tinjau metrik kontributor teratas untuk alur jaringan yang dikembalikan oleh agen, untuk mendapatkan wawasan beban *kerja*. Wawasan beban kerja memberikan tampilan kinerja tingkat tinggi untuk alur jaringan dalam lingkup yang Anda pantau.
+ Berdasarkan alur jaringan yang ingin Anda lihat informasi jaringan terperinci, buat satu atau lebih *monitor*. Untuk setiap monitor, tentukan sumber daya lokal dan jarak jauh yang ingin Anda pantau arus jaringan. Dengan menggunakan monitor, Anda dapat melihat metrik dan informasi terperinci, termasuk indikator kesehatan jaringan, serta melihat jalur jaringan untuk aliran jaringan tertentu, selama periode waktu yang Anda pilih.
+ Secara teratur:
+ Tinjau informasi alur jaringan di monitor yang telah Anda buat, untuk mempelajari dan membantu memecahkan masalah gangguan jaringan pada beban kerja Anda.
+ Tinjau wawasan beban kerja untuk alur jaringan yang Anda pantau, untuk menentukan apakah monitor yang Anda buat mencakup alur jaringan yang paling relevan atau apakah akan membantu untuk membuat monitor baru.
# Operasi API Monitor Aliran Jaringan
Tabel berikut mencantumkan operasi Network Flow Monitor API yang dapat Anda gunakan dengan Network Flow Monitor. Tabel ini juga mencakup tautan ke dokumentasi yang relevan.
| Tindakan | Operasi API | Informasi selengkapnya |
| --- | --- | --- |
| Buat monitor aliran. | Lihat [CreateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateMonitor.html) | Lihat [Buat monitor di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md) |
| Hasilkan metrik untuk lingkup sumber daya. | Lihat [CreateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateScope.html) | Lihat [Mengevaluasi aliran jaringan dengan wawasan beban kerja](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Hapus monitor. | Lihat [DeleteMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteMonitor.html) | Lihat [Hapus monitor di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| Hapus ruang lingkup yang ditentukan. | Lihat [DeleteScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteScope.html) | Lihat [Hapus monitor di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| Dapatkan informasi tentang monitor. | Lihat [GetMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetMonitor.html) | Lihat [Memantau dan menganalisis arus jaringan dengan monitor Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Dapatkan data kueri untuk kontributor teratas di monitor tertentu. | Lihat [GetQueryResultsMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsMonitorTopContributors.html) | Lihat [Memantau dan menganalisis arus jaringan dengan monitor Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Kueri kontributor teratas untuk cakupan yang ditentukan untuk wawasan beban kerja. | Lihat [GetQueryResultsWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributors.html) | Lihat [Mengevaluasi aliran jaringan dengan wawasan beban kerja](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Kueri data wawasan beban kerja untuk kontributor teratas dalam lingkup tertentu. | Lihat [GetQueryResultsWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributorsData.html) | Lihat [Mengevaluasi aliran jaringan dengan wawasan beban kerja](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Periksa status kueri untuk kontributor teratas di monitor untuk memastikan bahwa itu telah berhasil sebelum meninjau hasilnya. | Lihat [GetQueryStatusMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusMonitorTopContributors.html) | N/A |
| Periksa status kueri pada wawasan beban kerja untuk kontributor teratas untuk memastikan bahwa kueri telah berhasil sebelum meninjau hasilnya. | Lihat [GetQueryStatusWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributors.html) | N/A |
| Periksa status kueri pada data wawasan beban kerja untuk kontributor teratas untuk memastikan bahwa kueri telah berhasil sebelum meninjau hasilnya. | Lihat [GetQueryStatusWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributorsData) | N/A |
| Dapatkan informasi tentang akun, atau ruang lingkup, termasuk nama, status, tag, dan detail target. | Lihat [GetScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetScope) | Lihat [Memantau dan menganalisis arus jaringan dengan monitor Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Buat daftar semua monitor di akun. | Lihat [ListMonitors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListMonitors) | [Memantau dan menganalisis arus jaringan dengan monitor Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Buat daftar semua cakupan untuk akun. | Lihat [ListScopes](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListScopes) | N/A |
| Daftar semua tag untuk sumber daya tertentu. | Lihat [ListTagsForResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListTagsForResource) | Lihat [Memantau dan menganalisis arus jaringan dengan monitor Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Lihat data kueri untuk kontributor teratas di monitor. | Lihat [StartQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryMonitorTopContributors) | Lihat [Memantau dan menganalisis arus jaringan dengan monitor Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Mulai kueri untuk mengumpulkan data wawasan beban kerja untuk kontributor teratas. | Lihat [StartQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryWorkloadInsightsTopContributors) | Lihat [Mengevaluasi aliran jaringan dengan wawasan beban kerja](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Hentikan kueri untuk kontributor teratas di monitor. | Lihat [StopQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryMonitorTopContributors) | N/A |
| Hentikan kueri pada data wawasan beban kerja untuk kontributor teratas. | Lihat [StopQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributors) | N/A |
| Hentikan kueri pada data wawasan beban kerja untuk kontributor teratas. | Lihat [StopQueryWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributorsData) | N/A |
| Tambahkan tag ke sumber daya. | Lihat [TagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_TagResource) | Lihat [Mengedit monitor di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Hapus tag dari sumber daya. | Lihat [UntagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UntagResource) | Lihat [Mengedit monitor di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Perbarui monitor untuk menambah atau menghapus sumber daya lokal atau jarak jauh. | Lihat [UpdateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateMonitor) | Lihat [Mengedit monitor di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Ubah ruang lingkup untuk menambah atau menghapus sumber daya yang akan dihasilkan oleh Network Flow Monitor. | Lihat [UpdateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateScope) | N/A |
# Contoh menggunakan CLI dengan Network Flow Monitor
Bagian ini mencakup contoh untuk menggunakan operasi AWS Command Line Interface dengan Network Flow Monitor.
Sebelum memulai, pastikan Anda masuk untuk menggunakan AWS akun AWS CLI dengan yang menyediakan cakupan yang ingin Anda gunakan untuk memantau arus jaringan. Untuk informasi selengkapnya tentang penggunaan tindakan API dengan Network Flow Monitor, lihat [Panduan Referensi API Network Flow Monitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).
**Topics**
+ [Membuat monitor](#CloudWatch-NFM-get-started-CLI-create-monitor)
+ [Melihat detail monitor](#CloudWatch-NFM-get-started-CLI-mon-details)
+ [Buat ruang lingkup](#CloudWatch-NFM-get-started-CLI-create-scope)
+ [Menghapus monitor](#CloudWatch-NFM-get-started-CLI-delete-monitor)
+ [Hapus ruang lingkup](#CloudWatch-NFM-get-started-CLI-delete-scope)
+ [Dapatkan informasi tentang monitor](#CloudWatch-NFM-get-started-CLI-get-monitor)
+ [Mengambil data pada kueri tertentu](#CloudWatch-NFM-get-started-CLI-get-query-results)
+ [Lihat informasi ruang lingkup](#CloudWatch-NFM-get-scope)
+ [Lihat daftar monitor untuk akun](#CloudWatch-NFM-list-monitors)
+ [Lihat daftar cakupan untuk akun](#CloudWatch-NFM-list-scopes)
+ [Lihat daftar tag untuk monitor](#CloudWatch-NFM-list-tags-for-resource)
+ [Memulai dan menghentikan kueri](#CloudWatch-NFM-query-monitors)
+ [Tandai monitor](#CloudWatch-NFM-tag-resource)
+ [Hapus tag dari monitor](#CloudWatch-NFM-untag-resource)
+ [Perbarui monitor yang ada](#CloudWatch-NFM-update-monitor)
## Membuat monitor
Untuk membuat monitor dengan AWS CLI, gunakan `create-monitor` perintah. Contoh berikut membuat monitor bernama `demo` dalam akun yang ditentukan.
```
aws networkflowmonitor create-monitor \
--monitor-name demo \
--local-resources type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889" \
--scope-arn arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-44556677889
```
Output:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/demo",
"monitorName": "demo",
"monitorStatus": "ACTIVE",
"tags": {}
}
```
Untuk informasi selengkapnya, lihat [Buat monitor di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md).
## Melihat detail monitor
Untuk melihat informasi tentang monitor dengan AWS CLI, gunakan `get-monitor` perintah.
```
aws networkflowmonitor get-monitor --monitor-name "TestMonitor"
```
Output:
```
{
"ClientLocationType": "city",
"CreatedAt": "2022-09-22T19:27:47Z",
"ModifiedAt": "2022-09-22T19:28:30Z",
"MonitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/TestMonitor",
"MonitorName": "TestMonitor",
"ProcessingStatus": "OK",
"ProcessingStatusInfo": "The monitor is actively processing data",
"Resources": [
"arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
],
"MaxCityNetworksToMonitor": 10000,
"Status": "ACTIVE"
}
```
## Buat ruang lingkup
`create-scope`Contoh berikut menciptakan ruang lingkup yang merupakan kumpulan sumber daya yang Network Flow Monitor akan menghasilkan metrik lalu lintas jaringan.
```
aws networkflowmonitor create-scope \
--targets '[{"targetIdentifier":{"targetId":{"accountId":"111122223333"},"targetType":"ACCOUNT"},"region":"us-east-1"}]'
```
Output:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "IN_PROGRESS",
"tags": {}
}
```
Untuk informasi selengkapnya, lihat [Komponen dan fitur Monitor Aliran Jaringan](CloudWatch-NetworkFlowMonitor-components.md).
## Menghapus monitor
`delete-monitor`Contoh berikut menghapus monitor bernama `Demo` di akun Anda.
```
aws networkflowmonitor delete-monitor \
--monitor-name Demo
```
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat [Hapus monitor di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md).
## Hapus ruang lingkup
`delete-scope`Contoh berikut menghapus lingkup yang ditentukan.
```
aws networkflowmonitor delete-scope \
--scope-id sample-aaaa-bbbb-cccc-44556677889
```
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat [Komponen dan fitur Monitor Aliran Jaringan](CloudWatch-NetworkFlowMonitor-components.md).
## Dapatkan informasi tentang monitor
`get-monitor`Contoh berikut menampilkan informasi tentang monitor yang disebutkan `demo` dalam akun yang ditentukan.
```
aws networkflowmonitor get-monitor \
--monitor-name Demo
```
Output:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"localResources": [
{
"type": "AWS::EC2::VPC",
"identifier": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
],
"remoteResources": [],
"createdAt": "2024-12-09T12:21:51.616000-06:00",
"modifiedAt": "2024-12-09T12:21:55.412000-06:00",
"tags": {}
}
```
Untuk informasi selengkapnya, lihat [Komponen dan fitur Monitor Aliran Jaringan](CloudWatch-NetworkFlowMonitor-components.md).
## Mengambil data pada kueri tertentu
Bagian berikut memberikan contoh perintah CLI untuk mengambil status query.
### get-query-results-workload-insights-top-contributors-data
`get-query-results-workload-insights-top-contributors-data`Contoh mengembalikan data untuk query tertentu.
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Output:
```
{
"datapoints": [
{
"timestamps": [
"2024-12-09T19:00:00+00:00",
"2024-12-09T19:05:00+00:00",
"2024-12-09T19:10:00+00:00"
],
"values": [
259943.0,
194856.0,
216432.0
],
"label": "use1-az6"
}
],
"unit": "Bytes"
}
```
### get-query-results-workload-insights-top-contributors
`get-query-results-workload-insights-top-contributors`Contoh berikut mengembalikan data untuk query tertentu.
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Output:
```
{
"topContributors": [
{
"accountId": "111122223333",
"localSubnetId": "subnet-SAMPLE1111",
"localAz": "use1-az6",
"localVpcId": "vpc-SAMPLE2222",
"localRegion": "us-east-1",
"remoteIdentifier": "",
"value": 333333,
"localSubnetArn": "arn:aws:ec2:us-east-1:111122223333:subnet/subnet-2222444455556666",
"localVpcArn": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
]
}
```
### get-query-status-monitor-kontributor teratas
`get-query-status-monitor-top-contributors`Contoh berikut menampilkan status kueri saat ini di akun yang ditentukan.
```
aws networkflowmonitor get-query-status-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
Output:
```
{
"status": "SUCCEEDED"
}
```
### get-query-status-workload-insights-top-contributors-data
`get-query-status-workload-insights-top-contributors-data`Contoh berikut menampilkan status kueri saat ini di akun yang ditentukan.
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Output:
```
{
"status": "SUCCEEDED"
}
```
### get-query-results-workload-insights-top-contributors
`get-query-results-workload-insights-top-contributors`Contoh berikut menampilkan status kueri saat ini di akun yang ditentukan.
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Output:
```
{
"status": "SUCCEEDED"
}
```
Untuk informasi selengkapnya, lihat [Mengevaluasi aliran jaringan dengan wawasan beban kerja](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
## Lihat informasi ruang lingkup
`get-scope`Contoh berikut menampilkan informasi tentang lingkup, seperti status, tag, nama, dan rincian target.
```
aws networkflowmonitor get-scope \
--scope-id sample-aaaa-bbbb-cccc-11112222333
```
Output:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333",
"targets": [
{
"targetIdentifier": {
"targetId": {
"accountId": "111122223333"
},
"targetType": "ACCOUNT"
},
"region": "us-east-1"
}
],
"tags": {}
}
```
Untuk informasi selengkapnya, lihat [Komponen dan fitur Monitor Aliran Jaringan](CloudWatch-NetworkFlowMonitor-components.md).
## Lihat daftar monitor untuk akun
`list-monitors`Contoh berikut mengembalikan semua monitor di akun yang ditentukan.
```
aws networkflowmonitor list-monitors
```
Output:
```
{
"monitors": [
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE"
}
]
}
```
Untuk informasi selengkapnya, lihat [Komponen dan fitur Monitor Aliran Jaringan](CloudWatch-NetworkFlowMonitor-components.md).
## Lihat daftar cakupan untuk akun
`list-scopes`Contoh berikut mencantumkan semua cakupan dalam akun yang ditentukan.
```
aws networkflowmonitor list-scopes
```
Output:
```
{
"scopes": [
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333"
}
]
}
```
Untuk informasi selengkapnya, lihat [Komponen dan fitur Monitor Aliran Jaringan](CloudWatch-NetworkFlowMonitor-components.md).
## Lihat daftar tag untuk monitor
`list-tags-for-resource`Contoh berikut mengembalikan semua tag yang terkait dengan sumber daya yang ditentukan.
```
aws networkflowmonitor list-tags-for-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo
```
Output:
```
{
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
Untuk informasi selengkapnya, lihat [Menandai sumber daya Amazon CloudWatch Anda](CloudWatch-Tagging.md).
## Memulai dan menghentikan kueri
Bagian berikut memberikan contoh perintah CLI untuk memulai dan menghentikan kueri di Network Flow Monitor.
### start-query-monitor-top-kontributor
`start-query-monitor-top-contributors`Contoh berikut memulai query yang mengembalikan QueryID untuk mengambil kontributor teratas.
```
aws networkflowmonitor start-query-monitor-top-contributors \
--monitor-name Demo \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Output:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Untuk informasi selengkapnya, lihat [Mengevaluasi aliran jaringan dengan wawasan beban kerja](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### start-query-workload-insights-top-contributors-data
`start-query-workload-insights-top-contributors-data`Contoh berikut memulai query yang mengembalikan QueryID untuk mengambil kontributor teratas.
```
aws networkflowmonitor start-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Output:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Untuk informasi selengkapnya, lihat [Mengevaluasi aliran jaringan dengan wawasan beban kerja](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### start-query-workload-insights-kontributor teratas
`start-query-workload-insights-top-contributors`Contoh berikut memulai query yang mengembalikan QueryID untuk mengambil kontributor teratas.
```
aws networkflowmonitor start-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Output:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Untuk informasi selengkapnya, lihat [Mengevaluasi aliran jaringan dengan wawasan beban kerja](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-monitor-top-kontributor
`stop-query-monitor-top-contributors`Contoh berikut menghentikan kueri di akun yang ditentukan.
```
aws networkflowmonitor stop-query-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat [Mengevaluasi aliran jaringan dengan wawasan beban kerja](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-workload-insights-top-contributors-data
Berikut ini `stop-query-workload-insights-top-contributors-data` menghentikan kueri di akun yang ditentukan.
```
aws networkflowmonitor stop-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat [Mengevaluasi aliran jaringan dengan wawasan beban kerja](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-workload-insights-kontributor teratas
`stop-query-workload-insights-top-contributors`Contoh berikut menghentikan kueri di akun yang ditentukan.
```
aws networkflowmonitor stop-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat [Mengevaluasi aliran jaringan dengan wawasan beban kerja](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
## Tandai monitor
Berikut ini `tag-resource` menambahkan tag ke monitor di akun yang ditentukan.
```
aws networkflowmonitor tag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tags Key=stack,Value=Production
```
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat [Menandai sumber daya Amazon CloudWatch Anda](CloudWatch-Tagging.md).
## Hapus tag dari monitor
`untag-resource`Contoh berikut menghapus tag ke monitor di akun yang ditentukan.
```
aws networkflowmonitor untag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tag-keys stack
```
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat [Menandai sumber daya Amazon CloudWatch Anda](CloudWatch-Tagging.md).
## Perbarui monitor yang ada
`update-monitor`Contoh berikut memperbarui monitor bernama ``Demo`` di akun yang ditentukan.
```
aws networkflowmonitor update-monitor \
--monitor-name Demo \
--local-resources-to-add type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
```
Output:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
Untuk informasi selengkapnya, lihat [Komponen dan fitur Monitor Aliran Jaringan](CloudWatch-NetworkFlowMonitor-components.md).
# Bekerja dengan EKS
Dengan menggunakan Network Flow Monitor, Anda dapat mengumpulkan metrik kinerja untuk beban kerja yang menggunakan Amazon Elastic Kubernetes Service (Amazon EKS). Bab ini menunjukkan cara menginstal agen step-by-step dan menjelaskan berbagai skenario EKS yang dapat Anda pantau. Anda juga akan menemukan deskripsi terperinci tentang metadata yang disediakan Network Flow Monitor untuk Amazon EKS di konsol untuk membantu Anda memahami kinerja jaringan.
Untuk mendapatkan manfaat dari pemantauan kinerja Network Flow Monitor, Anda harus terlebih dahulu menginstal add-on AWS Network Flow Monitor Agent untuk Amazon EKS. Untuk informasi selengkapnya, lihat [Instal add-on Agen Monitor Aliran AWS Jaringan EKS](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md).
Jika Anda ingin memantau kluster EKS tunggal dengan visibilitas yang ditingkatkan dari lalu lintas beban kerja dan wawasan kinerja dalam klaster dan dengan tujuan eksternal, lihat Observabilitas Jaringan [Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/network-observability.html).
**Topics**
+ [Instal add-on Agen Monitor Aliran AWS Jaringan EKS](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)
+ [Metadata jalur jaringan tambahan disertakan untuk Amazon EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata.md)
# Instal add-on Agen Monitor Aliran AWS Jaringan EKS
Ikuti langkah-langkah di bagian ini untuk menginstal add-on AWS Network Flow Monitor Agent untuk Amazon Elastic Kubernetes Service (Amazon EKS), untuk mengirim metrik Network Flow Monitor ke backend Network Flow Monitor dari cluster Kubernetes. Setelah Anda menyelesaikan langkah-langkahnya, pod AWS Network Flow Monitor Agent akan berjalan di semua node cluster Kubernetes Anda.
Jika Anda menggunakan cluster Kubernetes yang dikelola sendiri, langkah-langkah instalasi yang harus diikuti ada di bagian sebelumnya:. [Instal agen untuk instans Kubernetes yang dikelola sendiri](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)
Ketahuilah bahwa daftar awalan yang Dikelola [Pelanggan Daftar awalan yang Dikelola Pelanggan](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html) tidak didukung untuk Monitor Aliran Jaringan.
Anda dapat menginstal add-on dengan menggunakan konsol atau dengan menggunakan perintah API dengan file. AWS Command Line Interface
**Topics**
+ [Prasyarat untuk menginstal add-on](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq)
+ [Instal add-on dengan menggunakan konsol](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console)
+ [Instal add-on dengan menggunakan CLI](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli)
+ [Konfigurasikan untuk alat pihak ketiga](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party.md)
## Prasyarat untuk menginstal add-on
Terlepas dari apakah Anda menggunakan konsol atau CLI untuk menginstal add-on AWS Network Flow Monitor Agent, ada beberapa persyaratan untuk menginstal add-on dengan Kubernetes.
**Pastikan versi Kubernetes Anda didukung**
Instalasi agen Network Flow Monitor membutuhkan Kubernetes Versi 1.25, atau versi yang lebih baru.
**Instalasi add-on Amazon EKS Pod Identity Agent**
Anda dapat menginstal add-on Amazon EKS Pod Identity Agent di konsol atau dengan menggunakan CLI.
Pengaitan Identitas Pod Amazon EKS menyediakan kemampuan untuk mengelola kredensial untuk aplikasi Anda, mirip dengan cara profil instans Amazon EC2 memberikan kredensial ke instans Amazon EC2. Amazon EKS Pod Identity memberikan kredensi ke beban kerja Anda dengan API Auth Amazon EKS tambahan dan pod agen yang berjalan di setiap node.
Untuk mempelajari lebih lanjut dan melihat langkah-langkah untuk menginstal add-on Amazon EKS Pod Identity, lihat [Mengatur Agen Identitas Pod Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html) di Panduan Pengguna Amazon EKS.
## Instal add-on AWS Network Flow Monitor Agent dengan menggunakan konsol
Ikuti langkah-langkah di bagian ini untuk menginstal dan mengonfigurasi add-on AWS Network Flow Monitor Agent di konsol Amazon EKS.
Jika Anda telah menginstal add-on dan mengalami masalah dalam meningkatkan ke versi baru, lihat. [Memecahkan masalah dalam instalasi agen EKS](CloudWatch-NetworkFlowMonitor-troubleshooting.md#CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation)
Sebelum memulai, pastikan Anda telah menginstal add-on Amazon EKS Pod Identity Agent. Untuk informasi lebih lanjut, lihat [bagian sebelumnya](#NFMPodIdentity).
**Untuk menginstal add-on menggunakan konsol**
1. Di Konsol Manajemen AWS, navigasikan ke konsol Amazon EKS.
1. Pada halaman untuk menginstal add-on, dalam daftar add-on, pilih **AWS Network Flow Monitor** Agent.
1. Konfigurasikan pengaturan add-on.
1. Untuk **akses Add-on**, pilih **EKS Pod Identity**.
1. Agar peran IAM dapat digunakan dengan add-on, gunakan peran yang memiliki kebijakan AWS terkelola berikut yang dilampirkan:. [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) Kebijakan ini memberikan izin bagi agen untuk mengirim laporan telemetri ke titik akhir Network Flow Monitor. Jika Anda belum memiliki peran dengan kebijakan terlampir, buat peran dengan memilih **Buat peran yang direkomendasikan**, dan ikuti langkah-langkah di konsol IAM.
1. Pilih **Berikutnya**.
1. Pada halaman **Tinjau dan tambahkan**, pastikan konfigurasi add-on terlihat benar, lalu pilih **Buat**.
## Instal add-on AWS Network Flow Monitor Agent dengan menggunakan AWS Command Line Interface
Ikuti langkah-langkah di bagian ini untuk menginstal add-on AWS Network Flow Monitor Agent untuk Amazon EKS dengan menggunakan. AWS Command Line Interface
**1. Instal add-on Agen Identitas Pod EKS**
Sebelum memulai, pastikan Anda telah menginstal add-on Amazon EKS Pod Identity Agent. Untuk informasi lebih lanjut, lihat [bagian sebelumnya](#NFMPodIdentity).
**2. Buat peran IAM yang diperlukan**
Add-on AWS Network Flow Monitor Agent harus memiliki izin untuk mengirim metrik ke backend Network Flow Monitor. Anda harus melampirkan peran dengan izin yang diperlukan saat membuat add-on. Buat peran yang memiliki kebijakan AWS terkelola berikut terlampir: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Anda memerlukan ARN dari peran IAM ini untuk menginstal add-on.
**3. Instal add-on AWS Network Flow Monitor Agent**
Untuk menginstal add-on AWS Network Flow Monitor Agent untuk klaster Anda, jalankan perintah berikut:
`aws eks create-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION --pod-identity-associations serviceAccount=aws-network-flow-monitor-agent-service-account,roleArn=IAM ROLE ARN`
Hasilnya harus serupa dengan yang berikut:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "CREATING",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
**4. Pastikan add-on aktif**
Tinjau add-on AWS Network Flow Monitor Agent yang diinstal untuk memastikan bahwa itu aktif untuk klaster Anda. Jalankan perintah berikut untuk memverifikasi bahwa statusnya adalah`ACTIVE`:
`aws eks describe-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION`
Hasilnya harus serupa dengan yang berikut:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "ACTIVE",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
# Konfigurasikan add-on untuk alat pemantauan pihak ketiga
Anda dapat mengonfigurasi add-on Network Flow Monitor untuk mengekspos OpenMetrics server selama instalasi. Ini memungkinkan integrasi dengan alat pemantauan pihak ketiga seperti Prometheus, memungkinkan Anda mengumpulkan dan menganalisis metrik aliran jaringan bersama infrastruktur pemantauan yang ada. [Pelajari lebih lanjut tentang OpenMetrics](https://openmetrics.io/). Fitur ini tersedia dari versi add-on v1.1.0.
Untuk mengaktifkan OpenMetrics server, tambahkan OPEN\$1METRICS, OPEN\$1METRICS\$1ADDRESS, dan OPEN\$1METRICS\$1PORT ke nilai konfigurasi add-on EKS Network Flow Monitor. Panduan ini akan menjelaskan cara melakukan ini menggunakan CLI dan Console. Lihat [konfigurasi lanjutan add-on Amazon EKS](https://aws.amazon.com/blogs/containers/amazon-eks-add-ons-advanced-configuration/) untuk detail tambahan tentang menambahkan nilai konfigurasi.
## Konfigurasi CLI
Saat menggunakan AWS Command Line Interface, Anda dapat memberikan nilai konfigurasi sebagai parameter:
```
aws eks create-addon \
--cluster-name my-cluster-name \
--addon-name aws-network-flow-monitoring-agent \
--addon-version v1.1.0-eksbuild.1 \
--configuration-values '{"env":{"OPEN_METRICS":"on","OPEN_METRICS_ADDRESS":"0.0.0.0","OPEN_METRICS_PORT":9109}}'
```
## Konfigurasi Konsol
Saat menggunakan Amazon EKS Console, nilai ini dapat ditambahkan di bawah Pengaturan konfigurasi opsional, sebagai bagian dari nilai Konfigurasi.
**Contoh JSON:**
```
{
"env": {
"OPEN_METRICS": "on",
"OPEN_METRICS_ADDRESS": "0.0.0.0",
"OPEN_METRICS_PORT": 9109
}
}
```
**Sampel YAMM:**
```
env:
OPEN_METRICS: "on"
OPEN_METRICS_ADDRESS: "0.0.0.0"
OPEN_METRICS_PORT: 9109
```
## Parameter add-on Monitor Aliran Jaringan EKS OpenMetric
+ **OPEN\$1METRIK:**
+ Aktifkan atau nonaktifkan metrik terbuka. Dinonaktifkan jika tidak disediakan
+ Tipe: String
+ Nilai: ["on”, “off"]
+ **OPEN\$1METRICS\$1ADDRESS:**
+ Mendengarkan alamat IP untuk titik akhir metrik terbuka. Default ke 127.0.0.1 jika tidak disediakan
+ Tipe: String
+ **OPEN\$1METRICS\$1PORT:**
+ Port mendengarkan untuk titik akhir metrik terbuka. Default ke 80 jika tidak disediakan
+ Jenis: Integer
+ Rentang: [0.. 65535]
**Penting:** Saat menyetel OPEN\$1METRICS\$1ADDRESS ke 0.0.0.0, titik akhir metrik akan dapat diakses dari antarmuka jaringan apa pun. Pertimbangkan untuk menggunakan 127.0.0.1 untuk akses khusus host lokal atau menerapkan kontrol keamanan jaringan yang sesuai untuk membatasi akses ke sistem pemantauan resmi saja.
## Pemecahan masalah
Jika Anda mengalami masalah dengan konfigurasi OpenMetrics server, gunakan informasi berikut untuk mendiagnosis dan menyelesaikan masalah umum.
### Metrik tidak menampilkan
Masalah: OpenMetrics Server dikonfigurasi, tetapi metrik tidak muncul di alat pemantauan Anda.
Langkah Pemecahan Masalah:
1. Verifikasi bahwa OpenMetrics server diaktifkan dalam konfigurasi add-on Anda:
+ Periksa apakah OPEN\$1METRICS disetel ke “on” dalam nilai konfigurasi Anda. Lihat [deskripsi-addon](https://docs.aws.amazon.com/cli/latest/reference/eks/describe-addon.html).
+ Konfirmasikan bahwa versi add-on adalah v1.1.0 atau yang lebih baru di pengaturan *Konfigurasi add-on yang dipilih*.
1. Uji titik akhir metrik secara langsung:
+ Akses metrik di http://*pod-ip:port*/metrics (ganti pod-ip dengan alamat IP pod dan port yang sebenarnya dengan port yang dikonfigurasi).
+ Jika Anda tidak dapat mengakses titik akhir, verifikasi konfigurasi jaringan dan pengaturan grup keamanan Anda.
1. Validasi konfigurasi alat pemantauan Anda. Konsultasikan panduan pengguna alat pemantauan Anda untuk detail tentang cara melakukan hal berikut:
+ Pastikan alat pemantauan Anda (seperti Prometheus) dikonfigurasi untuk mengikis titik akhir yang benar.
+ Periksa apakah interval pengikisan dan pengaturan batas waktu sudah sesuai.
+ Verifikasi bahwa alat pemantauan Anda memiliki akses jaringan ke alamat IP pod.
### Metrik hilang dari pod tertentu
Masalah: Metrik tersedia dari beberapa pod tetapi tidak yang lain di cluster Anda.
Langkah Pemecahan Masalah:
Add-on Network Flow Monitor tidak mendukung pod yang menggunakan HostNetwork: true. Jika spesifikasi pod Anda menyertakan pengaturan ini, metrik tidak akan tersedia dari pod tersebut.
Solusi: Hapus pengaturan hostNetwork: true dari spesifikasi pod Anda jika memungkinkan. Jika Anda memerlukan jaringan host untuk aplikasi Anda, pertimbangkan untuk menggunakan pendekatan pemantauan alternatif untuk pod tertentu tersebut.
### Koneksi ditolak kesalahan
Masalah: Anda menerima kesalahan “koneksi ditolak” saat mencoba mengakses titik akhir metrik.
Langkah Pemecahan Masalah:
1. Verifikasi konfigurasi OPEN\$1METRICS\$1ADDRESS:
+ Jika disetel ke 127.0.0.1, titik akhir hanya dapat diakses dari dalam pod.
+ Jika disetel ke 0.0.0.0, titik akhir harus dapat diakses dari pod lain di cluster.
+ Pastikan alat pemantauan Anda dapat mencapai alamat yang dikonfigurasi.
1. Periksa konfigurasi OPEN\$1METRICS\$1PORT:
+ Verifikasi bahwa nomor port belum digunakan oleh layanan lain.
+ Pastikan port berada dalam kisaran yang valid (1-65535).
+ Konfirmasikan bahwa setiap grup keamanan atau kebijakan jaringan mengizinkan lalu lintas di port ini.
### Langkah verifikasi
Untuk mengonfirmasi OpenMetrics konfigurasi Anda berfungsi dengan benar:
1. Periksa status add-on:
```
aws eks describe-addon --cluster-name your-cluster-name --addon-name aws-network-flow-monitoring-agent
```
1. Verifikasi status pod:
```
kubectl get pods app.kubernetes.io/name=aws-network-flow-monitoring-agent
```
1. Uji titik akhir metrik dari dalam cluster:
```
kubectl exec add-on-pod-name -- curl localhost:9109/metrics
```
Ganti 9109 dengan nomor port yang dikonfigurasi, dan nama pod dengan nama AddOn pod.
# Metadata jalur jaringan tambahan disertakan untuk Amazon EKS
Ketika Network Flow Monitor mengumpulkan metrik kinerja untuk alur jaringan antara komponen Amazon EKS, itu mencakup informasi metadata tambahan tentang jalur jaringan, untuk membantu Anda lebih memahami kinerja jalur jaringan untuk beban kerja Anda.
Anda dapat melihat informasi terperinci tentang performa aliran jaringan Amazon EKS dengan membuat monitor untuk alur jaringan yang Anda minati, lalu melihat detail di tab **Historical explorer**.
Dengan Network Flow Monitor, Anda dapat mengukur kinerja jaringan antara komponen Amazon EKS berikut, untuk lebih memahami kinerja beban kerja Anda dengan konfigurasi Amazon EKS Anda dan menentukan di mana ada kemacetan atau gangguan.
+ Pod ke pod pada node yang sama
+ Node ke node pada cluster yang sama
+ Pod ke pod pada cluster yang berbeda
+ Node ke node pada cluster yang berbeda
+ Dengan dan tanpa Network Load Balancer
Tabel berikut mencantumkan informasi yang dikembalikan Network Flow Monitor untuk setiap skenario alur jaringan.
| **Informasi koneksi** | **Informasi metadata** | | **Lokal** | **Remote** | **Skenario** | **Diprakarsai oleh** | **Lokal** | **Remote** | **Nama pod** | **Layanan** | **Namespace** | **Nama pod** | **Layanan** | **Namespace** |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| Pod lokal yang terhubung ke IP cluster dari layanan cluster internal lainnya | Lokal: | Alamat IP pod lokal | Alamat IP pod jarak jauh (melalui alamat IP cluster) | ✓ | ✓ | ✓ | ✓ ¹ | ✓ | ✓ |
| Pod lokal dalam namespace jaringan node yang terhubung ke IP cluster dari layanan cluster internal lainnya | Lokal: | Alamat IP simpul lokal | Alamat IP pod jarak jauh (melalui alamat IP cluster) | ✓ ² | ✓ ² | ✓ ² | ✓ ¹ | ✓ | ✓ |
| Pod lokal terhubung ke alamat IP pod individual dari pod lain (layanan tanpa kepala) | Lokal: | Alamat IP pod lokal | Alamat IP pod jarak jauh | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod lokal terhubung ke alamat IP pod individual dari pod lain di namespace jaringan node (layanan tanpa kepala) | Lokal: | Alamat IP pod lokal | Alamat IP simpul jarak jauh | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod lokal terhubung ke pod jarak jauh di cluster lain | Lokal: | Alamat IP pod lokal | Alamat IP pod jarak jauh (cluster lain) | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Pod lokal yang terhubung ke alamat jaringan eksternal | Lokal: | Alamat IP pod lokal | Alamat IP eksternal | ✓ | ✓ | ✓ | N/A | N/A | N/A |
| Pod lokal yang beroperasi di namespace jaringan node yang terhubung ke alamat IP jaringan eksternal | Lokal: | Alamat IP simpul lokal | Alamat IP eksternal | ✓ ² | ✓ ² | ✓ ² | N/A | N/A | N/A |
| Pod jarak jauh terhubung ke pod lokal melalui alamat IP cluster | Jarak Jauh | Alamat IP pod lokal (melalui alamat IP cluster) | Alamat IP pod jarak jauh | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod jarak jauh di namespace jaringan node yang terhubung ke pod lokal | Jarak Jauh | Alamat IP pod lokal (melalui alamat IP cluster) | Alamat IP simpul jarak jauh | ✓ | ✓ | ✓ | ✓ ³ | ✓ ³ | ✓ ³ |
| Pod jarak jauh terhubung ke pod lokal (layanan tanpa kepala) | Jarak Jauh | Alamat IP pod lokal | Alamat IP pod jarak jauh | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod eksternal yang terhubung ke pod lokal | Jarak Jauh | Alamat IP pod lokal | Alamat IP pod jarak jauh | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Sumber daya eksternal yang terhubung melalui NodePort atau Load Balancer ke pod lokal | Jarak Jauh | Alamat IP pod lokal | Alamat IP eksternal | ✓ | ✓ | ✓ | N/A | N/A | N/A |
| Sumber daya eksternal yang terhubung melalui NodePort atau Load Balancer ke pod lokal yang beroperasi di namespace jaringan node | Jarak Jauh | Alamat IP simpul lokal | Alamat IP eksternal | ✓ | ✓ | ✓ | N/A | N/A | N/A |
Perhatikan informasi tambahan berikut yang sesuai dengan item yang ditandai dengan catatan kaki di tabel sebelumnya.
1. Nama pod tidak terlihat dalam skenario ini untuk pod dengan pemilik lain, seperti layanan Kubernetes yang dikelola oleh control plane EKS.
1. Nama pod lokal, layanan, dan namespace tidak diselesaikan jika pod lain ada di namespace jaringan node.
1. Nama pod jarak jauh, layanan, dan namespace tidak diselesaikan jika pod lain ada di namespace jaringan node.
1. Jika layanan menggunakan NodePort atau LoadBalancer dalam mode instance, dan `ExternalTrafficPolicy` diatur ke`Cluster`, maka alamat IP ini akan dilaporkan sebagai alamat IP dari node yang menerima NodePort koneksi.
# Instal agen Network Flow Monitor di EC2 dan instans Kubernetes yang dikelola sendiri
Untuk menyediakan metrik kinerja alur jaringan di AWS beban kerja Anda, Network Flow Monitor bergantung pada *agen* yang Anda instal, yang mengirimkan metrik ke Network Flow Monitor. Anda menginstal agen Network Flow Monitor pada instans Anda, dan kemudian menetapkan izin yang benar untuk agen sehingga mereka dapat mengirim metrik ke backend Network Flow Monitor.
Agen adalah aplikasi perangkat lunak ringan yang Anda instal pada sumber daya Anda, seperti instans VPC EC2 Anda. Agen mengirimkan metrik kinerja ke backend Network Flow Monitor secara berkelanjutan. Kemudian, Anda dapat melihat metrik di halaman **Wawasan beban kerja** di konsol Network Flow Monitor. Anda juga dapat melacak metrik terperinci untuk aliran jaringan tertentu, atau kumpulan aliran, dengan membuat monitor.
Langkah-langkah yang Anda ikuti untuk menerapkan agen di instans Anda bergantung pada jenis instance: instans Amazon EKS Kubernetes, instans VPC EC2, atau instans Kubernetes yang dikelola sendiri (non-EKS).
+ Untuk informasi tentang bekerja dengan Amazon EKS, termasuk menginstal agen di EKS, lihat[Bekerja dengan EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.md).
+ Untuk informasi tentang menginstal agen pada instans VPC EC2 dan instans Kubernetes yang dikelola sendiri, lihat bagian di bagian ini.
Anda dapat membuat koneksi pribadi antara VPC dan agen Network Flow Monitor dengan menggunakan. AWS PrivateLink Untuk informasi selengkapnya, lihat [Menggunakan CloudWatch, CloudWatch Synthetics, dan CloudWatch Network Monitoring dengan antarmuka VPC endpoint](cloudwatch-and-interface-VPC.md).
**Topics**
+ [Versi Linux didukung untuk agen Network Flow Monitor](CloudWatch-NetworkFlowMonitor-agents-versions.md)
+ [Instal dan kelola agen untuk instans EC2](CloudWatch-NetworkFlowMonitor-agents-ec2.md)
+ [Instal agen untuk instans Kubernetes yang dikelola sendiri](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)
# Versi Linux didukung untuk agen Network Flow Monitor
Instans tempat Anda menginstal agen harus menjalankan versi dan distribusi Linux yang didukung. Network Flow Monitor mendukung agen untuk berjalan hanya di Linux, dan versi kernel Linux harus 5.8 atau lebih baru. Distribusi Linux berikut didukung. Perhatikan bahwa agen diuji untuk berjalan pada versi terbaru dari distribusi ini.
+ Amazon Linux
+ Ubuntu
+ Topi Merah
+ Suse Linux
+ Distribusi Debian untuk x86 dan aarch64
# Instal dan kelola agen untuk instans EC2
Ikuti langkah-langkah di bagian ini untuk menginstal agen Network Flow Monitor untuk beban kerja di instans Amazon EC2. Anda dapat menginstal agen dengan menggunakan SSM atau dengan mengunduh dan menginstal paket bawaan untuk agen Network Flow Monitor dengan menggunakan baris perintah.
Terlepas dari metode yang Anda gunakan untuk menginstal agen pada instans EC2, Anda harus mengonfigurasi izin bagi agen agar memungkinkan mereka mengirim metrik kinerja ke backend Network Flow Monitor.
**Topics**
+ [Mengatur konfigurasi izin untuk agen](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)
+ [Agen instans EC2 dengan SSM](CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm.md)
+ [Unduh dan instal agen](CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline.md)
# Mengatur konfigurasi izin untuk agen
Agar agen dapat mengirim metrik ke backend konsumsi Network Flow Monitor, instans EC2 yang dijalankan agen harus menggunakan peran yang memiliki kebijakan yang dilampirkan dengan izin yang benar. Untuk memberikan izin yang diperlukan, gunakan peran yang memiliki kebijakan AWS terkelola berikut terlampir: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Lampirkan kebijakan ini ke peran IAM dari instans EC2 di mana Anda berencana untuk menginstal agen Network Flow Monitor.
Sebaiknya tambahkan izin sebelum menginstal agen pada instans EC2. Anda dapat memilih untuk menunggu sampai setelah Anda menginstal agen, tetapi agen tidak akan dapat mengirim metrik ke layanan sampai izin diberlakukan.
**Untuk menambahkan izin untuk agen Network Flow Monitor**
1. Di Konsol Manajemen AWS, di konsol Amazon EC2, temukan instans EC2 yang Anda rencanakan untuk menginstal agen Network Flow Monitor.
1. Lampirkan [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)ke peran IAM untuk setiap instance.
Jika instance tidak memiliki peran IAM yang terpasang, pilih peran dengan melakukan hal berikut:
1. Di bawah **Tindakan**, pilih **Keamanan**.
1. Pilih **Ubah peran IAM**, atau buat peran baru dengan memilih **Buat peran IAM baru**.
1. Pilih peran untuk instance, dan lampirkan [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)kebijakan.
# Instal agen pada instans EC2 dengan SSM
Agen Network Flow Monitor menyediakan metrik kinerja tentang arus jaringan. Ikuti langkah-langkah di bagian ini untuk menginstal dan bekerja dengan agen Network Flow Monitor pada instans EC2, dengan menggunakan. AWS Systems Manager Jika Anda menggunakan Kubernetes, lewati ke bagian berikutnya untuk informasi tentang menginstal agen dengan kluster Amazon EKS atau cluster Kubernetes yang dikelola sendiri.
Network Flow Monitor menyediakan paket Distributor untuk Anda di Systems Manager untuk digunakan untuk menginstal atau menghapus instalan agen. Selain itu, Network Flow Monitor menyediakan dokumen untuk mengaktifkan atau menonaktifkan agen, dengan menggunakan perintah Jenis Dokumen. Gunakan prosedur Systems Manager standar untuk menggunakan paket dan dokumen, atau ikuti langkah-langkah yang disediakan di sini untuk panduan terperinci.
Untuk informasi selengkapnya secara umum tentang penggunaan Systems Manager, lihat dokumentasi berikut:
+ [AWS Systems Manager Jalankan Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [AWS Systems Manager Distributor](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)
Selesaikan langkah-langkah di bagian berikut untuk mengonfigurasi izin, menginstal, dan bekerja dengan agen Network Flow Monitor.
**Daftar Isi**
+ [Instal atau hapus instalan agen](#CloudWatch-NetworkFlowMonitor-agents-ec2-install)
+ [Aktifkan atau nonaktifkan agen](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)
## Instal atau hapus instalan agen dengan menggunakan Systems Manager
Network Flow Monitor menyediakan paket distributor AWS Systems Manager bagi Anda untuk menginstal agen Network Flow Monitor: **AmazonCloudWatchNetworkFlowMonitorAgent**. Untuk mengakses dan menjalankan paket untuk menginstal agen, ikuti langkah-langkah yang disediakan di sini.
**Untuk menginstal agen dalam instans EC2**
1. Di Konsol Manajemen AWS, di AWS Systems Manager, di bawah **Node Tools**, pilih **Distributor**.
1. Di bawah **Dimiliki oleh Amazon**, cari paket Network Flow Monitor **AmazonCloudWatchNetworkFlowMonitorAgent**, dan pilih.
1. Dalam alur **perintah Jalankan**, pilih **Instal satu kali** atau **Instal sesuai jadwal**.
1. Di bagian **Pemilihan target**, pilih bagaimana Anda ingin memilih instans EC2 Anda untuk menginstal agen. Anda dapat memilih instance berdasarkan tag, memilih instance secara manual, atau mendasarkan pilihan pada grup sumber daya.
1. **Di bagian **parameter Commmand**, di bawah **Tindakan**, pilih Instal.**
1. Gulir ke bawah, jika perlu, lalu pilih **Jalankan** untuk memulai instalasi.
Jika penginstalan berhasil dan instans memiliki izin untuk mengakses titik akhir Network Flow Monitor, agen akan mulai mengumpulkan metrik dan mengirim laporan ke backend Network Flow Monitor.
Agen yang aktif (mengirim data metrik) dikenakan biaya penagihan. Untuk informasi selengkapnya tentang Network Flow Monitor dan CloudWatch harga Amazon, lihat Pemantauan Jaringan di halaman [ CloudWatch harga Amazon](https://aws.amazon.com//cloudwatch/pricing/). Jika Anda tidak memerlukan data metrik untuk sementara, Anda dapat menonaktifkan agen. Untuk informasi selengkapnya, lihat [Mengaktifkan atau menonaktifkan agen](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage). Jika Anda tidak lagi membutuhkan agen Network Flow Monitor, Anda dapat menghapusnya dari instans EC2.
**Untuk menghapus instalan agen dari instans EC2**
1. Di Konsol Manajemen AWS, di AWS Systems Manager, di bawah **Node Tools**, pilih **Distributor**.
1. Di bawah **Dimiliki oleh Amazon**, cari paket Network Flow Monitor **AmazonCloudWatchNetworkFlowMonitorAgent**, dan pilih.
1. **Di bagian **parameter Command**, di bawah **Tindakan**, pilih Uninstall.**
1. Pilih instans EC2 untuk menghapus instans dari agen.
1. Gulir ke bawah, jika perlu, lalu pilih **Jalankan** untuk memulai instalasi.
## Mengaktifkan atau menonaktifkan agen dengan menggunakan Systems Manager
Setelah Anda menginstal agen Network Flow Monitor dengan SSM, Anda harus mengaktifkannya untuk menerima metrik aliran jaringan dari instans di mana ia diinstal. Agen yang aktif (mengirim data metrik) dikenakan biaya penagihan. Untuk informasi selengkapnya tentang Network Flow Monitor dan CloudWatch harga Amazon, lihat Pemantauan Jaringan di halaman [ CloudWatch harga Amazon](https://aws.amazon.com//cloudwatch/pricing/). Jika Anda tidak memerlukan data metrik untuk sementara, Anda dapat menonaktifkan agen untuk mencegah penagihan berkelanjutan untuk agen tersebut.
Network Flow Monitor menyediakan dokumen di AWS Systems Manager mana Anda dapat menggunakan mengaktifkan atau menonaktifkan agen yang telah diinstal pada instans EC2 Anda. Dengan menjalankan dokumen ini untuk mengelola agen, Anda dapat mengaktifkannya untuk mulai menerima metrik kinerja. Atau, Anda dapat menonaktifkannya untuk menghentikan sementara metrik dikirim, tanpa menghapus instalan agen.
**Dokumen dalam SSM yang dapat Anda gunakan untuk mengaktifkan atau menonaktifkan agen disebut AmazonCloudWatch -. NetworkFlowMonitorManageAgent** Untuk mengakses dan menjalankan dokumen, ikuti langkah-langkah dalam prosedur.
**Untuk mengaktifkan atau menonaktifkan agen Network Flow Monitor**
1. Di Konsol Manajemen AWS, di AWS Systems Manager, di bawah **Alat Manajemen Ubah**, pilih **Dokumen**.
1. Di bawah **Dimiliki oleh Amazon**, cari dokumen Network Flow MonitorNetworkFlowMonitorManageAgent, **AmazonCloudWatch-**, dan pilih dokumen.
1. Di bagian **Pemilihan target**, pilih bagaimana Anda ingin memilih instans EC2 Anda untuk menginstal agen. Anda dapat memilih instance berdasarkan tag, memilih instance secara manual, atau mendasarkan pilihan pada grup sumber daya.
1. Di bagian **Parameter perintah**, di bawah **Tindakan**, pilih **Aktifkan** atau **Nonaktifkan**, tergantung pada tindakan yang ingin Anda ambil untuk agen.
1. Gulir ke bawah, jika perlu, lalu pilih **Jalankan** untuk memulai instalasi.
# Unduh paket bawaan agen Network Flow Monitor dengan menggunakan baris perintah
Anda dapat menggunakan baris perintah untuk menginstal agen Network Flow Monitor sebagai paket di Amazon Linux 2023, atau mengunduh dan menginstal paket bawaan agen Network Flow Monitor.
Sebelum atau setelah Anda mengunduh paket bawaan, Anda dapat memverifikasi tanda tangan paket secara opsional. Untuk informasi selengkapnya, lihat [Memverifikasi tanda tangan paket agen Network Flow Monitor](#CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig).
Pilih dari petunjuk berikut, tergantung pada sistem operasi Linux yang Anda gunakan dan jenis instalasi yang Anda inginkan.
**Amazon Linux AMIs**
Agen Network Flow Monitor tersedia sebagai paket di Amazon Linux 2023. Jika Anda menggunakan sistem operasi ini, Anda dapat menginstal paket dengan memasukkan perintah berikut:
`sudo yum install network-flow-monitor-agent`
Anda juga harus memastikan bahwa peran IAM yang dilampirkan pada instance memiliki [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy)kebijakan yang dilampirkan. Untuk informasi selengkapnya, lihat [Mengonfigurasi izin untuk agen](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md).
**Amazon Linux 2023**
Instal paket untuk arsitektur Anda dengan menggunakan salah satu perintah berikut:
+ **x86\$164**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.rpm`
+ **ARM64 (Graviton**): `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm`
Verifikasi bahwa agen Network Flow Monitor berhasil diinstal dengan menjalankan perintah berikut dan memverifikasi bahwa respons menunjukkan bahwa agen diaktifkan dan aktif:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
**Distribusi berbasis deb (Debian, Ubuntu)**
Instal paket untuk arsitektur Anda dengan menggunakan salah satu perintah berikut:
+ **x86\$164**: `wget https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.deb`
+ **ARM64 (Graviton**): `wget https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb`
Instal paket dengan menggunakan perintah berikut: `$ sudo apt-get install ./network-flow-monitor-agent.deb`
Verifikasi bahwa agen Network Flow Monitor berhasil diinstal dengan menjalankan perintah berikut dan memverifikasi bahwa respons menunjukkan bahwa agen diaktifkan dan aktif:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
## Verifikasi tanda tangan paket agen Network Flow Monitor
Paket penginstal rpm dan deb agen Network Flow Monitor untuk instance Linux ditandatangani secara kriptografis. Anda dapat menggunakan kunci publik untuk memverifikasi bahwa paket agen asli dan tidak dimodifikasi. Jika file rusak atau telah diubah, verifikasi gagal. Anda dapat memverifikasi tanda tangan dari paket penginstal menggunakan RPM atau GPG. Informasi berikut adalah untuk agen Network Flow Monitor versi 0.1.3 atau yang lebih baru.
Untuk menemukan file tanda tangan yang benar untuk setiap arsitektur dan sistem operasi, gunakan tabel berikut.
| Arsitektur | Platform | Tautan unduhan | Tautan file tanda tangan |
| --- | --- | --- | --- |
| x86-64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.rpm | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .rpm.sig |
| ARM64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/lengan64/network-flow-monitor-agent.rpm | https://networkflowmonitoragent.awsstatic.com/latest/arm64/ network-flow-monitor-agent .rpm.sig |
| x86-64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/.deb network-flow-monitor-agent | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.deb.sig |
| ARM64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb.sig |
Ikuti langkah-langkah di sini untuk memverifikasi tanda tangan agen Network Flow Monitor.
**Untuk memverifikasi tanda tangan agen Network Flow Monitor untuk paket Amazon S3**
1. Instal GnuPG sehingga Anda dapat menjalankan perintah gpg. GnuPG diperlukan untuk memverifikasi keaslian dan integritas agen Network Flow Monitor yang diunduh untuk paket Amazon S3. GnuPG diinstal secara default di Amazon Linux Amazon Machine Images (). AMIs
1. Salin kunci publik berikut dan simpan ke file bernama`nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Impor kunci publik ke keyring Anda dan catat nilai yang dikembalikan.
```
PS> rpm --import nfm-agent.gpg
gpg: key 3B789C72: public key "Network Flow Monitor Agent" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
Catat nilai kunci karena Anda membutuhkannya di langkah berikutnya. Dalam contoh ini, nilai kuncinya adalah`3B789C72`.
1. Verifikasi sidik jari dengan menjalankan perintah berikut. Pastikan untuk mengganti *key-value* dengan nilai dari langkah sebelumnya. Kami menyarankan Anda menggunakan GPG untuk memverifikasi sidik jari bahkan jika Anda menggunakan RPM untuk memverifikasi paket penginstal.
```
PS> gpg --fingerprint key-value
pub rsa4096 2025-04-08 [SC] [expires: 2028-04-07]
7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1
uid Network Flow Monitor Agent
```
String sidik jari harus sama dengan berikut ini:
`7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1`
Jika string sidik jari tidak cocok, jangan instal agen. Hubungi Layanan Web Amazon.
Setelah Anda memverifikasi sidik jari, Anda dapat menggunakannya untuk memverifikasi tanda tangan paket agen Network Flow Monitor.
1. Unduh file tanda tangan paket, jika Anda belum melakukannya, berdasarkan arsitektur dan sistem operasi instans Anda.
1. Verifikasi tanda tangan paket penginstal. Pastikan untuk mengganti `signature-filename` dan `agent-download-filename` dengan nilai yang Anda tentukan saat mengunduh file tanda tangan dan agen, seperti yang ditunjukkan pada tabel sebelumnya dalam topik ini.
```
PS> gpg --verify sig-filename agent-download-filename
gpg: Signature made Tue Apr 8 00:40:02 2025 UTC
gpg: using RSA key 77777777EXAMPLEKEY
gpg: issuer "network-flow-monitor-agent@amazon.com"
gpg: Good signature from "Network Flow Monitor Agent " [unknown]
gpg: WARNING: Using untrusted key!
```
Jika output menyertakan frasa`BAD signature`, periksa untuk memastikan bahwa Anda melakukan prosedur dengan benar. Jika Anda terus mendapatkan respons ini, hubungi [AWS Support](https://aws.amazon.com/premiumsupport/) dan hindari menggunakan file yang diunduh.
Catat peringatan tentang kepercayaan. Kunci hanya dapat dipercaya jika Anda atau seseorang yang Anda percaya telah menandatanganinya. Ini tidak berarti bahwa tanda pembeda Anda tidak valid, hanya saja Anda belum memverifikasi kunci publiknya.
Selanjutnya, ikuti langkah-langkah di sini untuk memverifikasi paket RPM.
**Untuk memverifikasi tanda tangan paket RPM**
1. Salin kunci publik berikut dan simpan ke file bernama`nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Impor kunci publik ke dalam keyring Anda.
```
PS> rpm --import nfm-agent.gpg
```
1. Verifikasi tanda tangan paket penginstal. Pastikan untuk mengganti `agent-download-filename` dengan nilai yang Anda tentukan saat mengunduh agen, seperti yang ditunjukkan pada tabel sebelumnya dalam topik ini.
```
PS> rpm --checksig agent-download-filename
```
Misalnya, untuk arsitektur x86\$164 di Amazon Linux 2023, gunakan perintah berikut:
```
PS> rpm --checksig network-flow-monitor-agent.rpm
```
Perintah ini mengembalikan output yang serupa dengan yang berikut ini.
```
network-flow-monitor-agent.rpm: digests signatures OK
```
Jika output berisi frasa`NOT OK (MISSING KEYS: (MD5) key-id)`, periksa untuk memastikan bahwa Anda melakukan prosedur dengan benar. Jika Anda terus mendapatkan tanggapan ini, hubungi [AWS Support](https://aws.amazon.com/premiumsupport/) dan jangan menginstal agen.
# Instal agen untuk instans Kubernetes yang dikelola sendiri
Ikuti langkah-langkah di bagian ini untuk menginstal agen Network Flow Monitor untuk beban kerja pada klaster Kubernetes yang dikelola sendiri. Setelah Anda menyelesaikan langkah-langkahnya, pod agen Network Flow Monitor akan berjalan di semua node cluster Kubernetes yang dikelola sendiri.
Jika Anda menggunakan Amazon Elastic Kubernetes Service (Amazon EKS), langkah-langkah instalasi yang harus diikuti ada di bagian berikut:. [Instal add-on Agen Monitor Aliran AWS Jaringan EKS](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)
**Topics**
+ [Sebelum Anda mulai](CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin.md)
+ [Unduh bagan Helm dan instal agen](CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents.md)
+ [Konfigurasikan izin bagi agen untuk mengirimkan metrik](CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions.md)
# Sebelum Anda mulai
Sebelum Anda memulai proses instalasi, ikuti langkah-langkah di bagian ini untuk memastikan bahwa lingkungan Anda diatur untuk berhasil menginstal agen di klaster Kubernetes yang tepat.
**Pastikan versi Kubernetes Anda didukung**
Instalasi agen Network Flow Monitor membutuhkan Kubernetes Versi 1.25, atau versi yang lebih baru.
**Pastikan Anda telah menginstal alat yang diperlukan**
Skrip yang Anda gunakan untuk proses instalasi ini mengharuskan Anda menginstal alat-alat berikut. Jika Anda belum menginstal alat, lihat tautan yang disediakan untuk informasi selengkapnya.
+ AWS Command Line Interface (CLI). Untuk informasi selengkapnya, lihat [Menginstal atau memperbarui ke versi terbaru dari AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) Panduan AWS Command Line Interface Referensi.
+ Manajer paket Helm. Untuk informasi selengkapnya, lihat [Menginstal Helm](https://helm.sh/docs/intro/install/) di situs web Helm.
+ Alat baris `kubectl` perintah. Untuk informasi selengkapnya, lihat [Menginstal kubectl di situs web Kubernetes](https://kubernetes.io/docs/tasks/tools/#kubectl).
+ Ketergantungan perintah `make` Linux. Untuk informasi lebih lanjut, lihat posting blog berikut: [Intro untuk membuat Linux Command: Instalasi dan Penggunaan](https://ioflood.com/blog/install-make-command-linux/). Misalnya, lakukan salah satu hal berikut:
+ Untuk distribusi berbasis Debian, seperti Ubuntu, gunakan perintah berikut: `sudo apt-get install make`
+ Untuk distribusi berbasis RPM, seperti CentOS, gunakan perintah berikut: `sudo yum install make`
**Pastikan Anda memiliki variabel KubeConfig lingkungan yang valid dan dikonfigurasi dengan benar**
Instalasi agen Network Flow Monitor menggunakan alat manajer paket Helm, yang menggunakan variabel kubeconfig`$HELM_KUBECONTEXT`, untuk menentukan target klaster Kubernetes yang akan dikerjakan. Juga, ketahuilah bahwa ketika Helm menjalankan skrip instalasi, secara default, itu mereferensikan file standar`~/.kube/config`. Anda dapat mengubah variabel lingkungan konfigurasi, untuk menggunakan file konfigurasi yang berbeda (dengan memperbarui`$KUBECONFIG`) atau untuk menentukan cluster target yang ingin Anda kerjakan (dengan memperbarui`$HELM_KUBECONTEXT`).
**Membuat namespace Kubernetes Monitor Aliran Jaringan**
Aplikasi Kubernetes dari agen Network Flow Monitor menginstal sumber dayanya ke dalam namespace tertentu. Namespace harus ada agar instalasi berhasil. Untuk memastikan bahwa namespace yang diperlukan sudah terpasang, Anda dapat melakukan salah satu hal berikut:
+ Buat namespace default,`amazon-network-flow-monitor`, sebelum Anda mulai.
+ Buat namespace yang berbeda, lalu tentukan dalam variabel `$NAMESPACE` lingkungan saat Anda menjalankan instalasi untuk membuat target.
# Unduh bagan Helm dan instal agen
Anda dapat mengunduh bagan Helm agen Network Flow Monitor dari repositori AWS publik dengan menggunakan perintah berikut. Pastikan Anda terlebih dahulu mengautentikasi dengan GitHub akun Anda.
`git clone https://github.com/aws/network-flow-monitor-agent.git`
Di `./charts/amazon-network-flow-monitor-agent` direktori, Anda dapat menemukan bagan Helm agen Network Flow Monitor dan Makefile yang berisi target pembuatan instalasi yang Anda gunakan untuk menginstal agen. Anda menginstal agen untuk Network Flow Monitor dengan menggunakan target Makefile berikut: `helm/install/customer`
Anda dapat menyesuaikan instalasi jika Anda suka, misalnya, dengan melakukan hal berikut:
```
# Overwrite the kubeconfig files to use
KUBECONFIG= make helm/install/customer
# Overwrite the Kubernetes namespace to use
NAMESPACE= make helm/install/customer
```
Untuk memverifikasi bahwa pod aplikasi Kubernetes untuk agen Network Flow Monitor telah berhasil dibuat dan di-deploy, periksa untuk memastikan statusnya. `Running` Anda dapat memeriksa status agen dengan menjalankan perintah berikut: `kubectl get pods -o wide -A | grep amazon-network-flow-monitor`
# Konfigurasikan izin bagi agen untuk mengirimkan metrik
Setelah Anda menginstal agen untuk Network Flow Monitor, Anda harus mengaktifkan agen untuk mengirim metrik jaringan ke konsumsi APIs Network Flow Monitor. Agen di Network Flow Monitor harus memiliki izin untuk mengakses konsumsi Network Flow Monitor APIs sehingga mereka dapat mengirimkan metrik aliran jaringan yang telah mereka kumpulkan untuk setiap instance. Anda memberikan akses ini dengan menerapkan peran IAM untuk akun layanan (IRSA).
Untuk memungkinkan agen mengirimkan metrik jaringan ke Network Flow Monitor, ikuti langkah-langkah di bagian ini.
1. **Menerapkan peran IAM untuk akun layanan**
Peran IAM untuk akun layanan menyediakan kemampuan untuk mengelola kredensional untuk aplikasi Anda, mirip dengan cara profil instans Amazon EC2 memberikan kredensil ke instans Amazon EC2. Menerapkan IRSA adalah cara yang disarankan untuk memberikan semua izin yang diperlukan oleh agen Network Flow Monitor agar berhasil mengakses konsumsi Network Flow Monitor. APIs Untuk informasi selengkapnya, lihat [peran IAM untuk akun layanan](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) di Panduan Pengguna Amazon EKS.
Saat Anda mengatur IRSA untuk agen Network Flow Monitor, gunakan informasi berikut:
+ **ServiceAccount:** Saat Anda menentukan kebijakan kepercayaan peran IAM Anda, untuk`ServiceAccount`, tentukan`aws-network-flow-monitor-agent-service-account`.
+ **Namespace:** Untuk`namespace`, tentukan. `amazon-network-flow-monitor`
+ **Penerapan kredensial sementara:** Ketika Anda mengonfigurasi izin setelah Anda menerapkan pod agen Network Flow Monitor, memperbarui `ServiceAccount` dengan peran IAM Anda, Kubernetes tidak menerapkan kredensial peran IAM. Untuk memastikan bahwa agen Network Flow Monitor memperoleh kredensi peran IAM yang telah Anda tentukan, Anda harus meluncurkan restart. `DaemonSet` Misalnya, gunakan perintah seperti berikut:
`kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent`
1. **Konfirmasikan bahwa agen Network Flow Monitor berhasil mengakses konsumsi Network Flow Monitor APIs**
Anda dapat memeriksa untuk memastikan bahwa konfigurasi Anda untuk agen berfungsi dengan benar dengan menggunakan log HTTP 200 untuk pod agen Network Flow Monitor. Pertama, cari pod agen Network Flow Monitor, lalu cari melalui file log untuk menemukan permintaan HTTP 200 yang berhasil. Misalnya, Anda dapat melakukan hal berikut:
1. Temukan nama pod agen Network Flow Monitor. Misalnya, Anda dapat menggunakan perintah berikut:
```
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)
```
1. Grep semua log HTTP untuk nama pod yang Anda temukan. Jika Anda telah mengubah NAMESPACE, pastikan Anda menggunakan yang baru.
```
NAMESPACE=amazon-network-flow-monitor
kubectl logs $RANDOM_AGENT_POD_NAME -\-namespace ${NAMESPACE} | grep HTTP
```
Jika akses telah berhasil diberikan, Anda akan melihat entri log yang mirip dengan yang berikut ini:
```
...
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679}
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}
```
Perhatikan bahwa agen Network Flow Monitor menerbitkan laporan aliran jaringan setiap 30 detik, dengan memanggil konsumsi APIs Network Flow Monitor.
# Memulai Monitor Aliran Jaringan
Sebelum Anda dapat melihat metrik kinerja untuk alur jaringan, Anda harus menginisialisasi Network Flow Monitor, yang memberikan izin yang diperlukan dan membuat topologi awal untuk akun atau akun Anda. Jika Anda berencana untuk memantau sumber daya untuk beberapa akun, Anda juga harus mengonfigurasi AWS Organizations dengan Amazon CloudWatch. Kemudian, Anda menentukan akun untuk cakupan Network Flow Monitor, sehingga Network Flow Monitor dapat membuat topologi awal untuk semua akun yang akan Anda lacak metrik performa.
Selain itu, Anda harus menginstal agen pada instans Anda, untuk mengirim metrik kinerja ke server konsumsi Network Flow Monitor. Untuk informasi selengkapnya, lihat [Instal agen Network Flow Monitor di EC2 dan instans Kubernetes yang dikelola sendiri](CloudWatch-NetworkFlowMonitor-agents.md).
Langkah-langkah yang Anda ambil untuk menginisialisasi Network Flow Monitor bervariasi tergantung pada apakah Anda mengukur metrik kinerja untuk sumber daya dalam satu akun, atau Anda ingin memantau metrik dari sumber daya yang dimiliki oleh beberapa akun di organisasi Anda.
+ [Inisialisasi pemantauan akun tunggal](CloudWatch-NetworkFlowMonitor-single-account.md)
+ [Inisialisasi pemantauan multi-akun](CloudWatch-NetworkFlowMonitor-multi-account.md)
# Inisialisasi Network Flow Monitor untuk pemantauan akun tunggal
Untuk menginisialisasi Network Flow Monitor untuk memantau metrik kinerja jaringan, Anda harus memberikan izin dan Network Flow Monitor harus membuat topologi awal untuk akun Anda. Ketika Anda memantau sumber daya hanya dalam satu akun, Network Flow Monitor menetapkan akun Anda sebagai ruang lingkup untuk pemantauan jaringan dan membuat topologi untuk cakupan tersebut.
Inisialisasi Network Flow Monitor melakukan hal berikut:
+ Memberikan izin untuk Network Flow Monitor untuk menggunakan peran terkait layanan yang diperlukan dengan akun Anda. Network Flow Monitor mengharuskan Anda untuk memberikan izin khusus sehingga fitur tersebut dapat mengirim metrik ke Amazon CloudWatch atas nama Anda, serta membuat topologi aliran jaringan. Untuk informasi selengkapnya, lihat [Peran tertaut layanan untuk Monitor Aliran Jaringan](using-service-linked-roles-network-flow-monitor.md).
+ Menetapkan cakupan pemantauan untuk Network Flow Monitor ke AWS akun yang Anda gunakan untuk masuk. Untuk informasi selengkapnya, lihat **Cakupan** di[Komponen dan fitur Monitor Aliran Jaringan](CloudWatch-NetworkFlowMonitor-components.md).
+ Membuat topologi awal untuk ruang lingkup Anda.
Untuk menginisialisasi Network Flow Monitor dengan menyiapkan peran terkait layanan yang menyediakan izin yang diperlukan, menyetel cakupan ke akun Anda, dan membuat topologi untuk pemantauan kinerja aliran jaringan, ikuti langkah-langkah berikut.
**Untuk menginisialisasi Network Flow Monitor**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi kiri, di bawah **Pemantauan Jaringan**, pilih **Monitor aliran**.
1. Di bagian **Memulai dengan Network Flow Monitor**, di bawah Langkah 1, pilih **Mulai inisialisasi**.
1. Pada halaman **Configure Network Flow Monitor**, gulir ke bawah, lalu pilih **Initialize Network Flow Monitor**.
Menyelesaikan inisialisasi dapat memakan waktu 20-30 menit.
Setelah Anda menginisialisasi Network Flow Monitor untuk akun Anda, sebelum Anda dapat melihat metrik kinerja aliran jaringan, Anda juga harus menginstal agen Network Flow Monitor untuk sumber daya Anda yang mengirim metrik kinerja ke server konsumsi yang didukung Network Flow Monitor. Untuk informasi selengkapnya, lihat [Instal agen Network Flow Monitor di EC2 dan instans Kubernetes yang dikelola sendiri](CloudWatch-NetworkFlowMonitor-agents.md).
# Inisialisasi Network Flow Monitor untuk pemantauan multi-akun
Jika Anda ingin memantau aliran jaringan di Network Flow Monitor untuk sumber daya yang dimiliki oleh akun yang berbeda, Anda harus terlebih dahulu mengonfigurasi Amazon CloudWatch dengan AWS Organizations. Untuk menggunakan beberapa akun di Network Flow Monitor, Anda harus mengaktifkan akses tepercaya CloudWatch, dan merupakan praktik terbaik untuk mendaftarkan administrator yang didelegasikan.
Selain itu, jika Anda berencana untuk membuat monitor untuk aliran jaringan dari konsol, Anda harus menambahkan kebijakan Network Flow Monitor ke peran yang dilampirkan ke sumber daya Anda. Kebijakan ini memungkinkan Anda untuk melihat sumber daya dari akun lain di konsol, sehingga Anda dapat menambahkan sumber daya di beberapa akun ke monitor.
Untuk memantau arus jaringan untuk sumber daya yang dimiliki oleh akun yang berbeda, ada langkah-langkah konfigurasi tambahan yang harus diambil. Pertama, sebagai akun manajemen, Anda harus CloudWatch mengonfigurasinya AWS Organizations untuk mengaktifkan akses tepercaya, dan, biasanya, Anda juga akan mendaftarkan akun administrator yang didelegasikan. Kemudian, dengan menggunakan akun administrator yang didelegasikan, Anda dapat menambahkan lebih banyak akun di organisasi, untuk mengatur cakupan observabilitas jaringan agar menyertakan sumber daya di akun tersebut. (Anda juga dapat menambahkan beberapa akun dengan akun manajemen, tetapi merupakan praktik terbaik di Organizations untuk menggunakan akun administrator yang didelegasikan saat Anda bekerja dengan sumber daya dalam suatu layanan. Kami menyediakan langkah-langkah yang mengikuti panduan tersebut dalam instruksi di sini untuk Network Flow Monitor.)
Perhatikan bahwa jika Anda tidak perlu memantau alur jaringan untuk instance dari beberapa akun, Anda dapat menggunakan Network Flow Monitor dengan satu akun. Cakupan untuk Network Flow Monitor secara otomatis diatur ke AWS akun yang Anda gunakan untuk masuk.
Gunakan panduan di bagian berikut untuk menyelesaikan langkah-langkah ini.
**Topics**
+ [Ikhtisar pengaturan multi-akun](#CloudWatch-NetworkFlowMonitor-multi-account.overview)
+ [Konfigurasikan AWS Organizations](#CloudWatch-NetworkFlowMonitor-multi-account.config-orgs)
+ [Tambahkan beberapa akun](#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)
+ [Tambahkan izin untuk konsol](#CloudWatch-NetworkFlowMonitor-multi-account.console-perms)
## Ikhtisar langkah-langkah untuk menggunakan beberapa akun di Network Flow Monitor
Untuk memulai dengan Network Flow Monitor, akun apa pun yang belum pernah menggunakan Network Flow Monitor sebelumnya harus menginisialisasi Network Flow Monitor. Saat Anda menginisialisasi Network Flow Monitor untuk akun, Network Flow Monitor menambahkan izin peran terkait layanan yang diperlukan dan membuat cakupan akun atau akun yang akan disertakan dalam observabilitas jaringan. Untuk bekerja dengan beberapa akun di Network Flow Monitor, ada langkah-langkah tambahan, untuk mengintegrasikan dengan AWS Organizations, dan kemudian menambahkan akun untuk bekerja dengan.
Singkatnya, Anda mengambil langkah-langkah berikut:
1. Masuk ke Konsol Manajemen AWS sebagai akun manajemen, dan kemudian lakukan hal berikut:
+ Selesaikan langkah-langkah yang diperlukan untuk berintegrasi dengan AWS Organizations in CloudWatch.
1. Masuk ke akun administrator Konsol Manajemen AWS yang didelegasikan, lalu lakukan hal berikut:
+ Inisialisasi Network Flow Monitor, termasuk menambahkan akun untuk disertakan dalam cakupan Anda.
+ Tambahkan izin yang diperlukan untuk mengakses sumber daya yang ada di akun lain dari konsol.
Jika Anda menyiapkan Network Flow Monitor agar berfungsi dengan beberapa akun dan tidak Anda kenal AWS Organizations, tinjau sumber daya berikut untuk mempelajari konsep seperti akun manajemen, akses tepercaya, dan akun administrator yang didelegasikan, serta mempelajari cara mengintegrasikan Organizations dengan CloudWatch.
+ [Mengelola akun dalam organisasi dengan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) dalam Panduan AWS Organizations Pengguna.
+ [Amazon CloudWatch dan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) di Panduan AWS Organizations Pengguna.
Ikuti langkah-langkah di bagian berikut untuk panduan spesifik dalam mengonfigurasi Network Flow Monitor untuk beberapa akun.
## Konfigurasikan AWS Organizations di CloudWatch
Untuk mengonfigurasi Network Flow Monitor dengan AWS Organizations, masuk ke akun manajemen, dan aktifkan akses tepercaya untuk CloudWatch. Kemudian, daftarkan akun administrator yang didelegasikan untuk digunakan untuk menginisialisasi Network Flow Monitor dan menambahkan beberapa akun.
Jika Anda telah mengonfigurasi Organizations CloudWatch untuk mengaktifkan akses terpercaya untuk Organizations CloudWatch dan mendaftarkan akun administrator yang didelegasikan, Anda tidak perlu mengonfigurasi apa pun lagi untuk Organizations yang khusus untuk Network Flow Monitor. Anda dapat masuk dengan akun administrator yang didelegasikan untuk CloudWatch, lalu menginisialisasi Network Flow Monitor, termasuk menambahkan beberapa akun untuk cakupan observabilitas jaringan Anda.
Jika Anda belum mengonfigurasi Organizations CloudWatch, ikuti langkah-langkah di sini untuk mengaktifkan akses tepercaya dan mendaftarkan akun administrator yang didelegasikan.
### Aktifkan akses tepercaya di CloudWatch
Sebelum Anda dapat menggunakan Network Flow Monitor dengan lebih dari satu akun di organisasi Anda, Anda harus mengaktifkan akses tepercaya untuk AWS Organizations di Amazon CloudWatch. Gunakan langkah-langkah berikut untuk mengaktifkan akses tepercaya di CloudWatch konsol.
**Untuk mengaktifkan akses tepercaya**
1. Masuk ke konsol dengan akun manajemen organisasi Anda.
1. Di CloudWatch konsol, di panel navigasi, pilih **Pengaturan**.
1. Pilih tab **Organizations**.
1. Di **Pengaturan Manajemen Organisasi**, pilih **Aktifkan**. Halaman **Aktifkan akses tepercaya** muncul.
1. Untuk meninjau kebijakan peran, pilih **Lihat detail izin** untuk melihat kebijakan peran.
1. Pilih **Aktifkan akses terpercaya**.
Sekarang, ketika CloudWatch menemukan sumber daya, secara otomatis memperbarui informasi tentang akun yang Anda memiliki izin untuk mengakses sumber daya di Network Flow Monitor.
### Daftarkan akun administrator yang didelegasikan
Sebagai praktik terbaik AWS Organizations, akun manajemen untuk organisasi Anda harus mendaftarkan akun anggota sebagai akun administrator yang didelegasikan. CloudWatch Setelah Anda mendaftarkan akun administrator yang didelegasikan CloudWatch, anggota organisasi Anda dapat masuk dengan akun administrator yang didelegasikan untuk memantau kinerja jaringan sumber daya di beberapa akun di Network Flow Monitor.
Dengan menggunakan akun administrator yang didelegasikan, Anda dapat menambahkan beberapa akun untuk cakupan observabilitas jaringan di Network Flow Monitor. Meskipun akun manajemen juga dapat membuat cakupan yang mencakup beberapa akun, sebaiknya Anda mengikuti praktik terbaik AWS Organizations dan menggunakan akun administrator yang didelegasikan untuk menambahkan beberapa akun di Network Flow Monitor. Untuk akun anggota yang bukan akun administrator yang didelegasikan, cakupannya terbatas pada akun yang masuk, yang secara otomatis diatur untuk cakupan.
Akun administrator yang didelegasikan untuk Organizations adalah akun anggota yang berbagi akses administrator untuk izin yang dikelola layanan. Akun yang Anda pilih untuk mendaftar sebagai akun administrator yang didelegasikan harus menjadi akun anggota di organisasi Anda. Akun administrator yang didelegasikan untuk organisasi Anda dapat digunakan di luar CloudWatch, jadi pastikan Anda memahami jenis akun ini sebelum mengikuti prosedur ini. Untuk informasi selengkapnya, lihat [Amazon CloudWatch dan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) di Panduan AWS Organizations Pengguna.
**Untuk mendaftarkan akun administrator yang didelegasikan**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Pilih tab **Organisasi**.
1. Pilih **Daftar administrator yang didelegasikan**.
1. Di jendela **Daftar administrator yang didelegasikan**, di bidang **ID akun administrator yang didelegasikan, masukkan 12 digit ID akun** anggota Organisasi.
1. Pilih **Daftar administrator yang didelegasikan**. Di bagian atas halaman, muncul pesan yang menunjukkan akun berhasil didaftarkan. Halaman **Pengaturan Organisasi** muncul. Untuk melihat informasi tentang akun administrator yang didelegasikan, arahkan kursor ke nomor di bawah Administrator yang **didelegasikan**.
Untuk menghapus atau mengubah akun administrator yang didelegasikan, deregister akun terlebih dahulu. Untuk informasi selengkapnya, lihat [membatalkan pendaftaran akun administrator yang didelegasikan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator).
## Menambahkan beberapa akun ke cakupan Anda
Untuk menambahkan akun ke cakupan Network Flow Monitor Anda, masuk dengan akun administrator yang didelegasikan. (Anda dapat menambahkan akun ke cakupan jika Anda masuk dengan akun manajemen, tetapi praktik terbaik adalah menggunakan akun administrator yang didelegasikan untuk bekerja dengan sumber daya.) AWS Organizations
Setelah masuk, ikuti langkah-langkah untuk menginisialisasi Network Flow Monitor, proses yang mengotorisasi izin peran terkait layanan yang diperlukan, memungkinkan Anda mengatur cakupan untuk observabilitas jaringan dengan menambahkan akun, lalu membuat topologi awal untuk akun dalam lingkup yang telah Anda tetapkan. Akun yang Anda masuki — dalam hal ini, akun administrator yang didelegasikan — secara otomatis disertakan dalam cakupan Network Flow Monitor Anda.
**Untuk menginisialisasi Network Flow Monitor dengan beberapa akun dalam lingkup Anda**
1. Masuk ke konsol dengan akun administrator yang didelegasikan organisasi Anda.
1. Di panel navigasi untuk CloudWatch konsol, di bawah **Pemantauan Jaringan**, pilih **Monitor aliran**.
1. Di bawah **Memulai dengan Network Flow Monitor**, pada Langkah 1, pilih **Mulai inisialisasi**.
1. Pada halaman **Network Flow Monitor**, di bawah **Tambah akun**, pilih **Tambah**. Akun yang Anda gunakan masuk secara otomatis disertakan dalam cakupan dan sudah muncul di tabel **Akun dalam cakupan** sebagai **(akun ini)**.
1. Pada halaman dialog **Tambah akun**, filter akun secara opsional, lalu pilih hingga 99 akun tambahan untuk ditambahkan ke cakupan Anda. Jumlah maksimum akun dalam lingkup adalah 100.
1. Pilih **Tambahkan**.
1. Pilih **Inisialisasi Monitor Aliran Jaringan**. Network Flow Monitor menambahkan izin peran terkait layanan yang diperlukan, membuat cakupan yang mencakup semua akun yang Anda tentukan, dan kemudian membuat topologi awal sumber daya di akun dalam cakupan Anda.
Untuk menambah atau menghapus akun untuk cakupan Anda setelah Anda menginisialisasi Network Flow Monitor, ikuti langkah-langkahnya di sini.
Ketahuilah bahwa setelah Anda membuat perubahan pada cakupan Anda, baik untuk menambah atau menghapus akun, Anda harus menunggu sekitar 20 menit sebelum Anda dapat membuat perubahan lain pada ruang lingkup. Penundaan ini karena Network Flow Monitor memerlukan waktu singkat untuk memperbarui informasi topologinya.
**Untuk menambah atau menghapus akun untuk cakupan Anda**
1. Masuk ke konsol dengan akun administrator yang didelegasikan organisasi Anda.
1. Di panel navigasi untuk CloudWatch konsol, di bawah **Pemantauan Jaringan**, pilih **Monitor aliran**.
1. Di bawah **Monitor**, pilih monitor.
1. Pada tab **Monitor detail**, di bawah **Account in scope**, pilih **Tambah** atau **Hapus**.
1. Pilih akun yang akan ditambahkan ke cakupan Anda, hingga total 100 akun, atau pilih akun yang akan dihapus.
1. Selesaikan langkah-langkah dalam dialog konfirmasi.
## Siapkan izin untuk akses sumber daya multi-akun (hanya konsol)
Jika Anda berencana untuk membuat monitor untuk alur jaringan dari konsol, kebijakan khusus diperlukan untuk setiap akun anggota dalam cakupan Anda. Kebijakan ini memungkinkan Anda melihat sumber daya dari akun lain saat menambahkan sumber daya lokal dan jarak jauh ke monitor.
Untuk setiap akun dalam lingkup Anda, buat peran **NetworkFlowMonitorAccountResourceAccess**, dan lampirkan EC2 ReadOnlyAccess kebijakan **Amazon**. Untuk melihat detail izin kebijakan, lihat [Amazon EC2 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) di Panduan Referensi Kebijakan AWS Terkelola.
Kebijakan ini merupakan tambahan dari kebijakan yang harus Anda tambahkan ke setiap instance sehingga agen Network Flow Monitor dapat mengirim metrik kinerja dari instans ke server backend konsumsi Network Flow Monitor. Untuk informasi lebih lanjut tentang persyaratan untuk agen, lihat[Instal agen Network Flow Monitor di EC2 dan instans Kubernetes yang dikelola sendiri](CloudWatch-NetworkFlowMonitor-agents.md).
Prosedur berikut menyediakan ringkasan langkah-langkah untuk membuat peran yang diperlukan untuk mengakses sumber daya dalam lingkup Anda di konsol Network Flow Monitor. Untuk panduan umum tentang cara membuat peran di IAM, lihat [Membuat peran untuk memberikan izin kepada pengguna IAM di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html). AWS Identity and Access Management
**Untuk membuat peran untuk akses sumber daya di konsol Network Flow Monitor**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM.
1. Di panel navigasi konsol, pilih **Peran**, lalu pilih **Buat peran**.
1. Tentukan entitas terpercaya **AWS akun**. Jenis entitas tepercaya ini memungkinkan prinsipal di AWS akun lain untuk mengambil peran dan mengakses sumber daya di akun lain.
1. Pilih **Berikutnya**.
1. Dalam daftar kebijakan AWS terkelola, pilih EC2 ReadOnlyAccess kebijakan **Amazon**.
1. Pilih **Berikutnya**.
1. Untuk nama peran, masukkan **NetworkFlowMonitorAccountResourceAccess**.
1. Tinjau peran lalu pilih **Buat peran**.
## Menginstal agen pada instans
Untuk melacak kinerja jaringan dengan Network Flow Monitor, Anda harus menginisialisasi layanan, tetapi Anda juga harus menginstal agen Network Flow Monitor pada instans EC2 beban kerja Anda dan menambahkan izin bagi agen untuk mengirim metrik kinerja jaringan ke Network Flow Monitor. Setelah Anda menginstal agen, tunggu waktu singkat (sekitar 20 menit), agar data mulai dikirim ke backend Network Flow Monitor. Kemudian, Anda dapat melihat metrik kinerja jaringan, pada tab **Wawasan beban kerja**, dan juga membuat monitor, untuk melihat informasi terperinci.
Misalnya, Anda dapat melihat metrik kinerja kontributor teratas untuk waktu tunggu data yang ditransfer dan transmisi ulang, untuk alur jaringan antara sumber daya lokal dan jarak jauh, yang dikumpulkan oleh agen Network Flow Monitor. Dengan melihat dan menganalisis metrik ini, Anda dapat memilih alur tertentu yang ingin Anda lihat lebih detail dan lacak lebih dekat dengan monitor. Dengan membuat monitor untuk alur tertentu, Anda dapat melihat informasi mendetail tentangnya, termasuk metrik, yang diurutkan berdasarkan kontributor teratas untuk setiap jenis metrik dan jalur jaringan untuk setiap alur jaringan.
Dengan monitor, Network Flow Monitor juga menyediakan indikator kesehatan jaringan (NHI), yang dapat Anda gunakan untuk melihat apakah ada gangguan AWS jaringan untuk aliran jaringan yang Anda lacak di monitor, selama periode waktu yang Anda pilih. Informasi tersebut dapat membantu Anda memutuskan di mana harus memfokuskan upaya pemecahan masalah jaringan Anda.
Untuk informasi selengkapnya, dan petunjuk cara memasang agen, lihat[Instal agen Network Flow Monitor di EC2 dan instans Kubernetes yang dikelola sendiri](CloudWatch-NetworkFlowMonitor-agents.md).
# Memantau dan menganalisis arus jaringan di Network Flow Monitor
Dengan Network Flow Monitor, Anda dapat mempelajari tentang arus jaringan dan kinerja untuk lalu lintas yang Anda pantau dengan cakupan Anda. Mulailah dengan meninjau informasi kontributor teratas, menurut setiap jenis metrik, di tab Wawasan Beban **Kerja**. Kemudian, buat monitor sehingga Anda dapat menjelajahi kinerja jaringan secara detail, melalui kerangka waktu yang berbeda, untuk alur jaringan yang Anda pilih di **Wawasan Beban Kerja**.
Setelah Anda menginisialisasi Network Flow Monitor dan menginstal agen pada instans Anda, Network Flow Monitor menghasilkan metrik kinerja untuk alur jaringan dari instans tersebut. Tinjau bagian dalam Bab ini untuk mempelajari lebih lanjut tentang cara menggunakan Network Flow Monitor untuk mengevaluasi kinerja jaringan di Network Flow Monitor, membuat monitor untuk informasi lebih mendalam, dan mempelajari metrik spesifik yang disediakan oleh Network Flow Monitor.
Langkah-langkah yang disediakan di bagian ini menggunakan Konsol Manajemen AWS. Anda juga dapat menggunakan operasi Network Flow Monitor API dengan AWS Command Line Interface (AWS CLI) atau AWS SDKs untuk meninjau wawasan beban kerja dan metrik kontributor teratas, serta untuk membuat dan mengonfigurasi monitor. Untuk informasi selengkapnya, lihat sumber daya berikut:
+ Jika Anda berencana untuk bekerja dengan Network Flow Monitor dengan CLI, lihat. [Contoh menggunakan CLI dengan Network Flow Monitor](CloudWatch-NFM-get-started-CLI.md)
+ Untuk informasi terperinci tentang bekerja dengan operasi API Network Flow Monitor, lihat [Panduan Referensi API Network Flow Monitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).
**Topics**
+ [Evaluasi arus jaringan](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)
+ [Membuat dan bekerja menggunakan monitor](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
+ [Memantau dan menganalisis](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)
+ [Hapus ruang lingkup](CloudWatch-NetworkFlowMonitor-disable.md)
# Mengevaluasi aliran jaringan dengan wawasan beban kerja
Network Flow Monitor memberikan wawasan beban kerja tentang alur jaringan dalam lingkup yang Anda aktifkan pemantauan. Dengan menampilkan alur jaringan kontributor teratas untuk setiap jenis metrik, Anda dapat melihat alur mana yang berpotensi mengalami masalah. Anda dapat melihat metrik kontributor teratas ini di konsol pada tab Wawasan **beban kerja**. Di Network Flow Monitor, kontributor teratas adalah aliran jaringan yang memiliki nilai tertinggi untuk setiap metrik kinerja jaringan.
**Kontributor teratas**
Pada halaman **Wawasan Beban Kerja** di konsol Network Flow Monitor, Network Flow Monitor menampilkan statistik kinerja jaringan kontributor teratas untuk alur jaringan di antara semua sumber daya dalam lingkup pemantauan tempat Anda menggunakan agen.
Untuk mengkompilasi daftar kontributor teratas, Network Flow Monitor menentukan alur jaringan dalam lingkup Anda yang memiliki nilai tertinggi untuk transmisi ulang, batas waktu transmisi ulang, dan data yang ditransfer. Alur jaringan ini adalah *kontributor teratas* untuk setiap jenis metrik.
Untuk wawasan beban kerja, kontributor teratas ditentukan untuk semua alur jaringan tempat Anda menerima informasi kinerja; yaitu, alur jaringan untuk semua sumber daya dalam lingkup Anda dengan agen Network Flow Monitor diinstal.
**Klasifikasi aliran jaringan**
Network Flow Monitor mengklasifikasikan metrik ke dalam kategori local-remote yang ditentukan. Metrik dikelompokkan menjadi dua jenis aliran:
+ Arus **Indikator Kesehatan Jaringan (NHI):** Arus yang berkontribusi pada perhitungan Indikator Kesehatan Jaringan (NHI):
+ Antara AZs (`INTER_AZ`). Selalu dalam VPC yang sama.
+ Dalam AZs (`INTRA_AZ`). Selalu dalam VPC yang sama.
+ Antara VPCs (`INTER_VPC`). Melintasi batas antara. VPCs
+ Antar Wilayah (`INTER_REGION`). Ini berarti kinerja untuk arus jaringan antara sumber daya di Wilayah Anda dan tepi Wilayah lain.
+ Menuju ember Amazon S3 () `AMAZON_S3`
+ Menuju Amazon `AMAZON_DYNAMODB` DynamoDB ()
+ Arus **Indikator Kesehatan Non Jaringan (NHI):** Arus yang tidak berkontribusi pada kalkuasi Indikator Kesehatan Jaringan (NHI):
+ Menuju Internet (`INTERNET`). Arus yang melintasi Internet Gateway dan berakhir di Internet publik.
+ Menuju AWS Services (`AWS_SERVICE`). Aliran yang berakhir pada AWS layanan yang tidak sepenuhnya dipantau (seperti CloudFront atau API Gateway).
+ Menuju Transit Gateway (`TRANSIT_GATEWAY`). Arus dalam klasifikasi ini adalah aliran yang tiba di Transit Gateway, tetapi tujuan akhir aliran tidak diketahui.
+ Menuju zona lokal (`LOCAL_ZONE`). Aliran yang dimulai atau berakhir di zona lokal
+ Aliran lain apa pun yang tidak dapat diklasifikasikan (`UNCLASSIFIED`).
**Metrik kinerja**
Metrik kinerja pada **wawasan Beban Kerja** ditampilkan dalam tabel terpisah untuk jenis metrik berikut: Transmisi ulang, batas waktu transmisi ulang, dan data yang ditransfer. Data yang diberikan adalah untuk kontributor teratas untuk setiap jenis. Perhatikan bahwa setelah Anda pertama kali menginstal agen Network Flow Monitor, ada masa tunggu (sekitar 20 menit) sebelum Anda dapat melihat metrik kinerja, sementara agen mengumpulkan dan mengirim data ke backend Network Flow Monitor.
**Pantau aliran jaringan tertentu**
Saat meninjau metrik performa, saat melihat sumber daya atau alur jaringan tertentu yang ingin Anda jelajahi lebih detail, Anda dapat membuat monitor yang hanya menyertakan alur tersebut.
Dengan monitor, Anda dapat melacak kelompok arus jaringan tertentu selama periode waktu tertentu, untuk mendapatkan wawasan tentang satu aspek beban kerja Anda. Anda juga bisa mendapatkan informasi pemecahan masalah yang bermanfaat, seperti memeriksa indikator kesehatan jaringan (NHI) untuk melihat apakah masalah yang Anda lihat disebabkan oleh gangguan. AWS
Untuk informasi selengkapnya, lihat [Membuat dan bekerja dengan monitor di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
**Cakupan multi-akun**
Untuk bekerja dengan beberapa akun di Network Flow Monitor, Anda harus mengonfigurasi AWS Organizations integrasi dengan CloudWatch. Dengan mengonfigurasi Organizations, Anda dapat menambahkan akun ke cakupan cakupan Network Flow Monitor Anda. Kemudian, jika Anda memiliki beberapa akun dalam lingkup yang masing-masing memiliki sumber daya yang ingin Anda pantau alur jaringan, Anda dapat menentukan cakupan yang mencakup semua akun, lalu melihat metrik kinerja yang dikumpulkan oleh agen Network Flow Monitor yang telah diinstal pada sumber daya Anda. Untuk informasi selengkapnya, lihat [Inisialisasi Network Flow Monitor untuk pemantauan multi-akun](CloudWatch-NetworkFlowMonitor-multi-account.md).
# Membuat dan bekerja dengan monitor di Network Flow Monitor
Anda membuat monitor untuk melihat detail tentang kinerja jaringan untuk satu atau beberapa alur jaringan untuk beban kerja. Untuk setiap monitor, Network Flow Monitor menerbitkan metrik end-to-end kinerja dan indikator kesehatan jaringan (NHI), dan menghasilkan jalur jaringan dari arus jaringan individu. Setelah Anda membuat monitor, Anda dapat melihat informasi yang disediakan oleh monitor di konsol pada tab **Monitor**.
Monitor aliran dapat membantu Anda menilai masalah kinerja jaringan yang memengaruhi beban kerja Anda, termasuk gangguan dalam jaringan Wilayah AWS dan masalah pada jaringan AWS global antara Wilayah lokal dan wilayah terpencil. Indikator kesehatan jaringan (NHI) yang disediakan oleh monitor juga menangkap kesehatan jaringan AWS global pada jalur jaringan beban kerja Anda antar Wilayah. Ini membantu Anda mengidentifikasi dengan cepat apakah gangguan di Wilayah lokal, di jaringan AWS global, atau di Wilayah terpencil memengaruhi beban kerja Anda.
Untuk Wilayah terpencil, monitor dapat memberikan visibilitas jaringan untuk arus ke alamat IP publik Wilayah, dan untuk lalu lintas pribadi yang mengalir ke Wilayah terpencil melalui peering VPC atau mengintip Transit Gateway.
Setelah Anda membuat monitor, Anda dapat mengedit monitor untuk membuat perubahan (kecuali mengubah nama monitor) atau menghapus monitor, kapan saja.
Bagian berikut mencakup prosedur untuk membuat, mengedit, dan menghapus monitor di konsol Network Flow Monitor.
**Topics**
+ [Membuat monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)
+ [Mengedit sebuah monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)
+ [Menghapus monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)
# Buat monitor di Network Flow Monitor
**Saat meninjau kontributor teratas di tab **Wawasan Beban Kerja**, jika Anda melihat satu atau beberapa alur jaringan yang ingin Anda ikuti dari waktu ke waktu, atau yang ingin detail selengkapnya, Anda dapat membuat monitor langsung dari wawasan Beban Kerja.** Ini menyederhanakan proses untuk membuat monitor untuk aliran jaringan tertentu.
Atau, jika Anda mengetahui alur jaringan tertentu yang ingin Anda lacak dengan monitor, seperti melihat informasi kinerja untuk semua aliran jaringan ke yang lain Wilayah AWS, Anda dapat menggunakan wizard **Buat monitor** untuk membuat monitor dari awal. Saat Anda membuat monitor dengan cara ini, Anda menentukan semua sumber daya lokal dan jarak jauh yang menentukan aliran jaringan yang ingin Anda pantau.
Untuk prosedur khusus, lihat bagian berikut:
+ [Buat monitor dengan menentukan alur jaringan](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights)
+ [Buat monitor dengan menentukan sumber daya lokal dan jarak jauh](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone)
## Buat monitor dengan menentukan alur jaringan
Untuk membuat monitor dengan memilih alur jaringan, mulai pada tab **Wawasan beban kerja**. Pilih satu atau beberapa aliran jaringan di salah satu tabel, dalam satu Wilayah, dan kemudian, pilih untuk membuat monitor dengan aliran tersebut.
Saat Anda membuat monitor dengan cara ini, wizard **Create monitor** akan mengisi sumber daya lokal dan jarak jauh untuk Anda dan menampilkannya dalam dialog modal. Anda dapat memilih untuk membuat monitor dengan sumber daya tersebut, atau mengedit pilihan sumber daya lokal atau jarak jauh untuk menambah atau menghapus sumber daya yang akan disertakan.
Dengan meninjau kontributor teratas tentang **wawasan Beban Kerja** secara berkelanjutan, Anda dapat mengevaluasi secara teratur apakah Anda memiliki monitor yang Anda butuhkan, atau jika membuat monitor baru akan sangat membantu.
**penting**
Langkah-langkah ini dirancang untuk Anda selesaikan sekaligus. Anda tidak lagi dapat menyimpan pekerjaan di tengah proses untuk kemudian melanjutkan pekerjaan apa pun untuk dilanjutkan nanti.
**Untuk membuat monitor dari wawasan **Beban Kerja****
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi kiri, di bawah **Pemantauan Jaringan**, pilih **Monitor aliran**.
1. Pilih **Wawasan Beban Kerja**.
1. Di salah satu tabel **kontributor teratas**, pilih satu atau beberapa alur jaringan dan kemudian pilih **Buat** monitor.
1. Di jendela modal yang terbuka, Anda dapat mengedit sumber daya yang menentukan alur jaringan yang Anda pilih, atau pilih **Buat monitor**.
## Buat monitor dengan menentukan sumber daya lokal dan jarak jauh
Anda dapat membuat monitor kapan saja untuk sumber daya lokal dan jarak jauh tertentu yang menentukan alur jaringan yang ingin Anda lihat detailnya.
Misalnya, Anda mungkin ingin membuat monitor untuk salah satu skenario berikut:
+ Monitor yang mencakup aliran jaringan untuk VPC tertentu di Wilayah lokal ke VPC lain di Wilayah yang sama. (Perhatikan bahwa Anda tidak dapat memilih sumber daya tertentu, seperti VPC, sebagai titik akhir aliran jaringan - yaitu, sumber daya jarak jauh - di Wilayah lain.)
+ Untuk sumber daya lokal, pilih **Sumber daya spesifik di *Wilayah***. Kemudian, pilih **VPC dan subnet**, dan kemudian, dalam tabel, pilih VPC tertentu.
+ Untuk sumber daya jarak jauh, lakukan hal yang sama: pilih **Sumber daya spesifik di *Wilayah***, lalu, pilih **VPC dan subnet**, dan terakhir, pilih VPC tertentu.
+ Monitor yang mencakup semua aliran jaringan dari beban kerja Anda di Wilayah lokal ke Availability Zone tertentu.
+ Untuk sumber daya lokal, pilih **Di mana saja di *Wilayah***
+ Untuk sumber daya jarak jauh, pilih **Availability Zone**, lalu pilih AZ tertentu
+ Monitor yang mencakup semua alur jaringan untuk beban kerja Anda dalam Wilayah lokal.
+ Untuk sumber daya lokal, pilih **Di mana saja di *Wilayah***
+ Untuk sumber daya jarak jauh, pilih **Di mana saja di *Wilayah***
+ Monitor yang mencakup semua alur jaringan untuk beban kerja Anda dari Wilayah lokal ke tepi Wilayah lain.
+ Untuk sumber daya lokal, pilih **Di mana saja di *Wilayah***
+ Untuk sumber daya jarak jauh, pilih **Wilayah Lain**, lalu pilih Wilayah terpencil
**penting**
Langkah-langkah ini dirancang untuk Anda selesaikan sekaligus. Anda tidak lagi dapat menyimpan pekerjaan di tengah proses untuk kemudian melanjutkan pekerjaan apa pun untuk dilanjutkan nanti.
**Membuat sebuah monitor menggunakan konsol**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi kiri, di bawah **Pemantauan Jaringan**, pilih **Monitor aliran**.
1. Dari halaman Network Flow Monitor, pilih tab **Monitor**, lalu pilih **Buat monitor**.
1. Untuk **nama Monitor**, masukkan nama yang ingin Anda gunakan untuk monitor. Anda tidak dapat mengubah nama ini nanti.
1. Pilih **Berikutnya**.
1. Pilih sumber daya lokal (satu atau lebih) untuk aliran jaringan yang ingin Anda pantau.
+ Untuk memantau arus jaringan dari semua sumber daya di Wilayah Anda, pilih **Di mana saja di *Wilayah***.
+ Untuk memilih sumber daya lokal tertentu untuk memantau arus, pilih **Sumber daya spesifik di *Wilayah***. Kemudian, di bawah **Tambahkan sumber daya**, pilih **Availability Zones**, **EKS cluster**, atau **VPCs dan subnet**, lalu pilih sumber daya untuk ditambahkan.
1. Pilih **Berikutnya**.
1. Pilih sumber daya jarak jauh (satu atau lebih) untuk aliran jaringan yang ingin Anda pantau.
+ Untuk memantau arus jaringan ke semua sumber daya di Wilayah Anda, pilih **Di mana saja di *Wilayah***.
+ Untuk memantau arus dari sumber daya jarak jauh tertentu, pilih **Sumber daya spesifik di *Wilayah***. Di bawah **Tambahkan sumber daya**, pilih **VPCs dan subnet**, **Availability Zone**, atau **AWS layanan**, lalu pilih sumber daya yang akan ditambahkan.
+ Untuk memantau arus jaringan ke tepi Wilayah lain, pilih **Wilayah Lain**.
1. Pilih **Berikutnya**.
1. Tinjau pilihan Anda untuk mengonfirmasi alur jaringan untuk dipantau, atau edit opsi untuk membuat perubahan.
1. Pilih **Buat monitor**.
Setelah Anda membuat monitor, Anda dapat mengedit atau menghapus monitor kapan saja untuk menambah atau menghapus aliran jaringan. Pilih monitor, lalu pilih **Edit** atau **Hapus**. Perhatikan bahwa Anda tidak dapat mengubah nama monitor.
**Untuk melihat dasbor Network Flow Monitor**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Pemantauan jaringan**, lalu **Monitor aliran**.
Tab **Monitor** menampilkan daftar monitor yang telah Anda buat.
Untuk melihat informasi lebih lanjut tentang monitor tertentu, pilih monitor.
# Mengedit monitor di Network Flow Monitor
Anda dapat mengedit monitor kapan saja, untuk menambah atau menghapus aliran jaringan.
Perhatikan bahwa Anda tidak dapat mengubah nama monitor setelah Anda membuatnya.
**penting**
Langkah-langkah ini dirancang untuk Anda selesaikan sekaligus. Anda tidak lagi dapat menyimpan pekerjaan di tengah proses untuk kemudian melanjutkan pekerjaan apa pun untuk dilanjutkan nanti.
**Cara mengedit sebuah monitor menggunakan konsol**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi kiri, di bawah **Pemantauan Jaringan**, pilih **Monitor aliran**.
1. Pada tab **Monitor**, pilih monitor, dan kemudian di bawah menu **Tindakan**, pilih **Edit**.
1. Pilih sumber daya lokal atau jarak jauh yang ingin Anda tambahkan atau hapus untuk monitor. Jika Anda memiliki beberapa akun dalam lingkup Anda, tentukan akun tempat sumber daya berada, lalu pilih sumber daya.
1. Setelah selesai memperbarui monitor, pilih **Berikutnya**, untuk meninjau dan mengonfirmasi alur jaringan untuk dipantau.
1. Pilih **Simpan monitor**.
# Hapus monitor di Network Flow Monitor
Untuk menghapus monitor di Network Flow Monitor, ikuti langkah-langkahnya di sini.
**Untuk menghapus monitor**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi kiri, di bawah **Pemantauan Jaringan**, pilih **Monitor aliran**.
1. Pada tab **Monitor**, pilih monitor, dan kemudian di bawah menu **Tindakan**, pilih **Hapus**.
1. Pada dialog yang muncul, masukkan teks konfirmasi, lalu pilih **Hapus**.
# Memantau dan menganalisis arus jaringan dengan monitor Network Flow Monitor
Data dan grafik Network Flow Monitor membantu Anda memvisualisasikan dan melacak masalah jaringan. Anda dapat membuat monitor untuk melihat informasi terperinci tentang segmen jaringan tertentu untuk AWS beban kerja Anda, termasuk tampilan jalur jaringan untuk setiap alur jaringan. Setelah membuat satu atau beberapa monitor di Network Flow Monitor, Anda dapat mengamati performa dan metrik, serta menjelajahi data historis, untuk menemukan anomali.
Untuk melihat informasi yang disediakan oleh monitor, pada tab **Monitor**, pilih monitor di tabel **Monitor**. Kemudian, pilih salah satu tab berikut untuk informasi lebih lanjut: **Ikhtisar**, **Penjelajah sejarah**, atau **Detail monitor**.
**Tab Gambaran umum**
Pada tab **Ikhtisar**, Anda dapat meninjau hal-hal berikut, untuk periode waktu yang Anda tentukan. Untuk melihat rentang informasi historis yang lebih luas atau lebih sempit, termasuk NHI dan data ringkasan lalu lintas, sesuaikan pemilihan periode waktu di bagian atas halaman.
+ **Indikator kesehatan jaringan (NHI):** NHI memberi tahu Anda apakah ada masalah AWS jaringan untuk satu atau lebih aliran jaringan yang dilacak oleh monitor Anda, selama jangka waktu yang Anda pilih untuk melihat metrik kinerja. **NHI adalah nilai biner, yaitu, 1 atau 0, yang ditampilkan di konsol sebagai **Terdegradasi** atau Sehat.**
+ NHI ditampilkan sebagai **Terdegradasi** jika ada masalah dengan bagian AWS jaringan yang dilalui oleh aliran jaringan apa pun di monitor, kapan saja selama jangka waktu yang Anda pilih.
+ Jika tidak, NHI ditampilkan sebagai **Sehat**.
Jika NHI **terdegradasi**, Anda dapat melihat grafik batang **indikator kesehatan jaringan** untuk informasi lebih lanjut. Grafik menunjukkan kepada Anda kapan, selama kerangka waktu yang dipilih, ada masalah AWS jaringan untuk arus jaringan yang dilacak oleh monitor Anda.
+ **Ringkasan lalu lintas:** Amati metrik keseluruhan untuk alur yang dilacak oleh monitor ini, untuk periode waktu yang Anda pilih. Anda dapat melihat rata-rata waktu pulang-pergi, jumlah (total) batas waktu transmisi dan transmisi ulang, dan jumlah rata-rata data yang ditransfer untuk arus di monitor. Ketahuilah bahwa data RTT bisa jarang karena RTT tidak selalu dihitung.
**Tab penjelajah sejarah**
Pada tab **Historical explorer**, Anda dapat menyelami informasi tentang arus tertentu. Anda dapat meninjau metrik dan jalur jaringan untuk alur jaringan kontributor teratas untuk kerangka waktu tertentu. Dalam tabel metrik, Anda dapat memfilter data berdasarkan kategori aliran yang berbeda, seperti aliran antara Availability Zones (`INTER_AZ`).
+ **Metrik:** Melihat informasi terperinci untuk kontributor teratas untuk setiap jenis metrik yang dikumpulkan oleh Network Flow Monitor untuk data. Tabel terpisah dari kontributor teratas disediakan untuk batas waktu transmisi ulang, transmisi ulang, waktu pulang pergi, dan data yang ditransfer.
+ **Jalur jaringan:** Untuk mendapatkan gambaran tentang di mana anomali terjadi, Anda dapat melihat jalur jaringan dari aliran jaringan. Saat Anda memilih metrik tertentu dalam tabel metrik, jalur jaringan untuk aliran tersebut ditampilkan di bawah tabel.
**Tab detail monitor**
Pada tab **Detail monitor**, Anda dapat melihat detail tentang monitor, termasuk status monitor, ARN, kapan dibuat dan terakhir diperbarui, dan aliran yang disertakan.
Anda dapat memilih untuk mengedit atau menghapus monitor dari halaman mana pun di tab **Monitor**.
Sebagai bagian dari penggunaan rutin Network Flow Monitor, sebaiknya Anda meninjau data secara berkala di halaman **Wawasan Beban Kerja** untuk menentukan apakah ada alur baru yang menunjukkan anomali metrik yang ingin Anda lacak lebih dekat dari waktu ke waktu. Saat Anda melihat sekumpulan alur di halaman **Wawasan Beban Kerja** yang ingin Anda lihat detailnya, pilih alur dan buat monitor untuknya.
# Menghapus cakupan untuk Monitor Aliran Jaringan
Jika Anda memutuskan bahwa Anda tidak lagi ingin memantau aliran jaringan menggunakan Network Flow Monitor, Anda dapat menghapus cakupan Network Flow Monitor Anda. Saat menghapus cakupan, Anda tidak dapat lagi melihat informasi kinerja jaringan.
Sebelum Anda dapat menghapus ruang lingkup Anda, Anda harus menghapus semua monitor. Harap diketahui bahwa perlu waktu sekitar 15 menit untuk menyelesaikan penghapusan monitor setelah Anda memintanya. Untuk informasi selengkapnya, lihat [Hapus monitor di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md).
**Untuk menghapus cakupan Anda**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi kiri, di bawah **Pemantauan Jaringan**, pilih **Monitor aliran**.
1. Pada tab **Pengaturan**, pilih **Hapus ruang lingkup**.
1. Di kotak dialog, masukkan teks konfirmasi, lalu pilih **Hapus ruang lingkup**.
# Lihat metrik Monitor Aliran Jaringan di CloudWatch
Network Flow Monitor menerbitkan metrik kinerja aliran jaringan berikut ke akun Anda: waktu pulang pergi, transmisi ulang TCP, batas waktu transmisi ulang TCP, data yang ditransfer, dan indikator kesehatan jaringan. Anda dapat melihat metrik ini di CloudWatch Metrik di konsol Amazon CloudWatch .
Untuk menemukan semua metrik untuk monitor Anda, di dasbor CloudWatch Metrik, lihat namespace khusus. `AWS/NetworkFlowMonitor` Metrik dikumpulkan untuk setiap monitor yang digunakan dan aktif.
Network Flow Monitor menyediakan metrik berikut. Ketahuilah bahwa RoundTripTime data bisa jarang, karena metrik ini tidak selalu dihitung.
| Metrik | Deskripsi |
| --- | --- |
| DataTransferred | Jumlah byte yang ditransfer untuk semua aliran untuk monitor. |
| Transmisi ulang | Jumlah total transmisi ulang untuk monitor. Transmisi ulang terjadi ketika pengirim perlu mengirim ulang paket yang telah rusak atau hilang. |
| Timeout | Total batas waktu transmisi ulang untuk monitor. Ini terjadi ketika pengirim kehilangan terlalu banyak ucapan terima kasih, dan karena itu memutuskan untuk mengambil waktu istirahat dan berhenti mengirim sama sekali. |
| RoundTripTime | Rata-rata waktu pulang-pergi untuk arus jaringan untuk monitor. Metrik ini, diukur dalam mikrodetik, adalah ukuran kinerja. Ini mencatat waktu yang diperlukan untuk lalu lintas untuk ditransmisikan dari sumber daya lokal ke alamat IP jarak jauh, dan untuk respons terkait yang akan diterima. Waktu adalah rata-rata selama periode agregasi. Data bisa jarang, karena metrik ini tidak selalu dihitung. |
| HealthIndicator | Indikator kesehatan jaringan (NHI) untuk monitor secara keseluruhan. Indikator kesehatan jaringan (NHI) adalah nilai yang memunculkan gangguan AWS jaringan. Nilai NHI adalah 1 (terdegradasi) jika ada masalah AWS jaringan selama jangka waktu tertentu. Ini disetel ke 0 (sehat) jika tidak ada masalah AWS jaringan yang terdeteksi. Mengamati NHI dapat membantu Anda memprioritaskan pemecahan masalah baik untuk beban kerja atau jaringan Anda. AWS |
# Buat alarm dengan Network Flow Monitor
Anda dapat membuat CloudWatch alarm Amazon berdasarkan metrik Network Flow Monitor, seperti yang Anda bisa untuk metrik lainnya CloudWatch .
Misalnya, Anda dapat membuat alarm berdasarkan metrik Network Flow Monitor`Retransmissions`, dan mengonfigurasinya untuk mengirim pemberitahuan ketika metrik lebih tinggi dari nilai yang Anda pilih. Anda mengonfigurasi alarm untuk metrik Network Flow Monitor mengikuti panduan yang sama seperti metrik lainnya CloudWatch .
Berikut ini adalah contoh metrik Network Flow Monitor yang mungkin Anda pilih untuk membuat alarm:
+ **Transmisi Ulang**
+ **Timeout**
+ **RoundTripTime**
Untuk melihat semua metrik yang tersedia untuk Network Flow Monitor lihat[Buat CloudWatch alarm berdasarkan ambang statis](ConsoleAlarms.md).
Prosedur berikut memberikan contoh pengaturan alarm pada **Transmisi Ulang** dengan menavigasi ke metrik di dasbor. CloudWatch Kemudian, Anda mengikuti CloudWatch langkah-langkah standar untuk membuat alarm berdasarkan ambang batas yang Anda pilih, dan mengatur pemberitahuan atau memilih opsi lain.
**Untuk membuat alarm untuk **Transmisi Ulang** di Metrik CloudWatch**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pilih **Metrik**, lalu pilih **Semua metrik**.
1. Filter untuk Network Flow Monitor dengan memilih`AWS/NetworkFlowMonitor`.
1. Pilih **MeasurementSource, MonitorName**.
1. Dalam daftar, pilih **Transmisi Ulang**.
1. Pada **GraphedMetrics**tab, di bawah **Tindakan**, pilih ikon bel untuk membuat alarm berdasarkan ambang statis.
Sekarang, ikuti CloudWatch langkah-langkah standar untuk memilih opsi untuk alarm. Misalnya, Anda dapat memilih untuk diberi tahu oleh pesan Amazon SNS **jika** Transmisi Ulang di bawah nomor ambang tertentu. Atau, atau sebagai tambahan, Anda dapat menambahkan alarm ke dasbor.
Ingatlah hal berikut:
+ Metrik Network Flow Monitor biasanya dikumpulkan dan dikirim ke backend Network Flow Monitor setiap 30 detik, dengan potensi jitter 5 detik (dengan kata lain, 25 hingga 35 detik).
+ Saat Anda membuat alarm berdasarkan metrik Network Flow Monitor, pastikan Anda memperhitungkan penundaan singkat sebelum publikasi saat Anda menyetel periode lookback alarm. Kami menyarankan Anda mengonfigurasi **Periode Evaluasi** dengan periode lookback minimal 25 menit.
Untuk informasi selengkapnya tentang opsi saat Anda membuat CloudWatch alarm, lihat[Buat CloudWatch alarm berdasarkan ambang statis](ConsoleAlarms.md).
# AWS CloudTrail untuk Monitor Aliran Jaringan
Pemantauan layanan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja. dari Network Flow Monitor dan solusi Anda yang lain AWS . *AWS CloudTrail*menangkap panggilan API dan peristiwa terkait yang dibuat oleh atau atas nama Anda Akun AWS dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Anda dapat mengidentifikasi pengguna dan akun yang memanggil AWS, alamat IP asal panggilan dilakukan, dan waktu panggilan terjadi. Untuk informasi selengkapnya, lihat [Panduan Pengguna AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Untuk informasi selengkapnya tentang CloudTrail pencatatan Network Flow Monitor, lihat[Monitor Aliran Jaringan di CloudTrail](logging_cw_api_calls.md#CloudWatch-NetworkFlowMonitor-info-in-ct).
# Memecahkan masalah di Network Flow Monitor
Bagian ini memberikan panduan untuk memecahkan masalah kesalahan dengan Network Flow Monitor, termasuk memecahkan masalah dengan agen penginstalan.
## Memecahkan masalah dalam instalasi agen EKS
Saat Anda mencoba memutakhirkan add-on AWS Network Flow Monitor Agent untuk EKS dari v1.0.0 ke v1.0.1 in Konsol Manajemen AWS, Anda mungkin menerima pesan galat berikut:
“Akun layanan `aws-network-flow-monitoring-agent-service-account` dalam konfigurasi identitas pod tidak didukung untuk addon`aws-network-flow-monitoring-agent`.”
Kesalahan ini dikembalikan karena sumber daya diganti namanya. Eks add-on v1.0.1 mengubah nama akun layanan dari `aws-network-flow-monitoring-agent-service-account` menjadi. `aws-network-flow-monitor-agent-service-account`
Kemudian, jika **Not set tidak** dipilih di konsol, asosiasi identitas pod tidak disetel ulang ke nama sumber daya baru.
Untuk memperbaiki masalah ini, lakukan hal berikut saat Anda meningkatkan ke versi baru dengan menggunakan konsol:
1. Di bawah **peran IAM Identitas Pod untuk akun layanan**, pilih **Tidak disetel**.
1. Pilih **Versi baru (v1.0.1).**
1. Pilih **Upgrade**.
1. Pilih **Simpan perubahan**.
# Keamanan data dan perlindungan data di Network Flow Monitor
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku untuk Network Flow Monitor, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Network Flow Monitor. Topik berikut menunjukkan cara mengonfigurasi Network Flow Monitor untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya Network Flow Monitor Anda.
**Topics**
+ [Perlindungan data di Network Flow Monitor](data-protection-nfw.md)
+ [Keamanan Infrastruktur dalam Monitor Aliran Jaringan](infrastructure-security-nfw.md)
+ [Identity and Access Management untuk Network Flow Monitor](CloudWatch-NetworkFlowMonitor-security-iam.md)
# Perlindungan data di Network Flow Monitor
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Network Flow Monitor. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan logging aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Network Flow Monitor atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
# Keamanan Infrastruktur dalam Monitor Aliran Jaringan
Sebagai layanan terkelola, Network Flow Monitor dilindungi oleh prosedur keamanan jaringan AWS global yang dijelaskan dalam whitepaper [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Network Flow Monitor melalui jaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.0 atau versi yang lebih baru. Kami merekomendasikan TLS 1.2 atau versi yang lebih baru. Klien juga harus mendukung suite cipher dengan perfect forward secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan principal IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.
# Identity and Access Management untuk Network Flow Monitor
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Network Flow Monitor. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Bagaimana Network Flow Monitor bekerja dengan IAM](security_iam_service-with-iam-network-flow-monitor.md)
+ [AWS kebijakan terkelola](security-iam-awsmanpol-network-flow-monitor.md)
+ [Peran terkait layanan](using-service-linked-roles-network-flow-monitor.md)
# Bagaimana Network Flow Monitor bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke Network Flow Monitor, pelajari fitur IAM apa yang tersedia untuk digunakan dengan Network Flow Monitor.
Untuk melihat tabel yang menampilkan tampilan tingkat tinggi serupa tentang cara kerja AWS layanan dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Fitur IAM yang dapat Anda gunakan dengan Network Flow Monitor**
| Fitur IAM | Dukungan Network Flow Monitor |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies-nfm) | Ya |
| [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies-nfm) | Tidak |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions-nfm) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources-nfm) | Ya |
| [kunci-kunci persyaratan kebijakan (spesifik layanan)](#security_iam_service-with-iam-id-based-policies-conditionkeys-nfm) | Ya |
| [ACLs](#security_iam_service-with-iam-acls-nfm) | Tidak |
| [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags-nfm) | Ya |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds-nfm) | Ya |
| [Izin principal](#security_iam_service-with-iam-principal-permissions-nfm) | Ya |
| [Peran layanan](#security_iam_service-with-iam-roles-service-nfm) | Tidak |
| [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked-nfm) | Ya |
## Kebijakan berbasis identitas untuk Network Flow Monitor
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
## Kebijakan berbasis sumber daya dalam Network Flow Monitor
**Mendukung kebijakan berbasis sumber daya:** Tidak
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah kebijakan kepercayaan peran IAM dan kebijakan bucket Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu.
## Tindakan kebijakan untuk Network Flow Monitor
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Untuk melihat daftar tindakan Network Flow Monitor, lihat [Tindakan yang ditentukan oleh Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions) di *Referensi Otorisasi Layanan*.
Tindakan kebijakan di Network Flow Monitor menggunakan awalan berikut sebelum tindakan:
```
networkflowmonitor
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"networkflowmonitor:action1",
"networkflowmonitor:action2"
]
```
Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:
```
"Action": "networkflowmonitor:Describe*"
```
## Sumber daya kebijakan untuk Network Flow Monitor
**Mendukung sumber daya kebijakan:** Ya
Dalam *Referensi Otorisasi Layanan*, Anda dapat melihat informasi berikut yang terkait dengan Network Flow Monitor:
+ Untuk melihat daftar jenis sumber daya Network Flow Monitor dan jenisnya ARNs, lihat [Sumber daya yang ditentukan oleh Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-resources-for-iam-policies).
+ Untuk mempelajari tindakan yang dapat Anda tentukan dengan ARN dari setiap sumber daya, lihat [Tindakan yang ditentukan oleh Network Flow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions) Monitor.
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
## Kunci kondisi kebijakan untuk Network Flow Monitor
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk melihat daftar kunci kondisi Network Flow Monitor, lihat [Kunci kondisi untuk Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-policy-keys) di *Referensi Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions).
## ACLs di Monitor Aliran Jaringan
**Mendukung ACLs:** Tidak
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
## ABAC dengan Monitor Aliran Jaringan
**Mendukung ABAC (tanda dalam kebijakan):** Ya
Network Flow Monitor memiliki *sebagian* dukungan untuk tag dalam kebijakan. Dukungan parsial Ini mendukung pemberian tanda untuk satu sumber daya, monitor.
Untuk menggunakan tag dengan Network Flow Monitor, gunakan AWS Command Line Interface atau AWS SDK. Penandaan untuk Network Flow Monitor tidak didukung dengan. Konsol Manajemen AWS
Untuk mempelajari selengkapnya tentang penggunaan tanda dalam kebijakan secara umum, tinjau informasi berikut.
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
## Menggunakan kredensi sementara dengan Network Flow Monitor
**Mendukung kredensial sementara:** Ya
Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Izin utama lintas layanan untuk Network Flow Monitor
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran layanan untuk Network Flow Monitor
**Mendukung peran layanan:** Tidak
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
## Peran terkait layanan untuk Network Flow Monitor
**Mendukung peran terkait layanan**: Ya
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk informasi selengkapnya tentang peran terkait layanan untuk Network Flow Monitor, lihat. [Peran tertaut layanan untuk Monitor Aliran Jaringan](using-service-linked-roles-network-flow-monitor.md)
Untuk detail tentang membuat atau mengelola peran terkait layanan secara umum di AWS, lihat [AWS layanan yang bekerja dengan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM. Cari layanan dalam tabel yang memiliki `Yes` di kolom **Peran terkait layanan**. Pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
# AWS kebijakan terkelola untuk Network Flow Monitor
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: CloudWatchNetworkFlowMonitorServiceRolePolicy
Anda tidak dapat melampirkan `CloudWatchNetworkFlowMonitorServiceRolePolicy` ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan bernama **AWSServiceRoleForNetworkFlowMonitor**, yang menerbitkan hasil agregasi telemetri jaringan, yang dikumpulkan oleh agen Network Flow Monitor, ke. CloudWatch Ini juga memungkinkan layanan untuk digunakan AWS Organizations untuk mendapatkan informasi untuk skenario multi-akun.
Untuk melihat izin kebijakan ini, lihat [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)di *Referensi Kebijakan AWS Terkelola*.
Untuk informasi selengkapnya, lihat [Peran tertaut layanan untuk Monitor Aliran Jaringan](using-service-linked-roles-network-flow-monitor.md).
## AWS kebijakan terkelola: CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
Anda tidak dapat melampirkan ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan bernama. **AWSServiceRoleForNetworkFlowMonitor\$1Topology** Dengan menggunakan izin ini, serta pengumpulan informasi meta data internal (untuk efisiensi kinerja), peran terkait layanan ini mengumpulkan data meta tentang konfigurasi jaringan sumber daya, seperti menjelaskan tabel rute dan gateway, untuk sumber daya yang dipantau oleh layanan ini lalu lintas jaringan. Data meta ini memungkinkan Network Flow Monitor untuk menghasilkan snapshot topologi sumber daya. Ketika terjadi degradasi jaringan, Network Flow Monitor menggunakan topologi untuk memberikan wawasan tentang lokasi masalah dalam jaringan dan untuk membantu menentukan atribusi untuk masalah.
Untuk melihat izin kebijakan ini, lihat [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)di *Referensi Kebijakan AWS Terkelola*.
Untuk informasi selengkapnya, lihat [Peran tertaut layanan untuk Monitor Aliran Jaringan](using-service-linked-roles-network-flow-monitor.md).
## AWS kebijakan terkelola: CloudWatchNetworkFlowMonitorAgentPublishPolicy
Anda dapat menggunakan kebijakan ini dalam peran IAM yang dilampirkan ke sumber daya instans Amazon EC2 dan Amazon EKS untuk mengirim laporan telemetri (metrik) ke titik akhir Network Flow Monitor.
Untuk melihat izin kebijakan ini, lihat [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)di *Referensi Kebijakan AWS Terkelola*.
## Pembaruan pada peran terkait layanan Network Flow Monitor
Untuk pembaruan kebijakan AWS terkelola untuk peran terkait layanan Network Flow Monitor, lihat [tabel pembaruan kebijakan AWS terkelola](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates) untuk. CloudWatch Anda juga dapat berlangganan peringatan RSS otomatis di halaman [Riwayat CloudWatch dokumen](DocumentHistory.md).
# Peran tertaut layanan untuk Monitor Aliran Jaringan
Network Flow Monitor menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke Network Flow Monitor. Peran terkait layanan telah ditentukan sebelumnya oleh Network Flow Monitor dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Network Flow Monitor mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya Network Flow Monitor yang dapat mengambil peran tersebut. Izin yang ditetapkan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tersebut hanya setelah pertama kali menghapus sumber dayanya yang terkait. Pembatasan ini melindungi sumber daya Network Flow Monitor karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Network Flow Monitor
Network Flow Monitor menggunakan peran terkait layanan berikut:
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**
### Izin peran terkait layanan untuk AWSService RoleForNetworkFlowMonitor
Network Flow Monitor menggunakan peran terkait layanan bernama. **AWSServiceRoleForNetworkFlowMonitor** Peran ini memungkinkan Network Flow Monitor untuk mempublikasikan metrik telemetri CloudWatch agregat yang dikumpulkan untuk lalu lintas jaringan antar instance, dan antara instance dan lokasi. AWS Ini juga memungkinkan layanan untuk digunakan AWS Organizations untuk mendapatkan informasi untuk skenario multi-akun.
Peran terkait layanan ini menggunakan kebijakan terkelola. `CloudWatchNetworkFlowMonitorServiceRolePolicy`
Untuk melihat izin kebijakan ini, lihat [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)di *Referensi Kebijakan AWS Terkelola*.
Peran terkait layanan **AWSServiceRoleForNetworkFlowMonitor** memercayai layanan berikut untuk mengambil peran tersebut:
+ `networkflowmonitor.amazonaws.com`
### Izin peran terkait layanan untuk AWSServiceRoleForNetworkFlowMonitor\$1Topology
Network Flow Monitor menggunakan peran terkait layanan bernama. **AWSServiceRoleForNetworkFlowMonitor\$1Topology** Peran ini memungkinkan Network Flow Monitor untuk menghasilkan snapshot topologi sumber daya yang Anda gunakan dengan Network Flow Monitor.
Peran terkait layanan ini menggunakan kebijakan terkelola. `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`
Untuk melihat izin kebijakan ini, lihat [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)di *Referensi Kebijakan AWS Terkelola*.
Peran terkait layanan **AWSServiceRoleForNetworkFlowMonitor\$1Topology** memercayai layanan berikut untuk mengambil peran tersebut:
+ `topology.networkflowmonitor.amazonaws.com`
## Membuat peran terkait layanan untuk Network Flow Monitor
Anda tidak perlu membuat peran terkait layanan untuk Network Flow Monitor secara manual. Pertama kali Anda menginisialisasi Network Flow Monitor, Network Flow Monitor membuat **AWSServiceRoleForNetworkFlowMonitor**dan **AWSServiceRoleForNetworkFlowMonitor\$1Topology**untuk Anda.
Untuk informasi selengkapnya, silakan lihat [Membuat peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*.
## Mengedit peran terkait layanan untuk Network Flow Monitor
Setelah Network Flow Monitor membuat peran terkait layanan di akun Anda, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Anda dapat mengedit deskripsi peran menggunakan IAM. Untuk informasi selengkapnya, silakan lihat [Menyunting peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk Network Flow Monitor
Jika Anda tidak lagi perlu menggunakan sebuah fitur atau layanan yang memerlukan sebuah peran terkait layanan, kami merekomendasikan Anda untuk menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Akan tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.
**catatan**
Jika layanan Network Flow Monitor menggunakan peran saat Anda mencoba menghapusnya, maka penghapusan mungkin gagal. Jika hal tersebut terjadi, tunggu beberapa menit lalu coba lagi.
**Untuk menghapus peran terkait layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus atau peran yang **AWSServiceRoleForNetworkFlowMonitor**ditautkan **AWSServiceRoleForNetworkFlowMonitor\$1Topology**layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Pembaruan pada peran terkait layanan Network Flow Monitor
Untuk pembaruan `CloudWatchNetworkFlowMonitorServiceRolePolicy` atau`CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`, kebijakan AWS terkelola untuk peran terkait layanan Network Flow Monitor, lihat [CloudWatch pembaruan kebijakan AWS terkelola](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates). Untuk peringatan otomatis tentang perubahan kebijakan terkelola CloudWatch, berlangganan umpan RSS di halaman [Riwayat CloudWatch dokumen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html).