Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Installa gli agenti Network Flow Monitor su EC2 e sulle istanze Kubernetes autogestite
Per fornire metriche prestazionali per i flussi di rete nei AWS carichi di lavoro, Network Flow Monitor si affida *agli agenti* installati dall'utente, che inviano le metriche a Network Flow Monitor. Installa gli agenti di Network Flow Monitor sulle tue istanze e quindi imposta le autorizzazioni corrette per gli agenti in modo che possano inviare le metriche al backend di Network Flow Monitor.
Un agente è un'applicazione software leggera che si installa sulle risorse, come le istanze VPC EC2. Gli agenti inviano regolarmente le metriche delle prestazioni al backend di Network Flow Monitor. Dopodiché, puoi visualizzare le metriche aggregate nella pagina **Informazioni sul carico di lavoro** nella console di Network Flow Monitor. Puoi anche tenere traccia delle metriche dettagliate per un flusso di rete specifico, o un insieme di flussi, creando un monitoraggio.
I passaggi da seguire per distribuire gli agenti nelle istanze dipendono dal tipo di istanza: istanze Amazon EKS Kubernetes, istanze VPC EC2 o istanze Kubernetes autogestite (non EKS).
+ Per informazioni sull'utilizzo di Amazon EKS, inclusa l'installazione di agenti su EKS, consulta[Lavora con EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.md).
+ Per informazioni sull'installazione degli agenti sulle istanze VPC EC2 e sulle istanze Kubernetes autogestite, consulta le sezioni di questo capitolo.
Puoi stabilire una connessione privata tra il tuo VPC e gli agenti di Network Flow Monitor utilizzando. AWS PrivateLink Per ulteriori informazioni, consulta [Utilizzo CloudWatch, CloudWatch Synthetics CloudWatch e monitoraggio della rete con endpoint VPC di interfaccia](cloudwatch-and-interface-VPC.md).
**Topics**
+ [Versioni Linux supportate per gli agenti Network Flow Monitor](CloudWatch-NetworkFlowMonitor-agents-versions.md)
+ [Installazione e gestione degli agenti per le istanze EC2](CloudWatch-NetworkFlowMonitor-agents-ec2.md)
+ [Installazione degli agenti per le istanze Kubernetes autogestite](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)
# Versioni Linux supportate per gli agenti Network Flow Monitor
Le istanze in cui si installano gli agenti devono eseguire versioni e distribuzioni supportate di Linux. Network Flow Monitor supporta l'esecuzione degli agenti solo su Linux e la versione del kernel Linux deve essere 5.8 o successiva. Sono supportate le seguenti distribuzioni Linux. Tieni presente che gli agenti sono testati per funzionare sulle versioni più recenti di queste distribuzioni.
+ Amazon Linux
+ Ubuntu
+ Red Hat
+ Suse Linux
+ Distribuzioni Debian sia per x86 sia per aarch64
# Installazione e gestione degli agenti per le istanze EC2
Segui la procedura riportata in questa sezione per installare gli agenti Network Flow Monitor per carichi di lavoro sulle istanze Amazon EC2. Puoi installare gli agenti utilizzando SSM o scaricando e installando pacchetti predefiniti per l'agente Network Flow Monitor utilizzando la riga di comando.
Indipendentemente dal metodo utilizzato per installare gli agenti sulle istanze EC2, è necessario configurare le autorizzazioni per gli agenti per consentire loro di inviare le metriche delle prestazioni al backend di Network Flow Monitor.
**Topics**
+ [Configurazione delle autorizzazioni per gli agenti](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)
+ [Agenti per le istanze EC2 con SSM](CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm.md)
+ [Download e installazione dell'agente](CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline.md)
# Configurazione delle autorizzazioni per gli agenti
Per consentire agli agenti di inviare metriche al backend di importazione di Network Flow Monitor, le istanze EC2 impiegate dagli agenti devono utilizzare un ruolo a cui è associata una policy con le autorizzazioni corrette. Per fornire le autorizzazioni richieste, utilizza un ruolo a cui è allegata la seguente politica AWS gestita: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Collega questa policy ai ruoli IAM delle istanze EC2 in cui prevedi di installare gli agenti Network Flow Monitor.
Si consiglia di aggiungere le autorizzazioni prima di installare gli agenti sulle istanze EC2. Puoi decidere di aspettare fino a dopo aver installato gli agenti, ma gli agenti non saranno in grado di inviare le metriche al servizio finché non saranno disponibili le autorizzazioni.
**Per aggiungere le autorizzazioni per gli agenti di Network Flow Monitor**
1. Nella console Amazon EC2 Console di gestione AWS, individua le istanze EC2 su cui intendi installare gli agenti Network Flow Monitor.
1. [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)Associa il ruolo IAM per ogni istanza.
Se a un'istanza non è associato un ruolo IAM, scegli un ruolo effettuando le seguenti operazioni:
1. In **Operazioni**, scegli **Sicurezza**.
1. Scegli **Modifica ruolo IAM** o crea un nuovo ruolo scegliendo **Crea nuovo ruolo IAM**.
1. Scegli un ruolo per l'istanza e allega la [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)policy.
# Installazione degli agenti su istanze EC2 con SSM
Gli agenti Network Flow Monitor forniscono metriche prestazionali sui flussi di rete. Segui i passaggi di questa sezione per installare e utilizzare gli agenti di Network Flow Monitor sulle istanze EC2, utilizzando. AWS Systems Manager Se usi Kubernetes, passa alle sezioni successive per informazioni sull'installazione di agenti con cluster Amazon EKS o cluster Kubernetes autogestiti.
Network Flow Monitor fornisce un pacchetto Distributor in Systems Manager che è possibile utilizzare per installare o disinstallare gli agenti. Inoltre, Network Flow Monitor fornisce un documento per attivare o disattivare gli agenti utilizzando il comando Document Type. Segui le procedure standard di Systems Manager per utilizzare il pacchetto e il documento oppure attieniti ai passaggi forniti qui per una guida dettagliata.
Per ulteriori informazioni generali sull'utilizzo di Systems Manager, consulta la seguente documentazione:
+ [AWS Systems Manager Esegui comando](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [AWS Systems Manager Distributore](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)
Completa i passaggi indicati nelle seguenti sezioni per configurare le autorizzazioni, installare e utilizzare gli agenti di Network Flow Monitor.
**Indice**
+ [Installazione o disinstallazione degli agenti](#CloudWatch-NetworkFlowMonitor-agents-ec2-install)
+ [Attivazione o disattivazione degli agenti](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)
## Installazione o disinstallazione degli agenti utilizzando Systems Manager
Network Flow Monitor fornisce un pacchetto di distribuzione AWS Systems Manager per installare gli agenti Network Flow Monitor: **AmazonCloudWatchNetworkFlowMonitorAgent**. Per accedere al pacchetto per l'installazione degli agenti ed eseguirlo, segui i passaggi indicati qui.
**Per installare gli agenti nelle istanze EC2**
1. Nel Console di gestione AWS, in, sotto **Node Tools AWS Systems Manager**, scegli **Distributore**.
1. In **Owned by Amazon**, individua il pacchetto Network Flow Monitor e selezionalo. **AmazonCloudWatchNetworkFlowMonitorAgent**
1. Nel flusso **Run Command**, scegli **Installa una sola volta** o **Installa nei tempi previsti**.
1. Nella sezione **Selezione del bersaglio**, scegli come vuoi selezionare le istanze EC2 su cui installare gli agenti. Puoi selezionare le istanze in base ai tag, scegliere le istanze manualmente o basare la scelta sui gruppi di risorse.
1. Nella sezione **Parametri di comando**, in **Operazione**, scegli **Installa**.
1. Scorri verso il basso, se necessario, quindi scegli **Esegui** per avviare l'installazione.
Se l'installazione ha esito positivo e le istanze dispongono delle autorizzazioni per accedere agli endpoint di Network Flow Monitor, l'agente inizierà a raccogliere le metriche e a inviare report al backend di Network Flow Monitor.
Gli agenti attivi (che inviano dati sulle metriche) sono soggetti a costi di fatturazione. Per ulteriori informazioni su Network Flow Monitor e CloudWatch sui prezzi di Amazon, consulta Network Monitoring nella pagina [ CloudWatch dei prezzi di Amazon](https://aws.amazon.com//cloudwatch/pricing/). Se non hai bisogno temporaneamente dei dati relativi alle metriche, puoi disattivare un agente. Per ulteriori informazioni, consulta [Attivazione o disattivazione degli agenti](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage). Se non hai più bisogno degli agenti Network Flow Monitor, puoi disinstallarli dalle istanze EC2.
**Per disinstallare gli agenti dalle istanze EC2**
1. Nel Console di gestione AWS, sotto **Node Tools AWS Systems Manager**, scegli **Distributor**.
1. In **Owned by Amazon**, individua il pacchetto Network Flow Monitor e selezionalo. **AmazonCloudWatchNetworkFlowMonitorAgent**
1. Nella sezione **Parametri di comando**, in **Operazione**, scegli **Disinstalla**.
1. Seleziona le istanze EC2 da cui disinstallare gli agenti.
1. Scorri verso il basso, se necessario, quindi scegli **Esegui** per avviare l'installazione.
## Attivazione o disattivazione degli agenti utilizzando Systems Manager
Dopo aver installato un agente Network Flow Monitor con SSM, è necessario attivarlo per ricevere le metriche del flusso di rete dall'istanza in cui è installato. Gli agenti attivi (che inviano dati sulle metriche) sono soggetti a costi di fatturazione. Per ulteriori informazioni su Network Flow Monitor e CloudWatch sui prezzi di Amazon, consulta Network Monitoring nella pagina [ CloudWatch dei prezzi di Amazon](https://aws.amazon.com//cloudwatch/pricing/). Se non hai bisogno temporaneamente dei dati relativi alle metriche, puoi disattivare un agente per evitare che continui a essere fatturato.
Network Flow Monitor fornisce un documento in AWS Systems Manager cui puoi utilizzare gli agenti di attivazione o disattivazione che hai installato sulle tue istanze EC2. Eseguendo questo documento per gestire gli agenti, puoi attivarli per iniziare a ricevere le metriche sulle prestazioni. In alternativa, puoi disattivarli per interrompere temporaneamente l'invio delle metriche, senza disinstallare gli agenti.
**Il documento in SSM che puoi utilizzare per attivare o disattivare gli agenti si chiama -. AmazonCloudWatch NetworkFlowMonitorManageAgent** Per accedere al documento ed eseguirlo, segui le fasi descritte nella procedura.
**Per attivare o disattivare gli agenti di Network Flow Monitor**
1. **Nella Console di gestione AWS sezione **Strumenti di gestione delle modifiche AWS Systems Manager**, scegli Documenti.**
1. In **Owned by Amazon**, individua il documento Network Flow MonitorNetworkFlowMonitorManageAgent, **AmazonCloudWatch-** e seleziona il documento.
1. Nella sezione **Selezione del bersaglio**, scegli come vuoi selezionare le istanze EC2 su cui installare gli agenti. Puoi selezionare le istanze in base ai tag, scegliere le istanze manualmente o basare la scelta sui gruppi di risorse.
1. Nella sezione **Parametri di comando**, in **Operazione**, scegli **Attiva** o **Disattiva**, a seconda dell'operazione che desideri intraprendere per gli agenti.
1. Scorri verso il basso, se necessario, quindi scegli **Esegui** per avviare l'installazione.
# Download dei pacchetti predefiniti dell'agente Network Flow Monitor utilizzando la riga di comando
Puoi utilizzare la riga di comando per installare l'agente Network Flow Monitor come pacchetto in Amazon Linux 2023 oppure scaricare e installare pacchetti predefiniti dell'agente Network Flow Monitor.
Prima o dopo aver scaricato il pacchetto, puoi eventualmente verificare la firma del pacchetto. Per ulteriori informazioni, consulta [Verifica della firma del pacchetto dell'agente Network Flow Monitor](#CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig).
Scegli tra le seguenti istruzioni, a seconda del sistema operativo Linux che stai utilizzando e del tipo di installazione che desideri.
**Amazon Linux AMIs**
L'agente Network Flow Monitor è disponibile come pacchetto in Amazon Linux 2023. Se utilizzi questo sistema operativo, puoi installare il pacchetto immettendo il seguente comando:
`sudo yum install network-flow-monitor-agent`
È inoltre necessario assicurarsi che il ruolo IAM associato all'istanza abbia la [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy)policy allegata. Per ulteriori informazioni, consulta [Configurazione delle autorizzazioni per gli agenti](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md).
**Amazon Linux 2023**
Installa il pacchetto per la tua architettura utilizzando uno dei seguenti comandi:
+ **x86\$164**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.rpm`
+ **ARM64 (Gravitone)**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm`
Verifica che l'agente Network Flow Monitor sia installato correttamente eseguendo il comando seguente e verificando che la risposta indichi che l'agente è abilitato e attivo:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
**Distribuzioni basate su DEB (Debian, Ubuntu)**
Installa il pacchetto per la tua architettura utilizzando uno dei seguenti comandi:
+ **x86\$164**: `wget https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.deb`
+ **ARM64 (Gravitone**): `wget https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb`
Installa il pacchetto utilizzando il seguente comando: `$ sudo apt-get install ./network-flow-monitor-agent.deb`
Verifica che l'agente Network Flow Monitor sia installato correttamente eseguendo il comando seguente e verificando che la risposta indichi che l'agente è abilitato e attivo:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
## Verifica della firma del pacchetto dell'agente Network Flow Monitor
I pacchetti di installazione dell'agente Network Flow Monitor rpm e deb per le istanze Linux sono firmati crittograficamente. È possibile utilizzare una chiave pubblica per verificare che il pacchetto dell'agente sia originale e non modificato. Se i file sono danneggiati o sono stati alterati, la verifica non va a buon fine. È possibile verificare la firma del pacchetto di installazione utilizzando RPM o GPG. Le seguenti informazioni sono relative all'agente Network Flow Monitor 0.1.3 o versioni successive.
Per trovare il file della firma corretto per ciascuna architettura e sistema operativo, consulta la tabella seguente.
| Architecture | Platform (Piattaforma) | Collegamento per il download | Collegamento al file di firma |
| --- | --- | --- | --- |
| x86-64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/network-flow-monitor-agentx86\$164/rpm | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .rpm.sig |
| ARM64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/arm64/.rpm network-flow-monitor-agent | https://networkflowmonitoragent.awsstatic.com/latest/network-flow-monitor-agentarm64/.rpm.sig |
| x86-64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .deb | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .deb.sig |
| ARM64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/arm64/.deb network-flow-monitor-agent | https://networkflowmonitoragent.awsstatic.com/latest/network-flow-monitor-agentarm64/.deb.sig |
Segui la procedura qui riportata per verificare la firma dell'agente Network Flow Monitor.
**Per verificare la firma dell'agente Network Flow Monitor per il pacchetto Amazon S3**
1. Installa GnuPG in modo da poter eseguire il comando gpg. Per verificare l'autenticità e l'integrità di un agente Network Flow Monitor scaricato per un pacchetto Amazon S3 è necessario GnuPG. GnuPG è installato di default su Amazon Linux Amazon Machine Images (). AMIs
1. Copia la seguente chiave pubblica e salvala in un file denominato `nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----
mQINBGf0b5IBEAC6YQc0aYrTbcHNWWMbLuqsqfspzWrtCvoU0yQ62ld7nvCGBha9
lu4lbhtiwoDawC3h6Xsxc3Pmm6kbMQfZdbo4Gda4ahf6zDOVI5zVHs3Yu2VXC2AU
5BpKQJmYddTb7dMI3GBgEodJY05NHQhq1Qd2ptdh03rsX+96Fvi4A6t+jsGzMLJU
I+hGEKGif69pJVyptJSibK5bWCDXh3eS/+vB/CbXumAKi0sq4rXv/VPiIhn6bsCI
A2lmzFd3vMJQUM/T7m7skrqetZ4mWHr1LPDFPK/H/81s8TJawx7MACsK6kIRUxu+
oicW8Icmg9S+BpIgONT2+Io5P1tYO5a9AyVF7X7gU0VgHUA1RoLnjHQHXbCmnFtW
cYEuwhUuENMl+tLQCZ+fk0kKjOlIKqeS9AVwhks92oETh8wpTwTE+DTBvUBP9aHo
S39RTiJCnUmA6ZCehepgpwW9AYCc1lHv/xcahD418E0UHV22qIw943EwAkzMDA4Q
damdRm0Nud0OmilCjo9oogEB+NUoy//5XgQMH1hhfsHquVLU/tneYexXYMfo/Iu5
TKyWL2KdkjKKP/dMR4lMAXYi0RjTJJ5tg5w/VrHhrHePFfKdYsgN6pihWwj2Px/M
ids3W1Ce50LOEBc2MOKXYXGd9OZWyR8l15ZGkySvLqVlRGwDwKGMC/nS2wARAQAB
tEJOZXR3b3JrIEZsb3cgTW9uaXRvciBBZ2VudCA8bmV0d29yay1mbG93LW1vbml0
b3ItYWdlbnRAYW1hem9uLmNvbT6JAlcEEwEIAEEWIQR2c2ypl63T6dJ3JqjvvaTM
vJX60QUCZ/RvkgIbAwUJBaOagAULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAK
CRDvvaTMvJX60euSD/9cIu2BDL4+MFFHhyHmG3/se8+3ibW0g8SyP3hsnq7qN+bm
ZzLAhll7DVoveNmEHI1VC7Qjwb30exgLcyK2Ld6uN6lwjjK0qiGGz943t230pJ3z
u7V2fVtAN+vgDVmD7agE6iqrRCWu3WfcgzFlEkE/7nkhtbWzlaK+NkdEBzNZ+W7/
FmLClzIbMjIBW2M8LdeZdQX0SWljy18x7NGNukWeNTJxmkDsjAeKl+zkXYk9h7ay
n3AVl1KrLZ5P9vQ5XsV5e4T6qfQ3XNY1lm54cpa+eD7NyYcTGRDK+vIxO4xD8i2M
yl1iNf2+84Tt6/SAgR/P9SJ5tbKD0iU9n4g1eBJVGmHDuXTtDR4H/Ur7xRSxtuMl
yZP/sLWm8p7+Ic7aQJ5OVw36MC7Oa7/K/zQEnLFFPmgBwGGiNiw5cUSyCBHNvmtv
FK0Q2XMXtBEBU9f44FMyzNJqVdPywg8Y6xE4wc/68uy7G6PyqoxDSP2ye/p+i7oi
OoA+OgifchZfDVhe5Ie0zKR0/nMEKTBV0ecjglb/WhVezEJgUFsQcjfOXNUBesJW
a9kDGcs3jIAchzxhzp/ViUBmTg6SoGKh3t+3uG/RK2ougRObJMW3G+DI7xWyY+3f
7YsLm0eDd3dAZG3PdltMGp0hKTdslvpws9qoY8kyR0Fau4l222JvYP27BK44qg==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Importa la chiave pubblica nel keyring e prendi nota del valore restituito.
```
PS> rpm --import nfm-agent.gpg
gpg: key 3B789C72: public key "Network Flow Monitor Agent" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
Prendere nota del valore della chiave poiché sarà necessario nella fase successiva. In questo esempio, il valore della chiave è `3B789C72`.
1. Verifica l'impronta digitale eseguendo il seguente comando: Assicurati di sostituirlo *key-value* con il valore del passaggio precedente. Si consiglia di utilizzare GPG per verificare l'impronta digitale anche se si utilizza RPM per verificare il pacchetto di installazione.
```
PS> gpg --fingerprint key-value
pub rsa4096 2025-04-08 [SC] [expires: 2028-04-07]
7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1
uid Network Flow Monitor Agent
```
La stringa dell'impronta deve essere uguale alla seguente:
`7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1`
Se la stringa dell'impronta non corrisponde, non installare l'agente. Contatta Amazon Web Services.
Dopo aver verificato l'impronta, puoi utilizzarla per verificare la firma del pacchetto dell'agente Network Flow Monitor.
1. Scarica il file della firma del pacchetto, se non lo hai ancora fatto, in base all'architettura e al sistema operativo dell'istanza.
1. Verificare la firma del pacchetto di installazione. Assicurati di sostituire `signature-filename` e `agent-download-filename` con i valori specificati durante il download del file di firma e dell'agente, come riportato nella tabella precedente in questo argomento.
```
PS> gpg --verify sig-filename agent-download-filename
gpg: Signature made Tue Apr 8 00:40:02 2025 UTC
gpg: using RSA key 77777777EXAMPLEKEY
gpg: issuer "network-flow-monitor-agent@amazon.com"
gpg: Good signature from "Network Flow Monitor Agent " [unknown]
gpg: WARNING: Using untrusted key!
```
Se l'output include la frase `BAD signature`, controlla di avere eseguito la procedura correttamente. Se continui a ottenere questa risposta, contatta il [Supporto AWS](https://aws.amazon.com/premiumsupport/) ed evita di utilizzare il file scaricato.
Prendi nota dell'avviso sulla trust. Una chiave è considerata attendibile solo se è stata firmata dall'utente o da un firmatario fidato. Questo non significa che la firma non sia valida, ma soltanto che la chiave pubblica non è stata verificata.
Quindi, segui i passaggi qui riportati per verificare il pacchetto RPM.
**Per verificare la firma del pacchetto RPM**
1. Copia la seguente chiave pubblica e salvala in un file denominato `nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Importa la chiave pubblica nel tuo keyring.
```
PS> rpm --import nfm-agent.gpg
```
1. Verificare la firma del pacchetto di installazione. Assicurati di sostituire `agent-download-filename` con il valore specificato durante il download dell'agente, come riportato nella tabella precedente in questo argomento.
```
PS> rpm --checksig agent-download-filename
```
Ad esempio, per l'architettura x86\$164 su Amazon Linux 2023, utilizza il comando seguente:
```
PS> rpm --checksig network-flow-monitor-agent.rpm
```
Questo comando restituisce un output simile al seguente.
```
network-flow-monitor-agent.rpm: digests signatures OK
```
Se l'output contiene la frase `NOT OK (MISSING KEYS: (MD5) key-id)`, controlla di avere eseguito la procedura correttamente. Se continui a ottenere questa risposta, contatta il [Supporto AWS](https://aws.amazon.com/premiumsupport/) e non installare l'agente.
# Installazione degli agenti per le istanze Kubernetes autogestite
Segui la procedura riportata in questa sezione per installare gli agenti Network Flow Monitor per carichi di lavoro su cluster Kubernetes autogestiti. Dopo aver completato i passaggi, i pod degli agenti di Network Flow Monitor verranno eseguiti su tutti i nodi del cluster Kubernetes autogestiti.
Se utilizzi Amazon Elastic Kubernetes Service (Amazon EKS), la procedura di installazione da seguire è riportata nella sezione seguente: [Installa il componente aggiuntivo EKS AWS Network Flow Monitor Agent](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md).
**Topics**
+ [Prima di iniziare](CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin.md)
+ [Download dei grafici Helm e installazione degli agenti](CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents.md)
+ [Configurazione delle autorizzazioni per consentire agli agenti di fornire metriche](CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions.md)
# Prima di iniziare
Prima di iniziare il processo di installazione, segui i passaggi di questa sezione per assicurarti che il tuo ambiente sia configurato per installare correttamente gli agenti sui cluster Kubernetes corretti.
**Verificare che la versione di Kubernetes sia supportata**
L'installazione dell'agente Network Flow Monitor richiede la versione 1.25 di Kubernetes o una versione più recente.
**Verificare di aver installato gli strumenti necessari**
Gli script utilizzati per questo processo di installazione richiedono l'installazione dei seguenti strumenti. Se gli strumenti non sono ancora stati installati, consulta i collegamenti forniti per ulteriori informazioni.
+ Il AWS Command Line Interface (CLI). Per ulteriori informazioni, consulta [Installazione o aggiornamento alla versione più recente di AWS Command Line Interface nella](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) Guida di AWS Command Line Interface riferimento.
+ Il gestore di pacchetti Helm. Per ulteriori informazioni, consulta [Installing Helm](https://helm.sh/docs/intro/install/) sul sito web di Helm.
+ Lo strumento a riga di comando `kubectl`; Per ulteriori informazioni, consulta [Install kubectl](https://kubernetes.io/docs/tasks/tools/#kubectl) sul sito web di Kubernetes.
+ La dipendenza dei comandi `make` di Linux. Per ulteriori informazioni, consulta il seguente post del blog: [Intro to make Linux Command: Installation and Usage](https://ioflood.com/blog/install-make-command-linux/). Ad esempio, esegui una delle seguenti operazioni:
+ Per distribuzioni basate su Debian, come Ubuntu, utilizza il seguente comando: `sudo apt-get install make`
+ Per distribuzioni basate su RPM, come CentOS, utilizza il seguente comando: `sudo yum install make`
**Assicuratevi di disporre di variabili di KubeConfig ambiente valide e configurate correttamente**
L'installazione dell'agente Network Flow Monitor utilizza lo strumento di gestione dei pacchetti Helm, che utilizza la variabile kubeconfig `$HELM_KUBECONTEXT` per determinare i cluster Kubernetes di destinazione con cui lavorare. Inoltre, tieni presente che quando Helm esegue gli script di installazione, per impostazione predefinita fa riferimento al file `~/.kube/config` standard. È possibile modificare le variabili dell'ambiente di configurazione, utilizzare un file di configurazione diverso (mediante aggiornamento di `$KUBECONFIG`) o definire il cluster di destinazione con cui si desidera lavorare (aggiornando `$HELM_KUBECONTEXT`).
**Creazione di un namespace Kubernetes di Network Flow Monitor**
L'applicazione Kubernetes dell'agente Network Flow Monitor installa le proprie risorse in un namespace specifico. Il namespace deve esistere affinché l'installazione abbia successo. Per garantire che il namespace richiesto sia disponibile, è possibile eseguire una delle seguenti operazioni:
+ Crea il namespace predefinito, `amazon-network-flow-monitor`, prima di iniziare.
+ Crea uno namespace diverso, quindi definiscilo nella variabile di ambiente `$NAMESPACE` quando esegui l'installazione per creare destinazioni.
# Download dei grafici Helm e installazione degli agenti
È possibile scaricare i grafici Helm dell'agente Network Flow Monitor dall'archivio AWS pubblico utilizzando il comando seguente. Assicurati di autenticarti prima con il tuo account. GitHub
`git clone https://github.com/aws/network-flow-monitor-agent.git`
Nella directory `./charts/amazon-network-flow-monitor-agent`, puoi trovare i grafici Helm dell'agente Network Flow Monitor e Makefile che contengono le destinazioni make di installazione utilizzate per l'installazione degli agenti. Gli agenti per Network Flow Monitor vengono installati utilizzando la seguente destinazione Makefile: `helm/install/customer`
Se desideri puoi personalizzare l'installazione, ad esempio nel modo seguente:
```
# Overwrite the kubeconfig files to use
KUBECONFIG= make helm/install/customer
# Overwrite the Kubernetes namespace to use
NAMESPACE= make helm/install/customer
```
Per verificare che i pod delle applicazioni Kubernetes per gli agenti Network Flow Monitor siano stati creati e distribuiti correttamente, verifica che lo stato sia `Running`. Puoi controllare lo stato degli agenti eseguendo il seguente comando: `kubectl get pods -o wide -A | grep amazon-network-flow-monitor`
# Configurazione delle autorizzazioni per consentire agli agenti di fornire metriche
Dopo aver installato gli agenti per Network Flow Monitor, è necessario consentire agli agenti di inviare le metriche di rete all'ingestione di Network Flow Monitor. APIs Gli agenti in Network Flow Monitor devono disporre dell'autorizzazione per accedere all'ingestione di Network Flow Monitor APIs in modo da poter fornire le metriche del flusso di rete che hanno raccolto per ogni istanza. Concedi questo accesso implementando ruoli IAM per gli account di servizio (IRSA).
Per consentire agli agenti di fornire metriche di rete a Network Flow Monitor, segui i passaggi riportati in questa sezione.
1. **Implementazione dei ruoli IAM per gli account di servizio**
I ruoli IAM per gli account di servizio (IRSA) forniscono la possibilità di gestire le credenziali per le applicazioni, analogamente al modo in cui i profili di istanza Amazon EC2 forniscono le credenziali alle istanze Amazon EC2. L'implementazione di IRSA è il metodo consigliato per fornire tutte le autorizzazioni richieste dagli agenti di Network Flow Monitor per accedere correttamente all'ingestione di Network Flow Monitor. APIs Per ulteriori informazioni, consulta [IAM roles for service accounts](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) nella Guida per l'utente di Amazon EKS.
Quando configuri gli IRSA per gli agenti Network Flow Monitor, utilizza le seguenti informazioni:
+ **ServiceAccount:** Quando definisci la tua policy di fiducia per i ruoli IAM, specifica. `ServiceAccount` `aws-network-flow-monitor-agent-service-account`
+ **Namespace:** per `namespace`, specifica `amazon-network-flow-monitor`.
+ **Implementazione delle credenziali temporanee:** quando configuri le autorizzazioni dopo aver implementato i pod degli agenti di Network Flow Monitor, aggiornando `ServiceAccount` con il tuo ruolo IAM, Kubernetes non implementa le credenziali del ruolo IAM. Per garantire che gli agenti di Network Flow Monitor acquisiscano le credenziali del ruolo IAM che hai specificato, devi eseguire un riavvio di `DaemonSet`. Ad esempio, utilizza un comando di questo genere:
`kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent`
1. **Verifica che l'agente Network Flow Monitor stia accedendo correttamente all'ingestione di Network Flow Monitor APIs**
È possibile verificare che la configurazione per gli agenti funzioni correttamente utilizzando i log HTTP 200 per i pod degli agenti di Network Flow Monitor. Innanzitutto, cerca un pod di agenti Network Flow Monitor, quindi cerca nei file di log per trovare le richieste HTTP 200 riuscite. Ad esempio, puoi eseguire le operazioni seguenti:
1. Individua il nome del pod dell'agente Network Flow Monitor. Ad esempio, puoi utilizzare il seguente comando:
```
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)
```
1. Archivia tutti i log HTTP relativi al nome del pod che hai individuato. Se hai cambiato il NAMESPACE, assicurati di utilizzare quello nuovo.
```
NAMESPACE=amazon-network-flow-monitor
kubectl logs $RANDOM_AGENT_POD_NAME -\-namespace ${NAMESPACE} | grep HTTP
```
Se l'accesso è stato concesso correttamente, dovresti visualizzare voci di log simili alle seguenti:
```
...
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679}
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}
```
Tieni presente che l'agente Network Flow Monitor pubblica report sul flusso di rete ogni 30 secondi, chiamando l' APIsingestione di Network Flow Monitor.