Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di Network Flow Monitor
Network Flow Monitor offre una visibilità quasi in tempo reale sulle prestazioni di rete per il traffico tra le risorse di elaborazione (Amazon EC2 e Amazon Elastic Kubernetes Service), il traffico verso altri servizi (Amazon S3 e Amazon DynamoDB) e il traffico AWS verso la periferia di un altro. Regione AWS Network Flow Monitor raccoglie dati da agenti software leggeri che installi sulle tue istanze. Questi agenti raccolgono statistiche sulle prestazioni dalle connessioni TCP e inviano questi dati al servizio di backend Network Flow Monitor, che calcola i principali contributori per ogni tipo di metrica.
Network Flow Monitor determina inoltre se AWS è la causa di un problema di rete rilevato e riporta le informazioni relative ai flussi di rete per i quali si sceglie di monitorare i dettagli.
È possibile visualizzare le informazioni sulle prestazioni di rete per i flussi di rete relativi alle risorse in un unico account oppure configurare Network Flow Monitor AWS Organizations per visualizzare le informazioni sulle prestazioni di più account in un'organizzazione, accedendo con un account di gestione o amministratore delegato.
Network Flow Monitor è destinato agli operatori di rete e agli sviluppatori di applicazioni che desiderano approfondimenti in tempo reale sulle prestazioni della rete. Nella console Network Flow Monitor in CloudWatch, puoi visualizzare i dati sulle prestazioni del traffico di rete delle tue risorse, aggregati dagli agenti e raggruppati in diverse categorie. Ad esempio, puoi visualizzare i dati relativi ai flussi tra zone di disponibilità o tra. VPCs Dopodiché, puoi creare monitoraggi per flussi specifici di cui desideri visualizzare maggiori dettagli o che intendi monitorare più da vicino nel tempo.
Utilizzando un monitoraggio, è possibile visualizzare rapidamente la perdita di pacchetti e la latenza delle connessioni di rete in un periodo di tempo specificato. Per ogni monitoraggio, Network Flow Monitor genera anche un indicatore di integrità della rete (NHI). Il valore NHI indica se si sono verificati problemi di AWS rete per i flussi di rete tracciati dal monitor durante il periodo di tempo che state valutando. Utilizzando le informazioni NHI, puoi decidere rapidamente se concentrare le attività di risoluzione dei problemi di rete su un problema di rete o sui problemi di AWS rete originati dai tuoi carichi di lavoro.
Per vedere un esempio di configurazione e utilizzo di Network Flow Monitor, consulta il seguente post sul blog: [Visualizzazione delle prestazioni di rete dei carichi di lavoro AWS Cloud con Network](https://aws.amazon.com/blogs/networking-and-content-delivery/visualizing-network-performance-of-your-aws-cloud-workloads-with-network-flow-monitor/) Flow Monitor.
# Che cos’è Network Flow Monitor?
Network Flow Monitor è una funzionalità di Amazon CloudWatch Network Monitoring. Network Flow Monitor utilizza agenti completamente gestiti che installi nei AWS carichi di lavoro per restituire parametri di prestazioni e disponibilità relativi ai flussi di rete. Utilizzando Network Flow Monitor, è possibile accedere a metriche quasi in tempo reale, comprese le ritrasmissioni e il trasferimento dei dati, per i tuoi carichi di lavoro effettivi. Puoi anche identificare se si è verificato un problema di AWS rete sottostante per i flussi di rete tracciati da un monitor, controllando i valori dell'indicatore di integrità della rete (NHI).
**Funzionalità principali di Network Flow Monitor**
+ Con Network Flow Monitor, ricevi metriche quasi in tempo reale per la latenza e la perdita di pacchetti subite dal traffico basato su TCP all'interno della tua rete VPC, in modo da poter monitorare e analizzare i problemi di rete per il traffico del carico di lavoro.
+ Quando i AWS carichi di lavoro subiscono un deterioramento della rete, Network Flow Monitor consente di determinare se il problema è causato dal carico di lavoro dell'applicazione o dall'infrastruttura sottostante. AWS Questo ti permette di concentrare rapidamente gli sforzi di risoluzione dei problemi sull'area interessata dal problema.
**Come utilizzare Network Flow Monitor**
Con Network Flow Monitor, installi sulle tue istanze degli agenti leggeri che raccolgono e aggregano le metriche delle prestazioni. Gli agenti Network Flow Monitor analizzano il traffico TCP e quindi esportano le metriche delle prestazioni nel backend del servizio Network Flow Monitor.
Gli agenti raccolgono le seguenti metriche per i carichi di lavoro: tempo di andata e ritorno (RTT) TCP, timeout di ritrasmissione TCP, ritrasmissioni TCP e dati (byte) trasferiti. Dopo l'installazione sulle istanze, gli agenti rilevano i carichi di lavoro corrispondenti ospitati dalle istanze. Successivamente, gli agenti generano le metriche delle prestazioni e le inviano al backend di Network Flow Monitor. Le metriche sono aggregate in categorie come sottoreti, zone di disponibilità e servizi. VPCs AWS
Le metriche delle prestazioni per i collaboratori principali (per tipo di metrica) di tutti i flussi di rete inclusi nell'ambito del Network Flow Monitor sono mostrate nella scheda **Informazioni sul carico di lavoro** nella Console di gestione AWS. Esaminando le tabelle e i grafici dei collaboratori principali, puoi stabilire dove potrebbero esserci problemi che desideri risolvere e quali carichi di lavoro desideri monitorare su base continuativa creando un monitoraggio.
Con un monitoraggio, è possibile monitorare più da vicino carichi di lavoro specifici nel tempo e visualizzare informazioni dettagliate su flussi di rete specifici. Oltre a visualizzare le metriche delle prestazioni relative ai collaboratori principali per i flussi di rete selezionati, puoi visualizzare le informazioni sul percorso di rete con gli hop di rete attraversati da un flusso di rete per risolvere più facilmente i problemi. Inoltre, Network Flow Monitor genera un indicatore di integrità della rete (NHI) per i monitoraggi. Un valore NHI di **Degraded** indica che si sono verificati problemi di AWS rete per almeno uno dei flussi di rete tracciati dal monitor, durante il periodo di tempo selezionato.
Oltre a esaminare le informazioni contenute nei monitoraggi che crei, ti consigliamo di controllare regolarmente questa pagina per esaminare le metriche sulla pagina **Informazioni sul carico di lavoro**, al fine di conoscere i collaboratori principali più recenti alle metriche delle prestazioni per i flussi di rete. Mentre esamini le informazioni più recenti, valuta se sarebbe utile aggiungere o rimuovere carichi di lavoro dai monitoraggi attuali o crearne di nuovi.
**Topics**
+ [Supportato Regioni AWS](CloudWatch-NetworkFlowMonitor-Regions.md)
+ [Componenti](CloudWatch-NetworkFlowMonitor-components.md)
+ [Come funziona](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)
+ [Prezzi](CloudWatch-NetworkFlowMonitor.pricing.md)
# Supportato Regioni AWS per Network Flow Monitor
Network Flow Monitor è attualmente disponibile nelle seguenti versioni Regioni AWS:
| Nome Regione | Regione |
| --- | --- |
| Asia Pacifico (Mumbai) | ap-south-1 |
| Asia Pacifico (Osaka-Locale) | ap-northeast-3 |
| Asia Pacifico (Seoul) | ap-northeast-2 |
| Asia Pacific (Singapore) | ap-southeast-1 |
| Asia Pacific (Sydney) | ap-southeast-2 |
| Asia Pacific (Tokyo) | ap-northeast-1 |
| Canada (Central) | ca-central-1 |
| Europa (Francoforte) | eu-central-1 |
| Europe (Ireland) | eu-west-1 |
| Europe (London) | eu-west-2 |
| Europe (Paris) | eu-west-3 |
| Europe (Stockholm) | eu-north-1 |
| South America (São Paulo) | sa-east-1 |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 |
| Stati Uniti orientali (Ohio) | us-east-2 |
| Stati Uniti occidentali (California settentrionale) | us-west-1 |
| US West (Oregon) | us-west-2 |
# Componenti e caratteristiche di Network Flow Monitor
Network Flow Monitor utilizza o fa riferimento ai seguenti concetti.
**Agents (Agenti)**
Un *agente* in Network Flow Monitor è un'applicazione software che installi sulle tue risorse di AWS elaborazione (Amazon EC2 e Amazon EKS). L'applicazione è costituita da due parti:
+ La prima parte riceve eventi relativi alle connessioni TCP ed è registrata nel kernel Linux utilizzando eBPF. eBPF è la funzionalità Berkley Packet Filter (eBPF) estesa per Linux che consente a un programma designato di ricevere determinati eventi generati dal kernel Linux.
+ La seconda parte aggrega le statistiche raccolte dalla parte eBPF. L'agente invia le metriche aggregate al backend di Network Flow Monitor ogni 30 secondi circa, con un jitter potenziale di 5 secondi (in altre parole, da 25 a 35 secondi).
Per ulteriori informazioni sugli agenti, consulta [Come funziona](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md).
**Collaboratori principali**
I *collaboratori principali* sono i flussi di rete che hanno i valori più alti per una metrica specifica (come le ritrasmissioni) nell'ambito del Network Flow Monitor o tra i flussi di rete che stai monitorando in un monitoraggio. Esaminare i flussi che riportano i valori più alti per le misurazioni delle metriche delle prestazioni può aiutarti a individuare le aree dove potrebbero esserci problemi da approfondire. Network Flow Monitor restituisce le metriche delle prestazioni per i collaboratori principali nell'ambito del monitoraggio per ottenere *informazioni dettagliate sul carico di lavoro*. Inoltre, se crei un monitoraggio, Network Flow Monitor restituisce le metriche delle prestazioni per i collaboratori principali per i flussi di rete che scegli per il monitoraggio.
**Risorse locali e remote**
Una *risorsa locale* è la posizione dell'host, o una posizione di più host, in cui è installato un agente Network Flow Monitor. Può essere una sottorete, un VPC, una zona di disponibilità, un cluster Amazon EKS o un. Regione AWS Ad esempio, consideriamo un carico di lavoro che consiste in un'interazione tra un servizio web e un database di backend, ad esempio DynamoDB. In questo scenario, la risorsa locale è la sottorete dell'istanza EC2 che ospita il servizio web, che esegue anche l'agente. Un flusso di rete è in genere direzionale, sebbene possa essere configurato per essere bidirezionale.
Una *risorsa remota* è l'altra estremità di un flusso di rete. In questo esempio di servizio web con un database di backend, DynamoDB è la risorsa remota. Una risorsa remota può essere una sottorete, un VPC, una zona di disponibilità, AWS un servizio o un. Regione AWS Se si specifica una Regione come risorsa remota, Network Flow Monitor misura le prestazioni del flusso di rete fino all'edge della Regione. Non misura le prestazioni rispetto a endpoint specifici all'interno della Regione.
Una risorsa è identificata dall'ARN della risorsa, dal nome del servizio AWS o, per una zona o Regione di disponibilità, dal nome della zona o della Regione.
**Informazioni sul carico di lavoro**
*Informazioni sul carico di lavoro* include le metriche delle prestazioni restituite per tutti i flussi di rete del tuo ambito. Nella Console di gestione AWS pagina **Workload Insights** sono disponibili dati sulle prestazioni relativi ai carichi di lavoro in cui sono stati installati agenti di Network Flow Monitor su istanze di carico di lavoro. La pagina **Informazioni sul carico di lavoro** fornisce una visualizzazione delle applicazioni che include la quantità di dati trasferiti e diverse altre metriche, raggruppate in categorie di carichi di lavoro. Ad esempio, puoi visualizzare tutte le metriche per i carichi di lavoro con traffico tra zone di disponibilità () AZs o all'interno di una zona di disponibilità. Utilizzando queste informazioni, puoi selezionare i carichi di lavoro per i quali desideri creare un monitoraggio per visualizzare maggiori dettagli e monitorare le prestazioni della rete su base continuativa.
**Monitoraggi**
Crea un *monitoraggio* per poter monitorare, su base continuativa, le prestazioni della rete per uno o più carichi di lavoro specifici e visualizzare informazioni più dettagliate sui flussi di rete. Per ogni monitor, Network Flow Monitor pubblica metriche end-to-end sulle prestazioni e un indicatore dello stato della rete (NHI), che puoi utilizzare per determinare l'attribuzione delle problematiche. Ti consigliamo di esaminare le informazioni sulla pagina **Informazioni sul carico di lavoro** per stabilire su quali flussi di rete vuoi concentrarti e quindi di creare un monitoraggio per tali flussi. Quindi, esaminando regolarmente **Informazioni sul carico di lavoro**, puoi decidere se disponi dei monitoraggi necessari o se è utile crearne di nuovi.
**Indicatore di integrità della rete (NHI)**
L'*indicatore di integrità della rete* (NHI) è un valore binario che indica se si sono verificati problemi di AWS rete per uno o più flussi di rete tracciati da un monitor, durante un periodo di tempo scelto dall'utente. Quando il valore NHI è 1 o **Degraded**, si è verificato un problema di rete per almeno un AWS flusso di rete. Con l'indicatore NHI, puoi decidere rapidamente se concentrare le attività di risoluzione dei problemi di rete su un problema di rete o sui problemi di AWS rete originati dai tuoi carichi di lavoro.
Per ulteriori informazioni, consulta [Visualizza le metriche di Network Flow Monitor in CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).
**Scope**
In Network Flow Monitor, l'*ambito* è l'account o gli account per i quali è possibile osservare gli indicatori delle prestazioni della rete. Se accedi come account di gestione e configuri AWS Organizations con CloudWatch, puoi impostare l'ambito su più di un account dell'organizzazione (fino a 100 account in totale). Altrimenti, se accedi con un utente Account AWS che non dispone delle autorizzazioni di gestione in Organizations o se non hai configurato Organizations with CloudWatch, Network Flow Monitor imposta l'ambito sull'account con cui hai effettuato l'accesso.
Dopo aver configurato Organizations, puoi modificare l'ambito aggiungendo o rimuovendo account. Tuttavia, ogni volta che si modifica l'ambito, Network Flow Monitor deve creare una nuova topologia delle risorse nell'ambito. Per ulteriori informazioni, consulta [Aggiunta di più account al proprio ambito](CloudWatch-NetworkFlowMonitor-multi-account.md#CloudWatch-NetworkFlowMonitor-multi-account.config-scope).
Network Flow Monitor genera un **ID di ambito** univoco per l'ambito. Le query relative ai dati delle metriche utilizzano l'ID dell'ambito per determinare le risorse per le quali Network Flow Monitor genera le metriche. È necessario installare degli agenti per raccogliere e inviare i dati delle metriche prima di poter visualizzare le metriche delle prestazioni per un account con Network Flow Monitor.
**ID di query**
Network Flow Monitor genera un *ID di query* univoco per ogni query creata per recuperare i dati sulle metriche delle prestazioni, ad esempio una query per i collaboratori principali di un monitoraggio. Utilizzando un ID di query con una chiamata API in Network Flow Monitor, è possibile controllare lo stato di una query, interrompere una query, eseguirla nuovamente o utilizzare la query in altri modi.
**Metriche delle prestazioni**
Network Flow Monitor raccoglie e calcola end-to-end *le metriche delle prestazioni*, tra cui il tempo di andata e ritorno TCP (RTT), le ritrasmissioni TCP, i timeout di ritrasmissione TCP e i byte trasferiti per ogni flusso compreso nell'ambito di Network Flow Monitor. Il servizio aggrega queste metriche e le restituisce al backend del servizio. Puoi visualizzare i collaboratori principali per tipo di metrica. Quando rilevi un'anomalia in Network Flow Monitor, puoi anche controllare l'indicatore di integrità della rete (NHI) per vedere se c'è un problema di rete sottostante. AWS
Tieni presente che i dati RTT possono essere scarsi perché non sempre il valore RTT viene calcolato.
Puoi anche utilizzare CloudWatch le funzionalità di Amazon per creare dashboard, allarmi e notifiche in base a questi parametri. Ad esempio, puoi imparare a configurare gli allarmi con le metriche di Network Flow Monitor esaminando le informazioni in [Creazione di allarmi con Network Flow Monitor](CloudWatch-NetworkFlowMonitor-create-alarm.md).
# Come funziona
Questa sezione fornisce informazioni su diversi aspetti del funzionamento di Network Flow Monitor.
**In che modo gli agenti di Network Flow Monitor raccolgono le statistiche**
Gli agenti in Network Flow Monitor vengono installati su risorse di AWS elaborazione (Amazon EC2 e Amazon EKS), dove raccolgono i parametri delle prestazioni e li inviano al backend Network Flow Monitor. Gli agenti non hanno accesso al payload delle connessioni TCP. Gli agenti ricevono dal kernel Linux solo la struttura cosiddetta “bpf\$1sock\$1ops”. Questa struttura fornisce l'indirizzo IP locale e remoto e la porta TCP di origine e destinazione, oltre a contatori e tempi di andata e ritorno. Per un elenco delle statistiche TCP raccolte e pubblicate dall'agente, consulta [Visualizza le metriche di Network Flow Monitor in CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).
L'agente utilizza l'API `Publish` di Network Flow Monitor per inviare metriche al server backend di Network Flow Monitor.
*Nota:* Network Flow Monitor supporta fino a circa 5 milioni di flussi al minuto. Si tratta di circa 5.000 istanze (nodi Amazon EC2 e Amazon EKS) con agente NFM installato. L'installazione di agenti su più di 5000 istanze può influire sul monitoraggio delle prestazioni fino a quando non sarà disponibile capacità aggiuntiva.
**Come vengono classificati i flussi di rete in Network Flow Monitor**
Network Flow Monitor classifica i flussi di rete in classificazioni a seconda di dove i flussi hanno origine e dove terminano.
# Prezzi di Network Flow Monitor
Con Network Flow Monitor, non sono previsti costi iniziali o impegni a lungo termine. I prezzi di Network Flow Monitor hanno due componenti: le risorse monitorate (agenti installati e invio attivo dei dati) e CloudWatch le metriche vendute. Tieni presente che ti vengono addebitati anche CloudWatch prezzi standard per eventuali metriche, dashboard, allarmi o approfondimenti aggiuntivi che crei.
Per ulteriori informazioni su Network Flow Monitor e CloudWatch sui prezzi di Amazon, consulta Network Monitoring nella pagina [ CloudWatch dei prezzi di Amazon](https://aws.amazon.com//cloudwatch/pricing/).
# Guida introduttiva a Network Flow Monitor
Per iniziare a utilizzare il servizio, la sezione fornisce una panoramica di alto livello dei passaggi per configurare Network Flow Monitor e successivamente ottenere informazioni dettagliate. Per i dettagli, consulta le sezioni aggiuntive di questa guida sull'inizializzazione di Network Flow Monitor, sulla distribuzione di agenti e sulla creazione di monitor.
+ Inizializza Network Flow Monitor, accetta le autorizzazioni di ruolo collegate ai servizi, crea un *ambito* per il monitoraggio in Network Flow Monitor e successivamente una topologia iniziale. Se desideri osservare le prestazioni di rete per i flussi di rete per le istanze in più account, devi eseguire l'integrazione con AWS Organizations e quindi aggiungere gli account all'ambito. Per ulteriori informazioni, consulta [Inizializzazione di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-begin.md).
+ Implementa *gli agenti* sulle tue istanze, utilizzando AWS Systems Manager o configurando Kubernetes, a seconda di come vengono distribuite le risorse. Se installi agenti su istanze VPC EC2, assicurati di abilitare le autorizzazioni per gli agenti su ciascuna istanza per inviare metriche al backend di Network Flow Monitor. Per ulteriori informazioni, consulta [Installa gli agenti Network Flow Monitor su EC2 e sulle istanze Kubernetes autogestite](CloudWatch-NetworkFlowMonitor-agents.md).
+ Consulta le metriche dei collaboratori principali per i flussi di rete restituiti dagli agenti per ottenere *informazioni dettagliate sui carichi di lavoro*. Le informazioni sul carico di lavoro forniscono una visione di alto livello delle prestazioni dei flussi di rete nell'ambito che stai monitorando.
+ In base ai flussi di rete sui quali desideri visualizzare informazioni dettagliate sulla rete, crea uno o più *monitoraggi*. Per ogni monitoraggio, specifica le risorse locali e remote tra cui monitorare i flussi di rete. Utilizzando un monitoraggio, puoi visualizzare metriche e informazioni dettagliate, incluso l'indicatore di integrità della rete, nonché visualizzare i percorsi di rete per flussi di rete specifici, nei periodi di tempo selezionati.
+ A cadenza regolare:
+ Esamina le informazioni sul flusso di rete nei monitoraggi che hai creato per saperne di più e risolvere più facilmente i problemi di rete nei tuoi carichi di lavoro.
+ Esamina le informazioni sul carico di lavoro per i flussi di rete che stai monitorando per determinare se i monitoraggi che hai creato coprono i flussi di rete più pertinenti o se sarebbe utile crearne altri.
# Operazioni dell'API Network Flow Monitor
La tabella seguente elenca le operazioni dell'API Network Flow Monitor che è possibile utilizzare con Network Flow Monitor. La tabella include anche collegamenti alla documentazione pertinente.
| Azione | Operazione API | Ulteriori informazioni |
| --- | --- | --- |
| Crea un monitoraggio del flusso. | Consulta [CreateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateMonitor.html). | Consulta la sezione [Creazione di un monitoraggio in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md) |
| Genera metriche per un ambito di risorse. | Consulta [CreateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateScope.html). | Consulta la sezione [Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Rimuovi un monitoraggio. | Consulta [DeleteMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteMonitor.html). | Consulta la sezione [Eliminazione di un monitoraggio in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| Elimina un ambito definito. | Consulta [DeleteScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteScope.html). | Consulta la sezione [Eliminazione di un monitoraggio in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| Ottieni informazioni su un monitor. | Consulta [GetMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetMonitor.html). | Consulta la sezione [Monitoraggio e analisi dei flussi di rete con un monitoraggio Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Ottieni i dati delle query per i collaboratori principali in un monitoraggio specifico. | Consulta [GetQueryResultsMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsMonitorTopContributors.html). | Consulta la sezione [Monitoraggio e analisi dei flussi di rete con un monitoraggio Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Interroga i collaboratori principali in un ambito specifico per ottenere informazioni sul carico di lavoro. | Consulta [GetQueryResultsWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributors.html). | Consulta la sezione [Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Interroga i dati delle informazioni sul carico di lavoro per i collaboratori principali in un ambito specifico. | Consulta [GetQueryResultsWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributorsData.html). | Consulta la sezione [Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Controlla lo stato di una query per i collaboratori principali in un monitoraggio per assicurarti che abbia avuto esito positivo prima di esaminare i risultati. | Per informazioni, consultare [GetQueryStatusMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusMonitorTopContributors.html). | N/D |
| Controlla lo stato di una query sulle informazioni sul carico di lavoro per i collaboratori principali per assicurarti che abbia avuto esito positivo prima di esaminare i risultati. | Per informazioni, consultare [GetQueryStatusWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributors.html). | N/D |
| Controlla lo stato di una query sui dati delle informazioni sul carico di lavoro per i collaboratori principali per assicurarti che abbia avuto esito positivo prima di esaminare i risultati. | Per informazioni, consultare [GetQueryStatusWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributorsData). | N/D |
| Ottieni informazioni su un account o un ambito, tra cui nome, stato, tag e dettagli della destinazione. | Consulta [GetScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetScope). | Consulta la sezione [Monitoraggio e analisi dei flussi di rete con un monitoraggio Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Elenca tutti i monitoraggi di un account. | Per informazioni, consultare [ListMonitors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListMonitors). | [Monitoraggio e analisi dei flussi di rete con un monitoraggio Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Elenca tutti gli ambiti per un account. | Per informazioni, consultare [ListScopes](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListScopes). | N/D |
| Elenca tutti i tag per una risorsa specifica. | Consulta [ListTagsForResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListTagsForResource). | Consulta la sezione [Monitoraggio e analisi dei flussi di rete con un monitoraggio Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Visualizza i dati delle query per i collaboratori principali in un monitoraggio. | Consulta [StartQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryMonitorTopContributors). | Consulta la sezione [Monitoraggio e analisi dei flussi di rete con un monitoraggio Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Avvia una query per ottenere dati delle informazioni sul carico di lavoro per i collaboratori principali. | Consulta [StartQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryWorkloadInsightsTopContributors). | Consulta la sezione [Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Interrompi una query per i collaboratori principali in un monitoraggio. | Per informazioni, consultare [StopQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryMonitorTopContributors). | N/D |
| Interrompi una query sui dati delle informazioni sul carico di lavoro per i collaboratori principali. | Per informazioni, consultare [StopQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributors). | N/D |
| Interrompi una query sui dati delle informazioni sul carico di lavoro per i collaboratori principali. | Per informazioni, consultare [StopQueryWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributorsData). | N/D |
| Aggiunge un tag a una risorsa. | Consulta [TagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_TagResource). | Consulta la sezione [Modifica di un monitoraggio in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Rimuovi un tag da una risorsa. | Consulta [UntagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UntagResource). | Consulta la sezione [Modifica di un monitoraggio in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Aggiorna un monitoraggio per aggiungere o rimuovere risorse locali o remote. | Consulta [UpdateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateMonitor). | Consulta la sezione [Modifica di un monitoraggio in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Modifica un ambito per aggiungere o rimuovere risorse per le quali Network Flow Monitor genererà le metriche. | Per informazioni, consultare [UpdateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateScope). | N/D |
# Esempi di utilizzo della CLI con Network Flow Monitor
Questa sezione include esempi per l'utilizzo delle operazioni AWS Command Line Interface con Network Flow Monitor.
Prima di iniziare, assicurati di accedere per utilizzare il AWS CLI con l' AWS account che fornisce l'ambito che desideri utilizzare per monitorare i flussi di rete. Per ulteriori informazioni sull'utilizzo delle operazioni API con Network Flow Monitor, consulta la [Guida di riferimento all'API Network Flow Monitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).
**Topics**
+ [Creazione di un monitoraggio](#CloudWatch-NFM-get-started-CLI-create-monitor)
+ [Visualizzazione dei dettagli di un monitoraggio](#CloudWatch-NFM-get-started-CLI-mon-details)
+ [Creazione di un ambito](#CloudWatch-NFM-get-started-CLI-create-scope)
+ [Eliminazione di un monitor](#CloudWatch-NFM-get-started-CLI-delete-monitor)
+ [Elimina un ambito](#CloudWatch-NFM-get-started-CLI-delete-scope)
+ [Acquisizione di informazioni su un monitor](#CloudWatch-NFM-get-started-CLI-get-monitor)
+ [Recupero di dati su query specifiche](#CloudWatch-NFM-get-started-CLI-get-query-results)
+ [Visualizzazione delle informazioni sull'ambito](#CloudWatch-NFM-get-scope)
+ [Visualizzazione di un elenco dei monitoraggi per un account](#CloudWatch-NFM-list-monitors)
+ [Visualizzazione di un elenco degli ambiti per un account](#CloudWatch-NFM-list-scopes)
+ [Visualizzazione dell'elenco dei tag per un monitor](#CloudWatch-NFM-list-tags-for-resource)
+ [Avvio e arresto delle query](#CloudWatch-NFM-query-monitors)
+ [Aggiunta di un tag a un monitoraggio](#CloudWatch-NFM-tag-resource)
+ [Rimozione di un tag da un monitoraggio](#CloudWatch-NFM-untag-resource)
+ [Aggiornamento di un monitoraggio esistente](#CloudWatch-NFM-update-monitor)
## Creazione di un monitoraggio
Per creare un monitor con AWS CLI, usa il `create-monitor` comando. Nell'esempio seguente, viene creato un monitoraggio denominato `demo` nell'account specificato.
```
aws networkflowmonitor create-monitor \
--monitor-name demo \
--local-resources type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889" \
--scope-arn arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-44556677889
```
Output:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/demo",
"monitorName": "demo",
"monitorStatus": "ACTIVE",
"tags": {}
}
```
Per ulteriori informazioni, consulta [Creazione di un monitoraggio in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md).
## Visualizzazione dei dettagli di un monitoraggio
Per visualizzare le informazioni su un monitor con AWS CLI, utilizzare il `get-monitor` comando.
```
aws networkflowmonitor get-monitor --monitor-name "TestMonitor"
```
Output:
```
{
"ClientLocationType": "city",
"CreatedAt": "2022-09-22T19:27:47Z",
"ModifiedAt": "2022-09-22T19:28:30Z",
"MonitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/TestMonitor",
"MonitorName": "TestMonitor",
"ProcessingStatus": "OK",
"ProcessingStatusInfo": "The monitor is actively processing data",
"Resources": [
"arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
],
"MaxCityNetworksToMonitor": 10000,
"Status": "ACTIVE"
}
```
## Creazione di un ambito
Nell'esempio seguente, `create-scope` crea un ambito corrispondente a un insieme di risorse per le quali Network Flow Monitor genererà delle metriche del traffico di rete.
```
aws networkflowmonitor create-scope \
--targets '[{"targetIdentifier":{"targetId":{"accountId":"111122223333"},"targetType":"ACCOUNT"},"region":"us-east-1"}]'
```
Output:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "IN_PROGRESS",
"tags": {}
}
```
Per ulteriori informazioni, consulta [Componenti e caratteristiche di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Eliminazione di un monitor
Nell'esempio seguente, `delete-monitor` elimina un monitoraggio denominato `Demo` nell'account.
```
aws networkflowmonitor delete-monitor \
--monitor-name Demo
```
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta [Eliminazione di un monitoraggio in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md).
## Elimina un ambito
Nell'esempio seguente, `delete-scope` elimina l'ambito specificato.
```
aws networkflowmonitor delete-scope \
--scope-id sample-aaaa-bbbb-cccc-44556677889
```
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta [Componenti e caratteristiche di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Acquisizione di informazioni su un monitor
Nell'esempio seguente, `get-monitor` visualizza le informazioni sul monitoraggio denominato `demo` nell'account specificato.
```
aws networkflowmonitor get-monitor \
--monitor-name Demo
```
Output:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"localResources": [
{
"type": "AWS::EC2::VPC",
"identifier": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
],
"remoteResources": [],
"createdAt": "2024-12-09T12:21:51.616000-06:00",
"modifiedAt": "2024-12-09T12:21:55.412000-06:00",
"tags": {}
}
```
Per ulteriori informazioni, consulta [Componenti e caratteristiche di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Recupero di dati su query specifiche
Le sezioni seguenti forniscono esempi di comandi della CLI per recuperare gli stati delle query.
### get-query-results-workload-insights-top-contributors-data
Nell'esempio, `get-query-results-workload-insights-top-contributors-data` restituisce i dati per la query specificata.
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Output:
```
{
"datapoints": [
{
"timestamps": [
"2024-12-09T19:00:00+00:00",
"2024-12-09T19:05:00+00:00",
"2024-12-09T19:10:00+00:00"
],
"values": [
259943.0,
194856.0,
216432.0
],
"label": "use1-az6"
}
],
"unit": "Bytes"
}
```
### get-query-results-workload-insights-top-contributors
L’esempio `get-query-results-workload-insights-top-contributors` seguente restituisce i dati per la query specificata.
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Output:
```
{
"topContributors": [
{
"accountId": "111122223333",
"localSubnetId": "subnet-SAMPLE1111",
"localAz": "use1-az6",
"localVpcId": "vpc-SAMPLE2222",
"localRegion": "us-east-1",
"remoteIdentifier": "",
"value": 333333,
"localSubnetArn": "arn:aws:ec2:us-east-1:111122223333:subnet/subnet-2222444455556666",
"localVpcArn": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
]
}
```
### get-query-status-monitor-contributori principali
L’esempio `get-query-status-monitor-top-contributors` seguente visualizza lo stato corrente della query nell’account specificato.
```
aws networkflowmonitor get-query-status-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
Output:
```
{
"status": "SUCCEEDED"
}
```
### get-query-status-workload-insights-top-contributors-data
L’esempio `get-query-status-workload-insights-top-contributors-data` seguente visualizza lo stato corrente della query nell’account specificato.
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Output:
```
{
"status": "SUCCEEDED"
}
```
### get-query-results-workload-insights-top-contributors
L’esempio `get-query-results-workload-insights-top-contributors` seguente visualizza lo stato corrente della query nell’account specificato.
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Output:
```
{
"status": "SUCCEEDED"
}
```
Per ulteriori informazioni, consulta [Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
## Visualizzazione delle informazioni sull'ambito
Nell'esempio seguente, `get-scope` mostra informazioni su un ambito, come lo stato, i tag, il nome e i dettagli della destinazione.
```
aws networkflowmonitor get-scope \
--scope-id sample-aaaa-bbbb-cccc-11112222333
```
Output:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333",
"targets": [
{
"targetIdentifier": {
"targetId": {
"accountId": "111122223333"
},
"targetType": "ACCOUNT"
},
"region": "us-east-1"
}
],
"tags": {}
}
```
Per ulteriori informazioni, consulta [Componenti e caratteristiche di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Visualizzazione di un elenco dei monitoraggi per un account
Nell'esempio seguente, `list-monitors` restituisce tutti i monitoraggi dell'account specificato.
```
aws networkflowmonitor list-monitors
```
Output:
```
{
"monitors": [
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE"
}
]
}
```
Per ulteriori informazioni, consulta [Componenti e caratteristiche di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Visualizzazione di un elenco degli ambiti per un account
Nell'esempio seguente, `list-scopes` elenca tutti gli ambiti nell'account specificato.
```
aws networkflowmonitor list-scopes
```
Output:
```
{
"scopes": [
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333"
}
]
}
```
Per ulteriori informazioni, consulta [Componenti e caratteristiche di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Visualizzazione dell'elenco dei tag per un monitor
Nell'esempio seguente, `list-tags-for-resource` restituisce tutti i tag associati alla risorsa specificata.
```
aws networkflowmonitor list-tags-for-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo
```
Output:
```
{
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
Per ulteriori informazioni, consulta [Assegnazione di tag alle risorse Amazon CloudWatch](CloudWatch-Tagging.md).
## Avvio e arresto delle query
Le sezioni seguenti forniscono esempi di comandi della CLI per avviare e interrompere le query in Network Flow Monitor.
### start-query-monitor-top-contributori
Nell'esempio seguente, `start-query-monitor-top-contributors` avvia la query che restituisce un ID di query per recuperare i collaboratori principali.
```
aws networkflowmonitor start-query-monitor-top-contributors \
--monitor-name Demo \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Output:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Per ulteriori informazioni, consulta [Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### start-query-workload-insights-top-contributors-data
Nell'esempio seguente, `start-query-workload-insights-top-contributors-data` avvia la query che restituisce un ID di query per recuperare i collaboratori principali.
```
aws networkflowmonitor start-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Output:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Per ulteriori informazioni, consulta [Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### start-query-workload-insights-contributori principali
Nell'esempio seguente, `start-query-workload-insights-top-contributors` avvia la query che restituisce un ID di query per recuperare i collaboratori principali.
```
aws networkflowmonitor start-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Output:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Per ulteriori informazioni, consulta [Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-monitor-top-contributori
L’esempio `stop-query-monitor-top-contributors` seguente arresta la query nell’account specificato.
```
aws networkflowmonitor stop-query-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta [Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-workload-insights-top-contributors-data
Nell'esempio, `stop-query-workload-insights-top-contributors-data` interrompe la query nell'account specificato.
```
aws networkflowmonitor stop-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta [Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-workload-insights-contributori principali
L’esempio `stop-query-workload-insights-top-contributors` seguente arresta la query nell’account specificato.
```
aws networkflowmonitor stop-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta [Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
## Aggiunta di un tag a un monitoraggio
Nell'esempio seguente, `tag-resource` aggiunge un tag al monitoraggio nell'account specificato.
```
aws networkflowmonitor tag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tags Key=stack,Value=Production
```
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta [Assegnazione di tag alle risorse Amazon CloudWatch](CloudWatch-Tagging.md).
## Rimozione di un tag da un monitoraggio
Nell'esempio seguente, `untag-resource` rimuove un tag dal monitoraggio nell'account specificato.
```
aws networkflowmonitor untag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tag-keys stack
```
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta [Assegnazione di tag alle risorse Amazon CloudWatch](CloudWatch-Tagging.md).
## Aggiornamento di un monitoraggio esistente
Nell'esempio seguente, `update-monitor` aggiorna il monitoraggio denominato “Demo” nell'account specificato.
```
aws networkflowmonitor update-monitor \
--monitor-name Demo \
--local-resources-to-add type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
```
Output:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
Per ulteriori informazioni, consulta [Componenti e caratteristiche di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
# Lavora con EKS
Utilizzando Network Flow Monitor, puoi raccogliere metriche prestazionali per carichi di lavoro che utilizzano Amazon Elastic Kubernetes Service (Amazon EKS). Questo capitolo mostra come installare l'agente step-by-step e descrive i diversi scenari EKS che puoi monitorare. Nella console troverai anche descrizioni dettagliate dei metadati che Network Flow Monitor fornisce per Amazon EKS per aiutarti a comprendere le prestazioni della rete.
Per ottenere i vantaggi del monitoraggio delle prestazioni di Network Flow Monitor, devi prima installare il componente aggiuntivo AWS Network Flow Monitor Agent per Amazon EKS. Per ulteriori informazioni, consulta [Installa il componente aggiuntivo EKS AWS Network Flow Monitor Agent](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md).
Se desideri monitorare un singolo cluster EKS con una maggiore visibilità del traffico del carico di lavoro e approfondimenti sulle prestazioni all'interno del cluster e con destinazioni esterne, consulta [Amazon EKS Network Observability](https://docs.aws.amazon.com/eks/latest/userguide/network-observability.html).
**Topics**
+ [Installa il componente aggiuntivo EKS AWS Network Flow Monitor Agent](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)
+ [Metadati aggiuntivi del percorso di rete inclusi per Amazon EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata.md)
# Installa il componente aggiuntivo EKS AWS Network Flow Monitor Agent
Segui i passaggi in questa sezione per installare il componente aggiuntivo AWS Network Flow Monitor Agent per Amazon Elastic Kubernetes Service (Amazon EKS), per inviare i parametri di Network Flow Monitor al backend Network Flow Monitor dai cluster Kubernetes. Dopo aver completato i passaggi, i pod di AWS Network Flow Monitor Agent verranno eseguiti su tutti i nodi del cluster Kubernetes.
Se utilizzi cluster Kubernetes autogestiti, i passaggi di installazione da seguire si trovano nella sezione precedente: [Installazione degli agenti per le istanze Kubernetes autogestite](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md).
Tieni presente che gli [elenchi di prefissi gestiti dai clienti](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html) non sono supportati per Network Flow Monitor.
È possibile installare il componente aggiuntivo utilizzando la console o utilizzando i comandi API con la AWS Command Line Interface.
**Topics**
+ [Prerequisiti per l'installazione del componente aggiuntivo](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq)
+ [Installazione del componente aggiuntivo utilizzando la console](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console)
+ [Installazione del componente aggiuntivo utilizzando la CLI](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli)
+ [Configurazione per strumenti di terze parti](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party.md)
## Prerequisiti per l'installazione del componente aggiuntivo
Indipendentemente dal fatto che utilizzi la console o la CLI per installare il componente aggiuntivo AWS Network Flow Monitor Agent, esistono diversi requisiti per l'installazione del componente aggiuntivo con Kubernetes.
**Verificare che la versione di Kubernetes sia supportata**
L'installazione dell'agente Network Flow Monitor richiede la versione 1.25 di Kubernetes o una versione più recente.
**Installazione del componente aggiuntivo Amazon EKS Pod Identity Agent**
È possibile installare il componente aggiuntivo Amazon EKS Pod Identity Agent nella console o utilizzando la CLI.
Le associazioni Amazon EKS Pod Identity offrono la possibilità di gestire le credenziali per le applicazioni, in modo simile a come i profili di istanza di Amazon EC2 forniscono le credenziali alle istanze Amazon EC2. Amazon EKS Pod Identity fornisce le credenziali per i tuoi carichi di lavoro con un'API Amazon EKS Auth aggiuntiva e un pod di agente che viene eseguito su ogni nodo.
Per ulteriori informazioni e per visualizzare i passaggi per l'installazione del componente aggiuntivo Amazon EKS Pod Identity, consulta [Set up the Amazon EKS Pod Identity Agent](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html) nella Guida per l'utente di Amazon EKS.
## Installa il componente aggiuntivo AWS Network Flow Monitor Agent utilizzando la console
Segui i passaggi in questa sezione per installare e configurare il componente aggiuntivo AWS Network Flow Monitor Agent nella console Amazon EKS.
Se hai già installato il componente aggiuntivo e riscontri problemi durante l'aggiornamento a una nuova versione, consulta [Risoluzione dei problemi relativi all'installazione degli agenti EKS](CloudWatch-NetworkFlowMonitor-troubleshooting.md#CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation).
Prima di iniziare, assicurati di aver installato il componente aggiuntivo Amazon EKS Pod Identity Agent. Per ulteriori informazioni, consulta la [sezione precedente](#NFMPodIdentity).
**Per installare il componente aggiuntivo utilizzando la console**
1. Nel Console di gestione AWS, accedi alla console Amazon EKS.
1. Nella pagina di installazione dei componenti aggiuntivi, nell'elenco dei componenti aggiuntivi, scegli **AWS Network Flow Monitor Agent**.
1. Configura le impostazioni del componente aggiuntivo.
1. Per **Accesso al componente aggiuntivo**, seleziona **EKS Pod Identity**
1. Per il ruolo IAM da utilizzare con il componente aggiuntivo, utilizza un ruolo a cui è allegata la seguente policy AWS gestita: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Questa policy autorizza un agente a inviare report di telemetria all'endpoint Network Flow Monitor. Se non disponi ancora di un ruolo con la policy collegata, crea un ruolo selezionando **Crea ruolo consigliato** e seguendo i passaggi nella console IAM.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rivedi e aggiungi**, assicurati che la configurazione del componente aggiuntivo sia corretta, quindi scegli **Crea**.
## Installa il componente aggiuntivo AWS Network Flow Monitor Agent utilizzando il AWS Command Line Interface
Segui i passaggi in questa sezione per installare il componente aggiuntivo AWS Network Flow Monitor Agent per Amazon EKS utilizzando. AWS Command Line Interface
**1. Installazione del componente aggiuntivo EKS Pod Identity Agent**
Prima di iniziare, assicurati di aver installato il componente aggiuntivo Amazon EKS Pod Identity Agent. Per ulteriori informazioni, consulta la [sezione precedente](#NFMPodIdentity).
**2. Creazione del ruolo IAM richiesto**
Il componente aggiuntivo AWS Network Flow Monitor Agent deve disporre dell'autorizzazione per inviare metriche al backend Network Flow Monitor. È necessario assegnare un ruolo con le autorizzazioni richieste quando si crea il componente aggiuntivo. Crea un ruolo a cui è allegata la seguente politica AWS gestita:. [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) È necessario l'ARN di questo ruolo IAM per installare il componente aggiuntivo.
**3. Installa il componente aggiuntivo AWS Network Flow Monitor Agent**
Per installare il componente aggiuntivo AWS Network Flow Monitor Agent per il cluster, esegui il comando seguente:
`aws eks create-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION --pod-identity-associations serviceAccount=aws-network-flow-monitor-agent-service-account,roleArn=IAM ROLE ARN`
Il risultato dovrebbe essere simile al seguente:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "CREATING",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
**4. Verifica della corretta attivazione del componente aggiuntivo**
Controlla il componente aggiuntivo AWS Network Flow Monitor Agent installato per assicurarti che sia attivo per il tuo cluster. Esegui il seguente comando per verificare che lo stato sia `ACTIVE`:
`aws eks describe-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION`
Il risultato dovrebbe essere simile al seguente:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "ACTIVE",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
# Configura il componente aggiuntivo per strumenti di monitoraggio di terze parti
È possibile configurare il componente aggiuntivo Network Flow Monitor per esporre un OpenMetrics server durante l'installazione. Ciò consente l'integrazione con strumenti di monitoraggio di terze parti come Prometheus, che consentono di raccogliere e analizzare le metriche del flusso di rete insieme all'infrastruttura di monitoraggio esistente. [Scopri di più su](https://openmetrics.io/). OpenMetrics Questa funzionalità è disponibile a partire dalla versione aggiuntiva v1.1.0.
Per abilitare il OpenMetrics server, aggiungi OPEN\$1METRICS, OPEN\$1METRICS\$1ADDRESS e OPEN\$1METRICS\$1PORT ai valori di configurazione del componente aggiuntivo EKS Network Flow Monitor. Questa guida spiegherà come eseguire questa operazione utilizzando sia la CLI che la console. Consulta la sezione [Configurazione avanzata dei componenti aggiuntivi di Amazon EKS](https://aws.amazon.com/blogs/containers/amazon-eks-add-ons-advanced-configuration/) per ulteriori dettagli sull'aggiunta di valori di configurazione.
## Configurazione CLI
Quando si utilizza AWS Command Line Interface, è possibile fornire i valori di configurazione come parametro:
```
aws eks create-addon \
--cluster-name my-cluster-name \
--addon-name aws-network-flow-monitoring-agent \
--addon-version v1.1.0-eksbuild.1 \
--configuration-values '{"env":{"OPEN_METRICS":"on","OPEN_METRICS_ADDRESS":"0.0.0.0","OPEN_METRICS_PORT":9109}}'
```
## Configurazione della console
Quando si utilizza la console Amazon EKS, questi valori possono essere aggiunti nelle Impostazioni di configurazione opzionali, come parte dei valori di configurazione.
**JSON di esempio:**
```
{
"env": {
"OPEN_METRICS": "on",
"OPEN_METRICS_ADDRESS": "0.0.0.0",
"OPEN_METRICS_PORT": 9109
}
}
```
**Esempio di YAML:**
```
env:
OPEN_METRICS: "on"
OPEN_METRICS_ADDRESS: "0.0.0.0"
OPEN_METRICS_PORT: 9109
```
## Parametri aggiuntivi EKS Network Flow Monitor OpenMetric
+ **OPEN\$1METRICS:**
+ Abilita o disabilita le metriche aperte. Disabilitato se non fornito
+ Tipo: String
+ Valori: ["on», «off"]
+ **INDIRIZZO\$1OPEN\$1METRICS:**
+ Indirizzo IP di ascolto per un endpoint con metriche aperte. Il valore predefinito è 127.0.0.1 se non fornito
+ Tipo: String
+ **OPEN\$1METRICS\$1PORT:**
+ Porta di ascolto per endpoint a metrica aperta. Il valore predefinito è 80 se non viene fornito
+ Tipo: numero intero
+ Intervallo: [0.. 65535]
**Importante:** quando si imposta OPEN\$1METRICS\$1ADDRESS su 0.0.0.0, l'endpoint delle metriche sarà accessibile da qualsiasi interfaccia di rete. Prendi in considerazione l'utilizzo di 127.0.0.1 per l'accesso solo all'host locale o implementa controlli di sicurezza di rete appropriati per limitare l'accesso solo ai sistemi di monitoraggio autorizzati.
## Risoluzione dei problemi
Se riscontrate problemi con la configurazione del OpenMetrics server, utilizzate le seguenti informazioni per diagnosticare e risolvere i problemi più comuni.
### Le metriche non vengono visualizzate
Problema: il OpenMetrics server è configurato, ma le metriche non vengono visualizzate nello strumento di monitoraggio.
Passaggi per la risoluzione dei problemi
1. Verifica che il OpenMetrics server sia abilitato nella configurazione del componente aggiuntivo:
+ Verifica che OPEN\$1METRICS sia impostato su «on» nei valori di configurazione. [Vedi describe-addon.](https://docs.aws.amazon.com/cli/latest/reference/eks/describe-addon.html)
+ *Verifica che la versione del componente aggiuntivo sia v1.1.0 o successiva nelle impostazioni Configura componenti aggiuntivi selezionati.*
1. Testa direttamente l'endpoint delle metriche:
+ Accedi alle metriche su http://*pod-ip:port*/metrics (sostituisci pod-ip con l'indirizzo IP effettivo del pod e la porta con la porta configurata).
+ Se non riesci ad accedere all'endpoint, verifica la configurazione di rete e le impostazioni del gruppo di sicurezza.
1. Convalida la configurazione dello strumento di monitoraggio. Consulta la guida per l'utente degli strumenti di monitoraggio per informazioni dettagliate su come effettuare le seguenti operazioni:
+ Assicurati che il tuo strumento di monitoraggio (come Prometheus) sia configurato per eseguire lo scraping dell'endpoint corretto.
+ Verifica che l'intervallo di scraping e le impostazioni di timeout siano appropriate.
+ Verifica che lo strumento di monitoraggio abbia accesso di rete all'indirizzo IP del pod.
### Metriche mancanti in alcuni pod specifici
Problema: le metriche sono disponibili per alcuni pod ma non per altri del cluster.
Passaggi per la risoluzione dei problemi
Il componente aggiuntivo Network Flow Monitor non supporta i pod che utilizzano HostNetwork: true. Se le specifiche del tuo pod includono questa impostazione, le metriche non saranno disponibili per quei pod.
Soluzione alternativa: rimuovi l'impostazione HostNetwork: true dalle specifiche del pod, se possibile. Se hai bisogno di una rete host per la tua applicazione, prendi in considerazione l'utilizzo di approcci di monitoraggio alternativi per quei pod specifici.
### Errori di connessione rifiutata
Problema: ricevi errori di «connessione rifiutata» quando tenti di accedere all'endpoint delle metriche.
Passaggi per la risoluzione dei problemi
1. Verifica la configurazione OPEN\$1METRICS\$1ADDRESS:
+ Se impostato su 127.0.0.1, l'endpoint è accessibile solo dall'interno del pod.
+ Se impostato su 0.0.0.0, l'endpoint dovrebbe essere accessibile da altri pod del cluster.
+ Assicurati che lo strumento di monitoraggio possa raggiungere l'indirizzo configurato.
1. Controlla la configurazione OPEN\$1METRICS\$1PORT:
+ Verifica che il numero di porta non sia già utilizzato da un altro servizio.
+ Assicurati che la porta rientri nell'intervallo valido (1-65535).
+ Verifica che eventuali gruppi di sicurezza o policy di rete consentano il traffico su questa porta.
### Fasi di verifica
Per confermare il corretto funzionamento della OpenMetrics configurazione:
1. Controlla lo stato del componente aggiuntivo:
```
aws eks describe-addon --cluster-name your-cluster-name --addon-name aws-network-flow-monitoring-agent
```
1. Verifica lo stato del pod:
```
kubectl get pods app.kubernetes.io/name=aws-network-flow-monitoring-agent
```
1. Testa l'endpoint delle metriche dall'interno del cluster:
```
kubectl exec add-on-pod-name -- curl localhost:9109/metrics
```
Sostituisci 9109 con il numero di porta configurato e il nome del pod con un AddOn nome del pod.
# Metadati aggiuntivi del percorso di rete inclusi per Amazon EKS
Quando Network Flow Monitor raccoglie metriche prestazionali per i flussi di rete tra i componenti di Amazon EKS, include informazioni aggiuntive sui metadati sul percorso di rete, per aiutarti a comprendere meglio le prestazioni dei percorsi di rete per il tuo carico di lavoro.
Puoi visualizzare informazioni dettagliate sulle prestazioni del flusso di rete di Amazon EKS creando un monitor per i flussi di rete che ti interessano e quindi visualizzando i dettagli nella scheda **Historical explorer**.
Con Network Flow Monitor, puoi misurare le prestazioni di rete tra i seguenti componenti di Amazon EKS, per comprendere meglio le prestazioni del carico di lavoro con la configurazione Amazon EKS e determinare dove si verificano strozzature o problemi.
+ Da pod a pod sullo stesso nodo
+ Da nodo a nodo sullo stesso cluster
+ Da pod a pod su un cluster diverso
+ Da nodo a nodo su cluster diversi
+ Con e senza Network Load Balancer
La tabella seguente elenca le informazioni restituite da Network Flow Monitor per ogni scenario di flusso di rete.
| **Informazioni sulla connessione** | **Informazioni sui metadati** | | **Locale** | **Remoto** | **Scenario** | **Iniziato da** | **Locale** | **Remoto** | **Nome del pod** | **Servizio** | **Spazio dei nomi** | **Nome del pod** | **Servizio** | **Spazio dei nomi** |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| Pod locale che si connette all'IP del cluster di un altro servizio cluster interno | Locale | Indirizzo IP del pod locale | Indirizzo IP del pod remoto (tramite indirizzo IP del cluster) | ✓ | ✓ | ✓ | ✓ ¹ | ✓ | ✓ |
| Pod locale in uno spazio dei nomi di rete di nodi che si connette all'IP del cluster di un altro servizio cluster interno | Locale | Indirizzo IP del nodo locale | Indirizzo IP del pod remoto (tramite indirizzo IP del cluster) | ✓ ² | ✓ ² | ✓ ² | ✓ ¹ | ✓ | ✓ |
| Pod locale che si collega all'indirizzo IP del singolo pod di un altro pod (servizio headless) | Locale | Indirizzo IP del pod locale | Indirizzo IP del pod remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod locale che si connette all'indirizzo IP del singolo pod di un altro pod nello spazio dei nomi della rete dei nodi (servizio headless) | Locale | Indirizzo IP del pod locale | Indirizzo IP del nodo remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod locale che si connette al pod remoto in un altro cluster | Locale | Indirizzo IP del pod locale | Indirizzo IP del pod remoto (un altro cluster) | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Pod locale che si connette a un indirizzo di rete esterno | Locale | Indirizzo IP del pod locale | Indirizzo IP esterno | ✓ | ✓ | ✓ | N/D | N/D | N/D |
| Pod locale che opera in uno spazio dei nomi di rete di nodi che si connette a un indirizzo IP di rete esterno | Locale | Indirizzo IP del nodo locale | Indirizzo IP esterno | ✓ ² | ✓ ² | ✓ ² | N/D | N/D | N/D |
| Pod remoto che si connette al pod locale tramite l'indirizzo IP del cluster | Remoto | Indirizzo IP del pod locale (tramite l'indirizzo IP del cluster) | Indirizzo IP del pod remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod remoto in uno spazio dei nomi di rete di nodi che si connette al pod locale | Remoto | Indirizzo IP del pod locale (tramite l'indirizzo IP del cluster) | Indirizzo IP del nodo remoto | ✓ | ✓ | ✓ | ✓ ³ | ✓ ³ | ✓ ³ |
| Pod remoto che si collega al pod locale (servizio headless) | Remoto | Indirizzo IP del pod locale | Indirizzo IP del pod remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod esterno che si collega a un pod locale | Remoto | Indirizzo IP del pod locale | Indirizzo IP del pod remoto | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Risorsa esterna che si connette tramite NodePort o un Load Balancer a un pod locale | Remoto | Indirizzo IP del pod locale | Indirizzo IP esterno ³ | ✓ | ✓ | ✓ | N/D | N/D | N/D |
| Risorsa esterna che si connette tramite NodePort o un Load Balancer a un pod locale che opera in uno spazio dei nomi di rete di nodi | Remoto | Indirizzo IP del nodo locale | Indirizzo IP esterno 3 | ✓ | ✓ | ✓ | N/D | N/D | N/D |
Tieni presente le seguenti informazioni aggiuntive corrispondenti agli elementi contrassegnati con note a piè di pagina nella tabella precedente.
1. Il nome del pod non è visibile in questo scenario per i pod con altri proprietari, come un servizio Kubernetes gestito dal piano di controllo EKS.
1. Il nome, il servizio e lo spazio dei nomi del pod locali non vengono risolti se nello spazio dei nomi della rete dei nodi sono presenti altri pod.
1. Il nome, il servizio e lo spazio dei nomi del pod remoto non vengono risolti se nello spazio dei nomi della rete dei nodi sono presenti altri pod.
1. Se il servizio utilizza NodePort o è LoadBalancer in modalità istanza ed `ExternalTrafficPolicy` è impostato su`Cluster`, questo indirizzo IP verrà riportato come l'indirizzo IP del nodo che riceve la connessione. NodePort
# Installa gli agenti Network Flow Monitor su EC2 e sulle istanze Kubernetes autogestite
Per fornire metriche prestazionali per i flussi di rete nei AWS carichi di lavoro, Network Flow Monitor si affida *agli agenti* installati dall'utente, che inviano le metriche a Network Flow Monitor. Installa gli agenti di Network Flow Monitor sulle tue istanze e quindi imposta le autorizzazioni corrette per gli agenti in modo che possano inviare le metriche al backend di Network Flow Monitor.
Un agente è un'applicazione software leggera che si installa sulle risorse, come le istanze VPC EC2. Gli agenti inviano regolarmente le metriche delle prestazioni al backend di Network Flow Monitor. Dopodiché, puoi visualizzare le metriche aggregate nella pagina **Informazioni sul carico di lavoro** nella console di Network Flow Monitor. Puoi anche tenere traccia delle metriche dettagliate per un flusso di rete specifico, o un insieme di flussi, creando un monitoraggio.
I passaggi da seguire per distribuire gli agenti nelle istanze dipendono dal tipo di istanza: istanze Amazon EKS Kubernetes, istanze VPC EC2 o istanze Kubernetes autogestite (non EKS).
+ Per informazioni sull'utilizzo di Amazon EKS, inclusa l'installazione di agenti su EKS, consulta[Lavora con EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.md).
+ Per informazioni sull'installazione degli agenti sulle istanze VPC EC2 e sulle istanze Kubernetes autogestite, consulta le sezioni di questo capitolo.
Puoi stabilire una connessione privata tra il tuo VPC e gli agenti di Network Flow Monitor utilizzando. AWS PrivateLink Per ulteriori informazioni, consulta [Utilizzo CloudWatch, CloudWatch Synthetics CloudWatch e monitoraggio della rete con endpoint VPC di interfaccia](cloudwatch-and-interface-VPC.md).
**Topics**
+ [Versioni Linux supportate per gli agenti Network Flow Monitor](CloudWatch-NetworkFlowMonitor-agents-versions.md)
+ [Installazione e gestione degli agenti per le istanze EC2](CloudWatch-NetworkFlowMonitor-agents-ec2.md)
+ [Installazione degli agenti per le istanze Kubernetes autogestite](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)
# Versioni Linux supportate per gli agenti Network Flow Monitor
Le istanze in cui si installano gli agenti devono eseguire versioni e distribuzioni supportate di Linux. Network Flow Monitor supporta l'esecuzione degli agenti solo su Linux e la versione del kernel Linux deve essere 5.8 o successiva. Sono supportate le seguenti distribuzioni Linux. Tieni presente che gli agenti sono testati per funzionare sulle versioni più recenti di queste distribuzioni.
+ Amazon Linux
+ Ubuntu
+ Red Hat
+ Suse Linux
+ Distribuzioni Debian sia per x86 sia per aarch64
# Installazione e gestione degli agenti per le istanze EC2
Segui la procedura riportata in questa sezione per installare gli agenti Network Flow Monitor per carichi di lavoro sulle istanze Amazon EC2. Puoi installare gli agenti utilizzando SSM o scaricando e installando pacchetti predefiniti per l'agente Network Flow Monitor utilizzando la riga di comando.
Indipendentemente dal metodo utilizzato per installare gli agenti sulle istanze EC2, è necessario configurare le autorizzazioni per gli agenti per consentire loro di inviare le metriche delle prestazioni al backend di Network Flow Monitor.
**Topics**
+ [Configurazione delle autorizzazioni per gli agenti](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)
+ [Agenti per le istanze EC2 con SSM](CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm.md)
+ [Download e installazione dell'agente](CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline.md)
# Configurazione delle autorizzazioni per gli agenti
Per consentire agli agenti di inviare metriche al backend di importazione di Network Flow Monitor, le istanze EC2 impiegate dagli agenti devono utilizzare un ruolo a cui è associata una policy con le autorizzazioni corrette. Per fornire le autorizzazioni richieste, utilizza un ruolo a cui è allegata la seguente politica AWS gestita: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Collega questa policy ai ruoli IAM delle istanze EC2 in cui prevedi di installare gli agenti Network Flow Monitor.
Si consiglia di aggiungere le autorizzazioni prima di installare gli agenti sulle istanze EC2. Puoi decidere di aspettare fino a dopo aver installato gli agenti, ma gli agenti non saranno in grado di inviare le metriche al servizio finché non saranno disponibili le autorizzazioni.
**Per aggiungere le autorizzazioni per gli agenti di Network Flow Monitor**
1. Nella console Amazon EC2 Console di gestione AWS, individua le istanze EC2 su cui intendi installare gli agenti Network Flow Monitor.
1. [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)Associa il ruolo IAM per ogni istanza.
Se a un'istanza non è associato un ruolo IAM, scegli un ruolo effettuando le seguenti operazioni:
1. In **Operazioni**, scegli **Sicurezza**.
1. Scegli **Modifica ruolo IAM** o crea un nuovo ruolo scegliendo **Crea nuovo ruolo IAM**.
1. Scegli un ruolo per l'istanza e allega la [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)policy.
# Installazione degli agenti su istanze EC2 con SSM
Gli agenti Network Flow Monitor forniscono metriche prestazionali sui flussi di rete. Segui i passaggi di questa sezione per installare e utilizzare gli agenti di Network Flow Monitor sulle istanze EC2, utilizzando. AWS Systems Manager Se usi Kubernetes, passa alle sezioni successive per informazioni sull'installazione di agenti con cluster Amazon EKS o cluster Kubernetes autogestiti.
Network Flow Monitor fornisce un pacchetto Distributor in Systems Manager che è possibile utilizzare per installare o disinstallare gli agenti. Inoltre, Network Flow Monitor fornisce un documento per attivare o disattivare gli agenti utilizzando il comando Document Type. Segui le procedure standard di Systems Manager per utilizzare il pacchetto e il documento oppure attieniti ai passaggi forniti qui per una guida dettagliata.
Per ulteriori informazioni generali sull'utilizzo di Systems Manager, consulta la seguente documentazione:
+ [AWS Systems Manager Esegui comando](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [AWS Systems Manager Distributore](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)
Completa i passaggi indicati nelle seguenti sezioni per configurare le autorizzazioni, installare e utilizzare gli agenti di Network Flow Monitor.
**Indice**
+ [Installazione o disinstallazione degli agenti](#CloudWatch-NetworkFlowMonitor-agents-ec2-install)
+ [Attivazione o disattivazione degli agenti](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)
## Installazione o disinstallazione degli agenti utilizzando Systems Manager
Network Flow Monitor fornisce un pacchetto di distribuzione AWS Systems Manager per installare gli agenti Network Flow Monitor: **AmazonCloudWatchNetworkFlowMonitorAgent**. Per accedere al pacchetto per l'installazione degli agenti ed eseguirlo, segui i passaggi indicati qui.
**Per installare gli agenti nelle istanze EC2**
1. Nel Console di gestione AWS, in, sotto **Node Tools AWS Systems Manager**, scegli **Distributore**.
1. In **Owned by Amazon**, individua il pacchetto Network Flow Monitor e selezionalo. **AmazonCloudWatchNetworkFlowMonitorAgent**
1. Nel flusso **Run Command**, scegli **Installa una sola volta** o **Installa nei tempi previsti**.
1. Nella sezione **Selezione del bersaglio**, scegli come vuoi selezionare le istanze EC2 su cui installare gli agenti. Puoi selezionare le istanze in base ai tag, scegliere le istanze manualmente o basare la scelta sui gruppi di risorse.
1. Nella sezione **Parametri di comando**, in **Operazione**, scegli **Installa**.
1. Scorri verso il basso, se necessario, quindi scegli **Esegui** per avviare l'installazione.
Se l'installazione ha esito positivo e le istanze dispongono delle autorizzazioni per accedere agli endpoint di Network Flow Monitor, l'agente inizierà a raccogliere le metriche e a inviare report al backend di Network Flow Monitor.
Gli agenti attivi (che inviano dati sulle metriche) sono soggetti a costi di fatturazione. Per ulteriori informazioni su Network Flow Monitor e CloudWatch sui prezzi di Amazon, consulta Network Monitoring nella pagina [ CloudWatch dei prezzi di Amazon](https://aws.amazon.com//cloudwatch/pricing/). Se non hai bisogno temporaneamente dei dati relativi alle metriche, puoi disattivare un agente. Per ulteriori informazioni, consulta [Attivazione o disattivazione degli agenti](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage). Se non hai più bisogno degli agenti Network Flow Monitor, puoi disinstallarli dalle istanze EC2.
**Per disinstallare gli agenti dalle istanze EC2**
1. Nel Console di gestione AWS, sotto **Node Tools AWS Systems Manager**, scegli **Distributor**.
1. In **Owned by Amazon**, individua il pacchetto Network Flow Monitor e selezionalo. **AmazonCloudWatchNetworkFlowMonitorAgent**
1. Nella sezione **Parametri di comando**, in **Operazione**, scegli **Disinstalla**.
1. Seleziona le istanze EC2 da cui disinstallare gli agenti.
1. Scorri verso il basso, se necessario, quindi scegli **Esegui** per avviare l'installazione.
## Attivazione o disattivazione degli agenti utilizzando Systems Manager
Dopo aver installato un agente Network Flow Monitor con SSM, è necessario attivarlo per ricevere le metriche del flusso di rete dall'istanza in cui è installato. Gli agenti attivi (che inviano dati sulle metriche) sono soggetti a costi di fatturazione. Per ulteriori informazioni su Network Flow Monitor e CloudWatch sui prezzi di Amazon, consulta Network Monitoring nella pagina [ CloudWatch dei prezzi di Amazon](https://aws.amazon.com//cloudwatch/pricing/). Se non hai bisogno temporaneamente dei dati relativi alle metriche, puoi disattivare un agente per evitare che continui a essere fatturato.
Network Flow Monitor fornisce un documento in AWS Systems Manager cui puoi utilizzare gli agenti di attivazione o disattivazione che hai installato sulle tue istanze EC2. Eseguendo questo documento per gestire gli agenti, puoi attivarli per iniziare a ricevere le metriche sulle prestazioni. In alternativa, puoi disattivarli per interrompere temporaneamente l'invio delle metriche, senza disinstallare gli agenti.
**Il documento in SSM che puoi utilizzare per attivare o disattivare gli agenti si chiama -. AmazonCloudWatch NetworkFlowMonitorManageAgent** Per accedere al documento ed eseguirlo, segui le fasi descritte nella procedura.
**Per attivare o disattivare gli agenti di Network Flow Monitor**
1. **Nella Console di gestione AWS sezione **Strumenti di gestione delle modifiche AWS Systems Manager**, scegli Documenti.**
1. In **Owned by Amazon**, individua il documento Network Flow MonitorNetworkFlowMonitorManageAgent, **AmazonCloudWatch-** e seleziona il documento.
1. Nella sezione **Selezione del bersaglio**, scegli come vuoi selezionare le istanze EC2 su cui installare gli agenti. Puoi selezionare le istanze in base ai tag, scegliere le istanze manualmente o basare la scelta sui gruppi di risorse.
1. Nella sezione **Parametri di comando**, in **Operazione**, scegli **Attiva** o **Disattiva**, a seconda dell'operazione che desideri intraprendere per gli agenti.
1. Scorri verso il basso, se necessario, quindi scegli **Esegui** per avviare l'installazione.
# Download dei pacchetti predefiniti dell'agente Network Flow Monitor utilizzando la riga di comando
Puoi utilizzare la riga di comando per installare l'agente Network Flow Monitor come pacchetto in Amazon Linux 2023 oppure scaricare e installare pacchetti predefiniti dell'agente Network Flow Monitor.
Prima o dopo aver scaricato il pacchetto, puoi eventualmente verificare la firma del pacchetto. Per ulteriori informazioni, consulta [Verifica della firma del pacchetto dell'agente Network Flow Monitor](#CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig).
Scegli tra le seguenti istruzioni, a seconda del sistema operativo Linux che stai utilizzando e del tipo di installazione che desideri.
**Amazon Linux AMIs**
L'agente Network Flow Monitor è disponibile come pacchetto in Amazon Linux 2023. Se utilizzi questo sistema operativo, puoi installare il pacchetto immettendo il seguente comando:
`sudo yum install network-flow-monitor-agent`
È inoltre necessario assicurarsi che il ruolo IAM associato all'istanza abbia la [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy)policy allegata. Per ulteriori informazioni, consulta [Configurazione delle autorizzazioni per gli agenti](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md).
**Amazon Linux 2023**
Installa il pacchetto per la tua architettura utilizzando uno dei seguenti comandi:
+ **x86\$164**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.rpm`
+ **ARM64 (Gravitone)**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm`
Verifica che l'agente Network Flow Monitor sia installato correttamente eseguendo il comando seguente e verificando che la risposta indichi che l'agente è abilitato e attivo:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
**Distribuzioni basate su DEB (Debian, Ubuntu)**
Installa il pacchetto per la tua architettura utilizzando uno dei seguenti comandi:
+ **x86\$164**: `wget https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.deb`
+ **ARM64 (Gravitone**): `wget https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb`
Installa il pacchetto utilizzando il seguente comando: `$ sudo apt-get install ./network-flow-monitor-agent.deb`
Verifica che l'agente Network Flow Monitor sia installato correttamente eseguendo il comando seguente e verificando che la risposta indichi che l'agente è abilitato e attivo:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
## Verifica della firma del pacchetto dell'agente Network Flow Monitor
I pacchetti di installazione dell'agente Network Flow Monitor rpm e deb per le istanze Linux sono firmati crittograficamente. È possibile utilizzare una chiave pubblica per verificare che il pacchetto dell'agente sia originale e non modificato. Se i file sono danneggiati o sono stati alterati, la verifica non va a buon fine. È possibile verificare la firma del pacchetto di installazione utilizzando RPM o GPG. Le seguenti informazioni sono relative all'agente Network Flow Monitor 0.1.3 o versioni successive.
Per trovare il file della firma corretto per ciascuna architettura e sistema operativo, consulta la tabella seguente.
| Architecture | Platform (Piattaforma) | Collegamento per il download | Collegamento al file di firma |
| --- | --- | --- | --- |
| x86-64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/network-flow-monitor-agentx86\$164/rpm | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .rpm.sig |
| ARM64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/arm64/.rpm network-flow-monitor-agent | https://networkflowmonitoragent.awsstatic.com/latest/network-flow-monitor-agentarm64/.rpm.sig |
| x86-64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .deb | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .deb.sig |
| ARM64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/arm64/.deb network-flow-monitor-agent | https://networkflowmonitoragent.awsstatic.com/latest/network-flow-monitor-agentarm64/.deb.sig |
Segui la procedura qui riportata per verificare la firma dell'agente Network Flow Monitor.
**Per verificare la firma dell'agente Network Flow Monitor per il pacchetto Amazon S3**
1. Installa GnuPG in modo da poter eseguire il comando gpg. Per verificare l'autenticità e l'integrità di un agente Network Flow Monitor scaricato per un pacchetto Amazon S3 è necessario GnuPG. GnuPG è installato di default su Amazon Linux Amazon Machine Images (). AMIs
1. Copia la seguente chiave pubblica e salvala in un file denominato `nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Importa la chiave pubblica nel keyring e prendi nota del valore restituito.
```
PS> rpm --import nfm-agent.gpg
gpg: key 3B789C72: public key "Network Flow Monitor Agent" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
Prendere nota del valore della chiave poiché sarà necessario nella fase successiva. In questo esempio, il valore della chiave è `3B789C72`.
1. Verifica l'impronta digitale eseguendo il seguente comando: Assicurati di sostituirlo *key-value* con il valore del passaggio precedente. Si consiglia di utilizzare GPG per verificare l'impronta digitale anche se si utilizza RPM per verificare il pacchetto di installazione.
```
PS> gpg --fingerprint key-value
pub rsa4096 2025-04-08 [SC] [expires: 2028-04-07]
7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1
uid Network Flow Monitor Agent
```
La stringa dell'impronta deve essere uguale alla seguente:
`7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1`
Se la stringa dell'impronta non corrisponde, non installare l'agente. Contatta Amazon Web Services.
Dopo aver verificato l'impronta, puoi utilizzarla per verificare la firma del pacchetto dell'agente Network Flow Monitor.
1. Scarica il file della firma del pacchetto, se non lo hai ancora fatto, in base all'architettura e al sistema operativo dell'istanza.
1. Verificare la firma del pacchetto di installazione. Assicurati di sostituire `signature-filename` e `agent-download-filename` con i valori specificati durante il download del file di firma e dell'agente, come riportato nella tabella precedente in questo argomento.
```
PS> gpg --verify sig-filename agent-download-filename
gpg: Signature made Tue Apr 8 00:40:02 2025 UTC
gpg: using RSA key 77777777EXAMPLEKEY
gpg: issuer "network-flow-monitor-agent@amazon.com"
gpg: Good signature from "Network Flow Monitor Agent " [unknown]
gpg: WARNING: Using untrusted key!
```
Se l'output include la frase `BAD signature`, controlla di avere eseguito la procedura correttamente. Se continui a ottenere questa risposta, contatta il [Supporto AWS](https://aws.amazon.com/premiumsupport/) ed evita di utilizzare il file scaricato.
Prendi nota dell'avviso sulla trust. Una chiave è considerata attendibile solo se è stata firmata dall'utente o da un firmatario fidato. Questo non significa che la firma non sia valida, ma soltanto che la chiave pubblica non è stata verificata.
Quindi, segui i passaggi qui riportati per verificare il pacchetto RPM.
**Per verificare la firma del pacchetto RPM**
1. Copia la seguente chiave pubblica e salvala in un file denominato `nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Importa la chiave pubblica nel tuo keyring.
```
PS> rpm --import nfm-agent.gpg
```
1. Verificare la firma del pacchetto di installazione. Assicurati di sostituire `agent-download-filename` con il valore specificato durante il download dell'agente, come riportato nella tabella precedente in questo argomento.
```
PS> rpm --checksig agent-download-filename
```
Ad esempio, per l'architettura x86\$164 su Amazon Linux 2023, utilizza il comando seguente:
```
PS> rpm --checksig network-flow-monitor-agent.rpm
```
Questo comando restituisce un output simile al seguente.
```
network-flow-monitor-agent.rpm: digests signatures OK
```
Se l'output contiene la frase `NOT OK (MISSING KEYS: (MD5) key-id)`, controlla di avere eseguito la procedura correttamente. Se continui a ottenere questa risposta, contatta il [Supporto AWS](https://aws.amazon.com/premiumsupport/) e non installare l'agente.
# Installazione degli agenti per le istanze Kubernetes autogestite
Segui la procedura riportata in questa sezione per installare gli agenti Network Flow Monitor per carichi di lavoro su cluster Kubernetes autogestiti. Dopo aver completato i passaggi, i pod degli agenti di Network Flow Monitor verranno eseguiti su tutti i nodi del cluster Kubernetes autogestiti.
Se utilizzi Amazon Elastic Kubernetes Service (Amazon EKS), la procedura di installazione da seguire è riportata nella sezione seguente: [Installa il componente aggiuntivo EKS AWS Network Flow Monitor Agent](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md).
**Topics**
+ [Prima di iniziare](CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin.md)
+ [Download dei grafici Helm e installazione degli agenti](CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents.md)
+ [Configurazione delle autorizzazioni per consentire agli agenti di fornire metriche](CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions.md)
# Prima di iniziare
Prima di iniziare il processo di installazione, segui i passaggi di questa sezione per assicurarti che il tuo ambiente sia configurato per installare correttamente gli agenti sui cluster Kubernetes corretti.
**Verificare che la versione di Kubernetes sia supportata**
L'installazione dell'agente Network Flow Monitor richiede la versione 1.25 di Kubernetes o una versione più recente.
**Verificare di aver installato gli strumenti necessari**
Gli script utilizzati per questo processo di installazione richiedono l'installazione dei seguenti strumenti. Se gli strumenti non sono ancora stati installati, consulta i collegamenti forniti per ulteriori informazioni.
+ Il AWS Command Line Interface (CLI). Per ulteriori informazioni, consulta [Installazione o aggiornamento alla versione più recente di AWS Command Line Interface nella](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) Guida di AWS Command Line Interface riferimento.
+ Il gestore di pacchetti Helm. Per ulteriori informazioni, consulta [Installing Helm](https://helm.sh/docs/intro/install/) sul sito web di Helm.
+ Lo strumento a riga di comando `kubectl`; Per ulteriori informazioni, consulta [Install kubectl](https://kubernetes.io/docs/tasks/tools/#kubectl) sul sito web di Kubernetes.
+ La dipendenza dei comandi `make` di Linux. Per ulteriori informazioni, consulta il seguente post del blog: [Intro to make Linux Command: Installation and Usage](https://ioflood.com/blog/install-make-command-linux/). Ad esempio, esegui una delle seguenti operazioni:
+ Per distribuzioni basate su Debian, come Ubuntu, utilizza il seguente comando: `sudo apt-get install make`
+ Per distribuzioni basate su RPM, come CentOS, utilizza il seguente comando: `sudo yum install make`
**Assicuratevi di disporre di variabili di KubeConfig ambiente valide e configurate correttamente**
L'installazione dell'agente Network Flow Monitor utilizza lo strumento di gestione dei pacchetti Helm, che utilizza la variabile kubeconfig `$HELM_KUBECONTEXT` per determinare i cluster Kubernetes di destinazione con cui lavorare. Inoltre, tieni presente che quando Helm esegue gli script di installazione, per impostazione predefinita fa riferimento al file `~/.kube/config` standard. È possibile modificare le variabili dell'ambiente di configurazione, utilizzare un file di configurazione diverso (mediante aggiornamento di `$KUBECONFIG`) o definire il cluster di destinazione con cui si desidera lavorare (aggiornando `$HELM_KUBECONTEXT`).
**Creazione di un namespace Kubernetes di Network Flow Monitor**
L'applicazione Kubernetes dell'agente Network Flow Monitor installa le proprie risorse in un namespace specifico. Il namespace deve esistere affinché l'installazione abbia successo. Per garantire che il namespace richiesto sia disponibile, è possibile eseguire una delle seguenti operazioni:
+ Crea il namespace predefinito, `amazon-network-flow-monitor`, prima di iniziare.
+ Crea uno namespace diverso, quindi definiscilo nella variabile di ambiente `$NAMESPACE` quando esegui l'installazione per creare destinazioni.
# Download dei grafici Helm e installazione degli agenti
È possibile scaricare i grafici Helm dell'agente Network Flow Monitor dall'archivio AWS pubblico utilizzando il comando seguente. Assicurati di autenticarti prima con il tuo account. GitHub
`git clone https://github.com/aws/network-flow-monitor-agent.git`
Nella directory `./charts/amazon-network-flow-monitor-agent`, puoi trovare i grafici Helm dell'agente Network Flow Monitor e Makefile che contengono le destinazioni make di installazione utilizzate per l'installazione degli agenti. Gli agenti per Network Flow Monitor vengono installati utilizzando la seguente destinazione Makefile: `helm/install/customer`
Se desideri puoi personalizzare l'installazione, ad esempio nel modo seguente:
```
# Overwrite the kubeconfig files to use
KUBECONFIG= make helm/install/customer
# Overwrite the Kubernetes namespace to use
NAMESPACE= make helm/install/customer
```
Per verificare che i pod delle applicazioni Kubernetes per gli agenti Network Flow Monitor siano stati creati e distribuiti correttamente, verifica che lo stato sia `Running`. Puoi controllare lo stato degli agenti eseguendo il seguente comando: `kubectl get pods -o wide -A | grep amazon-network-flow-monitor`
# Configurazione delle autorizzazioni per consentire agli agenti di fornire metriche
Dopo aver installato gli agenti per Network Flow Monitor, è necessario consentire agli agenti di inviare le metriche di rete all'ingestione di Network Flow Monitor. APIs Gli agenti in Network Flow Monitor devono disporre dell'autorizzazione per accedere all'ingestione di Network Flow Monitor APIs in modo da poter fornire le metriche del flusso di rete che hanno raccolto per ogni istanza. Concedi questo accesso implementando ruoli IAM per gli account di servizio (IRSA).
Per consentire agli agenti di fornire metriche di rete a Network Flow Monitor, segui i passaggi riportati in questa sezione.
1. **Implementazione dei ruoli IAM per gli account di servizio**
I ruoli IAM per gli account di servizio (IRSA) forniscono la possibilità di gestire le credenziali per le applicazioni, analogamente al modo in cui i profili di istanza Amazon EC2 forniscono le credenziali alle istanze Amazon EC2. L'implementazione di IRSA è il metodo consigliato per fornire tutte le autorizzazioni richieste dagli agenti di Network Flow Monitor per accedere correttamente all'ingestione di Network Flow Monitor. APIs Per ulteriori informazioni, consulta [IAM roles for service accounts](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) nella Guida per l'utente di Amazon EKS.
Quando configuri gli IRSA per gli agenti Network Flow Monitor, utilizza le seguenti informazioni:
+ **ServiceAccount:** Quando definisci la tua policy di fiducia per i ruoli IAM, specifica. `ServiceAccount` `aws-network-flow-monitor-agent-service-account`
+ **Namespace:** per `namespace`, specifica `amazon-network-flow-monitor`.
+ **Implementazione delle credenziali temporanee:** quando configuri le autorizzazioni dopo aver implementato i pod degli agenti di Network Flow Monitor, aggiornando `ServiceAccount` con il tuo ruolo IAM, Kubernetes non implementa le credenziali del ruolo IAM. Per garantire che gli agenti di Network Flow Monitor acquisiscano le credenziali del ruolo IAM che hai specificato, devi eseguire un riavvio di `DaemonSet`. Ad esempio, utilizza un comando di questo genere:
`kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent`
1. **Verifica che l'agente Network Flow Monitor stia accedendo correttamente all'ingestione di Network Flow Monitor APIs**
È possibile verificare che la configurazione per gli agenti funzioni correttamente utilizzando i log HTTP 200 per i pod degli agenti di Network Flow Monitor. Innanzitutto, cerca un pod di agenti Network Flow Monitor, quindi cerca nei file di log per trovare le richieste HTTP 200 riuscite. Ad esempio, puoi eseguire le operazioni seguenti:
1. Individua il nome del pod dell'agente Network Flow Monitor. Ad esempio, puoi utilizzare il seguente comando:
```
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)
```
1. Archivia tutti i log HTTP relativi al nome del pod che hai individuato. Se hai cambiato il NAMESPACE, assicurati di utilizzare quello nuovo.
```
NAMESPACE=amazon-network-flow-monitor
kubectl logs $RANDOM_AGENT_POD_NAME -\-namespace ${NAMESPACE} | grep HTTP
```
Se l'accesso è stato concesso correttamente, dovresti visualizzare voci di log simili alle seguenti:
```
...
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679}
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}
```
Tieni presente che l'agente Network Flow Monitor pubblica report sul flusso di rete ogni 30 secondi, chiamando l' APIsingestione di Network Flow Monitor.
# Inizializzazione di Network Flow Monitor
Prima di poter visualizzare le metriche delle prestazioni per i flussi di rete, è necessario inizializzare Network Flow Monitor: questa operazione concede le autorizzazioni necessarie e crea una topologia iniziale per l'account o gli account. Se prevedi di monitorare le risorse per più account, devi anche effettuare la configurazione AWS Organizations con Amazon CloudWatch. Successivamente, specifichi gli account per l'ambito di Network Flow Monitor, in modo che Network Flow Monitor possa creare una topologia iniziale per tutti gli account per i quali monitorerai le metriche delle prestazioni.
Inoltre, è necessario installare agenti sulle istanze per inviare i parametri delle prestazioni al server di ingestione di Network Flow Monitor. Per ulteriori informazioni, consulta [Installa gli agenti Network Flow Monitor su EC2 e sulle istanze Kubernetes autogestite](CloudWatch-NetworkFlowMonitor-agents.md).
I passaggi da eseguire per inizializzare Network Flow Monitor variano a seconda che si stiano misurando le metriche delle prestazioni per le risorse in un singolo account o che si desideri monitorare le metriche delle risorse di proprietà di più account dell'organizzazione.
+ [Inizializzazione del monitoraggio di un singolo account](CloudWatch-NetworkFlowMonitor-single-account.md)
+ [Inizializzazione del monitoraggio di più account](CloudWatch-NetworkFlowMonitor-multi-account.md)
# Inizializzazione di Network Flow Monitor per il monitoraggio di un singolo account
Per inizializzare Network Flow Monitor per monitorare le metriche delle prestazioni di rete, è necessario concedere le autorizzazioni e Network Flow Monitor deve creare la topologia iniziale per l'account. Quando si monitorano le risorse in un solo account, Network Flow Monitor imposta l'account come ambito per il monitoraggio della rete e crea una topologia per tale ambito.
L'inizializzazione di Network Flow Monitor effettua le seguenti operazioni:
+ Concede le autorizzazioni a Network Flow Monitor per utilizzare i ruoli collegati ai servizi richiesti con l'account. Network Flow Monitor richiede che tu conceda autorizzazioni specifiche in modo che la funzionalità possa inviare metriche ad Amazon per tuo CloudWatch conto, oltre a creare topologie di flussi di rete. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
+ Imposta l'ambito di monitoraggio per Network Flow Monitor sull' AWS account con cui hai effettuato l'accesso. Per ulteriori informazioni, consulta **Ambito** in [Componenti e caratteristiche di Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
+ Crea una topologia iniziale per il tuo ambito.
Per inizializzare Network Flow Monitor configurando i ruoli collegati ai servizi che forniscono le autorizzazioni richieste, impostando l'ambito sull'account e creando una topologia per il monitoraggio delle prestazioni del flusso di rete, procedi nel seguente modo.
**Per inizializzare Network Flow Monitor**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, in **Monitoraggio della rete**, scegli **Monitor di flusso**.
1. Nella sezione **Guida introduttiva a Network Flow Monitor**, nel Passaggio 1, scegli **Avvia inizializzazione**.
1. Nella pagina **Configura Network Flow Monitor**, scorri verso il basso e scegli **Inizializza Network Flow Monitor**.
Il completamento dell'inizializzazione può richiedere 20-30 minuti.
Dopo aver inizializzato Network Flow Monitor per il tuo account, prima di poter visualizzare le metriche delle prestazioni del flusso di rete, devi anche installare gli agenti Network Flow Monitor per le tue risorse che inviano le metriche delle prestazioni al server di importazione supportato da Network Flow Monitor. Per ulteriori informazioni, consulta [Installa gli agenti Network Flow Monitor su EC2 e sulle istanze Kubernetes autogestite](CloudWatch-NetworkFlowMonitor-agents.md).
# Inizializzazione di Network Flow Monitor per il monitoraggio di più account
Se desideri monitorare i flussi di rete in Network Flow Monitor per risorse di proprietà di account diversi, devi prima configurare Amazon CloudWatch con AWS Organizations. Per utilizzare più account in Network Flow Monitor, devi attivare l'accesso affidabile per CloudWatch ed è consigliabile registrare anche un amministratore delegato.
Inoltre, se prevedi di creare monitoraggi per i flussi di rete dalla console, devi aggiungere una policy di Network Flow Monitor al ruolo collegato alle tue risorse. La policy consente di visualizzare le risorse di altri account nella console, in modo da poter aggiungere le risorse di più account a un monitoraggio.
Per monitorare i flussi di rete relativi alle risorse di proprietà di account diversi, è necessario eseguire ulteriori passaggi di configurazione. Innanzitutto, come account di gestione, devi configurare CloudWatch con AWS Organizations per attivare l'accesso attendibile e, in genere, devi registrare anche un account amministratore delegato. Quindi, utilizzando l'account amministratore delegato, è possibile aggiungere altri account all'interno dell'organizzazione, per impostare l'ambito di osservabilità della rete e includere le risorse in tali account. Puoi anche aggiungere più account con un account di gestione, ma in Organizations è consigliabile utilizzare l'account amministratore delegato quando si lavora con le risorse di un servizio. Le istruzioni per Network Flow Monitor riportate qui di seguito si attengono a tale procedura consigliata.
Tieni presente che se non hai bisogno di monitorare i flussi di rete per le istanze di più account, puoi utilizzare Network Flow Monitor con un solo account. L'ambito di Network Flow Monitor viene impostato automaticamente sull' AWS account con cui accedi.
Utilizza le istruzioni riportate nelle sezioni seguenti per completare questa procedura.
**Topics**
+ [Panoramica della configurazione di più account](#CloudWatch-NetworkFlowMonitor-multi-account.overview)
+ [Configurazione AWS Organizations](#CloudWatch-NetworkFlowMonitor-multi-account.config-orgs)
+ [Aggiunta di più account](#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)
+ [Aggiunta di autorizzazioni per la console](#CloudWatch-NetworkFlowMonitor-multi-account.console-perms)
## Panoramica dei passaggi per l'utilizzo di più account in Network Flow Monitor
Per iniziare a usare Network Flow Monitor, tutti gli account che non hanno mai utilizzato Network Flow Monitor devono inizializzare il servizio. Quando inizializzi Network Flow Monitor per un account, Network Flow Monitor aggiunge le autorizzazioni necessarie per i ruoli collegati ai servizi e crea un ambito dell'account o degli account da includere nell'osservabilità della rete. Per utilizzare più account in Network Flow Monitor, sono necessari passaggi aggiuntivi con AWS Organizations cui eseguire l'integrazione e quindi aggiungere gli account con cui lavorare.
In breve, procedi nel seguente modo:
1. Accedi a Console di gestione AWS come account di gestione, quindi procedi come segue:
+ Completa i passaggi richiesti per l'integrazione con AWS Organizations in CloudWatch.
1. Accedi a Console di gestione AWS come account amministratore delegato, quindi procedi come segue:
+ Inizializza Network Flow Monitor, inclusa l'aggiunta di account da includere nel tuo ambito.
+ Aggiungi le autorizzazioni necessarie per accedere alle risorse presenti in altri account dalla console.
Se stai configurando Network Flow Monitor per lavorare con più account e non hai dimestichezza con questo AWS Organizations, consulta le seguenti risorse per conoscere concetti come l'account di gestione, l'accesso affidabile e l'account amministratore delegato e per scoprire come integrare Organizations con CloudWatch.
+ [Gestire gli account in un'organizzazione con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) la Guida per l' AWS Organizations utente.
+ [Amazon CloudWatch e AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) nella Guida AWS Organizations per l'utente.
Segui i passaggi nelle sezioni seguenti per indicazioni specifiche sulla configurazione di Network Flow Monitor per più account.
## Configura AWS Organizations in CloudWatch
Per configurare Network Flow Monitor con AWS Organizations, accedi all'account di gestione e attiva l'accesso affidabile per CloudWatch. Quindi, registra un account amministratore delegato da utilizzare per inizializzare Network Flow Monitor e aggiungere più account.
Se hai già configurato Organizations in CloudWatch per attivare l'accesso affidabile per Organizations in CloudWatch e registrare un account amministratore delegato, non è necessario configurare altro per Organizations specifico per Network Flow Monitor. Puoi accedere con l'account amministratore delegato di e quindi inizializzare Network Flow Monitor CloudWatch, inclusa l'aggiunta di più account per l'ambito di osservabilità della rete.
Se non hai ancora configurato Organizations in CloudWatch, segui i passaggi qui per attivare l'accesso affidabile e registrare un account amministratore delegato.
### Attiva l'accesso affidabile in CloudWatch
Prima di poter utilizzare Network Flow Monitor con più di un account nella tua organizzazione, devi attivare la funzione di accesso affidabile AWS Organizations in Amazon CloudWatch. Utilizza i seguenti passaggi per attivare l'accesso affidabile nella CloudWatch console.
**Per attivare l'accesso attendibile**
1. Accedi alla console utilizzando l'account di gestione della tua organizzazione.
1. Nella CloudWatch console, nel riquadro di navigazione, scegli **Impostazioni**.
1. Scegli la scheda **Organizzazioni**.
1. In **Impostazioni di gestione organizzativa**, scegli **Attiva**. Viene visualizzata la pagina **Abilita accesso attendibile**.
1. Per rivedere la policy relativa a questo ruolo, scegli **Visualizza autorizzazioni** per visualizzare la policy del ruolo.
1. Scegliere **Enable trusted access (Abilita accesso sicuro)**.
Ora, man mano che CloudWatch rileva le risorse, aggiorna automaticamente le informazioni sugli account per i quali hai l'autorizzazione ad accedere alle risorse in Network Flow Monitor.
### Registrazione di un account di amministratore delegato
Come procedura consigliata AWS Organizations, l'account di gestione dell'organizzazione dovrebbe registrare un account membro come account amministratore delegato per. CloudWatch Dopo aver registrato un account amministratore delegato CloudWatch, i membri dell'organizzazione possono accedere con l'account amministratore delegato per monitorare le prestazioni di rete relative alle risorse di più account in Network Flow Monitor.
Effettuando l'accesso con l'account di amministratore delegato, puoi aggiungere account al tuo ambito di osservabilità della rete in Network Flow Monitor. Sebbene l'account di gestione possa anche creare un ambito che include più account, consigliamo di seguire le best practice per AWS Organizations e di utilizzare un account di amministratore delegato per aggiungere più account in Network Flow Monitor. Per gli account membro che non sono l'account di amministratore delegato, l'ambito è limitato all'account con il quale è stato effettuato l'accesso, che viene impostato automaticamente quale ambito.
Un account di amministratore delegato per Organizations è un account membro che condivide l'accesso di amministratore per le autorizzazioni gestite dal servizio. L'account che scegli di registrare come account di amministratore delegato deve essere un account membro dell'organizzazione. È possibile utilizzare un account amministratore delegato per l'organizzazione al di fuori di CloudWatch, quindi assicurati di conoscere questo tipo di account prima di seguire questa procedura. Per ulteriori informazioni, consulta [Amazon CloudWatch e AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) nella Guida AWS Organizations per l'utente.
**Per registrare un account di amministratore delegato**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Scegli la scheda **Organizzazione**.
1. Scegliere **Registra amministratore delegato**.
1. Nella finestra **Registra amministratore delegato**, nel campo **ID account amministratore delegato**, inserisci l'ID dell'account membro di Organizations a 12 cifre.
1. Scegliere **Registra amministratore delegato**. Nella parte superiore della pagina, viene visualizzato un messaggio che indica che l'account è stato registrato correttamente. Viene visualizzata la pagina **Impostazioni dell'organizzazione**. Per visualizzare le informazioni sull'account di amministratore delegato, passa il mouse sul numero sotto **Amministratori delegati**.
Per rimuovere o modificare l'account di amministratore delegato, annulla prima la registrazione dell'account. Per ulteriori informazioni, consulta [ Deregistering a delegated administrator account](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator).
## Aggiunta di più account al proprio ambito
Per aggiungere account al tuo ambito di Network Flow Monitor, effettua l'accesso con l'account di amministratore delegato. (Puoi aggiungere account a un ambito se hai effettuato l'accesso con l'account di gestione, ma è consigliabile AWS Organizations utilizzare l'account amministratore delegato per lavorare con le risorse.)
Dopo aver effettuato l'accesso, segui i passaggi per inizializzare Network Flow Monitor, un processo che autorizza le autorizzazioni richieste per i ruoli collegati ai servizi, ti consente di impostare l'ambito per l'osservabilità della rete aggiungendo account e quindi crea una topologia iniziale per gli account nell'ambito che hai impostato. L'account con cui accedi, in questo caso l'account di amministratore delegato, viene automaticamente incluso nell'ambito di Network Flow Monitor.
**Per inizializzare Network Flow Monitor con più account nell'ambito**
1. Accedi alla console con l'account amministratore delegato della tua organizzazione.
1. Nel pannello di navigazione della CloudWatch console, in Monitoraggio della **rete, scegli Monitoraggi** di **flusso**.
1. In **Guida introduttiva a Network Flow Monitor**, nel Passaggio 1, scegli **Avvia inizializzazione**.
1. Nella pagina **Network Flow Monitor**, in **Aggiungi account**, scegli **Aggiungi**. L'account con cui hai effettuato l'accesso viene automaticamente incluso nell'ambito e appare già nella tabella **Account nell'ambito** come **(questo account)**.
1. Nella pagina di dialogo **Aggiungi account**, filtra facoltativamente gli account, quindi seleziona fino a 99 account aggiuntivi da aggiungere all'ambito. Il numero massimo di account in un ambito è 100.
1. Scegliere **Aggiungi**.
1. Scegli **Inizializza Network Flow Monitor**. Network Flow Monitor aggiunge le autorizzazioni necessarie per i ruoli collegati ai servizi, crea un ambito che include tutti gli account specificati e quindi crea una topologia iniziale delle risorse negli account inclusi nell'ambito.
Per aggiungere o rimuovere account per il tuo ambito dopo aver già inizializzato Network Flow Monitor, procedi nel seguente modo.
Tieni presente che dopo aver apportato una modifica all'ambito, per aggiungere o eliminare account, devi attendere circa 20 minuti prima di poter apportare un'altra modifica all'ambito. Questo ritardo è dovuto al fatto che Network Flow Monitor richiede un breve periodo di tempo per aggiornare le informazioni sulla topologia.
**Per aggiungere o rimuovere account per il tuo ambito**
1. Accedi alla console con l'account amministratore delegato della tua organizzazione.
1. Nel pannello di navigazione della CloudWatch console, in Monitoraggio della **rete, scegli Monitoraggi** di **flusso**.
1. In **Monitor**, seleziona un monitor.
1. Nella scheda **Dettagli del monitor**, **nell'ambito Account**, scegli **Aggiungi** o **Elimina**.
1. Seleziona gli account da aggiungere all'ambito, fino a un totale di 100 account, oppure seleziona gli account da eliminare.
1. Completa i passaggi nella finestra di dialogo di conferma.
## Configurazione delle autorizzazioni per l'accesso alle risorse multi-account (solo console)
Se prevedi di creare monitoraggi per i flussi di rete dalla console, è necessaria una policy specifica per ogni account membro del tuo ambito. Questa policy consente di visualizzare le risorse di altri account quando si aggiungono risorse locali e remote a un monitoraggio.
Per ogni account che rientra nel tuo ambito, crea un ruolo e allega la EC2 ReadOnlyAccess policy di **Amazon**. **NetworkFlowMonitorAccountResourceAccess** Per vedere i dettagli delle autorizzazioni per la politica, consulta [Amazon EC2 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) nella AWS Managed Policy Reference Guide.
Questa policy si aggiunge alla policy che devi aggiungere a ciascuna istanza in modo che l'agente Network Flow Monitor possa inviare le metriche delle prestazioni dall'istanza al server di backend di importazione di Network Flow Monitor. Per ulteriori informazioni sui requisiti per gli agenti, consulta [Installa gli agenti Network Flow Monitor su EC2 e sulle istanze Kubernetes autogestite](CloudWatch-NetworkFlowMonitor-agents.md).
La procedura seguente fornisce un riepilogo dei passaggi per creare il ruolo richiesto per l'accesso alle risorse dell'ambito nella console Network Flow Monitor. Per indicazioni generali su come creare un ruolo in IAM, consulta [Creare un ruolo per concedere autorizzazioni a un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) nella Guida per l' AWS Identity and Access Management utente.
**Per creare un ruolo per l'accesso alle risorse nella console Network Flow Monitor**
1. Accedi Console di gestione AWS e apri la console IAM.
1. Nel pannello di navigazione della console, scegli **Ruoli** e successivamente **Crea ruolo**.
1. Specifica l'entità attendibile dell'**account AWS **. Questo tipo di entità affidabile consente ai responsabili di altri AWS account di assumere il ruolo e accedere alle risorse di altri account.
1. Scegli **Next (Successivo)**.
1. Nell'elenco delle politiche AWS gestite, scegli la EC2 ReadOnlyAccess politica di **Amazon**.
1. Scegli **Next (Successivo)**.
1. Per il nome del ruolo, inserisci **NetworkFlowMonitorAccountResourceAccess**.
1. Verificare il ruolo e quindi scegliere **Create role (Crea ruolo)**.
## Installazione degli agenti sulle istanze
Per tenere traccia delle prestazioni di rete con Network Flow Monitor, oltre a inizializzare il servizio, devi anche installare gli agenti Network Flow Monitor sulle istanze EC2 del tuo carico di lavoro e aggiungere le autorizzazioni affinché gli agenti inviino le metriche delle prestazioni di rete a Network Flow Monitor. Dopo aver installato gli agenti, attendi un breve periodo di tempo (circa 20 minuti) affinché i dati inizino a essere inviati al backend di Network Flow Monitor. Dopodiché, puoi visualizzare le metriche delle prestazioni di rete nella scheda **Informazioni sul carico di lavoro** e anche creare monitoraggi per visualizzare informazioni dettagliate.
Ad esempio, puoi visualizzare le metriche sulle prestazioni dei collaboratori principali per il trasferimento dei dati e i timeout di ritrasmissione, per i flussi di rete tra le risorse locali e remote, raccolte dagli agenti di Network Flow Monitor. Visualizzando e analizzando queste metriche, puoi scegliere flussi specifici per i quali desideri visualizzare maggiori dettagli e monitorarli più da vicino con un monitoraggio. Creando un monitoraggio per flussi specifici, puoi visualizzare informazioni dettagliate su di essi, comprese le metriche, ordinate in base ai collaboratori principali per ogni tipo di metrica e percorsi di rete per ogni flusso di rete.
Oltre a un monitor, Network Flow Monitor fornisce anche un indicatore di integrità della rete (NHI), che puoi utilizzare per vedere se ci sono stati problemi di AWS rete per i flussi di rete che stai monitorando nel monitor, durante un periodo di tempo che hai selezionato. Queste informazioni possono aiutarti a decidere dove concentrare le tue attività di risoluzione dei problemi di rete.
Per ulteriori informazioni e istruzioni su come installare gli agenti, consulta [Installa gli agenti Network Flow Monitor su EC2 e sulle istanze Kubernetes autogestite](CloudWatch-NetworkFlowMonitor-agents.md).
# Monitoraggio e analisi dei flussi di rete in Network Flow Monitor
Con Network Flow Monitor, puoi ottenere informazioni sui flussi di rete e sulle prestazioni del traffico che stai monitorando nel tuo ambito. Inizia esaminando le informazioni sui collaboratori principali, per ogni tipo di metrica, nella scheda **Informazioni sul carico di lavoro**. Dopodiché, crea dei monitoraggi in modo da poter esplorare in dettaglio le prestazioni della rete, in diversi intervalli di tempo, per i flussi di rete selezionati in **Informazioni sul carico di lavoro**.
Dopo aver inizializzato Network Flow Monitor e installato gli agenti sulle istanze, Network Flow Monitor genera metriche delle prestazioni per i flussi di rete provenienti da tali istanze. Consulta le sezioni di questo capitolo per ulteriori informazioni su come utilizzare Network Flow Monitor per valutare le prestazioni di rete in Network Flow Monitor, creare monitoraggi per ottenere informazioni più approfondite e conoscere le metriche specifiche fornite da Network Flow Monitor.
I passaggi forniti in queste sezioni utilizzano la Console di gestione AWS. Puoi anche utilizzare le operazioni dell'API Network Flow Monitor con AWS Command Line Interface (AWS CLI) o AWS SDKs per esaminare le informazioni sul carico di lavoro e le metriche dei principali contributori e per creare e configurare un monitor. Per maggiori informazioni, consulta le seguenti risorse:
+ Se prevedi di utilizzare Network Flow Monitor con la CLI, consulta [Esempi di utilizzo della CLI con Network Flow Monitor](CloudWatch-NFM-get-started-CLI.md).
+ Per ulteriori informazioni sull'utilizzo delle operazioni API di Network Flow Monitor, consulta la [ Guida di riferimento all'API Network Flow Monitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).
**Topics**
+ [Valutazione dei flussi di rete](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)
+ [Creare e lavorare con i monitor](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
+ [Monitoraggio e analisi](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)
+ [Eliminazione di un ambito](CloudWatch-NetworkFlowMonitor-disable.md)
# Valutazione dei flussi di rete con approfondimenti sui carichi di lavoro
Network Flow Monitor fornisce informazioni sul carico di lavoro sui flussi di rete nell'ambito per cui abiliti il monitoraggio. Mostrando i flussi di rete dei collaboratori principali per ogni tipo di metrica, puoi vedere quali flussi presentano potenziali problemi. Puoi visualizzare le metriche di questi collaboratori principali nella console nella scheda **Informazioni sul carico di lavoro**. In Network Flow Monitor, i collaboratori principali sono i flussi di rete che hanno i valori più alti per ogni metrica delle prestazioni di rete.
**Collaboratori principali**
Nella pagina **Informazioni sul carico di lavoro** della console Network Flow Monitor, il servizio mostra le statistiche sulle prestazioni della rete dei collaboratori principali per i flussi di rete tra tutte le risorse dell'ambito di monitoraggio in cui hai implementato gli agenti.
Per compilare gli elenchi dei collaboratori principali, Network Flow Monitor determina i flussi di rete del tuo ambito che hanno i valori più alti per le ritrasmissioni, i timeout di ritrasmissione e i dati trasferiti. Questi flussi di rete sono i *collaboratori principali* per ciascun tipo di metrica.
Per quanto riguarda le informazioni sul carico di lavoro, vengono determinati i collaboratori principali per tutti i flussi di rete per i quali si ricevono informazioni sulle prestazioni, ossia i flussi di rete per tutte le risorse del tuo ambito su cui sono installati gli agenti Network Flow Monitor.
**Classificazioni dei flussi di rete**
Network Flow Monitor classifica le metriche in categorie locali-remote designate. Le metriche sono raggruppate in due tipi di flussi:
+ Flussi del **Network Health Indicator (NHI): flussi** che contribuiscono ai calcoli del Network Health Indicator (NHI):
+ Tra AZs ()`INTER_AZ`. Sempre all'interno dello stesso VPC.
+ All'interno di AZs (`INTRA_AZ`). Sempre all'interno dello stesso VPC.
+ Tra VPCs (`INTER_VPC`). Attraversa il confine tra. VPCs
+ Tra regioni ()`INTER_REGION`. Ciò significa prestazioni per i flussi di rete tra le risorse della propria regione e la periferia di un'altra regione.
+ Verso i bucket Amazon S3 (`AMAZON_S3`)
+ Verso Amazon DynamoDB (`AMAZON_DYNAMODB`)
+ Flussi **non Network Health Indicator (NHI): flussi** che non contribuiscono ai calcoli del Network Health Indicator (NHI):
+ Verso Internet (). `INTERNET` Flussi che attraversano un Internet Gateway e terminano sulla rete Internet pubblica.
+ Verso i servizi AWS (`AWS_SERVICE`). Flussi che terminano con un AWS servizio non completamente monitorato (come CloudFront API Gateway).
+ Verso un Transit Gateway (`TRANSIT_GATEWAY`). I flussi in questa classificazione sono flussi che arrivano a un Transit Gateway, ma la destinazione finale del flusso è sconosciuta.
+ Verso una zona locale (`LOCAL_ZONE`). Flussi che iniziano o terminano in una zona locale
+ Qualsiasi altro flusso che non può essere classificato in altro modo (`UNCLASSIFIED`).
**Metriche delle prestazioni**
Le metriche delle prestazioni su **Informazioni sul carico di lavoro** sono mostrate in tabelle separate per il seguente tipo di metrica: ritrasmissioni, timeout di ritrasmissione e dati trasferiti. I dati forniti si riferiscono ai collaboratori principali per ogni tipo. Tieni presente che dopo la prima installazione degli agenti di Network Flow Monitor, è previsto un periodo di attesa (circa 20 minuti) prima di poter visualizzare le metriche delle prestazioni, mentre gli agenti raccolgono e inviano dati al backend di Network Flow Monitor.
**Monitoraggio di flussi di rete specifici**
Quando esamini le metriche delle prestazioni, se vedi risorse o flussi di rete specifici per i quali desideri approfondire i dettagli, puoi creare un monitoraggio che includa solo tali flussi.
Con un monitoraggio, puoi tenere traccia di gruppi specifici di flussi di rete per un periodo di tempo, per ottenere informazioni dettagliate su un aspetto del tuo carico di lavoro. Puoi anche ottenere utili informazioni sulla risoluzione dei problemi, ad esempio controllando l'indicatore di integrità della rete (NHI) per vedere se i problemi riscontrati sono causati da AWS problemi.
Per ulteriori informazioni, consulta [Creazione e utilizzo dei monitoraggi in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
**Copertura di più account**
Per utilizzare più account in Network Flow Monitor, è necessario configurare AWS Organizations l'integrazione con. CloudWatch Configurando Organizations, puoi aggiungere account all'ambito della copertura di Network Flow Monitor. Quindi, se nel tuo ambito sono presenti più account, ognuno dei quali dispone di risorse tra cui monitorare i flussi di rete, puoi specificare un ambito che includa tutti gli account e visualizzare le metriche delle prestazioni raccolte dagli agenti di Network Flow Monitor che hai installato sulle tue risorse. Per ulteriori informazioni, consulta [Inizializzazione di Network Flow Monitor per il monitoraggio di più account](CloudWatch-NetworkFlowMonitor-multi-account.md).
# Creazione e utilizzo dei monitoraggi in Network Flow Monitor
Crea un monitoraggio per visualizzare i dettagli sulle prestazioni di rete per uno o più flussi di rete per un carico di lavoro. Per ogni monitor, Network Flow Monitor pubblica metriche end-to-end delle prestazioni e un indicatore di integrità della rete (NHI) e genera percorsi di rete dei singoli flussi di rete. Dopo aver creato un monitoraggio, puoi visualizzare le informazioni fornite dal monitoraggio nella scheda **Monitoraggi**.
I monitor di flusso possono aiutarti a valutare i problemi di prestazioni della rete che influiscono sui carichi di lavoro, compresi i problemi all'interno di una rete AWS globale tra una Regione AWS regione locale e una remota. L'indicatore di integrità della rete (NHI) fornito dal monitor rileva anche lo stato della rete AWS globale sui percorsi di rete del carico di lavoro tra le regioni. Ciò consente di identificare rapidamente se i problemi in una regione locale, nella rete AWS globale o nella regione remota influiscono sui carichi di lavoro.
Per le Regioni remote, i monitoraggi possono fornire visibilità di rete per i flussi verso l'indirizzo IP pubblico della Regione e per il traffico privato che fluisce verso una Regione remota tramite peering VPC o peering Transit Gateway.
Dopo la creazione, potrai modificare il monitoraggio per apportare modifiche (tranne al nome) o eliminarlo in qualsiasi momento.
Le seguenti sezioni includono le procedure per la creazione, la modifica e l'eliminazione dei monitoraggi nella console Network Flow Monitor.
**Topics**
+ [Creazione di un monitoraggio](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)
+ [Modifica di un monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)
+ [Eliminazione di un monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)
# Creazione di un monitoraggio in Network Flow Monitor
Quando esamini i collaboratori principali nella scheda **Informazioni sul carico di lavoro**, se vedi uno o più flussi di rete che desideri seguire nel tempo o sui quali desideri maggiori dettagli, puoi creare un monitoraggio direttamente da **Informazioni sul carico di lavoro**. Questo semplifica il processo di creazione di un monitoraggio per flussi di rete specifici.
Oppure, se conosci flussi di rete specifici che desideri monitorare con un monitor, ad esempio visualizzando le informazioni sulle prestazioni di tutti i flussi di rete verso un altro Regione AWS, puoi utilizzare la procedura guidata **Crea monitor** per creare un monitor da zero. Quando si crea un monitoraggio in questo modo, si specificano tutte le risorse locali e remote che definiscono i flussi di rete che si desidera monitorare.
Per le procedure specifiche, consulta le sezioni indicate di seguito:
+ [Creazione di un monitoraggio specificando i flussi di rete](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights)
+ [Creazione di un monitoraggio specificando le risorse locali e remote](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone)
## Creazione di un monitoraggio specificando i flussi di rete
Per creare un monitoraggio selezionando i flussi di rete, inizia dalla scheda **Informazioni sul carico di lavoro**. Seleziona uno o più flussi di rete in una delle tabelle, in una singola Regione, quindi scegli di creare un monitoraggio con tali flussi.
Quando crei un monitoraggio in questo modo, la procedura guidata **Crea monitoraggio** precompila automaticamente le risorse locali e remote e le visualizza in una finestra di dialogo modale. Puoi scegliere di creare un monitor con tali risorse o modificare la selezione di risorse locali o remote da aggiungere o rimuovere risorse da includere.
Esaminando regolarmente i collaboratori principali in **Informazioni sul carico di lavoro**, puoi decidere se disponi dei monitoraggi necessari o se è utile crearne di nuovi.
**Importante**
Questi passaggi sono pensati per essere completati tutti in una volta. Non sarà possibile salvare un'operazione in corso per riprenderla in un secondo momento.
**Per creare un monitoraggio da **Informazioni sul carico di lavoro****
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, in **Monitoraggio della rete**, scegli **Monitor di flusso**.
1. Scegli **Informazioni sul carico di lavoro**.
1. In una delle tabelle dei **Collaboratori principali**, seleziona uno o più flussi di rete, quindi scegli **Crea monitoraggio**.
1. Nella finestra modale che si apre, puoi modificare le risorse che definiscono i flussi di rete che hai scelto o scegliere **Crea monitoraggio**.
## Creazione di un monitoraggio specificando le risorse locali e remote
Puoi creare un monitoraggio per le risorse locali e remote specifiche che definiscono i flussi di rete di cui desideri visualizzare i dettagli in qualsiasi momento.
Ad esempio, è possibile creare un monitoraggio per uno dei seguenti scenari:
+ Un monitoraggio che include i flussi di rete per un VPC specifico in una Regione locale verso un altro VPC nella stessa Regione. Tieni presente che non puoi selezionare una risorsa specifica, ad esempio un VPC, come endpoint del flusso di rete, ossia la risorsa remota, in un'altra Regione.
+ Per la risorsa locale, scegli **Risorse specifiche nella *Regione***. Quindi, scegli **VPC e sottoreti** e nella tabella seleziona un VPC specifico.
+ Per la risorsa remota, fai lo stesso: scegli **Risorse specifiche nella *Regione***, quindi scegli **VPC e sottoreti** e infine seleziona un VPC specifico.
+ Un monitoraggio che include tutti i flussi di rete dal carico di lavoro in una Regione locale a una zona di disponibilità specifica.
+ Per la risorsa locale, scegli **Ovunque nella *Regione***
+ Per la risorsa remota, scegli **Zona di disponibilità**, quindi scegli una AZ specifica
+ Un monitoraggio che include tutti i flussi di rete per il carico di lavoro all'interno di una Regione locale.
+ Per la risorsa locale, scegli **Ovunque nella *Regione***
+ Per la risorsa remota, scegli **Ovunque nella *Regione***
+ Un monitoraggio che include tutti i flussi di rete per il carico di lavoro da una Regione locale all'edge di un'altra Regione.
+ Per la risorsa locale, scegli **Ovunque nella *Regione***
+ Per la risorsa remota, scegli **Un'altra Regione**, quindi scegli la Regione remota
**Importante**
Questi passaggi sono pensati per essere completati tutti in una volta. Non sarà possibile salvare un'operazione in corso per riprenderla in un secondo momento.
**Creazione di un monitor utilizzando la console**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, in **Monitoraggio della rete**, scegli **Monitor di flusso**.
1. Dalla pagina Network Flow Monitor, seleziona la scheda **Monitor**, quindi scegli **Crea monitor**.
1. In **Nome del monitoraggio**, inserisci il nome che desideri utilizzare per questo monitoraggio. Non è possibile modificare questo nome in un secondo momento.
1. Scegli **Next (Successivo)**.
1. Seleziona le risorse locali (una o più) per i flussi di rete che desideri monitorare.
+ Per monitorare i flussi di rete provenienti da tutte le risorse della tua Regione, scegli **Ovunque nella *Regione***.
+ Per scegliere risorse locali specifiche da cui monitorare i flussi, scegli **Risorse specifiche nella *regione***. Quindi, in **Aggiungi risorse**, scegli **Zone di disponibilità**, **cluster EKS** o **VPCs sottoreti**, quindi scegli le risorse da aggiungere.
1. Scegli **Next (Successivo)**.
1. Seleziona le risorse remote (una o più) per i flussi di rete che desideri monitorare.
+ Per monitorare i flussi di rete diretti verso tutte le risorse della tua Regione, scegli **Ovunque nella *Regione***.
+ *Per monitorare i flussi provenienti da risorse remote specifiche, scegli **Risorse specifiche** nella regione.* In **Aggiungi risorse**, seleziona **VPCs le sottoreti, le** **zone di disponibilità** o **AWS i servizi**, quindi scegli le risorse da aggiungere.
+ Per monitorare i flussi di rete verso l'edge di un'altra Regione, scegli **Un'altra Regione**.
1. Scegli **Next (Successivo)**.
1. Controlla le tue scelte per confermare i flussi di rete da monitorare o modifica le opzioni per apportare modifiche.
1. Scegli **Crea monitor**.
Dopo aver creato un monitor, puoi modificarlo o eliminarlo in qualsiasi momento per aggiungere o rimuovere flussi di rete. Seleziona un monitor, quindi scegli **Modifica** o **Elimina**. Si ricorda che non è possibile cambiare il nome di un monitor.
**Per visualizzare il pannello di controllo di Network Flow Monitor**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione, in **Monitoraggio della rete**, scegli **Monitor di flusso**.
La scheda **Monitors** (Monitoraggi) mostra un elenco dei monitoraggi che hai creato.
Per visualizzare ulteriori informazioni su un monitoraggio specifico, selezionalo.
# Modifica di un monitoraggio in Network Flow Monitor
È possibile modificare un monitoraggio in qualsiasi momento per aggiungere o rimuovere flussi di rete.
Non puoi modificare il nome di un monitor dopo averlo creato.
**Importante**
Questi passaggi sono pensati per essere completati tutti in una volta. Non sarà possibile salvare un'operazione in corso per riprenderla in un secondo momento.
**Per modificare un monitor tramite la console**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, in **Monitoraggio della rete**, scegli **Monitor di flusso**.
1. Nella scheda **Monitoraggi**, seleziona un monitoraggio, quindi nel menu **Operazioni** scegli **Modifica**.
1. Seleziona le risorse locali o remote che desideri aggiungere o rimuovere per il monitoraggio. Se nel tuo ambito sono presenti più account, specifica l'account in cui si trovano le risorse, quindi scegli le risorse.
1. Al termine dell'aggiornamento del monitoraggio, scegli **Avanti** per rivedere e confermare i flussi di rete da monitorare.
1. Scegli **Salva monitoraggio**.
# Eliminazione di un monitoraggio in Network Flow Monitor
Per eliminare un monitoraggio in Network Flow Monitor, procedi nel seguente modo.
**Per eliminare un monitoraggio**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, in **Monitoraggio della rete**, scegli **Monitor di flusso**.
1. Nella scheda **Monitoraggi**, seleziona un monitoraggio, quindi nel menu **Operazioni** scegli **Elimina**.
1. Nella finestra di dialogo che si apre, immetti il testo di conferma e quindi scegli **Elimina**.
# Monitoraggio e analisi dei flussi di rete con un monitoraggio Network Flow Monitor
I dati e i grafici di Network Flow Monitor consentono di visualizzare e tenere traccia dei problemi di rete. Puoi creare monitor per visualizzare informazioni dettagliate su segmenti di rete specifici per i tuoi AWS carichi di lavoro, inclusa una visualizzazione del percorso di rete per i singoli flussi di rete. Dopo aver creato uno o più monitoraggi in Network Flow Monitor, puoi osservare le prestazioni e le metriche ed esplorare i dati storici per individuare anomalie.
Per visualizzare le informazioni fornite da un monitoraggio, nella scheda **Monitoraggi** scegli un monitoraggio nella tabella **Monitoraggi**. Quindi, scegli una delle seguenti schede per ulteriori informazioni: **Panoramica**, **Esploratore cronologico** o **Dettagli del monitoraggio**.
**Scheda Panoramica**
Nella scheda **Panoramica**, puoi esaminare quanto segue per i periodi di tempo specificati. Per visualizzare una gamma più o meno ampia di informazioni storiche, inclusi i dati NHI e di riepilogo sul traffico, modifica la selezione del periodo di tempo nella parte superiore della pagina.
+ **Indicatore dello stato della rete (NHI):** NHI ti avvisa se si sono verificati problemi di AWS rete per uno o più flussi di rete tracciati dal monitor, durante l'intervallo di tempo selezionato per la visualizzazione delle metriche prestazionali. NHI è un valore binario, ossia 1 o 0, che viene visualizzato nella console come **Degradato** o **Integro**.
+ L'indicatore NHI viene visualizzato come **Degradato** se si sono verificati problemi con la parte di rete AWS attraversata da qualsiasi flusso di rete del monitoraggio in qualsiasi momento durante l'intervallo di tempo selezionato.
+ Altrimenti, NHI viene visualizzato come **Integro**.
Se l'indicatore NHI è **degradato**, puoi visualizzare il grafico a barre dell'**Indicatore di integrità della rete** per ulteriori informazioni. Il grafico mostra quando, durante l'intervallo di tempo selezionato, si sono verificati problemi di rete per i flussi di AWS rete tracciati dal monitor.
+ **Riepilogo del traffico:** osserva le metriche generali per i flussi tracciati da questo monitoraggio per il periodo di tempo selezionato. È possibile visualizzare il tempo medio di andata e ritorno, le somme (totali) dei timeout di trasmissione e delle ritrasmissioni e la quantità media di dati trasferiti per i flussi nel monitoraggio. Tieni presente che i dati RTT possono essere scarsi perché non sempre il valore RTT viene calcolato.
**Scheda Esploratore cronologico**
Nella pagina **Esploratore cronologico** per un monitoraggio, puoi approfondire le informazioni su flussi specifici. Puoi esaminare le metriche e i percorsi di rete per i flussi di rete dei collaboratori principali per intervalli di tempo specificati. Nelle tabelle delle metriche, puoi filtrare i dati in base a diverse categorie di flussi, ad esempio i flussi tra zone di disponibilità (`INTER_AZ`).
+ **Metriche:** visualizza informazioni dettagliate per i principali contributori per ogni tipo di metrica per cui Network Flow Monitor aggrega i dati. Vengono fornite tabelle separate dei collaboratori principali per i timeout di ritrasmissione, le ritrasmissioni, il tempo di andata e ritorno e i dati trasferiti.
+ **Percorsi di rete:** per avere un'idea di dove si verificano le anomalie, è possibile visualizzare il percorso di rete di un flusso di rete. Quando scegli una metrica specifica in una tabella delle metriche, il percorso di rete per quel flusso viene visualizzato sotto la tabella.
**Scheda Dettagli del monitoraggio**
Nella scheda **Dettagli del monitoraggio**, puoi visualizzare i dettagli sul monitoraggio, tra cui lo stato del monitoraggio, l'ARN, la data di creazione e l'ultimo aggiornamento e i flussi inclusi.
Puoi scegliere di modificare o eliminare un monitoraggio da qualsiasi pagina nella scheda **Monitoraggi**.
Come parte dell'uso regolare di Network Flow Monitor, ti consigliamo di esaminare periodicamente i dati nella pagina **Informazioni sul carico di lavoro** per determinare se ci sono nuovi flussi che mostrano anomalie delle metriche che desideri monitorare più da vicino nel tempo. Quando vedi una serie di flussi nella pagina **Informazioni sul carico di lavoro** di cui vuoi esaminare i dettagli, seleziona i flussi e crea un monitoraggio dedicato.
# Eliminazione dell’ambito di Network Flow Monitor
Se decidi di non voler più monitorare i flussi di rete utilizzando Network Flow Monitor, puoi eliminare l'ambito di Network Flow Monitor. Quando si elimina l'ambito, non è più possibile visualizzare le informazioni sulle prestazioni della rete.
Prima di poter eliminare l'ambito, è necessario eliminare tutti i monitoraggi. Si ricorda che possono essere necessari circa 15 minuti per completare la rimozione dei monitor dopo averne richiesto l’eliminazione. Per ulteriori informazioni, consulta [Eliminazione di un monitoraggio in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md).
**Per eliminare l'ambito**
1. Apri la console all'indirizzo. CloudWatch [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Nel pannello di navigazione a sinistra, in **Monitoraggio della rete**, scegli **Monitor di flusso**.
1. Nella scheda **Impostazioni**, scegli **Elimina ambito**.
1. Nella finestra di dialogo, immetti il testo di conferma, quindi scegli **Elimina ambito**.
# Visualizza le metriche di Network Flow Monitor in CloudWatch
Network Flow Monitor pubblica le seguenti metriche delle prestazioni del flusso di rete sull'account: tempo di andata e ritorno, ritrasmissioni TCP, timeout di ritrasmissione TCP, dati trasferiti e indicatore di integrità della rete. Puoi visualizzare queste metriche in CloudWatch Metriche nella console Amazon CloudWatch .
Per trovare tutte le metriche per il tuo monitor, nella dashboard CloudWatch Metrics, consulta lo spazio dei nomi personalizzato. `AWS/NetworkFlowMonitor` Le metriche vengono aggregate per ogni monitoraggio implementato e attivo.
Network Flow Monitor fornisce le metriche seguenti. Tieni presente che RoundTripTime i dati possono essere scarsi, poiché questa metrica non viene sempre calcolata.
| Metrica | Description |
| --- | --- |
| DataTransferred | Il numero di byte trasferiti per tutti i flussi per un monitoraggio. |
| Ritrasmissioni | Numero totale di ritrasmissioni per un monitoraggio. Le ritrasmissioni si verificano quando il mittente deve inviare nuovamente pacchetti danneggiati o persi. |
| Timeout | Timeout totali di ritrasmissione per un monitoraggio. Ciò si verifica quando al mittente mancano troppe conferme e decide quindi di prendersi una pausa e interrompere del tutto l'invio. |
| RoundTripTime | Tempo medio di andata e ritorno dei flussi di rete per un monitoraggio. Questa metrica, misurata in microsecondi, è una misura delle prestazioni. Registra il tempo impiegato per la trasmissione del traffico da una risorsa locale a un indirizzo IP remoto e per la ricezione della risposta associata. Il tempo è una media del periodo di aggregazione. I dati possono essere scarsi perché non sempre questa metrica viene calcolata. |
| HealthIndicator | Indicatore di integrità della rete (NHI) per un monitoraggio generale. L'indicatore di integrità della rete (NHI) è un valore che evidenzia una compromissione della rete. AWS Il valore di NHI è 1 (degradato) se si è verificato un problema nella rete AWS durante un periodo di tempo specificato. È impostato su 0 (integro) se non sono stati rilevati problemi nella rete AWS . Osservare l'indicatore NHI può aiutarti a dare priorità alla risoluzione dei problemi del tuo carico di lavoro o della rete AWS . |
# Creazione di allarmi con Network Flow Monitor
Puoi creare CloudWatch allarmi Amazon in base ai parametri di Network Flow Monitor, proprio come puoi fare per altri CloudWatch parametri.
Ad esempio, puoi creare un allarme basato sulla metrica `Retransmissions` di Network Flow Monitor e configurarla per inviare una notifica quando la metrica è superiore a un valore scelto. Puoi configurare gli allarmi per i parametri di Network Flow Monitor seguendo le stesse linee guida degli altri parametri. CloudWatch
Di seguito sono riportati alcuni esempi di metriche di Monitor Internet per le quali potresti scegliere di creare un allarme:
+ **Ritrasmissioni**
+ **Timeout**
+ **RoundTripTime**
Per visualizzare tutte le metriche disponibili per Network Flow Monitor, consulta [Crea un CloudWatch allarme basato su una soglia statica](ConsoleAlarms.md).
La procedura seguente fornisce un esempio di impostazione di un allarme sulle **ritrasmissioni** accedendo alla metrica nella dashboard. CloudWatch Quindi, segui i CloudWatch passaggi standard per creare un allarme in base a una soglia scelta e impostare una notifica o scegliere altre opzioni.
**Per creare un allarme per le **ritrasmissioni** in Metrics CloudWatch**
1. Apri la console all' CloudWatch indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Seleziona **Parametri**, quindi scegli **Tutti i parametri**.
1. Filtra per Network Flow Monitor scegliendo `AWS/NetworkFlowMonitor`.
1. Scegli **MeasurementSource, MonitorName**.
1. Nell'elenco, seleziona **Ritrasmissioni**.
1. Nella **GraphedMetrics**scheda, in **Azioni**, scegli l'icona a forma di campana per creare un allarme basato su una soglia statica.
Ora segui i CloudWatch passaggi standard per scegliere le opzioni per l'allarme. Ad esempio, puoi scegliere di ricevere una notifica tramite un messaggio Amazon SNS se **Ritrasmissioni** è inferiore a un numero di soglia specifico. In alternativa, o in aggiunta, puoi aggiungere l'allarme a un pannello di controllo.
Ricorda:
+ Le metriche di Network Flow Monitor vengono in genere aggregate e inviate al backend di Network Flow Monitor ogni 30 secondi, con un potenziale jitter di 5 secondi (in altre parole, da 25 a 35 secondi).
+ Quando crei un allarme basato sulle metriche di Network Flow Monitor, assicurati di tenere conto del breve ritardo prima della pubblicazione quando imposti il periodo di ricerca posticipata di un allarme. Ti consigliamo di configurare i **Periodi di valutazione** con un periodo di ricerca posticipata di almeno 25 minuti.
Per ulteriori informazioni sulle opzioni disponibili durante la creazione di un CloudWatch avviso, consulta[Crea un CloudWatch allarme basato su una soglia statica](ConsoleAlarms.md).
# AWS CloudTrail per Network Flow Monitor
Il monitoraggio di un servizio è una parte importante per mantenere l'affidabilità, la disponibilità e le prestazioni di Network Flow Monitor e delle altre AWS soluzioni. *AWS CloudTrail*acquisisce le chiamate API e gli eventi correlati effettuati da o per conto tuo Account AWS e invia i file di log a un bucket Amazon S3 da te specificato. Puoi identificare quali utenti e account hanno chiamato AWS, l’indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. Per ulteriori informazioni, consultare la [Guida per l'utente AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Per ulteriori informazioni sulla CloudTrail registrazione di Network Flow Monitor, consulta. [Network Flow Monitor in CloudTrail](logging_cw_api_calls.md#CloudWatch-NetworkFlowMonitor-info-in-ct)
# Risoluzione dei problemi in Network Flow Monitor
Questa sezione fornisce indicazioni sulla risoluzione degli errori con Network Flow Monitor, inclusa la risoluzione dei problemi relativi all'installazione degli agenti.
## Risoluzione dei problemi relativi all'installazione degli agenti EKS
Quando tenti di aggiornare il componente aggiuntivo AWS Network Flow Monitor Agent per EKS dalla versione 1.0.0 alla versione 1.0.1 in poi Console di gestione AWS, potresti ricevere il seguente messaggio di errore:
“L'account di servizio `aws-network-flow-monitoring-agent-service-account` nella configurazione di Pod Identity non è supportato per il componente aggiuntivo `aws-network-flow-monitoring-agent`”.
Questo errore viene restituito perché una risorsa è stata rinominata. Il componente aggiuntivo EKS v1.0.1 modifica il nome dell'account del servizio da `aws-network-flow-monitoring-agent-service-account` a `aws-network-flow-monitor-agent-service-account`.
Quindi, se **Non impostato** non è selezionato nella console, l'associazione Pod Identity non viene reimpostata sul nuovo nome della risorsa.
Per risolvere questo problema, effettua le seguenti operazioni quando esegui l'aggiornamento alla nuova versione utilizzando la console:
1. In **Ruolo IAM di Pod Identity per l'account di servizio**, seleziona **Non impostato**.
1. Seleziona **Nuova versione (v1.0.1)**.
1. Seleziona **Aggiorna**.
1. Scegli **Save changes** (Salva modifiche).
# Sicurezza e protezione dei dati in Network Flow Monitor
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità che si applicano a Network Flow Monitor, vedi [AWS Servizi nell'ambito del programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a comprendere come applicare il modello di responsabilità condivisa quando usi Network Flow Monitor. Gli argomenti seguenti illustrano come configurare Network Flow Monitor per soddisfare gli obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse di Network Flow Monitor.
**Topics**
+ [Protezione dei dati in Network Flow Monitor](data-protection-nfw.md)
+ [Sicurezza dell'infrastruttura in Network Flow Monitor](infrastructure-security-nfw.md)
+ [Identity and Access Management per Network Flow Monitor](CloudWatch-NetworkFlowMonitor-security-iam.md)
# Protezione dei dati in Network Flow Monitor
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in Network Flow Monitor. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Network Flow Monitor o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
# Sicurezza dell'infrastruttura in Network Flow Monitor
In quanto servizio gestito, Network Flow Monitor è protetto dalle procedure di sicurezza di rete AWS globali descritte nel white paper di [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Utilizzi chiamate API AWS pubblicate per accedere a Network Flow Monitor attraverso la rete. I client devono supportare Transport Layer Security (TLS) 1.0 o versioni successive. È consigliabile TLS 1.2 o versioni successive. I client devono, inoltre, supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
# Identity and Access Management per Network Flow Monitor
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (chi ha effettuato l'accesso) e *autorizzato* (chi dispone di autorizzazioni) a utilizzare le risorse di Network Flow Monitor. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Funzionamento di Network Flow Monitor con IAM](security_iam_service-with-iam-network-flow-monitor.md)
+ [AWS politiche gestite](security-iam-awsmanpol-network-flow-monitor.md)
+ [Ruoli collegati ai servizi](using-service-linked-roles-network-flow-monitor.md)
# Funzionamento di Network Flow Monitor con IAM
Prima di utilizzare IAM per gestire l'accesso a Network Flow Monitor, scopri quali funzionalità di IAM sono disponibili per l'uso con Network Flow Monitor.
Per vedere le tabelle che mostrano una visione di alto livello simile su come AWS i servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Funzionalità IAM che possono essere utilizzate con Network Flow Monitor**
| Funzionalità IAM | Supporto per Network Flow Monitor |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies-nfm) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies-nfm) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions-nfm) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources-nfm) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys-nfm) | Sì |
| [ACLs](#security_iam_service-with-iam-acls-nfm) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags-nfm) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds-nfm) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions-nfm) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service-nfm) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked-nfm) | Sì |
## Policy basate sull'identità per Network Flow Monitor
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
## Policy basate sulle risorse all'interno di Network Flow Monitor
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli IAM e le policy di bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica.
## Operazioni delle policy per Network Flow Monitor
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di operazioni di Network Flow Monitor, consulta [Actions defined by Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions) nella *documentazione di riferimento sull'autorizzazione del servizio*.
Le operazioni delle policy in Network Flow Monitor utilizzano il seguente prefisso prima dell'operazione:
```
networkflowmonitor
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"networkflowmonitor:action1",
"networkflowmonitor:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "networkflowmonitor:Describe*"
```
## Risorse di policy per Network Flow Monitor
**Supporta le risorse relative alle policy:** sì
In *Informazioni di riferimento sull'autorizzazione del servizio*, è possibile visualizzare le seguenti informazioni relative a Network Flow Monitor:
+ Per visualizzare un elenco dei tipi di risorse di Network Flow Monitor e relativi ARNs, vedi [Risorse definite da Network Flow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-resources-for-iam-policies) Monitor.
+ Per informazioni sulle operazioni che è possibile specificare con l'ARN di ogni risorsa, consulta [Actions defined by Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions).
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
## Chiavi di condizione delle policy per Network Flow Monitor
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco di chiavi di condizione di Network Flow Monitor, consulta [Condition keys for Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-policy-keys) nella *documentazione di riferimento sull'autorizzazione del servizio*. Per informazioni su operazioni e risorse con cui è possibile utilizzare una chiave di condizione, consulta [Actions defined by Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions).
## ACLs in Network Flow Monitor
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Network Flow Monitor
**Supporta ABAC (tag nelle policy):** sì
Network Flow Monitor supporta *parzialmente* i tag nelle policy. Supporta il tagging per una risorsa: i monitor.
Per utilizzare i tag con Network Flow Monitor, usa o un SDK. AWS Command Line Interface AWS Il tagging per Network Flow Monitor non è supportato con. Console di gestione AWS
Per ulteriori informazioni sull'uso dei tag nelle policy in generale, consulta le seguenti informazioni.
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Network Flow Monitor
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni del principale tra servizi per Network Flow Monitor
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale che chiama e, in combinazione con la richiesta Servizio AWS, Servizio AWS per effettuare richieste ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Network Flow Monitor
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
## Ruolo collegato ai servizi per Network Flow Monitor
**Supporta i ruoli collegati ai servizi:** Sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni sul ruolo collegato ai servizi per Network Flow Monitor, consulta [Ruoli collegati ai servizi per Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
Per i dettagli sulla creazione o la gestione di ruoli collegati ai servizi in generale in AWS, consulta [AWS Servizi che](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) funzionano con IAM. Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# AWS politiche gestite per Network Flow Monitor
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: CloudWatchNetworkFlowMonitorServiceRolePolicy
Non è possibile collegare `CloudWatchNetworkFlowMonitorServiceRolePolicy`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio denominato **AWSServiceRoleForNetworkFlowMonitor**, che pubblica i risultati dell'aggregazione della telemetria di rete, raccolti dagli agenti di Network Flow Monitor, su. CloudWatch Inoltre, consente al servizio di utilizzare AWS Organizations per ottenere informazioni per scenari multi-account.
Per vedere le autorizzazioni per questa policy, consulta [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
## AWS politica gestita: CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
Non è possibile collegare ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`alle entità IAM. Questa politica è associata a un ruolo collegato al servizio denominato. **AWSServiceRoleForNetworkFlowMonitor\$1Topology** Utilizzando queste autorizzazioni, oltre alla raccolta di informazioni interne sui metadati (per l'efficienza delle prestazioni), questo ruolo collegato ai servizi raccoglie metadati sulle configurazioni delle reti di risorse, ad esempio la descrizione di tabelle di routing e gateway, per le risorse per le quali questo servizio monitora il traffico di rete. Questi metadati consentono a Network Flow Monitor di generare snapshot della topologia delle risorse. In caso di deterioramento della rete, Network Flow Monitor utilizza le topologie per fornire informazioni sulla localizzazione dei problemi nella rete e per determinare l'attribuzione dei problemi.
Per vedere le autorizzazioni per questa policy, consulta [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
## AWS politica gestita: CloudWatchNetworkFlowMonitorAgentPublishPolicy
Puoi utilizzare questa policy nei ruoli IAM collegati alle risorse delle istanze Amazon EC2 e Amazon EKS per inviare report di telemetria (metriche) a un endpoint Network Flow Monitor.
Per vedere le autorizzazioni per questa policy, consulta [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Aggiornamenti dei ruoli collegati ai servizi per Network Flow Monitor
Per gli aggiornamenti alle politiche AWS gestite per i ruoli collegati al servizio Network Flow Monitor, consulta la [tabella degli aggiornamenti delle politiche AWS gestite](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates) per. CloudWatch [Puoi anche iscriverti agli avvisi RSS automatici nella pagina della CloudWatch cronologia dei documenti.](DocumentHistory.md)
# Ruoli collegati ai servizi per Network Flow Monitor
Network Flow Monitor utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo di ruolo IAM univoco collegato direttamente a Network Flow Monitor. Il ruolo collegato al servizio è predefinito da Network Flow Monitor e include tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per conto dell'utente. AWS
Network Flow Monitor definisce le autorizzazioni dei ruoli collegati ai servizi e, salvo diversamente definito, solo Network Flow Monitor potrà assumere tali ruoli. Le autorizzazioni definite includono le policy di attendibilità e le policy delle autorizzazioni; queste ultime non possono essere collegate a nessun'altra entità IAM.
È possibile eliminare i ruoli solo dopo aver eliminato le risorse correlate. Questa limitazione protegge le risorse di Network Flow Monitor poiché impedisce la rimozione involontaria delle autorizzazioni per accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Yes** (Sì) nella colonna **Service-linked roles** (Ruoli collegati ai servizi). Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni dei ruoli collegati ai servizi per Network Flow Monitor
Network Flow Monitor utilizza i seguenti ruoli collegai ai servizi:
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**
### Autorizzazioni di ruolo collegate al servizio per AWSService RoleForNetworkFlowMonitor
Network Flow Monitor utilizza il ruolo collegato al servizio denominato. **AWSServiceRoleForNetworkFlowMonitor** Questo ruolo consente a Network Flow Monitor di pubblicare metriche di telemetria CloudWatch aggregate raccolte per il traffico di rete tra istanze e tra istanze e posizioni. AWS Consente inoltre al servizio di utilizzare AWS Organizations per ottenere informazioni per scenari con più account.
Il ruolo collegato ai servizi utilizza la policy gestita `CloudWatchNetworkFlowMonitorServiceRolePolicy`.
Per vedere le autorizzazioni per questa policy, consulta [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
Ai fini dell’assunzione del ruolo, il ruolo collegato ai servizi **AWSServiceRoleForNetworkFlowMonitor** considera attendibile il seguente servizio:
+ `networkflowmonitor.amazonaws.com`
### Autorizzazioni di ruolo collegate ai servizi per AWSServiceRoleForNetworkFlowMonitor\$1Topology
Network Flow Monitor utilizza il ruolo collegato al servizio denominato. **AWSServiceRoleForNetworkFlowMonitor\$1Topology** Questo ruolo consente a Network Flow Monitor di generare uno snapshot della topologia delle risorse utilizzate con Network Flow Monitor.
Il ruolo collegato ai servizi utilizza la policy gestita `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`.
Per vedere le autorizzazioni per questa policy, consulta [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
Ai fini dell’assunzione del ruolo, il ruolo collegato ai servizi **AWSServiceRoleForNetworkFlowMonitor\$1Topology** considera attendibile il seguente servizio:
+ `topology.networkflowmonitor.amazonaws.com`
## Creazione di un ruolo collegato ai servizi per Network Flow Monitor
Non è necessario creare manualmente un ruolo collegato ai servizi per Network Flow Monitor. La prima volta che inizializzi Network Flow Monitor, Network Flow Monitor crea **AWSServiceRoleForNetworkFlowMonitor**e **AWSServiceRoleForNetworkFlowMonitor\$1Topology**per te.
Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
## Modifica di un ruolo collegato ai servizi per Network Flow Monitor
Dopo che Network Flow Monitor ha creato un ruolo collegato ai servizi nel tuo account, non potrai modificarne il nome perché diverse entità potrebbero farvi riferimento. Puoi tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato ai servizi per Network Flow Monitor
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, devi effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
**Nota**
Se il servizio Network Flow Monitor utilizza tale ruolo mentre tenti di eliminarlo, è possibile che l'operazione non abbia esito positivo. In questo caso, attendi alcuni minuti, quindi riprova.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo **AWSServiceRoleForNetworkFlowMonitor**o il ruolo collegato al **AWSServiceRoleForNetworkFlowMonitor\$1Topology**servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Aggiornamenti del ruolo collegato ai servizi per Network Flow Monitor
Per gli aggiornamenti `CloudWatchNetworkFlowMonitorServiceRolePolicy` o `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` le politiche AWS gestite per i ruoli collegati ai servizi di Network Flow Monitor, consulta [CloudWatch gli aggiornamenti](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates) alle politiche gestite. AWS [Per ricevere avvisi automatici sulle modifiche gestite alle policy CloudWatch, iscriviti al feed RSS nella pagina della cronologia dei CloudWatch documenti.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)