本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 網路監控
本節主題說明 Network Flow Monitor、Internet Monitor 和網絡合成監視器所提供的 CloudWatch 網路與網際網路監控功能。這些服務可協助您了解託管於 AWS上之應用程式的網路和網際網路效能與可用性。
+ Network Flow Monitor 可為 Amazon EC2 執行個體之間的流量以及 Amazon S3 和 Amazon DynamoDB 等 AWS 其他服務的流量,提供近乎即時的網路效能可見性,例如封包遺失和延遲。Network Flow Monitor 運作時,使用您安裝並於執行個體上執行的輕量型軟體代理程式所收集的資料。這些全受管代理程式會從 TCP 連線收集效能統計資料,並將其傳送至 Network Flow Monitor 後端。透過為特定代理程式建立監視器,然後使用 Network Flow Monitor 儀表板,您可以快速視覺化呈現網路連線的封包遺失率和延遲,並利用歸因資訊來判斷要將疑難排解工作重點放在何處,以改善最終使用者的體驗。
+ 網路監視器使用從其全球網路足跡 AWS 擷取的連線資料,來計算面向網際網路流量的效能和可用性基準。您可以查看流量模式和運作狀態事件的全域檢視,並輕鬆深入探究事件相關資訊。還能收到影響應用程式用戶端的網際網路運作狀態事件提醒。此外,您可以利用 Internet Monitor 提供的洞察,透過採用 Amazon CloudFront 或路由經過不同的 AWS 區域,探索提升客戶體驗的潛在改進方案。
+ 網絡合成監視器使用全受管代理程式,可讓您追蹤並視覺化呈現混合網路連線的延遲和封包遺失率。若要收集測量結果並啟用 Network Synthetic Monitor 為您的應用程式建立運作狀態事件警示,您可以建立探查,這些探查會從託管於 的資源傳送至 AWS 內部部署目的地 IP 地址。不需要安裝其他代理程式來監控網路效能。如同 Internet Monitor,您可以設定提醒和閾值、取得資訊以協助快速疑難排解問題,然後採取行動來改善最終使用者體驗。
**Topics**
+ [使用 Network Flow Monitor](CloudWatch-NetworkFlowMonitor.md)
+ [使用網路監視器](CloudWatch-InternetMonitor.md)
+ [使用網絡合成監視器](what-is-network-monitor.md)
# 使用 Network Flow Monitor
Network Flow Monitor 可讓您近乎即時地掌握運算資源 (Amazon EC2 和 Amazon Elastic Kubernetes Service)、其他 AWS 服務 (Amazon S3 和 Amazon DynamoDB) 流量,以及其他節點流量的網路效能 AWS 區域。Network Flow Monitor 會從您在執行個體上安裝的輕量型軟體代理程式收集資料。這些代理程式會從 TCP 連線收集效能統計資料,並將此資料傳送至 Network Flow Monitor 後端服務,這會計算每個指標類型的前幾名貢獻者。
Network Flow Monitor 也會判斷 AWS 是否為偵測到網路問題的原因,並報告您選擇監控其詳細資訊的網路流程資訊。
您可以檢視單一帳戶中資源網路流程的網路效能資訊,也可以使用 設定網路流量監視器,透過使用管理或委派管理員帳戶登入, AWS Organizations 來檢視組織中多個帳戶的效能資訊。
Network Flow Monitor 適用於想要近乎即時深入了解網路效能的網路營運商和應用程式開發人員。在 CloudWatch 的 Network Flow Monitor 主控台中,您可以檢視資源網路流量之效能資料,該等資料已從代理程式彙總,並分組歸類於不同類別中。例如,您可以查看可用區域之間或 VPC 之間的流量資料。然後,您可以針對特定流量建立監視器,以便檢視更多細節或長期密切追蹤。
藉助監視器,您可以在指定的時間範圍內,快速視覺化呈現網路連線的封包遺失和延遲狀況。對於每個監視器,Network Flow Monitor 還會產生網路運作狀態指標 (NHI)。NHI 值會通知您,在您評估的期間內,監視器追蹤的網路流程是否有 AWS 網路問題。使用 NHI 資訊,您可以快速決定是否要將故障診斷工作集中在源自工作負載 AWS 的網路問題或網路問題上。
若要查看設定和使用 Network Flow Monitor 的範例,請參閱下列部落格文章:[使用 Network Flow Monitor 視覺化 AWS 雲端工作負載的網路效能](https://aws.amazon.com/blogs/networking-and-content-delivery/visualizing-network-performance-of-your-aws-cloud-workloads-with-network-flow-monitor/)。
# 什麼是網路流程監視器?
Network Flow Monitor 是 Amazon CloudWatch 網路監視器的一項功能。Network Flow Monitor 使用您在 AWS 工作負載中安裝的全受管代理程式,以傳回有關網路流程的效能和可用性指標。藉助 Network Flow Monitor,您可以存取實際工作負載近乎即時的指標,包括重傳次數與傳輸的資料量。您也可以檢查 AWS 網路運作狀態指標 (NHI) 值,識別監視器追蹤的網路流程是否發生基礎網路問題。
**Network Flow Monitor 的主要功能**
+ 透過 Network Flow Monitor,您可以取得 VPC 網路內 TCP 型流量的延遲與封包遺失率近即時指標,從而追蹤並調查工作負載流量的網路問題。
+ 當您的 AWS 工作負載遇到網路降級時,Network Flow Monitor 可協助您判斷問題是由應用程式工作負載或基礎 AWS 基礎設施造成。然後,您可以快速將疑難排解的重點放在發生問題的區域。
**如何使用 Network Flow Monitor**
使用 Network Flow Monitor,您可以在執行個體上安裝輕量型代理程式,用於收集和彙總效能指標。Network Flow Monitor 代理程式會分析 TCP 流量,然後將效能指標匯出至 Network Flow Monitor 服務後端。
代理程式將收集您工作負載的下列指標:TCP 往返時間 (RTT)、TCP 重傳逾時、TCP 重傳次數,以及傳輸的資料量 (位元組)。在執行個體上安裝代理程式後,代理程式將偵測執行個體託管的對應工作負載。代理程式隨後將產生網路效能指標,並將指標傳送至 Network Flow Monitor 後端。指標會彙總為子網路、可用區域、VPCs AWS 和服務等類別。
在 Network Flow Monitor 範圍內,所有網路流量之主要貢獻因子 (依指標類型) 的效能指標將顯示在 AWS 管理主控台的**工作負載洞察**索引標籤上。透過檢閱主要貢獻因子的資料表與圖表,您可以建立監視器,以確定可能需要疑難排解的故障位置,以及需要持續監控的工作負載。
藉助監視器,您可以隨時間推移更密切地監控特定工作負載,並檢視特定網路流量的詳細資訊。除檢視所選網路流量之主要貢獻因子的效能指標外,您還可以檢視包含網路流量所經過之網路跳數的網路路徑資訊,以協助排解問題。此外,Network Flow Monitor 同時會產生監視器的網路運作狀態指標 (NHI)。**降級**的 NHI 值表示在您選取的期間內,至少有一個由監視器追蹤的網路流程存在 AWS 網路問題。
除檢閱所建立之監視器中的資訊外,建議您定期返回檢視**工作負載洞察**頁面上的指標,掌握網路流量中各項效能指標的最新主要貢獻因子。當您檢閱最新資訊時,請考慮是否需要增減現有監視器中的工作負載,或者建立新的監視器。
**Topics**
+ [支援的 AWS 區域](CloudWatch-NetworkFlowMonitor-Regions.md)
+ [元件](CloudWatch-NetworkFlowMonitor-components.md)
+ [運作方式](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)
+ [定價](CloudWatch-NetworkFlowMonitor.pricing.md)
# AWS 區域 支援網路流量監控
網路流量監控目前可在下列位置使用 AWS 區域:
| 區域名稱 | 區域 |
| --- | --- |
| 亞太區域 (孟買) | ap-south-1 |
| 亞太地區 (大阪) | ap-northeast-3 |
| 亞太區域 (首爾) | ap-northeast-2 |
| 亞太區域 (新加坡) | ap-southeast-1 |
| 亞太區域 (雪梨) | ap-southeast-2 |
| 亞太區域 (東京) | ap-northeast-1 |
| 加拿大 (中部) | ca-central-1 |
| 歐洲 (法蘭克福) | eu-central-1 |
| 歐洲 (愛爾蘭) | eu-west-1 |
| 歐洲 (倫敦) | eu-west-2 |
| 歐洲 (巴黎) | eu-west-3 |
| 歐洲 (斯德哥爾摩) | eu-north-1 |
| 南美洲 (聖保羅) | sa-east-1 |
| 美國東部 (維吉尼亞北部) | us-east-1 |
| 美國東部 (俄亥俄) | us-east-2 |
| 美國西部 (加州北部) | us-west-1 |
| 美國西部 (奧勒岡) | us-west-2 |
# 網路流量監視器的元件和功能
Network Flow Monitor 使用或參考以下概念。
**客服人員**
Network Flow Monitor 中的*代理*程式是您安裝在 AWS 運算資源 (Amazon EC2 和 Amazon EKS) 上的軟體應用程式。應用程式有兩項功能:
+ 第一,接收與 TCP 連線相關的事件,並透過 eBPF 在 Linux 核心內註冊。eBPF 是 Linux 擴展的 Berkley 封包篩選 (eBPF) 功能,允許指定程式接收 Linux 核心引發的特定事件。
+ 第二,彙總 eBPF 部分收集的統計資料。代理程式大約每 30 秒將彙總指標傳送至 Network Flow Monitor 後端一次,可能存在 5 秒的波動 (換言之,傳送間隔介於 25 至 35 秒之間)。
如需代理程式的詳細資訊,請參閱 [運作方式](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)。
**主要貢獻因子**
*主要貢獻因子*是指在您的 Network Flow Monitor 範圍內,或您透過監視器追蹤的網路流量中,特定指標 (例如重傳次數) 達到上限的網路流量。檢視效能指標度量中回報數值最高的流量,有助於您找出可能存在故障的環節進行調查。Network Flow Monitor 會傳回監控範圍內主要貢獻因子的效能指標,以取得*工作負載洞察*。此外,如果您建立監視器,Network Flow Monitor 會針對您為監視器選擇的網路流量,傳回主要貢獻因子的效能指標。
**本地與遠端資源**
*本地資源*是指安裝 Network Flow Monitor 代理程式的一個或多個主機的位置。它可以是子網路、VPC、可用區域、Amazon EKS 叢集或 AWS 區域。例如,假設一個工作負載包含 Web 服務與後端資料庫 (例如 DynamoDB) 之間的互動。在本案例中,本地資源是託管 Web 服務的 EC2 執行個體子網路,其也會執行代理程式。網路流量通常具有方向性,但可設定為雙向流動。
*遠端資源*是網路流量的另外一端。在此具備後端資料庫的 Web 服務範例中,DynamoDB 是遠端資源。遠端資源可以是子網路、VPC、可用區域、 AWS 服務或 AWS 區域。如果您將區域指定為遠端資源,Network Flow Monitor 將度量網路流量至區域邊緣的效能。不會度量區域內特定端點的效能。
資源可透過其 ARN 或 AWS 服務名稱識別;對於可用區域或地區而言,可透過區域或地區名稱來識別。
**工作負載深入分析**
*工作負載洞察*包含針對範圍內所有網路流量傳回的效能指標。在 中 AWS 管理主控台,**工作負載洞察**頁面提供您在工作負載執行個體上安裝 Network Flow Monitor 代理程式之工作負載的效能資料。**工作負載洞察**頁面提供應用程式資訊檢視,內容包含傳輸的資料量及其他多項指標,並依工作負載類別進行分組。例如,您可以檢視工作負載的所有指標,包括可用區域 (AZ) 之間或單一可用區域內的流量。透過使用這些洞察,您可以選取需要為其建立監視器的工作負載,以檢視更多詳細資訊,並持續追蹤網路效能。
**監視器**
您可以建立*監視器*,以便持續監控一個或多個特定工作負載的網路效能,並檢視有關網路流量的更多詳細資訊。對於每個監視器,Network Flow Monitor 會發布端對端效能指標以及網路運作狀態指標 (NHI),您可藉此判定故障是因何而起。建議您檢閱**工作負載洞察**頁面上的資訊,以檢視您要關注的網路流量,然後建立監視器來監控這些流量。然後,透過定期檢閱**工作負載洞察**,您可以確定是否有您需要的監視器,或建立新監視器是否有用。
**網路運作狀態指標 (NHI)**
*網路運作狀態指標* (NHI) 是一種二進位值,可通知您在您選擇的期間內,監視器追蹤的一或多個網路流量是否有 AWS 網路問題。當 NHI 值為 1 或**降級**時,至少有一個 AWS 網路流程發生網路問題。使用 NHI 指標,您可以快速決定是否要將故障診斷工作集中在源自工作負載 AWS 的網路問題或網路問題上。
如需詳細資訊,請參閱[在 CloudWatch 中檢視 Network Flow Monitor 指標](CloudWatch-NetworkFlowMonitor-cw-metrics.md)。
**Scope (範圍)**
Network Flow Monitor 中,*範圍*指您在檢視網路效能指標時具備可觀測性的一個或多個帳戶。如果您以管理帳戶身分登入並使用 AWS Organizations CloudWatch 設定 ,您可以將範圍設定為組織中多個帳戶 (最多 100 個帳戶)。否則,如果您使用沒有組織管理許可的 AWS 帳戶 登入,或者尚未使用 CloudWatch 設定組織,Network Flow Monitor 會將範圍設定為您登入的帳戶。
設定 Organizations 之後,您可以透過新增或移除帳戶來變更範圍。不過,每當您變更範圍時,Network Flow Monitor 必須建立範圍內資源的新拓撲。如需詳細資訊,請參閱[將多個帳戶新增至您的範圍](CloudWatch-NetworkFlowMonitor-multi-account.md#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)。
Network Flow Monitor 將為範圍產生唯一的**範圍 ID**。指標資料查詢使用範圍 ID 來確定 Network Flow Monitor 產生的指標所對應的資源。(必須先安裝代理程式來收集和提交指標資料,才能透過 Network Flow Monitor 檢視帳戶的效能指標。)
**查詢 ID**
Network Flow Monitor 會為建立的每個查詢產生唯一的*查詢 ID*,以擷取效能指標資料,例如針對監視器主要貢獻因子的查詢。透過在 Network Flow Monitor 中使用 API 呼叫搭配查詢 ID,您可以檢查查詢狀態、停止查詢、重新執行查詢,或是以其他方式處理查詢。
**效能指標**
Network Flow Monitor 會收集並計算端對端的*效能指標*,包括 TCP 往返時間 (RTT)、TCP 重傳次數、TCP 重傳逾時,以及 Network Flow Monitor 範圍內每個流量傳輸的位元組。服務將彙總這些指標,並傳回至服務後端。可依指標類型檢視主要貢獻因子。當您在網路流量監視器中看到異常時,您也可以檢查網路運作狀態指標 (NHI),以查看是否有基礎 AWS 網路問題。
請注意,RTT 資料可能較為稀疏,因為並非所有 RTT 都會被計算。
也可以使用 Amazon CloudWatch 功能,依據這些指標建立儀表板、警示和通知。例如,可以透過檢閱 [使用 Network Flow Monitor 建立警示](CloudWatch-NetworkFlowMonitor-create-alarm.md) 中的資訊,了解如何使用 Network Flow Monitor 指標設定警示。
# 運作方式
本節提供有關 Network Flow Monitor 如何運作的幾個層面的資訊。
**Network Flow Monitor 代理程式如何收集統計資料**
Network Flow Monitor 中的代理程式會安裝在 AWS 運算資源 (Amazon EC2 和 Amazon EKS) 上,收集效能指標並將其傳送至 Network Flow Monitor 後端。代理程式無法存取 TCP 連線的承載。代理程式僅從 Linux 核心接收被稱為的「bpf\$1sock\$1ops」結構體。此結構體提供本地和遠端 IP 位址、來源和目的地 TCP 連接埠,以及計數器和往返時間。如需代理程式所收集和發布之 TCP 統計資料的清單,請參閱[在 CloudWatch 中檢視 Network Flow Monitor 指標](CloudWatch-NetworkFlowMonitor-cw-metrics.md)。
代理程式使用 Network Flow Monitor `Publish` API 將指標傳送至 Network Flow Monitor 後端伺服器。
*注意:*Network Flow Monitor 每分鐘最多支援約 500 萬個流程。這是已安裝 NFM 代理程式的大約 5,000 個執行個體 (Amazon EC2 和 Amazon EKS 節點)。在超過 5000 個執行個體上安裝代理程式可能會影響監控效能,直到有額外的容量可用為止。
**網路流量監控中網路流量的分類方式**
Network Flow Monitor 會根據流程的來源和終止位置,將網路流程分類為分類。
# 網路流程監視器的定價
使用 Network Flow Monitor 時,無需支付前期費用,亦無需簽訂長期合約。Network Flow Monitor 的定價包含兩部分:被監控的資源 (已安裝代理程式並且在主動傳送資料) 和收費的 CloudWatch 指標。請注意,對於您建立的任何其他指標、儀表板、警示或洞察,均將按標準 CloudWatch 價格計費。
如需 Network Flow Monitor 和 Amazon CloudWatch 定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面上的「網路監控」。
# 開始使用網路流程監視器
為協助您開始使用,本節提供設定 Network Flow Monitor,然後透過其取得洞見的高階概觀。如需詳細資訊,請參閱本指南中有關初始化網路流量監控、部署代理程式和建立監控的其他章節。
+ 初始化 Network Flow Monitor 以接受服務連結的角色許可、在 Network Flow Monitor 中建立監控*範圍*,以及建立初始拓撲。如果您想要觀察多個帳戶中執行個體網路流程的網路效能,您必須與 整合 AWS Organizations,然後將帳戶新增至您的範圍。如需詳細資訊,請參閱 [初始化網路流量監視器](CloudWatch-NetworkFlowMonitor-configure-begin.md)。
+ 根據您的資源部署方式,使用 AWS Systems Manager 或 設定 Kubernetes,在您的執行個體上部署*代理*程式。如果要在 VPC EC2 執行個體上安裝代理程式,請務必為每個執行個體上的代理程式啟用許可,使其能夠將指標傳送至 Network Flow Monitor 後端。如需詳細資訊,請參閱 [在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式](CloudWatch-NetworkFlowMonitor-agents.md)。
+ 檢閱代理程式傳回之網路流量的主要貢獻因子指標,以取得*工作負載洞察*。工作負載洞察提供監控範圍內網路流量效能的高階檢視。
+ 根據您想要檢視其詳細網路資訊的網路流量,建立一個或多個*監視器*。針對每個監視器,指定您要監控其網路流量的本地和遠端資源。使用監視器,您可以查看詳細的指標和資訊 (包括網路運作狀態指標),並檢視所選期間內特定網路流量的網路路徑。
+ 定期:
+ 檢閱所建立之監視器中的網路流量資訊,以了解並協助排解工作負載中的網路故障問題。
+ 檢閱正在監控之網路流量的工作負載洞察,以確定所建立的監視器是否涵蓋最相關的網路流量,或是否需要建立新的監視器以提升效率。
# Network Flow Monitor API 操作
下表所列為可與 Network Flow Monitor 搭配使用的 Network Flow Monitor API 操作。資料表中還包含相關文件的連結。
| Action | API 操作 | 其他資訊 |
| --- | --- | --- |
| 建立流量監視器。 | 請參閱 [CreateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateMonitor.html) | 請參閱 [在 Network Flow Monitor 中建立監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md) |
| 產生資源範圍的指標。 | 請參閱 [CreateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateScope.html) | 請參閱 [利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| 移除監視器。 | 請參閱 [DeleteMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteMonitor.html) | 請參閱 [在 Network Flow Monitor 中刪除監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| 刪除定義的範圍。 | 請參閱 [DeleteScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteScope.html) | 請參閱 [在 Network Flow Monitor 中刪除監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| 取得監視器的相關資訊。 | 請參閱 [GetMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetMonitor.html) | 請參閱 [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 取得特定監視器中主要貢獻因子的查詢資料。 | 請參閱 [GetQueryResultsMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsMonitorTopContributors.html) | 請參閱 [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 查詢工作負載洞察所定義範圍的主要貢獻因子。 | 請參閱 [GetQueryResultsWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributors.html) | 請參閱 [利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| 查詢特定範圍內主要貢獻因子的工作負載洞察資料。 | 請參閱 [GetQueryResultsWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributorsData.html) | 請參閱 [利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| 檢查監視器中主要貢獻因子查詢的狀態,確保在檢閱結果之前已成功。 | 請參閱 [GetQueryStatusMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusMonitorTopContributors.html) | N/A |
| 檢查主要貢獻因子的工作負載洞察查詢狀態,確保在檢閱結果之前已成功。 | 請參閱 [GetQueryStatusWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributors.html) | N/A |
| 檢查主要貢獻因子的工作負載洞察資料查詢狀態,確保在檢閱結果之前已成功。 | 請參閱 [GetQueryStatusWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributorsData) | N/A |
| 取得帳戶或範圍的相關資訊,包括名稱、狀態、標籤和目標詳細資訊。 | 請參閱 [GetScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetScope) | 請參閱 [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 列出帳戶中的所有監視器。 | 請參閱 [ListMonitors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListMonitors) | [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 列出帳戶的所有範圍。 | 請參閱 [ListScopes](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListScopes) | N/A |
| 列出特定資源的標籤。 | 請參閱 [ListTagsForResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListTagsForResource) | 請參閱 [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 參閱監視器中主要貢獻因子的查詢資料。 | 請參閱 [StartQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryMonitorTopContributors) | 請參閱 [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 開始查詢以收集主要貢獻因子的工作負載洞察資料。 | 請參閱 [StartQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryWorkloadInsightsTopContributors) | 請參閱 [利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| 停止監視器中的主要貢獻因子查詢。 | 請參閱 [StopQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryMonitorTopContributors) | N/A |
| 停止主要貢獻因子的工作負載洞察資料查詢。 | 請參閱 [StopQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributors) | N/A |
| 停止主要貢獻因子的工作負載洞察資料查詢。 | 請參閱 [StopQueryWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributorsData) | N/A |
| 將標籤加入資源。 | 請參閱 [TagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_TagResource) | 請參閱 [在 Network Flow Monitor 中編輯監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| 將標籤從資源中移除。 | 請參閱 [UntagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UntagResource) | 請參閱 [在 Network Flow Monitor 中編輯監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| 更新監視器以新增或移除本地或遠端資源。 | 請參閱 [UpdateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateMonitor) | 請參閱 [在 Network Flow Monitor 中編輯監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| 修改範圍以新增或移除 Network Flow Monitor 將針對其產生指標的資源。 | 請參閱 [UpdateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateScope) | N/A |
# 搭配 Network Flow Monitor 使用 CLI 的範例
本節包含搭配 AWS Command Line Interface 網路流量監控操作使用 的範例。
開始之前,請確定您登入以將 AWS CLI 與提供您要用來監控網路流程之範圍 AWS 的帳戶搭配使用。如需搭配使用 Network Flow Monitor 與 API 動作的詳細資訊,請參閱《[Network Flow Monitor API 參考指南](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html)》。
**Topics**
+ [建立監視器](#CloudWatch-NFM-get-started-CLI-create-monitor)
+ [檢視監視器詳細資訊](#CloudWatch-NFM-get-started-CLI-mon-details)
+ [建立範圍](#CloudWatch-NFM-get-started-CLI-create-scope)
+ [刪除監視器](#CloudWatch-NFM-get-started-CLI-delete-monitor)
+ [刪除範圍](#CloudWatch-NFM-get-started-CLI-delete-scope)
+ [取得監視器相關資訊](#CloudWatch-NFM-get-started-CLI-get-monitor)
+ [擷取特定查詢上的資料](#CloudWatch-NFM-get-started-CLI-get-query-results)
+ [請參閱範圍資訊](#CloudWatch-NFM-get-scope)
+ [檢視帳戶的監視器清單](#CloudWatch-NFM-list-monitors)
+ [檢視帳戶的範圍清單](#CloudWatch-NFM-list-scopes)
+ [檢視監視器的標籤清單](#CloudWatch-NFM-list-tags-for-resource)
+ [啟動和停止查詢](#CloudWatch-NFM-query-monitors)
+ [標記監視器](#CloudWatch-NFM-tag-resource)
+ [從監視器移除標籤](#CloudWatch-NFM-untag-resource)
+ [更新現有監視器](#CloudWatch-NFM-update-monitor)
## 建立監視器
若要使用 建立監視器 AWS CLI,請使用 `create-monitor`命令。下列範例在指定帳戶中建立名為 `demo` 的監視器。
```
aws networkflowmonitor create-monitor \
--monitor-name demo \
--local-resources type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889" \
--scope-arn arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-44556677889
```
輸出:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/demo",
"monitorName": "demo",
"monitorStatus": "ACTIVE",
"tags": {}
}
```
如需詳細資訊,請參閱[在 Network Flow Monitor 中建立監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)。
## 檢視監視器詳細資訊
若要使用 檢視監視器的相關資訊 AWS CLI,請使用 `get-monitor`命令。
```
aws networkflowmonitor get-monitor --monitor-name "TestMonitor"
```
輸出:
```
{
"ClientLocationType": "city",
"CreatedAt": "2022-09-22T19:27:47Z",
"ModifiedAt": "2022-09-22T19:28:30Z",
"MonitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/TestMonitor",
"MonitorName": "TestMonitor",
"ProcessingStatus": "OK",
"ProcessingStatusInfo": "The monitor is actively processing data",
"Resources": [
"arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
],
"MaxCityNetworksToMonitor": 10000,
"Status": "ACTIVE"
}
```
## 建立範圍
下列 `create-scope` 範例會建立一個範圍,涵蓋 Network Flow Monitor 將為其產生網路流量指標的資源集合。
```
aws networkflowmonitor create-scope \
--targets '[{"targetIdentifier":{"targetId":{"accountId":"111122223333"},"targetType":"ACCOUNT"},"region":"us-east-1"}]'
```
輸出:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "IN_PROGRESS",
"tags": {}
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 刪除監視器
下列 `delete-monitor` 範例會刪除您帳戶中名為 `Demo` 的監視器。
```
aws networkflowmonitor delete-monitor \
--monitor-name Demo
```
此命令不會產生輸出。
如需詳細資訊,請參閱[在 Network Flow Monitor 中刪除監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)。
## 刪除範圍
下列 `delete-scope` 範例會刪除指定範圍。
```
aws networkflowmonitor delete-scope \
--scope-id sample-aaaa-bbbb-cccc-44556677889
```
此命令不會產生輸出。
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 取得監視器相關資訊
下列 `get-monitor` 範例會顯示指定帳戶中名為 `demo` 的監視器相關資訊。
```
aws networkflowmonitor get-monitor \
--monitor-name Demo
```
輸出:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"localResources": [
{
"type": "AWS::EC2::VPC",
"identifier": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
],
"remoteResources": [],
"createdAt": "2024-12-09T12:21:51.616000-06:00",
"modifiedAt": "2024-12-09T12:21:55.412000-06:00",
"tags": {}
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 擷取特定查詢上的資料
下列各節提供用於擷取查詢狀態的 CLI 命令範例。
### get-query-results-workload-insights-top-contributors-data
`get-query-results-workload-insights-top-contributors-data` 範例會傳回指定查詢的資料。
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
輸出:
```
{
"datapoints": [
{
"timestamps": [
"2024-12-09T19:00:00+00:00",
"2024-12-09T19:05:00+00:00",
"2024-12-09T19:10:00+00:00"
],
"values": [
259943.0,
194856.0,
216432.0
],
"label": "use1-az6"
}
],
"unit": "Bytes"
}
```
### get-query-results-workload-insights-top-contributors
下列 `get-query-results-workload-insights-top-contributors` 範例會傳回指定查詢的資料。
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
輸出:
```
{
"topContributors": [
{
"accountId": "111122223333",
"localSubnetId": "subnet-SAMPLE1111",
"localAz": "use1-az6",
"localVpcId": "vpc-SAMPLE2222",
"localRegion": "us-east-1",
"remoteIdentifier": "",
"value": 333333,
"localSubnetArn": "arn:aws:ec2:us-east-1:111122223333:subnet/subnet-2222444455556666",
"localVpcArn": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
]
}
```
### get-query-status-monitor-top-contributors
下列 `get-query-status-monitor-top-contributors` 範例會顯示指定帳戶中查詢的目前狀態。
```
aws networkflowmonitor get-query-status-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
輸出:
```
{
"status": "SUCCEEDED"
}
```
### get-query-status-workload-insights-top-contributors-data
下列 `get-query-status-workload-insights-top-contributors-data` 範例會顯示指定帳戶中查詢的目前狀態。
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
輸出:
```
{
"status": "SUCCEEDED"
}
```
### get-query-results-workload-insights-top-contributors
下列 `get-query-results-workload-insights-top-contributors` 範例會顯示指定帳戶中查詢的目前狀態。
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
輸出:
```
{
"status": "SUCCEEDED"
}
```
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
## 請參閱範圍資訊
下列 `get-scope` 範例會顯示範圍的相關資訊,例如狀態、標籤、名稱和目標詳細資訊。
```
aws networkflowmonitor get-scope \
--scope-id sample-aaaa-bbbb-cccc-11112222333
```
輸出:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333",
"targets": [
{
"targetIdentifier": {
"targetId": {
"accountId": "111122223333"
},
"targetType": "ACCOUNT"
},
"region": "us-east-1"
}
],
"tags": {}
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 檢視帳戶的監視器清單
下列 `list-monitors` 範例會傳回指定帳戶中的所有監視器。
```
aws networkflowmonitor list-monitors
```
輸出:
```
{
"monitors": [
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE"
}
]
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 檢視帳戶的範圍清單
下列 `list-scopes` 範例會列出指定帳戶中的所有範圍。
```
aws networkflowmonitor list-scopes
```
輸出:
```
{
"scopes": [
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333"
}
]
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 檢視監視器的標籤清單
下列 `list-tags-for-resource` 範例會傳回與指定資源相關聯的所有標籤。
```
aws networkflowmonitor list-tags-for-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo
```
輸出:
```
{
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
如需詳細資訊,請參閱[標記您的 Amazon CloudWatch 資源](CloudWatch-Tagging.md)。
## 啟動和停止查詢
下列各節提供在 Network Flow Monitor 中啟動和停止查詢的 CLI 命令範例。
### start-query-monitor-top-contributors
下列 `start-query-monitor-top-contributors` 範例會啟動查詢,並傳回用於擷取主要貢獻因子的查詢 ID。
```
aws networkflowmonitor start-query-monitor-top-contributors \
--monitor-name Demo \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
輸出:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
### start-query-workload-insights-top-contributors-data
下列 `start-query-workload-insights-top-contributors-data` 範例會啟動查詢,並傳回用於擷取主要貢獻因子的查詢 ID。
```
aws networkflowmonitor start-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
輸出:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
### start-query-workload-insights-top-contributors
下列 `start-query-workload-insights-top-contributors` 範例會啟動查詢,並傳回用於擷取主要貢獻因子的查詢 ID。
```
aws networkflowmonitor start-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
輸出:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
### stop-query-monitor-top-contributors
下列 `stop-query-monitor-top-contributors` 範例會停止指定帳戶中的查詢。
```
aws networkflowmonitor stop-query-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
此命令不會產生輸出。
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
### stop-query-workload-insights-top-contributors-data
下列 `stop-query-workload-insights-top-contributors-data` 會停止指定帳戶中的查詢。
```
aws networkflowmonitor stop-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
此命令不會產生輸出。
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
### stop-query-workload-insights-top-contributors
下列 `stop-query-workload-insights-top-contributors` 範例會停止指定帳戶中的查詢。
```
aws networkflowmonitor stop-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
此命令不會產生輸出。
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
## 標記監視器
下列 `tag-resource` 會將標籤新增至指定帳戶中的監視器。
```
aws networkflowmonitor tag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tags Key=stack,Value=Production
```
此命令不會產生輸出。
如需詳細資訊,請參閱[標記您的 Amazon CloudWatch 資源](CloudWatch-Tagging.md)。
## 從監視器移除標籤
下列 `untag-resource` 範例會移除指定帳戶中監視器的標籤。
```
aws networkflowmonitor untag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tag-keys stack
```
此命令不會產生輸出。
如需詳細資訊,請參閱[標記您的 Amazon CloudWatch 資源](CloudWatch-Tagging.md)。
## 更新現有監視器
下列 `update-monitor` 範例會更新指定帳戶中名為「Demo」的監視器。
```
aws networkflowmonitor update-monitor \
--monitor-name Demo \
--local-resources-to-add type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
```
輸出:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
# 使用 EKS
使用網路流量監視器,您可以為使用 Amazon Elastic Kubernetes Service (Amazon EKS) 的工作負載收集效能指標。本章說明如何step-by-step安裝代理程式,並描述您可以監控的不同 EKS 案例。您也可以在主控台中找到 Network Flow Monitor 為 Amazon EKS 提供的中繼資料詳細說明,以協助您了解網路效能。
若要獲得網路流量監控效能監控的優勢,您必須先安裝 Amazon EKS 的網路 AWS 流量監控代理程式附加元件。如需詳細資訊,請參閱[安裝 EKS AWS 網路流量監控代理程式附加元件](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)。
如果您想要監控單一 EKS 叢集,以增強對叢集內和外部目的地的工作負載流量和效能洞察的可見性,請參閱 [Amazon EKS 網路可觀測性](https://docs.aws.amazon.com/eks/latest/userguide/network-observability.html)。
**Topics**
+ [安裝 EKS AWS 網路流量監控代理程式附加元件](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)
+ [Amazon EKS 包含的其他網路路徑中繼資料](CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata.md)
# 安裝 EKS AWS 網路流量監控代理程式附加元件
遵循本節中的步驟,安裝適用於 Amazon Elastic Kubernetes Service (Amazon EKS) AWS 的網路流量監控代理程式附加元件,將網路流量監控指標從 Kubernetes 叢集傳送至網路流量監控後端。完成這些步驟後, AWS 網路流量監控代理程式 Pod 將在所有 Kubernetes 叢集節點上執行。
如果您使用自我管理式 Kubernetes 叢集,要遵循的安裝步驟位於上一節:[安裝自我管理式 Kubernetes 執行個體的代理程式](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)。
請注意,Network Flow Monitor 不支援客戶受管字首清單 [客戶受管字首清單](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html)。
可以使用主控台或者搭配使用 API 命令與 AWS Command Line Interface來安裝附加元件。
**Topics**
+ [安裝附加元件的先決條件](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq)
+ [使用主控台安裝附加元件](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console)
+ [使用 CLI 安裝附加元件](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli)
+ [針對第三方工具設定](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party.md)
## 安裝附加元件的先決條件
無論您使用 主控台或 CLI 來安裝 AWS 網路流量監控代理程式附加元件,使用 Kubernetes 安裝附加元件有幾項需求。
**確保您的 Kubernetes 版本受支援**
若要安裝 Network Flow Monitor 代理程式,必須具備 Kubernetes 1.25 或更高版本。
**Amazon EKS Pod 身分識別代理程式附加元件安裝**
可以在主控台中或使用 CLI 安裝 Amazon EKS Pod 身分識別代理程式附加元件。
Amazon EKS Pod 身分識別關聯提供管理應用程式憑證的功能,類似 Amazon EC2 執行個體設定檔將憑證提供給 Amazon EC2 執行個體的方式。Amazon EKS Pod 身分識別透過其他 Amazon EKS 驗證 API 和在每個節點上執行的代理程式 Pod,為您的工作負載提供憑證。
若要進一步了解和檢視安裝 Amazon EKS Pod 身分識別附加元件的步驟,請參閱《Amazon EKS 使用者指南》中的[設定 Amazon EKS Pod 身分識別代理程式](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html)。
## 使用主控台安裝 AWS Network Flow Monitor Agent 附加元件
遵循本節中的步驟,在 Amazon EKS 主控台中安裝和設定 AWS 網路流量監控代理程式附加元件。
如果您已安裝附加元件,並且在升級至新版本時遇到問題,請參閱[對 EKS 代理程式安裝中的問題進行疑難排解](CloudWatch-NetworkFlowMonitor-troubleshooting.md#CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation)。
開始之前,請確定您已安裝 Amazon EKS Pod 身分識別代理程式附加元件。如需詳細資訊,請參閱[前一章節](#NFMPodIdentity)。
**使用主控台安裝附加元件**
1. 在 中 AWS 管理主控台,導覽至 Amazon EKS 主控台。
1. 在安裝附加元件的頁面上,在附加元件清單中,選擇 **AWS Network Flow Monitor 代理程式**。
1. 設定附加元件設定。
1. 針對**附加元件存取權**,選擇 **EKS Pod 身分識別**。
1. 若要讓 IAM 角色與附加元件搭配使用,請使用已連接下列 AWS 受管政策的角色:[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。此政策提供必要許可,讓代理程式能夠將遙測報告傳送至 Network Flow Monitor 端點。如果您還沒有附加政策的角色,請選擇**建立建議的角色**,遵循 IAM 主控台中的步驟來建立角色。
1. 選擇**下一步**。
1. 在**檢閱和新增**頁面上,確定附加元件組態正確無誤,然後選擇**建立**。
## 使用 安裝 AWS Network Flow Monitor Agent 附加元件 AWS Command Line Interface
遵循本節中的步驟,使用 安裝 Amazon EKS 的網路 AWS 流量監控代理程式附加元件 AWS Command Line Interface。
**1. 安裝 EKS Pod 身分識別代理程式附加元件**
開始之前,請確定您已安裝 Amazon EKS Pod 身分識別代理程式附加元件。如需詳細資訊,請參閱[之前的章節](#NFMPodIdentity)。
**2. 建立必要的 IAM 角色**
AWS Network Flow Monitor Agent 附加元件必須具有將指標傳送至 Network Flow Monitor 後端的許可。建立附加元件時,您必須連結具備必要許可的角色。建立已連接下列 AWS 受管政策的角色:[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。您需要此 IAM 角色的 ARN 才能安裝附加元件。
**3. 安裝 AWS 網路流量監控代理程式附加元件**
若要為您的叢集安裝 AWS Network Flow Monitor Agent 附加元件,請執行下列命令:
`aws eks create-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION --pod-identity-associations serviceAccount=aws-network-flow-monitor-agent-service-account,roleArn=IAM ROLE ARN`
結果應類似如下內容:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "CREATING",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
**4. 確定附加元件處於作用中狀態**
檢閱已安裝 AWS 的網路流量監控代理程式附加元件,以確保其對您的叢集處於作用中狀態。執行以下命令來驗證狀態是否為 `ACTIVE`:
`aws eks describe-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION`
結果應類似如下內容:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "ACTIVE",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
# 設定第三方監控工具的附加元件
您可以設定 Network Flow Monitor 附加元件,以在安裝期間公開 OpenMetrics 伺服器。這可與第三方監控工具整合,例如 Prometheus,讓您收集和分析現有監控基礎設施的網路流量指標。[進一步了解 OpenMetrics](https://openmetrics.io/)。此功能可從附加元件版本 v1.1.0 取得。
若要啟用 OpenMetrics 伺服器,請將 OPEN\$1METRICS、OPEN\$1METRICS\$1ADDRESS 和 OPEN\$1METRICS\$1PORT 新增至 EKS 網路流量監視器附加元件的組態值。本指南將說明如何同時使用 CLI 和主控台來執行此操作。如需新增[組態值的其他詳細資訊,請參閱 Amazon EKS 附加元件進階](https://aws.amazon.com/blogs/containers/amazon-eks-add-ons-advanced-configuration/)組態。
## CLI 組態
使用 時 AWS Command Line Interface,您可以提供組態值做為參數:
```
aws eks create-addon \
--cluster-name my-cluster-name \
--addon-name aws-network-flow-monitoring-agent \
--addon-version v1.1.0-eksbuild.1 \
--configuration-values '{"env":{"OPEN_METRICS":"on","OPEN_METRICS_ADDRESS":"0.0.0.0","OPEN_METRICS_PORT":9109}}'
```
## 主控台組態
使用 Amazon EKS 主控台時,您可以在選用組態設定下新增這些值,做為組態值的一部分。
**範例 JSON:**
```
{
"env": {
"OPEN_METRICS": "on",
"OPEN_METRICS_ADDRESS": "0.0.0.0",
"OPEN_METRICS_PORT": 9109
}
}
```
**YAML 範例:**
```
env:
OPEN_METRICS: "on"
OPEN_METRICS_ADDRESS: "0.0.0.0"
OPEN_METRICS_PORT: 9109
```
## EKS 網路流量監控附加元件 OpenMetric 參數
+ **OPEN\$1METRICS:**
+ 啟用或停用開啟指標。如果未提供,則停用
+ 類型:字串
+ 值:【"on"、"off"】
+ **OPEN\$1METRICS\$1ADDRESS:**
+ 接聽開放指標端點的 IP 地址。如果未提供,則預設為 127.0.0.1
+ 類型:字串
+ **OPEN\$1METRICS\$1PORT:**
+ 開放指標端點的接聽連接埠。如果未提供,則預設為 80
+ 類型:整數
+ 範圍:【0..65535】
**重要:**將 OPEN\$1METRICS\$1ADDRESS 設定為 0.0.0.0 時,指標端點可從任何網路界面存取。考慮將 127.0.0.1 用於僅限 localhost 的存取,或實作適當的網路安全控制,以限制僅限授權監控系統的存取。
## 疑難排解
如果您遇到 OpenMetrics 伺服器組態的問題,請使用以下資訊來診斷和解決常見問題。
### 指標未顯示
問題:已設定 OpenMetrics 伺服器,但指標未出現在您的監控工具中。
故障診斷步驟:
1. 確認您的附加元件組態中已啟用 OpenMetrics 伺服器:
+ 檢查組態值中的 OPEN\$1METRICS 是否設為 "on"。請參閱 [describe-addon](https://docs.aws.amazon.com/cli/latest/reference/eks/describe-addon.html)。
+ 在*設定選取的附加元件設定中,確認附加元件*版本為 v1.1.0 或更新版本。
1. 直接測試指標端點:
+ 在 http://*pod-ip:port*/metrics 存取指標 (將 Pod-ip 取代為您設定連接埠的實際 Pod IP 地址和連接埠)。
+ 如果您無法存取端點,請驗證您的網路組態和安全群組設定。
1. 驗證您的監控工具組態。如需如何執行下列作業的詳細資訊,請參閱監控工具使用者指南:
+ 確保您的監控工具 (例如 Prometheus) 設定為抓取正確的端點。
+ 檢查抓取間隔和逾時設定是否適當。
+ 確認您的監控工具具有 Pod IP 地址的網路存取權。
### 特定 Pod 中遺失的指標
問題:指標可從叢集中的某些 Pod 取得,但不適用於其他 Pod。
故障診斷步驟:
Network Flow Monitor 附加元件不支援使用 hostNetwork: true 的 Pod。如果您的 Pod 規格包含此設定,則無法從這些 Pod 取得指標。
解決方法:盡可能從 Pod 規格中移除 hostNetwork: true 設定。如果您需要應用程式使用主機聯網,請考慮針對這些特定 Pod 使用替代監控方法。
### 連線遭拒錯誤
問題:您在嘗試存取指標端點時收到「連線遭拒」錯誤。
故障診斷步驟:
1. 驗證 OPEN\$1METRICS\$1ADDRESS 組態:
+ 如果設定為 127.0.0.1,則只能從 Pod 內存取端點。
+ 如果設定為 0.0.0.0,則應該可以從叢集中的其他 Pod 存取端點。
+ 確保您的監控工具可以到達設定的地址。
1. 檢查 OPEN\$1METRICS\$1PORT 組態:
+ 確認連接埠號碼尚未由其他 服務使用。
+ 確定連接埠在有效範圍內 (1-65535)。
+ 確認任何安全群組或網路政策都允許此連接埠上的流量。
### 驗證步驟
若要確認您的 OpenMetrics 組態正常運作:
1. 檢查附加元件狀態:
```
aws eks describe-addon --cluster-name your-cluster-name --addon-name aws-network-flow-monitoring-agent
```
1. 驗證 Pod 狀態:
```
kubectl get pods app.kubernetes.io/name=aws-network-flow-monitoring-agent
```
1. 從叢集內測試指標端點:
```
kubectl exec add-on-pod-name -- curl localhost:9109/metrics
```
將 9109 取代為您設定的連接埠號碼,並將 Pod 名稱取代為 AddOn Pod 名稱。
# Amazon EKS 包含的其他網路路徑中繼資料
當 Network Flow Monitor 收集 Amazon EKS 元件之間網路流程的效能指標時,它會包含有關網路路徑的其他中繼資料資訊,以協助您進一步了解工作負載的網路路徑如何執行。
您可以為感興趣的網路流程建立監視器,然後在**歷史瀏覽器**索引標籤上檢視詳細資訊,以檢視 Amazon EKS 網路流程效能的詳細資訊。
使用 Network Flow Monitor,您可以測量下列 Amazon EKS 元件之間的網路效能,以更清楚了解工作負載在 Amazon EKS 組態中的效能,並判斷哪裡有瓶頸或受損。
+ Pod 到相同節點上的 Pod
+ 節點對相同叢集上的節點
+ Pod 到不同叢集上的 Pod
+ 節點對不同叢集上的節點
+ 使用和不使用 Network Load Balancer
下表列出網路流量監視器針對每個網路流量案例傳回的資訊。
| **連線資訊** | **中繼資料資訊** | | **區域** | **遠端** | **情況** | **由 啟動** | **區域** | **遠端** | **Pod 名稱** | **服務** | **命名空間** | **Pod 名稱** | **服務** | **命名空間** |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 連線至另一個內部叢集服務的叢集 IP 的本機 Pod | 區域 | 本機 Pod IP 地址 | 遠端 Pod IP 地址 (透過叢集 IP 地址) | ✓ | ✓ | ✓ | ✓ 1 | ✓ | ✓ |
| 連線至另一個內部叢集服務的叢集 IP 的節點網路命名空間中的本機 Pod | 區域 | 本機節點 IP 地址 | 遠端 Pod IP 地址 (透過叢集 IP 地址) | ✓ 2 | ✓ 2 | ✓ 2 | ✓ 1 | ✓ | ✓ |
| 連線至另一個 Pod 之個別 Pod IP 地址的本機 Pod (無周邊服務) | 區域 | 本機 Pod IP 地址 | 遠端 Pod IP 地址 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 連線至節點網路命名空間中另一個 Pod 之個別 Pod IP 地址的本機 Pod (無周邊服務) | 區域 | 本機 Pod IP 地址 | 遠端節點 IP 地址 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 連線至另一個叢集中遠端 Pod 的本機 Pod | 區域 | 本機 Pod IP 地址 | 遠端 Pod IP 地址 (另一個叢集) | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| 連線至外部網路地址的本機 Pod | 區域 | 本機 Pod IP 地址 | 外部 IP 地址 | ✓ | ✓ | ✓ | N/A | N/A | N/A |
| 在連線至外部網路 IP 地址的節點網路命名空間中操作的本機 Pod | 區域 | 本機節點 IP 地址 | 外部 IP 地址 | ✓ 2 | ✓ 2 | ✓ 2 | N/A | N/A | N/A |
| 透過叢集 IP 地址連線至本機 Pod 的遠端 Pod | 遠端 | 本機 Pod IP 地址 (透過叢集 IP 地址) | 遠端 Pod IP 地址 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 連線至本機 Pod 的節點網路命名空間中的遠端 Pod | 遠端 | 本機 Pod IP 地址 (透過叢集 IP 地址) | 遠端節點 IP 地址 | ✓ | ✓ | ✓ | ✓ 3 | ✓ 3 | ✓ 3 |
| 連線至本機 Pod 的遠端 Pod (無周邊服務) | 遠端 | 本機 Pod IP 地址 | 遠端 Pod IP 地址 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 連接到本機 Pod 的外部 Pod | 遠端 | 本機 Pod IP 地址 | 遠端 Pod IP 地址 | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| 透過 NodePort 或 Load Balancer 連線到本機 Pod 的外部資源 | 遠端 | 本機 Pod IP 地址 | 外部 IP 地址 4 | ✓ | ✓ | ✓ | N/A | N/A | N/A |
| 透過 NodePort 或 Load Balancer 連線到節點網路命名空間中操作的本機 Pod 的外部資源 | 遠端 | 本機節點 IP 地址 | 外部 IP 地址 4 | ✓ | ✓ | ✓ | N/A | N/A | N/A |
請注意下列與上表中以註腳標示的項目對應的其他資訊。
1. 對於具有其他擁有者的 Pod,例如由 EKS 控制平面管理的 Kubernetes 服務,Pod 名稱在此案例中不可見。
1. 如果節點網路命名空間中存在其他 Pod,則無法解析本機 Pod 名稱、服務和命名空間。
1. 如果節點網路命名空間中存在其他 Pod,則無法解析遠端 Pod 名稱、服務和命名空間。
1. 如果服務在執行個體模式下使用 NodePort 或 LoadBalancer,且`ExternalTrafficPolicy`設定為 `Cluster`,則此 IP 地址將報告為接收 NodePort 連線之節點的 IP 地址。
# 在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式
為了提供 AWS 工作負載中網路流程的效能指標,Network Flow Monitor 依賴您安裝的*代理*程式,將指標傳送至 Network Flow Monitor。您需要在執行個體上安裝 Network Flow Monitor 代理程式,然後為代理程式設定正確的許可,以便它們可以將指標傳送至 Network Flow Monitor 後端。
代理程式是您安裝在資源 (例如 VPC EC2 執行個體) 上的輕量型軟體應用程式。代理程式會持續將效能指標傳送至 Network Flow Monitor 後端。然後您可以在 Network Flow Monitor 主控台的**工作負載洞察**頁面檢視指標。也可以透過建立監視器,追蹤特定網路流量或一組流量的詳細指標。
您在執行個體中部署代理程式所遵循的步驟取決於執行個體類型:Amazon EKS Kubernetes 執行個體、VPC EC2 執行個體或自我管理 (非 EKS) Kubernetes 執行個體。
+ 如需使用 Amazon EKS 的詳細資訊,包括在 EKS 上安裝代理程式,請參閱 [使用 EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.md)。
+ 如需有關在 VPC EC2 執行個體和自我管理 Kubernetes 執行個體上安裝代理程式的資訊,請參閱本章中的章節。
您可以使用 在 VPC 和網路流量監控代理程式之間建立私有連線 AWS PrivateLink。如需詳細資訊,請參閱[使用 CloudWatch、CloudWatch Synthetics 和 CloudWatch 網路監控搭配介面 VPC 端點](cloudwatch-and-interface-VPC.md)。
**Topics**
+ [Network Flow Monitor 代理程式支援的 Linux 版本](CloudWatch-NetworkFlowMonitor-agents-versions.md)
+ [安裝和管理 EC2 執行個體的代理程式](CloudWatch-NetworkFlowMonitor-agents-ec2.md)
+ [安裝自我管理式 Kubernetes 執行個體的代理程式](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)
# Network Flow Monitor 代理程式支援的 Linux 版本
安裝代理程式的執行個體必須執行受支援的 Linux 版本和發行版本。Network Flow Monitor 僅支援在 Linux 系統上執行代理程式,且 Linux 核心必須為 5.8 或更高版本。支援以下 Linux 發行版本。請注意,代理程式經過測試,可在這些最新的發行版本上執行。
+ Amazon Linux
+ Ubuntu
+ Red Hat
+ SUSE Linux
+ 適用於 x86 和 aarch64 的 Debian 發行版本
# 安裝和管理 EC2 執行個體的代理程式
請依循本節中的步驟,為 Amazon EC2 執行個體上的工作負載安裝 Network Flow Monitor 代理程式。可以透過兩種方式安裝代理程式:使用 SSM,或使用命令列下載並安裝預先建置的 Network Flow Monitor 代理程式套件。
無論使用何種方法在 EC2 執行個體上安裝代理程式,都必須設定代理程式的許可,讓它們能夠將效能指標傳送至 Network Flow Monitor 後端。
**Topics**
+ [設定代理程式的許可權](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)
+ [EC2 執行個體代理程式與 SSM](CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm.md)
+ [下載並安裝代理程式](CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline.md)
# 設定代理程式的許可權
若要讓代理程式將指標傳送至 Network Flow Monitor 擷取後端,執行代理程式之 EC2 執行個體所用的角色必須具備連結正確許可的政策。若要提供必要的許可,請使用已連接下列 AWS 受管政策的角色:[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。將此政策連結到您計畫安裝 Network Flow Monitor 代理程式之 EC2 執行個體的 IAM 角色。
建議您在 EC2 執行個體上安裝代理程式之前新增許可權。可以等到代理程式安裝完畢後再執行此動作,但在獲得許可之前,代理程式無法將指標傳送至服務。
**為 Network Flow Monitor 代理程式新增許可**
1. 在 AWS 管理主控台 Amazon EC2 主控台的 中,找到您計劃安裝網路流量監控代理程式的 EC2 執行個體。
1. 將 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) 連結至每個執行個體的 IAM 角色。
如果執行個體未連結 IAM 角色,請執行下列動作來選擇角色:
1. 在**動作**下,選擇**安全性**。
1. 選擇**修改 IAM 角色**,或選擇**建立新的 IAM 角色**來建立新角色。
1. 選擇執行個體的角色,並連結 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) 政策。
# 使用 SSM 在 EC2 執行個體上安裝代理程式
Network Flow Monitor 代理程式提供網路流量的效能指標。遵循本節中的步驟,使用 在 EC2 執行個體上安裝和使用 Network Flow Monitor 代理程式 AWS Systems Manager。如果您使用 Kubernetes,請跳至下一節,取得使用 Amazon EKS 叢集或自我管理式 Kubernetes 叢集安裝代理程式的相關資訊。
Network Flow Monitor 在 Systems Manager 中提供發行版套件,用於安裝或解除安裝代理程式。此外,Network Flow Monitor 提供使用 Document Type 命令啟用或停用代理程式的文件。依標準 Systems Manager 程序使用套件和文件,或依循此處提供的步驟取得詳細指引。
如需使用 Systems Manager 的一般詳細資訊,請參閱下列文件:
+ [AWS Systems Manager 執行命令](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [AWS Systems Manager 分發](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)
請完成以下各節中的步驟,以設定許可,以及安裝和使用 Network Flow Monitor 代理程式。
**內容**
+ [安裝或解除安裝代理程式](#CloudWatch-NetworkFlowMonitor-agents-ec2-install)
+ [啟用或停用代理程式](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)
## 使用 Systems Manager 安裝或解除安裝代理程式
Network Flow Monitor 在 中提供經銷商套件, AWS Systems Manager 供您安裝 Network Flow Monitor 代理程式:**AmazonCloudWatchNetworkFlowMonitorAgent**。若要存取並執行套件以安裝代理程式,請依循此處提供的步驟。
**在 EC2 執行個體中安裝代理程式**
1. 在 AWS 管理主控台的**節點工具** AWS Systems Manager下,選擇**經銷商**。
1. 在 **Amazon 擁有**下,找到 Network Flow Monitor 套件 **AmazonCloudWatchNetworkFlowMonitorAgent**,然後選取它。
1. 在**執行命令**流量中,選擇**安裝一次**或**依排程安裝**。
1. 在**目標選取**區段中,選擇您要如何選取安裝代理程式的 EC2 執行個體。可以根據標籤選取執行個體、手動選擇執行個體,或根據資源群組進行選擇。
1. 在**命令參數**區段的**動作**下,選擇**安裝**。
1. 視需要向下捲動,然後選擇**執行**以開始安裝。
如果安裝成功,且執行個體具有存取 Network Flow Monitor 端點的許可,代理程式會開始收集指標,並將報告傳送至 Network Flow Monitor 後端。
作用中的代理程式 (傳送指標資料) 會產生計費成本。如需 Network Flow Monitor 和 Amazon CloudWatch 定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面上的「網路監控」。如果暫時不需要指標資料,可以停用代理程式。如需詳細資訊,請參閱[啟用或停用代理程式](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)。如果不再需要 Network Flow Monitor 代理程式,可以從 EC2 執行個體解除安裝。
**從 EC2 執行個體解除安裝代理程式**
1. 在 AWS 管理主控台的**節點工具** AWS Systems Manager下,選擇**經銷商**。
1. 在 **Amazon 擁有**下,找到 Network Flow Monitor 套件 **AmazonCloudWatchNetworkFlowMonitorAgent**,然後選取它。
1. 在**命令參數**區段的**動作**下,選擇**解除安裝**。
1. 選取要從其中解除安裝代理程式的 EC2 執行個體。
1. 視需要向下捲動,然後選擇**執行**以開始安裝。
## 使用 Systems Manager 啟用或停用代理程式
使用 SSM 安裝 Network Flow Monitor 代理程式後,必須啟用它,才能從安裝該代理程式的執行個體接收網路流量指標。作用中的代理程式 (傳送指標資料) 會產生計費成本。如需 Network Flow Monitor 和 Amazon CloudWatch 定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面上的「網路監控」。如果暫時不需要指標資料,可以停用代理程式,以避免其持續產生相關費用。
Network Flow Monitor 在 中提供文件 AWS Systems Manager ,您可以使用已在 EC2 執行個體上安裝的啟用或停用代理程式。透過執行本文件來管理代理程式,您可以啟用它們以開始接收效能指標。也可以停用它們,暫時停止傳送指標,而無需解除安裝代理程式。
在 SSM 中用於啟用或停用代理程式的文件稱為 **AmazonCloudWatch-NetworkFlowMonitorManageAgent**。若要存取和執行文件,請依循程序中的步驟。
**啟用或停用 Network Flow Monitor 代理程式**
1. 在 AWS 管理主控台中的**變更管理工具** AWS Systems Manager下,選擇 **文件**。
1. 在 **Amazon 擁有**下,找到 Network Flow Monitor 文件 **AmazonCloudWatch-NetworkFlowMonitorManageAgent**,然後選取該文件。
1. 在**目標選取**區段中,選擇您要如何選取安裝代理程式的 EC2 執行個體。可以根據標籤選取執行個體、手動選擇執行個體,或根據資源群組進行選擇。
1. 在**命令參數**區段的**動作**下,選擇**啟用**或**停用**,視您要為代理程式採取的動作而定。
1. 視需要向下捲動,然後選擇**執行**以開始安裝。
# 使用命令列下載 Network Flow Monitor 代理程式的預先建置套件
可以在 Amazon Linux 2023 中使用命令列將 Network Flow Monitor 代理程式安裝為套件,或下載並安裝 Network Flow Monitor 代理程式的預先建置套件。
下載預先建置套件之前或之後,可以選擇驗證套件簽章。如需詳細資訊,請參閱[驗證 Network Flow Monitor 代理程式套件簽章](#CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig)。
請根據您使用的 Linux 作業系統以及所需的安裝類型,從以下說明中選擇相應步驟:
**Amazon Linux AMI**
Network Flow Monitor 代理程式可在 Amazon Linux 2023 中作為套件使用。如果您使用的是此作業系統,可以輸入下列命令來安裝套件:
`sudo yum install network-flow-monitor-agent`
還必須確定連結至執行個體的 IAM 角色已連結 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy) 政策。如需詳細資訊,請參閱[設定代理程式的許可](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)。
**Amazon Linux 2023**
使用下列其中一個命令為您的架構安裝套件:
+ **x86\$164**:`sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.rpm`
+ **ARM64 (Graviton)**:`sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm`
執行下列命令並確認回應顯示代理程式已啟用且處於作用中狀態,以確認 Network Flow Monitor 代理程式已成功安裝:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
**DEB 型發行 (Debian、Ubuntu)**
使用下列其中一個命令為您的架構安裝套件:
+ **x86\$164**:`wget https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.deb`
+ **ARM64 (Graviton)**:`wget https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb`
使用以下命令安裝套件:`$ sudo apt-get install ./network-flow-monitor-agent.deb`
執行下列命令並確認回應顯示代理程式已啟用且處於作用中狀態,以確認 Network Flow Monitor 代理程式已成功安裝:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
## 驗證 Network Flow Monitor 代理程式套件的簽章
Linux 執行個體的 Network Flow Monitor Agent rpm 和 deb 安裝程式套件都經過加密簽署。您可以使用公有金鑰來驗證代理程式套件為原版且未經修改。如果檔案損壞或遭到修改,驗證會失敗。您可以使用 RPM 或 GPG 來驗證安裝程式套件的簽章。下列資訊適用於 Network Flow Monitor 代理程式 0.1.3 或更高版本。
若要尋找每個架構和作業系統的正確簽章檔案,請參閱下表。
| Architecture | 平台 | 下載連結 | 簽章檔案連結 |
| --- | --- | --- | --- |
| x86-64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.rpm | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.rpm.sig |
| ARM64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm.sig |
| x86-64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.deb | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.deb.sig |
| ARM64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb.sig |
請依循此處的步驟來驗證 Network Flow Monitor 代理程式的簽章。
**驗證 Amazon S3 套件的 Network Flow Monitor 代理程式簽章**
1. 安裝 GnuPG,以便您可以執行 gpg 命令。需要 GnuPG 來驗證為 Amazon S3 套件下載之 Network Flow Monitor 代理程式的真實性和完整性。GnuPG 預設安裝在 Amazon Linux Amazon Machine Image (AMI) 上。
1. 複製下列公有金鑰,並將其儲存至名為 `nfm-agent.gpg` 的檔案。
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. 將公有金鑰匯入至您的 keyring,並記下傳回的值。
```
PS> rpm --import nfm-agent.gpg
gpg: key 3B789C72: public key "Network Flow Monitor Agent" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
請記下金鑰的值,因為您的下一個步驟將需要它。在範例中,鍵值為 `3B789C72`。
1. 執行下列命令,驗證指紋:請務必將 *key-value* 取代為上述步驟中的值。即使您使用 RPM 來驗證安裝程式套件,我們仍建議您使用 GPG 來驗證指紋。
```
PS> gpg --fingerprint key-value
pub rsa4096 2025-04-08 [SC] [expires: 2028-04-07]
7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1
uid Network Flow Monitor Agent
```
指紋字串應等於:
`7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1`
若指紋字串不相符,請勿安裝代理程式。請聯絡 Amazon Web Services。
您驗證指紋之後,即可使用它來驗證 Network Flow Monitor 代理程式套件的簽章。
1. 如果尚未下載簽章檔案,請根據執行個體的架構和作業系統下載。
1. 確認安裝程式套件簽章。請務必將 `signature-filename` 和 `agent-download-filename` 替換為您下載簽章檔案和代理程式時指定的值,如本主題稍早的資料表中所示。
```
PS> gpg --verify sig-filename agent-download-filename
gpg: Signature made Tue Apr 8 00:40:02 2025 UTC
gpg: using RSA key 77777777EXAMPLEKEY
gpg: issuer "network-flow-monitor-agent@amazon.com"
gpg: Good signature from "Network Flow Monitor Agent " [unknown]
gpg: WARNING: Using untrusted key!
```
如果輸出包含 `BAD signature` 片語,請檢查以確定您已正確執行程序。如果持續收到此回應,請聯絡 [AWS 支援人員](https://aws.amazon.com/premiumsupport/),並避免使用下載的檔案。
請注意有關信任的警告。只有您或您信任者所簽章的金鑰才能信任。這不表示該簽章是無效的,只是您尚未驗證該公有金鑰。
接著,請依循此處的步驟驗證 RPM 套件。
**驗證 RPM 套件的簽章**
1. 複製下列公有金鑰,並將其儲存至名為 `nfm-agent.gpg` 的檔案。
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. 將公開金鑰匯入至您的 keyring。
```
PS> rpm --import nfm-agent.gpg
```
1. 確認安裝程式套件簽章。請務必將 `agent-download-filename` 替換為您下載代理程式時指定的值,如本主題稍早的資料表中所示。
```
PS> rpm --checksig agent-download-filename
```
例如,對於 Amazon Linux 2023 上的 x86\$164 架構,請使用下列命令:
```
PS> rpm --checksig network-flow-monitor-agent.rpm
```
此命令會傳回類似以下的輸出。
```
network-flow-monitor-agent.rpm: digests signatures OK
```
如果輸出包含 `NOT OK (MISSING KEYS: (MD5) key-id)` 片語,請檢查您是否已正確執行程序。如果持續收到此回應,請聯絡 [AWS 支援人員](https://aws.amazon.com/premiumsupport/),並且不要安裝代理程式。
# 安裝自我管理式 Kubernetes 執行個體的代理程式
請依循本節中的步驟,為自我管理式 Kubernetes 叢集上的工作負載安裝 Network Flow Monitor 代理程式。完成這些步驟後,Network Flow Monitor 代理程式 Pod 將在所有自我管理式 Kubernetes 叢集節點上執行。
如果您使用 Amazon Elastic Kubernetes Service (Amazon EKS),請依循如下章節中的安裝步驟操作:[安裝 EKS AWS 網路流量監控代理程式附加元件](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)。
**Topics**
+ [開始之前](CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin.md)
+ [下載 Helm Chart 並安裝代理程式](CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents.md)
+ [設定代理程式傳送指標的許可](CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions.md)
# 開始之前
開始安裝程序之前,請依循本節中的步驟,確保您的環境已設定妥當,可成功在正確的 Kubernetes 叢集上安裝代理程式。
**確保您的 Kubernetes 版本受支援**
若要安裝 Network Flow Monitor 代理程式,必須具備 Kubernetes 1.25 或更高版本。
**確保您已安裝必要的工具**
用於此安裝程序的指令碼需要您安裝下列工具。如果尚未安裝這些工具,請參閱提供的連結以取得詳細資訊。
+ AWS Command Line Interface (CLI)。如需詳細資訊,請參閱《 AWS Command Line Interface 參考指南》中的[安裝或更新至最新版本的 AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
+ Helm 套件管理員。如需詳細資訊,請參閱 Helm 網站上的[安裝 Helm](https://helm.sh/docs/intro/install/)。
+ `kubectl` 命令列工具。如需詳細資訊,請參閱 Kubernetes 網站上的[安裝 kubectl](https://kubernetes.io/docs/tasks/tools/#kubectl)。
+ `make` Linux 命令相依項。如需詳細資訊,請參閱下列部落格文章:[Intro to make Linux Command: Installation and Usage](https://ioflood.com/blog/install-make-command-linux/)。對於範例,請執行下列其中一項動作:
+ 對於 Debian 型發行,例如 Ubuntu,請使用下列命令:`sudo apt-get install make`
+ 對於 RPM 型發行,例如 CentOS,請使用下列命令:`sudo yum install make`
**確保擁有有效且正確設定的 KubeConfig 環境變數**
安裝 Network Flow Monitor 代理程式時需用到 Helm 套件管理員工具,該工具使用 kubeconfig 變數 `$HELM_KUBECONTEXT` 來判斷要使用的目標 Kubernetes 叢集。此外,請注意,當 Helm 執行安裝指令碼時,預設會參考標準 `~/.kube/config` 檔案。您可以變更組態環境變數,以使用不同的設定檔 (透過更新 `$KUBECONFIG`) 或定義要使用的目標叢集 (透過更新 `$HELM_KUBECONTEXT`)。
**建立 Network Flow Monitor Kubernetes 命名空間**
Network Flow Monitor 代理程式的 Kubernetes 應用程式會將其資源安裝至特定命名空間。命名空間必須存在,安裝才能成功。若要確保所需的命名空間已就位,可以執行下列其中一項動作:
+ 開始之前,請先建立預設命名空間 `amazon-network-flow-monitor`。
+ 建立不同的命名空間,然後在執行安裝以建立目標時,在 `$NAMESPACE` 環境變數中對其進行定義。
# 下載 Helm Chart 並安裝代理程式
您可以使用下列命令,從 AWS 公有儲存庫下載網路流量監控代理程式 Helm Chart。請確保已先使用 GitHub 帳戶進行身分驗證。
`git clone https://github.com/aws/network-flow-monitor-agent.git`
在 `./charts/amazon-network-flow-monitor-agent` 目錄中,您可以找到 Network Flow Monitor 代理程式 Helm Chart 和 Makefile,其中包含用於安裝代理程式的安裝 make 目標。可以使用下列 Makefile 目標安裝 Network Flow Monitor 代理程式:`helm/install/customer`
可以視需要自訂安裝,例如執行下列動作:
```
# Overwrite the kubeconfig files to use
KUBECONFIG= make helm/install/customer
# Overwrite the Kubernetes namespace to use
NAMESPACE= make helm/install/customer
```
若要驗證是否已成功建立和部署 Network Flow Monitor 代理程式的 Kubernetes 應用程式 Pod ,請檢查其狀態是否為 `Running`。您可以執行下列命令來檢查代理程式的狀態:`kubectl get pods -o wide -A | grep amazon-network-flow-monitor`
# 設定代理程式傳送指標的許可
安裝 Network Flow Monitor 代理程式後,必須啟用這些代理程式,使其能夠將網路指標傳送至 Network Flow Monitor 擷取 API。Network Flow Monitor 中的代理程式必須具有存取 Network Flow Monitor 擷取 API 許可,以便他們可以傳送為每個執行個體收集的網路流量指標。您可以透過為服務帳戶 (IRSA) 實作 IAM 角色來授與此存取權。
若要讓代理程式能夠將網路指標傳送至 Network Flow Monitor,請依循本節中的步驟。
1. **為服務帳戶實作 IAM 角色**
服務帳戶的 IAM 角色提供管理應用程式憑證的功能,類似 Amazon EC2 執行個體設定檔將憑證提供給 Amazon EC2 執行個體的方式。若要提供 Network Flow Monitor 代理程式所需的所有許可,使其能夠成功存取 Network Flow Monitor 擷取 API,建議的做法是實作 IRSA。如需詳細資訊,請參閱《Amazon EKS 使用者指南》中的[服務帳戶的 IAM 角色](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html)。
為 Network Flow Monitor 代理程式設定 IRSA 時,請使用下列資訊:
+ **服務帳戶:**當您定義 IAM 角色信任政策時,對於 `ServiceAccount`,指定 `aws-network-flow-monitor-agent-service-account`。
+ **命名空間:**對於 `namespace`,指定 `amazon-network-flow-monitor`。
+ **暫時憑證部署:**當您在部署完 Network Flow Monitor 代理程式 Pod 之後設定許可時,`ServiceAccount`請使用 IAM 角色更新 ,Kubernetes 不會部署 IAM 角色憑證。為了確保 Network Flow Monitor 代理程式取得您指定的 IAM 角色憑證,必須逐步重新啟動 `DaemonSet`。例如,使用如下命令:
`kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent`
1. **確認 Network Flow Monitor 代理程式可成功存取 Network Flow Monitor 擷取 API**
可以透過檢視 Network Flow Monitor 代理程式 Pod 的 HTTP 200 日誌,確認代理程式的設定是否運作正常。首先,搜尋 Network Flow Monitor 代理程式 Pod,然後搜尋日誌檔案以尋找成功的 HTTP 200 請求。例如,您可以執行下列動作:
1. 尋找網路流量監控代理程式 Pod 名稱。舉例而言,您可以使用下列命令:
```
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)
```
1. 在所有 HTTP 日誌中搜尋您已定位的 Pod 名稱。如果您已變更 NAMESPACE,請務必使用新的命名空間。
```
NAMESPACE=amazon-network-flow-monitor
kubectl logs $RANDOM_AGENT_POD_NAME -\-namespace ${NAMESPACE} | grep HTTP
```
如果已成功授與存取權,您應該會看到類似如下的日誌項目:
```
...
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679}
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}
```
請注意,Network Flow Monitor 代理程式會呼叫 Network Flow Monitor 擷取 API,每 30 秒發布一次網路流量報告。
# 初始化網路流量監視器
在檢視網路流量的效能指標之前,必須初始化 Network Flow Monitor,以授與必要的許可,並為您的一個或多個帳戶建立初始拓撲。如果您打算監控多個帳戶的資源,您還必須使用 Amazon CloudWatch AWS Organizations 設定 。然後,您可以為 Network Flow Monitor 範圍指定帳戶,以便 Network Flow Monitor 可以為您要追蹤其效能指標的所有帳戶建立初始拓撲。
此外,您必須在執行個體上安裝代理程式,將效能指標傳送至網路流量監視器擷取伺服器。如需詳細資訊,請參閱[在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式](CloudWatch-NetworkFlowMonitor-agents.md)。
初始化 Network Flow Monitor 所採取的步驟,取決於您是度量單一帳戶中資源的效能指標,還是要監控組織內多個帳戶擁有之資源的指標。
+ [單一帳戶監控初始化](CloudWatch-NetworkFlowMonitor-single-account.md)
+ [多帳戶監控初始化](CloudWatch-NetworkFlowMonitor-multi-account.md)
# 初始化 Network Flow Monitor 以進行單一帳戶監控
若要初始化 Network Flow Monitor 以監控網路效能指標,您必須授與許可,Network Flow Monitor 必須為您的帳戶建立初始拓撲。當您只監控一個帳戶中的資源時,Network Flow Monitor 會將您的帳戶設定為網路監控的範圍,並建立該範圍的拓撲。
初始化 Network Flow Monitor 會執行下列動作:
+ 准許 Network Flow Monitor 搭配您的帳戶使用所需的服務連結角色。Network Flow Monitor 要求您授與其特定許可,以便此功能可以代表您將指標傳送至 Amazon CloudWatch,並建立網路流量的拓撲。如需詳細資訊,請參閱[網路流量監視器的服務連結角色](using-service-linked-roles-network-flow-monitor.md)。
+ 將網路流量監控的監控範圍設定為您登入 AWS 的帳戶。如需詳細資訊,請參閱 [網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md) 中的**範圍**。
+ 為您的範圍建立初始拓撲。
若要設定提供必要許可的服務連結角色、將範圍設定為您的帳戶,以及建立網路流量效能監控的拓撲,從而初始化 Network Flow Monitor,請依循下列步驟操作。
**初始化 Network Flow Monitor**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 在**開始使用 Network Flow Monitor** 區段的步驟 1 下,選擇**開始初始化**。
1. 在**設定 Network Flow Monitor** 頁面上,向下捲動,然後選擇**初始化 Network Flow Monitor**。
完成初始化可能需要 20-30 分鐘。
為帳戶初始化 Network Flow Monitor 之後,還必須為資源安裝 Network Flow Monitor 代理程式,以便將效能指標傳送至 Network Flow Monitor 後端擷取伺服器,您才能檢視網路流量效能指標。如需詳細資訊,請參閱[在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式](CloudWatch-NetworkFlowMonitor-agents.md)。
# 初始化 Network Flow Monitor 以進行多帳戶監控
如果想要監控 Network Flow Monitor 中不同帳戶擁有之資源的網路流量,必須先使用 AWS Organizations設定 Amazon CloudWatch。若要在 Network Flow Monitor 中使用多個帳戶,必須開啟 CloudWatch 的受信任存取權,最佳做法是同時註冊委派管理員。
此外,如果您計畫從主控台建立網路流量的監視器,必須將 Network Flow Monitor 政策新增至連結資源的角色。此政策可讓您在主控台中檢視其他帳戶的資源,以便將多個帳戶中的資源新增至監視器。
若要監控不同帳戶擁有之資源的網路流量,需要採取額外的設定步驟。首先,身為管理帳戶,您必須使用 設定 CloudWatch AWS Organizations 以開啟受信任的存取,通常您也會註冊委派的管理員帳戶。然後,您可以使用委派的管理員帳戶,在組織中新增更多帳戶,以設定網路可觀測性的範圍,將資源納入這些帳戶中。(您也可以使用管理帳戶新增多個帳戶,但是在組織中,當您處理服務中的資源時,使用委派的管理員帳戶是最佳做法。我們在此說明中提供遵循該指引的步驟,適用於 Network Flow Monitor。)
請注意,如果您不需要監控來自多個帳戶之執行個體的網路流量,可以搭配單一帳戶使用 Network Flow Monitor。Network Flow Monitor 的範圍會自動設定為您登入 AWS 的帳戶。
使用下列各節中的指引來完成這些步驟。
**Topics**
+ [多帳戶設定概觀](#CloudWatch-NetworkFlowMonitor-multi-account.overview)
+ [設定 AWS Organizations](#CloudWatch-NetworkFlowMonitor-multi-account.config-orgs)
+ [新增多個帳戶](#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)
+ [新增主控台的許可](#CloudWatch-NetworkFlowMonitor-multi-account.console-perms)
## 在 Network Flow Monitor 中使用多個帳戶的步驟概觀
若要開始使用 Network Flow Monitor,之前未使用過 Network Flow Monitor 的帳戶都必須初始化 Network Flow Monitor。當您為帳戶初始化 Network Flow Monitor 時,Network Flow Monitor 會新增所需的服務連結角色許可,並建立一個或多個帳戶的範圍,以納入網路可觀測性。若要在網路流量監視器中使用多個帳戶,還有其他步驟要與 整合 AWS Organizations,然後新增要使用的帳戶。
總而言之,您需要採取下列步驟:
1. 以管理帳戶 AWS 管理主控台 身分登入 ,然後執行下列動作:
+ 完成在 CloudWatch AWS Organizations 中與 整合的必要步驟。
1. 以委派管理員帳戶 AWS 管理主控台 身分登入 ,然後執行下列動作:
+ 初始化 Network Flow Monitor,包括將帳戶新增至監控範圍。
+ 新增從主控台存取其他帳戶中的資源所需的許可。
如果您要設定 Network Flow Monitor 來使用多個帳戶,但您不熟悉 AWS Organizations,請檢閱下列資源,以了解管理帳戶、受信任存取和委派管理員帳戶等概念,並了解如何將 Organizations 與 CloudWatch 整合。
+ AWS Organizations 《 使用者指南》[中的使用 管理組織中的帳戶 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)。
+ AWS Organizations 《 使用者指南》中的 [Amazon CloudWatch 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) 。
請依循下列各節中的步驟,取得為多個帳戶設定 Network Flow Monitor 的特定指引。
## 在 CloudWatch AWS Organizations 中設定
若要使用 設定網路流量監視器 AWS Organizations,請登入 管理帳戶,並開啟 CloudWatch 的受信任存取。然後,註冊委派管理員帳戶,以用於初始化 Network Flow Monitor 並新增多個帳戶。
如果您已在 CloudWatch 中設定組織,開啟對 CloudWatch 組織的受信任存取權並註冊委派管理員帳戶,則不需要再針對 Network Flow Monitor 為組織設定任何其他項目。您可以使用 CloudWatch 的委派管理員帳戶登入,然後初始化 Network Flow Monitor,包括為您的網路可觀測性範圍新增多個帳戶。
如果尚未在 CloudWatch 中設定組織,請依循此處的步驟開啟受信任的存取權並註冊委派管理員帳戶。
### 在 CloudWatch 中開啟受信任的存取權
必須先在 Amazon CloudWatch 中開啟對 AWS Organizations 的受信任存取權,才能將 Network Flow Monitor 與組織中的多個帳戶搭配使用。依循下列步驟在 CloudWatch 主控台中開啟受信任的存取權。
**開啟受信任的存取權**
1. 使用組織的管理帳戶登入主控台。
1. 在 CloudWatch 主控台的導覽窗格中選擇**設定**。
1. 選擇**組織**索引標籤。
1. 在**組織管理設定**中,選擇**開啟**。**啟用受信任的存取權**頁面隨即出現。
1. 若要檢閱角色政策,請選擇**檢視許可詳細資訊**,角色政策將顯示在視窗中。
1. 選擇 **Enable trusted access (啟用信任存取)**。
現在,當 CloudWatch 偵測到資源時,會自動更新您有權存取 Network Flow Monitor 中資源的帳戶相關資訊。
### 註冊委派管理員帳戶
作為 的最佳實務 AWS Organizations,組織的管理帳戶應將成員帳戶註冊為 CloudWatch 的委派管理員帳戶。在 CloudWatch 中註冊委派管理員帳戶後,組織的成員可以使用委派管理員帳戶登入,以監控 Network Flow Monitor 多個帳戶中資源的網路效能。
在委派管理員帳戶中,您可以在 Network Flow Monitor 中為您的網路可觀測性範圍新增多個帳戶。雖然管理帳戶也可以建立包含多個帳戶的範圍,但我們建議您遵循 AWS Organizations 的最佳實務,使用委派管理員帳戶在 Network Flow Monitor 中新增多個帳戶。對於非委派管理員帳戶的會員帳戶,範圍僅限於會針對範圍自動設定的登入帳戶。
組織的委派管理員帳戶是共用服務受管許可管理員存取權的會員帳戶。您選擇註冊為委派管理員帳戶的帳戶必須是組織中的會員帳戶。您組織的委派管理員帳戶可以在 CloudWatch 之外使用,因此請務必先了解此帳戶類型,再執行此程序。如需詳細資訊,請參閱[《 使用者指南》中的 Amazon CloudWatch 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) 。 AWS Organizations
**註冊委派管理員帳戶**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇 ** Settings** (設定)。
1. 選擇**組織**索引標籤。
1. 選擇 **Register delegated administrator (註冊委派管理員)**。
1. 在**註冊委派管理員**視窗的**委派管理員帳戶 ID** 欄位中,輸入 12 位的組織會員帳戶 ID。
1. 選擇 **Register delegated administrator (註冊委派管理員)**。頁面頂端會出現一則訊息,指出帳戶已成功註冊。**組織設定**頁面隨即顯示。若要檢視委派管理員帳戶的相關資訊,請將滑鼠懸停在**委派管理員**下方的號碼上。
若要移除或變更委派管理員帳戶,請先取消註冊該帳戶。如需詳細資訊,請參閱[取消註冊委派管理員帳戶](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator)。
## 將多個帳戶新增至您的範圍
若要將帳戶新增至 Network Flow Monitor 範圍,請使用委派管理員帳戶登入。(如果您使用管理帳戶登入,您可以將帳戶新增至範圍,但最佳實務是 AWS Organizations 使用委派管理員帳戶來處理 資源。)
登入後,請依照步驟初始化 Network Flow Monitor,這是授權所需服務連結角色許可的程序,可讓您透過新增帳戶來設定網路可觀測性的範圍,然後為您所設定範圍內的帳戶建立初始拓撲。您登入所使用的帳戶 (在此情況下為委派管理員帳戶) 將自動納入您的 Network Flow Monitor 範圍。
**使用範圍內的多個帳戶初始化網路流量監控**
1. 使用組織的委派管理員帳戶登入主控台。
1. 在 CloudWatch 主控台的導覽窗格中,在**網路監控**下選擇**流量監控**。
1. 在**開始使用 Network Flow Monitor** 的步驟 1 中,選擇**開始初始化**。
1. 在 **Network Flow Monitor** 頁面的**新增帳戶**下,選擇**新增**。您登入時使用的帳戶會自動包含在範圍中,並在**範圍內的帳戶**資料表中顯示為 **(此帳戶)**。
1. 在**新增帳戶**對話方塊頁面上,選擇性地篩選帳戶,然後選擇最多 99 個額外帳戶新增至範圍。範圍內的帳戶數目上限為 100。
1. 選擇**新增**。
1. 選擇**初始化 Network Flow Monitor**。Network Flow Monitor 會新增必要的服務連結角色許可、建立包含您指定之所有帳戶的範圍,然後建立您範圍內帳戶中資源的初始拓撲。
若要在已初始化網路流量監視器之後新增或移除範圍的帳戶,請依照此處的步驟進行。
請注意,變更範圍後,若要新增或刪除帳戶,您必須先等待約 20 分鐘,才能對範圍進行其他變更。此延遲是因為網路流量監控需要短暫的時間來更新其拓撲資訊。
**為您的範圍新增或移除帳戶**
1. 使用組織的委派管理員帳戶登入主控台。
1. 在 CloudWatch 主控台的導覽窗格中,在**網路監控**下選擇**流量監控**。
1. 在**監視器**下,選取監視器。
1. 在**監控詳細資訊**索引標籤中,於**範圍內的帳戶**下,選擇**新增****或刪除**。
1. 選取要新增至範圍的帳戶,最多總共 100 個帳戶,或選取要刪除的帳戶。
1. 完成確認對話方塊中的步驟。
## 設定多帳戶資源存取許可 (僅主控台)
如果您計畫從主控台建立 Network Flow Monitor,則範圍內的每個會員帳戶都需要特定政策。當您將本地和遠端資源新增至監視器時,此政策可讓您檢視其他帳戶的資源。
針對您範圍內的每個帳戶,建立角色 **NetworkFlowMonitorAccountResourceAccess**,然後連結 **AmazonEC2ReadOnlyAccess** 政策。若要查看政策的許可詳細資訊,請參閱[《 受管政策參考指南》中的 AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)。 AWS
此政策附加於您必須為每個執行個體新增的政策之上,旨在確保 Network Flow Monitor 代理程式能將執行個體的效能指標傳送至 Network Flow Monitor 擷取後端伺服器。如需代理程式許可的詳細資訊,請參閱[在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式](CloudWatch-NetworkFlowMonitor-agents.md)。
下列程序概述如何在 Network Flow Monitor 主控台內,建立存取範圍內的資源所需的角色。如需如何在 IAM 中建立角色的一般指引,請參閱 AWS Identity and Access Management 《 使用者指南》中的[建立角色以授予許可給 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)。
**在 Network Flow Monitor 主控台中建立資源存取角色**
1. 登入 AWS 管理主控台 並開啟 IAM 主控台。
1. 在主控台的導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 指定 **AWS 帳戶**受信任實體。這種信任的實體類型可讓其他 AWS 帳戶中的主體擔任該角色,並存取其他帳戶中的資源。
1. 選擇**下一步**。
1. 在 AWS 受管政策清單中,選擇 **AmazonEC2ReadOnlyAccess** 政策。
1. 選擇**下一步**。
1. 針對角色名稱,輸入 **NetworkFlowMonitorAccountResourceAccess**。
1. 檢閱角色,然後選擇 **Create role** (建立角色)。
## 在執行個體上安裝代理程式
若要使用 Network Flow Monitor 追蹤網路效能,必須先初始化該服務,同時還必須在工作負載的 EC2 執行個體上安裝 Network Flow Monitor 代理程式,並為代理程式新增許可,使其能夠將網路效能指標傳送至 Network Flow Monitor。安裝代理程式後,請等待一小段時間 (約 20 分鐘),讓資料開始傳送至 Network Flow Monitor 後端。然後,您可以在**工作負載洞察**索引標籤上檢視網路效能指標,也可以建立監視器來檢視詳細資訊。
例如,您可以檢視 Network Flow Monitor 代理程式收集的主要貢獻因子效能指標,包括資料傳輸量與重傳逾時次數、您本機與遠端資源之間的網路流量。透過檢視與分析這些指標,您可以選擇特定流量以查看更多詳細資訊,並透過監視器進行更密切的追蹤。透過針對特定流量建立監視器,您可以檢視其詳細資訊,包含依每個指標類型的主要貢獻因子排序之指標,以及每個網路流量的網路路徑。
使用監視器時,網路流量監視器也提供網路運作狀態指標 (NHI),您可以用來查看在監視器中追蹤的網路流量是否有 AWS 網路受損。該資訊可協助您確定網路疑難排解工作的重點。
如需詳細資訊以及如何安裝代理程式的說明,請參閱[在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式](CloudWatch-NetworkFlowMonitor-agents.md)。
# 在 Network Flow Monitor 中監控和分析網路流量
透過 Network Flow Monitor,您可以了解透過範圍監控之流量的網路流量和效能。首先,在**工作負載洞察**索引標籤中,檢閱每個指標類型的主要貢獻因子相關資訊。然後建立監視器,以便您能針對在**工作負載洞察**中選取的網路流量,深入探索不同時間範圍內的網路效能細節。
在執行個體上初始化 Network Flow Monitor 並安裝代理程式後,Network Flow Monitor 會針對來自這些執行個體的網路流量產生效能指標。檢閱本章中的章節,進一步了解如何使用 Network Flow Monitor 來評估 Network Flow Monitor 中的網路效能、建立監視器以取得更深入的資訊,並了解 Network Flow Monitor 提供的特定指標。
這些章節中的步驟使用 AWS 管理主控台。您也可以使用 Network Flow Monitor API 操作搭配 AWS Command Line Interface (AWS CLI) AWS SDKs來檢閱工作負載洞見和主要參與者指標,以及建立和設定監視器。如需詳細資訊,請參閱下列資源:
+ 如果您計畫搭配 CLI 使用 Network Flow Monitor,請參閱[搭配 Network Flow Monitor 使用 CLI 的範例](CloudWatch-NFM-get-started-CLI.md)。
+ 如需使用 Network Flow Monitor API 操作的詳細資訊,請參閱《[Network Flow Monitor API 參考指南](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html)》。
**Topics**
+ [評估網路流量](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)
+ [建立和使用監視器](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
+ [監控和分析](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)
+ [刪除範圍](CloudWatch-NetworkFlowMonitor-disable.md)
# 利用工作負載洞察來評估網路流程
Network Flow Monitor 可針對您要監控之範圍內的網路流量,提供工作負載洞察。透過呈現每個指標類型的主要貢獻因子網路流量,您可以檢視哪些流量可能遇到問題。您可以在主控台的**工作負載洞察**索引標籤中檢視這些主要貢獻因子指標。在 Network Flow Monitor 中,主要貢獻因子是每個網路效能指標值最高的網路流量。
**主要貢獻因子**
在 Network Flow Monitor 主控台的**工作負載洞察**頁面上,Network Flow Monitor 會顯示已部署代理程式之監控範圍內,所有資源之間網路流量的主要貢獻因子網路效能統計資料。
為彙整主要貢獻因子清單,Network Flow Monitor 會根據您設定的範圍,判定哪些網路流量具有最高的重傳次數、重傳逾時次數及傳輸資料量。這些網路流量是每個指標類型的*主要貢獻因子*。
對於工作負載洞察,系統會針對您正在接收效能資訊的所有網路流量,確定其主要貢獻因子;換言之,涵蓋您監控範圍內已安裝 Network Flow Monitor 代理程式的所有資源產生的網路流量。
**網路流程分類**
Network Flow Monitor 會將指標分類為指定的本機遠端類別。指標分為兩種類型的流程:
+ **網路運作狀態指示器 (NHI) 流程:**有助於網路運作狀態指示器 (NHI) 計算的流程:
+ 在 AZs(`INTER_AZ`)。一律位於相同的 VPC 內。
+ 在 AZs(`INTRA_AZ`)。一律位於相同的 VPC 內。
+ 在 VPCs之間 (`INTER_VPC`)。跨越 VPCs之間的界限。
+ 區域之間 (`INTER_REGION`)。這表示 區域中資源與另一個區域邊緣之間的網路流程效能。
+ 流向 Amazon S3 儲存貯體 (`AMAZON_S3`)
+ 流向 Amazon DynamoDB (`AMAZON_DYNAMODB`)
+ **非網路運作狀態指示器 (NHI) 流程:**不會導致網路運作狀態指示器 (NHI) 計算的流程:
+ 朝向網際網路 (`INTERNET`)。周遊網際網路閘道並在公有網際網路上結束的流程。
+ 朝向 AWS 服務 (`AWS_SERVICE`)。結束於未完全監控之 AWS 服務的流程 (例如 CloudFront 或 API Gateway)。
+ 朝向傳輸閘道 (`TRANSIT_GATEWAY`)。此分類中的流程是抵達 Transit Gateway 的流程,但流程的最終目的地不明。
+ 朝向本機區域 (`LOCAL_ZONE`)。在本機區域中開始或結束的流程
+ 任何其他無法以其他方式分類的流程 (`UNCLASSIFIED`)。
**效能指標**
**工作負載洞察**中的效能指標會針對下列指標類型分別顯示於獨立資料表中:重傳次數、重傳逾時次數及傳輸資料量。提供的資料為每種類型的主要貢獻因子。請注意,在您第一次安裝 Network Flow Monitor 代理程式後,需等待一段時間 (約 20 分鐘),才能檢視效能指標;與此同時,代理程式會收集資料並將其傳送至 Network Flow Monitor 後端。
**監控特定網路流量**
當您檢視效能指標時,若發現需要進一步了解特定資源或網路流量的細節,可建立僅包含這些流量的監視器。
透過監視器,您可以追蹤特定網路流量群組在一段時間內的變化,從而深入了解工作負載的某個面向。您也可以取得實用的故障診斷資訊,例如檢查網路運作狀態指標 (NHI),以查看您看到的問題是否由 AWS 損害造成。
如需詳細資訊,請參閱[在 Network Flow Monitor 中建立和使用監視器](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
**多帳戶覆蓋**
若要在 Network Flow Monitor 中處理多個帳戶,必須設定將 AWS Organizations 與 CloudWatch 整合。透過設定組織,可以將帳戶新增至 Network Flow Monitor 覆蓋範圍。然後,若您的範圍內存在多個帳戶,且每個帳戶皆擁有您要監控其間網路流量之資源,您可以指定覆蓋所有帳戶的範圍,進而檢視已安裝於資源上的 Network Flow Monitor 代理程式所收集之效能指標。如需詳細資訊,請參閱[初始化 Network Flow Monitor 以進行多帳戶監控](CloudWatch-NetworkFlowMonitor-multi-account.md)。
# 在 Network Flow Monitor 中建立和使用監視器
您可以建立監視器,以檢視工作負載一個或多個網路流量的網路效能詳細資訊。對於每個監視器,Network Flow Monitor 會發布端對端效能指標和網路運作狀態指標 (NHI),並產生個別網路流量的網路路徑。建立監視器之後,您可以在主控台的**監視器**索引標籤中檢視監視器提供的資訊。
流程監控可協助您評估影響工作負載的網路效能問題,包括 中的 AWS 區域 損害,以及本機和遠端區域之間的 AWS 全球網路問題。監視器提供的網路運作狀態指示器 (NHI) 也會擷取工作負載區域之間網路路徑上 AWS 全域網路的運作狀態。這可協助您快速識別本機區域、 AWS 全球網路或遠端區域中的損害是否影響您的工作負載。
對於遠端區域,監視器可提供網路可見性,涵蓋流向該區域公共 IP 位址的流量,以及透過 VPC 對等連線或轉接閘道對等連線傳輸至遠端區域的私有流量。
建立監視器後,可以隨時編輯監視器以進行變更 (變更監視器名稱除外) 或刪除監視器。
下列各節包含在 Network Flow Monitor 主控台中建立、編輯和刪除監視器的程序。
**Topics**
+ [建立監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)
+ [編輯監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)
+ [刪除監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)
# 在 Network Flow Monitor 中建立監視器
當您在**工作負載洞察**索引標籤檢視主要貢獻因子時,若發現有一或多個網路流量需要長期追蹤,或者想要進一步了解其詳細資訊,可直接從**工作負載洞察**建立監控器。如此便簡化了為特定網路流量建立監視器的流程。
或者,如果您知道想要使用監視器追蹤的特定網路流程,例如查看所有網路流到另一個網路流程的效能資訊 AWS 區域,您可以使用**建立監視器**精靈從頭建立監視器。當您以這種方式建立監視器時,需指定所有定義要監控之網路流量的本地與遠端資源。
如需特定程序,請參閱下列章節:
+ [透過指定網路流量建立監視器](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights)
+ [透過指定本地和遠端資源來建立監視器](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone)
## 透過指定網路流量建立監視器
若要選取網路流量以建立監視器,請從**工作負載洞察**索引標籤開始。在單一區域的其中一個資料表中選取一個或多個網路流量,然後選擇以這些流量建立監視器。
當您以這種方式建立監視器時,**建立監視器**精靈會為您預先填入本地和遠端資源,並讓其顯示在模態對話方塊中。您可以選擇使用這些資源建立監視器,或編輯本機或遠端資源的選擇,以新增或移除要包含的資源。
透過持續檢閱**工作負載洞察**的主要貢獻因子,您可以定期評估是否已具備所需的監視器,或者是否需要建立新的監視器。
**重要**
這些步驟旨在一次全部完成。您無法儲存任何處理中的工作,以便稍後繼續。
**從**工作負載洞察**建立監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 選擇**工作負載洞察**。
1. 在其中一個**主要貢獻因子**資料表中,選取一個或多個網路流量,然後選擇**建立監視器**。
1. 在開啟的模態視窗中,可以編輯定義所選網路流量的資源,或者選擇**建立監視器**。
## 透過指定本地和遠端資源來建立監視器
您可以隨時為特定的本地和遠端資源建立監視器,這些資源定義您要檢視其詳細資訊的網路流量。
例如,您可能需要建立適用於以下任一情境的監視器:
+ 一個監視器,用於追蹤本機區域中特定 VPC 至相同區域中另一個 VPC 的網路流量。(請注意,您無法選取類似 VPC 的特定資源,作為另一個區域中的網路流量端點,即遠端資源)。
+ 對於本地資源,選擇***區域*中的特定資源**。然後,選擇 **VPC 和子網路**,然後在資料表中選取特定 VPC。
+ 對於遠端資源,請執行相同的動作:選擇***區域中*的特定資源**,然後選擇 **VPC 和子網路**,最後選擇特定的 VPC。
+ 一個監視器,用於追蹤您的工作負載從本地區域傳輸至特定可用區域的所有網路流量。
+ 對於本地資源,選擇**整個*區域***
+ 對於遠端資源,選擇**可用區域**,然後選擇特定 AZ
+ 一個監視器,用於追蹤本地區域中工作負載的所有網路流量。
+ 對於本地資源,選擇**整個*區域***
+ 對於遠端資源,選擇**整個*區域***
+ 一個監視器,用於追蹤您的工作負載從本地區域到另一個區域邊緣的所有網路流量。
+ 對於本地資源,選擇**整個*區域***
+ 對於遠端資源,選擇**另一個區域**,然後選擇遠端區域
**重要**
這些步驟旨在一次全部完成。您無法儲存任何處理中的工作,以便稍後繼續。
**使用主控台建立監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 從網路流量監控頁面,選取**監控**索引標籤,然後選擇**建立監控**。
1. 在**監視器名稱**中,輸入要用於監視器的名稱。此名稱後續不得更改。
1. 選擇**下一步**。
1. 為要監控的網路流量選取本地資源 (一個或多個)。
+ 若要監控來自區域中所有資源的網路流量,選擇**整個*區域***。
+ 若要選擇要監控流程的特定本機資源,請選擇***區域中*的特定資源**。然後在**新增資源**下,選擇**可用區域**、**EKS 叢集**或 **VPCs 和子網路**,然後選擇要新增的資源。
1. 選擇**下一步**。
1. 為要監控的網路流量選取遠端資源 (一個或多個)。
+ 若要監控流向區域中所有資源的網路流量,選擇**整個*區域***。
+ 若要監控來自特定遠端資源的流程,請選擇***區域中*的特定資源**。在**新增資源**下,選取 **VPCs 和子網路**、**可用區域****AWS 或服務**,然後選擇要新增的資源。
+ 若要監控流向另一個區域邊緣的網路流量,選擇**另一個區域**。
1. 選擇**下一步**。
1. 檢閱您的選擇以確認要監控的網路流量,或者編輯選項以進行變更。
1. 選擇 **Create monitor** (建立監視器)。
建立監視器之後,您可以隨時編輯或刪除監視器,以新增或移除網路流程。選取監視器,然後選擇**編輯****或刪除**。請注意,您無法變更監視器的名稱。
**檢視 Network Flow Monitor 儀表板**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇**網路監控**,再選擇**流量監視器**。
**Monitor** (監視器) 索引標籤會顯示您已建立的監視器清單。
若要查看特定監視器的詳細資訊,請選擇一個監視器。
# 在 Network Flow Monitor 中編輯監視器
可以隨時編輯監視器,以新增或移除網路流量。
請注意,建立監視器後,您無法變更監視器的名稱。
**重要**
這些步驟旨在一次全部完成。您無法儲存任何處理中的工作,以便稍後繼續。
**使用主控台編輯監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 在**監視器**索引標籤上,選取監視器,然後在**動作**選單下選擇**編輯**。
1. 選取要為監視器新增或移除的本地或遠端資源。如果您的範圍內有多個帳戶,請指定資源所在的帳戶,然後選擇資源。
1. 監視器更新完成後,選擇**下一步**,以檢閱並確認要監控的網路流量。
1. 選擇**儲存監視器**。
# 在 Network Flow Monitor 中刪除監視器
若要在 Network Flow Monitor 中刪除監視器,請依循此處的步驟。
**刪除監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 在**監視器**索引標籤上,選取監視器,然後在**動作**選單下選擇**刪除**。
1. 在出現的對話方塊中,輸入確認文字,然後選擇**刪除**。
# 使用 Network Flow Monitor 監控和分析網路流量
Network Flow Monitor 資料和圖形可協助您視覺化呈現和追蹤網路問題。您可以建立監視器來查看 AWS 工作負載特定網路區段的詳細資訊,包括個別網路流程的網路路徑檢視。在 Network Flow Monitor 中建立一個或多個監視器後,您可以觀測效能和指標,並探索歷史資料以找出異常狀況。
若要檢視監視器提供的資訊,在**監視器**索引標籤上的**監視器**資料表中選擇監視器。然後,選擇下列其中一個索引標籤以取得詳細資訊:**概觀**、**歷史總管**或**監視器詳細資訊**。
**概觀標籤**
在**概觀**索引標籤上,您可以檢視指定時段內的以下內容:若要檢視更廣泛或更狹窄範圍的歷史資訊 (包括 NHI 和流量摘要資料),請調整頁面頂端的時段選擇。
+ **網路運作狀態指標 (NHI):**NHI 會在您為檢視效能指標選取的時間範圍內,提醒您監視器追蹤的一或多個網路流程是否有 AWS 網路問題。NHI 是二進位值,即 1 或 0,在主控台中顯示為**已降級**或**運作正常**。
+ 如果在所選之時間範圍內的任何時間,監視器中任何網路流經過的 AWS 網路部分出現問題,則 NHI 將顯示為**已降級**。
+ 否則,NHI 會顯示為**運作正常**。
如果 NHI 是**已降級**,您可以檢視**網路運作狀態指標**長條圖,以取得更多資訊。此圖表顯示監視器在所選時間範圍內追蹤的網路流程發生 AWS 網路問題時。
+ **流量摘要:**在您選取的時段內,觀測此監視器追蹤之流量的整體指標。您可以在監視器中檢視各流量的平均往返時間、傳輸逾時總和 (總計)、重傳次數,以及平均傳輸資料量。請注意,RTT 資料可能較為稀疏,因為並非所有 RTT 都會被計算。
**「歷史總管」索引標籤**
在**歷史總管**索引標籤上,您可以深入了解特定流量的相關資訊。您可以檢閱主要貢獻因子網路流量在指定時間範圍內的指標和拓撲。在指標資料表中,可依不同類別的流量篩選資料,例如可用區域 (`INTER_AZ`) 之間的流量。
+ **指標:**檢視 Network Flow Monitor 彙總資料之每個指標類型的前貢獻者詳細資訊。系統會針對重傳逾時、重傳次數、往返時間和傳輸的資料量,提供個別的主要貢獻因子資料表。
+ **網路路徑:**若要了解異常狀況的發生位置,可以檢視網路流量的網路路徑。當您在指標資料表中選擇特定指標時,該流量的網路路徑即會顯示在資料表下方。
**「監視器詳細資訊」索引標籤**
在**監視器詳細資訊**索引標籤上,您可以檢視監視器的詳細資訊,包括監視器狀態、ARN、建立時間和上次更新時間,以及所追蹤的流量。
您可以選擇從**監視器**索引標籤上的任何頁面編輯或刪除監視器。
在您日常使用 Network Flow Monitor 的過程中,我們建議您定期檢視**工作負載洞察**頁面上的資料,以判斷是否有新流量顯示出您希望長期密切追蹤的指標異常狀況。當您在**工作負載洞察**頁面看到一組想要檢視其詳細資訊的流量時,請選取流量並建立監視器來監控它們。
# 刪除網路流量監視器的範圍
若您決定不再使用 Network Flow Monitor 監控網路流量,可刪除 Network Flow Monitor 範圍。刪除範圍後,將無法再檢視網路效能資訊。
在刪除範圍之前,必須先刪除所有監視器。請注意,請求刪除監視器後,需要大約 15 分鐘才能完成移除監視器。如需詳細資訊,請參閱[在 Network Flow Monitor 中刪除監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)。
**刪除您的範圍**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 在**設定**索引標籤上,選擇**刪除範圍**。
1. 在對話方塊中輸入確認文字,然後選擇**刪除範圍**。
# 在 CloudWatch 中檢視 Network Flow Monitor 指標
Network Flow Monitor 會將下列網路流量效能指標發布至您的帳戶:往返時間、TCP 重傳次數、TCP 重傳逾時、傳輸的資料量、網路運作狀態指標。可以在 Amazon CloudWatch 主控台的 CloudWatch Metrics 中檢視這些指標。
若要尋找監視器的所有指標,請在 CloudWatch 指標儀表板中查看自訂命名空間 `AWS/NetworkFlowMonitor`。系統會針對已部署和作用中的每個監視器彙總指標。
Network Flow Monitor 提供下列指標。請注意,RoundTripTime 資料可能較為稀疏,因為此指標並非總是被計算。
| 指標 | Description |
| --- | --- |
| DataTransferred | 監視器所有流量傳輸的位元組總數。 |
| Retransmissions | 監視器重傳總數。當傳送者需要重新傳送已損壞或遺失的封包時,就會發生重傳。 |
| 逾時 | 監視器重傳逾時總計。當傳送者遺漏過多確認訊息,因此決定逾時並停止傳送時,就會發生這種情況。 |
| RoundTripTime | 監視器網路流量的平均往返時間。此指標以微秒為單位,用於衡量效能表現。會記錄從本地資源傳輸流量到遠端 IP 位址,以及接收相關回應所需的時間。時間為彙總期間的平均值。資料可能較為稀疏,因為此指標並非總是被計算。 |
| HealthIndicator | 監視器整體的網路運作狀態指標 (NHI)。網路運作狀態指標 (NHI) 是顯示 AWS 網路受損的值。如果在指定的時間範圍內發生 AWS 網路問題,則 NHI 值為 1 (已降級)。如果未偵測到 AWS 網路問題,則 NHI 值為 0 (運作狀態良好)。觀測 NHI 可協助您確定應優先對工作負載還是 AWS 網路進行疑難排解。 |
# 使用 Network Flow Monitor 建立警示
您可以根據 Network Flow Monitor 指標建立 Amazon CloudWatch 警示,如同根據其他 CloudWatch 指標建立警示那樣。
例如,可以根據 Network Flow Monitor 指標 `Retransmissions` 建立警示,並將其設定為在指標低於您選擇的值時傳送通知。可以遵循與其他 CloudWatch 指標相同的準則,為 Network Flow Monitor 指標設定警示。
您可以選擇為之建立警示的 Network Flow Monitor 指標範例如下:
+ **Retransmissions**
+ **逾時**
+ **RoundTripTime**
若要檢視 Network Flow Monitor 可用的所有指標,請參閱[建立以靜態閾值為基礎的 CloudWatch 警示](ConsoleAlarms.md)。
下列程序提供的範例展示如何透過導覽至 CloudWatch 儀表板中的指標來設定 **Retransmissions** 警示。然後,您可以按照標準 CloudWatch 步驟根據自己選擇的閾值建立警示,並設定通知或選擇其他選項。
**在 CloudWatch 指標中建立 **Retransmissions** 警示**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 選擇**指標**,然後選擇**所有指標**。
1. 透過選擇 `AWS/NetworkFlowMonitor`,針對 Network Flow Monitor 進行篩選。
1. 選擇 **MeasurementSource, MonitorName**。
1. 在清單中,選取 **Retransmissions**。
1. 在**圖形化指標**標籤的**動作**下,選擇鈴鐺圖示建立根據靜態閾值的警示。
現在,請按照標準 CloudWatch 步驟選擇警示選項。例如,您可以選擇在 **Retransmissions** 低於特定閾值時收到 Amazon SNS 訊息通知。另外,您也可以將警示新增至儀表板。
請謹記以下幾點:
+ Network Flow Monitor 指標通常會每 30 秒彙總並傳送至 Network Flow Monitor 後端一次,可能存在 5 秒的波動 (換言之,傳送間隔介於 25 至 35 秒之間)。
+ 當您根據 Network Flow Monitor 指標建立警示時,請務必在設定警示回溯期間考慮發佈之前的短暫延遲。建議您設定**評估期**的回顧期至少為 25 分鐘。
如需有關建立 CloudWatch 警示時相關選項的詳細資訊,請參閱[建立以靜態閾值為基礎的 CloudWatch 警示](ConsoleAlarms.md)。
# AWS CloudTrail 適用於網路流量監控
監控服務是維護可靠性、可用性和效能的重要部分。 是 Network Flow Monitor 和您其他 AWS 解決方案的 。 會*AWS CloudTrail*擷取由 或代表您的 AWS 帳戶 發出的 API 呼叫和相關事件,並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。您可以找出哪些使用者和帳戶呼叫 AWS、發出呼叫的來源 IP 位址,以及呼叫的發生時間。如需詳細資訊,請參閱 [AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
如需 Network Flow Monitor CloudTrail 記錄的詳細資訊,請參閱[CloudTrail 中的 Network Flow Monitor](logging_cw_api_calls.md#CloudWatch-NetworkFlowMonitor-info-in-ct)。
# Network Flow Monitor 中的問題疑難排解
本節提供使用 Network Flow Monitor 排解錯誤的指引,包括解決代理程式安裝問題。
## 對 EKS 代理程式安裝中的問題進行疑難排解
當您嘗試將 EKS AWS 的網路流量監控代理程式附加元件從 1.0.0 版升級至 1.0.1 版時 AWS 管理主控台,您可能會收到下列錯誤訊息:
「附加元件 `aws-network-flow-monitoring-agent` 不支援在 Pod 身分組態中使用服務帳戶 `aws-network-flow-monitoring-agent-service-account`。」
因為資源已重新命名,所以傳回此錯誤。EKS 附加元件 v1.0.1 會將服務帳戶名稱從 `aws-network-flow-monitoring-agent-service-account` 變更為 `aws-network-flow-monitor-agent-service-account`。
然後,如果未在主控台中選取**未設定**,則 Pod 身分識別關聯不會重設為新的資源名稱。
若要修正此問題,請在使用主控台升級至新版本時執行下列動作:
1. 在**服務帳戶的 Pod 身分識別 IAM 角色**下,選取**未設定**。
1. 選取**新版本 (v1.0.1)**。
1. 選取**升級**。
1. 選擇**儲存變更**。
# Network Flow Monitor 中的資料安全與資料保護
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構是為了滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端*的*安全性,和雲端*中*的安全性:
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在 [AWS Compliance Programs](https://aws.amazon.com/compliance/programs/) 中,第三方稽核人員會定期測試和驗證我們安全的有效性。若要了解適用於 Network Flow Monitor 的合規計劃,請參閱[AWS 合規計劃的 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件有助於您了解如何在使用 Network Flow Monitor 時套用共同責任模型。下列主題將顯示如何設定 Network Flow Monitor 以達到您的安全及合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 Network Flow Monitor 資源。
**Topics**
+ [Network Flow Monitor 中的資料保護](data-protection-nfw.md)
+ [Network Flow Monitor 中的基礎結構安全](infrastructure-security-nfw.md)
+ [適用於 Network Flow Monitor 的 Identity and Access Management](CloudWatch-NetworkFlowMonitor-security-iam.md)
# Network Flow Monitor 中的資料保護
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Network Flow Monitor 中的資料保護。如此模型所述, AWS 負責保護執行所有 的 全球基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用網路流量監控,或使用主控台、API AWS CLI、或 AWS SDKs的其他 AWS 服務 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
# Network Flow Monitor 中的基礎結構安全
作為受管服務,Network Flow Monitor 受到 [Amazon Web Services:安全程序概觀](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)白皮書中所述的 AWS 全球網路安全程序的保護。
您可以使用 AWS 發佈的 API 呼叫,透過網路存取網路流量監控。用戶端必須支援 Transport Layer Security (TLS) 1.0 或更新版本。建議使用 TLS 1.2 或更新版本。用戶端也必須支援具備完美轉送私密 (PFS) 的密碼套件,例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以透過 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 來產生暫時安全憑證來簽署請求。
# 適用於 Network Flow Monitor 的 Identity and Access Management
AWS Identity and Access Management (IAM) 是一種 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可以控制*完成身分驗證* (已登入) 和*獲得授權* (具有許可) 的對象,以使用 Network Flow Monitor 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [Network Flow Monitor 如何與 IAM 搭配使用](security_iam_service-with-iam-network-flow-monitor.md)
+ [AWS 受管政策](security-iam-awsmanpol-network-flow-monitor.md)
+ [服務連結角色](using-service-linked-roles-network-flow-monitor.md)
# Network Flow Monitor 如何與 IAM 搭配使用
在您使用 IAM 管理 Network Flow Monitor 的存取權之前,請了解有哪些 IAM 功能可以與 Network Flow Monitor 搭配使用。
若要查看顯示 AWS 服務如何與大多數 IAM 功能搭配使用的類似高階檢視的資料表,請參閱《*IAM 使用者指南*》中的與 [AWS IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**可以與 Network Flow Monitor 搭配使用的 IAM 功能**
| IAM 功能 | Network Flow Monitor 支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-id-based-policies-nfm) | 是 |
| [資源型政策](#security_iam_service-with-iam-resource-based-policies-nfm) | 否 |
| [政策動作](#security_iam_service-with-iam-id-based-policies-actions-nfm) | 是 |
| [政策資源](#security_iam_service-with-iam-id-based-policies-resources-nfm) | 是 |
| [政策條件索引鍵 (服務特定)](#security_iam_service-with-iam-id-based-policies-conditionkeys-nfm) | 是 |
| [ACL](#security_iam_service-with-iam-acls-nfm) | 否 |
| [ABAC (政策中的標籤)](#security_iam_service-with-iam-tags-nfm) | 是 |
| [臨時憑證](#security_iam_service-with-iam-roles-tempcreds-nfm) | 是 |
| [主體許可](#security_iam_service-with-iam-principal-permissions-nfm) | 是 |
| [服務角色](#security_iam_service-with-iam-roles-service-nfm) | 否 |
| [服務連結角色](#security_iam_service-with-iam-roles-service-linked-nfm) | 是 |
## Network Flow Monitor 的身分型政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
## Network Flow Monitor 內的資源型政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM 角色信任政策和 Amazon S3 儲存貯體政策。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。
## Network Flow Monitor 的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要檢視 Network Flow Monitor 動作清單,請參閱《服務授權參考》**中的 [Network Flow Monitor 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions)。
Network Flow Monitor 中的政策動作會在動作前使用以下字首:
```
networkflowmonitor
```
如需在單一陳述式中指定多個動作,請用逗號分隔。
```
"Action": [
"networkflowmonitor:action1",
"networkflowmonitor:action2"
]
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `Describe` 文字的所有動作,請包含以下動作:
```
"Action": "networkflowmonitor:Describe*"
```
## Network Flow Monitor 的政策資源
**支援政策資源:**是
在《服務授權參考》**中,您可以檢視下列與 Network Flow Monitor 相關的資訊:
+ 若要檢視 Network Flow Monitor 資源類型及其 ARN 的清單,請參閱 [Network Flow Monitor 定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-resources-for-iam-policies)。
+ 若要了解您可以使用每個資源之 ARN 指定的動作,請參閱 [Network Flow Monitor 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions)。
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
## Network Flow Monitor 的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要檢視 Network Flow Monitor 條件金鑰清單,請參閱《服務授權參考》**中的 [Network Flow Monitor 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-policy-keys)。若要了解您可以透過哪些動作和資源使用條件索引鍵,請參閱 [Network Flow Monitor 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions)。
## Network Flow Monitor 中的 ACL
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## ABAC 搭配 Network Flow Monitor
**支援 ABAC (政策中的標籤):**是
Network Flow Monitor 在策略中對標籤提供*部分*支援。此程式支援標記一個資源、多個監視器。
若要搭配 Network Flow Monitor 使用標籤,請使用 AWS Command Line Interface 或 AWS SDK。網路流量監控的標記不支援 AWS 管理主控台。
若要深入了解一般在政策中使用標籤的方式,請檢閱下列資訊。
屬性型存取控制 (ABAC) 是一種授權策略,依據稱為標籤的屬性來定義許可。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 搭配使用臨時憑證與 Network Flow Monitor
**支援臨時憑證:**是
臨時登入資料提供 AWS 資源的短期存取權,當您使用聯合或切換角色時,會自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## Network Flow Monitor 的跨服務主體許可
**支援轉寄存取工作階段 (FAS):**是
轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務,並結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## Network Flow Monitor 的服務角色
**支援服務角色:**否
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## Network Flow Monitor 的服務連結角色
**支援服務連結角色:**是
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需 Network Flow Monitor 服務連結角色的詳細資訊,請參閱[網路流量監視器的服務連結角色](using-service-linked-roles-network-flow-monitor.md)。
如需在 中建立或管理服務連結角色的詳細資訊 AWS,請參閱[AWS 使用 IAM 的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在資料表中尋找服務,其中包含**服務連結角色**欄中的 `Yes`。選擇**是**連結,以檢視該服務的服務連結角色文件。
# AWS Network Flow Monitor 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有 服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:CloudWatchNetworkFlowMonitorServiceRolePolicy
您不得將 `CloudWatchNetworkFlowMonitorServiceRolePolicy` 連接到 IAM 實體。此政策會連結至名為 **AWSServiceRoleForNetworkFlowMonitor** 的服務連結角色,該角色會將 Network Flow Monitor 代理程式收集的網路遙測彙總結果發布至 CloudWatch。它還允許服務使用 AWS Organizations 來取得多帳戶案例的相關資訊。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)。
如需詳細資訊,請參閱[網路流量監視器的服務連結角色](using-service-linked-roles-network-flow-monitor.md)。
## AWS 受管政策:CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
您不得將 ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` 連接到 IAM 實體。此政策會連結至名為 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 的服務連結角色。透過這些許可以及收集內部中繼資料資訊 (以提高效率),此服務連結角色會收集資源網路組態的中繼資料,例如描述路由表和閘道,這些資源正是此服務監控的網路流量對應的對象。此中繼資料可讓 Network Flow Monitor 產生資源的拓撲快照。當網路效能下降時,Network Flow Monitor 會使用拓撲來提供網路問題位置的洞察,並協助釐清問題的歸因。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。
如需詳細資訊,請參閱[網路流量監視器的服務連結角色](using-service-linked-roles-network-flow-monitor.md)。
## AWS 受管政策:CloudWatchNetworkFlowMonitorAgentPublishPolicy
您可以在連結至 Amazon EC2 和 Amazon EKS 執行個體資源的 IAM 角色中使用此政策,將遙測報告 (指標) 傳送至 Network Flow Monitor 端點。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。
## Network Flow Monitor 服務連結角色更新
如需 Network Flow Monitor 服務連結角色的 AWS 受管政策更新,請參閱 CloudWatch 的[AWS 受管政策更新資料表](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。也可以在 CloudWatch [文件歷史記錄頁面](DocumentHistory.md)訂閱自動 RSS 提醒。
# 網路流量監視器的服務連結角色
Network Flow Monitor 使用 AWS Identity and Access Management (IAM) [ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Network Flow Monitor 的一種特殊 IAM 角色類型。服務連結角色由 Network Flow Monitor 預先定義,並包含服務代表您呼叫其他 AWS 服務所需的所有許可。
Network Flow Monitor 會定義服務連結角色的許可,除非另外定義,否則只有 Network Flow Monitor 才能擔任這些角色。定義的許可包括信任政策和許可政策,且許可政策無法連結至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除角色。此限制可保護您的 Network Flow Monitor 資源,避免您不小心移除資源的存取許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## Network Flow Monitor 的服務連結角色許可
Network Flow Monitor 使用以下服務連結角色:
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**
### AWSServiceRoleForNetworkFlowMonitor 的服務連結角色許可
Network Flow Monitor 使用命名為 **AWSServiceRoleForNetworkFlowMonitor** 的服務連結角色。此角色允許 Network Flow Monitor 發佈針對執行個體之間以及執行個體和 AWS 位置之間的網路流量收集的 CloudWatch 彙總遙測指標。它還允許服務使用 AWS Organizations 來取得多帳戶案例的相關資訊。
此服務連結角色使用受管政策 `CloudWatchNetworkFlowMonitorServiceRolePolicy`。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)。
**AWSServiceRoleForNetworkFlowMonitor** 服務連結角色信任下列服務來擔任此角色:
+ `networkflowmonitor.amazonaws.com`
### AWSServiceRoleForNetworkFlowMonitor\$1Topology 的服務連結角色許可
Network Flow Monitor 使用命名為 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 的服務連結角色。此角色可讓 Network Flow Monitor 產生您搭配 Network Flow Monitor 使用之資源的拓撲快照。
此服務連結角色使用受管政策 `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。
**AWSServiceRoleForNetworkFlowMonitor\$1Topology** 服務連結角色信任下列服務來擔任此角色:
+ `topology.networkflowmonitor.amazonaws.com`
## 建立 Network Flow Monitor 的服務連結角色
您不需要為 Network Flow Monitor 手動建立服務連結角色。第一次初始化 Network Flow Monitor 時,Network Flow Monitor 會為您建立 **AWSServiceRoleForNetworkFlowMonitor** 和 **AWSServiceRoleForNetworkFlowMonitor\$1Topology**。
如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。
## 編輯 Network Flow Monitor 的服務連結角色
Network Flow Monitor 在帳戶中建立服務連接角色後,您就無法再變更角色名稱,因為有各種實體可能會參考該角色。您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Network Flow Monitor 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除服務連結角色的資源。
**注意**
若 Network Flow Monitor 服務正在使用您試圖刪除的角色,刪除可能會失敗。若發生此情況,請等待數分鐘後並再次嘗試。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 **AWSServiceRoleForNetworkFlowMonitor** 或 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Network Flow Monitor 服務連結角色更新
如需 Network Flow Monitor 服務連結角色的`CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` AWS 受管政策 `CloudWatchNetworkFlowMonitorServiceRolePolicy`或 的更新,請參閱 [CloudWatch AWS 受管政策的更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需 CloudWatch 受管政策變更的自動提醒,請訂閱 CloudWatch [文件歷史紀錄](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)頁面上的 RSS 摘要。
# 使用網路監視器
網路監視器可讓您了解網際網路問題如何影響 上託管的應用程式與最終使用者之間的效能 AWS 和可用性。此程式可以將診斷網際網路問題所需的時間從數天縮短到幾分鐘。網路監視器會使用從其全球網路足跡 AWS 擷取的連線資料,來計算面向網際網路流量的效能和可用性基準。這是 AWS 用來監控網際網路運作時間和可用性的相同資料。網路監視器會使用這些度量作為基準,在應用程式執行的不同地理位置的最終使用者 (用戶端) 發生重大問題時,提醒您發現問題。
您可在 Amazon CloudWatch 主控台中檢視全域的流量模式和運作狀態事件,並輕鬆以不同地理精細程度 (位置) 深入了解事件相關資訊。您可清楚看出影響,並精確地找出受影響的用戶端位置和網路 (ASN,通常為網際網路服務供應商 (ISP))。如果網路監視器判斷網際網路可用性或效能問題是由特定 ASN 或 AWS 網路造成,則會提供該資訊。
若要開始使用,請建立包含一或多個資源的監視器,讓網路監視器可以為您的 AWS 應用程式建立流量設定檔。然後,檢視 Internet Monitor 儀表板中的資訊,以視覺化方式呈現並取得有關應用程式網際網路流量的洞見和建議。
如需區域支援、定價、Internet Monitor 運作方式和其他概觀內容的相關資訊,請參閱[什麼是網路監視器?](CloudWatch-InternetMonitor.what-is-cwim.md)。若要開始使用網路監視器,請參閱[透過主控台開始使用 Internet Monitor](CloudWatch-IM-get-started.md)。
# 什麼是網路監視器?
透過網路監視器,您可以監控應用程式的網際網路效能和可用性,以便視覺化資料並取得 AWS 應用程式網際網路流量的洞見和建議。您也可以使用 Amazon CloudFront 等不同的區域 AWS 或服務,取得降低應用程式延遲的建議。
**網路監視器的主要特點**
+ 網路監視器會提供洞見和建議,協助您改善最終使用者的體驗。您可以近乎即時地探索如何透過切換到使用其他 服務,或透過不同的方式將流量重新路由到工作負載,來改善應用程式的預計延遲 AWS 區域。
+ Internet Monitor 儲存您的用戶端位置和 ASN 或*城市網路對*的網際網路度量資料。網路監視器也會建立彙總的 CloudWatch 指標,以將流量傳送至您的應用程式,以及每個 AWS 區域 和節點。您可以使用 Internet Monitor 儀表板,快速識別影響應用程式效能和可用性的因素,以追蹤並解決問題。
+ Internet Monitor 亦會將網際網路度量資料發布至 CloudWatch Logs 與 CloudWatch 指標,以支援使用 CloudWatch 工具分析特定於您監控之應用程式流量的城市網路資料。您也可以選擇將網際網路度量發布至 Amazon S3。
+ Internet Monitor 會將整體 (全域) 運作狀態事件傳送至 Amazon EventBridge,以便您設定通知。(本機運作狀態事件不會發布至 EventBridge。) 如果問題是由 AWS 網路造成,您也會自動收到 AWS Health 儀板表 通知,其中包含為緩解問題所 AWS 採取的步驟。
**如何使用網路監視器**
若要使用網路監視器,您可以建立「監視器」**,並將您應用程式的資源:VPC、Network Load Balancer、CloudFront 分佈或 WorkSpaces 目錄,與監視器建立關聯,使網路監視器能夠了解您應用程式的面向網際網路流量所在位置。網路監視器接著會從 發佈特定 AWS 於*城市網路*的網際網路測量,也就是用戶端位置和 ASNs(通常是網際網路服務供應商或 ISPs),而用戶端會存取您的應用程式。如需詳細資訊,請參閱[網路監視器的運作方式](CloudWatch-IM-inside-internet-monitor.md)。若要開始使用網路監視器,請參閱[透過主控台開始使用 Internet Monitor](CloudWatch-IM-get-started.md)。
**Topics**
+ [支援的區域](CloudWatch-InternetMonitor.Regions.md)
+ [元件](CloudWatch-IM-components.md)
+ [運作方式](CloudWatch-IM-inside-internet-monitor.md)
+ [使用案例](CloudWatch-IM-use-cases.md)
+ [網際網路氣象圖](CloudWatch-InternetMonitor.outage-map.md)
+ [跨帳戶可觀測性](cwim-cross-account.md)
+ [定價](CloudWatch-InternetMonitor.pricing.md)
# AWS 區域 支援網路監視器
本節列出支援 Amazon CloudWatch 網路監視器的 AWS 區域 和 AWS Local Zones。若要了解 Internet Monitor 目前支援之區域的詳細資訊 (包括選擇支援的區域),請參閱《Amazon Web Services 一般參考》**中的 [Amazon CloudWatch 網路監視器端點和配額](https://docs.aws.amazon.com/general/latest/gr/cwim_region.html)。
請注意,網路監視器只會將監視器的資料存放在您建立監視器 AWS 區域 的 中,但監視器可以包含多個區域中的資源。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/CloudWatch-InternetMonitor.Regions.html)
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/CloudWatch-InternetMonitor.Regions.html)
對於本地區域支援,您必須啟用本地區域,並將其連結到要監控其網際網路流量的 VPC。Internet Monitor 不支援其他資源類型的本地區域。下表列出支援的本地區域。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/CloudWatch-InternetMonitor.Regions.html)
# 網路監視器的元件和用語
Internet Monitor 使用或參考以下概念。
**監控**
監視器會包含您想要檢視相關網際網路效能和可用性度量,以及取得相關運作狀態事件提醒的單一應用程式資源。當您建立應用程式的監視器時,可以新增應用程式的資源,以針對要監視的網路監視器定義城市 (位置)。網路監視器會使用您新增之應用程式資源的流量模式,以便其發布與應用程式通訊之位置和 ASN [通常為網際網路服務供應商 (ISP)] 特定的網際網路效能和可用性度量。換句話說,新增的資源會建立您想要網路監視器進行監視與發布相關度量的*城市網路*範圍。
**已新增要監控的資源 (「受監控資源」)**
您新增至監視器的資源為 Internet Monitor 中的受監控資源。也就是:
+ 您在區域中新增的每個 VPC 皆為受監控的資源。當您新增 VPC 時,網路監視器會監控 VPC 中任何面向網際網路的應用程式流量,例如託管在 Amazon EC2 執行個體上的應用程式、Network Load Balancer 或 AWS Fargate 容器後方的應用程式。
+ 您在區域中新增的每個 Network Load Balancer 皆為受監控資源。
+ 您在區域中新增的每個 WorkSpaces 皆為受監控的資源。
+ 您新增的每個 CloudFront 分佈皆為受監控的資源。
**自治系統編號 (ASN)**
在網路監視器中,ASN 通常是指網際網路服務供應商 (ISP),例如 Verizon 或 Comcast。ASN 為用戶端用於存取網際網路應用程式的網路供應商。自治系統 (AS) 是一組可路由網際網路通訊協定 (IP) 字首,屬於由同一個組織管理、控制和監督的網路或網路集合。
**城市網路 (位置和 ASN)**
城市網路是指用戶端存取應用程式資源的位置 (例如城市),以及用戶端存取資源的 ASN (通常為網際網路服務供應商 (ISP))。若要協助控制帳單,您可以為 Internet Monitor 設定城市網路上限數量,以針對每個監視器進行監控。您僅須針對監控的實際城市網路數量 (最多至上限數量) 付費。如需詳細資訊,請參閱[選擇城市網路上限數量](IMCityNetworksMaximum.md)。
**網際網路測量結果**
Internet Monitor 每五分鐘將網際網路度量資料發布至 CloudWatch Logs 的記錄檔一次,涵蓋受監控應用程式流量的前 500 個城市網路。
這些度量會量化應用程式的效能分數、可用性分數、傳輸的位元組 (輸入的位元組和輸出的位元組),以及應用程式之城市網路的往返時間。這些為 VPC、Network Load Balancer、CloudFront 分佈或 WorkSpaces 目錄專屬之城市網路的度量。您也可以選擇將所有受監控之城市網路 (最多 500,000 個城市網路服務限制) 的網際網路度量和事件發布至 Amazon S3 儲存貯體。
**指標**
網路監視器會針對應用程式的全域流量和各 AWS 區域的全域流量,為 CloudWatch 指標產生彙總指標。如需詳細資訊,請參閱[在 CloudWatch Metrics 中檢視 Internet Monitor 指標或設定警示](CloudWatch-IM-view-cw-tools-metrics-dashboard.md)。
**運作狀態事件**
網路監視器會建立運作狀態事件,以提醒您注意影響應用程式的特定問題。網路監視器會偵測網際網路問題,例如世界各地發生的網路延遲增加情況。然後,它會使用其來自 AWS 全球基礎設施足跡的歷史網際網路測量,來計算目前問題對應用程式的影響,並建立運作狀態事件。網路監視器預設會根據整體影響和局部影響閾值,建立運作狀態事件。若要進一步了解運作狀態事件,請參閱 [Internet Monitor 建立和解決運作狀態事件的時機](CloudWatch-IM-inside-internet-monitor.md#IMHealthEventStartStop)。
效能分數和可用性分數的預設運作狀態事件閾值都是 95%。如果您願意,可以在 Internet Monitor 建立運作狀態事件時指定自己的自訂閾值。如需設定閾值的詳細資訊,請參閱[變更運作狀態事件閾值](CloudWatch-IM-get-started.change-threshold.md#IMUpdateThresholdFromOverview)。
每個運作狀態事件皆包含受影響之城市網路的相關資訊。您可以在 CloudWatch 主控台中檢視運作狀態事件,或使用 AWS SDK 或 AWS CLI 網路監視器 API 動作。網路監視器也會傳送運作狀態事件的 Amazon EventBridge 通知。如需詳細資訊,請參閱[網路監視器建立和解決運作狀態事件的時機](CloudWatch-IM-inside-internet-monitor.md#IMHealthEventStartStop)。
**網際網路事件**
網路監視器會在可供所有 AWS 客戶的網際網路氣象圖上顯示最近全球運作狀態事件的相關資訊,稱為網際網路事件。您不需要在 Internet Monitor 中建立監視器,即可檢視網際網路氣象圖。與運作狀態事件不同,網際網路事件並非專屬於個別客戶或其應用程式流量。如需詳細資訊,請參閱[Internet Monitor 中的全球網際網路氣象圖](CloudWatch-InternetMonitor.outage-map.md)。
**閾值**
網路監視器會根據整體閾值和局部閾值,建立運作狀態事件。您可以變更預設閾值並設定其他選項,例如關閉局部閾值。如需設定閾值的詳細資訊,請參閱[變更運作狀態事件閾值](CloudWatch-IM-get-started.change-threshold.md#IMUpdateThresholdFromOverview)。
**效能和可用性分數**
透過分析 AWS 收集的資料,相較於網路監視器計算的預估基準,網路監視器可以偵測應用程式的效能和可用性何時下降。為了方便您查看上述下降情況,網路監視器會以分數形式向您回報資訊。效能分數表示**未**發現效能下降的預估流量百分比。同樣地,可用性分數表示**未**發現可用性下降的預估流量百分比。如需詳細資訊,請參閱[如何 AWS 計算效能和可用性分數](CloudWatch-IM-inside-internet-monitor.md#IMExperienceScores)。
**傳輸的位元組和受監控的傳輸位元組**
傳輸的位元組是 中應用程式 AWS 與城市網路 (即位置和 ASN,通常是網際網路服務供應商) 之間的輸入和輸出流量總位元組數,用戶端可存取應用程式。受監控的傳輸位元組為類似指標,但僅包含受監控之流量的位元組。
**往返時間**
往返時間 (RTT) 是指從用戶端使用者發出請求至回應傳回至該使用者所需的時間。彙總不同用戶端位置 (城市或其他地理位置) 的 RTT 時,值會根據每個用戶端位置驅動的應用程式流量多寡加權。
# 網路監視器的運作方式
本節提供 Internet Monitor 運作方式的相關資訊。這包括如何 AWS 收集其用於協助偵測網際網路連線問題的資料,以及如何計算效能和可用性分數的描述。
**內容**
+ [Internet Monitor 如何僅專注於您的應用程式流量足跡](#IMTheAWSAdvantage)
+ [如何 AWS 測量連線問題和計算測量](#IMHowAWSMeasuresConnectivityIssues)
+ [網路監視器的地理位置準確度](#IMGeolocationSourceAccuracy)
+ [網路監視器建立和解決運作狀態事件的時機](#IMHealthEventStartStop)
+ [運作狀態事件回報時機](#IMEventDelay)
+ [網路監視器如何使用 IPv4 和 IPv6 流量](#IMIPv4IPv6)
+ [Internet Monitor 如何選取要包含的城市網路子集](#IM100citynetworks)
+ [如何建立全球網際網路氣象圖 (常見問答集)](#IMGlobalOutagesFAQ)
**Internet Monitor 如何僅專注於您的應用程式流量足跡**
網路監視器僅專注於監控 AWS 資源使用者存取的網際網路子集,而不是像其他工具一樣廣泛監控來自全球每個區域的網站。這也是一種具有成本效益的解決方案,大型公司和小型公司都負擔得起。
網路監視器使用與內部 AWS 相同的強大探查和問題偵測演算法,並透過在網路監視器中建立運作狀態事件來提醒您影響應用程式的連線問題。接著,網路監視器會依據應用程式資源,藉由覆蓋您作用中檢視者建立的流量設定檔,讓您存取產生的效能和可用性地圖。
網路監視器僅會使用這些資訊向您顯示相關事件 (即具有作用中檢視者之位置所發生的事件),以及這些事件對整體檢視者數量的影響。因此,系統會依據您的全球總流量,以百分比計算事件的影響程度。
Internet Monitor 儲存您的用戶端位置和 ASN 或*城市網路對*的網際網路度量資料。網路監視器也會建立彙總的 CloudWatch 指標,以將流量傳送至您的應用程式,以及每個 AWS 區域 和節點。
此外,Internet Monitor 每五分鐘將網際網路度量資訊發布至 CloudWatch Logs 網際網路一次,涵蓋向每個監視器傳送流量的前 500 個城市網路,以支援您使用 CloudWatch 工具及其他方法處理資料。您也可以選擇將所有受監控之城市網路 (最多 500,000 個城市網路服務限制) 的網際網路度量發布至 Amazon S3 儲存貯體。如需詳細資訊,請參閱[在 Internet Monitor 中將網際網路度量結果發布到 Amazon S3](CloudWatch-IM-get-started.Publish-to-S3.md)。
網路監視器的優點如下:
+ 使用網路監視器不會給 AWS上託管的應用程式增加額外負載或成本。
+ 您無需在用戶端資源或應用程式中納入效能測量代碼。
+ 您可以了解應用程式連線之網際網路的效能和可用性,包括「最後一哩」相關資訊。
請注意,由於網路監視器會根據您的 AWS 資源建立測量,因此網路監視器只會建立應用程式流量專屬的事件。一般來說,不會回報全域網際網路問題。此外,當服務位置為 時 AWS 區域,發出的測量和事件旨在代表區域層級的連線,並且無法準確代表最終使用者位置和可用區域之間的連線。
**如何 AWS 測量連線問題和計算測量**
網路監視器會透過自治系統編號 (ASNs),使用不同 AWS 區域 和 Amazon CloudFront 存在點 (POPs) 之間的網際網路連線資料,通常是網際網路服務供應商 (ISPs)。這是 AWS 運算子每天在內部使用的連線資料,用於主動偵測全球網際網路的連線問題。
對於每個 AWS 區域,我們都知道網際網路的哪些部分與 區域通訊,並執行下列動作:
+ 我們會積極監控該部分的網際網路,30 天為一個時段,滾動監控。
+ 我們會同時使用網路和高階通訊協定探查工具,包括輸入和輸出探查。
AWS 具有主動和被動探查,可測量從每個 CloudFront 服務到整個網際網路的第 90 個百分位數的延遲 (效能) AWS 區域 和連線能力 (可用性)。服務與客戶位置之間連線的異常模式會受到監控,然後會以提醒方式回報給該客戶。
如需詳細資訊,請參閱下列的章節:
+ [計算可用性和 RTT](#IMCalculateLatency)
+ [計算效能和可用性分數](#IMExperienceScores)
+ [計算 TTFB 和 RTT (延遲)](#IMCalculateTTFB)
+ [區域及可用區域度量和彙總](#IMRegionalAZaggregation)
**計算可用性和 RTT**
往返時間 (RTT) 是指從使用者發出請求至回應傳回至該使用者所需的時間。不同最終使用者位置的往返時間彙總值會根據每個最終使用者位置驅動的流量大小加權。
例如,若有兩個最終使用者位置,一個提供 90% 的流量 (RTT 為 5 毫秒),另一個提供 10% 的流量 (RTT 為 10 毫秒),則 RTT 彙總值結果會是 5.5 毫秒 (5 毫秒 \$1 0.9 \$1 10 毫秒 \$1 0.1)。
請注意,測量最後一哩延遲的資源有所不同。對於網路監視器延遲度量,VPC、Network Load Balancer 和 WorkSpaces 目錄不包含最後一哩延遲。
**計算效能和可用性分數**
AWS 具有有關 AWS 服務和不同城市網路 (位置和 ASNs) 之間網際網路效能和可用性的大量歷史資料。網路監視器可藉由對這些資料進行統計分析,偵測應用程式效能和可用性下降的時機,並將效能和可用性與已計算的預估基準比較。為了方便您查看上述下降情況,會以運作狀態分數形式 (效能分數和可用性分數) 向您回報該資訊。
我們會以不同精細度計算運作狀態分數。我們會以最精細的程度運算地理區域 (例如城市或都會區) 和 ASN (「城市網路」**) 的運作狀態分數。我們也會將監視器中應用程式的個別運作狀態分數,彙總為整體運作狀態分數。如果您在未篩選任何特定地理區域或服務提供者的情況下,檢視效能或可用性分數,網路監視器會提供整體運作狀態分數。
整體運作狀態分數會涵蓋指定時段內的整個應用程式情況。整個應用程式城市網路配對的效能或可用性分數達到或低於效能或可用性的相應運作狀態事件閾值時,網路監視器會觸發運作狀態事件。整體效能和可用性閾值預設都是 95%。網路監視器也會根據您設定的值,依局部閾值 (如果預設啟用該選項)建立運作狀態事件。若要進一步了解設定運作狀態事件閾值,請參閱[變更運作狀態事件閾值](CloudWatch-IM-get-started.change-threshold.md#IMUpdateThresholdFromOverview)。
瀏覽監視器和日誌檔案中的資訊以調查問題並進一步了解時,可以依特定城市 (位置)、網路 (ASN 或網際網路服務供應商) 或兩者來篩選。您便可使用篩選條件,依所選篩選條件,查看不同城市、ASN 或城市網路配對的運作狀態分數。
+ *可用性分數*表示**未**發現可用性下降的預估流量百分比。網路監視器會根據監控到的總流量和可用性指標測量結果,預估經歷可用性下降的流量百分比。例如,最終使用者/服務位置配對的可用性分數為 99%,這表示該對經歷可用性下降的流量為 1%。
+ *效能分數*表示**未**發現效能下降的流量百分比。例如,最終使用者/服務位置配對的效能分數為 99%,這表示該對經歷效能下降的流量為 1%。
**計算 TTFB 和 RTT (延遲)**
第一個位元組的時間 (TTFB) 是指用戶端發出請求到從伺服器接收第一位元組資訊之間的時間。TTFB 的 AWS 計算會測量從 Amazon EC2 或 Amazon CloudFront 到網路監視器測量節點 (包括節點最後一哩) 所經過的時間。也就是說,網路監視器會測量從使用者到 Amazon EC2 區域的 EC2 TTFB 時間,以及從使用者到 CloudFront 的 CloudFront TTFB 時間。
針對往返時間 (RTT),網路監視器包含從城市網路 (即用戶端位置和 ASN,通常是網際網路服務供應商),如公共 IP 地址所映射,到 AWS 區域的時間。這表示網路監視器無法在最後一哩掌握從閘道或 VPN 後存取網際網路的使用者。
請注意,測量最後一哩延遲的資源有所不同。對於網路監視器延遲度量,VPC、Network Load Balancer 和 WorkSpaces 目錄不包含最後一哩延遲。
網路監視器在 CloudWatch 儀表板上**流量洞察**標籤之**流量最佳化建議**區段包含平均 TTFB 資訊,協助您評估可改善效能的不同應用程式設定選項。
**區域及可用區域度量和彙總**
雖然 Internet Monitor 會在區域層級彙總度量並共用影響,但會在可用區域 (AZ) 層級計算影響。這意味著,若某個事件僅影響單一可用區域 (AZ),而您的大部分流量都流經該可用區域,您的流量確實會受到影響。不過,同樣一個事件,如果您的應用程式流量未流經受影響的可用區域,則您不會看到影響。
請注意,這僅適用於非 WorkSpaces 目錄的資源。WorkSpaces 目錄只會在區域層級度量。
**網路監視器的地理位置準確度**
針對位置資訊,網路監視器會使用由 [MaxMind](https://dev.maxmind.com/geoip) 提供的 IP 地理位置資料。網路監視器度量中位置資訊的準確度取決於 MaxMind 資料的準確度。
請注意,對於美國境外的地點,`Metro` 層級的度量結果可能不準確。
**網路監視器建立和解決運作狀態事件的時機**
網路監視器會根據目前設定的閾值,為您監控的應用程式流量建立和關閉運作狀態事件。網路監視器有預設閾值組態,您也可以設定自己的閾值組態。網路監視器會判斷連線問題對您應用程式造成的整體影響,以及對應用程式有用戶端之局部區域的影響,並在超過閾值時建立運作狀態事件。
網路監視器會根據服務可用的網路流量網際網路效能和可用性的歷史資料,計算連線問題對用戶端位置的影響 AWS。其根據用戶端使用您應用程式的 ASN 和服務地理位置:受影響的城市網路配對,套用與您應用程式相關的資訊。位置是根據您新增至監視器的資源決定。網路監視器就會使用統計分析,偵測效能和可用性下降的時機,這會影響應用程式用戶端體驗。
網路監視器計算的效能和可用性分數會以**未**發現下降的流量百分比來表示。影響則與此相反:表示問題對客戶的最終使用者造成的問題嚴重程度。例如,若全域可用性下降是 93%,則對應的影響將會是 7%。
應用程式城市網路配對的效能或可用性分數全域達到或低於效能或可用性的相應運作狀態事件閾值時,會使網路監視器產生運作狀態事件。效能和可用性閾值預設都是 95%。符合或低於閾值的值是累積計算,因此可能代表幾個較小事件合起來達到閾值百分比,或者單一事件達到或低於閾值層級。
只要觸發事件的效能或可用性分數符合或低於相應整體影響運作狀態事件閾值百分比,運作狀態事件就會保持未解決狀態。觸發事件的分數或合併分數上升到超過閾值時,網路監視器會解決運作狀態事件。
網路監視器也會根據局部閾值和問題影響的整體流量百分比,建立運作狀態事件。您可以設定局部閾值的選項,或一併關閉局部閾值。
效能分數和可用性分數的預設運作狀態事件閾值都是 95%。如果您願意,可以在 Internet Monitor 建立運作狀態事件時指定自己的自訂閾值。如需設定閾值的詳細資訊,請參閱[變更運作狀態事件閾值](CloudWatch-IM-get-started.change-threshold.md#IMUpdateThresholdFromOverview)。
**運作狀態事件回報時機**
網路監視器會使用彙總器來收集有關網際網路問題的所有訊號,以在幾分鐘內於監視器中建立運作狀態事件。
如果可能,網路監視器會分析運作狀態事件的來源,以判斷其是由 AWS 或 ASN 造成。在事件解決後,運作狀態事件分析會繼續進行。網路監視器最多可以使用新資訊更新事件一小時。
**網路監視器如何使用 IPv4 和 IPv6 流量**
如果透過任何 IP 系列 (IPv4 或 IPv6) 向該網路提供流量,則網路監視器僅透過 IPv4 測量網路的運作狀態,並向您顯示運作狀態事件,以及可用性和效能指標。如果您提供來自雙堆疊資源 (例如雙堆疊 CloudFront 分發) 的流量,則只有當 IPv4 流量與 IPv6 流量存在相同的資源問題時,Internet Monitor 才會引發運作狀態事件,並顯示效能評分或可用性評分下降。
請注意,網路監視器的總傳入位元組和傳出位元組指標可準確反映所有網際網路流量 (IPv4 和 IPv6)。
**Internet Monitor 如何選取要包含的城市網路子集**
當您設定監視器監控的城市網路數目上限,或選擇要監控的流量百分比時,Internet Monitor 會依據近期最高流量,選擇要包含 (監控) 的城市網路。
例如,如果您將城市網路上限設定為 100,Internet Monitor 會根據最近一小時期間的應用程式流量,監控 (最多) 100 個城市網路。具體而言,Internet Monitor 會監控在最新一小時監測時段*之前*的一小時內,流量最高的前 100 個城市網路。
為說明這一點,假設目前時間是下午 2:30。這種情況下,您在監視器中看到的流量擷取自下午 1:00 到下午 2:00 之間,而 Internet Monitor 用於判定前 100 個城市網路的流量量測資料,則擷取自中午 12:00 至下午 1:00 之間。
**如何建立全球網際網路氣象圖 (常見問答集)**
網路監視器網際網路天氣圖可在網路監視器主控台上提供給所有已驗證 AWS 的客戶。本節包含如何建立網際網路氣象圖以及如何使用它的詳細資訊。
**什麼是 Internet Monitor 網際網路氣象圖?**
網際網路氣象圖以視覺化方式呈現全球的網際網路問題。其會標示出受影響的用戶端位置,即城市加上 ASN (通常指網際網路服務供應商)。地圖顯示可用性和效能問題的組合,這些問題最近影響了全球熱門用戶端位置 AWS 和服務用戶端的網際網路體驗。
**地圖資料來自何處?**
資料基於對網際網路的主動與被動探測。若要進一步了解網路監視器如何測量資料,您可以閱讀 [如何 AWS 測量連線問題](#IMHowAWSMeasuresConnectivityIssues)一節。
**地圖多久更新一次?**
網際網路氣象圖每 15 分鐘更新一次。
**會追蹤哪些網路的停機狀況?**
AWS 會追蹤全球網路,這些網路代表客戶用來進行網際網路連線的重要 IP 字首 AWS。我們會針對傳送至網路並從 AWS 網路接收的流量,將中斷範圍限定為最佳通話者的用戶端位置。
**決定是否將某個網際網路事件納入地圖的因素有哪些?**
以下是我們用來判斷某個網際網路事件是否納入網際網路氣象圖的高階標準:
+ AWS 偵測到有可用性或效能事件。
+ 若事件持續時間短暫,例如不到 5 分鐘,我們會予以忽略。
+ 若事件發生於被歸類為「頂端發言者」的用戶端位置,則視為中斷。
**網際網路氣象圖使用哪些閾值?**
網際網路氣象圖中用於判定中斷的閾值並非靜態不變。Internet Monitor 根據偵測到的值與預期值的偏差,來判定何謂事件。您可以檢閱 [Internet Monitor 如何確定何時為使用服務建立的監視器建立運作狀態事件](#IMHealthEventStartStop),以進一步了解其運作方式。您建立監視器後,Internet Monitor 會針對您自己的應用程式流量,產生網際網路流量運作狀態度量資料。發生影響應用程式網際網路流量的問題時,Internet Monitor 還會向您發出運作狀態事件提醒。
**我可以如何處理此資料?**
網際網路氣象圖提供過去 24 小時內,全球各地發生之關鍵網際網路事件的快速摘要。它可協助您了解網際網路監控體驗,而不需要將自己的網際網路流量加入 Internet Monitor。若要充分利用 的網際網路監控功能, AWS 並針對託管在 上的應用程式和服務將其個人化 AWS,您可以在網路監視器中建立監視器。
建立監視器時,您可以讓 Internet Monitor 識別影響應用程式用戶端的特定網際網路路徑,並存取可協助您改善用戶端體驗的功能。您還將主動收到通知,了解哪些新的網際網路問題會直接影響您的應用程式流量和用戶端。
**如何取得事件的更多詳細資訊?**
按一下地圖上的中斷可檢視詳細資訊,包括事件開始和結束時間、受影響的城市和 ASN,以及問題類型 (即效能問題或可用性問題)。
若要取得事件的更多詳細資訊,並針對您的應用程式流量取得自訂度量資料,請[在 Internet Monitor 中建立監視器](CloudWatch-IM-get-started.md)。
# Internet Monitor 使用案例範例
在本節中,我們會說明 Internet Monitor 的幾個具體使用案例範例,並提供附上詳細資訊的部落格文章連結。這些範例說明如何使用 Internet Monitor 的功能,監控應用程式運作狀態,並縮短延遲以改善使用者的體驗。
**設定警示並決定要採取的動作**
您可以使用網路監視器深入了解一段時間內的平均網際網路效能指標,以及按城市網路 (用戶端位置和 ASN (通常為網際網路服務供應商)) 分類的運作狀態事件。使用網路監視器,您可以針對 Amazon Virtual Private Cloud (VPC)、Network Load Balancer、Amazon WorkSpaces 和 Amazon CloudFront 上託管的應用程式,識別影響最終使用者體驗的事件。
建立監視器之後,您有幾個選項,讓您收到網路監視器運作狀態事件的警示。其中包括根據使用事件指標之 CloudWatch 警示,或用來篩選運作狀態事件之 Amazon EventBridge 規則的通知。您可以根據警示為通知或動作選擇不同的選項,例如 CloudWatch 日誌群組的 AWS SMS 通知或更新。
若要檢視包含詳細指導的範例,請參閱下列部落格文章:[Internet Monitor 簡介](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-amazon-cloudwatch-internet-monitor/)。
**找出延遲問題並改善 TTFB 以提升多人遊戲體驗**
使用網路監視器,協助您快速找出跨國雲端遊戲應用程式遊戲玩家遭遇延遲問題的部分,並提供改善效能的洞察。透過找出多數玩家目前遭遇最慢的第一個位元組時間 (TTFB) 的部分,即可了解如何改善延遲,從而讓最多玩家群滿意。
現在,當您準備好為遊戲部署下一個 EC2 伺服器時,請選擇 AWS 區域 網路監視器建議在具有高延遲和大量玩家的區域中降低 TTFB。
如需關於在此使用案例中設定和使用 Internet Monitor 的詳細資訊,請參閱下列部落格文章:[Using Internet Monitor for a Better Gaming Experience](https://aws.amazon.com/blogs/gametech/using-cloudwatch-internet-monitor-for-a-better-gaming-experience/)。
**識別 Amazon WorkSpaces 使用者可能遇到的效能與網際網路連線問題**
Internet Monitor 會為您提供使用者的 IP 字首和 ASN (通常是網際網路服務供應商 [ISP]),此資訊有助於診斷使用者連線至其 WorkSpaces 時的效能與網際網路連線問題。您也可以利用此資料來檢視整個機群,並監控 WorkSpaces 使用者連線。
如需如何針對此使用案例使用 Internet Monitor 的詳細資訊,請參閱下列部落格文章:[Using Internet Monitor with Amazon WorkSpaces Personal](https://aws.amazon.com/blogs/desktop-and-application-streaming/utilizing-cloudwatch-internet-monitor-with-amazon-workspaces-personal/)。
# Internet Monitor 中的全球網際網路氣象圖
網路監視器會顯示可供所有 AWS 客戶使用的全域網際網路天氣圖。若要檢視地圖,請在 Amazon CloudWatch 主控台中,導覽至**網路監控**,然後選擇 **Internet Monitor**。
網際網路天氣圖重點介紹影響 AWS 客戶的全球網際網路事件 (「中斷」),以及效能或可用性有問題的特定城市和網路 (ASNs,通常是網際網路服務供應商)。地圖包含過去 24 小時發生的網際網路事件。
您不需要在 Internet Monitor 中建立監視器,即可檢視網際網路氣象圖。與 Internet Monitor 中的運作狀態事件不同,網際網路事件並非專屬於個別客戶或其應用程式流量。
在網際網路氣象圖上,可以選擇網際網路事件來了解其詳細資訊。對於網際網路事件,您可以檢視開始時間、結束時間 (如果事件結束)、目前狀態 (「作用中」或「已解決」) 和中斷問題類型 (「可用性」或「效能」)。若要進一步了解如何建立網際網路氣象圖以及其中包含的內容,請參閱[全球網際網路氣象圖常見問答集](CloudWatch-IM-inside-internet-monitor.md#IMGlobalOutagesFAQ)。
若要檢視和使用特定於您的應用程式流量和用戶端位置的詳細資訊,可以在 Internet Monitor 中為您的應用程式建立監視器。接著,您將看到目前與過往的效能和可用性模式及事件,同時還能接收運作狀態事件提醒。這些資訊皆是針對您的應用程式覆蓋範圍及客戶量身打造的。網際網路氣象圖為您提供整體檢視,而特定監視器會篩選出只與您的應用程式相關的度量資料和詳細資訊。透過監視器,您也可以探索歷史指標,並取得改善應用程式客戶體驗的建議方案。如需詳細資訊,請參閱 [透過主控台開始使用 Internet Monitor](CloudWatch-IM-get-started.md)。
# 網路監視器跨帳戶可觀測性
透過網路監視器跨帳戶可觀測性,您可以在單一 中監控跨越多個 AWS 帳戶的應用程式 AWS 區域。
您可以使用 Amazon CloudWatch Observability Access Manager 將一或多個 AWS 帳戶設定為監控帳戶。您可以在監控帳戶中建立*接收器*,讓監控帳戶能夠檢視來源帳戶中的資料。接收器是代表監控帳戶中連接點的資源。對於 Internet Monitor ,資源連結點即為監視器。可以使用此接收器建立從來源帳戶到監控帳戶的連結。如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。
**必要的資源**
為使 CloudWatch Application Insights 跨帳戶觀察功能正確發揮作用,請確保透過 CloudWatch Observability Access Manager 共用下列遙測類型。
+ Internet Monitor 中的監視器
+ Amazon CloudWatch 中的指標
+ Amazon CloudWatch Logs 中的日誌群組
# 網路監視器的定價
使用 Internet Monitor 時,無需預付費用或簽訂長期合約。網路監視器的定價有兩個元件:每個受監控的資源費用和每個城市網路費用。*城市網路*是指用戶端存取應用程式資源的位置,以及用戶端存取資源的網路 (ASN (例如網際網路服務供應商 (ISP)))。請注意,對於您建立的日誌及任何其他指標、儀表板、警示或洞察,均將按標準 CloudWatch 價格計費。
您可以在建立監視器時選擇要監控的流量百分比。若要協助控制帳單,您還可以針對想要監控的城市網路上限數量設定限制。您可以透過編輯監視器隨時更新要監控的流量百分比或城市網路的上限數量。其中已包含前 100 個城市網路 (每個帳戶的所有監視器中)。接著,您僅須針對監控的實際額外城市網路數量 (最多至上限數量) 付費。
您僅需支付您所監控的城市網路實際額外數量 (可達最大數量) 的費用,前 100 個城市網路不收取費用 (每個帳戶的所有監視器之間)。從您的每月帳單中扣除相當於 100 個城市網路成本的固定金額。
舉例來說,一家大型全球公司可以選擇監控其 100% 的面向網際網路流量,並針對使用單一資源的一個監視器,設定最多 50,000 個城市網路。假設流量達到 50,000 個城市網路,則此部分的帳單費用可能約為 2,700 美元/月。對於其他公司而言,在較少的地理區域內,僅配備一台監視器與單一資源,並管理 200 個城市網路,此部分的帳單金額約為每月 13 美元。如需詳細資訊,請參閱[如何選擇城市網路數量上限](IMCityNetworksMaximum.md)。
您可以使用定價計算器嘗試不同的選項。若要探索定價選項,請在 [CloudWatch 的定價計算器頁面](https://calculator.aws/#/addService/CloudWatch)上,向下捲動至「網路監視器」。
如需 Internet Monitor 和 CloudWatch 定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面。
# 透過主控台開始使用 Internet Monitor
為協助您開始使用 Internet Monitor,本章說明建立和設定*監視器*的步驟。您可以透過命名應用程式,然後在網路監視器中為應用程式建立監視器,然後新增應用程式使用 AWS 的資源。
您可以透過新增應用程式使用 AWS 的資源,然後設定數個組態選項,在網路監視器中為您的應用程式建立監視器。您新增的資源 Amazon Virtual Private Cloud (VPC)、Network Load Balancer (NLB)、CloudFront 分發內容或 WorkSpaces 目錄,皆會提供資訊供 Internet Monitor 為您的應用程式繪製網際網路流量資訊地圖。建立監視器後,請等待 15 至 30 分鐘,以產生符合應用程式實際使用環境的流量設定檔。
然後,使用 Internet Monitor 儀表板或其他工具來視覺化呈現和探索有關用戶端使用情況的效能與可用性。這些工具透過監視器為您收集的應用程式流量度量資料,為您提供深入洞見。
此處的步驟將引導您透過主控台設定監視器。若要查看 AWS Command Line Interface 搭配網路監視器 API 動作使用 的範例、建立監視器、檢視事件等,請參閱 [搭配使用 CLI 與 Internet Monitor 的範例](CloudWatch-IM-get-started-CLI.md)。
**工作**
+ [步驟 1:建立監視器](#CloudWatch-IM-get-started.create)
+ [步驟 2:設定監視器](#CloudWatch-IM-get-started.configure)
+ [步驟 3:檢視指標並探索歷史記錄](#CloudWatch-IM-get-started.explore)
+ [步驟 4:取得延遲改善建議](#CloudWatch-IM-get-started.suggestions)
+ [步驟 5 (選用):刪除監視器](#CloudWatch-IM-get-started.delete)
## 步驟 1:建立監視器
**使用主控台建立監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 選擇 **Create monitor** (建立監視器)。
1. 在 **Monitor name** (監視器名稱) 中,輸入您要在網路監視器中用於此監視器的名稱。
1. 選擇 **Add resources** (新增資源),然後選取資源,以設定要用於此監視器的網路監視器監控界限。
**注意**
請注意以下事項:
若要使用 Internet Monitor 產生有意義的輸出,您新增的 VPC 必須透過設定網際網路閘道來連線至網際網路。
只能將一種類型的資源新增至單個監視器。例如 VPC、CloudFront 分發內容或 WorkSpaces 目錄,但不能是不同類型的組合。
1. 保留流量的預設百分比 100%,或選擇其他百分比的網路流量進行監控。
1. 選擇 **Create monitor** (建立監視器)。
## 步驟 2:設定監視器
建立監視器後,您可以隨時編輯監視器,例如變更應用程式流量百分比、更新城市網路的上限數量,或者新增或移除資源。若要在 Internet Monitor 主控台中進行更新,請依循本節中的程序操作。請注意,您無法變更監視器的名稱。
如需設定監視器的詳細資訊,請參閱[在 Internet Monitor 中編輯監視器](CloudWatch-IM-get-started.edit-monitor.md)。
**使用主控台設定監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 選擇您的監視器,然後選擇**動作**選單。
1. 選擇**更新監視器**。
1. 進行需要的更新。例如,若要變更要監控的流量百分比,請在**要監控的應用程式流量**下,選取或輸入百分比。
1. 選擇**更新**。
## 步驟 3:檢視指標並探索歷史記錄
從概覽視角或深入細節層面,視覺化呈現您的網路流量資料。
**透過主控台視覺化呈現應用程式流量資料並取得洞察**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 選擇要使用的監視器。
1. 從以下索引標籤中選擇:
+ **概觀**:檢閱監視器及應用程式流量效能的一般摘要。
+ **運作狀態事件**:檢視目前或先前影響到用戶端存取您應用程式之位置的運作狀態事件。
+ **分析**:檢視用戶端位置最高受監控流量的相關資訊 (依流量計),並以多種可自訂方式進行彙總。視覺化呈現運作狀態分數和指標的指標與歷史趨勢。
在下一節中,了解 Internet Monitor 如何針對應用程式流量提供延遲改善建議。
## 步驟 4:取得延遲改善建議
取得如何最佳化延遲的建議,讓您的客戶在使用應用程式時取得最佳的網路效能體驗。
網路監視器會評估受監控的應用程式流量,然後針對您是否可以減少延遲提出建議,例如變更 AWS 區域 您為應用程式設定的 。
如需詳細資訊,請參閱[取得在 Internet Monitor 中最佳化應用程式效能的建議 (「最佳化」頁面)](CloudWatch-IM-insights.md)。
**透過主控台取得改善應用程式延遲的建議**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 選擇要使用的監視器。
1. 選擇**最佳化**,然後檢視最佳建議。
## 步驟 5 (選用):刪除監視器
若您是為測試目的建立監視器,或已不再使用某個監視器,可將其刪除。必須先停用監視器,再將其刪除。
**刪除監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 選擇您的監視器,然後選擇**動作**選單。
1. 選擇**停用**。
1. 再次選擇**動作**選單,然後選擇**刪除**。
1. 依循模態對話方塊中的指引,確認刪除監視器。
# 透過主控台設定監視器
本章包含在 Internet Monitor 中建立及設定監視器的程序和建議。
這些區段中提供的步驟主要使用 AWS 管理主控台。您也可以搭配 AWS Command Line Interface (AWS CLI) 或 AWS SDKs 使用網路監視器 API 操作來建立和設定監視器。如需使用 Internet Monitor API 操作的詳細資訊,請參閱下列資源:
+ 如果您計畫搭配 CLI 使用 Internet Monitor,請參閱[搭配使用 CLI 與 Internet Monitor 的範例](CloudWatch-IM-get-started-CLI.md)。
+ 如需使用 Internet Monitor API 操作的詳細資訊,請參閱《[Internet Monitor API 參考](https://docs.aws.amazon.com/internet-monitor/latest/api/Welcome.html)》。
**Topics**
+ [建立監視器](CloudWatch-IM-working-with.create.md)
+ [將資源新增至您的監視器](IMMonitorResources.md)
+ [設定應用程式流量百分比](IMTrafficPercentage.md)
+ [使用監視器](IMWhyCreateMonitor.md)
+ [編輯監視器](CloudWatch-IM-get-started.edit-monitor.md)
+ [刪除監視器](CloudWatch-IM-get-started.delete-monitor.md)
+ [進階選項](CloudWatch-IM-get-started.advanced-options.md)
# 透過主控台在 Internet Monitor 中建立監視器
可以在 Internet Monitor 中建立監視器,以視覺化呈現和探索有關應用程式用戶端流量的效能和可用性資料。您可以透過新增應用程式使用 AWS 的資源,然後設定數個組態選項來建立監視器。您新增至監視器的資源提供資訊,例如,透過資源流程日誌,讓網路監視器了解 AWS 應用程式特定的網際網路流量。
建立監視器之後,請等待 15 到 30 分鐘,再檢閱監視器儀表板。Internet Monitor 需要數分鐘時間,針對最終使用者使用您應用程式的位置建立流量設定檔,隨後開始發布您的流量資料。
一般情況下,這是在網路監視器中針對一個應用程式建立一個監視器的最簡單方式。在同個監視器中,您可以依據不同的位置和 ASN (通常是網際網路服務供應商) 或其他資訊,搜尋度量資料和指標,並對其進行排序。不需要為不同區域的應用程式建立個別監視器。
此處的步驟旨在引導您透過主控台設定監視器。若要使用 使用網路監視器 API 動作 AWS Command Line Interface,請參閱 [搭配使用 CLI 與 Internet Monitor 的範例](CloudWatch-IM-get-started-CLI.md)。
**使用主控台建立監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 選擇 **Create monitor** (建立監視器)。
1. 在**監視器名稱**中,輸入要用於此監視器的的名稱。
1. 選擇**新增資源**,然後選取將決定此監視器網際網路流量設定檔的資源。
**注意**
請注意以下事項:
若要使用 Internet Monitor 產生有意義的輸出,您新增的 VPC 必須透過設定網際網路閘道來連線至網際網路。
只能為每個監視器指定一種類型的資源。
1. 選擇要監控的應用程式網際網路流量百分比。
1. 或者,在**進階設定**下,指定下列一個或多個其他選項。
+ **城市網路上限**:預設的城市網路上限值為 `500000`。如果您願意,可以降低此限制,以限制 Internet Monitor 將監控其流量的城市網路 (位置和 ASN) 數量。可以透過編輯監視器來隨時更新城市網路數量上限。如需詳細資訊,請參閱[如何選擇城市網路數量上限](IMCityNetworksMaximum.md)。
+ **Amazon S3 儲存貯體儲存**:您可以指定 Amazon S3 儲存貯體名稱和自訂字首,將應用程式網際網路流量的度量資料發布至 Amazon S3,用於所有受監控的城市網路。
Internet Monitor 儲存您的用戶端位置和 ASN 或*城市網路對*的網際網路度量資料。網路監視器也會建立彙總的 CloudWatch 指標,以將流量傳送至您的應用程式,以及每個 AWS 區域 和節點。此外,Internet Monitor 每五分鐘將應用程式流量的網際網路度量資訊發布至 CloudWatch Logs 網際網路一次,以支援使用 CloudWatch 工具及其他方法處理資料。如果您選擇將度量發布至 S3,則其仍會發布至 CloudWatch Logs。如需詳細資訊,請參閱[在 Internet Monitor 中將網際網路度量結果發布到 Amazon S3](CloudWatch-IM-get-started.Publish-to-S3.md)。
+ **標籤**:為監視器新增一個或多個標籤。
1. 選擇 **Create monitor** (建立監視器)。
建立監視器後,請等待約 15 至 30 分鐘,讓 Internet Monitor 建立流量設定檔,並開始發布您的資料。然後,可以透過導覽至主控台中的監視器儀表板,檢視應用程式網際網路流量效能的相關資訊。
**檢視網路監視器儀表板**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇**網路監控**下,再選擇 **Internet Monitor**。
1. 若要查看特定監視器的詳細資訊,請在**監視器**索引標籤上選擇一個監視器。
# 將資源新增至您的監視器
建立監視器時,必須將應用程式的資源與監視器建立關聯:Amazon Virtual Private Cloud (VPC)、Network Load Balancer (NLB)、Amazon CloudFront 分發內容或 Amazon WorkSpaces 目錄。Internet Monitor 即會知道應用程式面向網際網路的流量和用戶端所在的位置,並且可以建立並維護流量設定檔,用以決定應為監視器發布哪些相關度量資料。
可以將下列類型的資源新增至 Internet Monitor 中的監視器,作為*受監控的資源*。
+ **VPC:**您在區域中新增的每個 VPC 皆為受監控的資源。當您新增 VPC 時,網路監視器會監控 VPC 中任何面向網際網路的應用程式流量,例如託管於 Amazon EC2 執行個體、Network Load Balancer 後方或 AWS Fargate 容器中的應用程式。
+ **Network Load Balancer:**您新增的每個 NLB 皆為受監控的資源。
+ **CloudFront 分發內容:**您新增的每項 CloudFront 分發內容皆為受監控的資源。
+ **WorkSpaces 目錄:**您在區域中新增的每個 WorkSpaces 目錄皆為受監控的資源。
您監控 VPC 的流量時,會監控 VPC 後負載平衡器上託管之應用程式的流量。您可以選擇監控個別 Network Load Balancer 負載平衡器的流量,而不是監控具有多個負載平衡器的 VPC。例如,如果您需要了解和設定功能,以便在負載平衡器層級獲得更好的效能或效率,這很有幫助。或者,您可能需要 Network Load Balancer 層級的合規資訊。
將資源新增至網路監視器中的監視器時,請注意下列事項:
+ 網路監視器不支援在同一台監視器中新增不同類型的資源。
+ 若要使用 Internet Monitor 產生有意義的輸出,您新增的 VPC 必須透過設定網際網路閘道來連線至網際網路。
+ 網路監視器不支援在同一台監視器中新增不同類型的資源。
+ 將 VPC 或 NLB 新增為資源時,請注意選擇加入的區域有區域差異。如需詳細資訊,請參閱[AWS 區域 支援網路監視器](CloudWatch-InternetMonitor.Regions.md)。
+ 此外,測量最後一哩延遲的資源也有所不同。對於網路監視器延遲度量,VPC、NLB 和 WorkSpaces 目錄不包含最後一哩延遲。
# 為您的應用程式選擇要監控的流量百分比
您針對要監控的應用程式流量百分比選擇的涵蓋範圍,會決定受監控的應用程式城市網路 (用戶端位置和 ASN (通常是網際網路服務供應商)) 數量,最高可達您也可設定的選用城市網路上限。
建立監視器時,可以選擇要監控的流量百分比;若要修改現有監控器,可在主控台的任意 Internet Monitor 儀表板頁面點選**編輯監視器**。
如果您選擇監視低於 100% 的應用程式流量,監視器可能有可觀測性差距。這是因為如果 Internet Monitor 在您未監控流量的地方建立運作狀態事件,您不會注意到這些問題。將流量百分比設定為 100% 以下時,對於用戶端存取應用程式的效能和可用性分數資訊,您的涵蓋範圍也可能較小。
以下章節會描述探索流量百分比設定和涵蓋範圍的選項,並了解增加或減少涵蓋範圍的影響。
+ [探索變更應用程式流量百分比](#IMExploreTrafficPercentage)
+ [檢視以不同流量百分比設定監控的城市網路數量](#IMExploreTrafficGraphs)
## 探索變更應用程式流量百分比
您可以在變更應用程式流量百分比時,檢視監控的城市網路數量,探索建議您將百分比變更為的值。本節中的程序提供逐步資訊。
在網路監視器主控台中,您可以嘗試增加或減少監視器的應用程式流量百分比,並檢視因此涵蓋的城市網路預估數量。使用此選項,您可以快速查看變更流量百分比如何影響受監控的城市監視器數量。這可讓您了解可為應用程式選擇的適當應用程式流量百分比。
**探索監控涵蓋範圍並更新受監控流量百分比**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 在您的監視器清單中,選擇監視器。
1. 在**設定**索引標籤的**檢視和評估流量涵蓋範圍**區段中,您可以根據選擇的流量百分比,評估對受監控城市網路總數的影響。亦可更新監控流量所佔的百分比,或變更監視器的城市網路限制。
+ **探索流量百分比選項:**在**比較流量涵蓋範圍選項**下的下拉式功能表中,選擇要繪製圖形並比較的一個或多個流量百分比。對於您選擇的每個流量百分比,當您設定該流量百分比覆蓋範圍時,可查看將被監控的城市網路數量。
如需進一步了解,請參閱[檢視以不同百分比監控的城市網路數量](#IMExploreTrafficGraphs)。
+ **變更監控涵蓋範圍:**在**探索其他流量涵蓋範圍選項**下,選擇**更新監控涵蓋範圍**。
在**探索並設定流量監控涵蓋範圍**對話方塊中,按一下箭頭以增加或減少要監控的流量百分比。選擇 100% 流量,您可以看到全面監控多少城市網路,以監控您的應用程式。
注意:若要深入了受監控的城市網路數量 (此處為預估) 可能會對您成本造成的影響,請選擇 [CloudWatch 定價計算工具](https://calculator.aws/#/addService/CloudWatch)的連結,然後向下捲動至 Internet Monitor。
若要設定新的監控流量百分比,請選擇**更新監控涵蓋範圍**。或者,若要保持目前的涵蓋範圍層級,請選擇**取消**。
## 檢視以不同流量百分比設定監控的城市網路數量
您可以檢視以不同應用程式流量百分比,為您應用程式監控的城市網路數量。本節中的程序提供逐步資訊。
在網路監視器主控台中,您可以檢視圖表,其顯示在您指定的時間間隔內,以不同的應用程式流量百分比監控,城市網路的涵蓋範圍會如何變化。這會快速視覺化和比較特定流量百分比的應用程式監控涵蓋範圍,全都顯示在一張圖上。
**檢視應用程式流量百分比及相應城市網路涵蓋範圍的圖表**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 在您的監視器清單中,選擇監視器。
1. 選擇**設定**頁面,然後向下捲動至**流量涵蓋範圍**。
1. 在**比較流量涵蓋範圍的選項**下,在下拉式清單中,選取一或多個百分比。您可以選擇一或多個應用程式流量百分比,系統會更新**監控的城市網路總計**圖,顯示網路監視器為該流量百分比提供的監控涵蓋範圍。選擇 **100% 流量的城市網路**,您可以看到全面監控多少城市網路,以監控您的應用程式。
請謹記以下幾點:
+ 根據應用程式流量前一小時的城市網路數目來計算流量涵蓋範圍。這表示在您選擇要監控的特定流量百分比之後,與這裡的流量涵蓋範圍比較圖中所顯示的城市網路相較,監控應用程式的城市網路可能會比較少。
+ 若要確保所有應用程式流量都受到監控,請將 `TrafficPercentageToMonitor` 設定為 100 且不要設定 `MaxCityNetworksToMonitor`。或者,您可將 `MaxCityNetworksToMonitor` 設定為 500,000,即網路監視器中的上限。
+ 如果您設定了城市網路上限,則無論您選取應用程式流量百分比選項如何,受監控城市網路的總數都絕不會超過該上限。
+ 您可以進一步了解監控的城市網路數量可能會對您成本造成的影響。在 [CloudWatch 的定價計算工具頁面](https://calculator.aws/#/addService/CloudWatch)上,向下捲動至網路監視器。
若要設定新的監控流量百分比,請在**探索其他流量涵蓋範圍選項**中,選擇**更新監控涵蓋範圍**。在對話方塊中,選擇流量百分比,然後選擇**更新監視器涵蓋範圍**。
# 在 Internet Monitor 中使用監視器
建立網路監視器之後,有多種方式可以使用它:例如,您可以在 CloudWatch 儀表板中檢視資訊、使用 取得資訊 AWS Command Line Interface,以及設定運作狀態提醒。
您的監視器會提供應用程式和組態偏好設定的相關資訊,讓網路監視器可以自訂度量和指標,為您在事件中發布。網路監視器會從 AWS的全域基礎架構足跡收集度量。這些度量是來自世界各地的大量網路效能和可用性資訊。透過使用您為應用程式新增之資源的資訊,網路監視器可將您範圍內的效能和可用性度量發布至應用程式作用中的城市網路 (即用戶端位置和 ASN [通常為網際網路服務供應商 (ISP)])。因此,網路監視器儀表板和 CloudWatch Logs 中的度量和指標 (關於可用性、效能、受監控的傳輸位元組及往返時間) 均為用戶端位置和 ASN 專屬。
網路監視器也會確定效能和可用性何時出現異常。根據預設,網路監視器會將流量與用戶端位置中每個來源目的地配對 AWS 收集的可用性和效能測量重疊,以判斷效能或可用性何時明顯下降。當應用程式的位置和範圍出現顯著降級時,網路監視器會產生*運作狀態事件*,並將問題的相關資訊發布至監視器。
在您建立監視器後,即可使用其存取網路監視器提供的資訊或收到該資訊相關的提醒,方法如下:
+ **使用 CloudWatch 儀表板**來檢視和探索效能、可用性和運作狀態事件,探索應用程式的歷史資料,並深入了解設定應用程式以獲得更佳效能的新方式。要進一步了解,請參閱下列項目:
+ [追蹤 Internet Monitor 中的即時效能和可用性 (「概觀」頁面)](CloudWatch-IM-overview.md)
+ [在 Internet Monitor 中分析歷史資料 (「分析」頁面)](CloudWatch-IM-historical-explorer.md)
+ [取得在 Internet Monitor 中最佳化應用程式效能的建議 (「最佳化」頁面)](CloudWatch-IM-insights.md)
+ **設定運作狀態事件閾值**,變更觸發網路監視器為您應用程式建立運作狀態事件的條件。您可以設定整體閾值和局部 (城市網路) 閾值。若要進一步了解,請參閱[變更運作狀態事件閾值](CloudWatch-IM-get-started.change-threshold.md#IMUpdateThresholdFromOverview)。
+ 使用具有網路監視器 API 動作的** AWS CLI 命令**來檢視流量設定檔資訊、檢視測量、列出運作狀態事件等。如需詳細資訊,請參閱 [搭配使用 CLI 與 Internet Monitor 的範例](CloudWatch-IM-get-started-CLI.md)。
+ **使用標準 CloudWatch 工具,**例如 CloudWatch Contributor Insights、CloudWatch Metrics 瀏覽器和 CloudWatch Logs Insights,在 CloudWatch 中以視覺化方式呈現資料。如需詳細資訊,請參閱 [使用 CloudWatch 工具和網路監視器查詢介面來探索您的資料](CloudWatch-IM-view-cw-tools.md)。
+ 如果您已開啟將測量結果發布到 S3,請**使用 Athena 搭配 S3 日誌**存取和分析應用程式的網路監視器網際網路測量結果。
+ **建立 Amazon EventBridge 通知**,以便在網路監視器確定存在運作狀態事件時提醒您。如需詳細資訊,請參閱 [搭配使用 Internet Monitor 和 Amazon EventBridge](CloudWatch-IM-EventBridge-integration.md)。
+ 當網路監視器判斷問題是由網路造成 AWS 時,自動**接收 AWS Health 儀板表 通知**。通知包含 AWS 為緩解問題而採取的步驟。
# 在 Internet Monitor 中編輯監視器
使用**動作**選單,您可以在建立監視器後,在 Amazon CloudWatch 網路監視器中編輯監視器。例如,您可以編輯監視器以執行下列動作:
+ 變更要監控的應用程式流量百分比
+ 設定或更新城市網路上限數量
+ 針對可用性或效能分數變更運作狀態事件閾值
+ 新增或移除資源
+ 啟用或更新將事件發布至 Amazon S3
請注意,建立監視器後,您無法變更監視器的名稱。
若要針對監視器進行變更,請遵循下列程序。
**編輯監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 選擇您的監視器,然後選擇**動作**選單。
1. 選擇**更新監視器**。
1. 進行需要的更新。例如,若要變更要監控的流量百分比,請在**要監控的應用程式流量**下,選取或輸入百分比。
1. 選擇**更新**。
如需可更新之選項的詳細資訊,請參閱下列內容:
+ 若要進一步了解您在網路監視器中新增的資源,請參閱[將資源新增至您的監視器](IMMonitorResources.md)。
+ 若要進一步了解應用程式流量百分比,請參閱[為您的應用程式選擇要監控的流量百分比](IMTrafficPercentage.md)。
+ 若要進一步了解變更運作狀態事件的閾值,請參閱[變更運作狀態事件閾值](CloudWatch-IM-get-started.change-threshold.md#IMUpdateThresholdFromOverview)。
+ 若要進一步解城市網路上限數量,請參閱[如何選擇城市網路數量上限](IMCityNetworksMaximum.md)。
+ 若要進一步了解選擇將事件發布到 S3,請參閱[在 Internet Monitor 中將網際網路度量結果發布到 Amazon S3](CloudWatch-IM-get-started.Publish-to-S3.md)。
# 在 Internet Monitor 中刪除監視器
使用**動作**選單,您可以在 Amazon CloudWatch 網路監視器中刪除監視器。先停用監視器,然後將其刪除。
**刪除監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 選擇您的監視器,然後選擇**動作**選單。
1. 選擇**停用**。
1. 再次選擇**動作**選單,然後選擇**刪除**。
# 監視器的進階組態選項
本節提供在 Internet Monitor 中設定監視器進階選項的步驟。雖然這些組態選項為選用性質,但在某些情況下可能很有用。
例如,若您使用 Internet Monitor 監控之應用程式的流量偶爾出現突發性高峰,而且您希望確保 Internet Monitor 的帳單可預測,則可以設定城市網路流量上限。
或者,您可能想要設定運作狀態事件的自訂或本地閾值,因為您想密切關注客戶集中之特定地區的問題。
本節中的主題提供每個功能的詳細說明,並列出根據您的需求設定選項的步驟。
**Topics**
+ [選擇城市網路限制](IMCityNetworksMaximum.md)
+ [變更運作狀態事件閾值](CloudWatch-IM-get-started.change-threshold.md)
+ [將網際網路度量結果發布到 S3](CloudWatch-IM-get-started.Publish-to-S3.md)
# 如何選擇城市網路數量上限
除了在 Internet Monitor 中為您的監視器設定流量百分比外,您也可以針對受監控的城市網路數量設定上限。本節說明城市網路上限如何協助您管理帳單費用,並提供資訊和範例,協助您決定要設定的上限 (若您選擇設定)。
網路監視器可以監控用戶端存取 AWS 應用程式資源的部分或所有位置的流量。您可以設定*城市網路*數量的監控限制,也就是用戶端位置和用戶端存取您應用程式的 ASN (通常是網際網路服務供應商)。
您可以在建立監視器時選擇要監控的[應用程式流量百分比](IMTrafficPercentage.md)。預設百分比為 100%。您可以隨時編輯監視器以更新百分比。
您為城市網路數量設定的上限,可確保帳單費用可預期。如需詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)。您還可以透過使用 CloudWatch 價格計算工具,了解實際受監控之城市網路數量不同,如何影響帳單費用。若要探索選項,請在 [CloudWatch 的定價計算器頁面](https://calculator.aws/#/addService/CloudWatch)上,向下捲動至「網路監視器」。
若要更新監視器並變更城市網路上限數量,請參閱 [在 Internet Monitor 中編輯監視器](CloudWatch-IM-get-started.edit-monitor.md)。
## 帳單與城市網路上限的關係
針對受監控的城市網路數量設定上限,可協助避免帳單產生非預期的費用。舉例來說,如果您的流量模式差異很大,就會相當實用。超過包含的前 100 個城市網路後 (每個帳戶的所有監視器中),帳單費用會按受監控的每個城市網路增加。無論選擇監控的流量百分比為何,如果您設定城市網路上限數量,則其會限制網路監視器為應用程式監控的城市網路數量。
您僅須為實際受監控的城市網路數量付費。您選擇的城市網路上限數量,可讓您設定網路監視器使用監視器監控流量時可包含的總數上限。您可以透過編輯監視器,隨時變更此上限數量。
若要探索選項,請在 [CloudWatch 的定價計算器](https://calculator.aws/#/addService/CloudWatch)頁面上,向下捲動至「網路監視器」。如需有關網路監視器定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面上的「網路監視器」區段。
## 如何選擇城市網路上限數量
或者,您可以設定城市網路數量上限。為協助您決定要選取的數量上限,請考慮您希望為應用程式監控多少流量。請注意,若您為監視器設定的*監控流量百分比*為 100%,並同時指定城市網路數量上限,則根據您選擇的限制值,可能無法監控 100% 的應用程式流量。您設定的城市網路數量上限,優先於您設定的監控流量百分比。
若要檢視您選擇的監控流量百分比如何影響應用程式監控中包含的城市監視器數量 (這有助於您決定是否設定城市網路數量上限),請依循[檢視在不同流量百分比設定下所監控的城市網路數量](IMTrafficPercentage.md#IMExploreTrafficGraphs)中的步驟操作。
若要更詳細地探索您的選項,可以使用 Internet Monitor 指標 (如下列範例中所述)。這些範例會顯示如何根據您想要的應用程式網際網路流量覆蓋範圍,選取適合您的城市網路上限數量。使用 [CloudWatch 指標中的網路監視器指標查詢](CloudWatch-IM-view-cw-tools-metrics-dashboard.md),即可協助您深入瞭解應用程式網際網路流量涵蓋範圍。
## 決定城市網路上限數量的範例
舉例來說,假設您設定的監控上限數量為 100 個城市網路,且 2637 個城市網路的用戶端會存取您的應用程式。在 CloudWatch 指標中,您可能會看到傳回的下列網路監視器指標:
```
CityNetworksMonitored 100
TrafficMonitoredPercent 12.5
CityNetworksFor90PercentTraffic 2143
CityNetworksFor100PercentTraffic 2637
```
在此範例中,您可以看到目前正在監控 12.5% 的網際網路流量 (上限數量設為 100 個城市網路)。如果您想要監控 90% 的流量,則下個指標會提供以下相關資訊:`CityNetworksFor90PercentTraffic` 會表示您可能需要監控 2,143 個城市網路,才可達到 90% 涵蓋範圍。為此,您可能要更新監視器並將城市網路上限數量設定為 2,143 個。
同樣地,假設您想要針對應用程式監控 100% 的網際網路流量。下個指標 `CityNetworksFor100PercentTraffic` 會表示若要達成此目標,您應該更新監視器,並將城市網路上限數量設定為 2,637 個。
如果您現在將上限設定為 5,000 個城市網路,由於該數量大於 2,637 個,因此您會看到下列傳回的指標:
```
CityNetworksMonitored 2637
TrafficMonitoredPercent 100
CityNetworksFor90PercentTraffic 2143
CityNetworksFor100PercentTraffic 2637
```
在這些指標中,您可以看到如果設定更高的限制,則可監控所有 2,637 個城市網路 (即為 100% 網際網路流量)。
# 變更監視器的運作狀態事件閾值
Internet Monitor 使用預設閾值來判定何時為監視器建立運作狀態事件。或者,您可以變更該預設全域閾值,將其設定為其他值。也可以設定本地閾值。本節說明全域和本地閾值如何一起運作,並提供自訂閾值設定步驟。
您可以變更觸發網路監視器建立運作狀態事件的整體閾值。效能分數和可用性分數的預設運作狀態事件閾值都是 95%。也就是說,應用程式的整體效能或可用性分數降至 95% 或以下時,網路監視器會建立運作狀態事件。對於整體閾值而言,運作狀態事件可能由單一大型問題或多個較小問題觸發。
您也可以變更本地 (即城市網路) 閾值及整體影響程度百分比,它們結合起來會觸發運作狀態事件。設定閾值,在分數低於一或多個城市網路 (位置和 ASN,通常是 ISP) 的閾值時建立運作狀態事件,您便可深入了解流量較低的地點何時發生問題等。
其他本機閾值選項可與可用性或效能評分的本機閾值搭配使用。第二個因素是網路監視器根據本機閾值建立運作狀態事件之前,必須受到影響的整體流量百分比。
透過設定總流量和本機流量的閾值選項,可微調建立運作狀態事件的頻率,以符合您的應用程式用途和需求。請注意,將局部閾值設得較低時,通常會建立更多運作狀態事件,這取決於您的應用程式和您設定的其他閾值組態值。
總而言之,您可以使用下列方式,為效能分數、可用性分數或兩者,設定運作狀態事件閾值:
+ 選擇其他全域閾值來觸發運作狀態事件。
+ 選擇其他局部閾值來觸發運作狀態事件。您也可以使用此選項,變更網路監視器建立事件之前,必須超過之對整體應用程式造成影響的百分比。
+ 選擇關閉根據局部閾值觸發運作狀態事件,或啟用局部閾值選項。
若要更新效能分數、可用性分數或兩者的運作狀態事件閾值,請依循下列步驟。
**變更閾值組態選項**
1. 在 中 AWS 管理主控台,導覽至 CloudWatch,然後在左側導覽窗格中選擇網路監視器。
1. 在**設定**頁面的**運作狀態事件閾值**區段中,選擇**更新閾值**。
1. 在**設定運作狀態事件閾值**頁面上,針對觸發 Internet Monitor 建立運作狀態事件的閾值和其他選項,選擇想要的新值和選項。您可以執行下列任何操作:
+ 為**可用性分數閾值**、**效能分數閾值**或兩者,選擇新值。
每個設定的區段中的圖表,會顯示您應用程式可用性或效能的目前閾值設定和實際最近運作狀態事件分數。檢視一般值,您可以了解建議將閾值變更為的值。
提示:若要檢視較大圖表並變更時間範圍,請選擇圖表右上角的展開按鈕。
+ 選擇開啟或關閉可用性、效能或兩者的局部閾值。啟用選項時,您可以設定希望網路監視器建立運作狀態事件時的閾值和影響等級。
1. 設定閾值選項之後,請選擇**更新運作狀態事件閾值**以儲存更新。
若要進一步了解運作狀態事件的運作方式,請參閱[網路監視器建立和解決運作狀態事件的時機](CloudWatch-IM-inside-internet-monitor.md#IMHealthEventStartStop)。
# 在 Internet Monitor 中將網際網路度量結果發布到 Amazon S3
您可以選擇讓 Internet Monitor 將網際網路度量結果發布到 Amazon S3,以取得監視器中受監控之城市網路 (用戶端位置和 ASN [通常為網際網路服務供應商]) 的面向網際網路的流量 (最高 500,000 個城市網路服務限制)。網路監視器每五分鐘會針對各監視器的前 500 個 (按流量計算) 城市網路,自動將網際網路度量發布至 CloudWatch Logs。該程式發布至 S3 的度量包含發布至 CloudWatch Logs 的前 500 個城市網路。
您可以選擇發布到 S3 的選項,並指定要在建立或更新監視器時將度量發布到的儲存貯體。您必須先在 S3 中建立儲存貯體,才可在網路監視器中進行指定。可發布至 S3 的網際網路度量之服務限制為 500,000 個城市網路。網路監視器會將網際網路度量作為事件 (存放在儲存貯體的一系列壓縮日誌檔案物件) 發布至 S3。
當您建立適用於網路監視器的 S3 儲存貯體以發布度量時,請務必遵循 CloudWatch Logs 提供的許可指導。這樣做可確保網路監視器可以直接將日誌發佈到 S3,而且如果需要, AWS 可以建立和變更與接收日誌的日誌群組相關聯的資源政策。如需詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》中的[傳送至 CloudWatch Logs 的日誌](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL)。
發布的日誌檔案已壓縮。如果您使用 Amazon S3 主控台開啟日誌檔案,則其會解壓縮日誌檔案,並顯示網際網路度量事件。如果您下載這些檔案,則必須解壓縮才能查看事件。
您也可以使用 Amazon Athena 查詢日誌檔案中的網際網路度量。Amazon Athena 是一種互動式查詢服務,可讓您透過使用標準 SQL 輕鬆分析 Amazon S3 中的資料。如需詳細資訊,請參閱[使用 Amazon Athena 查詢 Amazon S3 日誌檔案中的網際網路度量結果](CloudWatch-IM-view-cw-tools.S3_athena.md)。
# 搭配使用 CLI 與 Internet Monitor 的範例
本節包含 AWS Command Line Interface 搭配網路監視器操作使用 的範例。
開始之前,請務必登入以 AWS CLI 使用具有您要監控之 Amazon VPC VPCs、Network Load Balancer、Amazon CloudFront 分佈或 Amazon WorkSpaces 目錄的相同 AWS 帳戶。網路監視器不支援跨帳戶存取資源。如需使用 的詳細資訊 AWS CLI,請參閱 [AWS CLI 命令參考](https://docs.aws.amazon.com/cli/latest/index.html)。如需有關搭配使用 API 動作和 Internet Monitor 的詳細資訊,請參閱《[Internet Monitor API 參考指南](https://docs.aws.amazon.com/internet-monitor/latest/api/Welcome.html)》。
**Topics**
+ [建立監視器](#CloudWatch-IM-get-started-CLI-create-mon)
+ [檢視監視器詳細資訊](#CloudWatch-IM-get-started-CLI-mon-details)
+ [列出運作狀態事件](#CloudWatch-IM-get-started-CLI-list-events)
+ [檢視特定運作狀態事件](#CloudWatch-IM-get-started-CLI-view-event-specific)
+ [檢視監視器清單](#CloudWatch-IM-get-started-CLI-monitor-list)
+ [編輯監視器](#CloudWatch-IM-get-started-CLI-edit-monitor)
+ [刪除監視器](#CloudWatch-IM-get-started-CLI-delete-monitor)
## 建立監視器
在網路監視器中建立監視器時,您需要提供名稱並將資源與監視器建立關聯,以顯示應用程式網際網路流量的所在位置。您可以指定一個流量百分比來定義受監控的應用程式流量。這也會決定受監控的城市網路數量,城市網路即用戶端位置和 ASN [通常為網際網路服務供應商 (ISP)]。若要協助控制帳單,您也可以選擇針對應用程式資源,設定要監控的城市網路上限數量。如需詳細資訊,請參閱[如何選擇城市網路數量上限](IMCityNetworksMaximum.md)。
最後,您可以選擇是否要將應用程式的所有網際網路測量結果發布到 Amazon S3。前 500 個城市網路 (依流量計算) 的網際網路測量結果會透過網路監視器自動發布至 CloudWatch Logs,但您也可以選擇將所有測量結果發布到 S3。
若要使用 建立監視器 AWS CLI,請使用 `create-monitor`命令。下列命令會建立一個監控 100% 流量但將城市網路上限設定為 10,000 個的監視器、新增 VPC 資源,以及選擇將網際網路測量結果發布到 Amazon S3。
**注意**
網路監視器每五分鐘會針對將流量傳送至各監視器的前 500 個城市網路 (用戶端位置和 ASN [通常為網際網路服務供應商 (ISP)]),將網際網路度量發布至 CloudWatch Logs。您也可以選擇將所有受監控之城市網路 (最多 500,000 個城市網路服務限制) 的網際網路度量發布至 Amazon S3 儲存貯體。如需詳細資訊,請參閱[在 Internet Monitor 中將網際網路度量結果發布到 Amazon S3](CloudWatch-IM-get-started.Publish-to-S3.md)。
```
aws internetmonitor create-monitor --monitor-name "TestMonitor" \
--traffic-percentage-to-monitor 100 \
--max-city-networks-to-monitor 10000 \
--resources "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889" \
--internet-measurements-log-delivery S3Config="{BucketName=amzn-s3-demo-bucket,LogDeliveryStatus=ENABLED}"
```
```
{
"Arn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/TestMonitor",
"Status": "ACTIVE"
}
```
**注意**
您無法變更監視器的名稱。
## 檢視監視器詳細資訊
若要使用 檢視監視器的相關資訊 AWS CLI,請使用 `get-monitor`命令。
```
aws internetmonitor get-monitor --monitor-name "TestMonitor"
```
```
{
"ClientLocationType": "city",
"CreatedAt": "2022-09-22T19:27:47Z",
"ModifiedAt": "2022-09-22T19:28:30Z",
"MonitorArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/TestMonitor",
"MonitorName": "TestMonitor",
"ProcessingStatus": "OK",
"ProcessingStatusInfo": "The monitor is actively processing data",
"Resources": [
"arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
],
"MaxCityNetworksToMonitor": 10000,
"Status": "ACTIVE"
}
```
## 列出運作狀態事件
如果應用程式的網際網路流量效能降低,網路監視器會在監視器中建立運作狀態事件。若要使用 查看目前運作狀態事件的清單 AWS CLI,請使用 `list-health-events`命令。
```
aws internetmonitor list-health-events --monitor-name "TestMonitor"
```
```
{
"HealthEvents": [
{
"EventId": "2022-06-20T01-05-05Z/latency",
"Status": "RESOLVED",
"EndedAt": "2022-06-20T01:15:14Z",
"ServiceLocations": [
{
"Name": "us-east-1"
}
],
"PercentOfTotalTrafficImpacted": 1.21,
"ClientLocations": [
{
"City": "Lockport",
"PercentOfClientLocationImpacted": 60.370000000000005,
"PercentOfTotalTraffic": 2.01,
"Country": "United States",
"Longitude": -78.6913,
"AutonomousSystemNumber": 26101,
"Latitude": 43.1721,
"Subdivision": "New York",
"NetworkName": "YAHOO-BF1"
}
],
"StartedAt": "2022-06-20T01:05:05Z",
"ImpactType": "PERFORMANCE",
"EventArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/TestMonitor/health-event/2022-06-20T01-05-05Z/latency"
},
{
"EventId": "2022-06-20T01-17-56Z/latency",
"Status": "RESOLVED",
"EndedAt": "2022-06-20T01:30:23Z",
"ServiceLocations": [
{
"Name": "us-east-1"
}
],
"PercentOfTotalTrafficImpacted": 1.29,
"ClientLocations": [
{
"City": "Toronto",
"PercentOfClientLocationImpacted": 75.32,
"PercentOfTotalTraffic": 1.05,
"Country": "Canada",
"Longitude": -79.3623,
"AutonomousSystemNumber": 14061,
"Latitude": 43.6547,
"Subdivision": "Ontario",
"CausedBy": {
"Status": "ACTIVE",
"Networks": [
{
"AutonomousSystemNumber": 16509,
"NetworkName": "Amazon.com"
}
],
"NetworkEventType": "AWS"
},
"NetworkName": "DIGITALOCEAN-ASN"
},
{
"City": "Lockport",
"PercentOfClientLocationImpacted": 22.91,
"PercentOfTotalTraffic": 2.01,
"Country": "United States",
"Longitude": -78.6913,
"AutonomousSystemNumber": 26101,
"Latitude": 43.1721,
"Subdivision": "New York",
"NetworkName": "YAHOO-BF1"
},
{
"City": "Hangzhou",
"PercentOfClientLocationImpacted": 2.88,
"PercentOfTotalTraffic": 0.7799999999999999,
"Country": "China",
"Longitude": 120.1612,
"AutonomousSystemNumber": 37963,
"Latitude": 30.2994,
"Subdivision": "Zhejiang",
"NetworkName": "Hangzhou Alibaba Advertising Co.,Ltd."
}
],
"StartedAt": "2022-06-20T01:17:56Z",
"ImpactType": "PERFORMANCE",
"EventArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/TestMonitor/health-event/2022-06-20T01-17-56Z/latency"
},
{
"EventId": "2022-06-20T01-34-20Z/latency",
"Status": "RESOLVED",
"EndedAt": "2022-06-20T01:35:04Z",
"ServiceLocations": [
{
"Name": "us-east-1"
}
],
"PercentOfTotalTrafficImpacted": 1.15,
"ClientLocations": [
{
"City": "Lockport",
"PercentOfClientLocationImpacted": 39.45,
"PercentOfTotalTraffic": 2.01,
"Country": "United States",
"Longitude": -78.6913,
"AutonomousSystemNumber": 26101,
"Latitude": 43.1721,
"Subdivision": "New York",
"NetworkName": "YAHOO-BF1"
},
{
"City": "Toronto",
"PercentOfClientLocationImpacted": 29.770000000000003,
"PercentOfTotalTraffic": 1.05,
"Country": "Canada",
"Longitude": -79.3623,
"AutonomousSystemNumber": 14061,
"Latitude": 43.6547,
"Subdivision": "Ontario",
"CausedBy": {
"Status": "ACTIVE",
"Networks": [
{
"AutonomousSystemNumber": 16509,
"NetworkName": "Amazon.com"
}
],
"NetworkEventType": "AWS"
},
"NetworkName": "DIGITALOCEAN-ASN"
},
{
"City": "Hangzhou",
"PercentOfClientLocationImpacted": 2.88,
"PercentOfTotalTraffic": 0.7799999999999999,
"Country": "China",
"Longitude": 120.1612,
"AutonomousSystemNumber": 37963,
"Latitude": 30.2994,
"Subdivision": "Zhejiang",
"NetworkName": "Hangzhou Alibaba Advertising Co.,Ltd."
}
],
"StartedAt": "2022-06-20T01:34:20Z",
"ImpactType": "PERFORMANCE",
"EventArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/TestMonitor/health-event/2022-06-20T01-34-20Z/latency"
}
]
}
```
## 檢視特定運作狀態事件
若要使用 CLI 查看有關特定運作狀態事件的更詳細資訊,請使用您的監視器名稱和運作狀態事件 ID 執行 `get-health-event` 命令。
```
aws internetmonitor get-monitor --monitor-name "TestMonitor" --event-id "health-event/TestMonitor/2021-06-03T01:02:03Z/latency"
```
```
{
"EventId": "2022-06-20T01-34-20Z/latency",
"Status": "RESOLVED",
"EndedAt": "2022-06-20T01:35:04Z",
"ServiceLocations": [
{
"Name": "us-east-1"
}
],
"EventArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/TestMonitor/health-event/2022-06-20T01-34-20Z/latency",
"LastUpdatedAt": "2022-06-20T01:35:04Z",
"ClientLocations": [
{
"City": "Lockport",
"PercentOfClientLocationImpacted": 39.45,
"PercentOfTotalTraffic": 2.01,
"Country": "United States",
"Longitude": -78.6913,
"AutonomousSystemNumber": 26101,
"Latitude": 43.1721,
"Subdivision": "New York",
"NetworkName": "YAHOO-BF1"
},
{
"City": "Toronto",
"PercentOfClientLocationImpacted": 29.770000000000003,
"PercentOfTotalTraffic": 1.05,
"Country": "Canada",
"Longitude": -79.3623,
"AutonomousSystemNumber": 14061,
"Latitude": 43.6547,
"Subdivision": "Ontario",
"CausedBy": {
"Status": "ACTIVE",
"Networks": [
{
"AutonomousSystemNumber": 16509,
"NetworkName": "Amazon.com"
}
],
"NetworkEventType": "AWS"
},
"NetworkName": "DIGITALOCEAN-ASN"
},
{
"City": "Shenzhen",
"PercentOfClientLocationImpacted": 4.07,
"PercentOfTotalTraffic": 0.61,
"Country": "China",
"Longitude": 114.0683,
"AutonomousSystemNumber": 37963,
"Latitude": 22.5455,
"Subdivision": "Guangdong",
"NetworkName": "Hangzhou Alibaba Advertising Co.,Ltd."
},
{
"City": "Hangzhou",
"PercentOfClientLocationImpacted": 2.88,
"PercentOfTotalTraffic": 0.7799999999999999,
"Country": "China",
"Longitude": 120.1612,
"AutonomousSystemNumber": 37963,
"Latitude": 30.2994,
"Subdivision": "Zhejiang",
"NetworkName": "Hangzhou Alibaba Advertising Co.,Ltd."
}
],
"StartedAt": "2022-06-20T01:34:20Z",
"ImpactType": "PERFORMANCE",
"PercentOfTotalTrafficImpacted": 1.15
}
```
## 檢視監視器清單
若要使用 CLI 查看您帳戶中所有監視器的清單,請執行 `list-monitors` 命令。
```
aws internetmonitor list-monitors
```
```
{
"Monitors": [
{
"MonitorName": "TestMonitor",
"ProcessingStatus": "OK",
"Status": "ACTIVE"
}
],
"NextToken": " zase12"
}
```
## 編輯監視器
若要使用 CLI 更新監視器的相關資訊,請使用 `update-monitor` 命令並指定要更新的監視器名稱。您可以更新要監控的流量百分比、城市網路數量上限、新增或移除 Internet Monitor 用於監控流量的資源,以及將監視器狀態從 `ACTIVE` 變更為 `INACTIVE`,反之亦然。請注意,您無法變更監視器的名稱。
`update-monitor` 呼叫的回應僅會傳回 `MonitorArn` 和 `Status`。
下列範例會說明如何使用 `update-monitor` 命令將要監控的城市網路上限數量變更為 `50000`:
```
aws internetmonitor update-monitor --monitor-name "TestMonitor" --max-city-networks-to-monitor 50000
```
```
{
"MonitorArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/TestMonitor",
"Status": " ACTIVE "
}
```
以下範例會說明如何新增和移除資源:
```
aws internetmonitor update-monitor --monitor-name "TestMonitor" \
--resources-to-add "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889" \
--resources-to-remove "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-2222444455556666"
```
```
{
"MonitorArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/TestMonitor",
"Status": "ACTIVE"
}
```
以下範例會說明如何使用 `update-monitor` 命令將監視器狀態變更為 `INACTIVE`:
```
aws internetmonitor update-monitor --monitor-name "TestMonitor" --status "INACTIVE"
```
```
{
"MonitorArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/TestMonitor",
"Status": "INACTIVE"
}
```
## 刪除監視器
您可以使用 `delete-monitor` 命令,利用 CLI 刪除監視器。首先,您必須將監視器設定為非作用中。若要執行此操作,請使用 `update-monitor` 命令將狀態變更為 `INACTIVE`。使用 `get-monitor` 命令並檢查狀態,確認監視器為非作用中。
監視器狀態為 `INACTIVE` 後,您便可以使用 CLI 執行 `delete-monitor` 命令來刪除監視器。成功的 `delete-monitor` 呼叫回應是空白的。
```
aws internetmonitor delete-monitor --monitor-name "TestMonitor"
```
```
{}
```
# 使用網路監視器儀表板監控和最佳化
使用 中的網路監視器儀表板 AWS 管理主控台,您可以視覺化資料,取得應用程式 AWS 網際網路流量的洞見和建議,並為監視器設定選項。
建立監視器以監控應用程式的網際網路效能和可用性之後,Internet Monitor 會儲存用戶端位置和 ASN 或*城市網路*對的網際網路度量結果。網路監視器也會建立彙總的 CloudWatch 指標,以將流量傳送至您的應用程式,以及每個 AWS 區域 和節點。您可以使用數種不同方式篩選、探索,並從監視器的資訊中取得以行動為導向的建議。Internet Monitor 儀表板會引導您檢視並深入了解受監控流量的資料。
若要開始使用,請在 CloudWatch 主控台的**網路監控**下,選擇 **Internet Monitor**。然後,選取要使用的監視器。
**注意**
本節主要說明如何使用 篩選和檢視網路監視器指標 AWS 管理主控台。或者,您可以將網路監視器 API 操作與 AWS CLI 或 SDK 搭配使用,以直接使用存放在 CloudWatch Logs 檔案中的網路監視器事件。如需詳細資訊,請參閱[使用監視器和度量資訊](IMWhyCreateMonitor.md#IMAccessIMInformation)。如需使用 API 操作的詳細資訊,請參閱[搭配使用 CLI 與 Internet Monitor 的範例](CloudWatch-IM-get-started-CLI.md),以及《[Internet Monitor API 參考](https://docs.aws.amazon.com/internet-monitor/latest/api/Welcome.html)》。
Internet Monitor 儀表板中有五個頁面 (索引標籤):
+ 在**概觀**頁面上,您可以取得受監控流量的整體檢視,包括目前效能和可用性資訊、最近和目前運作狀態事件的摘要,以及可能改善用戶端效能的最佳建議。
+ 在**運作狀態事件**頁面上,您可以檢視目前或先前影響到用戶端存取您應用程式之位置的運作狀態事件。
+ 在**分析**頁面上,您可以檢視用戶端位置中最高受監控流量的相關資訊 (依流量計),並以多種可自訂方式進行彙總。亦可檢視運作狀態評分和指標的歷史趨勢。可以依位置、ASN、日期等條件進行篩選,並視覺化呈現一段時間內的網際網路流量指標。
+ 在**最佳化**頁面上,Internet Monitor 會根據您的流量模式和過去的效能,預測應用程式對最佳 AWS 區域 (或 Amazon CloudFront) 的效能改善。對於每個最佳組態,關聯的資料表會依用戶端位置提供所降低延遲的明細。在第二個頁面上,您可以選取多個區域 (如果需要,請包含 CloudFront 組態) 來比較延遲降低情況。對於選取的每個組態 (區域),頁面會顯示關聯的延遲詳細資訊資料表 (依城市位置列示)。
+ 在**設定**頁面上,您可以看到監視器詳細資訊和設定選項,例如要監控的流量百分比。
除了這些儀表板選項之外,您還可以使用工具深入了解 Internet Monitor 搭配監視器收集的指標詳細資訊。由於 Internet Monitor 會產生並發布有關流量度量結果的日誌檔案,因此您可以使用主控台中的其他 CloudWatch 工具,進一步視覺化呈現 Internet Monitor (包含 CloudWatch Contributor Insights、CloudWatch Metrics 和 CloudWatch Logs Insights) 發布的資料。如需詳細資訊,請參閱[使用 CloudWatch 工具和網路監視器查詢介面來探索您的資料](CloudWatch-IM-view-cw-tools.md)。
請參閱下列各節,了解如何使用網路監視器來探索效能和可用性測量結果。
**Topics**
+ [追蹤 Internet Monitor 中的即時效能和可用性 (「概觀」頁面)](CloudWatch-IM-overview.md)
+ [在 Internet Monitor 中檢視運作狀態事件和指標 (「運作狀態事件」頁面)](CloudWatch-IM-Health-events.md)
+ [在 Internet Monitor 中分析歷史資料 (「分析」頁面)](CloudWatch-IM-historical-explorer.md)
+ [取得在 Internet Monitor 中最佳化應用程式效能的建議 (「最佳化」頁面)](CloudWatch-IM-insights.md)
+ [Internet Monitor 中的監控詳細資訊 (「設定」頁面)](CloudWatch-IM-configure.md)
# 追蹤 Internet Monitor 中的即時效能和可用性 (「概觀」頁面)
Internet Monitor 主控台的**概觀**頁面會顯示監視器追蹤之流量的效能和可用性高階檢視,以及運作狀態事件影響受監控流量的時間軸。此頁面同時提供最佳的組態變更建議,有助降低最佳用戶端位置 (依流量計) 中使用您應用程式之用戶端的延遲。
**流量概觀和狀態**
**流量概觀**區段簡要呈現應用程式的可用性與效能資訊。請注意,此區段顯示*彙總的*整體效能和可用性分數,其中有考慮到所有最終使用者和服務位置的應用程式的所有流量。您可以在**分析**標籤上搜尋和篩選測量資訊,以查看特定用戶端位置和服務地點的運作狀態評分。
在**狀態**下,您可以檢視監視器是否正在為其主動建立資料,或正在等待資料可用。也可以檢視正在受監控之應用程式流量的百分比。如果想要變更百分比,請參閱**設定**頁面。
網路監視器使用統計程序來建立受監控流量的可用性和效能分數。 AWS 具有有關不同 ASNs 和服務地理位置之間網路流量網際網路效能和可用性的大量歷史資料 AWS 。網路監視器會使用從其全球網路足跡 AWS 擷取的連線資料,來計算網際網路流量可用性和效能的基準。這與我們在 AWS 用來監控自己的網際網路運作時間和可用性的資料相同。
網路監視器會使用這些測量結果作為基準,偵測應用程式效能和可用性的下降時機,並與基準進行比較。為方便您查看上述下降情況,我們會以效能分數和可用性分數形式向您回報該資訊。
如需詳細資訊,請參閱[如何 AWS 計算效能和可用性分數](CloudWatch-IM-inside-internet-monitor.md#IMExperienceScores)。
**運作狀態事件時間軸**
**運作狀態事件時間軸**圖表顯示過去 24 小時發生的運作狀態事件。圖表下方的摘要顯示應用程式目前和最近的影響。如需詳細資訊,可以選擇**檢視更多運作狀態事件**。
若要變更運作狀態事件的閾值,請前往**設定**頁面。
**減少您的主要區域的延遲**
網路監視器會自動評估 AWS 區域 目前應用程式組態最常使用的 (也就是具有最高用戶端磁碟區的 區域),並判斷另一個區域是否可以為您的用戶端提供更好的第一個位元組彙總時間 (TTFB)。
請注意,由於這是彙總的 TTFB,若將流量從一個區域移至另一個區域,多數位置的 TTFB 預期會改善,但某些區域的用戶端可能看不到變化或出現效能下降的情況。
若要探索更多延遲改善建議,包括細微層級的詳細資訊 (例如用戶端位置),請參閱**最佳化**頁面。
# 在 Internet Monitor 中檢視運作狀態事件和指標 (「運作狀態事件」頁面)
Internet Monitor 主控台的**運作狀態事件**頁面提供會影響您的應用程式用戶端位置和 ASN 的運作狀態事件地圖。您可以按一下地圖上的圓圈以獲取事件的更多詳細資訊。**運作狀態事件**資料表列出了受事件影響的位置,以及有關影響的詳細資訊。
**網際網路流量概觀**
**網際網路流量概觀**地圖會顯示特定於您的用戶端從中存取應用程式的位置和 ASN 的網際網路流量和運作狀態事件。地圖上的灰色國家/地區為包含應用程式流量的國家/地區。
地圖上的各圓圈表示在您所選時段內某個區域中的運作狀態事件。網路監視器會在偵測到問題時,以特定 (但可自訂) 閾值建立運作狀態事件,並在託管於 的其中一個資源 AWS 與用戶端存取您應用程式的城市網路之間建立連線。
在地圖上選擇一個圓圈,便會顯示更多有關該位置運作狀態事件的詳細資訊。此外,針對具有運作狀態事件的叢集,您可以在地圖下方的 **Health events** (運作狀態事件) 資料表中查看詳細資訊。
請注意,如果 Internet Monitor 判斷事件對應用程式有重大影響,會在監視器中建立運作狀態事件。如果在您所選時段內,未有任何運作狀態事件對用戶端位置的流量影響超過閾值,則地圖將為空白。如需詳細資訊,請參閱[網路監視器建立和解決運作狀態事件的時機](CloudWatch-IM-inside-internet-monitor.md#IMHealthEventStartStop)。
**運作狀態事件**
**運作狀態事件**資料表會列出受運作狀態事件影響的用戶端位置,以及事件的相關資訊。下列資料欄包含在資料表中。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/CloudWatch-IM-Health-events.html)
如果您在**運作狀態事件**資料表中選擇其中一個用戶端位置,則可查看該位置運作狀態事件的詳細資料。例如,您可以查看事件的開始和結束時間,以及本機流量影響。
**網路路徑視覺化**
如果 Internet Monitor 已完成事件故障分析,可以檢視**網路路徑視覺化**,查看流向用戶端位置之流量的完整網路路徑。完整路徑會顯示您應用程式在用戶端位置對之 AWS 位置與用戶端之間運作狀態事件的網路路徑上的每個節點。
當 Internet Monitor 判斷故障原因時,會在節點周圍新增虛線紅色圓圈。損害可能是由 ASN [通常為網際網路服務供應商 (ISP)] 造成,也可能是由 AWS造成。若有數個造成損害的原因,則會圈出多個節點。
# 在 Internet Monitor 中分析歷史資料 (「分析」頁面)
在 Internet Monitor 主控台的**分析**頁面上,可以依流量檢視所監控的流量中,應用程式的最佳用戶端位置。您還可以檢視顯示流量的效能和可用性分數的圖表,以及應用程式受監控流量的其他網際網路流量指標圖表。
若要開始探索應用程式流量的 Internet Monitor 資料,請選取時段。接著,選擇特定的地理位置 (例如城市) 以及 (可選) 其他篩選條件。Internet Monitor 會將篩選條件套用至您的資料,然後您會看到顯示應用程式度量結果的資料圖表。**分析**頁面上的資料圖表會展示一段期間內應用程式的效能評分、可用性評分、傳輸的受監控位元組 (針對 VPC、Network Load Balancer 和 CloudFront 分發內容) 或用戶端連線計數 (針對 WorkSpaces 目錄),以及往返時間 (RTT)。
**分析**頁面頂端的選項決定頁面圖表中顯示之流量的時間範圍和類型。您可以依用戶端位置或 ASN 進行篩選,或選擇以特定精細程度顯示流量圖 (預設為城市層級)。
**最上方用戶端位置**
根據預設,**最佳用戶端位置**圖表顯示您的最佳受監控流量位置。您可以選擇其他欄位來對圖表排序,或採用其他排序方式,例如按流量最低的位置排序。
您為頁面選擇的篩選條件決定位置的區域、時間範圍等。
**流量運作狀態評分**
本節顯示流量運作狀態分數圖表以及受監控流量的指標。這些圖表反映您在頁面頂端所選篩選條件對應的資料。
**流量運作狀態分數**圖表會透過呼叫影響受監控用戶端流量的運作狀態事件,顯示本機和整體流量的效能和可用性資訊。 AWS 具有不同 ASNs 和服務地理位置之間網路流量網際網路效能和可用性的大量歷史資料 AWS 。網路監視器會使用從其全球網路足跡 AWS 擷取的連線資料,來計算網際網路流量的效能和可用性基準。這與我們在 用來 AWS 監控自己的網際網路運作時間和可用性的資料相同。
網路監視器會使用這些測量結果作為基準,偵測應用程式效能和可用性的下降時機,並與基準進行比較。為方便您查看上述下降情況,我們會以效能分數和可用性分數形式向您回報該資訊。如需詳細資訊,請參閱[如何 AWS 計算效能和可用性分數](CloudWatch-IM-inside-internet-monitor.md#IMExperienceScores)。
其他圖表將顯示應用程式流量的資訊,包括傳輸的受監控位元組 (針對 VPC、Network Load Balancer 和 CloudFront 分發內容) 或用戶端連線計數 (針對 WorkSpaces 目錄),以及往返時間 (RTT)。
請注意,當往返時間 (RTT) 在最終使用者位置之間彙總時,該值會以每個用戶端位置驅動的流量加權。例如,有兩個用戶端位置,一個以 5 毫秒 RTT 提供 90% 流量,另一個以 10 毫秒 RTT 提供 10% 的流量,結果得出彙總 RTT 為 5.5 毫秒 (5 毫秒 \$1 0.9 \$1 10 毫秒 \$1 0.1)。
也可以使用 CloudWatch 工具或其他方法,探索 Internet Monitor 針對受監控流量儲存的網際網路度量結果。如需詳細資訊,請參閱[使用 CloudWatch 工具和網路監視器查詢介面來探索您的資料](CloudWatch-IM-view-cw-tools.md)。此外,您可以根據 Internet Monitor 資料建立 CloudWatch 警示,例如在發生運作狀態事件時通知您。如需詳細資訊,請參閱[使用 Internet Monitor 建立警示](CloudWatch-IM-create-alarm.md)。
# 取得在 Internet Monitor 中最佳化應用程式效能的建議 (「最佳化」頁面)
透過 Internet Monitor 主控台的**最佳化**頁面,取得如何最佳化用戶端應用程式效能的建議。網路監視器會評估受監控的應用程式流量,並藉由變更您為應用程式設定的 AWS 區域 來判斷您是否可以減少延遲。或者,如果您選擇在建議中納入 Amazon CloudFront,也可以檢視延遲變動情況。
您可以依流量檢視應用程式之最佳區域的建議,或依流量檢視最佳用戶端位置的建議。
****有關降低最佳區域之延遲的建議****
為了協助您快速了解減少用戶端延遲的最佳選項,網路監視器會自動為您的最佳區域 (依流量) 提供改善應用程式延遲的建議。
您亦可針對應用程式為客戶提供服務的所有區域,探索組態變更。這包括在更深層的精細程度上取得每個建議變更的詳細資訊,例如依特定用戶端位置。若要探索應用程式的所有區域組態和預期延遲變更,請選擇**所有區域的最佳化建議**。
****有關降低所有區域之延遲的建議****
若要探索如何為用戶端存取應用程式的所有區域降低延遲,請選擇**所有區域的最佳化建議**,開啟一個新的儀表板頁面。在此頁面中,您可以選取不同區域進行設定,並可選擇將 CloudFront 納入組態比較範圍,隨後即可比較各選取組態的第一個位元組時間 (TTFB)。
接著,針對每項比較,您還能檢視更精細層級 (依用戶端位置) 的資料表,其中列出每個位置的平均預期 TTFB。
****有關降低最佳位置之延遲的建議****
Internet Monitor 還提供依特定位置為用戶端降低應用程式延遲的建議。當資料表列出相同位置的多個建議時,請展開該列的城市位置以查看詳細資訊。
請注意,如果您將組態變更為使用不同的區域,或使用 CloudFront,則延遲改善情形可能會隨用戶端位置不同而有所差異。例如,某些位置的延遲可能會改善,但在其他位置則保持原樣,甚至惡化。
****透過更新路由組態降低延遲的建議****
注意:這些建議僅與區域負載平衡器的應用程式流量相關。對於您為 CloudFront 分發內容或 WorkSpaces 資源建立的監視器,資料表不會顯示相關資訊。
使用網路監視器,您可以檢視使用不同 DNS 解析程式 (通常是 ISPs) 存取應用程式之 IPv4 IP 字首 AWS 位置延遲的相關資訊。藉助此資訊,您可以採取措施降低特定使用者群組的延遲,方法是將一組由 CIDR 集合指定的 IP 位址字首路由至您所在區域的端點,從而為使用者降低延遲。如果還沒有字首的 CIDR 集合,可以前往 Amazon Route 53 建立一個。然後,您可以在 Route 53 中更新路由,將集合中的 IP 位址路由至特定區域。
如果想要針對一組 IP 位址字首建立 CIDR 集合,可以選取包含所需 IP 字首的一個或多個資料列,然後選擇**新增至 CIDR 集合**。然後,在 Route 53 主控台中,可以設定路由政策,將集合中的 IP 位址路由到應用程式延遲較低的區域。
若要進一步了解 Route 53 中的以 IP 為基礎的路由,請參閱[以 IP 為基礎的路由](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy-ipbased.html)。
透過檢視此頁面上的建議內容,您可以開始規劃可改善用戶端效能的組態和部署。請注意,當資料無法顯示時,您可能會在資料欄中看到破折號 (-) 而非值。
如需有關 TTFB 計算的詳細資訊,請參閱 [TTFB 和延遲的AWS 計算](CloudWatch-IM-inside-internet-monitor.md#IMCalculateTTFB)。若要檢閱如何改善效能的具體範例,請參閱 [Using Internet Monitor for a Better Gaming Experience](https://aws.amazon.com/blogs/gametech/using-cloudwatch-internet-monitor-for-a-better-gaming-experience/)。
# Internet Monitor 中的監控詳細資訊 (「設定」頁面)
在**設定**頁面上,您可以檢視監視器的詳細資訊,包括您監控流量的資源清單,以及觸發運作狀態事件的閾值。也可以探索和比較監視器流量百分比的值,以及其對監視器涵蓋 (監控) 之城市網路數量所產生的影響。最後,可以檢視發布至 Amazon S3 儲存貯體之度量結果的相關資訊。
您可以設定監視器來變更大多數選項,例如要監控的流量百分比。如需詳細資訊,請參閱[設定您的監視器](#IMUpdateMonitorConfig)。
## 監控詳細資訊
**監視器詳細資訊**區段包含監視器的基本資訊,包括名稱、目前為應用程式監控的流量百分比、城市網路數量上限 (如果您已設定),以及監視器的狀態資訊。
下方文字說明您在**狀態**和**狀態資訊** (資料處理狀態) 中可能看到的值。
| 狀態 | 描述 |
| --- | --- |
| 作用中 | 監視器已建立並處於作用中狀態。 |
| 待定 | 目前正在建立監視器,尚未啟用。 |
| 非作用中 | 監視器已建立,但已設定為非作用中。 |
| 錯誤 | 監視器處於錯誤狀態。 |
| 狀態詳細資訊 (資料處理狀態) | Description |
| --- | --- |
| OK | 監視器正在積極處理資料。 |
| 非作用中 | 監視器處於非作用中狀態,未處理資料。 |
| 收集資料 | 監視器正在積極收集資料。 |
| 資料不足 | 監視器正在積極處理資料,但資料點數量不足,無法產生洞見。 |
| 錯誤存取 CloudWatch | 監視器在傳輸 CloudWatch 指標資料和日誌事件時遇到問題。 |
## 運作狀態事件閾值
在本節中,您可以檢視為此監視器設定之運作狀態事件的目前閾值。如果尚未設定任何自訂閾值,此處顯示的值即為預設值。
根據預設,系統不會根據本地閾值觸發運作狀態事件。如果本地運作狀態事件閾值對於您的 Internet Monitor 案例很有用,您可以啟用此選項並指定要使用的閾值。
您可以進一步了解運作狀態事件閾值的運作方式,並檢閱新增本地閾值或變更現有閾值的潛在影響。如需詳細資訊,請參閱[變更運作狀態事件閾值](CloudWatch-IM-get-started.change-threshold.md#IMUpdateThresholdFromOverview)。
## 流量涵蓋範圍
在本節中,您可以深入了解有關監視器流量涵蓋範圍的選項。當您變更監視器的流量百分比時,網路監視器會監控不同數量的應用程式流量。如果您將流量百分比設定為小於 100% (預設值為 100%),則用戶端用來存取應用程式的部分城市網路可能不會受到監控。您可以探索不同流量百分比值的影響,以了解您設定的不同值如何影響您的城市網路覆蓋範圍。
**監控城市網路總數**圖表會顯示目前受監控的城市網路數量,以及您將流量百分比設定為 100% 時,有多少網路會受到監控。若要檢視圖表上不同的流量百分比值,請在下拉式功能表中選取百分比。
在您探索不同的選項後,可以選擇**更新監控範圍**來變更要監控的流量百分比。
若要設定最大城市網路限制,請在頁面頂端選擇**編輯監視器**。然後在**進階選項**底下,設定最大城市網路值。
## 設定監視器
如同 Internet Monitor 儀表板中的每個頁面,您可以選擇**編輯監視器**來變更監視器的選項,包括新增或移除資源。如需如何更新下列組態選項的詳細資訊,請點選所提供的連結。
**檢視運作狀態事件閾值**
在本節中,您可以檢視為此監視器設定之運作狀態事件的目前閾值。
若要更新運作狀態閾值,請參閱[變更運作狀態事件閾值](CloudWatch-IM-get-started.change-threshold.md#IMUpdateThresholdFromOverview)。
**檢視和評估流量涵蓋範圍**
在本節中,您可以比較當您選擇不同的百分比值時,為應用程式變更監控的流量百分比對涵蓋 (監控) 之城市網路數量的影響。
也可以變更監控的流量百分比,或變更監視器包含之城市網路數量限制。要變更流量百分比,請選擇**更新監控涵蓋範圍**。
如需詳細步驟和資訊,請參閱[探索變更您的應用程式流量百分比](IMTrafficPercentage.md#IMExploreTrafficPercentage)。
**將網際網路度量發布到 Amazon S3 的組態詳細資訊**
如果您已設定 Internet Monitor 將監視器的網際網路度量發布到 Amazon S3 儲存貯體,則此處會顯示組態的相關資訊。
若要設定此選項,請參閱[將網際網路度量發布到 S3](CloudWatch-IM-get-started.Publish-to-S3.md#IMPublishToS3)。
# 使用 CloudWatch 工具和網路監視器查詢介面來探索您的資料
您不僅可以使用 Internet Monitor 儀表板視覺化呈現應用程式的效能和可用性,還可以透過多種方法深入了解 Internet Monitor 為您產生的資料。這些方法包括使用具有儲存在 CloudWatch 日誌檔案中的網路監視器資料的 CloudWatch 工具,以及使用網路監視器查詢介面。您可使用的工具包括 CloudWatch Logs Insights、CloudWatch 指標、CloudWatch Contributor Insights 和 Amazon Athena。取決於您的需求,您可以使用這些工具的一部分或全部,以及儀表板來探索網路監視器資料。
網路監視器會彙總 CloudWatch 指標,了解您應用程式和每個應用程式的流量 AWS 區域,並包含總流量影響、可用性和往返時間等資料。此資料會發布至 CloudWatch Logs,也可與網路監視器查詢介面搭配使用。地理精細程度相關詳細資訊和可供探索的其他方面資訊略有差異。
Internet Monitor 每隔 5 分鐘為您的監視器發布資料一次,然後以多種方式來提供資料。下表列出了存取網路監視器資料的案例,並描述了每個案例所收集資料的特徵。
****
| 功能 | CloudWatch Logs | 匯出至 S3 | 查詢介面 | CloudWatch 儀表板 |
| --- | --- | --- | --- | --- |
| 預設為啟用 | 是 | 否 | 是 | 是 |
| 收集資料的城市網路數目 | 前 500 次 (請參閱下方註釋) | 全部 | 全部 | 全部 |
| 資料保留 | 使用者控制 | 使用者控制 | 30 天 | 30 天 |
| 收集資料的地理精細程度 | 全部 (城市網路、都會區 \$1 網路、行政區 \$1 網路、國家/地區 \$1 網路) | 城市網路 | 全部 (城市網路、都會區 \$1 網路、行政區 \$1 網路、國家/地區 \$1 網路) | 全部 (城市網路、都會區 \$1 網路、行政區 \$1 網路、國家/地區 \$1 網路) |
| 如何查詢和篩選資料 | [使用 CloudWatch Logs Insights 探索 Internet Monitor 度量結果](CloudWatch-IM-view-cw-tools-logs-insights.md) | [使用 Amazon Athena 查詢 Amazon S3 日誌檔案中的網際網路度量結果](CloudWatch-IM-view-cw-tools.S3_athena.md) | [使用 Internet Monitor 查詢介面](CloudWatch-IM-view-cw-tools-cwim-query.md) | [使用網路監視器儀表板監控和最佳化](CloudWatch-IM-monitor-and-optimize.md) |
注意事項:城市網路擷取的前 500 次度量;都會區 \$1 網路擷取的前 250 次,行政區 \$1 網路擷取的前 100 次,國家/地區 \$1 網路擷取的前 50 次。
本章會描述如何使用 CloudWatch 工具或網路監視器查詢介面來查詢和探索資料,以及各種方法的範例。
**Topics**
+ [CloudWatch Logs 洞察](CloudWatch-IM-view-cw-tools-logs-insights.md)
+ [CloudWatch Contributor Insights](CloudWatch-IM-view-cw-tools-contributor-insights.md)
+ [CloudWatch Metrics](CloudWatch-IM-view-cw-tools-metrics-dashboard.md)
+ [Athena 與 S3 日誌](CloudWatch-IM-view-cw-tools.S3_athena.md)
+ [網路監視器查詢介面](CloudWatch-IM-view-cw-tools-cwim-query.md)
# 使用 CloudWatch Logs Insights 探索 Internet Monitor 度量結果
您可以使用 CloudWatch Logs Insights 查詢來篩選特定城市或地理位置 (用戶端位置)、用戶端 ASN (ISP) 和 AWS 來源位置的日誌子集。Internet Monitor 會發布針對 CloudWatch Logs 的詳細可用性與往返時間度量資料,您可透過 CloudWatch Logs Insights 進行深入分析。
若要進一步了解網路監視器中的用戶端位置準確度,請參閱[網路監視器中的地理位置資訊和準確度](CloudWatch-IM-inside-internet-monitor.md#IMGeolocationSourceAccuracy)。
本節中的範例可協助您建立 CloudWatch Logs Insights 查詢,以深入了解自己的應用程式流量度量和指標。如果您在 CloudWatch Logs Insights 中使用這些範例,請以自己的監視器名稱取代 *MonitorName*。
**檢視流量最佳化建議**
在網路監視器中的**流量洞察**索引標籤中,您可以檢視依位置篩選的流量最佳化建議。若要查看該索引標籤上**流量最佳化建議**區段中顯示的相同資訊,但其未提供位置精細程度篩選器,則可以使用下列 CloudWatch Logs Insights 查詢。
1. 在 中 AWS 管理主控台,導覽至 CloudWatch Logs Insights。
1. 在 **Log Group** (日誌群組) 中,選取 `/aws/internet-monitor/monitorName/byCity` 和 `/aws/internet-monitor/monitorName/byCountry`,然後指定時間範圍。
1. 新增以下查詢,然後執行該查詢。
```
fields @timestamp,
clientLocation.city as @city, clientLocation.subdivision as @subdivision, clientLocation.country as @country,
`trafficInsights.timeToFirstByte.currentExperience.serviceName` as @serviceNameField,
concat(@serviceNameField, ` (`, `serviceLocation`, `)`) as @currentExperienceField,
concat(`trafficInsights.timeToFirstByte.ec2.serviceName`, ` (`, `trafficInsights.timeToFirstByte.ec2.serviceLocation`, `)`) as @ec2Field,
`trafficInsights.timeToFirstByte.cloudfront.serviceName` as @cloudfrontField,
concat(`clientLocation.networkName`, ` (AS`, `clientLocation.asn`, `)`) as @networkName
| filter ispresent(`trafficInsights.timeToFirstByte.currentExperience.value`)
| stats avg(`trafficInsights.timeToFirstByte.currentExperience.value`) as @averageTTFB,
avg(`trafficInsights.timeToFirstByte.ec2.value`) as @ec2TTFB,
avg(`trafficInsights.timeToFirstByte.cloudfront.value`) as @cloudfrontTTFB,
sum(`bytesIn` + `bytesOut`) as @totalBytes,
latest(@ec2Field) as @ec2,
latest(@currentExperienceField) as @currentExperience,
latest(@cloudfrontField) as @cloudfront,
count(*) by @networkName, @city, @subdivision, @country
| display @city, @subdivision, @country, @networkName, @totalBytes, @currentExperience, @averageTTFB, @ec2, @ec2TTFB, @cloudfront, @cloudfrontTTFB
| sort @totalBytes desc
```
**檢視網際網路可用性和 RTT (p50、p90 及 p95)**
若要檢視流量的網際網路可用性和往返時間 (p50、p90 及 p95),可以使用下列 CloudWatch Logs Insights 查詢。
**最終使用者地理位置:**美國伊利諾州芝加哥
**最終使用者網路 (ASN):**AS7018
**AWS 服務位置:**美國東部 (維吉尼亞北部) 區域
若要檢視日誌,請依下列步驟執行:
1. 在 中 AWS 管理主控台,導覽至 CloudWatch Logs Insights。
1. 在 **Log Group** (日誌群組) 中,選取 `/aws/internet-monitor/monitorName/byCity` 和 `/aws/internet-monitor/monitorName/byCountry`,然後指定時間範圍。
1. 新增以下查詢,然後執行該查詢。
該查詢會傳回在所選時段內,從伊利諾州芝加哥 AS7018 連線至美國東部 (維吉尼亞北部) 區域的所有使用者效能資料。
```
fields @timestamp,
internetHealth.availability.experienceScore as availabilityExperienceScore,
internetHealth.availability.percentageOfTotalTrafficImpacted as percentageOfTotalTrafficImpacted,
internetHealth.performance.experienceScore as performanceExperienceScore,
internetHealth.performance.roundTripTime.p50 as roundTripTimep50,
internetHealth.performance.roundTripTime.p90 as roundTripTimep90,
internetHealth.performance.roundTripTime.p95 as roundTripTimep95
| filter clientLocation.country == `United States`
and clientLocation.city == `Chicago`
and serviceLocation == `us-east-1`
and clientLocation.asn == 7018
```
如需詳細資訊,請參閱[使用 CloudWatch Logs Insights 分析日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)。
# 使用 Contributor Insights 識別最佳位置和 ISP
CloudWatch Contributor Insights 可協助您識別 AWS 應用程式的熱門用戶端位置和 ASNs (通常是網際網路服務供應商或 ISPs)。使用下列 Contributor Insights 規則範例,開始建立對 Internet Monitor 有用的規則。如需詳細資訊,請參閱[在 CloudWatch 中建立 Contributor Insights 規則](ContributorInsights-CreateRule.md)。
若要進一步了解網路監視器中的用戶端位置準確度,請參閱[網路監視器中的地理位置資訊和準確度](CloudWatch-IM-inside-internet-monitor.md#IMGeolocationSourceAccuracy)。
**注意**
Internet Monitor 每五分鐘儲存網際網路度量資料一次,因此在您設定 Contributor Insights 規則之後,必須將期間調整為五分鐘才能看到圖表。
**依可用性影響檢視最受影響的位置和 ASN**
若要依可用性下降程度檢視最受影響的用戶端位置和 ASN,可以在語法編輯器中使用下列 Contributor Insights 規則。以您自有的監視器名稱取代 *monitor-name*。
```
{
"Schema": {
"Name": "CloudWatchLogRule",
"Version": 1
},
"AggregateOn": "Sum",
"Contribution": {
"Filters": [
{
"Match": "$.clientLocation.city",
"IsPresent": true
}
],
"Keys": [
"$.clientLocation.city",
"$.clientLocation.networkName"
],
"ValueOf": "$.awsInternetHealth.availability.percentageOfTotalTrafficImpacted"
},
"LogFormat": "JSON",
"LogGroupNames": [
"/aws/internet-monitor/monitor-name/byCity"
]
}
```
**依延遲影響檢視最受影響的用戶端位置和 ASN**
若要依往返時間增加程度檢視最受影響的用戶端位置和 ASN,可以在語法編輯器中使用下列 Contributor Insights 規則。以您自有的監視器名稱取代 *monitor-name*。
```
{
"Schema": {
"Name": "CloudWatchLogRule",
"Version": 1
},
"AggregateOn": "Sum",
"Contribution": {
"Filters": [ {
"Match": "$.clientLocation.city",
"IsPresent": true
}
],
"Keys": [
"$.clientLocation.city",
"$.clientLocation.networkName"
],
"ValueOf": "$.awsInternetHealth.performance.percentageOfTotalTrafficImpacted"
},
"LogFormat": "JSON",
"LogGroupNames": [
"/aws/internet-monitor/monitor-name/byCity"
]
}
```
**依總流量百分比檢視最受影響的用戶端位置和 ASN**
若要依總流量百分比檢視最受影響的用戶端位置和 ASN,可以在語法編輯器中使用下列 Contributor Insights 規則。以您自有的監視器名稱取代 *monitor-name*。
```
{
"Schema": {
"Name": "CloudWatchLogRule",
"Version": 1
},
"AggregateOn": "Sum",
"Contribution": {
"Filters": [
{
"Match": "$.clientLocation.city",
"IsPresent": true
}
],
"Keys": [
"$.clientLocation.city",
"$.clientLocation.networkName"
],
"ValueOf": "$.percentageOfTotalTraffic"
},
"LogFormat": "JSON",
"LogGroupNames": [
"/aws/internet-monitor/monitor-name/byCity"
]
}
```
# 在 CloudWatch Metrics 中檢視 Internet Monitor 指標或設定警示
可以使用 CloudWatch 主控台中的 CloudWatch 警示和 CloudWatch 指標,檢視或設定 Internet Monitor 指標的警示。Internet Monitor 會將指標發布至帳戶,其中包含效能、可用性、往返時間及輸送量 (每秒位元組) 指標。若要尋找監視器的所有指標,請在 CloudWatch 指標儀表板中查看自訂命名空間 `AWS/InternetMonitor`。
若要檢視使用以上數個指標的範例,以協助判斷為監視器選擇的城市網路數量上限值,請參閱[選擇城市網路數量上限值](IMCityNetworksMaximum.md)。若要進一步了解如何設定 Internet Monitor 警示,請參閱[使用 Internet Monitor 建立警示](CloudWatch-IM-create-alarm.md)。
指標會彙總至監控器中 VPCs、Network Load Balancer、CloudFront 分佈或 WorkSpaces 目錄的所有網際網路流量,以及監控至每個 AWS 區域 和網際網路節點的所有流量。區域由服務位置定義,可以是所有位置或特定區域,例如 `us-east-1`。
注意:*城市網路*指用戶端位置及用戶端使用之 ASN (通常為網際網路服務供應商 (ISP))。
網路監視器會提供下列指標。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/CloudWatch-IM-view-cw-tools-metrics-dashboard.html)
如需詳細資訊,請參閱[Amazon CloudWatch 中的指標](working_with_metrics.md)。
# 使用 Amazon Athena 查詢 Amazon S3 日誌檔案中的網際網路度量結果
您可以使用 Amazon Athena,查詢和檢視 Internet Monitor 發布至 Amazon S3 儲存貯體的網際網路度量結果。網路監視器中有個選項,可讓其針對受監控之城市網路 (用戶端位置和 ASN,通常為網際網路服務供應商 (ISP)) 的面向網際網路流量,將應用程式的網際網路度量發布至 S3 儲存貯體。無論您是否選擇將度量發布至 S3,網路監視器每五分鐘會針對各監視器的前 500 個 (按流量計算) 城市網路,自動將網際網路度量發布至 CloudWatch Logs。
本章節包含針對位於 S3 日誌檔案中的網際網路度量在 Athena 中建立資料表的方法步驟,以及提供[範例查詢](#CloudWatch-IM-view-cw-tools.S3_athena.athena-sample-queries)以查看度量的不同檢視。例如,您可以透過延遲影響查詢前 10 個受影響的城市網路。
## 使用 Amazon Athena 在網路監視器中建立網際網路度量的資料表
若要搭配網路監視器 S3 日誌檔案開始使用 Athena,請先建立網際網路度量的資料表。
按照此程序中的步驟,以根據 S3 日誌檔案在 Athena 中建立資料表。接著,您可以在資料表上執行 Athena 查詢 (例如,[這些範例網際網路測量查詢](#CloudWatch-IM-view-cw-tools.S3_athena.athena-sample-queries)),以取得度量的相關資訊。
**建立 Athena 資料表**
1. 在 [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/) 中開啟 Athena 主控台。
1. 在 Athena 查詢編輯器中,輸入查詢陳述式,以產生具有網路監視器網際網路度量的資料表。將 LOCATION 參數值取代為 S3 儲存貯體的位置 (存放網路監視器網際網路度量的位置)。
```
CREATE EXTERNAL TABLE internet_measurements (
version INT,
timestamp INT,
clientlocation STRING,
servicelocation STRING,
percentageoftotaltraffic DOUBLE,
bytesin INT,
bytesout INT,
clientconnectioncount INT,
internethealth STRING,
trafficinsights STRING
)
PARTITIONED BY (year STRING, month STRING, day STRING)
ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'
LOCATION
's3://amzn-s3-demo-bucket/bucket_prefix/AWSLogs/account_id/internetmonitor/AWS_Region/'
TBLPROPERTIES ('skip.header.line.count' = '1');
```
1. 輸入陳述式以建立讀取資料的分割區。例如,下列查詢會針對指定的日期和位置建立單一分割區:
```
ALTER TABLE internet_measurements
ADD PARTITION (year = 'YYYY', month = 'MM', day = 'dd')
LOCATION
's3://amzn-s3-demo-bucket/bucket_prefix/AWSLogs/account_id/internetmonitor/AWS_Region/YYYY/MM/DD';
```
1. 選擇**執行**。
**網際網路度量的範例 Athena 陳述式**
下列為產生資料表的陳述式範例:
```
CREATE EXTERNAL TABLE internet_measurements (
version INT,
timestamp INT,
clientlocation STRING,
servicelocation STRING,
percentageoftotaltraffic DOUBLE,
bytesin INT,
bytesout INT,
clientconnectioncount INT,
internethealth STRING,
trafficinsights STRING
)
PARTITIONED BY (year STRING, month STRING, day STRING)
ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'
LOCATION 's3://internet-measurements/TestMonitor/AWSLogs/1111222233332/internetmonitor/us-east-2/'
TBLPROPERTIES ('skip.header.line.count' = '1');
```
下列為建立讀取資料之分割區的陳述式範例:
```
ALTER TABLE internet_measurements
ADD PARTITION (year = '2023', month = '04', day = '07')
LOCATION 's3://internet-measurements/TestMonitor/AWSLogs/1111222233332/internetmonitor/us-east-2/2023/04/07/'
```
## 可搭配使用網路監視器之網際網路度量的範例 Amazon Athena 查詢
本節包含可與 Amazon Athena 搭配使用的範例查詢,可取得有關發布至 Amazon S3 之應用程式網際網路度量的資訊。
**查詢前 10 個受影響的 (依總流量百分比) 用戶端位置和 ASN**
執行此 Athena 查詢可傳回前 10 個受影響的 (依總流量百分比) 城市網路[即用戶端位置和 ASN (通常為網際網路服務供應商)]。
```
SELECT json_extract_scalar(clientLocation, '$.city') as city,
json_extract_scalar(clientLocation, '$.networkname') as networkName,
sum(percentageoftotaltraffic) as percentageoftotaltraffic
FROM internet_measurements
GROUP BY json_extract_scalar(clientLocation, '$.city'),
json_extract_scalar(clientLocation, '$.networkname')
ORDER BY percentageoftotaltraffic desc
limit 10
```
**查詢前 10 個受影響的 (依可用性) 用戶端位置和 ASN**
執行此 Athena 查詢可傳回前 10 個受影響的 (依總流量百分比) 城市網路[即用戶端位置和 ASN (通常為網際網路服務供應商)]。
```
SELECT json_extract_scalar(clientLocation, '$.city') as city,
json_extract_scalar(clientLocation, '$.networkname') as networkName,
sum(
cast(
json_extract_scalar(
internetHealth,
'$.availability.percentageoftotaltrafficimpacted'
)
as double )
) as percentageOfTotalTrafficImpacted
FROM internet_measurements
GROUP BY json_extract_scalar(clientLocation, '$.city'),
json_extract_scalar(clientLocation, '$.networkname')
ORDER BY percentageOfTotalTrafficImpacted desc
limit 10
```
**查詢前 10 個受影響的 (依延遲情況) 用戶端位置和 ASN**
執行此 Athena 查詢可傳回前 10 個受影響的 (依延遲影響) 城市網路[即用戶端位置和 ASN (通常為網際網路服務供應商)]。
```
SELECT json_extract_scalar(clientLocation, '$.city') as city,
json_extract_scalar(clientLocation, '$.networkname') as networkName,
sum(
cast(
json_extract_scalar(
internetHealth,
'$.performance.percentageoftotaltrafficimpacted'
)
as double )
) as percentageOfTotalTrafficImpacted
FROM internet_measurements
GROUP BY json_extract_scalar(clientLocation, '$.city'),
json_extract_scalar(clientLocation, '$.networkname')
ORDER BY percentageOfTotalTrafficImpacted desc
limit 10
```
**查詢用戶端位置和 ASN 的流量重點**
執行此 Athena 查詢可傳回流量重點資訊,(包含可用性分數、效能分數,以及城市網路的第一個位元組時間),即用戶端位置和 ASN (通常為網際網路服務供應商)。
```
SELECT json_extract_scalar(clientLocation, '$.city') as city,
json_extract_scalar(clientLocation, '$.subdivision') as subdivision,
json_extract_scalar(clientLocation, '$.country') as country,
avg(cast(json_extract_scalar(internetHealth, '$.availability.experiencescore') as double)) as availabilityScore,
avg(cast(json_extract_scalar(internetHealth, '$.performance.experiencescore') as double)) performanceScore,
avg(cast(json_extract_scalar(trafficinsights, '$.timetofirstbyte.currentexperience.value') as double)) as averageTTFB,
sum(bytesIn) as bytesIn,
sum(bytesOut) as bytesOut,
sum(bytesIn + bytesOut) as totalBytes
FROM internet_measurements
where json_extract_scalar(clientLocation, '$.city') != 'N/A'
GROUP BY
json_extract_scalar(clientLocation, '$.city'),
json_extract_scalar(clientLocation, '$.subdivision'),
json_extract_scalar(clientLocation, '$.country')
ORDER BY totalBytes desc
limit 100
```
如需有關使用 Athena 的詳細資訊,請參閱《Amazon Athena 使用者指南》[https://docs.aws.amazon.com/athena/latest/ug/](https://docs.aws.amazon.com/athena/latest/ug/)。
# 使用 Internet Monitor 查詢介面
進一步了解 AWS 應用程式網際網路流量的選項是使用網路監視器*查詢界面*。若要使用查詢介面,請使用您選擇的資料篩選條件來建立查詢,然後執行查詢,以傳回網路監視器資料的子集。探索查詢傳回的資料,這可讓您深入了解應用程式在網際網路上的執行情況。
您可查詢並探索網路監視器使用監視器擷取的所有指標,包括可用性和效能分數、傳輸的位元組、往返時間和第一個位元組的時間 (TTFB)。
網路監視器使用查詢介面來提供您可在網路監視器主控台儀表板中探索的資料。使用儀表板中的搜尋選項 (位於**分析**頁面或**最佳化**頁面),您可以查詢和篩選應用程式的網際網路資料。
如果您想要比儀表板提供更多探索和篩選資料的彈性,您可以自行使用查詢界面,方法是搭配 AWS Command Line Interface 或 AWS SDK 使用網路監視器 API 操作。本節會介紹可與查詢介面搭配使用的查詢類型,以及您可指定用於建立資料子集的篩選條件,以取得應用程式網際網路流量的相關洞察。
**Topics**
+ [如何使用查詢介面](#CloudWatch-IM-view-cw-tools-cwim-query-use-query)
+ [查詢範例](#CloudWatch-IM-view-cw-tools-cwim-query-example-queries)
+ [取得查詢結果](#CloudWatch-IM-view-cw-tools-cwim-query-get-data)
+ [疑難排解](#CloudWatch-IM-view-cw-tools-cwim-query-troubleshooting)
## 如何使用查詢介面
您可選擇*查詢類型*,然後指定篩選值,以使用查詢介面建立查詢,進而傳回所需的特定日誌檔案資料子集。然後,您可使用資料子集,進一步篩選和排序、建立報告等等。
查詢運作程序如下:
1. 當您執行查詢時,網路監視器會傳回對查詢而言不重複的 `query ID`。本節會描述可用的查詢類型,以及在查詢中篩選資料的選項。若要了解運作方式,您還可檢閱[查詢範例](#IMQueryInterfaceExamples)章節。
1. 您可使用 [GetQueryResults](https://docs.aws.amazon.com/internet-monitor/latest/api/API_GetQueryResults.html) API 操作,指定監視器名稱的查詢 ID,以傳回查詢的資料結果。每個查詢類型都會傳回不同的資料集欄位。若要進一步了解,請參閱[取得查詢結果](#IMGetQueryData)。
查詢介面提供以下種查詢類型。每個查詢類型都會從日誌檔案傳回有關流量的不同資訊集,如下所示。
+ **度量結果:**每隔 5 分鐘提供一次可用性分數、效能分數、總流量和往返時間。
+ **最佳位置:**針對您監控的最佳位置與 ASN 組合 (依流量計),提供可用性評分、效能評分、總流量及第一個位元組時間 (TTFB) 資訊。
+ **最佳位置詳細資訊:**每隔 1 小時提供一次 Amazon CloudFront 的 TTFB、您目前的組態,以及效能最佳的 Amazon EC2 組態。
+ **整體流量建議:**針對每個受監控 AWS 位置中的所有流量,使用 30 天的加權平均值提供 TTFB。
+ **整體流量建議詳細資訊:**針對提議 AWS 的位置,使用每個最高位置的 30 天加權平均值提供 TTFB。
+ **路由建議:**提供從 IP 字首到 DNS 解析程式 AWS 位置的預測平均往返時間 (RTT)。RTT 的計算間隔為一小時,期間為一小時。
您可以透過特定條件進一步篩選資料。對於大多數查詢類型,除了路由建議之外,可以透過指定下列一或多個條件進行篩選:
+ location**AWS :**對於 AWS 位置,您可以指定 CloudFront 或 AWS 區域,例如 `us-east-2`。
+ **ASN:**指定 DNS 解析程式 (通常是 ISP) 的自治系統編號 (ASN),例如 4225。
+ **用戶端位置:**針對位置,請指定城市、都會區、行政區或國家/地區。
+ **建議 AWS 的位置:**指定 AWS 區域,例如 `us-east-2`或 AWS Local Zone。您可以將此篩選條件與整體流量建議詳細資訊查詢類型搭配使用。
+ **地理:**針對某些查詢指定 `geo`。這對於使用 `Top locations` 查詢類型的查詢為必要,但對於其他查詢類型則不允許。若要了解何時指定 `geo` 來篩選參數,請參閱[查詢範例](#IMQueryInterfaceExamples)章節。
對於路由建議查詢類型,可以指定下列一個或多個條件來進一步篩選資料:
+ **目前 AWS 位置:**指定 AWS 區域,例如 `us-east-2`。
+ **建議 AWS 的位置:**指定 AWS 區域,例如 `us-east-2`或 AWS Local Zone。
+ **IPv4 字首:**以標準格式指定 IPv4 字首,類似於 `192.0.2.0/24`。
+ **監視器 ARN:**指定特定監視器的 ARN。
+ **DNS 解析程式 IP:**指定 DNS 解析程式的 IP 位址。
+ **DNS 解析程式 ISP:**指定 DNS 解析程式的名稱 (通常是 ISP),例如 `Cloudflare`。
+ **DNS 解析程式 ASN:**指定 DNS 解析程式的自治系統編號 (ASN),例如 4225。
您可用來篩選資料的運算子為 `EQUALS` 和 `NOT_EQUALS`。如需篩選參數的詳細資訊,請參閱 [FilterParameter](https://docs.aws.amazon.com/internet-monitor/latest/api/API_FilterParameter.html) API 操作。
若要檢視查詢介面操作的詳細資訊,請參閱《Internet Monitor API 參考指南》中的下列 API 操作:
+ 若要建立和執行查詢,請參閱 [StartQuery](https://docs.aws.amazon.com/internet-monitor/latest/api/API_StartQuery.html) API 操作。
+ 若要停止查詢,請參閱 [StopQuery](https://docs.aws.amazon.com/internet-monitor/latest/api/API_StopQuery.html) API 操作。
+ 若要傳回已建立查詢的資料,請參閱 [GetQueryResults](https://docs.aws.amazon.com/internet-monitor/latest/api/API_GetQueryResults.html) API 操作。
+ 若要擷取查詢的狀態,請參閱 [GetQueryStatus](https://docs.aws.amazon.com/internet-monitor/latest/api/API_GetQueryStatus.html) API 操作。
## 查詢範例
若要建立您可用於從監視器日誌檔案擷取篩選資料集的查詢,請使用 [StartQuery](https://docs.aws.amazon.com/internet-monitor/latest/api/API_StartQuery.html) API 操作。您可指定查詢的查詢類型和篩選參數。然後,當您使用網路監視器查詢介面 API 操作,藉由查詢來取得查詢結果時,它會擷取您想要使用的資料子集。
為了說明查詢類型和篩選參數的運作方式,我們來看一些範例。
**範例 1**
假設您想要擷取特定國家/地區 (一個城市除外) 的所有監視器日誌資料。下列範例顯示了您可針對此案例,使用 `StartQuery` 操作建立查詢的篩選參數。
```
{
MonitorName: "TestMonitor"
StartTime: "2023-07-12T20:00:00Z"
EndTime: "2023-07-12T21:00:00Z"
QueryType: "MEASUREMENTS"
FilterParameters: [
{
Field: "country",
Operator: "EQUALS",
Values: ["Germany"]
},
{
Field: "city",
Operator: "NOT_EQUALS",
Values: ["Berlin"]
},
]
}
```
**範例 2**
另舉一例,假設您想要按都會區查看熱門位置。您可針對此案例使用下列範例查詢。
```
{
MonitorName: "TestMonitor"
StartTime: "2023-07-12T20:00:00Z"
EndTime: "2023-07-12T21:00:00Z"
QueryType: "TOP_LOCATIONS"
FilterParameters: [
{
Field: "geo",
Operator: "EQUALS",
Values: ["metro"]
},
]
}
```
**範例 3**
現在,假設您想要看到洛杉磯都會區的熱門城市網路組合。若要執行此操作,請指定 `geo=city`,然後將 `metro` 設定為洛杉磯。現在,該查詢會傳回洛杉磯都會區的熱門城市網路,而不是整個熱門的都會區 \$1 網路。
以下是您可使用的範例查詢:
```
{
MonitorName: "TestMonitor"
StartTime: "2023-07-12T20:00:00Z"
EndTime: "2023-07-12T21:00:00Z"
QueryType: "TOP_LOCATIONS"
FilterParameters: [
{
Field: "geo",
Operator: "EQUALS",
Values: ["city"]
},
{
Field: "metro",
Operator: "EQUALS",
Values: ["Los Angeles"]
}
]
}
```
**範例 4**
接下來,假設您想要擷取特定行政區 (例如,美國的一個州) 的 TTFB 資料。
以下是此案例的範例查詢:
```
{
MonitorName: "TestMonitor"
StartTime: "2023-07-12T20:00:00Z"
EndTime: "2023-07-12T21:00:00Z"
QueryType: "TOP_LOCATION_DETAILS"
FilterParameters: [
{
Field: "subdivision",
Operator: "EQUALS",
Values: ["California"]
},
]
}
```
**範例 5**
現在,假設針對應用程式具有用戶端流量的每個位置,您想要擷取其 TTFB。
以下是此案例的範例查詢:
```
{
MonitorName: "TestMonitor"
StartTime: "2023-07-12T20:00:00Z"
EndTime: "2023-07-12T21:00:00Z"
QueryType: "OVERALL_TRAFFIC_SUGGESTIONS"
FilterParameters: []
}
Results:
[us-east-1, 40, us-west-2, 30],
[us-east-1, 40, us-west-1, 35],
[us-east-1, 40, us-east-1, 44],
[us-east-1, 40, CloudFront, 22],
...
[us-east-2, 44, us-west-2, 30],
[us-east-2, 44, us-west-1, 35],
...
```
**範例 6**
假設您想要擷取特定新 的 TTFB 資料 AWS 區域。
以下是此案例的範例查詢:
```
{
MonitorName: "TestMonitor"
StartTime: "2023-07-12T20:00:00Z"
EndTime: "2023-07-12T21:00:00Z"
QueryType: "OVERALL_TRAFFIC_SUGGESTIONS_DETAILS"
FilterParameters: [
{
Field: "proposed_aws_location",
Operator: "EQUALS",
Values: ["us-west-2"]
},
]
}
Results:
[San Jose, San Jose-Santa Clara, California, United States, 7922, us-east-1, 40, 350, 350, us-west-2, 45]
[San Jose, San Jose-Santa Clara, California, United States, 7922, us-west-1, 35, 450, 450, us-west-2, 45]
```
**範例 7**
最後一個範例是擷取特定 DNS 解析程式的資料。
以下是此案例的範例查詢:
```
{
MonitorName: "TestMonitor"
StartTime: "2023-07-12T20:00:00Z"
EndTime: "2023-07-12T21:00:00Z"
QueryType: "ROUTING_SUGGESTIONS"
FilterParameters: [
{
Field: "proposed_aws_location",
Operator: "EQUALS",
Values: ["us-east-1"]
},
]
}
Results:
[162.158.180.245, 13335, Cloudflare, [5.4.0.0/14], us-east-2, 200.0, us-east-1, 160.0]
[162.158.180.243, 13313, Cloudflare, [5.4.0.0/10], us-east-2, 150.0, us-east-1, 125.0]
```
## 取得查詢結果
在定義查詢之後,您可執行另一項網路監視器 API 操作 [GetQueryResults](https://docs.aws.amazon.com/internet-monitor/latest/api/API_GetQueryResults.html),傳回查詢的結果集。執行 `GetQueryResults` 時,您可指定已定義查詢的查詢 ID,以及監視器的名稱。`GetQueryResults` 會將指定查詢的資料擷取至結果集。
執行查詢時,請確定查詢已完成執行,然後再使用 `GetQueryResults` 來查看結果。您可使用 [GetQueryStatus](https://docs.aws.amazon.com/internet-monitor/latest/api/API_GetQueryStatus.html) API 操作來判斷查詢是否已完成。當查詢的 `Status` 為 `SUCCEEDED` 時,您可繼續檢閱結果。
查詢完成後,您可使用下列資訊來協助您檢閱結果。您用於建立查詢的每個查詢類型都包括日誌檔案中不重複的資料集欄位,如下列清單所述:
**測量值**
`measurements` 查詢類型會傳回下列資料:
`timestamp, availability, performance, bytes_in, bytes_out, rtt_p50, rtt_p90, rtt_p95`
**熱門位置**
`top locations` 查詢類型會依位置對資料分組,並提供一段時間的平均資料。傳回的資料包含下列內容:
`aws_location, city, metro, subdivision, country, asn, availability, performance, bytes_in, bytes_out, current_fbl, best_ec2, best_ec2_region, best_cf_fbl`
請注意,只有在您針對 `geo` 欄位選擇該位置類型時,才會傳回 `city`、`metro` 和 `subdivision`。視乎您為 `geo` 指定的位置類型會傳回下列位置欄位:
```
city = city, metro, subdivision, country
metro = metro, subdivision, country
subdivision = subdivision, country
country = country
```
**熱門位置詳細資訊**
`top locations details` 查詢類型會傳回依小時分組的資料。查詢會傳回下列資料:
`timestamp, current_service, current_fbl, best_ec2_fbl, best_ec2_region, best_cf_fbl`
**整體流量建議**
`overall traffic suggestions` 查詢類型會傳回依小時分組的資料。查詢會傳回下列資料:
`current_aws_location, proposed_aws_location, average_fbl, traffic, optimized_traffic_excluding_cf, optimized_traffic_including_cf`
**整體流量建議詳細資訊**
`overall traffic suggestions details` 查詢類型會傳回依小時分組的資料。查詢會傳回下列資料:
`aws_location, city, metro, subdivision, country, asn, traffic, current_aws_location, fbl_data`
**路由建議**
`routing suggestions` 查詢類型會傳回依小時分組的資料。查詢會傳回下列資料:
`dns_resolver_ip, dns_resolver_asn, dns_resolver_isp, ipv4_prefixes, current_aws_location, current_latency, proposed_aws_location, proposed_latency`
當您執行 `GetQueryResults` API 操作時,網路監視器會在回應中傳回下列項目:
+ 包含查詢傳回結果的*資料字串陣列*。資訊會在與 `Fields` 欄位相符的陣列中傳回,也會透過 API 呼叫傳回。使用 `Fields` 欄位,您可剖析 `Data` 儲存器中的資訊,然後根據您的用途進一步篩選或排序。
+ *欄位陣列*會列出查詢傳回資料的欄位 (在 `Data` 欄位回應中)。陣列中的每個項目都是一個名稱-資料類型對,例如 `availability_score`-`float`。
## 疑難排解
如果您在使用查詢介面 API 操作時傳回錯誤,則請確認您具有使用 Internet Monitor 的必要許可。特別確認您具有下列許可:
```
internetmonitor:StartQuery
internetmonitor:GetQueryStatus
internetmonitor:GetQueryResults
internetmonitor:StopQuery
```
這些許可包含在建議的 AWS Identity and Access Management 政策中,以在 主控台中使用網路監視器儀表板。如需詳細資訊,請參閱[AWS 網路監視器的 受管政策](CloudWatch-IM-permissions.md)。
# 使用其他服務新增監視器 AWS
使用 Internet Monitor 新增監控的簡單方法是,當您在主控台中建立資源或者對資源使用監控功能時,選擇在新增受支援的資源時建立監視器。
具備新增 Internet Monitor 的整合式選項的資源包括:
+ VPC
+ Network Load Balancer
+ Amazon CloudFront 分佈
以下各節提供有關在服務主控台中整合 Internet Monitor 至受支援資源的詳細資訊。
**Topics**
+ [建立 NLB 時新增監視器](CloudWatch-IM-get-started.nlb-monitor.md)
+ [在建立 VPC 時新增監視器](CloudWatch-IM-get-started.vpc-monitor.md)
+ [從 CloudFront 主控台新增監視器](CloudWatch-IM-get-started.cf-monitor.md)
# 使用 Network Load Balancer 新增監視器
當您在 中建立 Network Load Balancer 時 AWS 管理主控台,您也可以選擇使用網路監視器中的監視器,設定進出 Network Load Balancer 的流量監控。可以將 Network Load Balancer 新增至現有監視器,也可以選擇為 Network Load Balancer 流量建立新的監視器。
藉由將 Internet Monitor 與 Network Load Balancer 搭配使用,您可以檢視並評估有關可用性、效能、傳輸的受監控位元組,以及應用程式用戶端位置和 ASN (通常是網際網路服務供應商) 往返時間的度量結果和指標。Internet Monitor 還會確定效能和可用性何時出現異常狀況,並在監視器中建立運作狀態事件,您可以選擇是否接收該事件的通知。若要進一步了解如何使用監視器來管理並改善用戶端使用應用程式的體驗,請參閱 [在 Internet Monitor 中使用監視器](IMWhyCreateMonitor.md)。
**重要**
若要建立監視器,或將 Network Load Balancer 新增至現有監視器,必須擁有適當的許可。如需詳細資訊,請參閱[適用於 Internet Monitor 的 Identity and Access Management](security-iam.md)。
## 將 Network Load Balancer 新增至現有監視器
在 中建立 Network Load Balancer 時 AWS 管理主控台,您可以選擇讓網路監視器將新的 Network Load Balancer 新增至現有的監視器。在**整合**下,選擇 Internet Monitor,然後選擇**新增監視器**。選擇**選取現有監視器**,然後輸入監視器名稱。或者,選擇**檢視監視器**前往 Internet Monitor 主控台,然後向下捲動以檢視可用的監視器清單。
將 Network Load Balancer 新增至監視器後,請等待幾分鐘,然後 Internet Monitor 主控台上就會開始顯示進出負載平衡器的流量指標。若要進一步了解**狀態**和**資料處理狀態**值,請參閱[Internet Monitor 中的監控詳細資訊 (「設定」頁面)監控詳細資訊](CloudWatch-IM-configure.md)。
您可以隨時編輯監視器、移除負載平衡器或者新增其他 Network Load Balancer 或其他資源。您也可以變更正在監控的流量百分比,或進行其他變更。如果您選擇從監視器中移除 Network Load Balancer,則 Internet Monitor 不會再監控從用戶端到該負載平衡器的流量。
若要進一步了解如何更新監視器,請參閱 [在 Internet Monitor 中編輯監視器](CloudWatch-IM-get-started.edit-monitor.md)。
## 為 Network Load Balancer 建立監視器
在**整合**下,選擇 Internet Monitor,然後選擇**監控資源流量**。選擇**建立新的監視器**,然後輸入監視器名稱。保留預設的監控流量百分比 (100%) 或指定自訂百分比,然後選擇**建立監視器**。
建立監視器後,請等待幾分鐘,然後 Internet Monitor 主控台中就會開始顯示往返 Network Load Balancer 的流量指標。如果您願意,也可以選擇您要為應用程式監控的用戶端流量百分比 (預設值為 100%)。
您可檢閱 [步驟 1:建立監視器](CloudWatch-IM-get-started.md#CloudWatch-IM-get-started.create) 中的資訊以進一步了解。
## 定價
使用 Internet Monitor 時,您只需依實際用量付費。網路監視器的定價有兩個元件:每個受監控的資源費用和每個城市網路費用。城市網路是指用戶端存取應用程式資源的位置,以及用戶端存取資源的網路 (ASN,例如網際網路服務供應商 [ISP])。
如需包含定價範例的詳細資訊,請參閱 [網路監視器的定價](CloudWatch-InternetMonitor.pricing.md)。
## 停止監控 Network Load Balancer
如果您想要停止使用 Internet Monitor 監控 Network Load Balancer 資源,請在 Internet Monitor 主控台中執行下列動作:
**從監視器中移除標籤**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 選擇您的監視器,然後選擇**動作**選單。
1. 選擇**更新監視器**。
1. 在**新增資源**下,選擇**移除資源**。
1. 選擇要移除的 Network Load Balancer,然後選擇**移除**。
1. 選擇**更新**。
# 使用 Amazon VPC 新增 Internet Monitor 監視器
當您在 中建立 Amazon Virtual Private Cloud VPC 時 AWS 管理主控台,您可以選擇也在網路監視器中設定監控。您可以將 VPC 新增至現有的監視器,或者您可以選擇在 Amazon VPC 主控台中為 VPC 建立新的監視器。
藉由將網路監視器與 VPC 搭配使用,您可以檢視並評估有關可用性、效能、傳輸的受監控位元組,以及應用程式用戶端位置和 ASN (通常是網際網路服務供應商) 往返時間的度量和指標。網路監視器還會確定效能和可用性何時出現異常狀況,並在監視器中建立運作狀態事件,您可以選擇是否收到該事件的通知。若要進一步了解如何使用監視器來管理並改善用戶端使用應用程式的體驗,請參閱 [在 Internet Monitor 中使用監視器](IMWhyCreateMonitor.md)。
**重要**
若要建立監視器或將 VPC 新增至現有監視器,必須擁有適當的許可。如需詳細資訊,請參閱[適用於 Internet Monitor 的 Identity and Access Management](security-iam.md)。
## 將 VPC 新增至現有監視器
當您在 AWS 管理主控台中建立 VPC 時,可以選擇讓 Internet Monitor 為您新增 VPC 至現有監視器。新增 VPC 後,請等待幾分鐘,然後 VPC 的指標即會開始顯示在 Internet Monitor 主控台上。
您可以隨時編輯監視器,以移除 VPC 或者新增其他 VPC 或其他資源。您也可以變更正在監控的流量百分比,或進行其他變更。如果您選擇從監視器中移除 VPC,則網路監視器不會再監控從用戶端到該 VPC 的流量。
若要進一步了解如何更新監視器,請參閱 [在 Internet Monitor 中編輯監視器](CloudWatch-IM-get-started.edit-monitor.md)。
## 為 VPC 建立監視器
如果您選擇為 VPC 建立監視器,則**建立監視器**精靈會引導您完成這些步驟。建立監視器時,可以將 VPC 新增為受監控的資源。如果您願意,也可以選擇您要為應用程式監控的用戶端流量百分比 (預設值為 100%)。
您可檢閱 [步驟 1:建立監視器](CloudWatch-IM-get-started.md#CloudWatch-IM-get-started.create) 中的資訊以進一步了解。
## 定價
使用 Internet Monitor 時,您只需依實際用量付費。網路監視器的定價有兩個元件:每個受監控的資源費用和每個城市網路費用。城市網路是指用戶端存取應用程式資源的位置,以及用戶端存取資源的網路 (ASN,例如網際網路服務供應商 [ISP])。
如需包含定價範例的詳細資訊,請參閱 [網路監視器的定價](CloudWatch-InternetMonitor.pricing.md)
## 停止監控 VPC
如果您想要停止使用 Internet Monitor 監控 VPC 資源,請在 Internet Monitor 主控台中執行下列動作:
**從監視器中移除標籤**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 選擇您的監視器,然後選擇**動作**選單。
1. 選擇**更新監視器**。
1. 在**新增資源**下,選擇**移除資源**。
1. 選擇要移除的 VPC,然後選擇**移除**。
1. 選擇**更新**。
# 使用 CloudFront 新增 Internet Monitor 監視器
在 Amazon CloudFront 主控台針對分發內容的指標儀表板上,您可以在 Internet Monitor 中設定針對分發內容的額外監控機制。您可以將發佈內容新增至現有監視器,也可以針對發佈內容建立新的監視器。
藉由將 Internet Monitor 與 CloudFront 分發內容搭配使用,您可以檢視並評估有關可用性、效能、傳輸的受監控位元組,以及應用程式用戶端位置和 ASN (通常是網際網路服務供應商) 往返時間的度量結果和指標。網路監視器還會確定效能和可用性何時出現異常狀況,並在監視器中建立運作狀態事件,您可以選擇是否收到該事件的通知。若要進一步了解如何使用監視器來管理並改善用戶端使用應用程式的體驗,請參閱 [在 Internet Monitor 中使用監視器](IMWhyCreateMonitor.md)。
**重要**
若要建立監視器或將分發內容新增至現有監視器,必須擁有適當的許可。如需詳細資訊,請參閱[適用於 Internet Monitor 的 Identity and Access Management](security-iam.md)。
## 將發佈內容新增至現有監視器
您可以選擇讓 Internet Monitor 直接從 AWS 管理主控台中的 CloudFront 指標儀表板將分佈內容新增至現有監視器。新增分發內容後,請等待幾分鐘,然後分發內容的指標即會開始顯示在 Internet Monitor 主控台上。
您可以隨時編輯監視器,以移除分發內容,或者新增其他分發內容或其他資源。您也可以變更正在監控的流量百分比,或進行其他變更。如果您選擇從監視器中移除分發內容,則 Internet Monitor 不會再監控從用戶端到該分發內容的流量。
若要進一步了解如何更新監視器,請參閱 [在 Internet Monitor 中編輯監視器](CloudWatch-IM-get-started.edit-monitor.md)。
## 針對分發內容建立監視器
如果您選擇為分發內容建立監視器,則**建立監視器**精靈會引導您完成這些步驟。建立監視器時,您可以將分發內容新增為受監控的資源。如果您願意,也可以選擇您要為應用程式監控的用戶端流量百分比 (預設值為 100%)。
您可檢閱 [步驟 1:建立監視器](CloudWatch-IM-get-started.md#CloudWatch-IM-get-started.create) 中的資訊以進一步了解。
## 定價
使用 Internet Monitor 時,您只需依實際用量付費。網路監視器的定價有兩個元件:每個受監控的資源費用和每個城市網路費用。城市網路是指用戶端存取應用程式資源的位置,以及用戶端存取資源的網路 (ASN,例如網際網路服務供應商 [ISP])。
如需包含定價範例的詳細資訊,請參閱 [網路監視器的定價](CloudWatch-InternetMonitor.pricing.md)。
## 停止監控分發內容
如果您想要停止使用 Internet Monitor 監控分發內容資源,請執行下列動作:
**從監視器中移除標籤**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇 **Internet Monitor**。
1. 選擇您的監視器,然後選擇**動作**選單。
1. 選擇**更新監視器**。
1. 在**新增資源**下,選擇**移除資源**。
1. 選擇要移除的分發內容,然後選擇**移除**。
1. 選擇**更新**。
# 使用 Internet Monitor 建立警示
您可以根據 Internet Monitor 指標建立 Amazon CloudWatch 警示,如同根據其他 Amazon CloudWatch 指標建立警示一樣。
例如,您可以根據網路監視器指標 `PerformanceScore` 建立警示,並將其設定為在指標低於您選擇的值時傳送通知。您可以遵循與其他 CloudWatch 指標相同的準則,為網路監視器指標設定警示。
您可以選擇為之建立警示的網路監視器指標範例如下:
+ **PerformanceScore**
+ **AvailabilityScore**
+ **RoundtripTime**
若要查看網路監視器可用的所有指標,請參閱 [在 CloudWatch Metrics 中檢視 Internet Monitor 指標或設定警示](CloudWatch-IM-view-cw-tools-metrics-dashboard.md)。
下列程序提供的範例展示了透過導覽至 CloudWatch 儀表板中的指標來設定 **PerformanceScore** 警示。然後,您可以按照標準 CloudWatch 步驟根據自己選擇的閾值建立警示,並設定通知或選擇其他選項。
**在 CloudWatch 指標中建立 **PerformanceScore** 的警示**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 選擇**指標**,然後選擇**所有指標**。
1. 透過選擇 `AWS/InternetMonitor`,針對網路監視器進行篩選。
1. 選擇 **MeasurementSource, MonitorName**。
1. 在清單中,選取 **PerformanceScore**。
1. 在**圖形化指標**標籤的**動作**下,選擇鈴鐺圖示建立根據靜態閾值的警示。
現在,請按照標準 CloudWatch 步驟選擇警示選項。例如,您可以選擇在 **PerformanceScore** 低於特定閾值時收到 Amazon SNS 訊息通知。另外,您也可以將警示新增至儀表板。
請謹記以下幾點:
+ 網路監視器指標通常會在 20 分鐘內計算並發布。
+ 當您根據網路監視器指標建立警示時,請務必在設定警示回顧期間考慮發布之前的短暫延遲。建議您設定**評估期**的回顧期至少為 25 分鐘。
若要進一步了解如何將 CloudWatch 警示與 Internet Monitor 搭配使用,請參閱下列部落格文章:[Using Internet Monitor for enhanced internet observability](https://aws.amazon.com/blogs/networking-and-content-delivery/using-amazon-cloudwatch-internet-monitor-for-enhanced-internet-observability)。
如需有關建立 CloudWatch 警示時相關選項的詳細資訊,請參閱[建立以靜態閾值為基礎的 CloudWatch 警示](ConsoleAlarms.md)。
# 搭配使用 Internet Monitor 和 Amazon EventBridge
Internet Monitor 針對網路問題所建立的整體 (全域) 運作狀態事件會透過 Amazon EventBridge 發布,以便您能針對因全域運作狀態事件導致應用程式最終使用者體驗下降的情況,發送相關通知。
**注意**
本地運作狀態事件不會透過 EventBridge 發布。
若要搭配使用 EventBridge 和網路監視器運作狀態事件,請遵循此處指引。
**在 EventBridge 中設定網路監視器的規則**
1. 在 AWS 管理主控台的 EventBridge 中,選擇**規則**,然後輸入名稱和描述。在 **Default** (預設) 事件匯流排上建立規則。
1. 在步驟 2 中,針對事件來源部分選取**其他**,然後在**事件模式**下,比對下列來源。
```
{
"source": ["aws.internetmonitor"]
}
```
1. 在步驟 3 中,針對目標部分選取 **AWS 服務** 和 **CloudWatch Logs 群組**,然後選取現有的日誌群組或建立新的日誌群組。
1. 新增任何所需標籤,然後建立規則。此操作會將 EventBridge 的事件填入您選取的 CloudWatch Logs 群組中。
如需有關 EventBridge 規則如何與事件模式搭配使用的詳細資訊,請參閱《Amazon EventBridge 使用者指南》中的 [Amazon EventBridge 事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)。
# 疑難排解 CloudWatch 日誌和指標存取錯誤
若要支援某些功能,Internet Monitor 必須與特定的 Amazon CloudWatch 資源 (包括日誌和指標) 互動。如果 Internet Monitor 無法存取它需要存取的 CloudWatch 資源,則 Internet Monitor 會為該監視器設定 `FAULT_ACCESS_CLOUDWATCH` 狀態碼。
監視器可能會出現 `FAULT_ACCESS_CLOUDWATCH` 狀態有數個原因。下列各節列示出現這些錯誤的可能原因,以及建議的疑難排解步驟。
## Internet Monitor 無法存取您帳戶中的 CloudWatch 日誌
Internet Monitor 會發布關於您的受監控應用程式流量之診斷日誌。它會將這些日誌發布到以下位置的 CloudWatch Logs 中的日誌群組:`/aws/internet-monitor/monitor_name/[byCity|byMetro|bySubdivision|byCountry]`Internet Monitor 無法存取這些日誌群組。
**錯誤狀態和潛在解決方案:**
+ **PutLogEvents 限流錯誤:**當 Internet Monitor 服務嘗試將監視器的日誌發布到 CloudWatch 時,可能已被限流。檢閱帳戶的限流限制,並在必要時請求提高限制。
+ **找不到日誌群組:**停用,然後重新啟用您的監視器。啟用監視器會重新啟動日誌群組建立,這可能會修正問題。
+ **PutLogEvents 存取遭拒錯誤:**請聯絡 AWS 支援以取得協助。
+ **PutLogEvents 未知或一般錯誤:**請聯絡 AWS Support 尋求協助。
## Internet Monitor 無法存取您帳戶中的 CloudWatch 指標
Internet Monitor 提供有關監視器所追蹤之應用程式流量的特定 CloudWatch 指標。Internet Monitor 嘗試將這些指標傳遞給 CloudWatch 時發生錯誤。
**錯誤狀態和潛在解決方案:**
+ **PutMetricData 限流錯誤:**當 Internet Monitor 服務嘗試將監視器的指標發布到 CloudWatch 時,可能已被限流。檢閱帳戶的限流限制,並在必要時請求提高限制。
+ **PutMetricData 存取遭拒錯誤:**請聯絡 AWS Support 尋求協助。
+ **PutMetricData 未知或一般錯誤:**請聯絡 AWS Support 尋求協助。
# Internet Monitor 的資料保護和資料隱私權
AWS [ 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於網路監視器中的資料保護和資料隱私權。如此模型所述, AWS 負責保護執行所有 AWS 雲端的 全球基礎設施。您負責維護在此基礎設施上託管內容的控制權。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需歐洲資料保護的相關資訊,請參閱 AWS 安全部落格上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。如需有關遵守 GDPR 規定的詳細資源,請參閱[一般資料保護規範 (GDPR) 中心](https://aws.amazon.com/compliance/gdpr-center/)。
強烈建議您,絕對不要將最終使用者帳戶號碼、電子郵件地址或其他個人資訊等敏感的識別資訊放入自由格式欄位中。您在 Internet Monitor 或其他服務中輸入的任何資料,都可能包含在診斷日誌中。
# 適用於 Internet Monitor 的 Identity and Access Management
AWS Identity and Access Management (IAM) 是一種 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可以控制*完成身分驗證* (已登入) 和*獲得授權* (具有許可) 的對象,以使用網路監視器資源。IAM 是您可以免費使用 AWS 服務 的 。
**重要**
**2024 年 7 月 8 日 Internet Monitor 資源變更**
如果您在 2024 年 7 月 8 日之前建立包含 Internet Monitor 資源的 IAM 政策,請注意下列 Internet Monitor 資源和資源類型的變更:
**GetHealthEvent** 動作的資源層級許可目前僅支援 **Monitor** 資源類型。**HealthEvent** 資源不支援許可。
若要查看您可以在政策中指定的動作、資源和條件金鑰的詳細資訊,以管理對網路監視器中 AWS 資源的存取,請參閱[網路監視器的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchinternetmonitor.html)。
**Topics**
+ [將 IAM 政策升級至 IPv6](security_iam_cwim_security-ipv6-upgrade.md)
+ [網路監視器搭配使用 IAM 的方式](security_iam_service-with-iam-cwim.md)
+ [預防混淆代理人](security-iam-cwim-confused-deputy.md)
+ [AWS 受管政策](CloudWatch-IM-permissions.md)
+ [服務連結角色](using-service-linked-roles-CWIM.md)
# 將 IAM 政策升級至 IPv6
Internet Monitor 客戶使用 IAM 政策來設定允許的 IP 位址範圍,以防止任何位於設定範圍外的 IP 位址能夠存取 Internet Monitor API。
您存取 Internet Monitor API 的 *Internetmonitor.*region*.api.aws* 端點正在升級為支援雙堆疊 (IPv4 和 IPv6)。
未更新以處理 IPv6 位址的 IP 位址篩選政策可能導致用戶端無法存取 Internet Monitor API。
## 受 IPv6 升級影響的客戶
使用雙堆疊搭配包含 *aws:sourceIp* 篩選條件的政策的客戶會受到此升級的影響。雙堆疊表示網路同時支援 IPv4 和 IPv6。
如果您使用雙堆疊,必須更新目前使用 IPv4 格式位址設定的 IAM 原則,使之包含 IPv6 格式位址。
下方文字為根據您的情境建議採取的行動摘要。若要確認您的 SDK 使用的端點,請參閱[識別您的程式碼使用的 Internet Monitor 端點](#IMConfirmSDKEndpoint)。
| Endpoint | 搭配 `aws:sourceIp` 條件使用 IAM 政策? | 建議的動作 |
| --- | --- | --- |
| `internetmonitor.region.amazonaws.com` (非雙堆疊) | 是 | 若要限制僅允許存取 IPv4,無需採取進一步行動。或者,如果您預期未來需要 IPv6 支援,可以採取動作確保與 IPv4 和 IPv6 兩者的相容性。 為了確保未來的相容性,請在 2024 年 11 月 1 日當天或之後更新您的 SDK,然後藉由設定 `useDualstackEndpoint=true`,更新您的應用程式以使用雙堆疊端點。如需詳細資訊,請參閱[雙堆疊和 FIPS 端點](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)。 如果您選擇同時使用 IPv4 和 IPv6,還必須在 IAM 政策中更新 IP 位址篩選條件 (`aws:sourceIp`),使之包含 IPv6 位址。 |
| `internetmonitor.region.amazonaws.com` (非雙堆疊) | 否 | 若要限制僅允許存取 IPv4,無需採取進一步行動。或者,如果您預期未來需要 IPv6 支援,可以採取動作確保與 IPv4 和 IPv6 兩者的相容性。 為了確保未來的相容性,請在 2024 年 11 月 1 日當天或之後更新您的 SDK,然後藉由設定 `useDualstackEndpoint=true`,更新您的應用程式以使用雙堆疊端點。如需詳細資訊,請參閱[雙堆疊和 FIPS 端點](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)。 |
| `internetmonitor.region.api.aws` | 是 | 為了確保未來與 IPv4 和 IPv6 兩者的相容性,請更新您的 SDK,然後藉由設定 `useDualstackEndpoint=true`,更新您的應用程式以使用雙堆疊端點。如需詳細資訊,請參閱[雙堆疊和 FIPS 端點](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)。 當您進行變更以同時使用 IPv4 和 IPv6 時,還必須在 IAM 政策中更新 IP 位址篩選條件 (`aws:sourceIp`),使之包含 IPv6 位址。 如果只想要限制對 IPv4 的存取,請設定 `useDualstackEndpoint=false`。如需詳細資訊,請參閱[雙堆疊和 FIPS 端點](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)。 |
| `internetmonitor.region.api.aws` | 否 | 為了確保未來與 IPv4 和 IPv6 兩者的相容性,請更新您的 SDK,然後藉由設定 `useDualstackEndpoint=true`,更新您的應用程式以使用雙堆疊端點。如需詳細資訊,請參閱[雙堆疊和 FIPS 端點](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)。 如果只想要限制對 IPv4 的存取,請設定 `useDualstackEndpoint=false`。如需詳細資訊,請參閱[雙堆疊和 FIPS 端點](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)。 |
如需協助解決存取問題,請聯絡 [支援](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create)。
## 什麼是 IPv6?
IPv6 是新一代 IP 標準,旨在最終取代 IPv4。IPv4 使用 32 位元定址機制,可支援 43 億台裝置。IPv6 改為使用 128 位元定址,可支援大約 340 萬兆兆兆 (即 2 的 128 次方) 台裝置。
以下是 IPv6 位址的範例:
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
IPv6 提供更大的位址空間、改善路由效率,以及更好的新網際網路服務支援。透過更新至雙堆疊並支援 IPv6,Internet Monitor 可助力提升效能和可擴展性。請依循本節中的步驟來更新您的組態,並利用雙堆疊支援。
## 識別程式碼使用的 Internet Monitor 端點
如果您使用 Internet Monitor SDK,請先驗證程式碼使用的是哪個端點:IPv4 端點,還是雙堆疊 (IPv4 和 IPv6) 端點。如果您並非搭配 SDK 使用 Internet Monitor,可以略過本節。
您可以執行下列程式碼範例來判斷正在使用的 Internet Monitor 端點。在此範例中,我們在美國東部 (維吉尼亞北部) 區域使用 Internet Monitor SDK for Go。
```
package main
import (
"fmt"
"log"
"github.com/aws/aws-sdk-go/aws"
"github.com/aws/aws-sdk-go/aws/session"
"github.com/aws/aws-sdk-go/service/internetmonitor"
)
func main() {
// Create a new session with the default configuration
sess := session.Must(session.NewSession(&aws.Config{
Region: aws.String("us-east-1"),
}))
// Create a new Internet Monitor client
internetMonitorClient := internetmonitor.New(sess)
// Get the endpoint URL
endpoint := internetMonitorClient.Endpoint
fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint)
}
```
當您執行此程式碼時,會傳回 Internet Monitor 端點。如果看到下列回應,表示您使用的 Internet Monitor 網域僅支援 IPv4。您可以透過端點 URL 的格式包含 `amazonaws.com` 來判斷。
```
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com
```
如果您看到的是以下回應,表示您正在使用升級為支援雙堆疊 (IPv4 和 IPv6) 的網域。此時您可以透過端點 URL 包含 `api.aws` 來判斷。不過,請注意,在升級完成之前,此端點僅支援 IPv4。
```
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws
```
## 更新 IPv6 的 IAM 政策
IAM 政策使用 `aws:SourceIp` 篩選條件來設定允許的 IP 位址範圍。
雙堆疊同時支援 IPv4 和 IPv6 流量。如果您的網路使用雙堆疊,您必須確保用於 IP 位址篩選的任何 IAM 政策都已更新為包含 IPv6 位址範圍。
例如,此政策允許 `Condition` 元素中識別的 IPv4 位址範圍 `192.0.2.0.*` 和 `203.0.113.0.*`。
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
若要更新此政策,我們將變更政策的 `Condition` 元素以新增 IPv6 位址範圍,如下列範例中所示:
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
**重要**
請勿移除政策中的現有 IPv4 位址。它們是向後相容所必需的。
如需利用 IAM 管理存取許可的詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》中的[受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。**
## 更新政策後測試網路
更新 IAM 政策以納入對 IPv6 位址的支援後,建議您測試網路能否存取 IPv6 端點。本節提供數個範例,視您使用的作業系統而定。
### 使用 Linux/Unix 或 Mac OS X 測試網路
如果您使用 Linux/Unix 或 Mac OS X,可以使用下列 curl 命令測試網路能否存取 IPv6 端點。
`curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/`
如果您透過 IPv6 連線,連線的 IP 位址顯示類似下方的資訊:
```
* About to connect() to aws.amazon.com port 443 (#0)
* Trying IPv6 address... connected
* Connected to aws.amazon.com (IPv6 address) port 443 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: aws.amazon.com
```
### 使用 Windows 測試網路
如果您使用 Windows,可以使用 `ping` 命令測試網路能否透過 IPv6 或 IPv4 存取雙堆疊端點,如下所示:
`ping aws.amazon.com`
如果 `ping` 透過 IPv6 存取端點,命令會傳回 IPv6 位址。
## 驗證用戶端能否支援 IPv6
我們建議您在切換到使用 *Internetmonitor.\$1region\$1.api.aws* 端點之前,先驗證您的用戶端是否可以存取已啟用 IPv6-enabled的其他 AWS 服務 端點。下列步驟說明如何使用現有的 IPv6 端點來驗證這一點。
此範例使用 Linux 和 curl 版本 8.6.0,並使用 [Amazon Athena 服務](https://docs.aws.amazon.com/general/latest/gr/athena.html) (具有位於 *api.aws* 網域且已啟用 IPv6 的端點)。
**注意**
將 切換 AWS 區域 到用戶端所在的相同區域。在此範例中,我們使用美國東部 (維吉尼亞北部) – `us-east-1` 端點。
使用下列範例來驗證您的用戶端是否可以存取IPv6-enabled AWS 的端點。
1. 使用下列命令驗證 Athena 端點是否使用 IPv6 位址解析。
```
dig +short AAAA athena.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
```
1. 現在,使用以下命令判斷您的用戶端網路能否使用 IPv6 連線:
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
response code: 404
```
如果已識別遠端 IP 位址,**且**回應碼不是 `0`,說明系統已成功使用 IPv6 與端點建立網路連線。
如果遠端 IP 位址為空白或回應碼為 `0`,則用戶端網路或端點的網路路徑僅支援 IPv4。可以使用下列 curl 命令來驗證這一點:
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 3.210.103.49
response code: 404
```
如果您執行此命令,已識別遠端 IP 位址,**且**回應碼不是 `0`,說明系統已成功使用 IPv4 與端點建立網路連線。
# 網路監視器搭配使用 IAM 的方式
在您使用 IAM 管理網路監視器的存取權之前,請了解可搭配使用網路監視器的 IAM 功能。
若要查看顯示 AWS 服務如何與大多數 IAM 功能搭配使用之類似高階檢視的資料表,請參閱《*IAM 使用者指南*》中的與 [AWS IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**您可以搭配 Internet Monitor 使用的 IAM 功能**
| IAM 功能 | 網路監視器支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-id-based-policies) | 是 |
| [資源型政策](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [政策動作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [政策資源](#security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [政策條件索引鍵 (服務特定)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACL](#security_iam_service-with-iam-acls) | 否 |
| [ABAC(政策中的標籤)](#security_iam_service-with-iam-tags) | 部分 |
| [臨時憑證](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [主體許可](#security_iam_service-with-iam-principal-permissions) | 是 |
| [服務角色](#security_iam_service-with-iam-roles-service) | 否 |
| [服務連結角色](#security_iam_service-with-iam-roles-service-linked) | 是 |
## 以身分為基礎的網路監視器政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
## 網路監視器內以資源為基礎的政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM 角色信任政策和 Amazon S3 儲存貯體政策。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。
## 網路監視器的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要檢視 Network Flow Monitor 動作清單,請參閱《服務授權參考》**中的 [Internet Monitor 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchinternetmonitor.html#amazoncloudwatchinternetmonitor-actions-as-permissions)。
網路監視器中的政策動作會在動作之前使用下列字首:
```
internetmonitor
```
如需在單一陳述式中指定多個動作,請用逗號分隔。
```
"Action": [
"internetmonitor:action1",
"internetmonitor:action2"
]
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `Describe` 文字的所有動作,請包含以下動作:
```
"Action": "internetmonitor:Describe*"
```
## 網路監視器的政策資源
**支援政策資源:**是
在《服務授權參考》**中,您可以看到下列與網路監視器相關的資訊:
+ 若要檢視 Internet Monitor 資源類型及其 ARN 的清單,請參閱 [Internet Monitor 定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchinternetmonitor.html#amazoncloudwatchinternetmonitor-resources-for-iam-policies)。
+ 若要了解您可以使用每個資源之 ARN 指定的動作,請參閱 [Internet Monitor 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchinternetmonitor.html#amazoncloudwatchinternetmonitor-actions-as-permissions)。
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
## 網路監視器的政策條件金鑰
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要檢視 Internet Monitor 條件索引鍵清單,請參閱《服務授權參考》**中的 [Internet Monitor 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchinternetmonitor.html#amazoncloudwatchinternetmonitor-policy-keys)。若要了解您可以透過哪些動作和資源使用條件索引鍵,請參閱 [Internet Monitor 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchinternetmonitor.html#amazoncloudwatchinternetmonitor-actions-as-permissions)。
## 網路監視器中的 ACL
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## ABAC 搭配網路監視器
**支援 ABAC (政策中的標籤):**部分
網路監視器針對政策中的標籤提供*部分*支援。此程式支援標記一個資源、多個監視器。
若要搭配網路監視器使用標籤,請使用 AWS Command Line Interface 或 AWS SDK。網路監視器的標記不支援 AWS 管理主控台。
若要深入了解一般在政策中使用標籤的方式,請檢閱下列資訊。
屬性型存取控制 (ABAC) 是一種授權策略,依據稱為標籤的屬性來定義許可。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 搭配網路監視器使用暫時憑證
**支援臨時憑證:**是
臨時登入資料提供 AWS 資源的短期存取權,當您使用聯合或切換角色時會自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 網路監視器的跨服務主體許可
**支援轉寄存取工作階段 (FAS):**是
轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務,結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## 網路監視器的服務角色
**支援服務角色:**否
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## 網路監視器的服務連結角色
**支援服務連結角色:**是
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需網路監視器服務連結角色的詳細資訊,請參閱 [網路監視器的服務連結角色](using-service-linked-roles-CWIM.md)。
如需在 中建立或管理服務連結角色的詳細資訊 AWS,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在資料表中尋找服務,其中包含**服務連結角色**欄中的 `Yes`。選擇**是**連結,以檢視該服務的服務連結角色文件。
# 預防跨服務混淆代理人
混淆代理人是由不同實體強制執行動作的實體 (服務或帳戶)。這種類型的冒充可能發生跨帳戶和跨服務。
為了防止混淆代理人, AWS 提供工具,協助您使用可存取您 中資源的服務主體來保護所有 服務的資料 AWS 帳戶。本節重點介紹 Internet Monitor 特定跨服務預防混淆代理人;但是,您可以在《IAM 使用者指南》的[混淆代理人問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)一節,了解此主題的更多資訊。**
若要限制 IAM 授予網路監視器存取資源的許可,建議您在資源政策[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)中使用全域條件內容金鑰 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 。
如果您同時使用這兩個全域條件內容索引鍵,且`aws:SourceArn`值包含 AWS 帳戶 ID,則 AWS 帳戶 中的`aws:SourceAccount`值和 `aws:SourceArn`必須在相同政策陳述式中使用相同的 AWS 帳戶 ID。
對於 Internet Monitor,您可以指定 `aws:SourceAccount` 的帳戶 ID,以及 `aws:SourceArn` 的監視器 ARN。對於跨服務存取,您也可以使用適用於 `aws:SourceArn` 的監視器 ARN。
**注意**
範混淆代理人問題的最有效方法是使用 `aws:SourceArn` 全域條件內容金鑰,以及資源的**完整 ARN**。如果不知道資源的完整 ARN,或者如果您指定多個資源,請使用 `aws:SourceArn` 全域條件內容金鑰,同時使用 ARN 未知部分的萬用字元 (`*`) 。例如 `arn:aws:internetmonitor:us-east-1:111122223333:*`。
以下是承擔角色政策的範例,其中顯示如何預防混淆代理人問題。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "internetmonitor.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/confused-deputy-monitor"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
}
```
------
# AWS 網路監視器的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可供現有 服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:CloudWatchInternetMonitorServiceRolePolicy
此政策會連結到名為 **AWSServiceRoleForInternetMonitor** 的服務連結角色,以允許 Internet Monitor 存取您帳戶中的資源,例如 Amazon Virtual Private Cloud 資源或 Network Load Balancer,以便您在建立監視器時可以選取它們。如需詳細資訊,請參閱[網路監視器的服務連結角色](using-service-linked-roles-CWIM.md)。
## AWS 受管政策:CloudWatchInternetMonitorReadOnlyAccess
您可以將 `CloudWatchInternetMonitorReadOnlyAccess` 連接到 IAM 實體。此政策授與透過 Internet Monitor 對監視器和資料進行唯讀操作的存取權限。將其連結至僅需唯讀操作存取權限的 IAM 使用者及其他主體。
具體而言,此政策的範圍包括 `internetmonitor:`,使用者可以使用唯讀 Internet Monitor 動作和資源。其中包含一些 `cloudwatch:` 政策,與擷取 CloudWatch 指標資訊相關。其中包含一些 `logs:` 政策,與管理日誌查詢相關。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchInternetMonitorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchInternetMonitorReadOnlyAccess.html)。
## AWS 受管政策:CloudWatchInternetMonitorFullAccess
您可以將 `CloudWatchInternetMonitorFullAccess` 連接到 IAM 實體。此政策授與對 [Internet Monitor 動作](https://docs.aws.amazon.com/internet-monitor/latest/api/API_Operations.html)的完整存取權,以便使用 Internet Monitor。將其連結到需要 Internet Monitor 動作完整存取權的 IAM 使用者和其他主體。
具體而言,此政策的範圍包括 `internetmonitor:`,使用者可以使用 Internet Monitor 動作和資源。其中包含一些 `cloudwatch:` 政策,與擷取 CloudWatch 警示和指標資訊相關。其中包含一些 `logs:` 政策,與管理日誌查詢相關。其中包含一些 `ec2:`、`cloudfront:`、`elasticloadbalancing:` 和 `workspaces:` 政策,用於處理您新增至監視器的資源,以便 Internet Monitor 能夠為您的應用程式建立流量設定檔。其中包含一些 `iam:` 政策,與管理 IAM 角色相關。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》中的 [CloudWatchInternetMonitorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchInternetMonitorFullAccess.html)。**
## 網路監視器對 AWS 受管政策的更新
若要檢視自此服務開始追蹤這些變更以來,網路監視器受 AWS 管政策更新的詳細資訊,請參閱 [CloudWatch AWS 受管政策的更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需 CloudWatch 受管政策變更的自動提醒,請訂閱 CloudWatch [文件歷史紀錄](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)頁面上的 RSS 摘要。
# 網路監視器的服務連結角色
網路監視器使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至網路監視器的一種特殊 IAM 角色類型。網路監視器會預先定義服務連結角色,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
網路監視器會定義此服務連結角色的許可,除非另外定義,否則只有網路監視器才能擔任此角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除與角色相關的資源,才能刪除角色。此限制可保護您的網路監視器資源,避免您不小心移除資源的存取許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 網路監視器的服務連結角色許可
網路監視器會使用命名為 **AWSServiceRoleForInternetMonitor** 的服務連結角色。此角色可讓網路監視器存取帳戶中的資源 (例如 Amazon Virtual Private Cloud 資源、Amazon CloudFront 分佈、Amazon WorkSpaces 目錄及 Network Load Balancer),以便您在建立監視器時選取。
此服務連結角色使用受管政策 `CloudWatchInternetMonitorServiceRolePolicy`。
**AWSServiceRoleForInternetMonitor** 服務連結角色會信任下列服務來擔任此角色:
+ `internetmonitor.amazonaws.com`
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchInternetMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchInternetMonitorServiceRolePolicy.html)。
## 建立網路監視器的服務連結角色
您不需要為網路監視器手動建立服務連結角色。您第一次建立監控時,網路監視器就會為您建立 **AWSServiceRoleForInternetMonitor**。
如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。
## 編輯網路監視器的服務連結角色
網路監視器在帳戶中建立服務連接角色後,您就無法再變更角色名稱,因為有各種實體可能會參考該服務連結角色。您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除網路監視器的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除服務連結角色的資源。
在網路監視器中從監視器中刪除資源並刪除監視器後,您可以刪除服務連結角色 **AWSServiceRoleForInternetMonitor**。
**注意**
若網路監視器服務正在使用您試圖刪除的角色,刪除可能會失敗。若發生此情況,請等待數分鐘後並再次嘗試。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 **AWSServiceRoleForInternetMonitor** 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 網路監視器服務連接角色更新
如需網路監視器服務連結角色的 AWS 受管政策 **AWSServiceRoleForInternetMonitor** 的更新,請參閱 [CloudWatch AWS 受管政策的更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需 CloudWatch 受管政策變更的自動提醒,請訂閱 CloudWatch [文件歷史紀錄](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)頁面上的 RSS 摘要。
# 使用網絡合成監視器
網絡合成監視器可讓您了解將 AWS 託管的應用程式連線至內部部署目的地的網路效能,並可在幾分鐘內識別任何網路效能降低的原因。Network Synthetic Monitor 完全由 管理 AWS,且不需要受監控資源上的個別代理程式。網絡合成監視器可用於視覺化呈現混合網路連線的封包遺失率和延遲,並設定警示和閾值。然後,根據此資訊,您可以採取行動來改善最終使用者的體驗。
網絡合成監視器適用於想要即時深入了解網路效能的網路營運商和應用程式開發人員。
## 網絡合成監視器主要功能
+ 網絡合成監視器可透過持續的即時封包遺失率和延遲指標來測試不斷變化的混合網路環境。
+ 當您使用 連線時 AWS Direct Connect,Network Synthetic Monitor 可協助您使用 Network Synthetic Monitor 寫入 Amazon CloudWatch 帳戶的網路運作狀態指標 (NHI),快速診斷 AWS 網路內的網路降級。NHI 指標是二進位值,基於 AWS內是否出現網路降級的概率評分。
+ 網絡合成監視器提供完全受管的代理程式監控方法,因此您無需在 VPC 或內部部署中安裝代理程式。開始使用時,只需要指定 VPC 子網路和內部部署 IP 位址即可。您可以使用 在 VPC 和 Network Synthetic Monitor 資源之間建立私有連線 AWS PrivateLink。如需詳細資訊,請參閱[使用 CloudWatch、CloudWatch Synthetics 和 CloudWatch 網路監控搭配介面 VPC 端點](cloudwatch-and-interface-VPC.md)。
+ 網絡合成監視器會將指標發布至 CloudWatch Metrics。可以建立儀表板來檢視指標,並針對特定於應用程式的指標建立可操作的閾值和警示。
如需詳細資訊,請參閱[網絡合成監視器的運作方式](nw-monitor-how-it-works.md)。
## 網絡合成監視器術語和元件
+ **探查** — 探查是從 AWS託管資源傳送至內部部署目的地 IP 地址的流量。對於監視器中設定的每個探針,網絡合成監視器指標會寫入 CloudWatch 帳戶中。
+ **監視器**:監視器針對您已為其建立網絡合成監視器*探針*的流量,顯示網路效能和其他運作狀態資訊。可以在建立監視器的過程中新增探針,然後使用監視器檢視網路效能指標資訊。當您為應用程式建立監視器時,您可以新增 AWS 託管資源做為網路來源。然後,Network Synthetic Monitor 會建立 AWS 託管資源和目的地 IP 地址之間所有可能探查的清單。您可以選擇要為其監控流量的目的地。
+ **AWS 網路來源** — AWS 網路來源是監控探查的原始 AWS 來源,它是其中一個 VPCs中的子網路。
+ **目的地**:目的地是 AWS 網路來源內部部署網路中的目標。目的地是內部部署 IP 位址、網路通訊協定、連接埠和網路封包大小的組合。同時支援 IPv4 和 IPv6 位址。
## 網絡合成監視器要求和限制
以下摘要說明網絡合成監視器的要求和限制。如需了解特定配額 (或限制),請參閱[網絡合成監視器](cloudwatch_limits.md#nw-monitor-quotas)。
+ 監視器子網路必須由與監視器相同的帳戶擁有。
+ 如果發生網路問題,Network Synthetic Monitor 不會提供自動 AWS 網路容錯移轉。
+ 您建立的每個探查都會收取費用。如需定價詳情,請參閱 [網絡合成監視器的定價](pricing-nw.md)。
# 網絡合成監視器的運作方式
Network Synthetic Monitor 完全由 管理 AWS,且不需要受監控資源上的個別代理程式。反之,您可以提供 VPC 子網路和內部部署 IP 位址,以指定*探針*。
當您在 Network Synthetic Monitor AWS中建立託管資源的監視器時, 會在背景中 AWS 建立和管理執行往返時間和封包遺失測量所需的基礎設施。由於 AWS 管理必要的組態,因此您可以快速擴展監控,而無需在 AWS 基礎設施中安裝或解除安裝代理程式。
建立探針時,系統會建立自訂的彈性網路介面 (ENI) 並將其連結到探針執行個體和客戶子網路。如果網絡合成監視器取代探針執行個體,例如,如果運作狀態不佳,網絡合成監視器分離 ENI 並將其重新連結到探針替換件。這表示 ENI IP 位址不會在建立之後變更,除非您刪除探針並為相同的來源和目的地建立新的探針。
Network Synthetic Monitor 著重於監控來自您 AWS託管資源之流程所採取的路由,而不是廣泛監控來自您的所有流程 AWS 區域。如果您的工作負載分散在多個可用區域 (AZ),則網絡合成監視器可以監控來自每個私有子網路的路由。
網絡合成監視器會根據您在建立監視器時設定的彙總間隔,將往返時間和封包遺失率指標發布到您的 Amazon CloudWatch 帳戶。也可以使用 CloudWatch 為每個監視器設定單獨的延遲和封包遺失率閾值。例如,如果封包遺失率平均值高於靜態 0.1% 閾值,可以建立封包遺失率敏感工作負載警示來通知您。也可以使用 CloudWatch 異常偵測,針對所需範圍以外的封包遺失率或延遲指標發出警示。
## 可用性和效能測量
Network Synthetic Monitor 會將定期主動探查從您的 AWS 資源傳送至內部部署目的地。建立監視器時,需指定下列值:
+ **彙總時間間隔:**CloudWatch 收到度量結果的時間 (以秒為單位)。這將是每 30 秒或 60 秒一次。您為監視器選擇的彙總間隔會套用至該監視器中的所有探查。
+ **探查來源 (AWS 資源):**探查來源是 VPC 和相關聯的子網路,或只是 VPC 子網路,位於您網路運作的區域中。
+ **探針目的地 (客戶資源):**探針的目的地是內部部署 IP 位址、網路通訊協定、連接埠和網路封包大小的組合。
+ **探針通訊協定:**受支援的通訊協定之一,ICMP 或 TCP。如需詳細資訊,請參閱[支援的通訊協定](#nw-monitor-protocol)。
+ **連接埠 (針對 TCP):**您的網路用來連線的連接埠。
+ **封包大小 (適用於 TCP):**在單一探查中, AWS 託管資源與目的地之間傳輸的每個封包的大小,以位元組為單位。可以為監視器中的每個探針指定不同的封包大小。
監視器會發布下列指標:
+ **往返時間:**此指標以微秒為單位,用於衡量效能表現。會記錄探針傳輸到目的地 IP 位址以及接收相關回應所需的時間。往返時間是彙總間隔期間觀測到的平均時間。
+ **封包遺失率:**此指標衡量傳送的總封包百分比,並記錄未收到關聯回應的傳輸次數。無回應表示封包在網路路徑中遺失。
## 支援的通訊協定
網絡合成監視器支援兩種探針通訊協定:ICMP 和 TCP。
以 ICMP 為基礎的探查會將 ICMP 回應請求從 AWS 託管資源傳送到目的地地址,並預期 ICMP 回應回應。網絡合成監視器使用 ICMP 回響請求和回覆訊息中的資訊來計算往返時間和封包遺失率指標。
以 TCP 為基礎的探查會將 TCP SYN 封包從 AWS 託管資源帶到目的地地址和連接埠,並預期 TCP SYN\$1ACK 封包會得到回應。網絡合成監視器使用 TCP SYN 和 TCP SYN\$1ACK 訊息中的資訊來計算往返時間和封包遺失率指標。網絡合成監視器會定期切換來源 TCP 連接埠以增加網路涵蓋範圍,進而提高偵測封包遺失的機率。
## 的網路運作狀態指示器 AWS
Network Synthetic Monitor 會發佈網路運作狀態指標 (NHI) 指標,針對包含透過 連線目的地的路徑,提供 AWS 網路問題的相關資訊 Direct Connect。
NHI 二進位值是根據從部署監視器的 AWS 託管資源到 Direct Connect 位置之 AWS受控網路路徑的運作狀態的統計指標。Network Synthetic Monitor 使用異常偵測來計算網路路徑的可用性下降或較低的效能。
對於使用 Cloud WAN 中介路由的 Direct Connect 附件而言,NHI 並不準確。當您的混合網路包含 Cloud WAN 時,請勿使用 NHI 值來表示效能問題。
**注意**
每次建立新監視器、新增探查或重新啟用探查時,監視器的 NHI 都會延遲數小時,同時 會 AWS 收集資料以執行異常偵測。
為了提供 NHI 運作狀態指標,網絡合成監視器會在 AWS 範例資料集之間套用統計關聯,並套用於模擬網路路徑之流量的封包遺失率和往返延遲指標。NHI 可以是 1 或 0。值 1 表示 Network Synthetic Monitor 在 AWS 受控網路路徑中觀察到網路降級。值為 0 表示網絡合成監視器沒有在 AWS 網路沿路觀測到網路效能降低的情況。藉助 NHI 值,您可以更快速地了解網路問題發生的原因。例如,您可以在 NHI 指標上設定提醒,以便在 AWS 網路路徑上收到網路持續問題的通知。
## 支援 IPv4 和 IPv6 地址
網絡合成監視器可透過 IPv4 或 IPv6 網路提供可用性和效能指標,並可從雙堆疊 VPC 中監控 IPv4 或 IPv6 位址。網絡合成監視器不允許在同一個監視器中設定 IPv4 和 IPv6 目的地,但是您可以針對僅限 IPv4 和僅限 IPv6 目的地建立單獨的監視器。
# AWS 區域 支援網路合成監視器
本節列出支援 Network Synthetic Monitor AWS 區域 的 。若要了解網絡合成監視器目前支援之區域的詳細資訊 (包括選擇支援的區域),請參閱《Amazon Web Services 一般參考》**中的[網絡合成監視器端點和配額](https://docs.aws.amazon.com/general/latest/gr/cwnm_region.html)。
| 區域名稱 | 區域 |
| --- | --- |
| Africa (Cape Town) | af-south-1 |
| 亞太地區 (香港) | ap-east-1 |
| 亞太地區 (海德拉巴) | ap-south-2 |
| 亞太地區 (雅加達) | ap-southeast-3 |
| 亞太地區 (馬來西亞) | ap-southeast-5 |
| 亞太地區 (墨爾本) | ap-southeast-4 |
| 亞太區域 (孟買) | ap-south-1 |
| 亞太地區 (大阪) | ap-northeast-3 |
| 亞太區域 (首爾) | ap-northeast-2 |
| 亞太區域 (新加坡) | ap-southeast-1 |
| 亞太區域 (雪梨) | ap-southeast-2 |
| 亞太區域 (泰國) | ap-southeast-7 |
| 亞太區域 (東京) | ap-northeast-1 |
| 加拿大 (中部) | ca-central-1 |
| 加拿大西部 (卡加利) | ca-west-1 |
| 歐洲 (法蘭克福) | eu-central-1 |
| 歐洲 (愛爾蘭) | eu-west-1 |
| 歐洲 (倫敦) | eu-west-2 |
| 歐洲 (米蘭) | eu-south-1 |
| Europe (Paris) | eu-west-3 |
| 歐洲 (西班牙) | eu-south-2 |
| Europe (Stockholm) | eu-north-1 |
| 歐洲 (蘇黎世) | eu-central-2 |
| 以色列 (特拉維夫) | il-central-1 |
| 墨西哥 (中部) | mx-central-1 |
| Middle East (Bahrain) | me-south-1 |
| 中東 (阿拉伯聯合大公國) | me-central-1 |
| 南美洲 (聖保羅) | sa-east-1 |
| 美國東部 (維吉尼亞北部) | us-east-1 |
| 美國東部 (俄亥俄) | us-east-2 |
| 美國西部 (加州北部) | us-west-1 |
| 美國西部 (奧勒岡) | us-west-2 |
# 網絡合成監視器的定價
使用網絡合成監視器時,無需支付前期費用,亦無需簽訂長期合約。網絡合成監視器的定價包含下列兩個要素:
+ 每個受監控 AWS 資源的每小時費用
+ CloudWatch 指標費用
當您在網路合成監視器中建立監視器時,您可以將要監控 AWS 的資源 (來源) 與其建立關聯。對於網路合成監視器,這些資源是 Amazon Virtual Private Cloud (VPC) 中的子網路。針對每個資源,您最多可建立四個探針,每個探針皆用於監測來自 VPC 子網路,並流向您設定之四個目的地 IP 位址的流量。為了協助控制帳單,可以減少受監控資源的數量,以調整子網路涵蓋範圍和內部部署 IP 位址目的地涵蓋範圍。
如需定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面。
# 網絡合成監視器 API 操作
下表列出可與 Amazon CloudWatch 搭配使用的網絡合成監視器 API 操作。如需相關文件的連結,請參閱此資料表。
| Action | API 參考 | 其他資訊 |
| --- | --- | --- |
| 在來源子網路和目的地 IP 位址之間建立監視器。 | 請參閱 [CreateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateMonitor.html) | 請參閱 [建立監視器](getting-started-nw.md) |
| 在監視器中建立探針。 | 請參閱 [CreateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateProbe.html) | 請參閱 [啟用或停用探針](nw-monitor-probe-status.md) |
| 移除監視器。 | 請參閱 [DeleteMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteMonitor.html) | 請參閱 [刪除監視器](nw-monitor-delete.md) |
| 刪除特定探針。 | 請參閱 [DeleteProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteProbe.html) | 請參閱 [刪除探查](nw-monitor-probe-delete.md) |
| 取得監視器的相關資訊。 | 請參閱 [GetMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetMonitor.html) | 請參閱 [在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md) |
| 取得特定探針的相關資訊。 | 請參閱 [GetProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetProbe.html) | 請參閱 [在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md) |
| 取得所有監視器的清單。 | 請參閱 [ListMonitors](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListMonitors.html) | 請參閱 [在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md) |
| 列出指派給資源的標籤。 | 請參閱 [ListTagsForResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListTagsForResource.html) | 請參閱 [標記或取消標記資源](nw-monitor-tags-cli.md) |
| 將鍵值對或標籤新增至監視器或探針。 | 請參閱 [TagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_TagResource.html) | 請參閱 [標記或取消標記資源](nw-monitor-tags-cli.md) |
| 從監視器或探針中移除鍵值對或標籤。 | 請參閱 [UntagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UntagResource.html) | 請參閱 [標記或取消標記資源](nw-monitor-tags-cli.md) |
| 更新監視器的彙總期間。 | 請參閱 [UpdateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateMonitor) | 請參閱 [編輯監視器](nw-monitor-edit.md) |
| 在監視器中更新探針。 | 請參閱 [UpdateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateProbe) | 請參閱 [編輯探查](nw-monitor-probe-edit.md) |
# 在網絡合成監視器使用監視器和探針
若要開始使用,請在網絡合成監視器中建立含探針的監視器,以度量指定彙總期間內的網路效能。然後,您可以更新監視器以進行必要的變更,例如變更彙總期間、停用或啟用探針,或者新增或移除標籤。
以下各節將逐步說明如何透過 Amazon CloudWatch 主控台,針對您的監視器和探針完成這些任務。您也可以透過 AWS Command Line Interface變更監視器。
**Topics**
+ [建立監視器](getting-started-nw.md)
+ [編輯監視器](nw-monitor-edit.md)
+ [刪除監視器](nw-monitor-delete.md)
+ [啟用或停用探針](nw-monitor-probe-status.md)
+ [將探針新增至監視器](nw-monitor-add-probe.md)
+ [編輯探查](nw-monitor-probe-edit.md)
+ [刪除探查](nw-monitor-probe-delete.md)
+ [標記或取消標記資源](nw-monitor-tags-cli.md)
# 建立監視器
以下各節說明如何在網絡合成監視器中建立監視器,包括必要的探針。建立監視器時,您可以選擇來源子網路,然後為每個子網路新增最多四個目的地,以指定探針。每個來源目的地對都是一個探針。
您可以在建立監視器之後對其進行變更,例如新增、移除或停用探針。如需詳細資訊,請參閱[在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md)。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
下列程序提供如何使用 Amazon CloudWatch 主控台建立監視器的逐步說明。
+ [定義監視器詳細資訊](#NWDefineDetails)
+ [選擇來源和目的地](#NWSourceDestination)
+ [確認探查](#NWConfirmProbes)
+ [檢閱和建立監視器](#NWReviewCreate)
**重要**
這些步驟旨在一次全部完成。不能將進行中的工作儲存起來以便稍後繼續。
## 定義監視器詳細資訊
建立監視器的第一步是為監視器命名並定義彙總期間,從而定義基本詳細資訊。還可以選擇性地新增標籤。
**定義監視器詳細資訊**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 選擇 **Create monitor** (建立監視器)。
1. 在**監視器名稱**中,輸入監視器的名稱。
1. 在**彙總時段**中,選擇您要將指標傳送到 CloudWatch 的頻率:**30 秒**或 **60 秒**。
**注意**
彙總期間越短,越可以更快速地偵測到網路問題。不過,您選擇的彙總期間可能會影響您的帳單費用。如需定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面。
1. (選用) 對於**標籤**,新增**索引鍵**和**值**對以協助識別此資源,以便您可以搜尋或篩選特定資訊。
1. 選擇 **Add new tag (新增標籤)**。
1. 輸入**索引鍵**名稱和關聯的**值**。
1. 選擇**新增新標籤**以新增新標籤。
您可以選擇**新增新標籤**來新增多個標籤,也可以選擇**移除**來移除標籤。
1. 如果想要將標籤與監視器的探針建立關聯,請選中**將標籤新增至監視器建立的探針**。這會將標籤新增至監視器探針,如果使用標籤型驗證或計量,這可能會很有用。
1. 選擇**下一步**。在下一頁,您需要指定來源和目的地,以建立監視器的探針。
## 選擇來源和目的地
對於網路合成監視器中的每個監視器,您可以指定一或多個探查,這是 AWS 來源和目的地的組合。
+ 探針的來源是位於您網路運作區域內的 VPC 及關聯子網路,或僅為 VPC 子網路。
+ 目的地是內部部署 IP 位址、網路通訊協定、連接埠和網路封包大小的組合。
**重要**
這些步驟旨在一次全部完成。不能將進行中的工作儲存起來以便稍後繼續。
**選擇來源和目的地**
1. 必要條件:[定義監視器詳細資訊](#define-details-nw)。
1. 在 **AWS** **網路來源**下,選擇要包含在監視器中的一個或多個子網路。若要選擇 VPC 內的所有子網路,請選擇 VPC。或者,選擇 VPC 內的特定子網路。您選擇的子網路是監視器來源。
1. 對於**目的地 1**,輸入內部部署網路的目的地 IP 位址。同時支援 IPv4 和 IPv6 位址。
1. 選擇 **Advanced settings (進階設定)**。
1. 對於**通訊協定**,選擇內部部署目的地的網路通訊協定。通訊協定可以是 **ICMP** 或 **TCP**。
1. 如果您選擇 **TCP**,請輸入下列資訊:
1. 輸入您的網路用來連線的**連接埠**。連接埠必須是介於 **1** 到 **65535** 之間的數字。
1. 輸入**封包大小**。這是在來源與目的地之間的探針中所傳送之每個封包的大小 (位元組)。封包大小必須是從 **56** 到 **8500** 之間的數字。
1. 選擇**新增目的地**,將另一個內部部署目的地新增至此監視器。為您要新增的每個目的地重複這些步驟。
1. 來源和目的地新增完成後,選擇**下一步**以確認監視器的探針。
## 確認探查
在**確認探針**頁面上,檢閱將為監視器建立的所有探針,以確保它們是正確的來源和目的地組合。
**確認探針**頁面顯示您在上一個步驟中提供的探針規格的所有可能來源和目的地組合。例如,如果您有六個來源子網路和四個目的地 IP 位址,則有 24 個可能的探針組合,因此將建立 24 個探針。
**重要**
這些步驟將在一個工作階段中完成。不能將進行中的工作儲存起來以便稍後繼續。
**確認探查**頁面不會指示探查是否有效。建議您仔細檢閱此頁面,然後刪除任何無效的探針。如果您不移除探針,可能會向您收取無效探針的費用。
**確認監視器探查**
1. 必要條件:[選擇來源和目的地](#source-destination-nw)。
1. 在**確認探針**頁面中,檢閱來源和目的地探針組合清單。
1. 選擇要從監視器中移除的任意探針,然後選擇**移除**。
**注意**
系統會提示您確認刪除探針。如果您刪除探針並想要將其還原,則必須再次設定。您可以依循[將探針新增至監視器](nw-monitor-add-probe.md)中的步驟,將探針新增至現有監視器。
1. 選擇**下一步**,然後檢閱監視器詳細資訊。
## 檢閱和建立監視器
最後一個步驟是檢閱監視器和監視器探針的詳細資訊,然後建立監視器。此時您可以變更監視器的任何資訊。
當您完成檢閱和更新任何不正確的資訊後,請建立監視器。
建立監視器後,網絡合成監視器會開始追蹤指標,並開始向您收取監視器探針的費用。
**重要**
此步驟將在一個工作階段中完成。不能將進行中的工作儲存起來以便稍後繼續。
若您選擇編輯某個區段,必須從您執行編輯的步驟開始,逐步完成建立監視器的流程。舊版監視器建立頁面會保留您已輸入的資訊。
**檢閱和建立監視器**
1. 在**檢閱並建立探查**頁面中,針對您要進行變更的任何區段選擇**編輯**。
1. 在該區段中進行變更,然後選擇**下一步**。
1. 完成編輯後,選擇**建立監視器**。
網絡合成監視器頁面會在**監視器**區段中顯示目前的監視器建立狀態。當網絡合成監視器仍在建立監視器時,**狀態**為**待定**。當**狀態**變更為**作用中**時,您就可以在監視器儀表板中檢視 CloudWatch 指標。
如需有關使用監控儀表板的詳細資訊,請參閱 [Network Synthetic Monitor 儀表板](nw-monitor-dashboards.md)。
**注意**
最近新增的監視器可能需要數分鐘的時間才能開始收集網路指標。
# 編輯監視器
可以編輯網絡合成監視器的資訊,包括變更名稱、設定新的彙總期間,或者新增或移除標籤。變更監視器的資訊並不會變更任何關聯的探查。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用主控台編輯監視器**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段中,選擇您要編輯的監視器。
1. 在監控儀表板頁面中,選擇**編輯**。
1. 在**監視器名稱**中,請輸入監視器的新名稱。
1. 在**彙總時段**中,選擇您要將指標傳送到 CloudWatch 的頻率。有效時段為:
+ **30 秒**
+ **60 秒**
**注意**
彙總期間越短,越可以更快速地偵測到網路問題。不過,您選擇的彙總期間可能會影響您的帳單費用。如需定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面。
1. (選用) 在**標籤**區段中,新增**索引鍵**和**值**對,以進一步協助識別此資源,讓您可搜尋或篩選特定資訊。也可以僅變更當前任何**索引鍵**的**值**。
1. 選擇 **Add new tag (新增標籤)**。
1. 輸入**索引鍵**名稱和關聯的**值**。
1. 選擇**新增新標籤**以新增新標籤。
您可以選擇**新增新標籤**來新增多個標籤,也可以選擇**移除**來移除標籤。
1. 如果想要將標籤與監視器產生關聯,請選中**將標籤新增至監視器建立的探查**。這會將標籤新增至監視器探查,如果使用標籤式驗證或計量,這可能會很有幫助。
1. 選擇**儲存變更**。
# 刪除監視器
無論監視器**狀態**為何,您都必須停用或刪除與監視器關聯的所有探針,才能在網絡合成監視器中刪除監視器。刪除監視器後,無須再支付監視器探針的費用。請注意,不能復原已刪除的監視器。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用主控台刪除監視器**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段中,選擇您要刪除的監視器。
1. 選擇**動作**,然後選擇**刪除**。
1. 如果您的監視器有任何作用中的探針,系統會提示您停用它們。選擇**停用探查**。
**注意**
選擇**停用探查**後,無法取消或復原此動作。不過,不會從監視器中移除已停用的探查。如果需要,稍後可以重新啟用它們。如需詳細資訊,請參閱[啟用或停用探針](nw-monitor-probe-status.md)。
1. 在確認欄位中輸入 **confirm**,然後選擇**刪除**。
或者,您可以透過程式設計方式刪除監視器,例如使用 AWS Command Line Interface。
**使用 CLI 刪除監視器**
1. 若要刪除監視器,您需要監視器名稱。如果不知道名稱,請執行 [list-monitors](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-monitors.html) 命令以取得監視器清單。記下您要刪除之監視器的名稱。
1. 驗證監視器中是否包含任何作用中的探針。使用上一個步驟中的監視器名稱來使用 [edit-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/get-monitor.html)。這會傳回與該監視器相關聯的任何探查清單。
1. 如果監視器包含探針,必須先將這些探針設定為非作用中或刪除。
+ 若要將探查設定為非作用中,請使用 [update-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/update-probe.html),並將狀態設定為 `INACTIVE`。
+ 若要刪除探查,請使用 [delete-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/delete-probe.html)。
1. 將探針設定為 `INACTIVE` 或刪除後,可以執行 [delete-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/create-probe.html) 命令以刪除監視器。當您刪除監視器時,不會刪除非作用中的探針。
# 啟用或停用探針
您可以在網絡合成監視器的監視器中啟用或停用探針。如果您目前沒有使用探針,可能會想要停用它,但未來可能會想要再次使用它。透過停用探針而且將其刪除,您將不需要花時間重新設定它。已停用的探查不會計費。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**透過主控台將探針設定為作用中或非作用中**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 選擇**監視器詳細資料**索引標籤。
1. 在**探查**區段中,選擇您要啟用或停用的探查。
1. 選擇**動作**,然後選擇**啟用**或**停用**。
**注意**
當探針重新啟用時,會再次開始產生計費費用。
# 將探針新增至監視器
您可以將探針新增至網絡合成監視器中的現有監視器。請注意,當您將探針新增至監視器時,計費結構將隨之更新以納入新探針。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用主控台將探查新增至監視器**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段中,執行下列其中一個動作:
+ 選擇您要為其新增探查的監視器的**名稱**連結。選擇**監視器詳細資料**索引標籤,然後在**探查**區段中選擇**新增探查**。
+ 選擇監視器核取方塊,選擇**動作**,然後選擇**新增探查**。
1. 在**新增探查**頁面中,執行下列操作:
1. 在 **AWS** **網路來源**下,選擇要為其新增監視器的子網路。
**注意**
一次只能新增一個探查,每個監視器最多四個探查。
1. 輸入內部部署網路的目的地 **IP 地址**。支援 IPv4 和 IPv6 地址。
1. 選擇 **Advanced settings (進階設定)**。
1. 選擇目的地的網路**通訊協定**。它可以是 **ICMP** 或 **TCP**。
1. 如果**通訊協定**為 **TCP**,請輸入下列資訊。否則,請跳至下一步:
+ 輸入您的網路用來連線的**連接埠**。連接埠必須是介於 **1** 到 **65535** 之間的數字。
+ 輸入**封包大小**。這是在來源與目的地之間的探查中所傳送之每個封包的大小 (位元組)。封包大小必須是從 **56** 到 **8500** 之間的數字。
1. (選用) 在**標籤**區段中,新增**索引鍵**和**值**對,以進一步協助識別此資源,讓您可搜尋或篩選特定資訊。
1. 選擇 **Add new tag (新增標籤)**。
1. 輸入**索引鍵**名稱和關聯的**值**。
1. 選擇**新增新標籤**以新增新標籤。
您可以選擇**新增新標籤**來新增多個標籤,也可以選擇**移除**來移除任何標籤。
1. 選擇**新增探查**。
啟動探查時,**狀態**會顯示**擱置中**。探查可能需要幾分鐘的時間才能變為**作用中**。
# 編輯探查
您可以變更現有探針的任何資訊,無論該探針處於作用中還是非作用中狀態。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用主控台編輯探針**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
在**名稱**下,選擇監視器連結以開啟監視器儀表板。
1. 選擇**監視器詳細資料**索引標籤。
1. 在**探針**區段中,選擇您要編輯之探針的連結。
1. 在探針詳細資訊頁面上,選擇**編輯**。
1. 在**編輯*探針***頁面中,輸入探針的新目的地 **IP 位址**。同時支援 IPv4 和 IPv6 位址。
1. 選擇 **Advanced settings (進階設定)**。
1. 選擇網路**通訊協定**:**ICMP** 或 **TCP**。
1. 如果**通訊協定**為 **TCP**,請輸入下列資訊:
+ 輸入您的網路用來連線的**連接埠**。連接埠必須是介於 **1** 到 **65535** 之間的數字。
+ 輸入**封包大小**。這是在來源與目的地之間的探查中所傳送之每個封包的大小 (位元組)。封包大小必須是從 **56** 到 **8500** 之間的數字。
1. (選用) 新增、變更或移除探針的標籤。
1. 選擇**儲存變更**。
# 刪除探查
如果您知道未來不再需要探針,可以將其刪除而非停用。您無法復原已刪除的探針,而需要重新建立。探針刪除時,其計費也會停止。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱 AWS Command Line Interface 命令[參考中的網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用主控台刪除探查**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段的**名稱**下,選擇一個監視器連結以開啟監視器儀表板。
1. 選擇**監視器詳細資料**索引標籤。
1. 選擇監視器核取方塊,選擇**動作**,然後選擇**刪除**。
1. 在**刪除探針**對話方塊中,執行下列動作:
1. 選擇**刪除**以確認您要刪除探查。
**探查**區段中的探查**狀態**會顯示**正在刪除**。刪除之後,就會從**探查**區段中移除該探查。
# 標記或取消標記資源
您可以在網絡合成監視器中使用資源標籤,以新增或移除標籤。
您可以在主控台中更新監視器或探針,以更新標籤。或者,您可以透過程式設計方式使用標籤,例如使用 AWS Command Line Interface。
**使用 CLI 更新監視器標籤**
+ 使用 [list-tags-for-resources](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-tags-for-resources.html) 列出資源標籤。
+ 若要標記資源,請使用 [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/tag-resource.html)。
+ 若要取消標記資源,請使用 [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/untag-resource.html)。
# Network Synthetic Monitor 儀表板
您可以使用 Network Synthetic Monitor 中的儀表板 AWS,透過使用網路運作狀態指標 (NHI) 和檢視探查往返時間和封包遺失,來判斷網路問題是否由 造成。可以檢視監視器以及個別探針的此資訊和指標。
網絡合成監視器會建立數個指標,您可以在 CloudWatch Metrics 中檢視這些指標。您可以針對網絡合成監視器傳回的指標指定警示。如需詳細資訊,請參閱[探查警示](cw-nwm-create-alarm.md)。
**Topics**
+ [監視器儀表板](nw-monitor-db.md)
+ [探針儀表板](nw-probe-db.md)
+ [指定指標時間範圍](nw-monitor-time-frame.md)
# 監視器儀表板
您可以使用網絡合成監視器中的監視器儀表板,檢視網路運作狀態指標 (NHI),以及監視器層級的探針往返時間和封包遺失率。也就是說,監視器儀表板會顯示為監視器建立之所有探針的這個資訊。
網絡合成監視器也有適用於探針的儀表板,用於在探針層級檢視資訊。如需詳細資訊,請參閱[探針儀表板](nw-probe-db.md)。
**若要存取監控儀表板**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段中,選擇**名稱**連結以開啟監視器儀表板。
## 概觀頁面
**概觀**頁面會顯示監視器的以下資訊:
+ **網路運作狀態** — 網路運作狀態會顯示網路運作狀態指標 (NHI) 值,這僅與 AWS 網路的運作狀態相關。NHI 狀態將顯示為**運作正常良好**或**已降級**。運作狀態**良好**表示網路合成監視器未發現 AWS 網路發生問題。**降級**狀態表示網路合成監視器觀察到 AWS 網路發生問題。此區段中的狀態列顯示一小時預設時間內,網路運作狀態指標的狀態。將滑鼠移至狀態列的任一點上可檢視其他詳細資料。
+ **探查流量摘要** — 顯示監視器中為探查指定的來源 AWS 子網路與探查目的地 IP 地址之間的目前流量狀態。此摘要顯示下列內容:
+ **警示中的探針**:這個數字表示此監視器中有多少探針處於降級狀態。觸發設定為警示的指標時,就會觸發警示。如需在網絡合成監視器中為指標建立警示的資訊,請參閱[探查警示](cw-nwm-create-alarm.md)。
+ **封包遺失** – 從來源子網路到目的地 IP 地址遺失的封包數目。此值表示為傳送的封包總數的百分比。
+ **往返時間**:來源子網路中的封包到達目的地 IP 位址然後再回來所需的時間 (毫秒)。往返時間是彙總期間觀測到的平均 RTT。
資料以互動式圖表呈現,因此您可以透過探索來了解詳細資訊。
根據預設,資料可顯示兩小時,從目前日期和時間開始計算。但是,您可以根據自身需求變更範圍。如需詳細資訊,請參閱[指定指標時間範圍](nw-monitor-time-frame.md)。
### 追蹤指標
網絡合成監視器中的**概觀**儀表板以圖表方式顯示監視器和探針的相關資訊。會顯示下列圖表:
+ **網路運作狀態指標**:代表指定時段內的 NHI 值。NHI 指出網路問題是否由 AWS 網路問題造成。NHI 會顯示為**運作狀態良好** ( AWS 網路沒有問題) **或降級** ( AWS 網路發生問題)。
在下列範例中,您可以看到從 15:00 UTC 到 15:05 UTC,因網路問題 (**降級**) 而發生 AWS 網路問題。15:05 之後,網路的網路問題會 AWS 結束,因此值會傳回 **Healthy**。將滑鼠移至圖表的任何部分可檢視其他詳細資訊。
![\[AWS 網路運作狀態指示器會顯示運作狀態良好和降級狀態。\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/images/nwm_network_health.png)
**注意**
NHI 表示問題是由 AWS 網路造成。它不會描述 AWS 網路的整體運作狀態,也不會描述網路合成監視器探查的運作狀態。
+ **封包遺失率**:此圖表顯示一條線,呈現監視器中每個探針測得的封包遺失率百分比。頁面底部的圖例會顯示監視器中的每個探查,並用顏色編碼以確保唯一性。將滑鼠移至圖表中的探針上會顯示來源子網路、目的地 IP 位址以及封包遺失率百分比。
在下列範例中,系統針對從子網路到 IP 位址 127.0.0.1 的探針,建立封包遺失率警示。當超過探查的封包遺失閾值時,就會觸發警示。將滑鼠移至圖表上可顯示探針來源和目的地,並顯示此探針在 11 月 21 日 02:41:30 的封包遺失率為 30.97%。
![\[封包遺失顯示範例探查具有 30.97% 的封包遺失率。\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/images/nwm_packet_loss.png)
+ **往返時間**:此圖表顯示一條線,呈現每個探針的往返時間。頁面底部的圖例會顯示監視器中的每個探查,並用顏色編碼以確保唯一性。您可以將滑鼠移至此圖表中的探針上,檢視來源子網路、目的地 IP 位址以及往返時間。
下列範例顯示,在 11 月 21 日星期二 21:45:30,探針從子網路到 IP 位址 127.0.0.1 的往返時間為 0.075 秒。
![\[顯示探查往返時間的範例。\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/images/nwm_rtt.png)
## 監視器詳細資訊
**監視器詳細資訊**頁面顯示監視器的詳細資訊,包括監視器探針清單。您可以更新或新增標籤,或新增探針。頁面包含下列區段:
+ **監視器詳細資訊** – 此頁面提供監視器的詳細資訊。您無法編輯此區段中的資訊。不過,您可以檢視網絡合成監視器服務連結角色的詳細資訊:選擇**角色名稱**連結即可檢視詳細資訊。
+ **探查** – 此部分顯示與監視器相關聯之所有探查的清單。選擇 **VPC** 或**子網路 ID** 連結,在 Amazon VPC 主控台中開啟 VPC 或子網路詳細資訊。您可以修改探針以將其啟用或停用。如需詳細資訊,請參閱[在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md)。
**探針**區段顯示為該監視器設定之每個探針的相關資訊,包括探針 **ID**、**VPC ID**、**子網路 ID**、**IP 位址**、**通訊協定**,以及探針處於**作用中**還是**非作用中**狀態。
如果您已為探針建立警示,系統會顯示警示的目前**狀態**。狀態為**正常**表示沒有指標事件觸發任何警示。狀態為**警示中**表示您在 CloudWatch 中建立的指標觸發警示。如果探針沒有顯示狀態,表示該探針沒有對應的 CloudWatch 警示。如需有關您可以建立之網絡合成監視器探針警示類型的資訊,請參閱[探查警示](cw-nwm-create-alarm.md)。
+ **標籤** – 檢視監視器的目前標籤。透過選擇**管理標籤**來新增或移除標籤。這會開啟**編輯探查**頁面。如需有關編輯標籤的詳細資訊,請參閱 [編輯監視器](nw-monitor-edit.md)。
# 探針儀表板
您可以使用網絡合成監視器中的**探針**儀表板,檢視探針的網路運作狀態指標 (NHI),以及特定探針的往返時間和封包遺失率相關資訊。有兩個探針儀表板:**概觀**頁面和**探針詳細資訊**頁面。
可以建立 CloudWatch 警示來設定封包遺失和往返時間指標閾值。達到指標的閾值時,CloudWatch 警示會通知您。如需有關建立探查警示的詳細資訊,請參閱 [探查警示](cw-nwm-create-alarm.md)。
**存取探查儀表板**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段中,選擇**名稱**連結以開啟特定監視器的儀表板。
1. 若要檢視特定探針的儀表板,選擇探針的 **ID** 連結。
## 概觀頁面
**概觀**頁面顯示探針的以下資訊:
+ **網路運作狀態** — 網路運作狀態會顯示網路運作狀態指標 (NHI) 值,這僅適用於 AWS 網路的運作狀態。NHI 狀態有兩個值:**運作正常良好**或**已降級**。運作狀態**良好**表示網路合成監視器未發現探查 AWS 的網路發生問題。**降級**狀態表示網路合成監視器觀察到 AWS 網路發生問題。此區段中的狀態列顯示一小時預設時間內,網路運作狀態指標的狀態。將滑鼠移至狀態列的任一點上可檢視其他詳細資料。
+ **封包遺失** – 從來源子網路到此探查的目的地 IP 地址遺失的封包數目。
+ **往返時間**:來源子網路中的封包到達目的地 IP 位址然後再回來所需的時間 (毫秒)。往返時間 (RTT) 是彙總期間觀測到的平均 RTT。
## 探查詳細資訊
**探針詳細資訊**頁面顯示探針的相關資訊,包括來源和目的地。您也可以編輯探針,例如啟用或停用探針。如需詳細資訊,請參閱[在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md)。
+ **探針詳細資訊**:此區段提供有關探針的一般資訊,無法編輯。
+ **探查來源和目的地** – 此區段顯示有關探查的詳細資訊。選擇 **VPC** 或**子網路 ID** 連結,在 Amazon VPC 主控台中開啟 VPC 或子網路詳細資訊。您可以修改探針,例如啟用或停用探針。
+ **標籤** – 檢視監視器的目前標籤。透過選擇**管理標籤**來新增或移除標籤。這會開啟**編輯探查**頁面。如需有關編輯標籤的詳細資訊,請參閱 [編輯探查](nw-monitor-probe-edit.md)。
# 指定指標時間範圍
網絡合成監視器中儀表板上的指標和事件使用從目前時間計算的兩小時預設時間,您也可以設定要使用的自訂指標預設時間範圍。您可以將指標時間範圍的預設值變更為以下其中一個預設選項:
+ **1h** – 一小時
+ **2h** – 兩小時
+ **1d** – 一天
+ **1w** – 一週
也可以設定自訂時間範圍。選擇**自訂**,選擇**絕對**或**相對**時間,然後將時間範圍設定為您自己選擇的時間。根據 CloudWatch 規範,相對時間僅支援從今天的日期往回推 15 天的範圍。
此外,還可以根據 UTC 時區或當地時區選擇圖表中顯示的時間。
如需詳細資訊,請參閱[變更 CloudWatch 儀表板的時間範圍或時區格式](change_dashboard_time_format.md)。
# 探查警示
您可以根據網絡合成監視器指標建立 Amazon CloudWatch 警示,如同根據其他 Amazon CloudWatch 指標建立警示那樣。觸發警示時,您建立的任何警示都會出現在網絡合成監視器儀表板**監視器詳細資訊**區段的探針**狀態**欄位中。狀態將為**正常**或**警示中**。如果探針沒有顯示狀態,系統不會為該探針建立警示。
例如,可以根據網絡合成監視器指標 `PacketLoss` 建立警示,並將其設定為在指標低於您選擇的值時傳送通知。可以遵循與其他 CloudWatch 指標相同的準則,為網絡合成監視器指標設定警示。
針對網絡合成監視器建立 CloudWatch 警示時,可在 `AWS/NetworkMonitor` 下方找到下列指標。
+ **HealthIndicator**
+ **PacketLoss**
+ **RTT (往返時間)**
如需在 CloudWatch 中建立網絡合成監視器警示的步驟,請參閱[建立以靜態閾值為基礎的 CloudWatch 警示](ConsoleAlarms.md)。
# 網絡合成監視器中的資料安全和資料保護
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構是為了滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端*的*安全性,和雲端*中*的安全性:
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)中,第三方稽核人員會定期測試和驗證我們安全的有效性。若要了解適用於 Network Synthetic Monitor 的合規計劃,請參閱[AWS 合規計劃的 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件有助於您了解如何在使用網絡合成監視器時套用共同責任模型。下列主題將顯示如何設定網絡合成監視器以達到您的安全及合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 Network Synthetic Monitor 資源。
**Topics**
+ [網絡合成監視器中的資料保護](data-protection-nw.md)
+ [網絡合成監視器中的基礎結構安全](infrastructure-security-nw.md)
# 網絡合成監視器中的資料保護
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Network Synthetic Monitor 中的資料保護。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用網路合成監視器或使用主控台、API AWS CLI或 AWS SDKs的其他 AWS 服務 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
# 網絡合成監視器中的基礎結構安全
作為受管服務,Network Synthetic Monitor 受到 [Amazon Web Services:安全程序概觀](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)白皮書中所述的 AWS 全球網路安全程序的保護。
您可以使用 AWS 發佈的 API 呼叫,透過網路存取 Network Synthetic Monitor。用戶端必須支援 Transport Layer Security (TLS) 1.0 或更新版本。建議使用 TLS 1.2 或更新版本。用戶端也必須支援具備完美轉送私密 (PFS) 的密碼套件,例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以透過 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 來產生暫時安全憑證來簽署請求。
# 適用於網絡合成監視器的身分識別和存取管理
AWS Identity and Access Management (IAM) 是一種 AWS 服務,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可以控制完成身分驗證 (已登入) 和獲得授權 (具有許可) 的對象,以使用網絡合成監視器資源。IAM 是一項服務 AWS ,您可以免費使用。您可以使用 IAM 的功能,來允許其他使用者、服務和應用程式完整地或有所限制地使用您的 AWS 資源,而不共享您的安全登入資料。
根據預設,IAM 使用者不具有建立、檢視或修改 AWS 資源的許可。若要允許 IAM 使用者存取資源 (例如全球網路) 和執行任務,您必須:
+ 建立 IAM 政策以准許使用者使用他們所需的特定資源和 API 動作
+ 將政策附接至 IAM 使用者或連線到使用者所屬的群組
將政策附加至使用者或使用者群組時,政策會允許或拒絕使用者對特定資源執行特定任務的許可。
## 條件索引鍵
`Condition` 元素 (或 Condition 區塊) 可讓您指定使陳述式生效的條件。Condition 元素是可選用的。您可以建置使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件表達式 (例如等於或小於),來比對原則中的條件和請求中的值。如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》**中的 [IAM JSON 政策元素:條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)。
若您在陳述式中指定多個 `Condition` 元素,或是在單一 `Condition` 元素中指定多個索引鍵, AWS 會使用邏輯 `AND` 操作評估他們。如果您為單一條件索引鍵指定多個值, 會使用邏輯`OR`操作 AWS 評估條件。必須符合所有條件,才會授與陳述式的許可。
您也可以在指定條件時使用預留位置變數。例如,您可以只在使用者使用其 IAM 使用者名稱標記時,將存取資源的許可授予該 IAM 使用者。
可以將標籤連結至網絡合成監視器資源,或是在請求中將標籤傳遞給 Cloud WAN。若要根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件金鑰,在政策的條件元素中,提供標籤資訊。如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》**中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
若要查看所有 AWS 全域條件索引鍵,請參閱《 *AWS Identity and Access Management 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
## 標記核心網路資源
標籤是您或 AWS 指派給 AWS 資源的中繼資料標籤。每個標籤皆包含索引鍵與值。對於您指派的標籤,您可以定義索引鍵與值。例如,對於某個資源,您可能將索引鍵定義為 `purpose`,以及將值定義為 `test`。標籤可協助您執行以下操作:
+ 識別和組織您的 AWS 資源。許多 AWS 服務支援標記,因此您可以將相同的標籤指派給來自不同 服務的資源,以指出資源相關。
+ 控制對 AWS 資源的存取。如需詳細資訊,請參閱《識別和[存取管理使用者指南》中的使用標籤控制對 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)的存取。 *AWS *
# 網絡合成監視器如何與 IAM 搭配使用
在您使用 IAM 管理網絡合成監視器的存取權之前,請了解有哪些 IAM 功能可以與網絡合成監視器搭配使用。
**可以與網絡合成監視器搭配使用的 IAM 功能**
| IAM 功能 | 網絡合成監視器支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-id-based-policies-nw) | 是 |
| [資源型政策](#security_iam_service-with-iam-resource-based-policies-nw) | 否 |
| [政策動作](#security_iam_service-with-iam-id-based-policies-actions-nw) | 是 |
| [政策資源](#security_iam_service-with-iam-id-based-policies-resources-nw) | 是 |
| [政策條件索引鍵](#security_iam_service-with-iam-id-based-policies-conditionkeys-nw) | 是 |
| [ACL](#security_iam_service-with-iam-acls-nw) | 否 |
| [ABAC(政策中的標籤)](#security_iam_service-with-iam-tags-nw) | 部分 |
| [臨時憑證](#security_iam_service-with-iam-roles-tempcreds-nw) | 是 |
| [主體許可](#security_iam_service-with-iam-principal-permissions-nw) | 是 |
| [服務角色](#security_iam_service-with-iam-roles-service-nw) | 否 |
| [服務連結角色](#security_iam_service-with-iam-roles-service-linked-nw) | 是 |
若要全面了解 Network Synthetic Monitor 和其他 AWS 服務如何與大多數 IAM 功能搭配使用,請參閱《IAM *使用者指南*》中的[AWS 與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 網絡合成監視器的身分型政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 網絡合成監視器的身分型政策範例
若要檢視網絡合成監視器身分型政策的範例,請參閱[Amazon CloudWatch 的身分型政策範例](security_iam_id-based-policy-examples.md)。
## 網絡合成監視器內的資源型政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM *角色信任政策*和 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委託人可以包含帳戶、使用者、角色、聯合身分使用者或 AWS 服務。
如需啟用跨帳戶存取權,您可以在其他帳戶內指定所有帳戶或 IAM 實體作為資源型政策的主體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 網絡合成監視器的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要檢視網絡合成監視器動作清單,請參閱《服務授權參考》**中的[網絡合成監視器定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)。
網絡合成監視器中的政策動作會在動作前使用以下字首:
```
networkmonitor
```
若要在單一陳述式中指定多個動作,請用逗號分隔。
```
"Action": [
"networkmonitor:action1",
"networkmonitor:action2"
]
```
若要檢視網絡合成監視器身分型政策的範例,請參閱[Amazon CloudWatch 的身分型政策範例](security_iam_id-based-policy-examples.md)。
## 網絡合成監視器的政策資源
**支援政策資源:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
若要檢視網絡合成監視器資源類型及其 ARN 的清單,請參閱《服務授權參考》**中的[網絡合成監視器定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱[網絡合成監視器定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)。
## 網絡合成監視器的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要檢視網絡合成監視器條件索引鍵清單,請參閱《服務授權參考》**中的[網絡合成監視器的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-policy-keys)。若要了解您可以透過哪些動作和資源使用條件索引鍵,請參閱[網絡合成監視器定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)。
## 網絡合成監視器中的 ACL
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## ABAC 與網絡合成監視器
**支援 ABAC (政策中的標籤):**部分
屬性型存取控制 (ABAC) 是一種授權策略,根據稱為標籤的屬性定義許可權。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 搭配使用臨時憑證與網絡合成監視器
**支援臨時憑證:**是
臨時登入資料提供 AWS 資源的短期存取權,當您使用聯合或切換角色時,會自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 網絡合成監視器的跨服務主體許可
**支援轉寄存取工作階段 (FAS):**是
轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務,並結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## 網絡合成監視器的服務角色
**支援服務角色:**否
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
變更服務角色的許可有可能會中斷網絡合成監視器功能。只有在網絡合成監視器提供指引時,才能編輯服務角色。
## 使用 Network Synthetic Monitor 的服務連結角色
**支援服務連結角色:**是
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需建立或管理服務連結角色的詳細資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam-nw.html)。在資料表中尋找服務,其中包含**服務連結角色**欄中的 `Yes`。選擇**是**連結,以檢視該服務的服務連結角色文件。
# 網絡合成監視器的身分型政策範例
依預設,使用者和角色沒有建立或修改網絡合成監視器資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需網絡合成監視器所定義之動作和資源類型的詳細資訊,包括每種資源類型的 ARN 格式,請參閱《服務授權參考》**中的[網絡合成監視器的動作、資源及條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices-nw)
+ [使用網絡合成監視器主控台](#security_iam_id-based-policy-examples-console-nw)
+ [允許使用者檢視他們自己的許可](#security_iam_id-based-policy-examples-view-own-permissions-nw)
+ [對網絡合成監視器身分與存取進行疑難排解](security_iam_troubleshoot-nw.md)
## 政策最佳實務
身分型政策會判斷某人是否可以在您的帳戶中建立、存取或刪除網絡合成監視器資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用網絡合成監視器主控台
若要存取網絡合成監視器主控台,必須擁有最低限度的許可集合。這些許可必須允許您列出和檢視 AWS 帳戶中有關網絡合成監視器資源的詳細資訊。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
為了確保使用者和角色仍然可以使用網路合成監視器主控台,請將網路合成監視器`ConsoleAccess`或`ReadOnly` AWS 受管政策連接到實體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[新增許可到使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console-nw)。
## 允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 對網絡合成監視器身分與存取進行疑難排解
請使用以下資訊來協助您診斷和修正使用網絡合成監視器和 IAM 時可能遇到的常見問題。
**Topics**
+ [我未獲授權,無法在網絡合成監視器中執行動作](#security_iam_troubleshoot-no-permissions-nw)
+ [我未獲得執行 iam:PassRole 的授權](#security_iam_troubleshoot-passrole-nw)
+ [我想要允許 以外的人員 AWS 帳戶 存取我的 Network Synthetic Monitor 資源](#security_iam_troubleshoot-cross-account-access-nw)
## 我未獲授權,無法在網絡合成監視器中執行動作
如果您收到錯誤,告知您未獲授權執行動作,您的政策必須更新,允許您執行動作。
下列範例錯誤會在`mateojackson` IAM 使用者嘗試使用主控台檢視一個虛構 `my-example-widget` 資源的詳細資訊,但卻無虛構 `networkmonitor:GetWidget` 許可時發生。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: networkmonitor:GetWidget on resource: my-example-widget
```
在此情況下,必須更新 `mateojackson` 使用者的政策,允許使用 `networkmonitor:GetWidget` 動作存取 `my-example-widget` 資源。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我未獲得執行 iam:PassRole 的授權
如果您收到錯誤,告知您無權執行 `iam:PassRole` 動作,則必須更新您的政策,以便將角色傳遞至網絡合成監視器。
有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為 `marymajor` 的 IAM 使用者嘗試使用主控台在網絡合成監視器中執行動作時,會發生下列範例錯誤。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 的政策必須更新,允許她執行 `iam:PassRole` 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我想要允許 以外的人員 AWS 帳戶 存取我的 Network Synthetic Monitor 資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解網絡合成監視器是否支援這些功能,請參閱[Amazon CloudWatch 如何與 IAM 搭配運作](security_iam_service-with-iam.md)。
+ 若要了解如何 AWS 帳戶 在您擁有的 資源間提供存取權,請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 IAM 使用者中提供存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。 **
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱《*IAM 使用者指南*》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《*IAM 使用者指南*》中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# AWS Network Synthetic Monitor 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的帳戶中使用 AWS 。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如, `ReadOnlyAccess` AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 受管政策:CloudWatchNetworkMonitorServiceRolePolicy
`CloudWatchNetworkMonitorServiceRolePolicy` 會連結到服務連結角色,而該角色可讓服務代表您執行動作,並存取與 CloudWatch 網絡合成監視器關聯的資源。無法將此政策附接到 IAM 身分。如需詳細資訊,請參閱[使用 Network Synthetic Monitor 的服務連結角色](monitoring-using-service-linked-roles-nw.md)。
## AWS 受管政策的網路合成監視器更新
若要檢視自此服務開始追蹤這些變更以來,Network Synthetic Monitor 受 AWS 管政策更新的詳細資訊,請參閱 [CloudWatch AWS 受管政策的更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需 CloudWatch 受管政策變更的自動提醒,請訂閱 CloudWatch [文件歷史紀錄](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)頁面上的 RSS 摘要。
# 網絡合成監視器的 IAM 許可
若要使用網絡合成監視器,使用者必須擁有正確的許可。
如需 Amazon CloudWatch 中安全性的詳細資訊,請參閱[適用於 Amazon CloudWatch 的 Identity and Access Management](auth-and-access-control-cw.md)。
## 檢視監視器所需的許可
若要在 中檢視 Network Synthetic Monitor 的監視器 AWS 管理主控台,您必須以具有下列許可的使用者或角色身分登入:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"networkmonitor:Get*",
"networkmonitor:List*"
],
"Resource": "*"
}
]
}
```
------
## 建立監視器所需的許可
若要在網絡合成監視器中建立監視器,使用者必須擁有許可,才可建立與網絡合成監視器相關聯的服務連結角色。若要進一步了解服務連結角色,請參閱 [使用 Network Synthetic Monitor 的服務連結角色](monitoring-using-service-linked-roles-nw.md)。
若要在 中建立 Network Synthetic Monitor 的監視器 AWS 管理主控台,您必須以具有下列政策中包含許可的使用者或角色身分登入。
**注意**
若您建立更嚴格的身分型許可政策,則採取該政策的使用者將無法建立監視器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"networkmonitor:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "networkmonitor.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:CreateNetworkInterface",
"ec2:CreateTags"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# 使用 Network Synthetic Monitor 的服務連結角色
Network Synthetic Monitor 使用下列服務連結角色,以取得代表您呼叫其他 AWS 服務所需的許可:
+ [`AWSServiceRoleForNetworkMonitor`](#security-iam-awsmanpol-AWSServiceRoleForNetworkMonitor)
## `AWSServiceRoleForNetworkMonitor`
網絡合成監視器使用名為 `AWSServiceRoleForNetworkMonitor` 的服務連結角色,來更新和管理監視器。
`AWSServiceRoleForNetworkMonitor` 服務連結角色信任下列服務來擔任此角色:
+ `networkmonitor.amazonaws.com`
`CloudWatchNetworkMonitorServiceRolePolicy` 連結至服務連結角色,並授與服務存取權,以存取您帳戶中的 VPC 和 EC2 資源,以及管理所建立的監視器。
### 許可群組
政策會分組為以下許可集:
+ `cloudwatch` - 允許服務主體將網路監控指標發布至 CloudWatch 資源。
+ `ec2` - 允許服務主體描述您帳戶中的 VPC 和子網路,以建立或更新監視器和探針。這也允許服務主體建立、修改和刪除安全群組、網路介面及其相關權限,以設定監視器或探查,以便將監控流量傳送至端點。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》中的 [CloudWatchNetworkMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkMonitorServiceRolePolicy.html)。**
## 建立服務連結角色
`AWSServiceRoleForNetworkMonitor`
您無須手動建立 `AWSServiceRoleForNetworkMonitor` 角色。
+ 網絡合成監視器會在您使用功能建立第一個監視器時建立 `AWSServiceRoleForNetworkMonitor` 角色。然後,此角色會套用至您建立的所有其他監視器。
若要代表您建立服務連結角色,您必須具有必要的許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 編輯服務連結角色
可使用 IAM 來編輯 `AWSServiceRoleForNetworkMonitor ` 描述。如需更多資訊,請參閱 *IAM 使用者指南*中的[編輯服務連線角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除服務連結角色
如果您不再需要使用網絡合成監視器,建議您刪除 `AWSServiceRoleForNetworkMonitor` 角色。
只有在刪除監視器之後,才能刪除這些服務連結角色。如需詳細資訊,請參閱[刪除監視器](https://docs.aws.amazon.com/ )。
您可以使用 IAM 主控台、IAM CLI 或 IAM API 刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
刪除 `AWSServiceRoleForNetworkMonitor ` 之後,當您建立新的監視器時,網絡合成監視器會再次建立該角色。
## 網絡合成監視器服務連結角色的支援區域
Network Synthetic Monitor 在提供服務的所有 AWS 區域 中支援服務連結角色。如需詳細資訊,請參閱 *AWS 一般參考* 中的 [AWS 端點](https://docs.aws.amazon.com//general/latest/gr/rande.html)。
## 刪除服務連結角色
如果您不再需要使用網絡合成監視器,建議您刪除 `AWSServiceRoleForNetworkMonitor` 角色。
只有在刪除監視器之後,才能刪除這些服務連結角色。如需詳細資訊,請參閱[刪除監視器](https://docs.aws.amazon.com/ )。
您可以使用 IAM 主控台、IAM CLI 或 IAM API 刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
刪除 `AWSServiceRoleForNetworkMonitor ` 之後,當您建立新的監視器時,網絡合成監視器會再次建立該角色。