本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Network Flow Monitor
Network Flow Monitor 可讓您近乎即時地掌握運算資源 (Amazon EC2 和 Amazon Elastic Kubernetes Service)、其他 AWS 服務 (Amazon S3 和 Amazon DynamoDB) 流量,以及其他節點流量的網路效能 AWS 區域。Network Flow Monitor 會從您在執行個體上安裝的輕量型軟體代理程式收集資料。這些代理程式會從 TCP 連線收集效能統計資料,並將此資料傳送至 Network Flow Monitor 後端服務,這會計算每個指標類型的前幾名貢獻者。
Network Flow Monitor 也會判斷 AWS 是否為偵測到網路問題的原因,並報告您選擇監控其詳細資訊的網路流程資訊。
您可以檢視單一帳戶中資源網路流程的網路效能資訊,也可以使用 設定網路流量監視器,透過使用管理或委派管理員帳戶登入, AWS Organizations 來檢視組織中多個帳戶的效能資訊。
Network Flow Monitor 適用於想要近乎即時深入了解網路效能的網路營運商和應用程式開發人員。在 CloudWatch 的 Network Flow Monitor 主控台中,您可以檢視資源網路流量之效能資料,該等資料已從代理程式彙總,並分組歸類於不同類別中。例如,您可以查看可用區域之間或 VPC 之間的流量資料。然後,您可以針對特定流量建立監視器,以便檢視更多細節或長期密切追蹤。
藉助監視器,您可以在指定的時間範圍內,快速視覺化呈現網路連線的封包遺失和延遲狀況。對於每個監視器,Network Flow Monitor 還會產生網路運作狀態指標 (NHI)。NHI 值會通知您,在您評估的期間內,監視器追蹤的網路流程是否有 AWS 網路問題。使用 NHI 資訊,您可以快速決定是否要將故障診斷工作集中在源自工作負載 AWS 的網路問題或網路問題上。
若要查看設定和使用 Network Flow Monitor 的範例,請參閱下列部落格文章:[使用 Network Flow Monitor 視覺化 AWS 雲端工作負載的網路效能](https://aws.amazon.com/blogs/networking-and-content-delivery/visualizing-network-performance-of-your-aws-cloud-workloads-with-network-flow-monitor/)。
# 什麼是網路流程監視器?
Network Flow Monitor 是 Amazon CloudWatch 網路監視器的一項功能。Network Flow Monitor 使用您在 AWS 工作負載中安裝的全受管代理程式,以傳回有關網路流程的效能和可用性指標。藉助 Network Flow Monitor,您可以存取實際工作負載近乎即時的指標,包括重傳次數與傳輸的資料量。您也可以檢查 AWS 網路運作狀態指標 (NHI) 值,識別監視器追蹤的網路流程是否發生基礎網路問題。
**Network Flow Monitor 的主要功能**
+ 透過 Network Flow Monitor,您可以取得 VPC 網路內 TCP 型流量的延遲與封包遺失率近即時指標,從而追蹤並調查工作負載流量的網路問題。
+ 當您的 AWS 工作負載遇到網路降級時,Network Flow Monitor 可協助您判斷問題是由應用程式工作負載或基礎 AWS 基礎設施造成。然後,您可以快速將疑難排解的重點放在發生問題的區域。
**如何使用 Network Flow Monitor**
使用 Network Flow Monitor,您可以在執行個體上安裝輕量型代理程式,用於收集和彙總效能指標。Network Flow Monitor 代理程式會分析 TCP 流量,然後將效能指標匯出至 Network Flow Monitor 服務後端。
代理程式將收集您工作負載的下列指標:TCP 往返時間 (RTT)、TCP 重傳逾時、TCP 重傳次數,以及傳輸的資料量 (位元組)。在執行個體上安裝代理程式後,代理程式將偵測執行個體託管的對應工作負載。代理程式隨後將產生網路效能指標,並將指標傳送至 Network Flow Monitor 後端。指標會彙總為子網路、可用區域、VPCs AWS 和服務等類別。
在 Network Flow Monitor 範圍內,所有網路流量之主要貢獻因子 (依指標類型) 的效能指標將顯示在 AWS 管理主控台的**工作負載洞察**索引標籤上。透過檢閱主要貢獻因子的資料表與圖表,您可以建立監視器,以確定可能需要疑難排解的故障位置,以及需要持續監控的工作負載。
藉助監視器,您可以隨時間推移更密切地監控特定工作負載,並檢視特定網路流量的詳細資訊。除檢視所選網路流量之主要貢獻因子的效能指標外,您還可以檢視包含網路流量所經過之網路跳數的網路路徑資訊,以協助排解問題。此外,Network Flow Monitor 同時會產生監視器的網路運作狀態指標 (NHI)。**降級**的 NHI 值表示在您選取的期間內,至少有一個由監視器追蹤的網路流程存在 AWS 網路問題。
除檢閱所建立之監視器中的資訊外,建議您定期返回檢視**工作負載洞察**頁面上的指標,掌握網路流量中各項效能指標的最新主要貢獻因子。當您檢閱最新資訊時,請考慮是否需要增減現有監視器中的工作負載,或者建立新的監視器。
**Topics**
+ [支援的 AWS 區域](CloudWatch-NetworkFlowMonitor-Regions.md)
+ [元件](CloudWatch-NetworkFlowMonitor-components.md)
+ [運作方式](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)
+ [定價](CloudWatch-NetworkFlowMonitor.pricing.md)
# AWS 區域 支援網路流量監控
網路流量監控目前可在下列位置使用 AWS 區域:
| 區域名稱 | 區域 |
| --- | --- |
| 亞太區域 (孟買) | ap-south-1 |
| 亞太地區 (大阪) | ap-northeast-3 |
| 亞太區域 (首爾) | ap-northeast-2 |
| 亞太區域 (新加坡) | ap-southeast-1 |
| 亞太區域 (雪梨) | ap-southeast-2 |
| 亞太區域 (東京) | ap-northeast-1 |
| 加拿大 (中部) | ca-central-1 |
| 歐洲 (法蘭克福) | eu-central-1 |
| 歐洲 (愛爾蘭) | eu-west-1 |
| 歐洲 (倫敦) | eu-west-2 |
| 歐洲 (巴黎) | eu-west-3 |
| 歐洲 (斯德哥爾摩) | eu-north-1 |
| 南美洲 (聖保羅) | sa-east-1 |
| 美國東部 (維吉尼亞北部) | us-east-1 |
| 美國東部 (俄亥俄) | us-east-2 |
| 美國西部 (加州北部) | us-west-1 |
| 美國西部 (奧勒岡) | us-west-2 |
# 網路流量監視器的元件和功能
Network Flow Monitor 使用或參考以下概念。
**客服人員**
Network Flow Monitor 中的*代理*程式是您安裝在 AWS 運算資源 (Amazon EC2 和 Amazon EKS) 上的軟體應用程式。應用程式有兩項功能:
+ 第一,接收與 TCP 連線相關的事件,並透過 eBPF 在 Linux 核心內註冊。eBPF 是 Linux 擴展的 Berkley 封包篩選 (eBPF) 功能,允許指定程式接收 Linux 核心引發的特定事件。
+ 第二,彙總 eBPF 部分收集的統計資料。代理程式大約每 30 秒將彙總指標傳送至 Network Flow Monitor 後端一次,可能存在 5 秒的波動 (換言之,傳送間隔介於 25 至 35 秒之間)。
如需代理程式的詳細資訊,請參閱 [運作方式](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)。
**主要貢獻因子**
*主要貢獻因子*是指在您的 Network Flow Monitor 範圍內,或您透過監視器追蹤的網路流量中,特定指標 (例如重傳次數) 達到上限的網路流量。檢視效能指標度量中回報數值最高的流量,有助於您找出可能存在故障的環節進行調查。Network Flow Monitor 會傳回監控範圍內主要貢獻因子的效能指標,以取得*工作負載洞察*。此外,如果您建立監視器,Network Flow Monitor 會針對您為監視器選擇的網路流量,傳回主要貢獻因子的效能指標。
**本地與遠端資源**
*本地資源*是指安裝 Network Flow Monitor 代理程式的一個或多個主機的位置。它可以是子網路、VPC、可用區域、Amazon EKS 叢集或 AWS 區域。例如,假設一個工作負載包含 Web 服務與後端資料庫 (例如 DynamoDB) 之間的互動。在本案例中,本地資源是託管 Web 服務的 EC2 執行個體子網路,其也會執行代理程式。網路流量通常具有方向性,但可設定為雙向流動。
*遠端資源*是網路流量的另外一端。在此具備後端資料庫的 Web 服務範例中,DynamoDB 是遠端資源。遠端資源可以是子網路、VPC、可用區域、 AWS 服務或 AWS 區域。如果您將區域指定為遠端資源,Network Flow Monitor 將度量網路流量至區域邊緣的效能。不會度量區域內特定端點的效能。
資源可透過其 ARN 或 AWS 服務名稱識別;對於可用區域或地區而言,可透過區域或地區名稱來識別。
**工作負載深入分析**
*工作負載洞察*包含針對範圍內所有網路流量傳回的效能指標。在 中 AWS 管理主控台,**工作負載洞察**頁面提供您在工作負載執行個體上安裝 Network Flow Monitor 代理程式之工作負載的效能資料。**工作負載洞察**頁面提供應用程式資訊檢視,內容包含傳輸的資料量及其他多項指標,並依工作負載類別進行分組。例如,您可以檢視工作負載的所有指標,包括可用區域 (AZ) 之間或單一可用區域內的流量。透過使用這些洞察,您可以選取需要為其建立監視器的工作負載,以檢視更多詳細資訊,並持續追蹤網路效能。
**監視器**
您可以建立*監視器*,以便持續監控一個或多個特定工作負載的網路效能,並檢視有關網路流量的更多詳細資訊。對於每個監視器,Network Flow Monitor 會發布端對端效能指標以及網路運作狀態指標 (NHI),您可藉此判定故障是因何而起。建議您檢閱**工作負載洞察**頁面上的資訊,以檢視您要關注的網路流量,然後建立監視器來監控這些流量。然後,透過定期檢閱**工作負載洞察**,您可以確定是否有您需要的監視器,或建立新監視器是否有用。
**網路運作狀態指標 (NHI)**
*網路運作狀態指標* (NHI) 是一種二進位值,可通知您在您選擇的期間內,監視器追蹤的一或多個網路流量是否有 AWS 網路問題。當 NHI 值為 1 或**降級**時,至少有一個 AWS 網路流程發生網路問題。使用 NHI 指標,您可以快速決定是否要將故障診斷工作集中在源自工作負載 AWS 的網路問題或網路問題上。
如需詳細資訊,請參閱[在 CloudWatch 中檢視 Network Flow Monitor 指標](CloudWatch-NetworkFlowMonitor-cw-metrics.md)。
**Scope (範圍)**
Network Flow Monitor 中,*範圍*指您在檢視網路效能指標時具備可觀測性的一個或多個帳戶。如果您以管理帳戶身分登入並使用 AWS Organizations CloudWatch 設定 ,您可以將範圍設定為組織中多個帳戶 (最多 100 個帳戶)。否則,如果您使用沒有組織管理許可的 AWS 帳戶 登入,或者尚未使用 CloudWatch 設定組織,Network Flow Monitor 會將範圍設定為您登入的帳戶。
設定 Organizations 之後,您可以透過新增或移除帳戶來變更範圍。不過,每當您變更範圍時,Network Flow Monitor 必須建立範圍內資源的新拓撲。如需詳細資訊,請參閱[將多個帳戶新增至您的範圍](CloudWatch-NetworkFlowMonitor-multi-account.md#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)。
Network Flow Monitor 將為範圍產生唯一的**範圍 ID**。指標資料查詢使用範圍 ID 來確定 Network Flow Monitor 產生的指標所對應的資源。(必須先安裝代理程式來收集和提交指標資料,才能透過 Network Flow Monitor 檢視帳戶的效能指標。)
**查詢 ID**
Network Flow Monitor 會為建立的每個查詢產生唯一的*查詢 ID*,以擷取效能指標資料,例如針對監視器主要貢獻因子的查詢。透過在 Network Flow Monitor 中使用 API 呼叫搭配查詢 ID,您可以檢查查詢狀態、停止查詢、重新執行查詢,或是以其他方式處理查詢。
**效能指標**
Network Flow Monitor 會收集並計算端對端的*效能指標*,包括 TCP 往返時間 (RTT)、TCP 重傳次數、TCP 重傳逾時,以及 Network Flow Monitor 範圍內每個流量傳輸的位元組。服務將彙總這些指標,並傳回至服務後端。可依指標類型檢視主要貢獻因子。當您在網路流量監視器中看到異常時,您也可以檢查網路運作狀態指標 (NHI),以查看是否有基礎 AWS 網路問題。
請注意,RTT 資料可能較為稀疏,因為並非所有 RTT 都會被計算。
也可以使用 Amazon CloudWatch 功能,依據這些指標建立儀表板、警示和通知。例如,可以透過檢閱 [使用 Network Flow Monitor 建立警示](CloudWatch-NetworkFlowMonitor-create-alarm.md) 中的資訊,了解如何使用 Network Flow Monitor 指標設定警示。
# 運作方式
本節提供有關 Network Flow Monitor 如何運作的幾個層面的資訊。
**Network Flow Monitor 代理程式如何收集統計資料**
Network Flow Monitor 中的代理程式會安裝在 AWS 運算資源 (Amazon EC2 和 Amazon EKS) 上,收集效能指標並將其傳送至 Network Flow Monitor 後端。代理程式無法存取 TCP 連線的承載。代理程式僅從 Linux 核心接收被稱為的「bpf\$1sock\$1ops」結構體。此結構體提供本地和遠端 IP 位址、來源和目的地 TCP 連接埠,以及計數器和往返時間。如需代理程式所收集和發布之 TCP 統計資料的清單,請參閱[在 CloudWatch 中檢視 Network Flow Monitor 指標](CloudWatch-NetworkFlowMonitor-cw-metrics.md)。
代理程式使用 Network Flow Monitor `Publish` API 將指標傳送至 Network Flow Monitor 後端伺服器。
*注意:*Network Flow Monitor 每分鐘最多支援約 500 萬個流程。這是已安裝 NFM 代理程式的大約 5,000 個執行個體 (Amazon EC2 和 Amazon EKS 節點)。在超過 5000 個執行個體上安裝代理程式可能會影響監控效能,直到有額外的容量可用為止。
**網路流量監控中網路流量的分類方式**
Network Flow Monitor 會根據流程的來源和終止位置,將網路流程分類為分類。
# 網路流程監視器的定價
使用 Network Flow Monitor 時,無需支付前期費用,亦無需簽訂長期合約。Network Flow Monitor 的定價包含兩部分:被監控的資源 (已安裝代理程式並且在主動傳送資料) 和收費的 CloudWatch 指標。請注意,對於您建立的任何其他指標、儀表板、警示或洞察,均將按標準 CloudWatch 價格計費。
如需 Network Flow Monitor 和 Amazon CloudWatch 定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面上的「網路監控」。
# 開始使用網路流程監視器
為協助您開始使用,本節提供設定 Network Flow Monitor,然後透過其取得洞見的高階概觀。如需詳細資訊,請參閱本指南中有關初始化網路流量監控、部署代理程式和建立監控的其他章節。
+ 初始化 Network Flow Monitor 以接受服務連結的角色許可、在 Network Flow Monitor 中建立監控*範圍*,以及建立初始拓撲。如果您想要觀察多個帳戶中執行個體網路流程的網路效能,您必須與 整合 AWS Organizations,然後將帳戶新增至您的範圍。如需詳細資訊,請參閱 [初始化網路流量監視器](CloudWatch-NetworkFlowMonitor-configure-begin.md)。
+ 根據您的資源部署方式,使用 AWS Systems Manager 或 設定 Kubernetes,在您的執行個體上部署*代理*程式。如果要在 VPC EC2 執行個體上安裝代理程式,請務必為每個執行個體上的代理程式啟用許可,使其能夠將指標傳送至 Network Flow Monitor 後端。如需詳細資訊,請參閱 [在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式](CloudWatch-NetworkFlowMonitor-agents.md)。
+ 檢閱代理程式傳回之網路流量的主要貢獻因子指標,以取得*工作負載洞察*。工作負載洞察提供監控範圍內網路流量效能的高階檢視。
+ 根據您想要檢視其詳細網路資訊的網路流量,建立一個或多個*監視器*。針對每個監視器,指定您要監控其網路流量的本地和遠端資源。使用監視器,您可以查看詳細的指標和資訊 (包括網路運作狀態指標),並檢視所選期間內特定網路流量的網路路徑。
+ 定期:
+ 檢閱所建立之監視器中的網路流量資訊,以了解並協助排解工作負載中的網路故障問題。
+ 檢閱正在監控之網路流量的工作負載洞察,以確定所建立的監視器是否涵蓋最相關的網路流量,或是否需要建立新的監視器以提升效率。
# Network Flow Monitor API 操作
下表所列為可與 Network Flow Monitor 搭配使用的 Network Flow Monitor API 操作。資料表中還包含相關文件的連結。
| Action | API 操作 | 其他資訊 |
| --- | --- | --- |
| 建立流量監視器。 | 請參閱 [CreateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateMonitor.html) | 請參閱 [在 Network Flow Monitor 中建立監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md) |
| 產生資源範圍的指標。 | 請參閱 [CreateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateScope.html) | 請參閱 [利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| 移除監視器。 | 請參閱 [DeleteMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteMonitor.html) | 請參閱 [在 Network Flow Monitor 中刪除監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| 刪除定義的範圍。 | 請參閱 [DeleteScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteScope.html) | 請參閱 [在 Network Flow Monitor 中刪除監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| 取得監視器的相關資訊。 | 請參閱 [GetMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetMonitor.html) | 請參閱 [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 取得特定監視器中主要貢獻因子的查詢資料。 | 請參閱 [GetQueryResultsMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsMonitorTopContributors.html) | 請參閱 [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 查詢工作負載洞察所定義範圍的主要貢獻因子。 | 請參閱 [GetQueryResultsWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributors.html) | 請參閱 [利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| 查詢特定範圍內主要貢獻因子的工作負載洞察資料。 | 請參閱 [GetQueryResultsWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributorsData.html) | 請參閱 [利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| 檢查監視器中主要貢獻因子查詢的狀態,確保在檢閱結果之前已成功。 | 請參閱 [GetQueryStatusMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusMonitorTopContributors.html) | N/A |
| 檢查主要貢獻因子的工作負載洞察查詢狀態,確保在檢閱結果之前已成功。 | 請參閱 [GetQueryStatusWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributors.html) | N/A |
| 檢查主要貢獻因子的工作負載洞察資料查詢狀態,確保在檢閱結果之前已成功。 | 請參閱 [GetQueryStatusWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributorsData) | N/A |
| 取得帳戶或範圍的相關資訊,包括名稱、狀態、標籤和目標詳細資訊。 | 請參閱 [GetScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetScope) | 請參閱 [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 列出帳戶中的所有監視器。 | 請參閱 [ListMonitors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListMonitors) | [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 列出帳戶的所有範圍。 | 請參閱 [ListScopes](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListScopes) | N/A |
| 列出特定資源的標籤。 | 請參閱 [ListTagsForResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListTagsForResource) | 請參閱 [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 參閱監視器中主要貢獻因子的查詢資料。 | 請參閱 [StartQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryMonitorTopContributors) | 請參閱 [使用 Network Flow Monitor 監控和分析網路流量](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| 開始查詢以收集主要貢獻因子的工作負載洞察資料。 | 請參閱 [StartQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryWorkloadInsightsTopContributors) | 請參閱 [利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| 停止監視器中的主要貢獻因子查詢。 | 請參閱 [StopQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryMonitorTopContributors) | N/A |
| 停止主要貢獻因子的工作負載洞察資料查詢。 | 請參閱 [StopQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributors) | N/A |
| 停止主要貢獻因子的工作負載洞察資料查詢。 | 請參閱 [StopQueryWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributorsData) | N/A |
| 將標籤加入資源。 | 請參閱 [TagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_TagResource) | 請參閱 [在 Network Flow Monitor 中編輯監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| 將標籤從資源中移除。 | 請參閱 [UntagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UntagResource) | 請參閱 [在 Network Flow Monitor 中編輯監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| 更新監視器以新增或移除本地或遠端資源。 | 請參閱 [UpdateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateMonitor) | 請參閱 [在 Network Flow Monitor 中編輯監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| 修改範圍以新增或移除 Network Flow Monitor 將針對其產生指標的資源。 | 請參閱 [UpdateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateScope) | N/A |
# 搭配 Network Flow Monitor 使用 CLI 的範例
本節包含搭配 AWS Command Line Interface 網路流量監控操作使用 的範例。
開始之前,請確定您登入以將 AWS CLI 與提供您要用來監控網路流程之範圍 AWS 的帳戶搭配使用。如需搭配使用 Network Flow Monitor 與 API 動作的詳細資訊,請參閱《[Network Flow Monitor API 參考指南](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html)》。
**Topics**
+ [建立監視器](#CloudWatch-NFM-get-started-CLI-create-monitor)
+ [檢視監視器詳細資訊](#CloudWatch-NFM-get-started-CLI-mon-details)
+ [建立範圍](#CloudWatch-NFM-get-started-CLI-create-scope)
+ [刪除監視器](#CloudWatch-NFM-get-started-CLI-delete-monitor)
+ [刪除範圍](#CloudWatch-NFM-get-started-CLI-delete-scope)
+ [取得監視器相關資訊](#CloudWatch-NFM-get-started-CLI-get-monitor)
+ [擷取特定查詢上的資料](#CloudWatch-NFM-get-started-CLI-get-query-results)
+ [請參閱範圍資訊](#CloudWatch-NFM-get-scope)
+ [檢視帳戶的監視器清單](#CloudWatch-NFM-list-monitors)
+ [檢視帳戶的範圍清單](#CloudWatch-NFM-list-scopes)
+ [檢視監視器的標籤清單](#CloudWatch-NFM-list-tags-for-resource)
+ [啟動和停止查詢](#CloudWatch-NFM-query-monitors)
+ [標記監視器](#CloudWatch-NFM-tag-resource)
+ [從監視器移除標籤](#CloudWatch-NFM-untag-resource)
+ [更新現有監視器](#CloudWatch-NFM-update-monitor)
## 建立監視器
若要使用 建立監視器 AWS CLI,請使用 `create-monitor`命令。下列範例在指定帳戶中建立名為 `demo` 的監視器。
```
aws networkflowmonitor create-monitor \
--monitor-name demo \
--local-resources type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889" \
--scope-arn arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-44556677889
```
輸出:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/demo",
"monitorName": "demo",
"monitorStatus": "ACTIVE",
"tags": {}
}
```
如需詳細資訊,請參閱[在 Network Flow Monitor 中建立監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)。
## 檢視監視器詳細資訊
若要使用 檢視監視器的相關資訊 AWS CLI,請使用 `get-monitor`命令。
```
aws networkflowmonitor get-monitor --monitor-name "TestMonitor"
```
輸出:
```
{
"ClientLocationType": "city",
"CreatedAt": "2022-09-22T19:27:47Z",
"ModifiedAt": "2022-09-22T19:28:30Z",
"MonitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/TestMonitor",
"MonitorName": "TestMonitor",
"ProcessingStatus": "OK",
"ProcessingStatusInfo": "The monitor is actively processing data",
"Resources": [
"arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
],
"MaxCityNetworksToMonitor": 10000,
"Status": "ACTIVE"
}
```
## 建立範圍
下列 `create-scope` 範例會建立一個範圍,涵蓋 Network Flow Monitor 將為其產生網路流量指標的資源集合。
```
aws networkflowmonitor create-scope \
--targets '[{"targetIdentifier":{"targetId":{"accountId":"111122223333"},"targetType":"ACCOUNT"},"region":"us-east-1"}]'
```
輸出:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "IN_PROGRESS",
"tags": {}
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 刪除監視器
下列 `delete-monitor` 範例會刪除您帳戶中名為 `Demo` 的監視器。
```
aws networkflowmonitor delete-monitor \
--monitor-name Demo
```
此命令不會產生輸出。
如需詳細資訊,請參閱[在 Network Flow Monitor 中刪除監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)。
## 刪除範圍
下列 `delete-scope` 範例會刪除指定範圍。
```
aws networkflowmonitor delete-scope \
--scope-id sample-aaaa-bbbb-cccc-44556677889
```
此命令不會產生輸出。
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 取得監視器相關資訊
下列 `get-monitor` 範例會顯示指定帳戶中名為 `demo` 的監視器相關資訊。
```
aws networkflowmonitor get-monitor \
--monitor-name Demo
```
輸出:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"localResources": [
{
"type": "AWS::EC2::VPC",
"identifier": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
],
"remoteResources": [],
"createdAt": "2024-12-09T12:21:51.616000-06:00",
"modifiedAt": "2024-12-09T12:21:55.412000-06:00",
"tags": {}
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 擷取特定查詢上的資料
下列各節提供用於擷取查詢狀態的 CLI 命令範例。
### get-query-results-workload-insights-top-contributors-data
`get-query-results-workload-insights-top-contributors-data` 範例會傳回指定查詢的資料。
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
輸出:
```
{
"datapoints": [
{
"timestamps": [
"2024-12-09T19:00:00+00:00",
"2024-12-09T19:05:00+00:00",
"2024-12-09T19:10:00+00:00"
],
"values": [
259943.0,
194856.0,
216432.0
],
"label": "use1-az6"
}
],
"unit": "Bytes"
}
```
### get-query-results-workload-insights-top-contributors
下列 `get-query-results-workload-insights-top-contributors` 範例會傳回指定查詢的資料。
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
輸出:
```
{
"topContributors": [
{
"accountId": "111122223333",
"localSubnetId": "subnet-SAMPLE1111",
"localAz": "use1-az6",
"localVpcId": "vpc-SAMPLE2222",
"localRegion": "us-east-1",
"remoteIdentifier": "",
"value": 333333,
"localSubnetArn": "arn:aws:ec2:us-east-1:111122223333:subnet/subnet-2222444455556666",
"localVpcArn": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
]
}
```
### get-query-status-monitor-top-contributors
下列 `get-query-status-monitor-top-contributors` 範例會顯示指定帳戶中查詢的目前狀態。
```
aws networkflowmonitor get-query-status-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
輸出:
```
{
"status": "SUCCEEDED"
}
```
### get-query-status-workload-insights-top-contributors-data
下列 `get-query-status-workload-insights-top-contributors-data` 範例會顯示指定帳戶中查詢的目前狀態。
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
輸出:
```
{
"status": "SUCCEEDED"
}
```
### get-query-results-workload-insights-top-contributors
下列 `get-query-results-workload-insights-top-contributors` 範例會顯示指定帳戶中查詢的目前狀態。
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
輸出:
```
{
"status": "SUCCEEDED"
}
```
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
## 請參閱範圍資訊
下列 `get-scope` 範例會顯示範圍的相關資訊,例如狀態、標籤、名稱和目標詳細資訊。
```
aws networkflowmonitor get-scope \
--scope-id sample-aaaa-bbbb-cccc-11112222333
```
輸出:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333",
"targets": [
{
"targetIdentifier": {
"targetId": {
"accountId": "111122223333"
},
"targetType": "ACCOUNT"
},
"region": "us-east-1"
}
],
"tags": {}
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 檢視帳戶的監視器清單
下列 `list-monitors` 範例會傳回指定帳戶中的所有監視器。
```
aws networkflowmonitor list-monitors
```
輸出:
```
{
"monitors": [
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE"
}
]
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 檢視帳戶的範圍清單
下列 `list-scopes` 範例會列出指定帳戶中的所有範圍。
```
aws networkflowmonitor list-scopes
```
輸出:
```
{
"scopes": [
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333"
}
]
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
## 檢視監視器的標籤清單
下列 `list-tags-for-resource` 範例會傳回與指定資源相關聯的所有標籤。
```
aws networkflowmonitor list-tags-for-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo
```
輸出:
```
{
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
如需詳細資訊,請參閱[標記您的 Amazon CloudWatch 資源](CloudWatch-Tagging.md)。
## 啟動和停止查詢
下列各節提供在 Network Flow Monitor 中啟動和停止查詢的 CLI 命令範例。
### start-query-monitor-top-contributors
下列 `start-query-monitor-top-contributors` 範例會啟動查詢,並傳回用於擷取主要貢獻因子的查詢 ID。
```
aws networkflowmonitor start-query-monitor-top-contributors \
--monitor-name Demo \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
輸出:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
### start-query-workload-insights-top-contributors-data
下列 `start-query-workload-insights-top-contributors-data` 範例會啟動查詢,並傳回用於擷取主要貢獻因子的查詢 ID。
```
aws networkflowmonitor start-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
輸出:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
### start-query-workload-insights-top-contributors
下列 `start-query-workload-insights-top-contributors` 範例會啟動查詢,並傳回用於擷取主要貢獻因子的查詢 ID。
```
aws networkflowmonitor start-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
輸出:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
### stop-query-monitor-top-contributors
下列 `stop-query-monitor-top-contributors` 範例會停止指定帳戶中的查詢。
```
aws networkflowmonitor stop-query-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
此命令不會產生輸出。
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
### stop-query-workload-insights-top-contributors-data
下列 `stop-query-workload-insights-top-contributors-data` 會停止指定帳戶中的查詢。
```
aws networkflowmonitor stop-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
此命令不會產生輸出。
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
### stop-query-workload-insights-top-contributors
下列 `stop-query-workload-insights-top-contributors` 範例會停止指定帳戶中的查詢。
```
aws networkflowmonitor stop-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
此命令不會產生輸出。
如需詳細資訊,請參閱[利用工作負載洞察來評估網路流程](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)。
## 標記監視器
下列 `tag-resource` 會將標籤新增至指定帳戶中的監視器。
```
aws networkflowmonitor tag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tags Key=stack,Value=Production
```
此命令不會產生輸出。
如需詳細資訊,請參閱[標記您的 Amazon CloudWatch 資源](CloudWatch-Tagging.md)。
## 從監視器移除標籤
下列 `untag-resource` 範例會移除指定帳戶中監視器的標籤。
```
aws networkflowmonitor untag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tag-keys stack
```
此命令不會產生輸出。
如需詳細資訊,請參閱[標記您的 Amazon CloudWatch 資源](CloudWatch-Tagging.md)。
## 更新現有監視器
下列 `update-monitor` 範例會更新指定帳戶中名為「Demo」的監視器。
```
aws networkflowmonitor update-monitor \
--monitor-name Demo \
--local-resources-to-add type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
```
輸出:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
如需詳細資訊,請參閱[網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md)。
# 使用 EKS
使用網路流量監視器,您可以為使用 Amazon Elastic Kubernetes Service (Amazon EKS) 的工作負載收集效能指標。本章說明如何step-by-step安裝代理程式,並描述您可以監控的不同 EKS 案例。您也可以在主控台中找到 Network Flow Monitor 為 Amazon EKS 提供的中繼資料詳細說明,以協助您了解網路效能。
若要獲得網路流量監控效能監控的優勢,您必須先安裝 Amazon EKS 的網路 AWS 流量監控代理程式附加元件。如需詳細資訊,請參閱[安裝 EKS AWS 網路流量監控代理程式附加元件](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)。
如果您想要監控單一 EKS 叢集,以增強對叢集內和外部目的地的工作負載流量和效能洞察的可見性,請參閱 [Amazon EKS 網路可觀測性](https://docs.aws.amazon.com/eks/latest/userguide/network-observability.html)。
**Topics**
+ [安裝 EKS AWS 網路流量監控代理程式附加元件](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)
+ [Amazon EKS 包含的其他網路路徑中繼資料](CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata.md)
# 安裝 EKS AWS 網路流量監控代理程式附加元件
遵循本節中的步驟,安裝適用於 Amazon Elastic Kubernetes Service (Amazon EKS) AWS 的網路流量監控代理程式附加元件,將網路流量監控指標從 Kubernetes 叢集傳送至網路流量監控後端。完成這些步驟後, AWS 網路流量監控代理程式 Pod 將在所有 Kubernetes 叢集節點上執行。
如果您使用自我管理式 Kubernetes 叢集,要遵循的安裝步驟位於上一節:[安裝自我管理式 Kubernetes 執行個體的代理程式](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)。
請注意,Network Flow Monitor 不支援客戶受管字首清單 [客戶受管字首清單](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html)。
可以使用主控台或者搭配使用 API 命令與 AWS Command Line Interface來安裝附加元件。
**Topics**
+ [安裝附加元件的先決條件](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq)
+ [使用主控台安裝附加元件](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console)
+ [使用 CLI 安裝附加元件](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli)
+ [針對第三方工具設定](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party.md)
## 安裝附加元件的先決條件
無論您使用 主控台或 CLI 來安裝 AWS 網路流量監控代理程式附加元件,使用 Kubernetes 安裝附加元件有幾項需求。
**確保您的 Kubernetes 版本受支援**
若要安裝 Network Flow Monitor 代理程式,必須具備 Kubernetes 1.25 或更高版本。
**Amazon EKS Pod 身分識別代理程式附加元件安裝**
可以在主控台中或使用 CLI 安裝 Amazon EKS Pod 身分識別代理程式附加元件。
Amazon EKS Pod 身分識別關聯提供管理應用程式憑證的功能,類似 Amazon EC2 執行個體設定檔將憑證提供給 Amazon EC2 執行個體的方式。Amazon EKS Pod 身分識別透過其他 Amazon EKS 驗證 API 和在每個節點上執行的代理程式 Pod,為您的工作負載提供憑證。
若要進一步了解和檢視安裝 Amazon EKS Pod 身分識別附加元件的步驟,請參閱《Amazon EKS 使用者指南》中的[設定 Amazon EKS Pod 身分識別代理程式](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html)。
## 使用主控台安裝 AWS Network Flow Monitor Agent 附加元件
遵循本節中的步驟,在 Amazon EKS 主控台中安裝和設定 AWS 網路流量監控代理程式附加元件。
如果您已安裝附加元件,並且在升級至新版本時遇到問題,請參閱[對 EKS 代理程式安裝中的問題進行疑難排解](CloudWatch-NetworkFlowMonitor-troubleshooting.md#CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation)。
開始之前,請確定您已安裝 Amazon EKS Pod 身分識別代理程式附加元件。如需詳細資訊,請參閱[前一章節](#NFMPodIdentity)。
**使用主控台安裝附加元件**
1. 在 中 AWS 管理主控台,導覽至 Amazon EKS 主控台。
1. 在安裝附加元件的頁面上,在附加元件清單中,選擇 **AWS Network Flow Monitor 代理程式**。
1. 設定附加元件設定。
1. 針對**附加元件存取權**,選擇 **EKS Pod 身分識別**。
1. 若要讓 IAM 角色與附加元件搭配使用,請使用已連接下列 AWS 受管政策的角色:[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。此政策提供必要許可,讓代理程式能夠將遙測報告傳送至 Network Flow Monitor 端點。如果您還沒有附加政策的角色,請選擇**建立建議的角色**,遵循 IAM 主控台中的步驟來建立角色。
1. 選擇**下一步**。
1. 在**檢閱和新增**頁面上,確定附加元件組態正確無誤,然後選擇**建立**。
## 使用 安裝 AWS Network Flow Monitor Agent 附加元件 AWS Command Line Interface
遵循本節中的步驟,使用 安裝 Amazon EKS 的網路 AWS 流量監控代理程式附加元件 AWS Command Line Interface。
**1. 安裝 EKS Pod 身分識別代理程式附加元件**
開始之前,請確定您已安裝 Amazon EKS Pod 身分識別代理程式附加元件。如需詳細資訊,請參閱[之前的章節](#NFMPodIdentity)。
**2. 建立必要的 IAM 角色**
AWS Network Flow Monitor Agent 附加元件必須具有將指標傳送至 Network Flow Monitor 後端的許可。建立附加元件時,您必須連結具備必要許可的角色。建立已連接下列 AWS 受管政策的角色:[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。您需要此 IAM 角色的 ARN 才能安裝附加元件。
**3. 安裝 AWS 網路流量監控代理程式附加元件**
若要為您的叢集安裝 AWS Network Flow Monitor Agent 附加元件,請執行下列命令:
`aws eks create-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION --pod-identity-associations serviceAccount=aws-network-flow-monitor-agent-service-account,roleArn=IAM ROLE ARN`
結果應類似如下內容:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "CREATING",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
**4. 確定附加元件處於作用中狀態**
檢閱已安裝 AWS 的網路流量監控代理程式附加元件,以確保其對您的叢集處於作用中狀態。執行以下命令來驗證狀態是否為 `ACTIVE`:
`aws eks describe-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION`
結果應類似如下內容:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "ACTIVE",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
# 設定第三方監控工具的附加元件
您可以設定 Network Flow Monitor 附加元件,以在安裝期間公開 OpenMetrics 伺服器。這可與第三方監控工具整合,例如 Prometheus,讓您收集和分析現有監控基礎設施的網路流量指標。[進一步了解 OpenMetrics](https://openmetrics.io/)。此功能可從附加元件版本 v1.1.0 取得。
若要啟用 OpenMetrics 伺服器,請將 OPEN\$1METRICS、OPEN\$1METRICS\$1ADDRESS 和 OPEN\$1METRICS\$1PORT 新增至 EKS 網路流量監視器附加元件的組態值。本指南將說明如何同時使用 CLI 和主控台來執行此操作。如需新增[組態值的其他詳細資訊,請參閱 Amazon EKS 附加元件進階](https://aws.amazon.com/blogs/containers/amazon-eks-add-ons-advanced-configuration/)組態。
## CLI 組態
使用 時 AWS Command Line Interface,您可以提供組態值做為參數:
```
aws eks create-addon \
--cluster-name my-cluster-name \
--addon-name aws-network-flow-monitoring-agent \
--addon-version v1.1.0-eksbuild.1 \
--configuration-values '{"env":{"OPEN_METRICS":"on","OPEN_METRICS_ADDRESS":"0.0.0.0","OPEN_METRICS_PORT":9109}}'
```
## 主控台組態
使用 Amazon EKS 主控台時,您可以在選用組態設定下新增這些值,做為組態值的一部分。
**範例 JSON:**
```
{
"env": {
"OPEN_METRICS": "on",
"OPEN_METRICS_ADDRESS": "0.0.0.0",
"OPEN_METRICS_PORT": 9109
}
}
```
**YAML 範例:**
```
env:
OPEN_METRICS: "on"
OPEN_METRICS_ADDRESS: "0.0.0.0"
OPEN_METRICS_PORT: 9109
```
## EKS 網路流量監控附加元件 OpenMetric 參數
+ **OPEN\$1METRICS:**
+ 啟用或停用開啟指標。如果未提供,則停用
+ 類型:字串
+ 值:【"on"、"off"】
+ **OPEN\$1METRICS\$1ADDRESS:**
+ 接聽開放指標端點的 IP 地址。如果未提供,則預設為 127.0.0.1
+ 類型:字串
+ **OPEN\$1METRICS\$1PORT:**
+ 開放指標端點的接聽連接埠。如果未提供,則預設為 80
+ 類型:整數
+ 範圍:【0..65535】
**重要:**將 OPEN\$1METRICS\$1ADDRESS 設定為 0.0.0.0 時,指標端點可從任何網路界面存取。考慮將 127.0.0.1 用於僅限 localhost 的存取,或實作適當的網路安全控制,以限制僅限授權監控系統的存取。
## 疑難排解
如果您遇到 OpenMetrics 伺服器組態的問題,請使用以下資訊來診斷和解決常見問題。
### 指標未顯示
問題:已設定 OpenMetrics 伺服器,但指標未出現在您的監控工具中。
故障診斷步驟:
1. 確認您的附加元件組態中已啟用 OpenMetrics 伺服器:
+ 檢查組態值中的 OPEN\$1METRICS 是否設為 "on"。請參閱 [describe-addon](https://docs.aws.amazon.com/cli/latest/reference/eks/describe-addon.html)。
+ 在*設定選取的附加元件設定中,確認附加元件*版本為 v1.1.0 或更新版本。
1. 直接測試指標端點:
+ 在 http://*pod-ip:port*/metrics 存取指標 (將 Pod-ip 取代為您設定連接埠的實際 Pod IP 地址和連接埠)。
+ 如果您無法存取端點,請驗證您的網路組態和安全群組設定。
1. 驗證您的監控工具組態。如需如何執行下列作業的詳細資訊,請參閱監控工具使用者指南:
+ 確保您的監控工具 (例如 Prometheus) 設定為抓取正確的端點。
+ 檢查抓取間隔和逾時設定是否適當。
+ 確認您的監控工具具有 Pod IP 地址的網路存取權。
### 特定 Pod 中遺失的指標
問題:指標可從叢集中的某些 Pod 取得,但不適用於其他 Pod。
故障診斷步驟:
Network Flow Monitor 附加元件不支援使用 hostNetwork: true 的 Pod。如果您的 Pod 規格包含此設定,則無法從這些 Pod 取得指標。
解決方法:盡可能從 Pod 規格中移除 hostNetwork: true 設定。如果您需要應用程式使用主機聯網,請考慮針對這些特定 Pod 使用替代監控方法。
### 連線遭拒錯誤
問題:您在嘗試存取指標端點時收到「連線遭拒」錯誤。
故障診斷步驟:
1. 驗證 OPEN\$1METRICS\$1ADDRESS 組態:
+ 如果設定為 127.0.0.1,則只能從 Pod 內存取端點。
+ 如果設定為 0.0.0.0,則應該可以從叢集中的其他 Pod 存取端點。
+ 確保您的監控工具可以到達設定的地址。
1. 檢查 OPEN\$1METRICS\$1PORT 組態:
+ 確認連接埠號碼尚未由其他 服務使用。
+ 確定連接埠在有效範圍內 (1-65535)。
+ 確認任何安全群組或網路政策都允許此連接埠上的流量。
### 驗證步驟
若要確認您的 OpenMetrics 組態正常運作:
1. 檢查附加元件狀態:
```
aws eks describe-addon --cluster-name your-cluster-name --addon-name aws-network-flow-monitoring-agent
```
1. 驗證 Pod 狀態:
```
kubectl get pods app.kubernetes.io/name=aws-network-flow-monitoring-agent
```
1. 從叢集內測試指標端點:
```
kubectl exec add-on-pod-name -- curl localhost:9109/metrics
```
將 9109 取代為您設定的連接埠號碼,並將 Pod 名稱取代為 AddOn Pod 名稱。
# Amazon EKS 包含的其他網路路徑中繼資料
當 Network Flow Monitor 收集 Amazon EKS 元件之間網路流程的效能指標時,它會包含有關網路路徑的其他中繼資料資訊,以協助您進一步了解工作負載的網路路徑如何執行。
您可以為感興趣的網路流程建立監視器,然後在**歷史瀏覽器**索引標籤上檢視詳細資訊,以檢視 Amazon EKS 網路流程效能的詳細資訊。
使用 Network Flow Monitor,您可以測量下列 Amazon EKS 元件之間的網路效能,以更清楚了解工作負載在 Amazon EKS 組態中的效能,並判斷哪裡有瓶頸或受損。
+ Pod 到相同節點上的 Pod
+ 節點對相同叢集上的節點
+ Pod 到不同叢集上的 Pod
+ 節點對不同叢集上的節點
+ 使用和不使用 Network Load Balancer
下表列出網路流量監視器針對每個網路流量案例傳回的資訊。
| **連線資訊** | **中繼資料資訊** | | **區域** | **遠端** | **情況** | **由 啟動** | **區域** | **遠端** | **Pod 名稱** | **服務** | **命名空間** | **Pod 名稱** | **服務** | **命名空間** |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 連線至另一個內部叢集服務的叢集 IP 的本機 Pod | 區域 | 本機 Pod IP 地址 | 遠端 Pod IP 地址 (透過叢集 IP 地址) | ✓ | ✓ | ✓ | ✓ 1 | ✓ | ✓ |
| 連線至另一個內部叢集服務的叢集 IP 的節點網路命名空間中的本機 Pod | 區域 | 本機節點 IP 地址 | 遠端 Pod IP 地址 (透過叢集 IP 地址) | ✓ 2 | ✓ 2 | ✓ 2 | ✓ 1 | ✓ | ✓ |
| 連線至另一個 Pod 之個別 Pod IP 地址的本機 Pod (無周邊服務) | 區域 | 本機 Pod IP 地址 | 遠端 Pod IP 地址 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 連線至節點網路命名空間中另一個 Pod 之個別 Pod IP 地址的本機 Pod (無周邊服務) | 區域 | 本機 Pod IP 地址 | 遠端節點 IP 地址 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 連線至另一個叢集中遠端 Pod 的本機 Pod | 區域 | 本機 Pod IP 地址 | 遠端 Pod IP 地址 (另一個叢集) | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| 連線至外部網路地址的本機 Pod | 區域 | 本機 Pod IP 地址 | 外部 IP 地址 | ✓ | ✓ | ✓ | N/A | N/A | N/A |
| 在連線至外部網路 IP 地址的節點網路命名空間中操作的本機 Pod | 區域 | 本機節點 IP 地址 | 外部 IP 地址 | ✓ 2 | ✓ 2 | ✓ 2 | N/A | N/A | N/A |
| 透過叢集 IP 地址連線至本機 Pod 的遠端 Pod | 遠端 | 本機 Pod IP 地址 (透過叢集 IP 地址) | 遠端 Pod IP 地址 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 連線至本機 Pod 的節點網路命名空間中的遠端 Pod | 遠端 | 本機 Pod IP 地址 (透過叢集 IP 地址) | 遠端節點 IP 地址 | ✓ | ✓ | ✓ | ✓ 3 | ✓ 3 | ✓ 3 |
| 連線至本機 Pod 的遠端 Pod (無周邊服務) | 遠端 | 本機 Pod IP 地址 | 遠端 Pod IP 地址 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 連接到本機 Pod 的外部 Pod | 遠端 | 本機 Pod IP 地址 | 遠端 Pod IP 地址 | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| 透過 NodePort 或 Load Balancer 連線到本機 Pod 的外部資源 | 遠端 | 本機 Pod IP 地址 | 外部 IP 地址 4 | ✓ | ✓ | ✓ | N/A | N/A | N/A |
| 透過 NodePort 或 Load Balancer 連線到節點網路命名空間中操作的本機 Pod 的外部資源 | 遠端 | 本機節點 IP 地址 | 外部 IP 地址 4 | ✓ | ✓ | ✓ | N/A | N/A | N/A |
請注意下列與上表中以註腳標示的項目對應的其他資訊。
1. 對於具有其他擁有者的 Pod,例如由 EKS 控制平面管理的 Kubernetes 服務,Pod 名稱在此案例中不可見。
1. 如果節點網路命名空間中存在其他 Pod,則無法解析本機 Pod 名稱、服務和命名空間。
1. 如果節點網路命名空間中存在其他 Pod,則無法解析遠端 Pod 名稱、服務和命名空間。
1. 如果服務在執行個體模式下使用 NodePort 或 LoadBalancer,且`ExternalTrafficPolicy`設定為 `Cluster`,則此 IP 地址將報告為接收 NodePort 連線之節點的 IP 地址。
# 在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式
為了提供 AWS 工作負載中網路流程的效能指標,Network Flow Monitor 依賴您安裝的*代理*程式,將指標傳送至 Network Flow Monitor。您需要在執行個體上安裝 Network Flow Monitor 代理程式,然後為代理程式設定正確的許可,以便它們可以將指標傳送至 Network Flow Monitor 後端。
代理程式是您安裝在資源 (例如 VPC EC2 執行個體) 上的輕量型軟體應用程式。代理程式會持續將效能指標傳送至 Network Flow Monitor 後端。然後您可以在 Network Flow Monitor 主控台的**工作負載洞察**頁面檢視指標。也可以透過建立監視器,追蹤特定網路流量或一組流量的詳細指標。
您在執行個體中部署代理程式所遵循的步驟取決於執行個體類型:Amazon EKS Kubernetes 執行個體、VPC EC2 執行個體或自我管理 (非 EKS) Kubernetes 執行個體。
+ 如需使用 Amazon EKS 的詳細資訊,包括在 EKS 上安裝代理程式,請參閱 [使用 EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.md)。
+ 如需有關在 VPC EC2 執行個體和自我管理 Kubernetes 執行個體上安裝代理程式的資訊,請參閱本章中的章節。
您可以使用 在 VPC 和網路流量監控代理程式之間建立私有連線 AWS PrivateLink。如需詳細資訊,請參閱[使用 CloudWatch、CloudWatch Synthetics 和 CloudWatch 網路監控搭配介面 VPC 端點](cloudwatch-and-interface-VPC.md)。
**Topics**
+ [Network Flow Monitor 代理程式支援的 Linux 版本](CloudWatch-NetworkFlowMonitor-agents-versions.md)
+ [安裝和管理 EC2 執行個體的代理程式](CloudWatch-NetworkFlowMonitor-agents-ec2.md)
+ [安裝自我管理式 Kubernetes 執行個體的代理程式](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)
# Network Flow Monitor 代理程式支援的 Linux 版本
安裝代理程式的執行個體必須執行受支援的 Linux 版本和發行版本。Network Flow Monitor 僅支援在 Linux 系統上執行代理程式,且 Linux 核心必須為 5.8 或更高版本。支援以下 Linux 發行版本。請注意,代理程式經過測試,可在這些最新的發行版本上執行。
+ Amazon Linux
+ Ubuntu
+ Red Hat
+ SUSE Linux
+ 適用於 x86 和 aarch64 的 Debian 發行版本
# 安裝和管理 EC2 執行個體的代理程式
請依循本節中的步驟,為 Amazon EC2 執行個體上的工作負載安裝 Network Flow Monitor 代理程式。可以透過兩種方式安裝代理程式:使用 SSM,或使用命令列下載並安裝預先建置的 Network Flow Monitor 代理程式套件。
無論使用何種方法在 EC2 執行個體上安裝代理程式,都必須設定代理程式的許可,讓它們能夠將效能指標傳送至 Network Flow Monitor 後端。
**Topics**
+ [設定代理程式的許可權](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)
+ [EC2 執行個體代理程式與 SSM](CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm.md)
+ [下載並安裝代理程式](CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline.md)
# 設定代理程式的許可權
若要讓代理程式將指標傳送至 Network Flow Monitor 擷取後端,執行代理程式之 EC2 執行個體所用的角色必須具備連結正確許可的政策。若要提供必要的許可,請使用已連接下列 AWS 受管政策的角色:[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。將此政策連結到您計畫安裝 Network Flow Monitor 代理程式之 EC2 執行個體的 IAM 角色。
建議您在 EC2 執行個體上安裝代理程式之前新增許可權。可以等到代理程式安裝完畢後再執行此動作,但在獲得許可之前,代理程式無法將指標傳送至服務。
**為 Network Flow Monitor 代理程式新增許可**
1. 在 AWS 管理主控台 Amazon EC2 主控台的 中,找到您計劃安裝網路流量監控代理程式的 EC2 執行個體。
1. 將 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) 連結至每個執行個體的 IAM 角色。
如果執行個體未連結 IAM 角色,請執行下列動作來選擇角色:
1. 在**動作**下,選擇**安全性**。
1. 選擇**修改 IAM 角色**,或選擇**建立新的 IAM 角色**來建立新角色。
1. 選擇執行個體的角色,並連結 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) 政策。
# 使用 SSM 在 EC2 執行個體上安裝代理程式
Network Flow Monitor 代理程式提供網路流量的效能指標。遵循本節中的步驟,使用 在 EC2 執行個體上安裝和使用 Network Flow Monitor 代理程式 AWS Systems Manager。如果您使用 Kubernetes,請跳至下一節,取得使用 Amazon EKS 叢集或自我管理式 Kubernetes 叢集安裝代理程式的相關資訊。
Network Flow Monitor 在 Systems Manager 中提供發行版套件,用於安裝或解除安裝代理程式。此外,Network Flow Monitor 提供使用 Document Type 命令啟用或停用代理程式的文件。依標準 Systems Manager 程序使用套件和文件,或依循此處提供的步驟取得詳細指引。
如需使用 Systems Manager 的一般詳細資訊,請參閱下列文件:
+ [AWS Systems Manager 執行命令](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [AWS Systems Manager 分發](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)
請完成以下各節中的步驟,以設定許可,以及安裝和使用 Network Flow Monitor 代理程式。
**內容**
+ [安裝或解除安裝代理程式](#CloudWatch-NetworkFlowMonitor-agents-ec2-install)
+ [啟用或停用代理程式](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)
## 使用 Systems Manager 安裝或解除安裝代理程式
Network Flow Monitor 在 中提供經銷商套件, AWS Systems Manager 供您安裝 Network Flow Monitor 代理程式:**AmazonCloudWatchNetworkFlowMonitorAgent**。若要存取並執行套件以安裝代理程式,請依循此處提供的步驟。
**在 EC2 執行個體中安裝代理程式**
1. 在 AWS 管理主控台的**節點工具** AWS Systems Manager下,選擇**經銷商**。
1. 在 **Amazon 擁有**下,找到 Network Flow Monitor 套件 **AmazonCloudWatchNetworkFlowMonitorAgent**,然後選取它。
1. 在**執行命令**流量中,選擇**安裝一次**或**依排程安裝**。
1. 在**目標選取**區段中,選擇您要如何選取安裝代理程式的 EC2 執行個體。可以根據標籤選取執行個體、手動選擇執行個體,或根據資源群組進行選擇。
1. 在**命令參數**區段的**動作**下,選擇**安裝**。
1. 視需要向下捲動,然後選擇**執行**以開始安裝。
如果安裝成功,且執行個體具有存取 Network Flow Monitor 端點的許可,代理程式會開始收集指標,並將報告傳送至 Network Flow Monitor 後端。
作用中的代理程式 (傳送指標資料) 會產生計費成本。如需 Network Flow Monitor 和 Amazon CloudWatch 定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面上的「網路監控」。如果暫時不需要指標資料,可以停用代理程式。如需詳細資訊,請參閱[啟用或停用代理程式](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)。如果不再需要 Network Flow Monitor 代理程式,可以從 EC2 執行個體解除安裝。
**從 EC2 執行個體解除安裝代理程式**
1. 在 AWS 管理主控台的**節點工具** AWS Systems Manager下,選擇**經銷商**。
1. 在 **Amazon 擁有**下,找到 Network Flow Monitor 套件 **AmazonCloudWatchNetworkFlowMonitorAgent**,然後選取它。
1. 在**命令參數**區段的**動作**下,選擇**解除安裝**。
1. 選取要從其中解除安裝代理程式的 EC2 執行個體。
1. 視需要向下捲動,然後選擇**執行**以開始安裝。
## 使用 Systems Manager 啟用或停用代理程式
使用 SSM 安裝 Network Flow Monitor 代理程式後,必須啟用它,才能從安裝該代理程式的執行個體接收網路流量指標。作用中的代理程式 (傳送指標資料) 會產生計費成本。如需 Network Flow Monitor 和 Amazon CloudWatch 定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面上的「網路監控」。如果暫時不需要指標資料,可以停用代理程式,以避免其持續產生相關費用。
Network Flow Monitor 在 中提供文件 AWS Systems Manager ,您可以使用已在 EC2 執行個體上安裝的啟用或停用代理程式。透過執行本文件來管理代理程式,您可以啟用它們以開始接收效能指標。也可以停用它們,暫時停止傳送指標,而無需解除安裝代理程式。
在 SSM 中用於啟用或停用代理程式的文件稱為 **AmazonCloudWatch-NetworkFlowMonitorManageAgent**。若要存取和執行文件,請依循程序中的步驟。
**啟用或停用 Network Flow Monitor 代理程式**
1. 在 AWS 管理主控台中的**變更管理工具** AWS Systems Manager下,選擇 **文件**。
1. 在 **Amazon 擁有**下,找到 Network Flow Monitor 文件 **AmazonCloudWatch-NetworkFlowMonitorManageAgent**,然後選取該文件。
1. 在**目標選取**區段中,選擇您要如何選取安裝代理程式的 EC2 執行個體。可以根據標籤選取執行個體、手動選擇執行個體,或根據資源群組進行選擇。
1. 在**命令參數**區段的**動作**下,選擇**啟用**或**停用**,視您要為代理程式採取的動作而定。
1. 視需要向下捲動,然後選擇**執行**以開始安裝。
# 使用命令列下載 Network Flow Monitor 代理程式的預先建置套件
可以在 Amazon Linux 2023 中使用命令列將 Network Flow Monitor 代理程式安裝為套件,或下載並安裝 Network Flow Monitor 代理程式的預先建置套件。
下載預先建置套件之前或之後,可以選擇驗證套件簽章。如需詳細資訊,請參閱[驗證 Network Flow Monitor 代理程式套件簽章](#CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig)。
請根據您使用的 Linux 作業系統以及所需的安裝類型,從以下說明中選擇相應步驟:
**Amazon Linux AMI**
Network Flow Monitor 代理程式可在 Amazon Linux 2023 中作為套件使用。如果您使用的是此作業系統,可以輸入下列命令來安裝套件:
`sudo yum install network-flow-monitor-agent`
還必須確定連結至執行個體的 IAM 角色已連結 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy) 政策。如需詳細資訊,請參閱[設定代理程式的許可](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)。
**Amazon Linux 2023**
使用下列其中一個命令為您的架構安裝套件:
+ **x86\$164**:`sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.rpm`
+ **ARM64 (Graviton)**:`sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm`
執行下列命令並確認回應顯示代理程式已啟用且處於作用中狀態,以確認 Network Flow Monitor 代理程式已成功安裝:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
**DEB 型發行 (Debian、Ubuntu)**
使用下列其中一個命令為您的架構安裝套件:
+ **x86\$164**:`wget https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.deb`
+ **ARM64 (Graviton)**:`wget https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb`
使用以下命令安裝套件:`$ sudo apt-get install ./network-flow-monitor-agent.deb`
執行下列命令並確認回應顯示代理程式已啟用且處於作用中狀態,以確認 Network Flow Monitor 代理程式已成功安裝:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
## 驗證 Network Flow Monitor 代理程式套件的簽章
Linux 執行個體的 Network Flow Monitor Agent rpm 和 deb 安裝程式套件都經過加密簽署。您可以使用公有金鑰來驗證代理程式套件為原版且未經修改。如果檔案損壞或遭到修改,驗證會失敗。您可以使用 RPM 或 GPG 來驗證安裝程式套件的簽章。下列資訊適用於 Network Flow Monitor 代理程式 0.1.3 或更高版本。
若要尋找每個架構和作業系統的正確簽章檔案,請參閱下表。
| Architecture | 平台 | 下載連結 | 簽章檔案連結 |
| --- | --- | --- | --- |
| x86-64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.rpm | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.rpm.sig |
| ARM64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm.sig |
| x86-64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.deb | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.deb.sig |
| ARM64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb.sig |
請依循此處的步驟來驗證 Network Flow Monitor 代理程式的簽章。
**驗證 Amazon S3 套件的 Network Flow Monitor 代理程式簽章**
1. 安裝 GnuPG,以便您可以執行 gpg 命令。需要 GnuPG 來驗證為 Amazon S3 套件下載之 Network Flow Monitor 代理程式的真實性和完整性。GnuPG 預設安裝在 Amazon Linux Amazon Machine Image (AMI) 上。
1. 複製下列公有金鑰,並將其儲存至名為 `nfm-agent.gpg` 的檔案。
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. 將公有金鑰匯入至您的 keyring,並記下傳回的值。
```
PS> rpm --import nfm-agent.gpg
gpg: key 3B789C72: public key "Network Flow Monitor Agent" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
請記下金鑰的值,因為您的下一個步驟將需要它。在範例中,鍵值為 `3B789C72`。
1. 執行下列命令,驗證指紋:請務必將 *key-value* 取代為上述步驟中的值。即使您使用 RPM 來驗證安裝程式套件,我們仍建議您使用 GPG 來驗證指紋。
```
PS> gpg --fingerprint key-value
pub rsa4096 2025-04-08 [SC] [expires: 2028-04-07]
7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1
uid Network Flow Monitor Agent
```
指紋字串應等於:
`7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1`
若指紋字串不相符,請勿安裝代理程式。請聯絡 Amazon Web Services。
您驗證指紋之後,即可使用它來驗證 Network Flow Monitor 代理程式套件的簽章。
1. 如果尚未下載簽章檔案,請根據執行個體的架構和作業系統下載。
1. 確認安裝程式套件簽章。請務必將 `signature-filename` 和 `agent-download-filename` 替換為您下載簽章檔案和代理程式時指定的值,如本主題稍早的資料表中所示。
```
PS> gpg --verify sig-filename agent-download-filename
gpg: Signature made Tue Apr 8 00:40:02 2025 UTC
gpg: using RSA key 77777777EXAMPLEKEY
gpg: issuer "network-flow-monitor-agent@amazon.com"
gpg: Good signature from "Network Flow Monitor Agent " [unknown]
gpg: WARNING: Using untrusted key!
```
如果輸出包含 `BAD signature` 片語,請檢查以確定您已正確執行程序。如果持續收到此回應,請聯絡 [AWS 支援人員](https://aws.amazon.com/premiumsupport/),並避免使用下載的檔案。
請注意有關信任的警告。只有您或您信任者所簽章的金鑰才能信任。這不表示該簽章是無效的,只是您尚未驗證該公有金鑰。
接著,請依循此處的步驟驗證 RPM 套件。
**驗證 RPM 套件的簽章**
1. 複製下列公有金鑰,並將其儲存至名為 `nfm-agent.gpg` 的檔案。
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. 將公開金鑰匯入至您的 keyring。
```
PS> rpm --import nfm-agent.gpg
```
1. 確認安裝程式套件簽章。請務必將 `agent-download-filename` 替換為您下載代理程式時指定的值,如本主題稍早的資料表中所示。
```
PS> rpm --checksig agent-download-filename
```
例如,對於 Amazon Linux 2023 上的 x86\$164 架構,請使用下列命令:
```
PS> rpm --checksig network-flow-monitor-agent.rpm
```
此命令會傳回類似以下的輸出。
```
network-flow-monitor-agent.rpm: digests signatures OK
```
如果輸出包含 `NOT OK (MISSING KEYS: (MD5) key-id)` 片語,請檢查您是否已正確執行程序。如果持續收到此回應,請聯絡 [AWS 支援人員](https://aws.amazon.com/premiumsupport/),並且不要安裝代理程式。
# 安裝自我管理式 Kubernetes 執行個體的代理程式
請依循本節中的步驟,為自我管理式 Kubernetes 叢集上的工作負載安裝 Network Flow Monitor 代理程式。完成這些步驟後,Network Flow Monitor 代理程式 Pod 將在所有自我管理式 Kubernetes 叢集節點上執行。
如果您使用 Amazon Elastic Kubernetes Service (Amazon EKS),請依循如下章節中的安裝步驟操作:[安裝 EKS AWS 網路流量監控代理程式附加元件](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)。
**Topics**
+ [開始之前](CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin.md)
+ [下載 Helm Chart 並安裝代理程式](CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents.md)
+ [設定代理程式傳送指標的許可](CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions.md)
# 開始之前
開始安裝程序之前,請依循本節中的步驟,確保您的環境已設定妥當,可成功在正確的 Kubernetes 叢集上安裝代理程式。
**確保您的 Kubernetes 版本受支援**
若要安裝 Network Flow Monitor 代理程式,必須具備 Kubernetes 1.25 或更高版本。
**確保您已安裝必要的工具**
用於此安裝程序的指令碼需要您安裝下列工具。如果尚未安裝這些工具,請參閱提供的連結以取得詳細資訊。
+ AWS Command Line Interface (CLI)。如需詳細資訊,請參閱《 AWS Command Line Interface 參考指南》中的[安裝或更新至最新版本的 AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
+ Helm 套件管理員。如需詳細資訊,請參閱 Helm 網站上的[安裝 Helm](https://helm.sh/docs/intro/install/)。
+ `kubectl` 命令列工具。如需詳細資訊,請參閱 Kubernetes 網站上的[安裝 kubectl](https://kubernetes.io/docs/tasks/tools/#kubectl)。
+ `make` Linux 命令相依項。如需詳細資訊,請參閱下列部落格文章:[Intro to make Linux Command: Installation and Usage](https://ioflood.com/blog/install-make-command-linux/)。對於範例,請執行下列其中一項動作:
+ 對於 Debian 型發行,例如 Ubuntu,請使用下列命令:`sudo apt-get install make`
+ 對於 RPM 型發行,例如 CentOS,請使用下列命令:`sudo yum install make`
**確保擁有有效且正確設定的 KubeConfig 環境變數**
安裝 Network Flow Monitor 代理程式時需用到 Helm 套件管理員工具,該工具使用 kubeconfig 變數 `$HELM_KUBECONTEXT` 來判斷要使用的目標 Kubernetes 叢集。此外,請注意,當 Helm 執行安裝指令碼時,預設會參考標準 `~/.kube/config` 檔案。您可以變更組態環境變數,以使用不同的設定檔 (透過更新 `$KUBECONFIG`) 或定義要使用的目標叢集 (透過更新 `$HELM_KUBECONTEXT`)。
**建立 Network Flow Monitor Kubernetes 命名空間**
Network Flow Monitor 代理程式的 Kubernetes 應用程式會將其資源安裝至特定命名空間。命名空間必須存在,安裝才能成功。若要確保所需的命名空間已就位,可以執行下列其中一項動作:
+ 開始之前,請先建立預設命名空間 `amazon-network-flow-monitor`。
+ 建立不同的命名空間,然後在執行安裝以建立目標時,在 `$NAMESPACE` 環境變數中對其進行定義。
# 下載 Helm Chart 並安裝代理程式
您可以使用下列命令,從 AWS 公有儲存庫下載網路流量監控代理程式 Helm Chart。請確保已先使用 GitHub 帳戶進行身分驗證。
`git clone https://github.com/aws/network-flow-monitor-agent.git`
在 `./charts/amazon-network-flow-monitor-agent` 目錄中,您可以找到 Network Flow Monitor 代理程式 Helm Chart 和 Makefile,其中包含用於安裝代理程式的安裝 make 目標。可以使用下列 Makefile 目標安裝 Network Flow Monitor 代理程式:`helm/install/customer`
可以視需要自訂安裝,例如執行下列動作:
```
# Overwrite the kubeconfig files to use
KUBECONFIG= make helm/install/customer
# Overwrite the Kubernetes namespace to use
NAMESPACE= make helm/install/customer
```
若要驗證是否已成功建立和部署 Network Flow Monitor 代理程式的 Kubernetes 應用程式 Pod ,請檢查其狀態是否為 `Running`。您可以執行下列命令來檢查代理程式的狀態:`kubectl get pods -o wide -A | grep amazon-network-flow-monitor`
# 設定代理程式傳送指標的許可
安裝 Network Flow Monitor 代理程式後,必須啟用這些代理程式,使其能夠將網路指標傳送至 Network Flow Monitor 擷取 API。Network Flow Monitor 中的代理程式必須具有存取 Network Flow Monitor 擷取 API 許可,以便他們可以傳送為每個執行個體收集的網路流量指標。您可以透過為服務帳戶 (IRSA) 實作 IAM 角色來授與此存取權。
若要讓代理程式能夠將網路指標傳送至 Network Flow Monitor,請依循本節中的步驟。
1. **為服務帳戶實作 IAM 角色**
服務帳戶的 IAM 角色提供管理應用程式憑證的功能,類似 Amazon EC2 執行個體設定檔將憑證提供給 Amazon EC2 執行個體的方式。若要提供 Network Flow Monitor 代理程式所需的所有許可,使其能夠成功存取 Network Flow Monitor 擷取 API,建議的做法是實作 IRSA。如需詳細資訊,請參閱《Amazon EKS 使用者指南》中的[服務帳戶的 IAM 角色](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html)。
為 Network Flow Monitor 代理程式設定 IRSA 時,請使用下列資訊:
+ **服務帳戶:**當您定義 IAM 角色信任政策時,對於 `ServiceAccount`,指定 `aws-network-flow-monitor-agent-service-account`。
+ **命名空間:**對於 `namespace`,指定 `amazon-network-flow-monitor`。
+ **暫時憑證部署:**當您在部署完 Network Flow Monitor 代理程式 Pod 之後設定許可時,`ServiceAccount`請使用 IAM 角色更新 ,Kubernetes 不會部署 IAM 角色憑證。為了確保 Network Flow Monitor 代理程式取得您指定的 IAM 角色憑證,必須逐步重新啟動 `DaemonSet`。例如,使用如下命令:
`kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent`
1. **確認 Network Flow Monitor 代理程式可成功存取 Network Flow Monitor 擷取 API**
可以透過檢視 Network Flow Monitor 代理程式 Pod 的 HTTP 200 日誌,確認代理程式的設定是否運作正常。首先,搜尋 Network Flow Monitor 代理程式 Pod,然後搜尋日誌檔案以尋找成功的 HTTP 200 請求。例如,您可以執行下列動作:
1. 尋找網路流量監控代理程式 Pod 名稱。舉例而言,您可以使用下列命令:
```
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)
```
1. 在所有 HTTP 日誌中搜尋您已定位的 Pod 名稱。如果您已變更 NAMESPACE,請務必使用新的命名空間。
```
NAMESPACE=amazon-network-flow-monitor
kubectl logs $RANDOM_AGENT_POD_NAME -\-namespace ${NAMESPACE} | grep HTTP
```
如果已成功授與存取權,您應該會看到類似如下的日誌項目:
```
...
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679}
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}
```
請注意,Network Flow Monitor 代理程式會呼叫 Network Flow Monitor 擷取 API,每 30 秒發布一次網路流量報告。
# 初始化網路流量監視器
在檢視網路流量的效能指標之前,必須初始化 Network Flow Monitor,以授與必要的許可,並為您的一個或多個帳戶建立初始拓撲。如果您打算監控多個帳戶的資源,您還必須使用 Amazon CloudWatch AWS Organizations 設定 。然後,您可以為 Network Flow Monitor 範圍指定帳戶,以便 Network Flow Monitor 可以為您要追蹤其效能指標的所有帳戶建立初始拓撲。
此外,您必須在執行個體上安裝代理程式,將效能指標傳送至網路流量監視器擷取伺服器。如需詳細資訊,請參閱[在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式](CloudWatch-NetworkFlowMonitor-agents.md)。
初始化 Network Flow Monitor 所採取的步驟,取決於您是度量單一帳戶中資源的效能指標,還是要監控組織內多個帳戶擁有之資源的指標。
+ [單一帳戶監控初始化](CloudWatch-NetworkFlowMonitor-single-account.md)
+ [多帳戶監控初始化](CloudWatch-NetworkFlowMonitor-multi-account.md)
# 初始化 Network Flow Monitor 以進行單一帳戶監控
若要初始化 Network Flow Monitor 以監控網路效能指標,您必須授與許可,Network Flow Monitor 必須為您的帳戶建立初始拓撲。當您只監控一個帳戶中的資源時,Network Flow Monitor 會將您的帳戶設定為網路監控的範圍,並建立該範圍的拓撲。
初始化 Network Flow Monitor 會執行下列動作:
+ 准許 Network Flow Monitor 搭配您的帳戶使用所需的服務連結角色。Network Flow Monitor 要求您授與其特定許可,以便此功能可以代表您將指標傳送至 Amazon CloudWatch,並建立網路流量的拓撲。如需詳細資訊,請參閱[網路流量監視器的服務連結角色](using-service-linked-roles-network-flow-monitor.md)。
+ 將網路流量監控的監控範圍設定為您登入 AWS 的帳戶。如需詳細資訊,請參閱 [網路流量監視器的元件和功能](CloudWatch-NetworkFlowMonitor-components.md) 中的**範圍**。
+ 為您的範圍建立初始拓撲。
若要設定提供必要許可的服務連結角色、將範圍設定為您的帳戶,以及建立網路流量效能監控的拓撲,從而初始化 Network Flow Monitor,請依循下列步驟操作。
**初始化 Network Flow Monitor**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 在**開始使用 Network Flow Monitor** 區段的步驟 1 下,選擇**開始初始化**。
1. 在**設定 Network Flow Monitor** 頁面上,向下捲動,然後選擇**初始化 Network Flow Monitor**。
完成初始化可能需要 20-30 分鐘。
為帳戶初始化 Network Flow Monitor 之後,還必須為資源安裝 Network Flow Monitor 代理程式,以便將效能指標傳送至 Network Flow Monitor 後端擷取伺服器,您才能檢視網路流量效能指標。如需詳細資訊,請參閱[在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式](CloudWatch-NetworkFlowMonitor-agents.md)。
# 初始化 Network Flow Monitor 以進行多帳戶監控
如果想要監控 Network Flow Monitor 中不同帳戶擁有之資源的網路流量,必須先使用 AWS Organizations設定 Amazon CloudWatch。若要在 Network Flow Monitor 中使用多個帳戶,必須開啟 CloudWatch 的受信任存取權,最佳做法是同時註冊委派管理員。
此外,如果您計畫從主控台建立網路流量的監視器,必須將 Network Flow Monitor 政策新增至連結資源的角色。此政策可讓您在主控台中檢視其他帳戶的資源,以便將多個帳戶中的資源新增至監視器。
若要監控不同帳戶擁有之資源的網路流量,需要採取額外的設定步驟。首先,身為管理帳戶,您必須使用 設定 CloudWatch AWS Organizations 以開啟受信任的存取,通常您也會註冊委派的管理員帳戶。然後,您可以使用委派的管理員帳戶,在組織中新增更多帳戶,以設定網路可觀測性的範圍,將資源納入這些帳戶中。(您也可以使用管理帳戶新增多個帳戶,但是在組織中,當您處理服務中的資源時,使用委派的管理員帳戶是最佳做法。我們在此說明中提供遵循該指引的步驟,適用於 Network Flow Monitor。)
請注意,如果您不需要監控來自多個帳戶之執行個體的網路流量,可以搭配單一帳戶使用 Network Flow Monitor。Network Flow Monitor 的範圍會自動設定為您登入 AWS 的帳戶。
使用下列各節中的指引來完成這些步驟。
**Topics**
+ [多帳戶設定概觀](#CloudWatch-NetworkFlowMonitor-multi-account.overview)
+ [設定 AWS Organizations](#CloudWatch-NetworkFlowMonitor-multi-account.config-orgs)
+ [新增多個帳戶](#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)
+ [新增主控台的許可](#CloudWatch-NetworkFlowMonitor-multi-account.console-perms)
## 在 Network Flow Monitor 中使用多個帳戶的步驟概觀
若要開始使用 Network Flow Monitor,之前未使用過 Network Flow Monitor 的帳戶都必須初始化 Network Flow Monitor。當您為帳戶初始化 Network Flow Monitor 時,Network Flow Monitor 會新增所需的服務連結角色許可,並建立一個或多個帳戶的範圍,以納入網路可觀測性。若要在網路流量監視器中使用多個帳戶,還有其他步驟要與 整合 AWS Organizations,然後新增要使用的帳戶。
總而言之,您需要採取下列步驟:
1. 以管理帳戶 AWS 管理主控台 身分登入 ,然後執行下列動作:
+ 完成在 CloudWatch AWS Organizations 中與 整合的必要步驟。
1. 以委派管理員帳戶 AWS 管理主控台 身分登入 ,然後執行下列動作:
+ 初始化 Network Flow Monitor,包括將帳戶新增至監控範圍。
+ 新增從主控台存取其他帳戶中的資源所需的許可。
如果您要設定 Network Flow Monitor 來使用多個帳戶,但您不熟悉 AWS Organizations,請檢閱下列資源,以了解管理帳戶、受信任存取和委派管理員帳戶等概念,並了解如何將 Organizations 與 CloudWatch 整合。
+ AWS Organizations 《 使用者指南》[中的使用 管理組織中的帳戶 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)。
+ AWS Organizations 《 使用者指南》中的 [Amazon CloudWatch 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) 。
請依循下列各節中的步驟,取得為多個帳戶設定 Network Flow Monitor 的特定指引。
## 在 CloudWatch AWS Organizations 中設定
若要使用 設定網路流量監視器 AWS Organizations,請登入 管理帳戶,並開啟 CloudWatch 的受信任存取。然後,註冊委派管理員帳戶,以用於初始化 Network Flow Monitor 並新增多個帳戶。
如果您已在 CloudWatch 中設定組織,開啟對 CloudWatch 組織的受信任存取權並註冊委派管理員帳戶,則不需要再針對 Network Flow Monitor 為組織設定任何其他項目。您可以使用 CloudWatch 的委派管理員帳戶登入,然後初始化 Network Flow Monitor,包括為您的網路可觀測性範圍新增多個帳戶。
如果尚未在 CloudWatch 中設定組織,請依循此處的步驟開啟受信任的存取權並註冊委派管理員帳戶。
### 在 CloudWatch 中開啟受信任的存取權
必須先在 Amazon CloudWatch 中開啟對 AWS Organizations 的受信任存取權,才能將 Network Flow Monitor 與組織中的多個帳戶搭配使用。依循下列步驟在 CloudWatch 主控台中開啟受信任的存取權。
**開啟受信任的存取權**
1. 使用組織的管理帳戶登入主控台。
1. 在 CloudWatch 主控台的導覽窗格中選擇**設定**。
1. 選擇**組織**索引標籤。
1. 在**組織管理設定**中,選擇**開啟**。**啟用受信任的存取權**頁面隨即出現。
1. 若要檢閱角色政策,請選擇**檢視許可詳細資訊**,角色政策將顯示在視窗中。
1. 選擇 **Enable trusted access (啟用信任存取)**。
現在,當 CloudWatch 偵測到資源時,會自動更新您有權存取 Network Flow Monitor 中資源的帳戶相關資訊。
### 註冊委派管理員帳戶
作為 的最佳實務 AWS Organizations,組織的管理帳戶應將成員帳戶註冊為 CloudWatch 的委派管理員帳戶。在 CloudWatch 中註冊委派管理員帳戶後,組織的成員可以使用委派管理員帳戶登入,以監控 Network Flow Monitor 多個帳戶中資源的網路效能。
在委派管理員帳戶中,您可以在 Network Flow Monitor 中為您的網路可觀測性範圍新增多個帳戶。雖然管理帳戶也可以建立包含多個帳戶的範圍,但我們建議您遵循 AWS Organizations 的最佳實務,使用委派管理員帳戶在 Network Flow Monitor 中新增多個帳戶。對於非委派管理員帳戶的會員帳戶,範圍僅限於會針對範圍自動設定的登入帳戶。
組織的委派管理員帳戶是共用服務受管許可管理員存取權的會員帳戶。您選擇註冊為委派管理員帳戶的帳戶必須是組織中的會員帳戶。您組織的委派管理員帳戶可以在 CloudWatch 之外使用,因此請務必先了解此帳戶類型,再執行此程序。如需詳細資訊,請參閱[《 使用者指南》中的 Amazon CloudWatch 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) 。 AWS Organizations
**註冊委派管理員帳戶**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇 ** Settings** (設定)。
1. 選擇**組織**索引標籤。
1. 選擇 **Register delegated administrator (註冊委派管理員)**。
1. 在**註冊委派管理員**視窗的**委派管理員帳戶 ID** 欄位中,輸入 12 位的組織會員帳戶 ID。
1. 選擇 **Register delegated administrator (註冊委派管理員)**。頁面頂端會出現一則訊息,指出帳戶已成功註冊。**組織設定**頁面隨即顯示。若要檢視委派管理員帳戶的相關資訊,請將滑鼠懸停在**委派管理員**下方的號碼上。
若要移除或變更委派管理員帳戶,請先取消註冊該帳戶。如需詳細資訊,請參閱[取消註冊委派管理員帳戶](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator)。
## 將多個帳戶新增至您的範圍
若要將帳戶新增至 Network Flow Monitor 範圍,請使用委派管理員帳戶登入。(如果您使用管理帳戶登入,您可以將帳戶新增至範圍,但最佳實務是 AWS Organizations 使用委派管理員帳戶來處理 資源。)
登入後,請依照步驟初始化 Network Flow Monitor,這是授權所需服務連結角色許可的程序,可讓您透過新增帳戶來設定網路可觀測性的範圍,然後為您所設定範圍內的帳戶建立初始拓撲。您登入所使用的帳戶 (在此情況下為委派管理員帳戶) 將自動納入您的 Network Flow Monitor 範圍。
**使用範圍內的多個帳戶初始化網路流量監控**
1. 使用組織的委派管理員帳戶登入主控台。
1. 在 CloudWatch 主控台的導覽窗格中,在**網路監控**下選擇**流量監控**。
1. 在**開始使用 Network Flow Monitor** 的步驟 1 中,選擇**開始初始化**。
1. 在 **Network Flow Monitor** 頁面的**新增帳戶**下,選擇**新增**。您登入時使用的帳戶會自動包含在範圍中,並在**範圍內的帳戶**資料表中顯示為 **(此帳戶)**。
1. 在**新增帳戶**對話方塊頁面上,選擇性地篩選帳戶,然後選擇最多 99 個額外帳戶新增至範圍。範圍內的帳戶數目上限為 100。
1. 選擇**新增**。
1. 選擇**初始化 Network Flow Monitor**。Network Flow Monitor 會新增必要的服務連結角色許可、建立包含您指定之所有帳戶的範圍,然後建立您範圍內帳戶中資源的初始拓撲。
若要在已初始化網路流量監視器之後新增或移除範圍的帳戶,請依照此處的步驟進行。
請注意,變更範圍後,若要新增或刪除帳戶,您必須先等待約 20 分鐘,才能對範圍進行其他變更。此延遲是因為網路流量監控需要短暫的時間來更新其拓撲資訊。
**為您的範圍新增或移除帳戶**
1. 使用組織的委派管理員帳戶登入主控台。
1. 在 CloudWatch 主控台的導覽窗格中,在**網路監控**下選擇**流量監控**。
1. 在**監視器**下,選取監視器。
1. 在**監控詳細資訊**索引標籤中,於**範圍內的帳戶**下,選擇**新增****或刪除**。
1. 選取要新增至範圍的帳戶,最多總共 100 個帳戶,或選取要刪除的帳戶。
1. 完成確認對話方塊中的步驟。
## 設定多帳戶資源存取許可 (僅主控台)
如果您計畫從主控台建立 Network Flow Monitor,則範圍內的每個會員帳戶都需要特定政策。當您將本地和遠端資源新增至監視器時,此政策可讓您檢視其他帳戶的資源。
針對您範圍內的每個帳戶,建立角色 **NetworkFlowMonitorAccountResourceAccess**,然後連結 **AmazonEC2ReadOnlyAccess** 政策。若要查看政策的許可詳細資訊,請參閱[《 受管政策參考指南》中的 AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)。 AWS
此政策附加於您必須為每個執行個體新增的政策之上,旨在確保 Network Flow Monitor 代理程式能將執行個體的效能指標傳送至 Network Flow Monitor 擷取後端伺服器。如需代理程式許可的詳細資訊,請參閱[在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式](CloudWatch-NetworkFlowMonitor-agents.md)。
下列程序概述如何在 Network Flow Monitor 主控台內,建立存取範圍內的資源所需的角色。如需如何在 IAM 中建立角色的一般指引,請參閱 AWS Identity and Access Management 《 使用者指南》中的[建立角色以授予許可給 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)。
**在 Network Flow Monitor 主控台中建立資源存取角色**
1. 登入 AWS 管理主控台 並開啟 IAM 主控台。
1. 在主控台的導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 指定 **AWS 帳戶**受信任實體。這種信任的實體類型可讓其他 AWS 帳戶中的主體擔任該角色,並存取其他帳戶中的資源。
1. 選擇**下一步**。
1. 在 AWS 受管政策清單中,選擇 **AmazonEC2ReadOnlyAccess** 政策。
1. 選擇**下一步**。
1. 針對角色名稱,輸入 **NetworkFlowMonitorAccountResourceAccess**。
1. 檢閱角色,然後選擇 **Create role** (建立角色)。
## 在執行個體上安裝代理程式
若要使用 Network Flow Monitor 追蹤網路效能,必須先初始化該服務,同時還必須在工作負載的 EC2 執行個體上安裝 Network Flow Monitor 代理程式,並為代理程式新增許可,使其能夠將網路效能指標傳送至 Network Flow Monitor。安裝代理程式後,請等待一小段時間 (約 20 分鐘),讓資料開始傳送至 Network Flow Monitor 後端。然後,您可以在**工作負載洞察**索引標籤上檢視網路效能指標,也可以建立監視器來檢視詳細資訊。
例如,您可以檢視 Network Flow Monitor 代理程式收集的主要貢獻因子效能指標,包括資料傳輸量與重傳逾時次數、您本機與遠端資源之間的網路流量。透過檢視與分析這些指標,您可以選擇特定流量以查看更多詳細資訊,並透過監視器進行更密切的追蹤。透過針對特定流量建立監視器,您可以檢視其詳細資訊,包含依每個指標類型的主要貢獻因子排序之指標,以及每個網路流量的網路路徑。
使用監視器時,網路流量監視器也提供網路運作狀態指標 (NHI),您可以用來查看在監視器中追蹤的網路流量是否有 AWS 網路受損。該資訊可協助您確定網路疑難排解工作的重點。
如需詳細資訊以及如何安裝代理程式的說明,請參閱[在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式](CloudWatch-NetworkFlowMonitor-agents.md)。
# 在 Network Flow Monitor 中監控和分析網路流量
透過 Network Flow Monitor,您可以了解透過範圍監控之流量的網路流量和效能。首先,在**工作負載洞察**索引標籤中,檢閱每個指標類型的主要貢獻因子相關資訊。然後建立監視器,以便您能針對在**工作負載洞察**中選取的網路流量,深入探索不同時間範圍內的網路效能細節。
在執行個體上初始化 Network Flow Monitor 並安裝代理程式後,Network Flow Monitor 會針對來自這些執行個體的網路流量產生效能指標。檢閱本章中的章節,進一步了解如何使用 Network Flow Monitor 來評估 Network Flow Monitor 中的網路效能、建立監視器以取得更深入的資訊,並了解 Network Flow Monitor 提供的特定指標。
這些章節中的步驟使用 AWS 管理主控台。您也可以使用 Network Flow Monitor API 操作搭配 AWS Command Line Interface (AWS CLI) AWS SDKs來檢閱工作負載洞見和主要參與者指標,以及建立和設定監視器。如需詳細資訊,請參閱下列資源:
+ 如果您計畫搭配 CLI 使用 Network Flow Monitor,請參閱[搭配 Network Flow Monitor 使用 CLI 的範例](CloudWatch-NFM-get-started-CLI.md)。
+ 如需使用 Network Flow Monitor API 操作的詳細資訊,請參閱《[Network Flow Monitor API 參考指南](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html)》。
**Topics**
+ [評估網路流量](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)
+ [建立和使用監視器](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
+ [監控和分析](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)
+ [刪除範圍](CloudWatch-NetworkFlowMonitor-disable.md)
# 利用工作負載洞察來評估網路流程
Network Flow Monitor 可針對您要監控之範圍內的網路流量,提供工作負載洞察。透過呈現每個指標類型的主要貢獻因子網路流量,您可以檢視哪些流量可能遇到問題。您可以在主控台的**工作負載洞察**索引標籤中檢視這些主要貢獻因子指標。在 Network Flow Monitor 中,主要貢獻因子是每個網路效能指標值最高的網路流量。
**主要貢獻因子**
在 Network Flow Monitor 主控台的**工作負載洞察**頁面上,Network Flow Monitor 會顯示已部署代理程式之監控範圍內,所有資源之間網路流量的主要貢獻因子網路效能統計資料。
為彙整主要貢獻因子清單,Network Flow Monitor 會根據您設定的範圍,判定哪些網路流量具有最高的重傳次數、重傳逾時次數及傳輸資料量。這些網路流量是每個指標類型的*主要貢獻因子*。
對於工作負載洞察,系統會針對您正在接收效能資訊的所有網路流量,確定其主要貢獻因子;換言之,涵蓋您監控範圍內已安裝 Network Flow Monitor 代理程式的所有資源產生的網路流量。
**網路流程分類**
Network Flow Monitor 會將指標分類為指定的本機遠端類別。指標分為兩種類型的流程:
+ **網路運作狀態指示器 (NHI) 流程:**有助於網路運作狀態指示器 (NHI) 計算的流程:
+ 在 AZs(`INTER_AZ`)。一律位於相同的 VPC 內。
+ 在 AZs(`INTRA_AZ`)。一律位於相同的 VPC 內。
+ 在 VPCs之間 (`INTER_VPC`)。跨越 VPCs之間的界限。
+ 區域之間 (`INTER_REGION`)。這表示 區域中資源與另一個區域邊緣之間的網路流程效能。
+ 流向 Amazon S3 儲存貯體 (`AMAZON_S3`)
+ 流向 Amazon DynamoDB (`AMAZON_DYNAMODB`)
+ **非網路運作狀態指示器 (NHI) 流程:**不會導致網路運作狀態指示器 (NHI) 計算的流程:
+ 朝向網際網路 (`INTERNET`)。周遊網際網路閘道並在公有網際網路上結束的流程。
+ 朝向 AWS 服務 (`AWS_SERVICE`)。結束於未完全監控之 AWS 服務的流程 (例如 CloudFront 或 API Gateway)。
+ 朝向傳輸閘道 (`TRANSIT_GATEWAY`)。此分類中的流程是抵達 Transit Gateway 的流程,但流程的最終目的地不明。
+ 朝向本機區域 (`LOCAL_ZONE`)。在本機區域中開始或結束的流程
+ 任何其他無法以其他方式分類的流程 (`UNCLASSIFIED`)。
**效能指標**
**工作負載洞察**中的效能指標會針對下列指標類型分別顯示於獨立資料表中:重傳次數、重傳逾時次數及傳輸資料量。提供的資料為每種類型的主要貢獻因子。請注意,在您第一次安裝 Network Flow Monitor 代理程式後,需等待一段時間 (約 20 分鐘),才能檢視效能指標;與此同時,代理程式會收集資料並將其傳送至 Network Flow Monitor 後端。
**監控特定網路流量**
當您檢視效能指標時,若發現需要進一步了解特定資源或網路流量的細節,可建立僅包含這些流量的監視器。
透過監視器,您可以追蹤特定網路流量群組在一段時間內的變化,從而深入了解工作負載的某個面向。您也可以取得實用的故障診斷資訊,例如檢查網路運作狀態指標 (NHI),以查看您看到的問題是否由 AWS 損害造成。
如需詳細資訊,請參閱[在 Network Flow Monitor 中建立和使用監視器](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
**多帳戶覆蓋**
若要在 Network Flow Monitor 中處理多個帳戶,必須設定將 AWS Organizations 與 CloudWatch 整合。透過設定組織,可以將帳戶新增至 Network Flow Monitor 覆蓋範圍。然後,若您的範圍內存在多個帳戶,且每個帳戶皆擁有您要監控其間網路流量之資源,您可以指定覆蓋所有帳戶的範圍,進而檢視已安裝於資源上的 Network Flow Monitor 代理程式所收集之效能指標。如需詳細資訊,請參閱[初始化 Network Flow Monitor 以進行多帳戶監控](CloudWatch-NetworkFlowMonitor-multi-account.md)。
# 在 Network Flow Monitor 中建立和使用監視器
您可以建立監視器,以檢視工作負載一個或多個網路流量的網路效能詳細資訊。對於每個監視器,Network Flow Monitor 會發布端對端效能指標和網路運作狀態指標 (NHI),並產生個別網路流量的網路路徑。建立監視器之後,您可以在主控台的**監視器**索引標籤中檢視監視器提供的資訊。
流程監控可協助您評估影響工作負載的網路效能問題,包括 中的 AWS 區域 損害,以及本機和遠端區域之間的 AWS 全球網路問題。監視器提供的網路運作狀態指示器 (NHI) 也會擷取工作負載區域之間網路路徑上 AWS 全域網路的運作狀態。這可協助您快速識別本機區域、 AWS 全球網路或遠端區域中的損害是否影響您的工作負載。
對於遠端區域,監視器可提供網路可見性,涵蓋流向該區域公共 IP 位址的流量,以及透過 VPC 對等連線或轉接閘道對等連線傳輸至遠端區域的私有流量。
建立監視器後,可以隨時編輯監視器以進行變更 (變更監視器名稱除外) 或刪除監視器。
下列各節包含在 Network Flow Monitor 主控台中建立、編輯和刪除監視器的程序。
**Topics**
+ [建立監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)
+ [編輯監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)
+ [刪除監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)
# 在 Network Flow Monitor 中建立監視器
當您在**工作負載洞察**索引標籤檢視主要貢獻因子時,若發現有一或多個網路流量需要長期追蹤,或者想要進一步了解其詳細資訊,可直接從**工作負載洞察**建立監控器。如此便簡化了為特定網路流量建立監視器的流程。
或者,如果您知道想要使用監視器追蹤的特定網路流程,例如查看所有網路流到另一個網路流程的效能資訊 AWS 區域,您可以使用**建立監視器**精靈從頭建立監視器。當您以這種方式建立監視器時,需指定所有定義要監控之網路流量的本地與遠端資源。
如需特定程序,請參閱下列章節:
+ [透過指定網路流量建立監視器](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights)
+ [透過指定本地和遠端資源來建立監視器](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone)
## 透過指定網路流量建立監視器
若要選取網路流量以建立監視器,請從**工作負載洞察**索引標籤開始。在單一區域的其中一個資料表中選取一個或多個網路流量,然後選擇以這些流量建立監視器。
當您以這種方式建立監視器時,**建立監視器**精靈會為您預先填入本地和遠端資源,並讓其顯示在模態對話方塊中。您可以選擇使用這些資源建立監視器,或編輯本機或遠端資源的選擇,以新增或移除要包含的資源。
透過持續檢閱**工作負載洞察**的主要貢獻因子,您可以定期評估是否已具備所需的監視器,或者是否需要建立新的監視器。
**重要**
這些步驟旨在一次全部完成。您無法儲存任何處理中的工作,以便稍後繼續。
**從**工作負載洞察**建立監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 選擇**工作負載洞察**。
1. 在其中一個**主要貢獻因子**資料表中,選取一個或多個網路流量,然後選擇**建立監視器**。
1. 在開啟的模態視窗中,可以編輯定義所選網路流量的資源,或者選擇**建立監視器**。
## 透過指定本地和遠端資源來建立監視器
您可以隨時為特定的本地和遠端資源建立監視器,這些資源定義您要檢視其詳細資訊的網路流量。
例如,您可能需要建立適用於以下任一情境的監視器:
+ 一個監視器,用於追蹤本機區域中特定 VPC 至相同區域中另一個 VPC 的網路流量。(請注意,您無法選取類似 VPC 的特定資源,作為另一個區域中的網路流量端點,即遠端資源)。
+ 對於本地資源,選擇***區域*中的特定資源**。然後,選擇 **VPC 和子網路**,然後在資料表中選取特定 VPC。
+ 對於遠端資源,請執行相同的動作:選擇***區域中*的特定資源**,然後選擇 **VPC 和子網路**,最後選擇特定的 VPC。
+ 一個監視器,用於追蹤您的工作負載從本地區域傳輸至特定可用區域的所有網路流量。
+ 對於本地資源,選擇**整個*區域***
+ 對於遠端資源,選擇**可用區域**,然後選擇特定 AZ
+ 一個監視器,用於追蹤本地區域中工作負載的所有網路流量。
+ 對於本地資源,選擇**整個*區域***
+ 對於遠端資源,選擇**整個*區域***
+ 一個監視器,用於追蹤您的工作負載從本地區域到另一個區域邊緣的所有網路流量。
+ 對於本地資源,選擇**整個*區域***
+ 對於遠端資源,選擇**另一個區域**,然後選擇遠端區域
**重要**
這些步驟旨在一次全部完成。您無法儲存任何處理中的工作,以便稍後繼續。
**使用主控台建立監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 從網路流量監控頁面,選取**監控**索引標籤,然後選擇**建立監控**。
1. 在**監視器名稱**中,輸入要用於監視器的名稱。此名稱後續不得更改。
1. 選擇**下一步**。
1. 為要監控的網路流量選取本地資源 (一個或多個)。
+ 若要監控來自區域中所有資源的網路流量,選擇**整個*區域***。
+ 若要選擇要監控流程的特定本機資源,請選擇***區域中*的特定資源**。然後在**新增資源**下,選擇**可用區域**、**EKS 叢集**或 **VPCs 和子網路**,然後選擇要新增的資源。
1. 選擇**下一步**。
1. 為要監控的網路流量選取遠端資源 (一個或多個)。
+ 若要監控流向區域中所有資源的網路流量,選擇**整個*區域***。
+ 若要監控來自特定遠端資源的流程,請選擇***區域中*的特定資源**。在**新增資源**下,選取 **VPCs 和子網路**、**可用區域****AWS 或服務**,然後選擇要新增的資源。
+ 若要監控流向另一個區域邊緣的網路流量,選擇**另一個區域**。
1. 選擇**下一步**。
1. 檢閱您的選擇以確認要監控的網路流量,或者編輯選項以進行變更。
1. 選擇 **Create monitor** (建立監視器)。
建立監視器之後,您可以隨時編輯或刪除監視器,以新增或移除網路流程。選取監視器,然後選擇**編輯****或刪除**。請注意,您無法變更監視器的名稱。
**檢視 Network Flow Monitor 儀表板**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇**網路監控**,再選擇**流量監視器**。
**Monitor** (監視器) 索引標籤會顯示您已建立的監視器清單。
若要查看特定監視器的詳細資訊,請選擇一個監視器。
# 在 Network Flow Monitor 中編輯監視器
可以隨時編輯監視器,以新增或移除網路流量。
請注意,建立監視器後,您無法變更監視器的名稱。
**重要**
這些步驟旨在一次全部完成。您無法儲存任何處理中的工作,以便稍後繼續。
**使用主控台編輯監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 在**監視器**索引標籤上,選取監視器,然後在**動作**選單下選擇**編輯**。
1. 選取要為監視器新增或移除的本地或遠端資源。如果您的範圍內有多個帳戶,請指定資源所在的帳戶,然後選擇資源。
1. 監視器更新完成後,選擇**下一步**,以檢閱並確認要監控的網路流量。
1. 選擇**儲存監視器**。
# 在 Network Flow Monitor 中刪除監視器
若要在 Network Flow Monitor 中刪除監視器,請依循此處的步驟。
**刪除監視器**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 在**監視器**索引標籤上,選取監視器,然後在**動作**選單下選擇**刪除**。
1. 在出現的對話方塊中,輸入確認文字,然後選擇**刪除**。
# 使用 Network Flow Monitor 監控和分析網路流量
Network Flow Monitor 資料和圖形可協助您視覺化呈現和追蹤網路問題。您可以建立監視器來查看 AWS 工作負載特定網路區段的詳細資訊,包括個別網路流程的網路路徑檢視。在 Network Flow Monitor 中建立一個或多個監視器後,您可以觀測效能和指標,並探索歷史資料以找出異常狀況。
若要檢視監視器提供的資訊,在**監視器**索引標籤上的**監視器**資料表中選擇監視器。然後,選擇下列其中一個索引標籤以取得詳細資訊:**概觀**、**歷史總管**或**監視器詳細資訊**。
**概觀標籤**
在**概觀**索引標籤上,您可以檢視指定時段內的以下內容:若要檢視更廣泛或更狹窄範圍的歷史資訊 (包括 NHI 和流量摘要資料),請調整頁面頂端的時段選擇。
+ **網路運作狀態指標 (NHI):**NHI 會在您為檢視效能指標選取的時間範圍內,提醒您監視器追蹤的一或多個網路流程是否有 AWS 網路問題。NHI 是二進位值,即 1 或 0,在主控台中顯示為**已降級**或**運作正常**。
+ 如果在所選之時間範圍內的任何時間,監視器中任何網路流經過的 AWS 網路部分出現問題,則 NHI 將顯示為**已降級**。
+ 否則,NHI 會顯示為**運作正常**。
如果 NHI 是**已降級**,您可以檢視**網路運作狀態指標**長條圖,以取得更多資訊。此圖表顯示監視器在所選時間範圍內追蹤的網路流程發生 AWS 網路問題時。
+ **流量摘要:**在您選取的時段內,觀測此監視器追蹤之流量的整體指標。您可以在監視器中檢視各流量的平均往返時間、傳輸逾時總和 (總計)、重傳次數,以及平均傳輸資料量。請注意,RTT 資料可能較為稀疏,因為並非所有 RTT 都會被計算。
**「歷史總管」索引標籤**
在**歷史總管**索引標籤上,您可以深入了解特定流量的相關資訊。您可以檢閱主要貢獻因子網路流量在指定時間範圍內的指標和拓撲。在指標資料表中,可依不同類別的流量篩選資料,例如可用區域 (`INTER_AZ`) 之間的流量。
+ **指標:**檢視 Network Flow Monitor 彙總資料之每個指標類型的前貢獻者詳細資訊。系統會針對重傳逾時、重傳次數、往返時間和傳輸的資料量,提供個別的主要貢獻因子資料表。
+ **網路路徑:**若要了解異常狀況的發生位置,可以檢視網路流量的網路路徑。當您在指標資料表中選擇特定指標時,該流量的網路路徑即會顯示在資料表下方。
**「監視器詳細資訊」索引標籤**
在**監視器詳細資訊**索引標籤上,您可以檢視監視器的詳細資訊,包括監視器狀態、ARN、建立時間和上次更新時間,以及所追蹤的流量。
您可以選擇從**監視器**索引標籤上的任何頁面編輯或刪除監視器。
在您日常使用 Network Flow Monitor 的過程中,我們建議您定期檢視**工作負載洞察**頁面上的資料,以判斷是否有新流量顯示出您希望長期密切追蹤的指標異常狀況。當您在**工作負載洞察**頁面看到一組想要檢視其詳細資訊的流量時,請選取流量並建立監視器來監控它們。
# 刪除網路流量監視器的範圍
若您決定不再使用 Network Flow Monitor 監控網路流量,可刪除 Network Flow Monitor 範圍。刪除範圍後,將無法再檢視網路效能資訊。
在刪除範圍之前,必須先刪除所有監視器。請注意,請求刪除監視器後,需要大約 15 分鐘才能完成移除監視器。如需詳細資訊,請參閱[在 Network Flow Monitor 中刪除監視器](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)。
**刪除您的範圍**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格的**網路監控**下,選擇**流量監視器**。
1. 在**設定**索引標籤上,選擇**刪除範圍**。
1. 在對話方塊中輸入確認文字,然後選擇**刪除範圍**。
# 在 CloudWatch 中檢視 Network Flow Monitor 指標
Network Flow Monitor 會將下列網路流量效能指標發布至您的帳戶:往返時間、TCP 重傳次數、TCP 重傳逾時、傳輸的資料量、網路運作狀態指標。可以在 Amazon CloudWatch 主控台的 CloudWatch Metrics 中檢視這些指標。
若要尋找監視器的所有指標,請在 CloudWatch 指標儀表板中查看自訂命名空間 `AWS/NetworkFlowMonitor`。系統會針對已部署和作用中的每個監視器彙總指標。
Network Flow Monitor 提供下列指標。請注意,RoundTripTime 資料可能較為稀疏,因為此指標並非總是被計算。
| 指標 | Description |
| --- | --- |
| DataTransferred | 監視器所有流量傳輸的位元組總數。 |
| Retransmissions | 監視器重傳總數。當傳送者需要重新傳送已損壞或遺失的封包時,就會發生重傳。 |
| 逾時 | 監視器重傳逾時總計。當傳送者遺漏過多確認訊息,因此決定逾時並停止傳送時,就會發生這種情況。 |
| RoundTripTime | 監視器網路流量的平均往返時間。此指標以微秒為單位,用於衡量效能表現。會記錄從本地資源傳輸流量到遠端 IP 位址,以及接收相關回應所需的時間。時間為彙總期間的平均值。資料可能較為稀疏,因為此指標並非總是被計算。 |
| HealthIndicator | 監視器整體的網路運作狀態指標 (NHI)。網路運作狀態指標 (NHI) 是顯示 AWS 網路受損的值。如果在指定的時間範圍內發生 AWS 網路問題,則 NHI 值為 1 (已降級)。如果未偵測到 AWS 網路問題,則 NHI 值為 0 (運作狀態良好)。觀測 NHI 可協助您確定應優先對工作負載還是 AWS 網路進行疑難排解。 |
# 使用 Network Flow Monitor 建立警示
您可以根據 Network Flow Monitor 指標建立 Amazon CloudWatch 警示,如同根據其他 CloudWatch 指標建立警示那樣。
例如,可以根據 Network Flow Monitor 指標 `Retransmissions` 建立警示,並將其設定為在指標低於您選擇的值時傳送通知。可以遵循與其他 CloudWatch 指標相同的準則,為 Network Flow Monitor 指標設定警示。
您可以選擇為之建立警示的 Network Flow Monitor 指標範例如下:
+ **Retransmissions**
+ **逾時**
+ **RoundTripTime**
若要檢視 Network Flow Monitor 可用的所有指標,請參閱[建立以靜態閾值為基礎的 CloudWatch 警示](ConsoleAlarms.md)。
下列程序提供的範例展示如何透過導覽至 CloudWatch 儀表板中的指標來設定 **Retransmissions** 警示。然後,您可以按照標準 CloudWatch 步驟根據自己選擇的閾值建立警示,並設定通知或選擇其他選項。
**在 CloudWatch 指標中建立 **Retransmissions** 警示**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 選擇**指標**,然後選擇**所有指標**。
1. 透過選擇 `AWS/NetworkFlowMonitor`,針對 Network Flow Monitor 進行篩選。
1. 選擇 **MeasurementSource, MonitorName**。
1. 在清單中,選取 **Retransmissions**。
1. 在**圖形化指標**標籤的**動作**下,選擇鈴鐺圖示建立根據靜態閾值的警示。
現在,請按照標準 CloudWatch 步驟選擇警示選項。例如,您可以選擇在 **Retransmissions** 低於特定閾值時收到 Amazon SNS 訊息通知。另外,您也可以將警示新增至儀表板。
請謹記以下幾點:
+ Network Flow Monitor 指標通常會每 30 秒彙總並傳送至 Network Flow Monitor 後端一次,可能存在 5 秒的波動 (換言之,傳送間隔介於 25 至 35 秒之間)。
+ 當您根據 Network Flow Monitor 指標建立警示時,請務必在設定警示回溯期間考慮發佈之前的短暫延遲。建議您設定**評估期**的回顧期至少為 25 分鐘。
如需有關建立 CloudWatch 警示時相關選項的詳細資訊,請參閱[建立以靜態閾值為基礎的 CloudWatch 警示](ConsoleAlarms.md)。
# AWS CloudTrail 適用於網路流量監控
監控服務是維護可靠性、可用性和效能的重要部分。 是 Network Flow Monitor 和您其他 AWS 解決方案的 。 會*AWS CloudTrail*擷取由 或代表您的 AWS 帳戶 發出的 API 呼叫和相關事件,並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。您可以找出哪些使用者和帳戶呼叫 AWS、發出呼叫的來源 IP 位址,以及呼叫的發生時間。如需詳細資訊,請參閱 [AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
如需 Network Flow Monitor CloudTrail 記錄的詳細資訊,請參閱[CloudTrail 中的 Network Flow Monitor](logging_cw_api_calls.md#CloudWatch-NetworkFlowMonitor-info-in-ct)。
# Network Flow Monitor 中的問題疑難排解
本節提供使用 Network Flow Monitor 排解錯誤的指引,包括解決代理程式安裝問題。
## 對 EKS 代理程式安裝中的問題進行疑難排解
當您嘗試將 EKS AWS 的網路流量監控代理程式附加元件從 1.0.0 版升級至 1.0.1 版時 AWS 管理主控台,您可能會收到下列錯誤訊息:
「附加元件 `aws-network-flow-monitoring-agent` 不支援在 Pod 身分組態中使用服務帳戶 `aws-network-flow-monitoring-agent-service-account`。」
因為資源已重新命名,所以傳回此錯誤。EKS 附加元件 v1.0.1 會將服務帳戶名稱從 `aws-network-flow-monitoring-agent-service-account` 變更為 `aws-network-flow-monitor-agent-service-account`。
然後,如果未在主控台中選取**未設定**,則 Pod 身分識別關聯不會重設為新的資源名稱。
若要修正此問題,請在使用主控台升級至新版本時執行下列動作:
1. 在**服務帳戶的 Pod 身分識別 IAM 角色**下,選取**未設定**。
1. 選取**新版本 (v1.0.1)**。
1. 選取**升級**。
1. 選擇**儲存變更**。
# Network Flow Monitor 中的資料安全與資料保護
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構是為了滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端*的*安全性,和雲端*中*的安全性:
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在 [AWS Compliance Programs](https://aws.amazon.com/compliance/programs/) 中,第三方稽核人員會定期測試和驗證我們安全的有效性。若要了解適用於 Network Flow Monitor 的合規計劃,請參閱[AWS 合規計劃的 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件有助於您了解如何在使用 Network Flow Monitor 時套用共同責任模型。下列主題將顯示如何設定 Network Flow Monitor 以達到您的安全及合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 Network Flow Monitor 資源。
**Topics**
+ [Network Flow Monitor 中的資料保護](data-protection-nfw.md)
+ [Network Flow Monitor 中的基礎結構安全](infrastructure-security-nfw.md)
+ [適用於 Network Flow Monitor 的 Identity and Access Management](CloudWatch-NetworkFlowMonitor-security-iam.md)
# Network Flow Monitor 中的資料保護
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Network Flow Monitor 中的資料保護。如此模型所述, AWS 負責保護執行所有 的 全球基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用網路流量監控,或使用主控台、API AWS CLI、或 AWS SDKs的其他 AWS 服務 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
# Network Flow Monitor 中的基礎結構安全
作為受管服務,Network Flow Monitor 受到 [Amazon Web Services:安全程序概觀](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)白皮書中所述的 AWS 全球網路安全程序的保護。
您可以使用 AWS 發佈的 API 呼叫,透過網路存取網路流量監控。用戶端必須支援 Transport Layer Security (TLS) 1.0 或更新版本。建議使用 TLS 1.2 或更新版本。用戶端也必須支援具備完美轉送私密 (PFS) 的密碼套件,例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以透過 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 來產生暫時安全憑證來簽署請求。
# 適用於 Network Flow Monitor 的 Identity and Access Management
AWS Identity and Access Management (IAM) 是一種 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可以控制*完成身分驗證* (已登入) 和*獲得授權* (具有許可) 的對象,以使用 Network Flow Monitor 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [Network Flow Monitor 如何與 IAM 搭配使用](security_iam_service-with-iam-network-flow-monitor.md)
+ [AWS 受管政策](security-iam-awsmanpol-network-flow-monitor.md)
+ [服務連結角色](using-service-linked-roles-network-flow-monitor.md)
# Network Flow Monitor 如何與 IAM 搭配使用
在您使用 IAM 管理 Network Flow Monitor 的存取權之前,請了解有哪些 IAM 功能可以與 Network Flow Monitor 搭配使用。
若要查看顯示 AWS 服務如何與大多數 IAM 功能搭配使用的類似高階檢視的資料表,請參閱《*IAM 使用者指南*》中的與 [AWS IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**可以與 Network Flow Monitor 搭配使用的 IAM 功能**
| IAM 功能 | Network Flow Monitor 支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-id-based-policies-nfm) | 是 |
| [資源型政策](#security_iam_service-with-iam-resource-based-policies-nfm) | 否 |
| [政策動作](#security_iam_service-with-iam-id-based-policies-actions-nfm) | 是 |
| [政策資源](#security_iam_service-with-iam-id-based-policies-resources-nfm) | 是 |
| [政策條件索引鍵 (服務特定)](#security_iam_service-with-iam-id-based-policies-conditionkeys-nfm) | 是 |
| [ACL](#security_iam_service-with-iam-acls-nfm) | 否 |
| [ABAC (政策中的標籤)](#security_iam_service-with-iam-tags-nfm) | 是 |
| [臨時憑證](#security_iam_service-with-iam-roles-tempcreds-nfm) | 是 |
| [主體許可](#security_iam_service-with-iam-principal-permissions-nfm) | 是 |
| [服務角色](#security_iam_service-with-iam-roles-service-nfm) | 否 |
| [服務連結角色](#security_iam_service-with-iam-roles-service-linked-nfm) | 是 |
## Network Flow Monitor 的身分型政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
## Network Flow Monitor 內的資源型政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM 角色信任政策和 Amazon S3 儲存貯體政策。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。
## Network Flow Monitor 的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要檢視 Network Flow Monitor 動作清單,請參閱《服務授權參考》**中的 [Network Flow Monitor 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions)。
Network Flow Monitor 中的政策動作會在動作前使用以下字首:
```
networkflowmonitor
```
如需在單一陳述式中指定多個動作,請用逗號分隔。
```
"Action": [
"networkflowmonitor:action1",
"networkflowmonitor:action2"
]
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `Describe` 文字的所有動作,請包含以下動作:
```
"Action": "networkflowmonitor:Describe*"
```
## Network Flow Monitor 的政策資源
**支援政策資源:**是
在《服務授權參考》**中,您可以檢視下列與 Network Flow Monitor 相關的資訊:
+ 若要檢視 Network Flow Monitor 資源類型及其 ARN 的清單,請參閱 [Network Flow Monitor 定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-resources-for-iam-policies)。
+ 若要了解您可以使用每個資源之 ARN 指定的動作,請參閱 [Network Flow Monitor 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions)。
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
## Network Flow Monitor 的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要檢視 Network Flow Monitor 條件金鑰清單,請參閱《服務授權參考》**中的 [Network Flow Monitor 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-policy-keys)。若要了解您可以透過哪些動作和資源使用條件索引鍵,請參閱 [Network Flow Monitor 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions)。
## Network Flow Monitor 中的 ACL
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## ABAC 搭配 Network Flow Monitor
**支援 ABAC (政策中的標籤):**是
Network Flow Monitor 在策略中對標籤提供*部分*支援。此程式支援標記一個資源、多個監視器。
若要搭配 Network Flow Monitor 使用標籤,請使用 AWS Command Line Interface 或 AWS SDK。網路流量監控的標記不支援 AWS 管理主控台。
若要深入了解一般在政策中使用標籤的方式,請檢閱下列資訊。
屬性型存取控制 (ABAC) 是一種授權策略,依據稱為標籤的屬性來定義許可。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 搭配使用臨時憑證與 Network Flow Monitor
**支援臨時憑證:**是
臨時登入資料提供 AWS 資源的短期存取權,當您使用聯合或切換角色時,會自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## Network Flow Monitor 的跨服務主體許可
**支援轉寄存取工作階段 (FAS):**是
轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務,並結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## Network Flow Monitor 的服務角色
**支援服務角色:**否
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## Network Flow Monitor 的服務連結角色
**支援服務連結角色:**是
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需 Network Flow Monitor 服務連結角色的詳細資訊,請參閱[網路流量監視器的服務連結角色](using-service-linked-roles-network-flow-monitor.md)。
如需在 中建立或管理服務連結角色的詳細資訊 AWS,請參閱[AWS 使用 IAM 的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在資料表中尋找服務,其中包含**服務連結角色**欄中的 `Yes`。選擇**是**連結,以檢視該服務的服務連結角色文件。
# AWS Network Flow Monitor 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有 服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:CloudWatchNetworkFlowMonitorServiceRolePolicy
您不得將 `CloudWatchNetworkFlowMonitorServiceRolePolicy` 連接到 IAM 實體。此政策會連結至名為 **AWSServiceRoleForNetworkFlowMonitor** 的服務連結角色,該角色會將 Network Flow Monitor 代理程式收集的網路遙測彙總結果發布至 CloudWatch。它還允許服務使用 AWS Organizations 來取得多帳戶案例的相關資訊。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)。
如需詳細資訊,請參閱[網路流量監視器的服務連結角色](using-service-linked-roles-network-flow-monitor.md)。
## AWS 受管政策:CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
您不得將 ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` 連接到 IAM 實體。此政策會連結至名為 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 的服務連結角色。透過這些許可以及收集內部中繼資料資訊 (以提高效率),此服務連結角色會收集資源網路組態的中繼資料,例如描述路由表和閘道,這些資源正是此服務監控的網路流量對應的對象。此中繼資料可讓 Network Flow Monitor 產生資源的拓撲快照。當網路效能下降時,Network Flow Monitor 會使用拓撲來提供網路問題位置的洞察,並協助釐清問題的歸因。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。
如需詳細資訊,請參閱[網路流量監視器的服務連結角色](using-service-linked-roles-network-flow-monitor.md)。
## AWS 受管政策:CloudWatchNetworkFlowMonitorAgentPublishPolicy
您可以在連結至 Amazon EC2 和 Amazon EKS 執行個體資源的 IAM 角色中使用此政策,將遙測報告 (指標) 傳送至 Network Flow Monitor 端點。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。
## Network Flow Monitor 服務連結角色更新
如需 Network Flow Monitor 服務連結角色的 AWS 受管政策更新,請參閱 CloudWatch 的[AWS 受管政策更新資料表](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。也可以在 CloudWatch [文件歷史記錄頁面](DocumentHistory.md)訂閱自動 RSS 提醒。
# 網路流量監視器的服務連結角色
Network Flow Monitor 使用 AWS Identity and Access Management (IAM) [ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Network Flow Monitor 的一種特殊 IAM 角色類型。服務連結角色由 Network Flow Monitor 預先定義,並包含服務代表您呼叫其他 AWS 服務所需的所有許可。
Network Flow Monitor 會定義服務連結角色的許可,除非另外定義,否則只有 Network Flow Monitor 才能擔任這些角色。定義的許可包括信任政策和許可政策,且許可政策無法連結至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除角色。此限制可保護您的 Network Flow Monitor 資源,避免您不小心移除資源的存取許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## Network Flow Monitor 的服務連結角色許可
Network Flow Monitor 使用以下服務連結角色:
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**
### AWSServiceRoleForNetworkFlowMonitor 的服務連結角色許可
Network Flow Monitor 使用命名為 **AWSServiceRoleForNetworkFlowMonitor** 的服務連結角色。此角色允許 Network Flow Monitor 發佈針對執行個體之間以及執行個體和 AWS 位置之間的網路流量收集的 CloudWatch 彙總遙測指標。它還允許服務使用 AWS Organizations 來取得多帳戶案例的相關資訊。
此服務連結角色使用受管政策 `CloudWatchNetworkFlowMonitorServiceRolePolicy`。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)。
**AWSServiceRoleForNetworkFlowMonitor** 服務連結角色信任下列服務來擔任此角色:
+ `networkflowmonitor.amazonaws.com`
### AWSServiceRoleForNetworkFlowMonitor\$1Topology 的服務連結角色許可
Network Flow Monitor 使用命名為 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 的服務連結角色。此角色可讓 Network Flow Monitor 產生您搭配 Network Flow Monitor 使用之資源的拓撲快照。
此服務連結角色使用受管政策 `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。
**AWSServiceRoleForNetworkFlowMonitor\$1Topology** 服務連結角色信任下列服務來擔任此角色:
+ `topology.networkflowmonitor.amazonaws.com`
## 建立 Network Flow Monitor 的服務連結角色
您不需要為 Network Flow Monitor 手動建立服務連結角色。第一次初始化 Network Flow Monitor 時,Network Flow Monitor 會為您建立 **AWSServiceRoleForNetworkFlowMonitor** 和 **AWSServiceRoleForNetworkFlowMonitor\$1Topology**。
如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。
## 編輯 Network Flow Monitor 的服務連結角色
Network Flow Monitor 在帳戶中建立服務連接角色後,您就無法再變更角色名稱,因為有各種實體可能會參考該角色。您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Network Flow Monitor 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除服務連結角色的資源。
**注意**
若 Network Flow Monitor 服務正在使用您試圖刪除的角色,刪除可能會失敗。若發生此情況,請等待數分鐘後並再次嘗試。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 **AWSServiceRoleForNetworkFlowMonitor** 或 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Network Flow Monitor 服務連結角色更新
如需 Network Flow Monitor 服務連結角色的`CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` AWS 受管政策 `CloudWatchNetworkFlowMonitorServiceRolePolicy`或 的更新,請參閱 [CloudWatch AWS 受管政策的更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需 CloudWatch 受管政策變更的自動提醒,請訂閱 CloudWatch [文件歷史紀錄](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)頁面上的 RSS 摘要。