CloudWatch エージェント¶
CloudWatch エージェントのデプロイ¶
CloudWatch エージェントは、単一のインストール、分散構成ファイルの使用、複数の構成ファイルのレイヤリング、完全な自動化を使用してデプロイできます。適切なアプローチはニーズによって異なります1。
Success
Windows と Linux のホストへのデプロイの両方が、構成を Systems Manager Parameter Store に保存および取得する機能を備えています。この自動メカニズムを通じた CloudWatch エージェント構成のデプロイはベストプラクティスです。
Tip
あるいは、CloudWatch エージェントの構成ファイルは、選択した自動化ツール (Ansible、Puppet など) を使用してデプロイできます。Systems Manager Parameter Store の使用は必須ではありませんが、管理を簡素化します。
AWS 外でのデプロイ¶
CloudWatch エージェントの使用は AWS 内に限定されておらず、オンプレミスと他のクラウド環境の両方でサポートされています。ただし、AWS 外で CloudWatch エージェントを使用する場合、以下の 2 つの追加の考慮事項に留意する必要があります。
- エージェントが必要な API 呼び出しを行うことを許可する IAM 資格情報2 の設定。EC2 であっても CloudWatch API への認証なしアクセスはありません5。
- インターネットを介して、AWS Direct Connect を使用して、または プライベートエンドポイント(通常、VPC エンドポイントと呼ばれる)を使用して、要件を満たすルートを介してエージェントが CloudWatch、CloudWatch Logs およびその他の AWS エンドポイント3 に接続できることを確認してください。
Info
お客様の環境と CloudWatch 間のトランスポートは、ガバナンスとセキュリティの要件に合致する必要があります。概して、AWS 外のワークロードにプライベートエンドポイントを使用することは、最も厳格に規制された業界のお客様のニーズにも対応できます。ただし、ほとんどのお客様はパブリックエンドポイントを介して十分にサービスを利用できます。
プライベートエンドポイントの使用¶
メトリクスとログをプッシュするために、CloudWatch エージェントは CloudWatch および CloudWatch Logs エンドポイントへの接続が必要です。エージェントのインストール場所に基づいて、これを実現する方法はいくつかあります。
VPC から¶
a. EC2 で実行されているエージェントと CloudWatch の間の完全にプライベートかつセキュアな接続を確立するために、VPC エンドポイント(CloudWatch と CloudWatch Logs 用)を利用できます。このアプローチでは、エージェントトラフィックがインターネットを経由することはありません。
b. もう1つの選択肢は、プライベートサブネットがインターネットに接続できるが、インターネットからの未承諾のインバウンド接続を受信できないパブリック NAT ゲートウェイ を持つことです。
Note
このアプローチでは、エージェントトラフィックが論理的にインターネット経由でルーティングされることに注意してください。
c. 既存の TLS と Sigv4 メカニズムを超えたプライベートまたはセキュアな接続性の要件がない場合、エンドポイントへの接続性を提供するための最も簡単なオプションは、インターネットゲートウェイ を持つことです。
オンプレミスやその他のクラウド環境から¶
a. AWS 外で実行されているエージェントは、インターネット(独自のネットワーク設定を介して)または Direct Connect Public VIF を経由して、CloudWatch のパブリックエンドポイントに接続できます。
b. エージェントトラフィックをインターネット経由にしたくない場合は、VPC インターフェイスエンドポイントを利用できます。これは AWS PrivateLink によって動作し、Direct Connect Private VIF や VPN を使用してオンプレミスネットワークまでプライベート接続を拡張します。トラフィックがインターネットに公開されることがなく、脅威ベクトルが排除されます。
Success
オンプレミスで実行される CloudWatch エージェントが使用できるように、AWS Systems Manager エージェント から取得した資格情報を使用して一時的な AWS アクセストークンを追加できます。
-
CloudWatch エージェントの使用とデプロイに関するガイダンスが記載されたブログ Getting started with open source Amazon CloudWatch Agent を参照してください。 ↩
-
オブザーバビリティに関連するすべての AWS API の使用は、通常、インスタンスプロファイルによって実現されます。これは、AWS で実行されているインスタンスとコンテナーに一時的なアクセス資格情報を付与するメカニズムです。 ↩