Alibaba Cloud Managed Service for Prometheus が提供するカスタム認証を使用して、異なる Alibaba Cloud アカウントが所有する複数の Prometheus インスタンスのデータを集約できます。これにより、Prometheus インスタンスメトリックを監視し、Grafana ダッシュボードで視覚化し、それらに対してアラートを設定できます。
背景情報
一般的に、企業で複数の Alibaba Cloud アカウントを作成すると、O&M の複雑さが増します。Managed Service for Prometheus は、Alibaba Cloud アカウント全体で監視データを集中的に管理するのに役立つグローバル集約インスタンスを提供します。これにより、アラートのクエリと管理、および複数アカウントの O&M を統一的に実装できます。
前提条件
2 つの Alibaba Cloud アカウント (アカウント A とアカウント B) が作成されています。アカウント A とアカウント B は、Managed Service for Prometheus をアクティブ化するために使用されています。詳細については、請求 を参照してください。
Prometheus インスタンスは、アカウント A とアカウント B で作成されています。詳細については、統合センターを使用してデータ統合する を参照してください。
使用方法
このトピックでは、アカウント A とアカウント B を例として使用して、グローバル集約インスタンスを使用して複数の Prometheus インスタンスのデータを集約する方法について説明します。これにより、アカウント A を使用して 2 つのアカウントの監視データをクエリし、それらに対してアラートルールを管理できます。
手順 1: グローバル集約インスタンスを作成する
Managed Service for Prometheus では、次のいずれかの方法を使用してデータを集約できます。
方法 1: リソースディレクトリを使用する
企業の複数アカウントアーキテクチャは、リソースディレクトリを使用して構築されます。リソースディレクトリの詳細については、リソースディレクトリの概要 を参照してください。
次のいずれかの方法で、信頼済みサービスの委任管理者を設定します。
方法 1
リソースディレクトリの管理アカウントを使用して、リソース管理コンソール にログオンします。
左側のナビゲーションペインで、 を選択します。
信頼済みサービス ページで、委任管理者アカウントを追加する信頼済みサービスを見つけ、管理アクション 列の をクリックします。
委任管理者アカウント セクションで、追加 をクリックし、グローバル集約インスタンスを作成する Alibaba Cloud アカウントを委任管理者として設定します。
説明このトピックでは、アカウント A が委任管理者として設定されています。
OK をクリックします。
その後、委任管理者アカウントを使用して、信頼済みサービスの複数アカウント管理モジュールにアクセスし、リソースディレクトリ内で管理操作を実行できます。
方法 2
リソースディレクトリの管理アカウント、または管理者権限を持つ RAM ロールを使用して、OpenAPI エクスプローラー の RegisterDelegatedAdministrator オペレーションを呼び出し、グローバル集約インスタンスを作成する Alibaba Cloud アカウントを委任管理者として設定します。次のパラメーターを指定します。
パラメーター
説明
リージョン
中国本土: 中国 (上海) を選択します。
その他のリージョン: シンガポール を選択します。
アカウント ID
グローバル集約インスタンスを作成する Alibaba Cloud アカウントの ID を入力します。このトピックでは、アカウント A が委任管理者として設定されています。
サービスクラス名
prometheus.aliyuncs.com と入力します。
呼び出し開始 をクリックします。
データを集約します。
アカウント A を使用して、Managed Service for Prometheus コンソール にログオンします。
左側のナビゲーションペインで、インスタンス をクリックします。
Prometheus インスタンスの作成 をクリックします。インスタンスの作成 ページで、プロンプトに従ってパラメーターを設定し、作成 をクリックします。
パラメーター
説明
インスタンスタイプ
グローバル集約インスタンス を選択します。
インスタンス名
グローバル集約インスタンスの名前を入力します。
リソースグループ
リソースグループを選択します。
タグ
各タグは大文字と小文字を区別するキーと値のペアです。最大 20 個のタグを追加できます。
エンドポイント
アラートルールを設定するリージョンを選択します。Prometheus インスタンス数が最も多いリージョンを選択することをお勧めします。そうしないと、リクエスト時間とシステムの安定性に影響を与える可能性があります。
集約するインスタンスを選択
他のアカウント (リソースディレクトリ) を選択します。リソースディレクトリメンバーアカウント パラメーターを指定し、アカウント B で作成された Prometheus インスタンスを選択します。
説明アカウント B を選択すると、Managed Service for Prometheus は、リソースディレクトリ内の信頼済みサービスのステータスを有効に変更します。
異なるリージョンの Prometheus インスタンスを選択して、リージョン間でデータを集約できます。最初に、エンドポイント パラメーターを目的のリージョンに設定する必要があります。
説明グローバル集約インスタンスの情報を変更するには、アクション 列の編集をクリックします。グローバル集約インスタンスを作成した後は、リージョンを変更しないことをお勧めします。そうしないと、アラートルールが無効になります。
方法 2: RAM ロールを使用する
アカウント B を使用して RAM ロールを作成します。
アカウント B を使用して、Resource Access Management (RAM) コンソール にログオンします。
左側のナビゲーションペインで、 を選択します。
ロール ページで、ロールの作成 をクリックします。
ロールの作成 ページで、ロールタイプの選択セクションで Alibaba Cloud アカウント を選択し、次へ をクリックします。
ロールの設定 ステップで、RAM ロール名 を
AliyunPrometheusQueryRoleに設定し、信頼済み Alibaba Cloud アカウントの選択 を 他の Alibaba Cloud アカウント に設定し、アカウント A の ID を入力して、OK をクリックします。ロールをクリックします。表示されるページで、信頼ポリシー タブをクリックし、信頼ポリシーの編集 をクリックします。エディターで、信頼ポリシーを変更してアカウント A に権限を付与します。
説明信頼ポリシーに Alibaba Cloud アカウントの配列を入力して、それらに権限を付与できます。
AliyunRAMReadOnlyAccessポリシーとAliyunARMSReadOnlyAccessポリシーをAliyunPrometheusQueryRoleにアタッチします。左側のナビゲーションペインで、ID > ロール を選択します。ロールページで、ロールを見つけ、アクション 列の 権限の付与を追加 をクリックします。
権限の付与 パネルの ポリシー セクションで、検索ボックスに
AliyunRAMReadOnlyAccessポリシーとAliyunARMSReadOnlyAccessポリシーを検索し、それらを右側のセクションに追加して、権限の付与 をクリックします。
オプション。アカウント A の RAM ユーザーを作成します。
説明アカウント B からアカウント A に Prometheus インスタンスデータを集約する場合、アカウント A の RAM ユーザーを作成する必要があります。
アカウント B からアカウント A の既存の RAM ユーザーに Prometheus インスタンスデータを集約する場合は、次の手順に進みます。
アカウント A を使用して、RAM コンソール にログオンします。
左側のナビゲーションペインで、 を選択します。
ユーザー ページで、ユーザーの作成 をクリックします。
ユーザーアカウント情報ユーザーの作成 ページの セクションで、次のパラメーターを設定します。
ログオン名: ログオン名は最大 64 文字で、文字、数字、ピリオド (.)、ハイフン (-)、アンダースコア (_) を使用できます。
表示名: 表示名は最大 128 文字です。
タグ:
アイコンをクリックし、タグキーとタグ値を入力します。RAM ユーザーに 1 つ以上のタグを追加できます。これにより、タグに基づいて RAM ユーザーを管理できます。
説明ユーザーの追加 をクリックして、複数の RAM ユーザーを一度に作成できます。
アクセスモード セクションで、アクセスモードを選択し、必要なパラメーターを設定します。
Alibaba Cloud アカウントのセキュリティを確保するために、RAM ユーザーには 1 つのアクセスモードのみを選択することをお勧めします。これにより、個人の RAM ユーザーはプログラムの RAM ユーザーから分離されます。
コンソールアクセス
RAM ユーザーが個人を表す場合、RAM ユーザーにはコンソールアクセスを選択することをお勧めします。これにより、RAM ユーザーはユーザー名とパスワードを使用して Alibaba Cloud にアクセスできます。コンソールアクセスを選択した場合は、次のパラメーターを設定する必要があります。
コンソールパスワードの設定: 自動的にデフォルトパスワードを再生成するまたはカスタムパスワードをリセットするを選択できます。カスタムパスワードをリセットするを選択した場合は、パスワードを指定する必要があります。パスワードは複雑さの要件を満たしている必要があります。詳細については、RAM ユーザーのパスワードポリシーを設定する を参照してください。
パスワードのリセット: 次のログオン時に RAM ユーザーがパスワードをリセットする必要があるかどうかを指定します。
MAF を有効にする: RAM ユーザーに対して多要素認証 (MFA) を有効にするかどうかを指定します。MFA を有効にした後、MFA デバイスを RAM ユーザーにバインドする必要があります。詳細については、MFA デバイスを RAM ユーザーにバインドする を参照してください。
永続的な Accesskey を使用してアクセスする
RAMユーザーがプログラムを表す場合は、RAMユーザーに対して永続的なアクセスキーを使用してアクセスを選択できます。この方法では、RAMユーザーはアクセスキーペアを使用してAlibaba Cloudにアクセスできます。OpenAPIアクセスを選択すると、システムはRAMユーザーのアクセスキーIDとアクセスキーシークレットを自動的に生成します。詳細については、アクセスキーペアの取得を参照してください。
重要RAM ユーザーの AccessKey シークレットは、AccessKey ペアを作成するときにのみ表示されます。後続の操作で AccessKey シークレットをクエリすることはできません。したがって、AccessKey シークレットをバックアップする必要があります。
AccessKey ペアは、アプリケーションアクセスのための永続的な認証情報です。Alibaba Cloud アカウントの AccessKey ペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。認証情報の漏洩リスクを防ぐために、Security Token Service (STS) トークンを使用することをお勧めします。詳細については、アクセス認証情報を使用して API オペレーションを呼び出すためのベストプラクティス を参照してください。
OK をクリックします。
プロンプトに従ってセキュリティ検証を完了します。
RAM ユーザーに権限を付与します。
RAM ユーザーの名前をクリックします。表示されるページで、権限 タブをクリックします。
権限の付与 をクリックします。表示されるパネルの ポリシー セクションで、検索ボックスに
AliyunSTSAssumeRoleAccessポリシーとAliyunARMSFullAccessポリシーを検索し、それらを右側のセクションに追加して、権限の付与 をクリックします。
データを集約します。
RAM ユーザーとして Managed Service for Prometheus コンソール にログオンします。
左側のナビゲーションペインで、インスタンス をクリックします。
グローバル集約インスタンスを見つけ、編集列のアクションをクリックします。選択集約対象のインスタンスセクション(手順 3)で、他のアカウント (カスタム認証) を選択します。
Alibaba Cloud アカウント の横にある検索ボックスに、アカウント B の ID を入力し、OK をクリックします。アカウント B に属するすべての Prometheus インスタンスが表示されます。Prometheus インスタンスを選択し、集約インスタンスの編集 をクリックします。
説明別の Alibaba Cloud アカウントに対する権限を持つ RAM ユーザーのみが、そのアカウント内の Prometheus インスタンスを変更できますが、RAM ユーザーを所有する Alibaba Cloud アカウントは変更できません。
手順 2: グローバル集約インスタンスのデータをクエリする
グローバル集約インスタンスを作成した後、組み込みの Grafana ダッシュボードでグローバル集約インスタンスのパフォーマンスメトリックデータを表示できます。
インスタンス ページで、グローバル集約インスタンスの名前をクリックします。左側のナビゲーションペインで、ダッシュボード をクリックします。
手順 3: グローバル集約インスタンスのアラートルールを作成する
インスタンス ページで、グローバル集約インスタンスの名前をクリックします。左側のナビゲーションペインで、アラートルール をクリックします。
Prometheus アラートルール ページで、Prometheus アラートルールの作成 をクリックし、プロンプトに従ってアラートルールを作成します。詳細については、Prometheus インスタンスのアラートルールを作成する を参照してください。
説明Prometheus アラートルールの作成 ページの データプレビュー セクションには、グローバル集約インスタンス の unique_cluster_id と unique_cluster_name が表示されます。この機能は、アラートをトリガーしたインスタンスを特定するのに役立ちます。
その他の操作
グローバル集約インスタンスを編集する
インスタンスページで、グローバル集約インスタンスを見つけて、アクション列の編集をクリックします。エンドポイントパラメータを変更すると、現在のリージョンで構成されているアラートルールが無効になります。そのため、必要な場合を除き、エンドポイントパラメータを変更しないことをお勧めします。
グローバル集約インスタンスをアンインストールする
グローバル集約インスタンス を使用しなくなった場合は、インスタンスをアンインストールできます。
インスタンスページで、Prometheus インスタンスを見つけ、アクション列のアンインストールをクリックします。表示されるメッセージで、OK をクリックします。Prometheus インスタンスがアンインストールされると、インスタンスページには表示されなくなります。
FAQ
グローバル集約インスタンスは料金がかかりますか?
グローバル集約インスタンスはパブリックプレビュー中で無料で使用できます。
グローバル集約インスタンスは他の Prometheus インスタンスからデータを同期しますか?
グローバル集約インスタンスは他の Prometheus インスタンスからデータを同期しません。代わりに、データクエリのエントリを提供します。