如果您擁有多個阿里雲帳號,希望能跨帳號統一監控,實現不同帳號中的應用跨調用鏈路追蹤能力,那麼您可以將應用資料上報到同一個帳號中,並通過RAM使用者或RAM角色授予其他人員查看或管理資料的許可權。
使用限制
跨帳號統一應用監控涉及到跨帳號資料上報、跨帳號授權、跨帳號分賬、帳號切換,以及多帳號體系下的細粒度許可權管理,這會大幅度增加使用複雜度。請您在全面評估後,再考慮規劃跨帳號統一應用監控方案。對於使用多帳號架構的企業,在大多數情況下,每個帳號的應用都只接入該帳號的ARMS是最好的選擇。
解決方案
假設企業同時擁有阿里雲帳號A和B,帳號A購買了ARMS產品,帳號B購買了ECS、ACK等產品,現需要將帳號B的應用接入帳號A下的ARMS中,並在帳號A中實現統一應用監控。可以進行如下設定:
ACK應用
在帳號A下建立RAM使用者,並授予AliyunARMSFullAccess許可權和AliyunSTSAssumeRoleAccess許可權。具體操作,請參見建立RAM使用者。
為RAM使用者建立AccessKey,具體操作,請參見建立AccessKey。
為帳號B下的應用安裝應用監控探針,具體操作,請參見Container ServiceACK環境自動安裝探針。
在Container Service管理主控台目的地組群下的 頁面,單擊ack-onepilot組件右側的更新。
將
accessKey
和accessKeySecret
替換為步驟2擷取的AccessKey,將uid
替換為帳號A的UID,然後單擊確定。此時,帳號B下的ACK應用就會將資料上報至帳號A的ARMS中。
重要請確保您的ack-onepilot版本為3.0.14或以上。自3.0.14版本開始,您需要通過調整Helm中的accessKey和accessKeySecret來實現跨帳號上報資料。ack-onepilot組件各版本發布記錄請參見ack-onepilot。
基於帳號A的RAM使用者管理應用。
方式一:直接使用步驟1中建立的RAM使用者管理應用。
方式二:在帳號A中建立專用RAM使用者管理應用。
在帳號A下建立RAM使用者,並授予ARMS完整許可權AliyunARMSFullAccess,或使用自訂許可權對應用精準授權。建立自訂權限原則的操作,請參見應用監控自訂RAM授權策略。
說明您還可以通過RAM角色使用帳號B的RAM使用者管理應用。具體操作,請參見(可選)通過RAM角色管理應用。
ECS應用
在ARMS控制台的接入中心頁面擷取到帳號A的License key。
重要一個帳號對應唯一的License Key。
下載探針包,並使用帳號A的License Key安裝探針。具體操作,請參見手動安裝探針。
基於帳號A的RAM使用者管理應用。
在帳號A下建立RAM使用者,並授予ARMS完整許可權AliyunARMSFullAccess,或使用自訂許可權對應用精準授權。建立自訂權限原則的操作,請參見應用監控自訂RAM授權策略。
說明您還可以通過RAM角色使用帳號B的RAM使用者管理應用。具體操作,請參見(可選)通過RAM角色管理應用。
(可選)通過RAM角色管理應用
如果您不希望通過帳號A的RAM使用者使用ARMS,那麼可以通過以下方式對帳號B的RAM使用者授權,使帳號B的RAM使用者能夠通過身份切換擁有使用ARMS的能力。
步驟一:為阿里雲帳號B授權
帳號A建立可信實體為阿里雲帳號的RAM角色,例如
arms-admin
,並選擇信任的雲帳號為阿里雲帳號B。具體操作,請參見建立可信實體為阿里雲帳號的RAM角色。
為帳號A的RAM角色
arms-admin
添加ARMS完整許可權AliyunARMSFullAccess,或使用自訂許可權對應用精準授權。建立自訂權限原則的操作,請參見應用監控自訂RAM授權策略。
RAM角色的操作,請參見為RAM角色授權。
為帳號B建立RAM使用者。
具體操作,請參見建立RAM使用者。
重要請儲存RAM使用者登入名稱和密碼。
為帳號B的RAM使用者添加AliyunSTSAssumeRoleAccess許可權,即允許RAM使用者扮演RAM角色。
具體操作,請參見為RAM使用者授權。
步驟二:通過帳號B的RAM使用者管理應用
通過阿里雲帳號B的RAM使用者登入RAM控制台。
具體操作,請參見RAM使用者登入阿里雲控制台。
RAM使用者登入成功後,將滑鼠移至上方在右上方的頭像位置,然後單擊切換身份。
輸入帳號A的UID和上文步驟一中帳號A建立的RAM角色名稱。
具體操作,請參見扮演RAM角色。
登入ARMS控制台,在 頁面查看應用。