通過可觀測監控 Prometheus 版提供的自訂鑒權方式,您可以對多個不同阿里雲帳號下的Prometheus執行個體進行資料的彙總,實現對跨帳號下的Prometheus執行個體指標資料的統一監控、統一Grafana展示和統一警示管理。
背景資訊
企業可能會設立多個阿里雲帳號(主帳號),這給營運團隊帶來了維護的複雜性。阿里雲的Managed Service for Prometheus提供了全域彙總執行個體功能,能將不同帳號下的監控資料集中管理。通過這一能力,可以協助您實現對多帳號的統一查詢和警示管理,方便您對多個帳號進行統一監控營運。
前提條件
已存在阿里雲帳號A(主帳號)和阿里雲帳號B(主帳號),並且已開通帳號A和帳號B的Managed Service for Prometheus。具體操作,請參見計費說明。
帳號A和帳號B的監控資料都已經接入到對應阿里雲帳號的Prometheus執行個體中。具體操作,請參見通過接入中心接入資料。
使用說明
本文將以兩個阿里雲帳號(帳號A和帳號B)為例,介紹如何通過Prometheus全域彙總執行個體功能將帳號B的監控Data Integration到帳號A,實現在帳號A中對兩個帳號的監控資料進行一站式查詢和警示管理。
步驟一:建立全域彙總執行個體
Managed Service for Prometheus跨帳號彙總能力支援兩種方式:
方式一:基於資源管理 - 資來源目錄的方式彙總
已通過資來源目錄搭建了企業的多帳號體繫結構。資來源目錄更多資訊,請參見資來源目錄概述。
通過以下任意一種方式設定可信服務的委派管理員角色。
方式一
- 使用管理帳號登入資源管理主控台。
- 在左側導覽列,選擇 。
- 在可信服務頁面,單擊目標可信服務操作列的管理。
在委派管理員帳號地區,單擊添加,將建立的Prometheus全域彙總執行個體的雲帳號設定為委派管理員。
說明本樣本的帳號為阿里雲帳號A。
- 單擊確定。添加成功後,使用該委派管理員帳號訪問對應可信服務的多帳號管理模組,即可進行資來源目錄組織範圍內的管理操作。
方式二
使用資來源目錄管理員帳號或擁有管理員權限的RAM角色調用OpenAPI,為想要建立跨帳號全域彙總執行個體的成員設定可信服務的委派管理員角色,按照下表說明配置參數:
參數
說明
服務地址
中國內地:選擇華東2(上海)。
其他地區:選擇新加坡。
AccountId
填寫需要建立跨帳號全域彙總執行個體的成員使用者ID。
ServicePrincipal
填寫prometheus.aliyuncs.com。
單擊發起調用。
彙總資料。
使用阿里雲帳號A登入ARMS控制台。
在左側導覽列選擇 ,進入可觀測監控 Prometheus 版的執行個體列表頁面。
單擊建立Prometheus執行個體,在建立執行個體頁面,按照下表提示完成配置參數,然後單擊立即建立。
參數
說明
執行個體類型
選擇全域彙總執行個體。
執行個體名稱
自訂全域彙總執行個體名稱。
所屬資源群組
選擇所屬的資源群組。
標籤
標籤由區分大小寫索引值對組成,您最多可以設定20個標籤。
訪問Endpoint
Endpoint是請求的訪問點、警示的配置地區。建議您選擇執行個體數量最多的地區作為訪問點,若您選擇其他地區可能會影響訪問速度和系統穩定性。
選擇要彙總的執行個體
選擇其他帳號(資來源目錄),選擇資來源目錄成員帳號,添加目標Prometheus執行個體。
說明選擇其他帳號(資來源目錄)後,Managed Service for Prometheus會將資來源目錄中的可信服務啟用狀態設定為已啟用。
您可以選擇不同地區(Region)下的執行個體名稱以實現跨地區的執行個體彙總,不過在您選擇執行個體之前需要在訪問Endpoint地區指定訪問的Endpoint。
說明您可以單擊已建立的全域彙總執行個體右側操作列的編輯,編輯已建立的全域彙總執行個體資訊。請勿隨意變更Endpoint資訊,否則將導致在原Endpoint下配置的警示規則失效,因此不建議您隨意變更Endpoint。
方式二:基於RAM角色自訂鑒權進行彙總
使用阿里雲帳號B建立角色。
使用阿里雲帳號B登入RAM控制台。
在左側導覽列,選擇 。
在角色頁面,單擊建立角色。
在建立角色頁面,選擇可信實體類型為阿里雲帳號,然後單擊下一步。
在配置角色步驟,設定角色名稱為
AliyunPrometheusQueryRole
,然後選擇信任的帳號為其他雲帳號,並輸入阿里雲帳號A的資訊,然後單擊完成。單擊已建立的角色,然後單擊信任策略頁簽,單擊編輯信任策略,在彈出的面板修改信任策略,為阿里雲帳號A授信。
說明這裡為數組形式,即您可以為多個帳號同時授信。
為
AliyunPrometheusQueryRole
角色授予AliyunRAMReadOnlyAccess
和AliyunARMSReadOnlyAccess
許可權。在左側導覽列選擇身份管理 > 角色,然後單擊目標角色操作列的新增授權。
在新增授權面板的權限原則地區,在搜尋方塊中輸入
AliyunRAMReadOnlyAccess
和AliyunARMSReadOnlyAccess
許可權,將其選中並添加在右側地區,然後單擊確認新增授權。
(可選)為阿里雲帳號A建立RAM使用者。
說明如果您的彙總帳號為阿里雲帳號A,您需要為阿里雲帳號A建立RAM使用者來彙總阿里雲帳號B,因此需要執行該步驟。
如果您的彙總帳號已經是RAM使用者,則可以直接連接彙總阿里雲帳號B,因此無需再次建立RAM使用者,可以跳過該步驟。
使用阿里雲帳號A登入RAM控制台。
在左側導覽列,選擇 。
在使用者頁面,單擊建立使用者。
在建立使用者頁面的使用者帳號資訊地區,設定使用者基本資料。
登入名稱稱:可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。
顯示名稱:最多包含128個字元或漢字。
標籤:單擊,然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤,便於後續基於標籤的使用者管理。
說明單擊添加使用者,可以大量建立多個RAM使用者。
在訪問方式地區,選擇訪問方式,然後設定對應參數。
為了帳號安全,建議您只選擇以下訪問方式中的一種,將人員使用者和應用程式使用者分離,避免混用。
控制台訪問
如果RAM使用者代表人員,建議啟用控制台訪問,使用使用者名稱和登入密碼訪問阿里雲。您需要設定以下參數:
控制台登入密碼:選擇自動產生密碼或者自訂密碼。自訂登入密碼時,密碼必須滿足密碼複雜度規則。更多資訊,請參見設定RAM使用者密碼強度。
密碼重設策略:選擇RAM使用者在下次登入時是否需要重設密碼。
多因素認證(MFA)策略:選擇是否為當前RAM使用者啟用MFA。啟用MFA後,主帳號還需要為RAM使用者綁定MFA裝置或RAM使用者自行綁定MFA裝置。更多資訊,請參見為RAM使用者綁定MFA裝置。
OpenAPI調用訪問
如果RAM使用者代表應用程式,建議啟用OpenAPI調用訪問,使用存取金鑰(AccessKey)訪問阿里雲。啟用後,系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。更多資訊,請參見建立AccessKey。
重要RAM使用者的AccessKey Secret只在建立時顯示,不支援查看,請妥善保管。
單擊確定。
根據介面提示,完成安全驗證。
阿里雲帳號A的RAM使用者授權。
單擊目標RAM使用者名稱稱,然後單擊許可權管理頁簽。
單擊新增授權,在彈出的面板的權限原則地區通過在搜尋方塊輸入
AliyunSTSAssumeRoleAccess
和AliyunARMSFullAccess
許可權,將其選中並添加在右側地區,然後單擊確認新增授權。
彙總Prometheus執行個體資料。
使用阿里雲帳號A的RAM使用者登入ARMS控制台。
在左側導覽列選擇 ,進入可觀測監控 Prometheus 版的執行個體列表頁面。
單擊目標全域彙總執行個體操作列的編輯,然後在STEP3地區選擇要彙總的執行個體為其他帳號(自訂鑒權)。
在阿里雲帳號右側搜尋方塊中搜尋阿里雲帳號B,單擊確認,系統會過濾出阿里雲帳號B下的所有Prometheus執行個體,您可以選中對應的Prometheus執行個體進行彙總,然後單擊編輯彙總執行個體。
說明只有進行過授權的RAM使用者可以編輯儲存自訂授權的跨帳號監控執行個體,阿里雲帳號暫無相關許可權。
步驟二:查詢跨帳號的全域彙總執行個體資料
通過阿里雲帳號A的RAM使用者下的全域彙總執行個體彙總阿里雲帳號B的Prometheus執行個體後,您可以通過預置的Grafana大盤查看彙總後的Prometheus執行個體的效能指標資料。
在執行個體列表頁面,單擊目標Prometheus執行個體名稱,然後在左側導覽列單擊大盤列表。
步驟三:為跨帳號的全域彙總執行個體建立警示規則
在執行個體列表頁面,單擊目標Prometheus執行個體名稱,然後在左側導覽列單擊警示規則。
在Prometheus警示規則頁面,單擊建立Prometheus警示規則,按照介面提示資訊配置警示規則的基本資料。具體操作,請參見Prometheus警示規則。
說明在建立Prometheus警示規則頁面的資料預覽地區,全域彙總執行個體提供了unique_cluster_id(執行個體的唯一標識)和unique_cluster_name(執行個體名稱),以便您在追蹤警示對象時,能快速定位到對應觸發警示閾值的執行個體。
相關操作
編輯全域彙總執行個體
在執行個體列表頁面,您可以單擊已彙總的全域彙總執行個體右側操作列的編輯,編輯彙總的全域彙總執行個體資訊。若您重新修改了Endpoint資訊 ,會導致在原Endpoint下配置的警示規則失效,因此不建議您隨意變更Endpoint。
卸載全域彙總執行個體
若您暫不需要監控全域彙總執行個體,您可以卸載相關外掛程式。
在執行個體列表頁面,單擊目標Prometheus執行個體操作列的卸載,然後在彈出的對話方塊中單擊確認,即可卸載成功。卸載完成後,執行個體列表頁面不再顯示該Prometheus執行個體。
常見問題
Prometheus全域彙總執行個體需要額外收費嗎?
全域彙總執行個體目前處於公測階段,暫不收費。
Prometheus全域彙總執行個體是將被彙總執行個體資料匯總到一個執行個體嗎?
被彙總執行個體不會匯總寫入到全域彙總執行個體,全域彙總執行個體只是在查詢時將查詢下發到被彙總執行個體。