Pemantauan lintas akun terpadu dengan instans agregasi global - Managed Service for Prometheus

Managed Service for Prometheus memungkinkan Anda mengagregasi data dari instans Prometheus di beberapa Akun Alibaba Cloud melalui autentikasi kustom, sehingga mendukung pemantauan metrik terpadu, visualisasi Grafana, dan manajemen alert dari satu akun.

Latar Belakang

Perusahaan sering mengelola beberapa Akun Alibaba Cloud, yang meningkatkan kompleksitas operasional. Managed Service for Prometheus menyediakan fitur instans agregasi global untuk memusatkan data pemantauan dari akun berbeda, sehingga memungkinkan kueri metrik terpadu, manajemen alert, dan observabilitas yang lebih efisien.

Batasan

Instans agregasi global tidak mendukung agregasi data lintas super region. Super region tersebut mencakup Tiongkok, Asia Tenggara dan Timur Tengah, Jepang dan Korea Selatan, Eropa dan Rusia, serta Amerika.
Fitur agregasi lintas akun tidak didukung untuk instans Prometheus V2.

Prasyarat

Anda memiliki setidaknya dua Akun Alibaba Cloud, misalnya Akun A dan Akun B. Managed Service for Prometheus telah diaktifkan di masing-masing akun. Untuk informasi selengkapnya, lihat Billing of Managed Service for Prometheus.
Data pemantauan dari Akun A dan Akun B telah dimasukkan ke instans Prometheus masing-masing. Untuk informasi selengkapnya, lihat Integration overview.

Catatan Penggunaan

Dokumen ini menggunakan dua Akun Alibaba Cloud, yaitu Akun A dan Akun B, sebagai contoh untuk menunjukkan cara mengonsolidasikan data pemantauan dari Akun B ke Akun A melalui instans agregasi global. Setelah dikonfigurasi, Akun A dapat melakukan kueri data dan mengelola alert untuk kedua akun secara terpusat.

Langkah 1: Buat instans agregasi global

Managed Service for Prometheus mendukung agregasi lintas akun melalui dua metode berikut:

Metode 1: Resource Directory

Siapkan struktur multi-akun untuk perusahaan Anda dengan menggunakan resource directory. Untuk informasi selengkapnya tentang resource directory, lihat What is Resource Directory?.

Tetapkan administrator yang didelegasikan untuk layanan tepercaya dengan salah satu metode berikut.

Konsol

Login ke Resource Management console menggunakan akun manajemen Anda.
Di panel navigasi kiri, pilih Resource Directory > Trusted Services.
Pada halaman Trusted Services, temukan layanan tepercaya lalu klik Manage di kolom Actions.
Di bagian Delegated administrator accounts, klik Add. Pilih Akun Alibaba Cloud yang akan digunakan untuk membuat instans agregasi global dan tetapkan sebagai administrator yang didelegasikan.

Catatan
Dalam contoh ini, Akun A adalah akun administrator yang didelegasikan.
Klik OK.

Anda sekarang dapat mengakses modul manajemen multi-akun layanan tepercaya dan melakukan operasi administratif di seluruh organisasi Anda.

API

Gunakan akun manajemen resource directory atau peran RAM dengan izin administrator untuk memanggil operasi API RegisterDelegatedAdministrator guna menetapkan peran administrator yang didelegasikan ke akun anggota tempat Anda akan membuat instans agregasi global. Konfigurasikan parameter berikut:

Parameter	Deskripsi
Endpoint	Daratan Tiongkok: Pilih China (Shanghai). Wilayah lain: Pilih Singapore.
AccountId	Masukkan ID akun anggota tempat Anda ingin membuat instans agregasi global lintas akun.
ServicePrincipal	Masukkan prometheus.aliyuncs.com.

Klik Initiate Call.

Agregasi data.

Gunakan Akun Alibaba Cloud A untuk login ke the Prometheus console.
Di panel navigasi kiri, pilih Managed Service for Prometheus > Instances untuk membuka daftar instans Managed Service for Prometheus.

Klik Create Prometheus Instance. Pada halaman Create Instance, konfigurasikan parameter seperti pada tabel berikut, lalu klik Create Now.

Parameter	Deskripsi
Instance Type	Pilih Global Aggregation Instance.
Instance Name	Masukkan nama untuk instans agregasi global.
Resource Group	Pilih kelompok sumber daya untuk instans.
Tag	Tag adalah pasangan kunci-nilai yang peka terhadap huruf besar/kecil. Anda dapat menambahkan hingga 20 tag.
Endpoint	Endpoint menentukan titik akses untuk permintaan dan wilayah tempat alert dikonfigurasi. Pilih wilayah dengan jumlah instans terbanyak. Memilih wilayah berbeda dapat memengaruhi kecepatan akses dan stabilitas sistem.
Select the instances to be aggregated	Pilih Other Accounts (Resource Directory), pilih Resource Directory Member Account, lalu tambahkan instans Prometheus target. Catatan Setelah memilih akun lain (resource directory), Managed Service for Prometheus akan mengatur status layanan tepercaya di resource directory menjadi enabled. Anda dapat memilih nama instans dari wilayah berbeda untuk mengagregasi instans lintas wilayah. Sebelum memilih instans, Anda harus menentukan endpoint akses di bagian Endpoint.

Catatan

Anda dapat mengedit instans agregasi global dengan mengklik Edit di kolom Operation. Jangan mengubah endpoint setelah pembuatan. Mengubahnya akan membuat aturan alert yang dikonfigurasi untuk endpoint asli menjadi tidak valid.

Metode 2: Autentikasi Kustom

Gunakan Akun B untuk membuat peran RAM.
1. Login ke RAM console menggunakan Akun B.
2. Di panel navigasi kiri, pilih Identities > Roles.
3. Pada halaman Roles, klik Create Role.
4. Pada halaman Create Role, atur Principal Type menjadi Cloud Account, tentukan detail Akun Alibaba Cloud, lalu klik OK.
5. Pada langkah Configure Role, atur Role Name menjadi AliyunPrometheusQueryRole. Untuk Select Trusted Alibaba Cloud Account, pilih Other Alibaba Cloud Account dan masukkan ID Akun A. Lalu, klik Finish.
6. Klik nama peran yang baru saja dibuat. Di halaman detail peran, klik tab Trust Policy. Klik Edit Trust Policy dan ubah kebijakan untuk memberikan kepercayaan kepada Akun A.
  
  Catatan
  Akun tepercaya ditentukan dalam bentuk array, sehingga Anda dapat memberikan kepercayaan kepada beberapa akun sekaligus.
Berikan izin AliyunRAMReadOnlyAccess dan AliyunARMSReadOnlyAccess kepada peran AliyunPrometheusQueryRole.
1. Di panel navigasi kiri, pilih Identities > Role. Temukan peran target lalu klik Create Authorization di kolom Operation.
2. Di panel Create Authorization, di bagian Policy, cari AliyunRAMReadOnlyAccess dan AliyunARMSReadOnlyAccess, pilih keduanya, lalu klik OK.
(Opsional) Buat pengguna RAM untuk Akun A.
Catatan
- Jika Anda menggunakan akun root (Akun A) untuk agregasi, Anda harus terlebih dahulu membuat pengguna RAM di dalam Akun A.
- Jika akun pengagregasi Anda sudah merupakan pengguna RAM, Anda dapat melewati langkah ini dan menggunakan pengguna RAM yang ada untuk mengagregasi data dari Akun B.
1. Login ke RAM console menggunakan Akun A.
2. Di panel navigasi kiri, pilih Identities > Users. Di halaman Users, klik Create User.
3. Pada halaman Create User, konfigurasikan informasi dasar pengguna.
  1. Logon Name: Dapat berisi huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_). Nama maksimal 64 karakter.
  2. Display name: Maksimal 128 karakter.
    
    Catatan
    Klik Create User untuk membuat beberapa pengguna RAM sekaligus.
  3. Access Method: Untuk keamanan, kami menyarankan Anda hanya memilih satu mode akses untuk memisahkan pengguna manusia dari pengguna aplikasi.
    Console Access
    
    Jika pengguna RAM mewakili orang, kami menyarankan mengaktifkan akses konsol. Ini memungkinkan pengguna mengakses Alibaba Cloud dengan username dan password. Konfigurasikan parameter berikut:
    
    Console password: Anda dapat memilih untuk menghasilkan password secara otomatis atau menetapkan password kustom. Password kustom harus memenuhi aturan kompleksitas password yang dikonfigurasi. Untuk informasi selengkapnya, lihat Set a password policy for RAM users.
    
    Password reset policy: Pilih apakah pengguna RAM harus mengatur ulang password saat login berikutnya.
    
    Multi-factor authentication (MFA): Pilih apakah akan mengaktifkan MFA untuk pengguna RAM. Jika diaktifkan, perangkat MFA harus diikat. Untuk informasi selengkapnya, lihat Bind an MFA device for a RAM user.
    
    Using permanent AccessKey to access
    
    Jika pengguna RAM mewakili aplikasi, Anda dapat menggunakan pasangan AccessKey permanen untuk mengakses Alibaba Cloud. Saat diaktifkan, sistem secara otomatis menghasilkan ID AccessKey dan Rahasia AccessKey. Untuk informasi selengkapnya, lihat Create an AccessKey pair.
    
    Penting
    
    Rahasia AccessKey hanya ditampilkan sekali saat pembuatan dan tidak dapat diambil kembali. Pastikan Anda menyimpannya dengan aman.
    
    Pasangan AccessKey adalah kredensial jangka panjang. Jika dikompromikan, ini menimbulkan risiko keamanan terhadap semua sumber daya di bawah akun tersebut. Kami menyarankan menggunakan kredensial sementara seperti Token Layanan Keamanan (STS) untuk mengurangi risiko kebocoran kredensial. Untuk informasi selengkapnya, lihat Best practices for using access credentials to call Alibaba Cloud APIs.
4. Klik OK.
5. Lakukan verifikasi keamanan sesuai petunjuk.
Berikan izin kepada pengguna RAM Akun A.
1. Klik nama pengguna RAM target, lalu klik tab Permission Management.
2. Klik Create Authorization. Di panel yang muncul, pada tab Policy, cari dan pilih kebijakan AliyunSTSAssumeRoleAccess dan AliyunARMSFullAccess. Lalu, klik OK.
Agregasi data instans Prometheus.
1. Login ke Managed Service for Prometheus console sebagai pengguna RAM Akun A.
2. Di panel navigasi kiri, klik Instances.
3. Temukan instans agregasi global target lalu klik Edit di kolom Operation. Di bagian Step 3, untuk Select instances to aggregate, pilih Other Accounts (Custom Authentication).
4. Di kotak pencarian di samping Alibaba Cloud Account, cari Akun B lalu klik Confirm. Sistem akan memfilter dan menampilkan semua instans Prometheus milik Akun B. Pilih instans yang ingin diagregasi, lalu klik Edit Aggregation Instance.
  
  Catatan
  Hanya pengguna RAM yang berwenang yang dapat mengedit dan menyimpan konfigurasi untuk pemantauan lintas akun dengan autentikasi kustom. Akun Alibaba Cloud utama tidak memiliki izin ini.

Langkah 2: Kueri Data

Setelah mengagregasi instans Prometheus dari Akun B ke instans agregasi global di bawah pengguna RAM Akun A, Anda dapat melihat metrik kinerja di Dasbor Grafana bawaan.

Di halaman Instances, klik nama instans Prometheus target Anda. Di panel navigasi kiri, klik Dashboards.

Langkah 3: Buat Aturan Alert

Di halaman Instances, klik nama instans Prometheus target Anda. Di panel navigasi kiri, klik Alarm Rules.
Di halaman Prometheus Alert Rules, klik Create Prometheus Alert Rule dan konfigurasikan aturan alert sesuai petunjuk. Untuk informasi selengkapnya, lihat Create a Prometheus alert rule.

Catatan
Di bagian Data Preview pada halaman Create Prometheus Alert Rule, instans agregasi global menyediakan label unique_cluster_id (ID unik instans) dan unique_cluster_name (nama instans). Label ini membantu Anda mengidentifikasi instans mana yang memicu alert.

Operasi Terkait

Edit instans agregasi global

Di halaman Instances, temukan instans agregasi global yang ingin diubah lalu klik Edit di kolom Operation. Jangan mengubah endpoint setelah pembuatan. Mengubahnya akan membuat aturan alert yang dikonfigurasi untuk endpoint asli menjadi tidak valid.

Uninstall instans agregasi global

Jika Anda tidak lagi memerlukan instans agregasi global, Anda dapat meng-uninstall-nya.

Di halaman Instances, temukan instans Prometheus, lalu klik Uninstall di kolom Actions. Di pesan yang muncul, klik OK. Setelah instans Prometheus di-uninstall, instans tersebut tidak lagi ditampilkan di halaman Instances.

FAQ

Apakah ada biaya tambahan untuk instans agregasi global?

Instans agregasi global saat ini berada dalam pratinjau publik dan gratis.

Apakah instans agregasi global mengonsolidasikan data dari semua instans yang diagregasi ke dalam satu instans?

Instans agregasi global tidak menyimpan salinan data dari instans yang diagregasi. Sebaliknya, instans ini bertindak sebagai proxy kueri yang meneruskan permintaan ke instans sumber secara real time.