複数の Alibaba Cloud アカウントを管理している場合、アプリケーションの監視を一元化し、クロスアカウントトレーシングを有効にすることができます。これを実現するには、アプリケーションデータを単一のアカウントに送信し、RAM ユーザーまたは RAM ロールを使用して、他のユーザーにデータの表示または管理権限を付与します。
事前準備
アカウント間のモニタリングでは、各アカウントのデータレポート、権限付与、課金、および詳細な権限を手動で管理する必要があります。これにより、運用のオーバーヘッドが増加します。ほとんどのマルチアカウント組織では、各アカウント内でアプリケーションを管理する方が簡単です。先に進む前に、一元化されたモニタリングが追加の複雑さを正当化するかどうかを評価してください。
用語
| 用語 | 定義 |
|---|---|
| モニタリングアカウント (アカウント A) | ARMS を実行し、他のアカウントからモニタリングデータを受信する Alibaba Cloud アカウント。 |
| ソースアカウント (アカウント B) | そのアプリケーションがモニタリングアカウントにデータをレポートする Alibaba Cloud アカウント。 |
ソリューション
このトピックでは、次のシナリオに対するソリューションを提供します。組織は、アカウント A とアカウント B という 2 つの Alibaba Cloud アカウントを使用しています。ARMS はアカウント A でアクティブ化されており、Container Service for Kubernetes (ACK) はアカウント B でアクティブ化されています。目標は、アカウント B のアプリケーションをアカウント A の ARMS に接続し、一元的な監視を実現することです。
-
アカウント A で、RAM ユーザーを作成し、AliyunARMSFullAccess および AliyunSTSAssumeRoleAccess 権限を付与します。詳細については、「RAMユーザーの作成」をご参照ください。
-
RAM ユーザーのアクセスキーペアを作成します。詳細については、「アクセスキーペアの作成」をご参照ください。
-
アカウント B のアプリケーションに アプリケーションモニタリング eBPF エージェントをインストールします。詳細については、「アプリケーションモニタリング eBPF へのアプリケーションの手動接続」をご参照ください。
-
対象クラスターの ACK コンソール で、 ページに移動します。ack-arms-cmonitor コンポーネントを見つけ、[Actions] 列の Update をクリックします。
-
accessKeyとaccessKeySecretを 手順 2 で取得したアクセスキー ID とシークレットに置き換え、uid_idをアカウント A の UID に置き換えます。次に、OK をクリックします。アカウント B の ACK アプリケーションは、アカウント A の ARMS へのデータの報告を開始します。
Update Release ダイアログボックスで、YAML 設定エディターでこれらのパラメータを見つけて置き換えます。
-
アカウント A の RAM ユーザーを使用してアプリケーションを管理します。
-
方法 1:手順 1 で作成した RAM ユーザーを使用してアプリケーションを管理します。
-
方法 2:アカウント A でアプリケーションを管理するための専用の RAM ユーザーを作成します。
アカウント A で RAM ユーザーを作成し、AliyunARMSFullAccess ポリシーをアタッチして ARMS のフル権限を付与するか、カスタムポリシーできめ細かな権限を付与します。カスタムポリシーの作成方法の詳細については、「アプリケーションモニタリングのカスタム RAM 認可」をご参照ください。
説明RAM ロールを引き受けることで、アカウント B の RAM ユーザーを使用してアプリケーションを管理することもできます。詳細については、「(オプション) RAM ロールによるアプリケーションの管理」をご参照ください。
-
(オプション) RAM ロールによるアプリケーションの管理
アカウント B の RAM ユーザーに ARMS へのアクセスを認可することもできます。これにより、ユーザーはロールの切り替えによって ARMS にアクセスできます。
手順 1: アカウント B への権限付与
-
アカウント A で、信頼された Alibaba Cloud アカウント用の RAM ロールを作成します。この例では、ロールに
arms-adminという名前を付けます。信頼されたアカウントとしてアカウント B を選択します。詳細については、「信頼されたAlibaba Cloudアカウント用のRAMロールの作成」をご参照ください。
-
アカウント A の
arms-adminRAM ロールに権限を付与します。AliyunARMSFullAccess ポリシーをアタッチして ARMS のフル権限を付与するか、カスタムポリシーできめ細かな権限を付与できます。-
カスタムポリシーの作成方法の詳細については、「アプリケーションモニタリングのカスタム RAM 認可」をご参照ください。
-
RAM ロールへの権限付与の詳細については、「RAM ロールへの権限付与」をご参照ください。
-
-
アカウント B で RAM ユーザーを作成します。
詳細については、「RAMユーザーの作成」をご参照ください。
重要RAM ユーザーのログオン名とパスワードを保存します。
-
アカウント B の RAM ユーザーに AliyunSTSAssumeRoleAccess 権限を付与します。この権限により、RAM ユーザーは RAM ロールを引き受けることができます。
詳細については、「RAMユーザーへの権限付与」をご参照ください。
手順 2: アカウント B の RAM ユーザーとしてのアプリケーション管理
-
アカウント B の RAM ユーザーとして RAM コンソール にログオンします。
詳細については、「RAMユーザーとしてAlibaba Cloudコンソールにログイン」をご参照ください。
-
ログオン後、右上隅のプロファイルアイコンにポインターを合わせ、[ロールの切り替え] をクリックします。
-
アカウント A の UID と、手順 1 でアカウント A で作成した RAM ロールの名前を入力します。
詳細については、「RAM ロールの引き受け」をご参照ください。
-
ARMS コンソール にログオンします。左側メニューで、 を選択してアプリケーションを表示します。