在私有子网中的 EC2 上安装 Cloudwatch 代理
Install Cloudwatch agent on EC2 in a private subnet
我正在尝试在私有子网(无法访问互联网)后的 EC2 实例上安装云监视代理。所有在线文档似乎都是使用互联网获取 RPM(通过 S3 下载链接或 AWS 系统管理器)。我想弄清楚的是如何在没有互联网的情况下获得 RPM。我有一个 s3 的 VPCE 设置,它能够从我自己的存储桶中获取对象,但是,根据我的理解,它不适用于下载链接。
我试图遵循的文档:
https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/download-cloudwatch-agent-commandline.html
如果重要的话,我正在使用 terraform 来部署我的基础设施。
有解决办法吗?
更新:
Shell EC2 实例启动脚本
#!/bin/bash
cd /home/ec2-user
aws s3 cp s3://${bucket_name}/${zip_file} ${zip_file} --region ${region}
wget https://s3.us-east-1.amazonaws.com/amazoncloudwatch-agent-us-east-1/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm
VPC 路由 table:
101.0.0.0/16 local active No
pl-xxxxx (com.amazonaws.us-east-1.s3, 54.231.0.0/17, 52.216.0.0/15, 3.5.16.0/21, 3.5.0.0/20) vpce-xxxxxxx active. No
要从私有子网访问互联网,您通常需要:
NAT gateway or NAT instance 在 public 个子网中
修改了私有子网的路由表以将互联网流量 (0.0.0.0/0) 指向 NAT 设备。
另一种方法是将 CloudWatch 代理存储在 S3 中,然后通过 S3 VPC 网关 从那里下载。如果这不起作用,必须验证您的 VPC 端点设置和路由表。
您还可以在 public 子网中准备一个 golden AMI 映像,其中包含代理和任何其他需要安装互联网的软件。然后从 AMI 将实例部署到私有子网中。
S3 下载 link 已在所有区域的文档中提供。由于您已经设置了 S3 网关 VPC 端点,如果您使用区域特定的 S3 下载 link 您所在区域,它将非常有效。 您不需要 NAT 或其他任何东西。
我正在尝试在私有子网(无法访问互联网)后的 EC2 实例上安装云监视代理。所有在线文档似乎都是使用互联网获取 RPM(通过 S3 下载链接或 AWS 系统管理器)。我想弄清楚的是如何在没有互联网的情况下获得 RPM。我有一个 s3 的 VPCE 设置,它能够从我自己的存储桶中获取对象,但是,根据我的理解,它不适用于下载链接。 我试图遵循的文档: https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/download-cloudwatch-agent-commandline.html
如果重要的话,我正在使用 terraform 来部署我的基础设施。
有解决办法吗?
更新: Shell EC2 实例启动脚本
#!/bin/bash
cd /home/ec2-user
aws s3 cp s3://${bucket_name}/${zip_file} ${zip_file} --region ${region}
wget https://s3.us-east-1.amazonaws.com/amazoncloudwatch-agent-us-east-1/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm
VPC 路由 table:
101.0.0.0/16 local active No
pl-xxxxx (com.amazonaws.us-east-1.s3, 54.231.0.0/17, 52.216.0.0/15, 3.5.16.0/21, 3.5.0.0/20) vpce-xxxxxxx active. No
要从私有子网访问互联网,您通常需要:
NAT gateway or NAT instance 在 public 个子网中
修改了私有子网的路由表以将互联网流量 (0.0.0.0/0) 指向 NAT 设备。
另一种方法是将 CloudWatch 代理存储在 S3 中,然后通过 S3 VPC 网关 从那里下载。如果这不起作用,必须验证您的 VPC 端点设置和路由表。
您还可以在 public 子网中准备一个 golden AMI 映像,其中包含代理和任何其他需要安装互联网的软件。然后从 AMI 将实例部署到私有子网中。
S3 下载 link 已在所有区域的文档中提供。由于您已经设置了 S3 网关 VPC 端点,如果您使用区域特定的 S3 下载 link 您所在区域,它将非常有效。 您不需要 NAT 或其他任何东西。