在服务器上安装和运行 CloudWatch 代理
在创建所需的代理配置文件并创建 IAM 角色或 IAM 用户后,使用该配置执行以下步骤在服务器上安装和运行代理。首先,将 IAM 角色或 IAM 用户附加到将要运行代理的服务器上。然后,在该服务器上,下载代理软件包并使用您创建的代理配置文件启动它。
使用 S3 下载链接下载 CloudWatch 代理软件包
注意
要下载 CloudWatch 代理,您的连接必须使用 TLS 1.2 或更高版本。
在将要运行代理的每台服务器上,下载代理软件包。根据您的架构和平台,从该表中选择下载链接。
| 架构 | 平台 | 下载链接 | 签名文件链接 |
|---|---|---|---|
|
amd64 |
Amazon Linux 2023 和 Amazon Linux 2 |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm.sig |
|
amd64 |
Centos |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/centos/amd64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/centos/amd64/latest/amazon-cloudwatch-agent.rpm.sig |
|
amd64 |
Redhat |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/redhat/amd64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/redhat/amd64/latest/amazon-cloudwatch-agent.rpm.sig |
|
amd64 |
SUSE |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/suse/amd64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/suse/amd64/latest/amazon-cloudwatch-agent.rpm.sig |
|
amd64 |
Debian |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/debian/amd64/latest/amazon-cloudwatch-agent.deb |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/debian/amd64/latest/amazon-cloudwatch-agent.deb.sig |
|
amd64 |
Ubuntu |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb.sig |
|
amd64 |
Windows |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/windows/amd64/latest/amazon-cloudwatch-agent.msi |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/windows/amd64/latest/amazon-cloudwatch-agent.msi.sig |
|
ARM64 |
Amazon Linux 2023 和 Amazon Linux 2 |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/amazon_linux/arm64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/amazon_linux/arm64/latest/amazon-cloudwatch-agent.rpm.sig |
|
ARM64 |
Redhat |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/redhat/arm64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/redhat/arm64/latest/amazon-cloudwatch-agent.rpm.sig |
|
ARM64 |
Ubuntu |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/ubuntu/arm64/latest/amazon-cloudwatch-agent.deb |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/ubuntu/arm64/latest/amazon-cloudwatch-agent.deb.sig |
使用命令行在 Amazon EC2 实例上安装 CloudWatch 代理
-
下载 CloudWatch 代理。对于 Linux 服务器,请输入以下命令。对于
download-link,请使用上表中的相应下载链接。wgetdownload-link对于运行 Windows Server 的服务器,请下载以下文件:
-
在下载该软件包后,您可以选择验证软件包签名。有关更多信息,请参阅 验证 CloudWatch 代理软件包的签名。
-
安装 软件包。如果已在 Linux 服务器上下载 RPM 程序包,请更改为包含程序包的目录,并输入以下内容:
sudo rpm -U ./amazon-cloudwatch-agent.rpm如果已在 Linux 服务器上下载 DEB 程序包,请更改为包含程序包的目录,并输入以下内容:
sudo dpkg -i -E ./amazon-cloudwatch-agent.deb如果已运行在 Windows Server 的服务器上下载 MSI 程序包,请更改为包含程序包的目录,并输入以下内容:
msiexec /i amazon-cloudwatch-agent.msi此命令还可在 PowerShell 中发挥作用。有关 MSI 命令选项的更多信息,请参阅 Microsoft Windows 文档中的命令行选项
。
(在 EC2 实例上安装)附加 IAM 角色
要使 CloudWatch 代理能够从实例发送数据,您必须将 IAM 角色附加到实例。要附加的角色是 CloudWatchAgentServerRole。您之前应该已经创建了此角色。有关更多信息,请参阅创建 IAM 角色和用户以用于 CloudWatch 代理。
有关将 IAM 角色附加到实例的更多信息,请参阅《Amazon EC2 用户指南》中的将 IAM 角色附加到实例。
(安装在本地部署服务器上)指定 IAM 凭证和 Amazon 区域
要使 CloudWatch 代理能够从本地部署服务器发送数据,您必须指定先前创建的 IAM 用户的访问密钥和私有密钥。有关创建此用户的更多信息,请参阅创建 IAM 角色和用户以用于 CloudWatch 代理。
您还必须使用 Amazon 配置文件的 [AmazonCloudWatchAgent] 部分中的 region 字段指定要将指标发送到的 Amazon 区域,如以下示例中所示。
[profile AmazonCloudWatchAgent] region =us-west-1
下面是使用 aws configure 命令为 CloudWatch 代理创建命名配置文件的示例。该示例假设您使用默认配置文件名称 AmazonCloudWatchAgent。
为 CloudWatch 代理创建 AmazonCloudWatchAgent 配置文件
如果您还没有这样做,请在服务器上安装 Amazon Command Line Interface。有关更多信息,请参阅安装 Amazon CLI。
-
在 Linux 服务器上,输入以下命令并按照提示进行操作:
sudo aws configure --profile AmazonCloudWatchAgent在 Windows Server 上,以管理员身份打开 PowerShell,输入以下命令并按照提示进行操作。
aws configure --profile AmazonCloudWatchAgent
验证互联网访问权限
您的 Amazon EC2 实例必须具有出站互联网访问权限,才能将数据发送到 CloudWatch 或 CloudWatch Logs。有关如何配置互联网访问权限的更多信息,请参阅 Amazon VPC 用户指南中的互联网网关。
要在您的代理上配置的终端节点和端口如下所示:
-
如果要使用代理收集指标,则必须将相应区域的 CloudWatch 端点加入白名单。这些端点在 Amazon CloudWatch 端点和配额中列出。
-
如果要使用代理收集日志,则必须将相应区域的 CloudWatch Logs 端点加入白名单。这些端点在 Amazon CloudWatch Logs 端点和配额中列出。
-
如果使用 Systems Manager 安装代理或使用 Parameter Store 存储配置文件,您必须将相应区域的 Systems Manager 端点加入白名单。这些端点在 Amazon Systems Manager 端点和配额中列出。
(可选)修改代理的通用配置或区域信息
CloudWatch 代理包含一个名为 common-config.toml 的配置文件。您可以(可选)使用该文件指定代理和区域信息。
在运行 Linux 的服务器上,该文件位于 /opt/aws/amazon-cloudwatch-agent/etc 目录中。在运行 Windows Server 的服务器上,该文件位于 C:\ProgramData\Amazon\AmazonCloudWatchAgent 目录中。
注意
建议您在本地模式下运行 CloudWatch 代理时使用 common-config.toml 文件来提供共享配置和凭证,当您在 Amazon EC2 上运行并且想要重复使用现有的共享凭证配置文件和文件时,该文件也非常有用。通过 common-config.toml 启用该文件还有一个额外的好处,那就是如果您的共享凭证文件在到期后使用续订的凭证进行轮换,则代理无需重启即可自动选取新凭证。
默认 common-config.toml 如下所示。
# This common-config is used to configure items used for both ssm and cloudwatch access ## Configuration for shared credential. ## Default credential strategy will be used if it is absent here: ## Instance role is used for EC2 case by default. ## AmazonCloudWatchAgent profile is used for the on-premises case by default. # [credentials] # shared_credential_profile = "{profile_name}" # shared_credential_file= "{file_name}" ## Configuration for proxy. ## System-wide environment-variable will be read if it is absent here. ## i.e. HTTP_PROXY/http_proxy; HTTPS_PROXY/https_proxy; NO_PROXY/no_proxy ## Note: system-wide environment-variable is not accessible when using ssm run-command. ## Absent in both here and environment-variable means no proxy will be used. # [proxy] # http_proxy = "{http_url}" # https_proxy = "{https_url}" # no_proxy = "{domain}"
最初将注释所有行。要设置凭证配置文件或代理设置,请从该行中删除 # 并指定一个值。您可以手动编辑该文件,或者使用 Systems Manager 中的 RunShellScript Run Command 执行该操作:
-
shared_credential_profile– 对于本地部署服务器,此行指定 IAM 用户凭证配置文件,以用于将数据发送到 CloudWatch。如果您将此行注释掉,则会使用AmazonCloudWatchAgent。有关创建此配置文件的更多信息,请参阅(安装在本地部署服务器上)指定 IAM 凭证和 Amazon 区域。在 EC2 实例上,您可以使用此行让 CloudWatch 代理将数据从该实例发送到不同 Amazon 区域中的 CloudWatch。要执行此操作,请指定一个包含
region字段的命名配置文件,该字段指定要发送到的区域的名称。如果指定
shared_credential_profile,您还必须从[credentials]行开头删除#。 -
shared_credential_file– 要让代理在位于默认路径以外的路径中的文件中查找凭证,请在此处指定完整的路径和文件名。在 Linux 上,默认路径为/root/.aws;在 Windows Server 上,默认路径为C:\\Users\\Administrator\\.aws。下面的第一个示例显示对 Linux 服务器有效的
shared_credential_file行的语法,第二个示例对 Windows Server 有效。在 Windows Server 上,您必须转义 \ 字符。shared_credential_file= "/usr/username/credentials"shared_credential_file= "C:\\Documents and Settings\\username\\.aws\\credentials"如果指定
shared_credential_file,您还必须从[credentials]行开头删除#。 -
代理设置 – 如果您的服务器使用 HTTP 或 HTTPS 代理联系 Amazon 服务,请在
http_proxy和https_proxy字段中指定这些代理。如果应从代理中排除某些 URL,请在no_proxy字段中指定这些 URL 并以逗号分隔。
使用命令行启动 CloudWatch 代理
可以执行以下步骤以使用命令行在服务器上启动 CloudWatch 代理。
使用命令行在服务器上启动 CloudWatch 代理
-
将要使用的代理配置文件复制到要运行代理的服务器。记下将其复制到的路径名。
-
此命令中,
-a fetch-config会使代理加载最新版本的 CloudWatch 代理配置文件,-s则会启动该代理。输入下列命令之一。将
configuration-file-path替换为指向代理配置文件的路径。如果您使用向导创建此文件,则此文件命名为config.json;如果您手动创建该文件,则该文件可能命名为amazon-cloudwatch-agent.json。在运行 Linux 的 EC2 实例上,输入以下命令。
sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -s -c file:configuration-file-path在运行 Linux 的本地服务器上,输入以下内容:
sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m onPremise -s -c file:configuration-file-path在运行 Windows Server 的 EC2 实例上,从 PowerShell 控制台中输入以下内容:
& "C:\Program Files\Amazon\AmazonCloudWatchAgent\amazon-cloudwatch-agent-ctl.ps1" -a fetch-config -m ec2 -s -c file:configuration-file-path在运行 Windows Server 的本地服务器上,从 PowerShell 控制台中输入以下内容:
& "C:\Program Files\Amazon\AmazonCloudWatchAgent\amazon-cloudwatch-agent-ctl.ps1" -a fetch-config -m onPremise -s -c file:configuration-file-path