在服务器上安装和运行 CloudWatch 代理
在创建所需的代理配置文件并创建 IAM 角色或 IAM 用户后,使用该配置执行以下步骤在服务器上安装和运行代理。首先,将 IAM 角色或 IAM 用户附加到将要运行代理的服务器上。然后,在该服务器上,下载代理软件包并使用您创建的代理配置文件启动它。
使用 S3 下载链接下载 CloudWatch 代理软件包
注意
要下载 CloudWatch 代理,您的连接必须使用 TLS 1.2 或更高版本。
在将要运行代理的每台服务器上,下载代理软件包。根据您的架构和平台,从该表中选择下载链接。
| 架构 | 平台 | 下载链接 | 签名文件链接 |
|---|---|---|---|
|
amd64 |
Amazon Linux 2023 和 Amazon Linux 2 |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm.sig |
|
amd64 |
Centos |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/centos/amd64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/centos/amd64/latest/amazon-cloudwatch-agent.rpm.sig |
|
amd64 |
Redhat |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/redhat/amd64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/redhat/amd64/latest/amazon-cloudwatch-agent.rpm.sig |
|
amd64 |
SUSE |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/suse/amd64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/suse/amd64/latest/amazon-cloudwatch-agent.rpm.sig |
|
amd64 |
Debian |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/debian/amd64/latest/amazon-cloudwatch-agent.deb |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/debian/amd64/latest/amazon-cloudwatch-agent.deb.sig |
|
amd64 |
Ubuntu |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb.sig |
|
amd64 |
Windows |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/windows/amd64/latest/amazon-cloudwatch-agent.msi |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/windows/amd64/latest/amazon-cloudwatch-agent.msi.sig |
|
ARM64 |
Amazon Linux 2023 和 Amazon Linux 2 |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/amazon_linux/arm64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/amazon_linux/arm64/latest/amazon-cloudwatch-agent.rpm.sig |
|
ARM64 |
Redhat |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/redhat/arm64/latest/amazon-cloudwatch-agent.rpm |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/redhat/arm64/latest/amazon-cloudwatch-agent.rpm.sig |
|
ARM64 |
Ubuntu |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/ubuntu/arm64/latest/amazon-cloudwatch-agent.deb |
https://s3.cn-north-1.amazonaws.com.cn/amazoncloudwatch-agent/ubuntu/arm64/latest/amazon-cloudwatch-agent.deb.sig |
使用命令行在 Amazon EC2 实例上安装 CloudWatch 代理
-
下载 CloudWatch 代理。对于 Linux 服务器,请输入以下命令。对于
download-link,请使用上表中的相应下载链接。wgetdownload-link对于运行 Windows Server 的服务器,请下载以下文件:
-
在下载该软件包后,您可以选择验证软件包签名。有关更多信息,请参阅 验证 CloudWatch 代理软件包的签名。
-
安装 软件包。如果已在 Linux 服务器上下载 RPM 程序包,请更改为包含程序包的目录,并输入以下内容:
sudo rpm -U ./amazon-cloudwatch-agent.rpm如果已在 Linux 服务器上下载 DEB 程序包,请更改为包含程序包的目录,并输入以下内容:
sudo dpkg -i -E ./amazon-cloudwatch-agent.deb如果已运行在 Windows Server 的服务器上下载 MSI 程序包,请更改为包含程序包的目录,并输入以下内容:
msiexec /i amazon-cloudwatch-agent.msi此命令还可在 PowerShell 中发挥作用。有关 MSI 命令选项的更多信息,请参阅 Microsoft Windows 文档中的命令行选项
。
(在 EC2 实例上安装)附加 IAM 角色
要使 CloudWatch 代理能够从实例发送数据,您必须将 IAM 角色附加到实例。要附加的角色是 CloudWatchAgentServerRole。您之前应该已经创建了此角色。有关更多信息,请参阅创建 IAM 角色和用户以用于 CloudWatch 代理。
有关将 IAM 角色附加到实例的更多信息,请参阅适用于 Windows 实例的 Amazon EC2 用户指南中的将 IAM 角色附加到实例。
(安装在本地部署服务器上)指定 IAM 凭证和 Amazon 区域
要使 CloudWatch 代理能够从本地部署服务器发送数据,您必须指定先前创建的 IAM 用户的访问密钥和私有密钥。有关创建此用户的更多信息,请参阅创建 IAM 角色和用户以用于 CloudWatch 代理。
您还必须使用 Amazon 配置文件的 [AmazonCloudWatchAgent] 部分中的 region 字段指定要将指标发送到的 Amazon 区域,如以下示例中所示。
[profile AmazonCloudWatchAgent] region =us-west-1
下面是使用 aws configure 命令为 CloudWatch 代理创建命名配置文件的示例。该示例假设您使用默认配置文件名称 AmazonCloudWatchAgent。
为 CloudWatch 代理创建 AmazonCloudWatchAgent 配置文件
如果您还没有这样做,请在服务器上安装 Amazon Command Line Interface。有关更多信息,请参阅安装 Amazon CLI。
-
在 Linux 服务器上,输入以下命令并按照提示进行操作:
sudo aws configure --profile AmazonCloudWatchAgent在 Windows Server 上,以管理员身份打开 PowerShell,输入以下命令并按照提示进行操作。
aws configure --profile AmazonCloudWatchAgent
验证互联网访问权限
您的 Amazon EC2 实例必须具有出站互联网访问权限,才能将数据发送到 CloudWatch 或 CloudWatch Logs。有关如何配置互联网访问权限的更多信息,请参阅 Amazon VPC 用户指南中的互联网网关。
要在您的代理上配置的终端节点和端口如下所示:
-
如果要使用代理收集指标,则必须将相应区域的 CloudWatch 端点加入白名单。这些端点在 Amazon CloudWatch 端点和配额中列出。
-
如果要使用代理收集日志,则必须将相应区域的 CloudWatch Logs 端点加入白名单。这些端点在 Amazon CloudWatch Logs 端点和配额中列出。
-
如果使用 Systems Manager 安装代理或使用 Parameter Store 存储配置文件,您必须将相应区域的 Systems Manager 端点加入白名单。这些端点在 Amazon Systems Manager 端点和配额中列出。
(可选)修改代理的通用配置或区域信息
CloudWatch 代理包含一个名为 common-config.toml 的配置文件。您可以(可选)使用该文件指定代理和区域信息。
在运行 Linux 的服务器上,该文件位于 /opt/aws/amazon-cloudwatch-agent/etc 目录中。在运行 Windows Server 的服务器上,该文件位于 C:\ProgramData\Amazon\AmazonCloudWatchAgent 目录中。
注意
建议您在本地模式下运行 CloudWatch 代理时使用 common-config.toml 文件来提供共享配置和凭证,当您在 Amazon EC2 上运行并且想要重复使用现有的共享凭证配置文件和文件时,该文件也非常有用。通过 common-config.toml 启用该文件还有一个额外的好处,那就是如果您的共享凭证文件在到期后使用续订的凭证进行轮换,则代理无需重启即可自动选取新凭证。
默认 common-config.toml 如下所示。
# This common-config is used to configure items used for both ssm and cloudwatch access ## Configuration for shared credential. ## Default credential strategy will be used if it is absent here: ## Instance role is used for EC2 case by default. ## AmazonCloudWatchAgent profile is used for the on-premises case by default. # [credentials] # shared_credential_profile = "{profile_name}" # shared_credential_file= "{file_name}" ## Configuration for proxy. ## System-wide environment-variable will be read if it is absent here. ## i.e. HTTP_PROXY/http_proxy; HTTPS_PROXY/https_proxy; NO_PROXY/no_proxy ## Note: system-wide environment-variable is not accessible when using ssm run-command. ## Absent in both here and environment-variable means no proxy will be used. # [proxy] # http_proxy = "{http_url}" # https_proxy = "{https_url}" # no_proxy = "{domain}"
最初将注释所有行。要设置凭证配置文件或代理设置,请从该行中删除 # 并指定一个值。您可以手动编辑该文件,或者使用 Systems Manager 中的 RunShellScript Run Command 执行该操作:
-
shared_credential_profile– 对于本地部署服务器,此行指定 IAM 用户凭证配置文件,以用于将数据发送到 CloudWatch。如果您将此行注释掉,则会使用AmazonCloudWatchAgent。有关创建此配置文件的更多信息,请参阅(安装在本地部署服务器上)指定 IAM 凭证和 Amazon 区域。在 EC2 实例上,您可以使用此行让 CloudWatch 代理将数据从该实例发送到不同 Amazon 区域中的 CloudWatch。要执行此操作,请指定一个包含
region字段的命名配置文件,该字段指定要发送到的区域的名称。如果指定
shared_credential_profile,您还必须从[credentials]行开头删除#。 -
shared_credential_file– 要让代理在位于默认路径以外的路径中的文件中查找凭证,请在此处指定完整的路径和文件名。在 Linux 上,默认路径为/root/.aws;在 Windows Server 上,默认路径为C:\\Users\\Administrator\\.aws。下面的第一个示例显示对 Linux 服务器有效的
shared_credential_file行的语法,第二个示例对 Windows Server 有效。在 Windows Server 上,您必须转义 \ 字符。shared_credential_file= "/usr/username/credentials"shared_credential_file= "C:\\Documents and Settings\\username\\.aws\\credentials"如果指定
shared_credential_file,您还必须从[credentials]行开头删除#。 -
代理设置 – 如果您的服务器使用 HTTP 或 HTTPS 代理联系 Amazon 服务,请在
http_proxy和https_proxy字段中指定这些代理。如果应从代理中排除某些 URL,请在no_proxy字段中指定这些 URL 并以逗号分隔。
使用命令行启动 CloudWatch 代理
可以执行以下步骤以使用命令行在服务器上启动 CloudWatch 代理。
使用命令行在服务器上启动 CloudWatch 代理
-
将要使用的代理配置文件复制到要运行代理的服务器。记下将其复制到的路径名。
-
此命令中,
-a fetch-config会使代理加载最新版本的 CloudWatch 代理配置文件,-s则会启动该代理。输入下列命令之一。将
configuration-file-path替换为指向代理配置文件的路径。如果您使用向导创建此文件,则此文件命名为config.json;如果您手动创建该文件,则该文件可能命名为amazon-cloudwatch-agent.json。在运行 Linux 的 EC2 实例上,输入以下命令。
sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -s -c file:configuration-file-path在运行 Linux 的本地服务器上,输入以下内容:
sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m onPremise -s -c file:configuration-file-path在运行 Windows Server 的 EC2 实例上,从 PowerShell 控制台中输入以下内容:
& "C:\Program Files\Amazon\AmazonCloudWatchAgent\amazon-cloudwatch-agent-ctl.ps1" -a fetch-config -m ec2 -s -c file:configuration-file-path在运行 Windows Server 的本地服务器上,从 PowerShell 控制台中输入以下内容:
& "C:\Program Files\Amazon\AmazonCloudWatchAgent\amazon-cloudwatch-agent-ctl.ps1" -a fetch-config -m onPremise -s -c file:configuration-file-path