#はじめに
本記事では、稼働中の Fargateの環境に New Relic Infrastructureエージェントをサイドカーに設定し、コンテナをモニタリングできるようにするまでの手順について記載しています。
詳細:
- AWS インテグレーションの設定が完了していること。
- AWS インテグレーションで、ECS サービスをモニターする設定にしていること。
参考:
##New Relic ライセンスキーを取得する
New Relic管理画面 > 対象の New Relic Account > API Keys
Type が INGEST - LICENSE の key をコピーして、取得します。
参考:
##New Relic ライセンスキーをSystem Manager の Parameter Store に設定する
下記コマンドで、SSM Parameter Store に New Relic ライセンスキーを設定します。
Name は、任意で構いません。(ここでは、/newrelic-infra/ecs/license-key)
$ aws ssm put-parameter \
--name "/newrelic-infra/ecs/license-key" \
--type SecureString \
--description 'New Relic license key for ECS monitoring' \
--value [NewRelic ライセンスキー]
##New Relic ライセンスキーアクセス用 IAM ポリシーを作成する
下記コマンドで、設定した Parameter Store の ARN を確認します。
$ aws ssm get-parameter \
--name "/newrelic-infra/ecs/license-key" \
--query Parameter.ARN
出力結果:
"arn:aws:ssm:ap-northeast-1:[AWS アカウントID]:parameter/newrelic-infra/ecs/license-key"
New Relic Infrastructureエージェントが、SSM Parameter Store にアクセスする為のポリシーファイル(ここでは、read-ssm-nr-licennse.json)を用意します。
Resouce に Parameter Store の ARN を記載します。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "ssm:GetParameters",
"Resource": "[Parameter Store の ARN]",
"Effect": "Allow"
}
]
}
下記コマンドで、IAM ポリシーを作成します。
policy-name は、任意で構いません。(ここでは、NewRelicSSMLicenseKeyReadAccess)
出力結果の Arn をメモします。
$ aws iam create-policy \
--policy-name "NewRelicSSMLicenseKeyReadAccess" \
--policy-document file://read-ssm-nr-licennse.json
出力結果
{
"Policy": {
"PolicyName": "NewRelicSSMLicenseKeyReadAccess",
"PolicyId": "********************",
"Arn": "arn:aws:iam::[AWS アカウントID]:policy/NewRelicSSMLicenseKeyReadAccess",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2021-06-19T00:12:10Z",
"UpdateDate": "2021-06-19T00:12:10Z"
}
}
##New Relic ライセンスキーアクセス用 IAM ポリシーをタスク実行ロールにアタッチする
下記コマンドで、現在稼働中のタスクのタスク実行ロールの IAM ポリシーを確認します。(ここでは、 ecsTaskExecutionRole )
$ aws iam list-attached-role-policies --role-name ecsTaskExecutionRole
出力結果:
{
"AttachedPolicies": [
{
"PolicyName": "AmazonECSTaskExecutionRolePolicy",
"PolicyArn": "arn:aws:iam::aws:policy/service-role/AmazonECSTaskExecutionRolePolicy"
}
]
}
下記コマンドで、タスク実行ロールに作成した SSM Parameter Store にアクセスする為のポリシーをアタッチします。
$ aws iam attach-role-policy \
--role-name "[タスク実行ロール名]" \
--policy-arn "[IAM ポリシーARN]"
下記コマンドで、タスク実行ロールにポリシーがアタッチされたことを確認します。
$ aws iam list-attached-role-policies --role-name ecsTaskExecutionRole
出力結果:
{
"AttachedPolicies": [
{
"PolicyName": "AmazonECSTaskExecutionRolePolicy",
"PolicyArn": "arn:aws:iam::aws:policy/service-role/AmazonECSTaskExecutionRolePolicy"
},
{
"PolicyName": "NewRelicSSMLicenseKeyReadAccess",
"PolicyArn": "arn:aws:iam::[AWS アカウントID]:policy/NewRelicSSMLicenseKeyReadAccess"
}
]
}
##タスク定義に New Relic Infrastructure エージェントをサイドカーとして設定する
下記の公式のサイドカーコンテナを含むタスク定義の例を参考に、サイドカーの設定をします。
タスク定義の例
ここでは、次のようにタスクを定義しました。(下記の箇所は、任意に変更します。)
| 変更箇所 | 値 |
|---|---|
| YOUR_TASK_DEFINITION_NAME | タスクの定義名 |
| YOUR_TASK_EXECUTION_ROLE | タスク実行ロールのARN |
| SYSTEM_MANAGER_LICENSE_PARAMETER_NAME | SSM Paraneter StoreのARN |
{
"family": "<YOUR_TASK_DEFINITION_NAME>",
"executionRoleArn": "<YOUR_TASK_EXECUTION_ROLE>",
"networkMode": "awsvpc",
"requiresCompatibilities": ["FARGATE"],
"cpu": "256",
"memory": "512",
"containerDefinitions": [
{
"portMappings": [
{
"hostPort": 80,
"protocol": "tcp",
"containerPort": 80
}
],
"image": "nginx:latest",
"name": "nginx"
},
{
"environment": [
{
"name": "NRIA_OVERRIDE_HOST_ROOT",
"value": ""
},
{
"name": "NRIA_IS_FORWARD_ONLY",
"value": "true"
},
{
"name": "FARGATE",
"value": "true"
},
{
"name": "ENABLE_NRI_ECS",
"value": "true"
},
{
"name": "NRIA_PASSTHROUGH_ENVIRONMENT",
"value": "ECS_CONTAINER_METADATA_URI,ENABLE_NRI_ECS,FARGATE"
},
{
"name": "NRIA_CUSTOM_ATTRIBUTES",
"value": "{\"nrDeployMethod\":\"downloadPage\"}"
}
],
"secrets": [
{
"valueFrom": "<SYSTEM_MANAGER_LICENSE_PARAMETER_NAME>",
"name": "NRIA_LICENSE_KEY"
}
],
"cpu": 256,
"memoryReservation": 512,
"image": "newrelic/infrastructure-bundle:2.4.1",
"name": "newrelic-infra"
}
]
}
タスク定義を設定した後、タスクを起動して、New Relic Infrastructure エージェント(newrelic-infra)が、サイドカーとして起動していることを確認します。
##New Relic でコンテナをモニタリングする
New Relic 管理画面 > Exploer > Containers でモニタリングできることを確認します。
以上です。