添加数据转储到其他账号
数据转储可以实时将云服务监控数据转储到分布式消息服务Kafka中。当您需要通过分布式消息服务Kafka的控制台或使用开源Kafka客户端查询云服务的监控指标时,可以使用云监控服务提供的数据转储功能。
在CES上配置转储监控数据时,选择的“转储目标”资源类型支持转储到其他租户账号购买的kafka。
约束与限制
- 一个账户最多创建20个数据转储任务。
- 添加“数据转储”功能按照客户白名单开放。
背景信息
- 在添加数据转储任务前,需要创建两个委托,并为两个委托进行相关的DMS和IAM细粒度授权。需要创建的委托如下:
- 委托方给被委托方创建委托账号,以下简称“DMS资源查询委托”。
用途:在云监控服务控制台页面创建数据转储获取委托方的项目列表、DMS实例列表、Topic列表使用。
- 委托方给CES的op_svc_ces创建委托,以下简称“CES账号委托”。
用途:将被委托方的指标数据转储到委托方DMS实例中。
委托方是指拥有DMS资源的账号,被委托方是指拥有待转储的指标数据的账号。
- 当被委托方是子账号时,需要配置数据转储相关的权限。
创建DMS自定义策略
- 使用委托方账号登录IAM控制台。
- 在统一身份认证服务,左侧导航窗格中,选择“权限管理>权限”页签,单击右上方的“创建自定义策略”。
- 输入“策略名称”。
- “策略配置方式”选择“可视化视图”。
- 在“策略内容”下配置策略。
- 选择“允许”。
- 选择“云服务”,在搜索框输入“分布式消息”或“DMS”,搜索出来后单击“分布式消息服务(DMS)”。
- 选择“操作”,在搜索框中搜索并选择“dms:instance:get”和“dms:instance:list”。
- 单击“确定”完成自定义策略创建。
创建DMS资源查询委托并授权
- 使用委托方账号登录IAM控制台。
- 在统一身份认证服务的左侧导航窗格中,选择“委托”页签,单击右上方的“创建委托”。
- 在创建委托页面,设置“委托名称”。
- “委托类型”选择“普通账号”,在“委托的账号”中输入需要建立委托关系的其他账号的账号名。
- 选择“持续时间”,填写“描述”信息。
- 单击“完成”。
- 在授权的确认弹窗中,单击“立即授权”。
- 选择创建DMS自定义策略创建的自定义策略,单击“下一步”,选择权限的作用范围。
- 单击“确定”,委托创建完成。
创建CES账号委托并授权
- 使用委托方账号登录云监控服务管理控制台。
- 参考添加数据转储到当前账号创建一个数据转储任务,即可自动创建CES账号委托并授权。
被委托方需要的权限
被委托方如果是主账号,无需配置权限,被委托方子账号需要拥有数据转储相关的权限。当被委托方是子账号时,请联系账号管理员,参考如下步骤为账号授权:
- 使用被委托方的管理账号登录IAM控制台。
- 通过“JSON视图”的方式创建项目级和全域级的自定义策略。
如何创建项目级权限和全局级权限创建请参见创建自定义策略。
- 自定义策略创建完成后,请参考给IAM用户授权为被委托方账号授权。
{
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ces:quotas:get",
"ces:dataShareJob:get",
"ces:dataShareTask:delete",
"ces:dataShareJob:action",
"ces:dataShareTask:list",
"ces:namespaces:list",
"ces:sysEventsNames:list",
"ces:dataShareTask:get",
"ces:dataShareTask:action",
"ces:dataShareJob:list",
"ces:dataShareTask:put",
"ces:dataShareTask:create",
"ces:dataShareJob:action",
"ces:dataShareJob:delete",
"ces:dataShareJob:create",
"dms:instance:list",
"dms:instance:get",
"ces:dataShareJob:listDmsInstancesByAgency",
"ces:dataShareJob:listAgencyProjects",
"ces:dataShareJob:listDmsTopicsByAgency",
"ces:agency:get",
"ces:agency:post",
"ces:namespacesDimensions:list",
"mqs:instance:list",
"mqs:instance:get",
"ces:i18n:list"
]
}
]
}
{
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:agencies:assume",
"iam:agencies:createAgency",
"iam:agencies:listAgencies",
"iam:permissions:grantRoleToAgency",
"iam:permissions:grantRoleToAgencyOnProject",
"iam:permissions:listRolesForAgency",
"iam:permissions:listRolesForAgencyOnDomain",
"iam:permissions:listRolesForAgencyOnProject",
"iam:permissions:revokeRoleFromAgency",
"iam:roles:createRole",
"iam:roles:listRoles",
"iam:roles:updateRole"
]
}
]
}
被委托方配置转储任务
完成委托及细粒度授权后,即可在被委托方配置转储任务。具体操作步骤如下:
- 使用被委托方账号登录云监控服务管理控制台。
- 在左侧导航树中选择“数据转储”。
- 单击“添加数据转储”。
- 在弹出的“添加转储任务”页面根据界面提示配置参数。
表1 转储任务配置参数说明 参数
参数说明
名称
转储任务名。
取值范围:只能由中文、英文字母、数字、下划线、中划线组成。长度范围:1-64个字符。
取值样例:dataShareJob-ECSMetric
资源类型
云监控服务监控的资源类型。
取值样例:弹性云服务器。
维度
监控对象的范围。
各服务监控对象的维度值请参考云产品监控指标。关于维度的说明请参见维度。
- 选择“所有维度”时,表示该服务的所有监控对象均会转储到分布式消息服务Kafka中。
- 选择“云服务器”时,表示仅该云服务器的监控指标会转储到分布式消息服务Kafka中。
取值样例:所有维度
监控范围
目前仅支持“全部资源”,表示选择的服务的指定监控对象的全部指标都会转储到分布式消息服务Kafka中。
资源类型
目前仅支持“分布式消息服务Kafka”。
目标位置
数据转储的目标位置,选择“其他账号”。
委托人账号
委托人的账号ID,查找账号ID方法请参考附录。
委托名称
被委托方账号委托名称。查找委托名称请参考附录。
项目名称
资源对应的项目。
Kafka名称
指标发送到的Kafka实例名。
如果没有合适的Kafka实例,请参考购买Kafka实例。
Topic名称
指标发送到的Topic名称。
如果没有合适的Topic,请参考创建Topic。
图1 配置转储任务
- 将参数填写完成后,单击“立即添加”即完成转储任务创建。
附录
委托名称的查找方法,具体步骤如下:
- 使用委托方账号登录云监控服务管理控制台。
- 在控制台页面,鼠标移动至右上方的用户名,在下拉列表中选择“统一身份认证”。
- 在统一身份认证服务,左侧导航窗格中,单击“委托”即可查看委托名称。
图2 委托名称
账号ID的查找方法,具体步骤如下:
- 使用委托方账号登录云监控服务管理控制台。
- 在右上角单击账户名,选择“我的凭证”。
- 在“我的凭证”页面获取“账号ID”。
图3 我的凭证
