云监控服务
产品介绍
文档版本 01
发布日期 2020-04-02
版权所有 © 华为技术有限公司 2021。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声 明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址: 深圳市龙岗区坂田华为总部办公楼 邮编:518129 网址: https://www.huawei.com
客户服务邮箱:[email protected] 客户服务电话:4008302118
目 录
1 什么是云监控服务?... 1
2 服务优势...3
3 应用场景...4
4 服务资费...6
5 云监控服务相关概念... 7
6 约束与限制... 9
7 区域和可用区...10
8 权限管理...12
产品介绍 目 录
1 什么是云监控服务?
云监控服务为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您 全面了解云上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保 证业务顺畅运行。云监控服务架构图如图1-1所示。
图1-1 云监控服务架构图
云监控服务主要具有以下功能:
● 自动监控:
云监控服务不需要开通,在创建弹性云服务器等资源后监控服务会自动启动,您 可以直接到云监控服务查看该资源运行状态并设置告警规则。
● 主机监控:
通过在弹性云服务或裸金属服务器中安装云监控服务Agent插件,用户可以实时采 集ECS或BMS 1分钟级粒度的监控数据。已上线CPU、内存和磁盘等40余种监控指 标。有关主机监控的更多信息,请参阅主机监控简介。
● 灵活配置告警规则:
对监控指标设置告警规则时,支持对多个云服务资源同时添加告警规则。告警规 则创建完成后,可随时修改告警规则,支持对告警规则进行启用、停止、删除等 灵活操作。
● 实时通知:
通过在告警规则中开启消息通知服务,当云服务的状态变化触发告警规则设置的 阈值时,系统通过短信、邮件通知或发送消息至服务器地址等多种方式实时通知 用户,让用户能够实时掌握云资源运行状态变化。
产品介绍 1 什么是云监控服务?
● 监控面板:
为用户提供在一个监控面板跨服务、跨维度查看监控数据,将用户关注的重点服 务监控指标集中呈现,既能满足您总览云服务的运行概况,又能满足排查故障时 查看监控详情的需求。
● OBS转储:
云监控服务各监控指标的原始数据的保留周期为两天,超过保留周期后原始数据 将不再保存。您可以在对象存储服务(Object Storage Service,以下简称OBS)
创建存储桶,然后将原始数据同步保存至OBS,以保存更长时间。
● 资源分组:
资源分组支持用户从业务角度集中管理其业务涉及到的弹性云服务器、云硬盘、
弹性IP、带宽、数据库等资源。从而按业务来管理不同类型的资源、告警规则、
告警历史,可以迅速提升运维效率。
● 站点监控:
站点监控用于模拟真实用户对远端服务器的访问,从而探测远端服务器的可用 性、连通性等问题。
● 日志监控:
日志监控提供了针对日志内容的实时监控能力。通过云监控服务和云日志服务的 结合,用户可以针对日志内容进行监控统计、设置告警规则等操作,降低用户监 控日志的运维成本,简化用户使用监控日志的流程。
● 事件监控:
事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类 重要事件或对云资源的操作事件收集到云监控服务,并在事件发生时进行告警。
产品介绍 1 什么是云监控服务?
2 服务优势
自动开通
云监控服务会自动开通。同时您可以很方便使用云监控服务管理控制台或API接口查看 云服务运行状态并设置告警规则。
实时可靠
原始采样数据实时上报,提供对云服务的实时监控,实时触发产生告警并通知用户。
监控可视化
云监控服务通过监控面板为用户提供丰富的图表展现形式,支持数据自动刷新以及指 标对比查看,满足用户多场景下的监控数据可视化需求。
多种通知方式
通过在告警规则中开启消息通知,当云服务的状态变化触发告警规则设置的阈值时,
系统提供邮件和短信通知,用户可以在第一时间知悉业务运行状况,还可以通过 HTTP、HTTPS将告警信息发送至告警服务器,便于用户构建智能化的程序处理告警。
批量创建告警规则
告警模板可以帮助用户为多个云服务快速创建告警规则,极大的提高了维护人员的工 作效率。
产品介绍 2 服务优势
3 应用场景
云监控服务为用户提供了非常丰富的使用场景。
云服务监控
用户开通了云监控服务支持的云服务后,即可方便地在云监控Console页面查看您的云 产品运行状态、各个指标的使用情况并对监控项创建告警规则。
主机监控
通过监控ECS或BMS的CPU使用率、内存使用率、磁盘等基础指标,确保ECS或BMS的 正常使用,避免因为对资源的过度使用造成业务无法正常运行。
处理异常场景
云监控服务会根据您创建的告警规则,在监控数据达到告警策略时发送告警信息,让 您及时获取异常通知,查询异常原因。
扩容场景
对CPU使用率、内存使用率、磁盘使用率等监控项创建告警规则后,可以让您方便的 了解云服务现状,在业务量变大后及时收到告警通知进行手动扩容,或配合弹性伸缩 服务自动伸缩。
站点监控
站点监控服务目前提供 HTTP(HTTPS)、TCP、UDP、PING 4种探测协议,可探测您站 点的可用性、响应时间、丢包率等,让您全面了解站点的可用性并在异常时及时处 理。
自定义监控
自定义监控补充了云服务监控的不足,当云监控服务未能提供您需要的监控项,那么 您可以创建自定义监控项并采集监控数据上报到云监控服务,云监控服务会对自定义 监控项提供监控图表展示和告警功能。
产品介绍 3 应用场景
日志监控
日志监控提供了针对日志内容的实时监控能力。通过云监控服务和云日志服务的结 合,用户可以针对日志内容进行监控统计、设置告警规则等,降低用户监控日志的运 维成本,简化用户使用监控日志的流程。
事件监控
事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要 事件或对云资源的操作事件收集到云监控服务,并在事件发生时进行告警。
产品介绍 3 应用场景
4 服务资费
云监控服务基础功能免费,包括查看监控面板、创建告警规则、添加监控项等。同时 云监控服务与其他云服务组合使用,为您提供监控数据文件转储、发送告警通知等增 值服务,这些增值服务可能产生额外费用,具体由提供该功能的服务结算。
通常情况下,云监控服务产生的增值服务费用很低,因此建议您根据需要搭配使用。
增值服务列表如下:
● 监控数据文件转储:需要使用对象存储服务(OBS),转储后的监控数据文件将 永久保存。
● 发送告警通知:需要使用消息通知服务(SMN),当云服务的状态变化触发告警 规则设置的阈值时,发送邮件、短信、HTTP、HTTPS告知用户。
增值服务的计费方式如下:
● 对象存储服务(OBS)
对象存储服务提供按需付费、包年包月两种计费方式。用户可以根据实际需求变 更资源的资费方式。OBS开通时,默认按照按需付费(使用量按小时计费),同 时也支持包年包月(资源包)的方式提前购买使用额度和时长。
由于云监控服务需要高频次的访问转储事件文件的OBS桶,因此必须选择标准存 储类型的OBS桶,具体价格请参考产品价格说明
● 消息通知服务(SMN)
消息通知服务会从短信、邮件、HTTP、HTTPS的使用中收费,具体价格请参考产 品价格说明。
产品介绍 4 服务资费
5 云监控服务相关概念
使用云监控服务之前,请先了解一下相关概念,从而可以更好的使用云监控服务。
● 监控指标
● 聚合
● 监控面板
● 主题
● 告警规则
● 告警模板
● 项目
● 企业项目
监控指标
监控指标是云监控服务的核心概念,通常是指云平台上某个资源的某个维度状态的量 化值,如云服务器的CPU使用率、内存使用率等。监控指标是与时间有关的变量值,
会随着时间的变化产生一系列监控数据,帮助用户了解特定时间内该监控指标的变 化。
聚合
聚合是云监控服务在特定周期内对各服务上报的原始采样数据采取平均值、最大值、
最小值、求和值、方差值计算的过程。这个计算的周期又叫做聚合周期,目前云监控 服务支持5分钟、20分钟、1小时、4小时、24小时共五种聚合周期。
监控面板
监控面板为用户提供自定义查看监控数据的功能,支持在一个监控面板跨服务、跨维 度查看监控数据,将您关注的重点服务监控指标集中呈现,既能满足总览服务运行概 况,又能满足排查故障时快速查看监控详情的需求。
主题
主题是消息通知服务中消息发布或客户端订阅通知的特定事件类型,为用户提供一对 多的发布订阅以及消息通知功能,支持用户实现一站式多种消息通知方式。借助消息 通知服务,云监控服务在监控到云服务资源发生变化时,通过多种方式通知用户,让 用户实时掌握云服务的运行状况。
产品介绍 5 云监控服务相关概念
告警规则
告警规则是指用户对云服务的某个监控指标设置阈值,当告警规则的状态(告警、恢 复正常)变化时,支持以邮箱、短信、HTTP、HTTPS等方式通知用户,避免因资源问 题造成业务损失。
告警模板
告警模板是一组以服务为单位的告警规则组合,它可以帮助用户快速为多个云服务创 建告警规则,极大的提高了维护人员的工作效率。
项目
项目用于将OpenStack的资源(计算资源、存储资源和网络资源)进行分组和隔离。
项目可以是一个部门或者一个项目组。一个帐户中可以创建多个项目。
企业项目
企业可以根据组织架构规划企业项目,将企业分布在不同区域的资源按照企业项目进 行统一管理,同时可以为每个企业项目设置拥有不同权限的用户组。
云监控服务支持企业项目,只有拥有对应企业项目权限的用户才有权限查看和管理资 源分组、告警规则和监控面板。
产品介绍 5 云监控服务相关概念
6 约束与限制
当前云监控服务对单个用户的使用限制如表6-1所示。调整配额请参考配额调整。
表6-1 用户资源限制
配额类型 默认限制
可创建告警规则数 1000 可创建自定义告警模板数 50 告警模板可添加告警规则数 20 可创建监控面板数 20 单监控面板可添加监控视图数 24
历史告警保存时间 7天
单次创建告警规则可选择的被
监控对象数 50
单次可创建告警规则条数 1000
说明若选择监控对象为50个,监控指标为20个,则可创建的 告警规则条数为1000。
发送通知可选择主题数 5 单次导出监控数据条数 400
说明若监控对象为400个,则监控指标为1个。若监控对象为 80个,则监控指标为5个。
可创建资源分组个数 10 可创建监控站点个数 20
产品介绍 6 约束与限制
7 区域和可用区
什么是区域、可用区?
我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资 源。
● 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计 算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为 通用Region和专属Region,通用Region指面向公共租户提供通用云服务的 Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用 Region。
● 可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,
有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。
一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统 的需求。
图7-1阐明了区域和可用区之间的关系。
图7-1 区域和可用区
目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和 可用区。更多信息请参见华为云全球站点。
如何选择区域?
选择区域时,您需要考虑以下几个因素:
产品介绍 7 区域和可用区
● 地理位置
一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络 时延,提高访问速度。不过,在基础设施、BGP网络品质、资源的操作与配置等 方面,中国大陆各个区域间区别不大,如果您或者您的目标用户在中国大陆,可 以不用考虑不同区域造成的网络时延问题。
– 在除中国大陆以外的亚太地区有业务的用户,可以选择“中国-香港”、“亚 太-曼谷”或“亚太-新加坡”区域。
– 在非洲地区有业务的用户,可以选择“南非-约翰内斯堡”区域。
– 在欧洲地区有业务的用户,可以选择“欧洲-巴黎”区域。
– 在拉丁美洲地区有业务的用户,可以选择“拉美-圣地亚哥”区域。
说明
“拉美-圣地亚哥”区域位于智利。
● 资源的价格
不同区域的资源价格可能有差异,请参见华为云服务价格详情。
如何选择可用区?
是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。
● 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区 内。
● 如果您的应用要求实例之间的网络延时较低,则建议您将资源创建在同一可用区 内。
区域和终端节点
当您通过API使用资源时,您必须指定其区域终端节点。有关华为云的区域和终端节点 的更多信息,请参阅地区和终端节点。
产品介绍 7 区域和可用区
8 权限管理
如果您需要对华为云上的云监控服务资源,给企业中的员工设置不同的访问权限,以 达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分 配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
通过IAM,您可以在华为云账号中给员工创建IAM用户,并使用策略来控制他们对华为 云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有云监控 服务的使用权限,但是不希望他们拥有删除ECS等高危操作的权限,那么您可以使用 IAM为开发人员创建用户,通过授予仅能使用云监控服务,但是不允许删除其他云服 务资源的权限策略,控制他们对其他云服务资源的使用范围。
如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您 可以跳过本章节,不影响您使用云监控服务的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的 资源进行付费。关于IAM的详细介绍,请参见什么是IAM。
云监控服务权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户 组授予策略,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。授 权后,用户就可以基于策略对云服务进行操作。
Cloud Eye部署时通过物理区域划分,为项目级服务,需要在各区域(如华北-北京1)
对应的项目(cn-north-1)中设置策略,并且该策略仅对此项目生效,如果需要所有 区域都生效,则需要在所有项目都设置策略。访问Cloud Eye时,需要先切换至授权区 域。
根据授权精程度分为角色和策略。
● 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该 机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间 存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角 色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达 到企业对权限最小化的安全管控要求。
● 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资 源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业 对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅 能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度 进行权限拆分,云监控服务支持的API授权项请参见策略及授权项说明。
产品介绍 8 权限管理
如表8-1所示,包括了云监控服务的所有系统策略。其中,“依赖关系”是指该系统策 略对其它策略的依赖。由于华为云各服务之间存在业务交互关系,云监控服务的策略 依赖其他服务的策略实现功能。因此给用户云监控服务的权限时,需要同时授予依赖 的权限,云监控服务的权限才能生效。
表8-1 云监控服务系统策略
策略名称 描述 依赖关系 策略类别
CESAdministrator 云监控服务的管理员
权限。 依赖Tenant Guest策略和 Server Administrator策 略。
Tenant Guest:全局级策 略,在全局项目中勾选。
系统策略
CESFullAccess 云监控服务的管理员 权限,拥有该权限可 以操作云监控服务的 全部权限。
云服务监控功能因为涉及需 要查询其他云服务的实例资 源,需要涉及服务支持细粒 度授权特性,才可以正常使 用,支持细粒度授权的云服 务列表请参考: 使用IAM授 权的云服务。
系统策略
CESReadOnlyAcce ss
云监控服务的只读权 限,拥有该权限仅能 查看云监控服务的数 据。
云服务监控功能因为涉及需 要查询其他云服务的实例资 源,需要涉及服务支持细粒 度授权特性,才可以正常使 用,支持细粒度授权的云服 务列表请参考: 使用IAM授 权的云服务。
系统策略
表8-2列出了云监控服务常用操作与系统策略的授权关系,您可以参照该表选择合适的 系统策略。
表8-2 操作与系统策略的关系
功能 操作 CES
Administrator
(需同时添加 Tenant Guest策 略)
Tenant
Guest CES FullAcce ss
CESReadOnl yAccess
监控概 览
查看监控概览 √ √ √ √
查看监控大屏 √ √ √ √
监控面 板
创建监控面板 √ × √ ×
查看监控大屏 √ √ √ √
查看监控面板 √ √ √ √
产品介绍 8 权限管理
功能 操作 CES
Administrator
(需同时添加 Tenant Guest策 略)
Tenant
Guest CES FullAcce ss
CESReadOnl yAccess
删除监控面板 √ × √ ×
添加监控视图 √ × √ ×
查看监控视图 √ √ √ √
修改监控视图 √ × √ ×
删除监控视图 √ × √ ×
调整监控视图位 置
√ × √ ×
资源分 组
创建资源分组 √ × √ ×
查看资源分组列 表
√ √ √ √
查看资源分组
(资源概览)
√ √ √ √
查看资源分组
(不健康资源)
√ √ √ √
查看资源分组
(告警规则)
√ √ √ √
查看资源分组
(告警历史)
√ √ √ √
修改资源分组 √ × √ ×
删除资源分组 √ × √ ×
告警规 则
创建告警规则 √ × √ ×
修改告警规则 √ × √ ×
启用告警规则 √ × √ ×
停用告警规则 √ × √ ×
删除告警规则 √ × √ ×
查看告警规则列 表
√ √ √ √
查看告警规则详 情
√ √ √ √
查看监控图表 √ √ √ √
产品介绍 8 权限管理
功能 操作 CES
Administrator
(需同时添加 Tenant Guest策 略)
Tenant
Guest CES FullAcce ss
CESReadOnl yAccess
告警历 史
查看告警历史 √ √ √ √
告警模 板
查看默认告警模 板
√ √ √ √
查看自定义告警 模板
√ √ √ √
创建自定义告警 模板
√ × √ ×
修改自定义告警 模板
√ × √ ×
删除自定义告警 模板
√ × √ ×
一键告 警
开启一键告警 √ × √ ×
查看一键告警 √ √ √ √
修改一键告警 √ × √ ×
关闭一键告警 √ × √ ×
主机监 控
查看主机列表 √ √ √ √
查看主机监控指 标
√ √ √ √
安装Agent √(需同时拥有 ECS FullAccess权 限)
× √(需同
时拥有ECS FullAcce ss权限)
×
修复插件配置 √(需同时拥有 Security
Administrator、
ECS FullAccess 权限)
× √(需同
时拥有Security Administ rator、
ECSFullAcce ss 权 限)
×
产品介绍 8 权限管理
功能 操作 CES
Administrator
(需同时添加 Tenant Guest策 略)
Tenant
Guest CES FullAcce ss
CESReadOnl yAccess
卸载Agent √(需同时拥有 ECS FullAccess权 限)
× √(需同
时拥有ECS FullAcce ss权限)
×
配置进程监控 √ × √ ×
配置自定义进程 监控
√ × √ ×
云服务 监控
查看云服务列表 √ √ √(涉及
云服务需 要支持细 粒度授权 特性,参 考:使用IAM授权 的云服 务)
√(涉及 云服务需 要支持细 粒度授权 特性,参 考:使用IAM授权 的云服 务)
查看云服务监控 指标
√ √ √ √
站点监 控
创建站点监控 √(站点监控部 署在华北-北京 一,若在其他 Region使用站点 监控功能,需同 时添加华北-北京 一的权限)
× √(站点
监控部署在华北- 北京一,
若在其他Region 使用站点 监控功 能,需同 时添加华北-北京 一的权 限)
×
查看站点监控列 表
√ √ √ √
查看站点监控详
情 √ √ √ √
修改站点监控 √ × √ ×
启用站点监控 √ × √ ×
停用站点监控 √ × √ ×
产品介绍 8 权限管理
功能 操作 CES
Administrator
(需同时添加 Tenant Guest策 略)
Tenant
Guest CES FullAcce ss
CESReadOnl yAccess
删除站点监控 √ × √ ×
自定义 监控
添加自定义监控 数据
√ × √ ×
查看自定义监控 列表
√ √ √ √
查看自定义监控 数据
√ √ √ √
事件监 控
添加自定义事件 √ × √ ×
查看事件列表 √ √ √ √
查看事件详情 √ √ √ √
日志监 控
自定义指标过滤 配置
√(需同时拥有 LTS FullAccess权 限)
× √(需同
时拥有LTS FullAcce ss权限)
×
查看日志监控列
表 √ √ √ √
查看日志监控详
情 √ √ √ √
数据转 储到DMS Kafka
创建数据转储任 务
√ × √ ×
查询数据转储任 务列表
√ √ √ √
查询指定数据转 储任务
√ √ √ √
修改数据转储任 务
√ × √ ×
启动数据转储任 务
√ × √ ×
停止数据转储任 务
√ × √ ×
删除数据转储任 务
√ × √ ×
产品介绍 8 权限管理
功能 操作 CES
Administrator
(需同时添加 Tenant Guest策 略)
Tenant
Guest CES FullAcce ss
CESReadOnl yAccess
其他 配置数据转储 √(需同时拥有 Tenant
Administrator权 限)
× √(需同
时拥有OBS Bucket Viewer 权限)
×
导出监控数据 √ × √ ×
发送告警通知 √ × √ ×
相关链接
● IAM产品介绍
● 创建用户并授权使用云监控服务
● Cloud Eye自定义策略
● 细粒度策略支持的授权项,请参见《云监控服务 API参考》中的策略和授权项说 明。
产品介绍 8 权限管理
