在私有子网中的EC2上安装Cloudwatch代理

Posted 2021-04-27

我正在尝试在私有子网（无法访问互联网）后面的EC2实例上安装云监视代理。所有在线文档似乎都可以通过Internet（通过S3下载链接或AWS System Manager）获得RPM。我要弄清楚的是如何在没有互联网的情况下获得RPM。我有一个用于s3的VPCE设置，该设置能够从我自己的存储桶中获取对象，但是据我了解，它不适用于下载链接。我要遵循的文档：https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/download-cloudwatch-agent-commandline.html

如果很重要，我正在使用terraform来部署我的基础结构。

是否有解决方案？

更新：用于EC2实例启动的Shell脚本

#!/bin/bash
cd /home/ec2-user
aws s3 cp s3://${bucket_name}/${zip_file} ${zip_file} --region ${region}

wget https://s3.us-east-1.amazonaws.com/amazoncloudwatch-agent-us-east-1/amazon_linux/amd64/latest/amazon-cloudwatch-agent.rpm

VPC路由表：

101.0.0.0/16本地活动号

pl-xxxxx（com.amazonaws.us-east-1.s3，54.231.0.0/17，52.216.0.0/15，3.5.16.0/21，3.5.0.0/20）vpce-xxxxxxx有效。否

答案

要从专用子网访问Internet，通常需要：

1. 公共子网中的NAT gateway或NAT instance

2. 专用子网的修改的[[路由表，将Internet流量（0.0.0.0/0）指向NAT设备。

另一种方法是将CloudWatch Agent存储在

中，然后从那里下载。

此外，您还可以在公共子网中使用代理和任何其他需要安装互联网的软件来准备

。然后，您可以从AMI将实例部署在专用子网中。

另一答案

S3下载链接已在所有地区的文档中提供。由于您已经设置了S3网关VPC端点，因此，如果使用特定于区域的S3下载链接

您所在的区域，它将像一个超级按钮一样工作。 您不需要NAT或其他任何东西。