prometheuscommunity/yet-another-cloudwatch-exporter

YACE - 另一个CloudWatch导出器

![Quay容器][quay] ![Docker Hub容器][docker]

YACE（全称yet another cloudwatch exporter）是一款用于AWS CloudWatch指标的Prometheus导出器，采用Go语言编写，并使用官方AWS SDK。

最新动态

自2024年11月起，YACE已加入https://github.com/prometheus-community%E3%80%82%E6%9B%B4%E5%A4%9A%E8%AF%A6%E6%83%85%E8%AF%B7%E5%8F%82%E9%98%85%E4%BB%A5%E4%B8%8B%E5%85%AC%E5%91%8A%EF%BC%9A

• [***]
• [***]

替代方案

如果您倾向于Java实现，可考虑使用官方的https://github.com/prometheus/cloudwatch_exporter%E3%80%82

项目状态

由于YACE版本尚未达到1.0.0，任何新版本均可能引入不兼容变更。变更详情将记录在CHANGELOG.md中。

在可行情况下，功能将先标记为弃用而非立即修改或移除，这意味着YACE仍可正常运行但可能输出警告日志。弃用功能预计将在未来2-3个版本中永久变更或移除。

安全说明

有关如何报告安全漏洞，请参阅SECURITY.md。

支持版本

仅最新版本会接收安全更新，不支持旧版本。

核心功能

• 无需关注AWS ID - 通过标签自动发现资源
• 结构化日志（json和logfmt格式）
• 通过正则表达式过滤监控资源
• 自动为指标添加标签标签
• 自动为指标添加维度标签
• 允许在CloudWatch返回nil时导出0值
• 允许使用CloudWatch时间戳导出指标（默认禁用）
• 静态指标支持，无需自动发现即可导出所有CloudWatch指标
• 支持通过跨账户角色从多个AWS账户拉取数据
• 可作为库嵌入外部应用
• 支持使用CloudWatch维度刮取自定义命名空间指标
• 支持通过标签自动发现的服务：
  • /aws/sagemaker/Endpoints - SageMaker端点
  • /aws/sagemaker/InferenceRecommendationsJobs - SageMaker推理推荐作业
  • /aws/sagemaker/ProcessingJobs - SageMaker处理作业
  • /aws/sagemaker/TrainingJobs - SageMaker训练作业
  • /aws/sagemaker/TransformJobs - SageMaker批处理转换作业
  • AmazonMWAA - 托管Apache Airflow
  • AWS/ACMPrivateCA - ACM私有CA
  • AWS/AmazonMQ - 托管消息代理服务
  • AWS/AOSS - OpenSearch无服务器
  • AWS/ApiGateway - ApiGateway（V1和V2）
  • AWS/ApplicationELB - 应用程序负载均衡器
  • AWS/AppRunner - 托管容器应用服务
  • AWS/AppStream - AppStream
  • AWS/AppSync - AppSync
  • AWS/Athena - Athena
  • AWS/AutoScaling - 自动扩展组
  • AWS/Backup - 备份
  • AWS/Bedrock - 生成式AI
  • AWS/Billing - 账单
  • AWS/Cassandra - Cassandra
  • AWS/CertificateManager - 证书管理器
  • AWS/ClientVPN - 基于客户端的***
  • AWS/CloudFront - CloudFront
  • AWS/Cognito - Cognito
  • AWS/DataSync - DataSync
  • AWS/DDoSProtection - 分布式拒绝服务（DDoS）保护服务
  • AWS/DirectoryService - 目录服务（MicrosoftAD）
  • AWS/DMS - 数据库迁移服务
  • AWS/DocDB - DocumentDB（兼容MongoDB）
  • AWS/DX - Direct Connect
  • AWS/DynamoDB - NoSQL键值数据库
  • AWS/EBS - 弹性块存储服务
  • AWS/EC2 - 弹性计算云
  • AWS/EC2Spot - 弹性计算云Spot实例
  • AWS/ECR - 弹性容器注册表
  • AWS/ECS - 弹性容器服务（服务指标）
  • AWS/EFS - 弹性文件系统
  • AWS/ElastiCache - ElastiCache
  • AWS/ElasticBeanstalk - Elastic Beanstalk
  • AWS/ElasticMapReduce - Elastic MapReduce
  • AWS/ELB - 弹性负载均衡器
  • AWS/EMRServerless - Amazon EMR无服务器
  • AWS/ES - ElasticSearch
  • AWS/Events - EventBridge
  • AWS/Firehose - 托管流服务
  • AWS/FSx - FSx文件系统
  • AWS/GameLift - GameLift
  • AWS/GatewayELB - 网关负载均衡器
  • AWS/GlobalAccelerator - AWS全球加速器
  • AWS/IoT - IoT
  • AWS/IPAM - IP地址管理器
  • AWS/Kafka - 托管Apache Kafka
  • AWS/KafkaConnect - AWS MSK连接器
  • AWS/Kinesis - Kinesis数据流
  • AWS/KinesisAnalytics - Kinesis数据分析SQL应用
  • AWS/KMS - 密钥管理服务
  • AWS/Lambda - Lambda函数
  • AWS/Logs - CloudWatch日志
  • AWS/MediaConnect - AWS Elemental MediaConnect
  • AWS/MediaConvert - AWS Elemental MediaConvert
  • AWS/MediaLive - AWS Elemental MediaLive
  • AWS/MediaPackage - AWS Elemental MediaPackage
  • AWS/MediaTailor - AWS Elemental MediaTailor
  • AWS/MemoryDB - AWS MemoryDB
  • AWS/MWAA - 托管Apache Airflow（容器、队列和数据库指标）
  • AWS/NATGateway - NAT网关
  • AWS/Neptune - Neptune
  • AWS/NetworkELB - 网络负载均衡器
  • AWS/NetworkFirewall - 网络防火墙
  • AWS/Network Manager - 网络管理器
  • AWS/PrivateLinkEndpoints - VPC端点
  • AWS/PrivateLinkServices - VPC端点服务
  • AWS/Prometheus - 托管Prometheus服务
  • AWS/QLDB - 量子账本数据库
  • AWS/QuickSight - QuickSight（商业智能）
  • AWS/RDS - 关系型数据库服务
  • AWS/Redshift - Redshift数据库
  • AWS/Redshift-Serverless - Redshift无服务器
  • AWS/Route53 - Route53健康检查
  • AWS/Route53Resolver - Route53解析器
  • AWS/RUM - 真实用户监控
  • AWS/S3 - 对象存储
  • AWS/Sagemaker/ModelBuildingPipeline - SageMaker模型构建管道
  • AWS/SageMaker - SageMaker调用
  • AWS/Scheduler - EventBridge调度器
  • AWS/SecretsManager - 密钥管理器
  • AWS/SES - 简单电子邮件服务
  • AWS/SNS - 简单通知服务
  • AWS/SQS - 简单队列服务
  • AWS/States - Step Functions
  • AWS/StorageGateway - 本地访问云存储
  • AWS/Timestream - 时序数据库服务
  • AWS/TransitGateway - 中转网关
  • AWS/TrustedAdvisor - Trusted Advisor
  • AWS/Usage - 部分AWS资源和API的使用情况
  • AWS/VpcLattice - VPC Lattice
  • AWS/VPN - ***连接
  • AWS/WAFV2 - Web应用防火墙v2
  • AWS/WorkSpaces - WorkSpaces
  • ContainerInsights - EKS ContainerInsights（依赖CloudWatch代理）
  • CWAgent - CloudWatch代理
  • ECS/ContainerInsights - ECS/ContainerInsights（Fargate指标）
  • Glue - AWS Glue作业

特性标志

为提供向后兼容性，YACE的部分新功能或破坏性变更可能受特性标志保护。详情请参阅docs/feature_flags.md。

安装和运行

请参考安装指南。

认证

导出器需要在有权限访问AWS的环境中运行。导出器使用https://aws.github.io/aws-sdk-go-v2/docs/getting-started/%EF%BC%8C%E5%B9%B6%E6%94%AF%E6%8C%81%E9%80%9A%E8%BF%87https://aws.github.io/aws-sdk-go-v2/docs/configuring-sdk/#specifying-credentials%E6%8F%90%E4%BE%9B%E8%AE%A4%E8%AF%81%E3%80%82%E6%97%A0%E8%AE%BA%E4%BD%BF%E7%94%A8%E4%BD%95%E7%A7%8D%E6%96%B9%E5%BC%8F%E8%8E%B7%E5%8F%96%E5%87%AD%E8%AF%81%EF%BC%8C%E5%AF%BC%E5%87%BA%E5%99%A8%E9%83%BD%E9%9C%80%E8%A6%81%E6%9F%90%E4%BA%9B%E6%9D%83%E9%99%90%E6%89%8D%E8%83%BD%E6%AD%A3%E5%B8%B8%E5%B7%A5%E4%BD%9C%E3%80%82

作为快速入门，以下IAM策略可授予YACE所需的所有权限：

json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "tag:GetResources",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "apigateway:GET",
        "aps:ListWorkspaces",
        "autoscaling:DescribeAutoScalingGroups",
        "dms:DescribeReplicationInstances",
        "dms:DescribeReplicationTasks",
        "ec2:DescribeTransitGatewayAttachments",
        "ec2:DescribeSpotFleetRequests",
        "shield:ListProtections",
        "storagegateway:ListGateways",
        "storagegateway:ListTagsForResource",
        "iam:ListAccountAliases"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

如果需要根据需求移除某些权限，可根据要刮取的CloudWatch命名空间调整策略：

运行静态和发现作业所需的最低权限：

json
"tag:GetResources",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"

刮取AWS/ApiGateway命名空间资源发现所需权限：

json
"apigateway:GET"

刮取AWS/AutoScaling命名空间资源发现所需权限：

json
"autoscaling:DescribeAutoScalingGroups"

刮取AWS/DMS命名空间资源发现所需权限：

json
"dms:DescribeReplicationInstances",
"dms:DescribeReplicationTasks"

刮取AWS/EC2Spot命名空间资源发现所需权限：

json
"ec2:DescribeSpotFleetRequests"

刮取AWS/Prometheus命名空间资源发现所需权限：

json
"aps:ListWorkspaces"

刮取AWS/StorageGateway命名空间资源发现所需权限：

json
"storagegateway:ListGateways",
"storagegateway:ListTagsForResource"

刮取AWS/TransitGateway命名空间资源发现所需权限：

json
"ec2:DescribeTransitGatewayAttachments"

刮取AWS/DDoSProtection命名空间受保护资源发现所需权限：

json
"shield:ListProtections"

AWS IAM API支持创建账户别名，这是易于识别账户的友好名称。每个账户最多可有一个别名（文档）。以下权限用于获取账户别名（导出为aws_account_info指标的标签）：

json
"iam:ListAccountAliases"

如果在AWS EC2实例中运行YACE，导出器会自动尝试关联IAM角色。如需禁用此行为，可设置环境变量AWS_EC2_METADATA_DISABLED=true关闭元数据端点使用。

配置

请参考配置文档。

指标示例

text
### 带有exportedTagsOnMetrics的指标
aws_ec2_cpuutilization_maximum{dimension_InstanceId="i-someid", name="arn:aws:ec2:eu-west-1:472724724:instance/i-someid", tag_Name="jenkins"} 57.2916666666667

### 带有标签的信息辅助指标
aws_elb_info{name="arn:aws:elasticloadbalancing:eu-west-1:472724724:loadbalancer/a815b16g3417211e7738a02fcc13bbf9",tag_KubernetesCluster="production-19",tag_Name="",tag_kubernetes_io_cluster_production_19="owned",tag_kubernetes_io_service_name="nginx-ingress/private-ext",region="eu-west-1"} 0
aws_ec2_info{name="arn:aws:ec2:eu-west-1:472724724:instance/i-someid",tag_Name="jenkins"} 0

### 跟踪CloudWatch请求以计算成本
yace_cloudwatch_requests_total 168

无exportedTagsOnMetrics的查询示例

text
# CPU利用率 + 实例ID的Name标签 - 监控无需实例ID
aws_ec2_cpuutilization_average + on (name) group_left(tag_Name) aws_ec2_info

# 弹性搜索集群的可用存储空间（MB）+ Type标签
(aws_es_free_storage_space_sum + on (name) group_left(tag_Type) aws_es_info) / 1024

# 为4xx ELB指标添加Kubernetes/kops标签
(aws_elb_httpcode_backend_4_xx_sum + on (name) group_left(tag_KubernetesCluster,tag_kubernetes_io_service_name) aws_elb_info)

# ELB可用性指标（成功请求/总请求）+ k8s服务名称
# 所有指标需设置nilToZero，否则无法工作
((aws_elb_request_count_sum - on (name) group_left() aws_elb_httpcode_backend_4_xx_sum) - on (name) group_left() aws_elb_httpcode_backend_5_xx_sum) + on (name) group_left(tag_kubernetes_io_service_name) aws_elb_info

# 预测7天后弹性搜索磁盘大小并带有type和version标签
predict_linear(aws_es_free_storage_space_minimum[2d], 86400 * 7) + on (name) group_left(tag_type, tag_version) aws_es_info

# 基于过去10分钟预测未来32天CloudWatch成本
# 前1000000次请求免费
# 每1000次GetMetricStatistics API请求0.01美元（https://aws.amazon.com/cloudwatch/pricing/）
((increase(yace_cloudwatch_requests_total[10m]) * 6 * 24 * 32) - 1000000) / 1000 * 0.01

覆盖AWS端点URL

为支持本地测试，可通过设置环境变量AWS_ENDPOINT_URL覆盖所有AWS URL：

shell
docker run -d --rm -v $PWD/credentials:/exporter/.aws/credentials -v $PWD/config.yml:/tmp/config.yml \
-e AWS_ENDPOINT_URL=http://localhost:4766 -p 5000:5000 --name yace quay.io/prometheuscommunity/yet-another-cloudwatch-exporter:latest

选项

RoleArns

多RoleArns适用于监控多账户环境（所有账户使用相同AWS服务）。例如，在监控账户运行YACE，其他账户（如newspapers、radio、television）运行ECS集群，每个账户授予YACE假设本地IAM角色的权限。此类场景配置示例：

yaml
apiVersion: v1alpha1
sts-region: eu-west-1
discovery:
  jobs:
    - type: AWS/ECS
      regions:
        - eu-north-1
      roles:
        - roleArn: "arn:aws:iam::1111111111111:role/prometheus" # newspaper
        - roleArn: "arn:aws:iam::2222222222222:role/prometheus" # radio
        - roleArn: "arn:aws:iam::3333333333333:role/prometheus" # television
      metrics:
        - name: MemoryReservation
          statistics:
            - Average
            - Minimum
            - Maximum
          period: 6