Paso 1: vincule sus cuentas de AWS y New Relic

Este es el primer paso para habilitar el monitoreo AWS Lambda de New Relic.

Cuando vincula su cuenta de AWS a New Relic, le otorga permiso a New Relic para crear un inventario de su cuenta de AWS y recopilar métricas de CloudWatch para su función Lambda. Los recursos en su cuenta de AWS luego aparecen como entidad en el explorador de entidades, decorados con información de configuración.

Para que funcione el monitoreo serverless de la función Lambda, requiere una integración de API Polling o Streams métrica . Puede configurar su elección de integración antes de iniciar la vinculación de esta cuenta, o puede dejar que la CLI instale la integración de sondeo API por usted.

Para crear este inventario, necesitamos una función de IAM que otorgue estos permisos de IAM, como mínimo:

Resource: "*"
Action:
  - "cloudwatch:GetMetricStatistics"
  - "cloudwatch:ListMetrics"
  - "cloudwatch:GetMetricData"
  - "lambda:GetAccountSettings"
  - "lambda:ListFunctions"
  - "lambda:ListAliases"
  - "lambda:ListTags"
  - "lambda:ListEventSourceMappings"

De forma predeterminada, utilizamos la AWS Managed Policy ReadOnlyAccess. Esto permite que la integración de infraestructura vea todos los recursos de su cuenta, en lugar de solo las métricas de su función Lambda y CloudWatch. New Relic recomienda este valor predeterminado, pero entendemos que algunas organizaciones tienen una postura de seguridad muy conservadora para la integración de terceros. Un rol con los permisos anteriores es suficiente para permitir la recopilación de telemetría Lambda, aunque es posible que las trazas que interactúan con otros servicios no funcionen bien.

En este paso de integración, también almacenaremos su New Relic en el servicio AWS Secrets Manager, para que podamos enviar su telemetría a su cuenta de New Relic.

Método recomendado: la CLI `newrelic-lambda`

Requisitos

Para habilitar el monitoreo serverless usando nuestra capa Lambda, necesita lo siguiente:

AWS CLI v2 instalado y configurado mediante aws configure.
Python versión 3.3 o superior instalada.
CLI newrelic-lambda, que puede instalar ejecutando pip3 install newrelic-lambda-cli.
Una cuenta New Relic . Debe tener una función de administrador o tener la función de complemento
Infrastructure manager
.
Un
.
Una cuenta de AWS con permisos para crear recursos de IAM, secretos administrados y Lambdas. También necesita permisos para crear una pila de CloudFormation y depósitos de S3.

Para obtener detalles detallados sobre la CLI, consulte nuestro repositorio de CLI.

La CLI utiliza AWS SDK para interactuar con AWS. El SDK actuará utilizando el mismo perfil predeterminado que la CLI de AWS. Este perfil necesita, como mínimo, los siguientes permisos de AWS para ejecutar la CLI.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CLIAccessPolicy",
      "Action": [
        "cloudformation:CreateChangeSet",
        "cloudformation:CreateStack",
        "cloudformation:DescribeStacks",
        "cloudformation:ExecuteChangeSet",
        "iam:AttachRolePolicy",
        "iam:CreateRole",
        "iam:GetRole",
        "iam:PassRole",
        "lambda:AddPermission",
        "lambda:CreateFunction",
        "lambda:GetFunction",
        "logs:DeleteSubscriptionFilter",
        "logs:DescribeSubscriptionFilters",
        "logs:PutSubscriptionFilter",
        "s3:GetObject",
        "serverlessrepo:CreateCloudFormationChangeSet",
        "secretsmanager:CreateSecret"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "NRLogAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "serverlessrepo:CreateCloudFormationTemplate",
        "serverlessrepo:GetCloudFormationTemplate"
      ],
      "Resource": "arn:aws:serverlessrepo:us-east-1:463657938898:applications/NewRelic-log-ingestion"
    }
  ]
}

Integrar con CLI

Dado que el monitoreo serverless de Lambda función requiere una integración de API Polling o métrica Streams , la CLI instalará automáticamente API Polling si no ve una integración. Si prefiere métrica Streams, instálelo ahora antes de ejecutar la CLI.

Cuando se cumplan todos los requisitos , vincule su cuenta de AWS con su cuenta de New Relic ejecutando el siguiente comando usando su clave de usuario (reemplace todos los valores resaltados):

Setting the region

Para configurar su región, use esta variable de entorno para anular la región predeterminada:

bash

$export AWS_DEFAULT_REGION=MY_REGION # us-west-2, for example

La herramienta CLI también permite pasar este comando usando --aws-region.

Setting profiles

Si tiene varios perfiles de AWS y no desea utilizar el predeterminado, utilice la variable de entorno AWS_PROFILE para establecer otro nombre de perfil. Asegúrese de que el perfil esté configurado correctamente (incluida la región predeterminada). Ejemplo:

bash

$export AWS_PROFILE=MY_PROFILE

newrelic-lambda integrations install --nr-account-id YOUR_NR_ACCOUNT_ID \
    --nr-api-key YOUR_NEW_RELIC_USER_KEY

La newrelic-lambda CLI agrega su New Relic como secreto en AWS Secret Manager para mayor seguridad.

Sugerencia

Storing the New Relic license key in the AWS Secrets Manager

Su lo identifica y lo autentica en New Relic, lo que nos permite asociar su telemetría con su cuenta de New Relic. Cada función que envía telemetría necesita acceso a este valor y debe administrarse de forma segura. AWS Secrets Manager resuelve estos problemas.

Si su organización le impide utilizar AWS Secrets Manager o si necesita almacenar más de un secreto por región, consulte a continuación un método alternativo para configurar su clave de licencia.

Método alternativo

La UI de monitoreo de infraestructura

La CLI es la forma menos complicada de vincular sus cuentas. El comportamiento actual de la CLI limita la configuración de un secreto administrado por región. Si necesita más control o necesita integrar más de una cuenta New Relic por región, puede realizar el proceso de vinculación manualmente. Asegúrese de habilitar Lambda al seleccionar los servicios que desea monitorear.

No olvide configurar el secreto manualmente, como se describe a continuación.

Configure manualmente el secreto de la clave de licencia

Además de vincular sus cuentas, debe configurar la clave de licencia secreta.

Descargue esta plantilla de CloudFormation: license-key-secret.yaml
Utilizando la CLI de AWS o la consola de AWS CloudFormation, instale la plantilla y proporcione el parámetro LicenseKey . Estará etiquetado como "INGESTIÓN - LICENCIA". Asegúrese de utilizar para la cuenta que configuró con la UI de infraestructura anterior.
Ejemplo de AWS CLI:
Asegúrese de reemplazar YOUR_LICENSE_KEY y YOUR_ACCOUNT_ID con la clave de licencia y el ID de cuenta que encontró arriba.
bash
```
$aws cloudformation create-stack --stack-name NewRelicLicenseKeySecret
$    --template-body file://license-key-secret.yaml
$    --parameters 'ParameterKey=LicenseKey,ParameterValue=YOUR_LICENSE_KEY'
$    'ParameterKey=NrAccountId,ParameterValue=YOUR_ACCOUNT_ID'
$    --capabilities CAPABILITY_NAMED_IAM
```
Consulte también nuestros documentos heredados sobre cómo instrumentar manualmente su cuenta.

Como referencia, estas son las variables de entorno disponibles para configurar y controlar el comportamiento del módulo.

Required:

Variable ambiental	Descripción
`NEW_RELIC_ACCOUNT_ID`	Requerido para rastreo distribuido.
`NEW_RELIC_LAMBDA_HANDLER`	Requerido para Node, Python, Ruby y Java.
`NEW_RELIC_TRUSTED_ACCOUNT_KEY`	Requerido para rastreo distribuido. Esta es la identificación de su cuenta. Si su cuenta es una cuenta infantil, este es el ID de cuenta para la cuenta raíz/principal.

Optional:

Variable ambiental	Descripción
`NEW_RELIC_DISTRIBUTED_TRACING_ENABLED`	Utilizado en configuraciones heredadas. `true` de forma predeterminada para la mayoría de los agentes.
`NEW_RELIC_EXTENSION_LOG_LEVEL`	Establezca en `DEBUG` para habilitar el logging de depuración.
`NEW_RELIC_EXTENSION_SEND_FUNCTION_LOGS`	`false` por defecto. Establezca en `true` para enviar el log de funciones a New Relic directamente, sin pasar por CloudWatch y `newrelic-log-ingestion` Lambda.
`NEW_RELIC_LAMBDA_EXTENSION_ENABLED`	Establezca en `false` para deshabilitar la extensión y utilice la ruta de telemetría de CloudWatch.
`NEW_RELIC_LICENSE_KEY` / `NEW_RELIC_LICENSE_KEY_SECRET`	El está asociado a su cuenta de New Relic, mientras que el secreto es el nombre del AWS Managed Secret que contiene la clave de licencia. Si `NEW_RELIC_LICENSE_KEY` no está configurado, buscamos la clave en `NEW_RELIC_LICENSE_KEY_SECRET`. Para garantizar que el contenido de las claves esté formateado correctamente, recomendamos utilizar la CLI para habilitar el monitoreo lambda. Obtenga más información sobre .

¿Te ha ayudado este documento con la instalación?

Resolución de problemas

Para obtener una serie de guías de resolución de problemas para Lambda, consulte estas publicaciones en nuestro foro de soporte:

Aquí hay más detalles sobre otros problemas y soluciones.

No se puede utilizar el administrador de secretos de AWS

Si su organización no permite el uso de AWS Secrets Manager, la extensión New Relic Lambda aceptará una variable de entorno NEW_RELIC_LICENSE_KEY . Agregue la bandera --disable-license-key-secret del comando newrelic-lambda integrations install . Luego, establezca esta variable de entorno en su en la configuración de su función Lambda.

Múltiples regiones y cuentas de AWS

La CLI newrelic-lambda debe ejecutarse una vez por región, con el parámetro --aws-region . Utilice el mismo nombre de cuenta vinculada y la herramienta detectará que el vínculo de la cuenta ya se ha creado. El secreto debe crearse en cada región.

De manera similar, se pueden vincular varias cuentas de AWS a una cuenta de New Relic. Asigne a cada cuenta un nombre de cuenta vinculado diferente. El argumento --aws-profile de la herramienta CLI seleccionará el perfil nombrado. La herramienta utiliza la misma configuración que la AWS CLI.

La función Lambda no se muestra como instrumentada

Ha instrumentado su función Lambda pero no se muestra como instrumentada en la sección Amazon Web Services -> Lambda functions de New Relic.

Ha vinculado manualmente un sondeo API y la integración de métrica Streams a su cuenta New Relic en la UI.

En este escenario con dos integraciones para la misma cuenta de AWS en una cuenta de New Relic, se producirá una condición de carrera cuando se reciba la carga instrumentada desde la función Lambda instrumentada en el extremo del recolector de nubes de New Relic. La carga útil se asignará aleatoriamente a una de las dos integraciones. Si se asigna a la integración no vinculada a su entidad de función, la carga útil se eliminará y la función no se mostrará como instrumentada. Solo las funciones que hayan recibido al menos una carga útil en los últimos 30 días hasta el evento AwsLambdaInvocation se mostrarán como instrumentadas.

FROM AwsLambdaInvocation SELECT count(*) SINCE 30 days ago WHERE entityGuid = 'ENTITY_GUID' LIMIT 1

Para evitar la creación de dos integraciones para la misma cuenta de AWS, le recomendamos utilizar la CLI newrelic-lambda , como se mencionó anteriormente, porque detectará una integración existente y la usará.

Si ya se han creado dos integraciones, elija una para conservar y desvincule la otra haciendo clic en Unlink this account en Infrastructure > AWS en New Relic.

Sugerencia

Existen algunas limitaciones para las integraciones de métrica Streams que deben considerarse antes de desvincular una integración de sondeo API. También existen algunas limitaciones para la consulta métrica de Infraestructura Dimensional que deben considerarse antes de comprometerse completamente con una integración de Streams métrica.

No se pudo recuperar la clave de licencia `AccessDeniedException`

Su código lambda requiere el rol de ejecución que tiene permiso para leer AWS Secrets Manager. Si encuentra un log como el siguiente, agregue el permiso apropiado a la política del rol de ejecución. En nuestros ejemplos, consulte el archivo template.yaml para ver una manera sencilla de otorgar este permiso.

Failed to retrieve license key AccessDeniedException: User: <ARN> is not authorized to perform: secretsmanager:GetSecretValue on resource: <ARN>

Te ofrecemos esta traducción automática para facilitar la lectura.

Paso 1: vincule sus cuentas de AWS y New Relic

Detalles de permisos de AWS

Método recomendado: la CLI `newrelic-lambda`

Requisitos

Detalles de permisos de AWS del usuario CLI

Integrar con CLI

Regiones y perfiles de AWS

Sugerencia

Método alternativo

Vincular cuentas manualmente

La UI de monitoreo de infraestructura

Configure manualmente el secreto de la clave de licencia

Variables de entorno lambda

¿Te ha ayudado este documento con la instalación?

Resolución de problemas

No se puede utilizar el administrador de secretos de AWS

Múltiples regiones y cuentas de AWS

La función Lambda no se muestra como instrumentada

Sugerencia

No se pudo recuperar la clave de licencia `AccessDeniedException`

Te ofrecemos esta traducción automática para facilitar la lectura.

Paso 1: vincule sus cuentas de AWS y New Relic

Método recomendado: la CLI newrelic-lambda .css-21sua1{background:none;border:none;width:0;padding:0;}

Requisitos

Detalles de permisos de AWS del usuario CLI

Integrar con CLI

Regiones y perfiles de AWS

Sugerencia

Método alternativo

Vincular cuentas manualmente

Variables de entorno lambda

¿Te ha ayudado este documento con la instalación?

Resolución de problemas

No se puede utilizar el administrador de secretos de AWS

Múltiples regiones y cuentas de AWS

La función Lambda no se muestra como instrumentada

Sugerencia

No se pudo recuperar la clave de licencia AccessDeniedException

Método recomendado: la CLI `newrelic-lambda`

No se pudo recuperar la clave de licencia `AccessDeniedException`