Etapa 1: vincule suas contas AWS e New Relic

Esta é a primeira etapa para habilitar o monitoramento AWS Lambda da New Relic.

Ao vincular sua conta AWS ao New Relic, você está concedendo permissão ao New Relic para criar um inventário de sua conta AWS e coletar métricas do CloudWatch para sua função do Lambda. Os recursos da sua conta AWS aparecem como entidade no entidade explorer, decorados com informações de configuração.

Para que o monitoramento serverless da função Lambda funcione, é necessária uma API Polling ou integração métrica Streams . Você pode configurar sua escolha de integração antes de iniciar a vinculação da conta ou pode deixar a CLI instalar a integração do API Polling para você.

Para criar esse inventário, precisamos de uma função do IAM que conceda estas permissões do IAM, no mínimo:

Resource: "*"
Action:
  - "cloudwatch:GetMetricStatistics"
  - "cloudwatch:ListMetrics"
  - "cloudwatch:GetMetricData"
  - "lambda:GetAccountSettings"
  - "lambda:ListFunctions"
  - "lambda:ListAliases"
  - "lambda:ListTags"
  - "lambda:ListEventSourceMappings"

Por padrão, usamos a política gerenciada pela AWS ReadOnlyAccess. Isso permite que a integração da infraestrutura veja todos os recursos da sua conta, em vez de apenas as métricas da função do Lambda e do CloudWatch. A New Relic recomenda este padrão, mas entendemos que algumas organizações têm uma postura de segurança muito conservadora para integração de terceiros. Uma função com as permissões acima é suficiente para permitir a coleta de telemetria Lambda, embora o rastreamento que interage com outros serviços possa não funcionar bem.

Nesta etapa de integração, também armazenaremos seu New Relic no serviço AWS Secrets Manager, para que possamos enviar sua telemetria para sua conta New Relic.

Método recomendado: a CLI `newrelic-lambda`

Requisitos

Para habilitar o monitoramento Serverless usando nossa camada Lambda, você precisa do seguinte:

AWS CLI v2 instalada e configurada usando aws configure.
Python versão 3.3 ou superior instalada.
CLI newrelic-lambda, que você pode instalar executando pip3 install newrelic-lambda-cli.
Uma conta New Relic . Você deve ter uma função de administrador ou ter a função complementar
Infrastructure manager
.
Um
.
Uma conta AWS com permissões para criar recursos IAM, segredos gerenciados e Lambdas. Você também precisa de permissões para criar pilha do CloudFormation e buckets S3.

Para obter detalhes detalhados sobre a CLI, consulte nosso repositório CLI.

A CLI usa o AWS SDK para interagir com a AWS. O SDK atuará usando o mesmo perfil padrão da AWS CLI. Este perfil precisa, no mínimo, das seguintes permissões da AWS para executar a CLI.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CLIAccessPolicy",
      "Action": [
        "cloudformation:CreateChangeSet",
        "cloudformation:CreateStack",
        "cloudformation:DescribeStacks",
        "cloudformation:ExecuteChangeSet",
        "iam:AttachRolePolicy",
        "iam:CreateRole",
        "iam:GetRole",
        "iam:PassRole",
        "lambda:AddPermission",
        "lambda:CreateFunction",
        "lambda:GetFunction",
        "logs:DeleteSubscriptionFilter",
        "logs:DescribeSubscriptionFilters",
        "logs:PutSubscriptionFilter",
        "s3:GetObject",
        "serverlessrepo:CreateCloudFormationChangeSet",
        "secretsmanager:CreateSecret"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "NRLogAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "serverlessrepo:CreateCloudFormationTemplate",
        "serverlessrepo:GetCloudFormationTemplate"
      ],
      "Resource": "arn:aws:serverlessrepo:us-east-1:463657938898:applications/NewRelic-log-ingestion"
    }
  ]
}

Integrar com CLI

Como o monitoramento serverless da função Lambda requer uma integração de API Polling ou métrica Streams , a CLI instalará automaticamente o API Polling se não encontrar uma integração. Se você preferir Streams métricos, instale-os agora antes de executar a CLI.

Quando todos os requisitos estiverem atendidos, vincule sua conta AWS à sua conta New Relic executando o seguinte comando usando sua chave de usuário (substitua todos os valores destacados):

Setting the region

Para configurar sua região, use esta variável de ambiente para substituir a região padrão:

bash

$export AWS_DEFAULT_REGION=MY_REGION # us-west-2, for example

A ferramenta CLI também permite passar esse comando por comando usando --aws-region.

Setting profiles

Se você tiver vários perfis da AWS e não quiser usar o padrão, use a variável de ambiente AWS_PROFILE para definir outro nome de perfil. Certifique-se de que o perfil esteja configurado corretamente (incluindo a região padrão). Exemplo:

bash

$export AWS_PROFILE=MY_PROFILE

newrelic-lambda integrations install --nr-account-id YOUR_NR_ACCOUNT_ID \
    --nr-api-key YOUR_NEW_RELIC_USER_KEY

A CLI newrelic-lambda adiciona sua New Relic como um segredo no AWS Secret Manager para maior segurança.

Dica

Storing the New Relic license key in the AWS Secrets Manager

Seu identifica e autentica você na New Relic, permitindo-nos associar sua telemetria à sua conta New Relic. Cada função que envia telemetria precisa de acesso a este valor e precisa ser gerenciada com segurança. O AWS Secrets Manager resolve esses problemas.

Se sua organização impedir que você use o AWS Secrets Manager ou se você precisar armazenar mais de um segredo por região, veja abaixo um método alternativo para definir sua chave de licença.

Método alternativo

A interface de monitoramento de infraestrutura

A CLI é a maneira menos complicada de vincular suas contas. O comportamento atual da CLI limita a configuração de um segredo gerenciado por região. Se precisar de mais controle ou integrar mais de uma conta New Relic por região, você pode passar pelo processo de vinculação manualmente. Certifique-se de habilitar o Lambda ao selecionar os serviços a serem monitorados.

Não se esqueça de configurar o segredo manualmente, conforme descrito a seguir.

Configure manualmente o segredo da chave de licença

Além de vincular suas contas, você precisa configurar o segredo da chave de licença.

Baixe este modelo do CloudFormation: license-key-secret.yaml
Usando a AWS CLI ou o console do AWS CloudFormation, instale o modelo, fornecendo o parâmetro LicenseKey . Será rotulado como "INGEST - LICENÇA". Certifique-se de usar para a conta configurada com a interface de infraestrutura acima.
Exemplo de AWS CLI:
Certifique-se de substituir YOUR_LICENSE_KEY e YOUR_ACCOUNT_ID pela chave de licença e ID da conta que você encontrou acima.
bash
```
$aws cloudformation create-stack --stack-name NewRelicLicenseKeySecret
$    --template-body file://license-key-secret.yaml
$    --parameters 'ParameterKey=LicenseKey,ParameterValue=YOUR_LICENSE_KEY'
$    'ParameterKey=NrAccountId,ParameterValue=YOUR_ACCOUNT_ID'
$    --capabilities CAPABILITY_NAMED_IAM
```
Veja também nossos documentos de legado sobre como instrumentar manualmente sua conta.

Para referência, estas são as variáveis de ambiente disponíveis para configurar e controlar o comportamento do módulo.

Required:

Variável de ambiente	Descrição
`NEW_RELIC_ACCOUNT_ID`	Obrigatório para distributed tracing.
`NEW_RELIC_LAMBDA_HANDLER`	Obrigatório para Node, Python, Ruby e Java.
`NEW_RELIC_TRUSTED_ACCOUNT_KEY`	Obrigatório para distributed tracing. Este é o ID da sua conta. Se sua conta for uma conta infantil, este é o ID da conta raiz/pai.

Optional:

Variável de ambiente	Descrição
`NEW_RELIC_DISTRIBUTED_TRACING_ENABLED`	Usado em configurações de legado. `true` por padrão para a maioria dos agentes.
`NEW_RELIC_EXTENSION_LOG_LEVEL`	Defina como `DEBUG` para ativar o registro de depuração.
`NEW_RELIC_EXTENSION_SEND_FUNCTION_LOGS`	`false` por padrão. Defina como `true` para enviar o log de função diretamente para o New Relic, ignorando o CloudWatch e o `newrelic-log-ingestion` Lambda.
`NEW_RELIC_LAMBDA_EXTENSION_ENABLED`	Defina como `false` para desativar a extensão e usar o caminho de telemetria do CloudWatch.
`NEW_RELIC_LICENSE_KEY` / `NEW_RELIC_LICENSE_KEY_SECRET`	O está associado à sua conta New Relic, enquanto o segredo é o nome do AWS Managed Secret que contém a chave de licença. Se `NEW_RELIC_LICENSE_KEY` não estiver definido, procuramos a chave em `NEW_RELIC_LICENSE_KEY_SECRET`. Para garantir que o conteúdo das chaves esteja formatado corretamente, recomendamos usar a CLI para habilitar o monitoramento lambda. Saiba mais sobre o .

Este documento ajudou você na instalação?

Resolução de problemas

Para uma série de guias de resolução de problemas para Lambda, consulte estas postagens em nosso Fórum de suporte:

Aqui estão mais detalhes sobre outros problemas e soluções.

Não é possível usar o gerenciador de segredos da AWS

Se sua organização não permitir o uso do AWS Secrets Manager, a extensão New Relic Lambda aceitará uma variável de ambiente NEW_RELIC_LICENSE_KEY . Adicione o sinalizador --disable-license-key-secret do comando newrelic-lambda integrations install . Em seguida, defina esta variável de ambiente como na configuração da função do Lambda.

Várias regiões e contas da AWS

A CLI newrelic-lambda deve ser executada uma vez por região, com o parâmetro --aws-region . Use o mesmo nome de conta vinculada e a ferramenta detectará que o link da conta já foi criado. O segredo precisa ser criado em cada região.

Da mesma forma, várias contas AWS podem ser vinculadas a uma conta New Relic. Dê a cada conta um nome de conta vinculada diferente. O argumento --aws-profile para a ferramenta CLI selecionará o perfil nomeado. A ferramenta usa a mesma configuração da AWS CLI.

Função do Lambda não aparece como instrumento

Você instrumentou sua função do Lambda, mas ela não está aparecendo como instrumento na seção Amazon Web Services -> Lambda functions do New Relic.

Você vinculou uma pesquisa de API e uma integração métrica Streams à sua conta New Relic manualmente na interface.

Neste cenário com duas integrações para a mesma conta AWS em uma conta New Relic, uma condição de corrida ocorrerá quando a carga do instrumento for recebida do instrumento função do Lambda no endpoint do coletor de nuvem New Relic. A carga útil será atribuída aleatoriamente a uma das duas integração. Se atribuído à integração não vinculada à sua entidade de função, a carga útil será descartada e a função não aparecerá como instrumento. Somente funções que receberam pelo menos uma carga nos últimos 30 dias do evento AwsLambdaInvocation aparecerão como instrumento.

FROM AwsLambdaInvocation SELECT count(*) SINCE 30 days ago WHERE entityGuid = 'ENTITY_GUID' LIMIT 1

Para evitar a criação de duas integrações para a mesma conta AWS, recomendamos que você use a CLI newrelic-lambda , conforme mencionado acima, porque ela detectará uma integração existente e a utilizará.

Caso já tenham sido criadas duas integrações, escolha uma para manter e desvincule a outra clicando em Unlink this account em Infrastructure > AWS no New Relic.

Dica

Existem algumas limitações nas integrações métricas do Streams que devem ser consideradas antes de desvincular uma integração de polling de API. Existem também algumas limitações à consulta métrica Dimensional de Infraestrutura que devem ser consideradas antes de se comprometer totalmente com uma integração métrica de Streams.

Falha ao recuperar a chave de licença `AccessDeniedException`

Seu código lambda requer a função de execução que tem permissão para ler o AWS Secrets Manager. Se você encontrar um log como o seguinte, adicione a permissão apropriada à política da função de execução. Em nossos exemplos, confira o arquivo template.yaml para ver uma maneira fácil de conceder essa permissão.

Failed to retrieve license key AccessDeniedException: User: <ARN> is not authorized to perform: secretsmanager:GetSecretValue on resource: <ARN>

Esta tradução de máquina é fornecida para sua comodidade.

Etapa 1: vincule suas contas AWS e New Relic

Detalhes de permissões da AWS

Método recomendado: a CLI `newrelic-lambda`

Requisitos

Detalhes de permissões da AWS do usuário CLI

Integrar com CLI

Regiões e perfis da AWS

Dica

Método alternativo

Vinculando contas manualmente

A interface de monitoramento de infraestrutura

Configure manualmente o segredo da chave de licença

Variáveis de ambiente Lambda

Este documento ajudou você na instalação?

Resolução de problemas

Não é possível usar o gerenciador de segredos da AWS

Várias regiões e contas da AWS

Função do Lambda não aparece como instrumento

Dica

Falha ao recuperar a chave de licença `AccessDeniedException`

Esta tradução de máquina é fornecida para sua comodidade.

Etapa 1: vincule suas contas AWS e New Relic

Método recomendado: a CLI newrelic-lambda .css-21sua1{background:none;border:none;width:0;padding:0;}

Requisitos

Detalhes de permissões da AWS do usuário CLI

Integrar com CLI

Regiões e perfis da AWS

Dica

Método alternativo

Vinculando contas manualmente

Variáveis de ambiente Lambda

Este documento ajudou você na instalação?

Resolução de problemas

Não é possível usar o gerenciador de segredos da AWS

Várias regiões e contas da AWS

Função do Lambda não aparece como instrumento

Dica

Falha ao recuperar a chave de licença AccessDeniedException

Método recomendado: a CLI `newrelic-lambda`

Falha ao recuperar a chave de licença `AccessDeniedException`