[AWS] Amazon Managed Prometheus (AMP)

#AWS

AWS는 Prometheus도 관리형으로 제공한다.
쓰는 사람은 잘 못본 것 같다만, 아무튼 있긴 있다.

사실 prometheus 쓸 정도면 보통 쿠버 올리고 직접 관리할테니 굳이 이걸 찾는 사람이 없는 것 같다.

약어가 왔다갔다 통일이 안된다.
엔드포인트 레벨에서는 aps라고 하는데 문서에서는 amp라고 하고 그런다.

비용

프로비저닝이 아니라 서버리스처럼 온디맨드 요금이 나오는게 특징이다.
Thanos 같은걸 구성할 필요 없이 알아서 HA 보장해주고, 때리는대로 다 들어간다.
https://aws.amazon.com/ko/prometheus/pricing/

그대신 수집한 데이터 개수, 그리고 저장공간 등으로 비용을 매긴다. 쓴만큼 나가는 것이다.
저장공간 비용은 압축된 최종 크기를 기준으로 하고, 로그는 기본 설정값으로 150일까지만 저장된다.

무료 사용량도 조금 있다.

적당한 사용량에서는 메리트가 있을 것 같다.

직접 만들고 써보자.

클러스터 자체는 이름만 정하면 바로 생성이 가능하다.
쉽다.

조금만 기다리면 생성이 완료되고

엔드포인트도 열린다.

근데 이 엔드포인트는 별다른 추가 처리 없이는 사용이 불가능하다.
접근하면 이렇게 에러가 뜬다.

어째서인지 모르겠지만, AWS 문서나 기타 사용사례들에는 EKS를 상정한 연결 방법만이 다뤄져있다.
EC2나 ECS Fargate, 단순 온프레미스에서 이걸 사용하는 것은 전혀 고려하지 않은 것 같다.

다음 문서를 참조하면 EKS에서 AMP를 연동하는 방법을 확인할 수 있다.
https://docs.aws.amazon.com/prometheus/latest/userguide/AMP-collector-how-to.html

친절하게 안내를 해주지는 않지만, EKS 밖에서도 사용 자체는 가능하다.
이건 다른 DB들처럼 보안그룹으로 거는 것도 아니고 sigv4로 인증을 거쳐서 쏴야 하는데, 그거는 직접 하려면 좀 복잡스럽다. 라이브러리 갖다쓰는게 편리하다.

여기서는 일단 aws-cli와 awscurl로 간단하게 연결 되는 것만 보여보겠다.

우선 aws 계정이나 role이 있어야 한다.

그리고 prometheus에도 전용 권한이 따로 있다.

필요한 권한들은 지금 사용할 User/Role에 붙여줘야 한다.
난 지금 단순 쿼리만 쏴볼 것이기 때문에 QueryAccess만 달아줬다.

그리고

awscurl을 깔았다. 복잡스런 sigv4 인증을 알아서 처리해주는 curl와 비슷한 도구다.
이걸 기반으로 토큰같은거 뽑고 최종 엔드포인트에 쏴줘야 한다.

그리고 이런 느낌으로 요청을 쏘면 된다.

awscurl --region ap-northeast-2 --service aps "...엔드포인트/api/v1/query?query=prometheus_api_remote_read_queries"

응답이 잘 오는 것을 볼 수 있다.

remote-write도 이런 식으로 할 수 있는데, json도 아니고 protobuf로 말아서 보내야 하는데다 좀 정신없어서 굳이 더 다루지는 않겠다.
그냥 에이전트 라이브러리 갖다쓰면 된다.

에이전트들 보면 이런 식으로 쓸 수 있게 옵션을 제공한다.

remote_write:
  - url: "http://.../remote_write"
    sigv4:
       region: ap-northeast-2
       access_key: ACCESSKEY
       secret_key: SECRETKEY