Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Abfrage mithilfe von Grafana, die in einem Amazon-EKS-Cluster ausgeführt wird
<a name="AMP-onboard-query-grafana-7.3"></a>

Amazon Managed Service für Prometheus unterstützt die Verwendung von Grafana-Version 7.3.5 und höher zur Abfrage von Metriken in einem Workspace in Amazon Managed Service für Prometheus. Die Versionen 7.3.5 und höher bieten Unterstützung für die Authentifizierung mit AWS Signature Version 4 (Sigv4).

Um Grafana für die Zusammenarbeit mit Amazon Managed Service for Prometheus einzurichten, müssen Sie bei einem Konto angemeldet sein, das über die **AmazonPrometheusQueryAccess**Richtlinie oder die`aps:QueryMetrics`, `aps:GetMetricMetadata``aps:GetSeries`, und Berechtigungen verfügt. `aps:GetLabels` Weitere Informationen finden Sie unter [IAM-Berechtigungen und Richtlinien](AMP-and-IAM.md).

## Richten Sie SigV4 ein AWS
<a name="AMP-onboard-query-grafana-7.3-sigv4"></a>

Grafana hat eine neue Funktion zur Unterstützung der Authentifizierung mit AWS Signature Version 4 (Sigv4) hinzugefügt. Weitere Informationen finden Sie unter [Signatur Version 4-Signierungsprozess](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html). Diese Feature ist auf Grafana-Servern standardmäßig aktiviert. Die folgenden Anweisungen zur Aktivierung dieser Feature basieren darauf, dass Sie Helm verwenden, um Grafana auf einem Kubernetes-Cluster zu benutzen.

**Um SigV4 auf Ihrem Server Grafana 7.3.5 oder höher zu aktivieren**

1. Erstellen Sie eine neue Aktualisierungsdatei, um Ihre Grafana-Konfiguration zu überschreiben, und geben Sie ihr den Namen `amp_query_override_values.yaml`.

1. Kopieren Sie folgenden Inhalt in die Datei. Speichern Sie anschließend die Datei. *account-id*Ersetzen Sie durch die AWS Konto-ID, auf der der Grafana-Server läuft.

   ```
   serviceAccount:
       name: "amp-iamproxy-query-service-account"
       annotations:
           eks.amazonaws.com/role-arn: "arn:aws:iam::account-id:role/amp-iamproxy-query-role"
   grafana.ini:
     auth:
       sigv4_auth_enabled: true
   ```

   In dem Inhalt dieser YAML-Datei ist `amp-iamproxy-query-role` der Name der Rolle, die Sie im nächsten Abschnitt, [IAM-Rollen für Servicekonten einstellen](#AMP-onboard-query-grafana-7.3-IRSA) erstellen werden. Sie können diese Rolle durch Ihren eigenen Rollennamen ersetzen, wenn Sie bereits eine Rolle für die Abfrage Ihres Workspace erstellt haben.

Sie werden diese Datei später verwenden, in [Aktualisieren Sie den Grafana-Server mit Helm](#AMP-onboard-query-upgrade-grafana).

## IAM-Rollen für Servicekonten einstellen
<a name="AMP-onboard-query-grafana-7.3-IRSA"></a>

Wenn Sie einen Grafana-Server in einem Amazon-EKS-Cluster verwenden, empfehlen wir Ihnen, IAM-Rollen für Servicekonten, auch Servicerollen genannt, für Ihre Zugriffskontrolle zu verwenden. Wenn Sie dies tun, um eine IAM-Rolle einem Kubernetes-Dienstkonto zuzuordnen, kann das Dienstkonto dann AWS Berechtigungen für die Container in jedem Pod gewähren, der dieses Dienstkonto verwendet. Weitere Informationen finden Sie unter [IAM-Rollen für Servicekonten](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html).

Wenn Sie diese Servicerollen noch nicht für Abfragen eingerichtet haben, folgen Sie den Anweisungen unter [Richten Sie IAM-Rollen für Servicekonten zur Abfrage von Metriken ein](set-up-irsa.md#set-up-irsa-query), um die Rollen einzurichten.

Anschließend müssen Sie das Grafana-Servicekonto in den Bedingungen der Vertrauensbeziehung hinzufügen.

**Um das Grafana-Servicekonto zu den Bedingungen der Vertrauensbeziehung hinzuzufügen**

1. Bestimmen Sie in einem Terminalfenster den Namespace und den Namen des Servicekontos für Ihren Grafana-Server. Sie könnten z. B. den folgenden Befehl verwenden: .

   ```
   kubectl get serviceaccounts -n grafana_namespace
   ```

1. Öffnen Sie in der Amazon-EKS-Konsole die IAM-Rolle für Servicekonten, die dem EKS-Cluster zugeordnet ist.

1. Wählen Sie **Vertrauensstellung bearbeiten** aus.

1. Aktualisieren Sie die **Bedingung**, um den Grafana-Namespace und den Namen des Grafana-Servicekontos einzuschließen, die Sie in der Ausgabe des Befehls in Schritt 1 gefunden haben. Im Folgenden wird ein -Beispiel gezeigt.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Federated": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.us-east-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"
         },
         "Action": "sts:AssumeRoleWithWebIdentity",
         "Condition": {
           "StringEquals": {
             "oidc.eks.us-east-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": [
               "system:serviceaccount:aws-amp:amp-iamproxy-query-service-account",
               "system:serviceaccount:grafana-namespace:grafana-service-account-name"
             ],
             "oidc.eks.us-east-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com"
           }
         }
       }
     ]
   }
   ```

------

1. Wählen Sie **Update trust policy (Vertrauensrichtlinie aktualisieren)** aus.

## Aktualisieren Sie den Grafana-Server mit Helm
<a name="AMP-onboard-query-upgrade-grafana"></a>

In diesem Schritt wird der Grafana-Server aktualisiert, sodass er die Einträge verwendet, die Sie der `amp_query_override_values.yaml` Datei im vorherigen Abschnitt hinzugefügt haben.

Führen Sie die folgenden Befehle aus. Weitere Informationen zu Helm-Charts für Grafana finden Sie unter [Helm-Charts für Grafana Community Kubernetes](https://grafana.github.io/helm-charts).

```
helm repo add grafana https://grafana.github.io/helm-charts
```

```
helm upgrade --install grafana grafana/grafana -n grafana_namespace -f ./amp_query_override_values.yaml
```

## Fügen Sie die Prometheus-Datenquelle in Grafana hinzu
<a name="AMP-onboard-query-grafana-7.3-datasource"></a>

In den folgenden Schritten wird erklärt, wie Sie die Prometheus-Datenquelle in Grafana einrichten, um Ihre Metriken von Amazon Managed Service für Prometheus abzufragen.

**Um die Prometheus-Datenquelle zu Ihrem Grafana hinzuzufügen**

1. Öffnen Sie die Grafana-Konsole.

1. Wählen Sie unter **Konfigurationen** die Option **Datenquellen** aus.

1. Wählen Sie **Datenquelle hinzufügen** aus.

1. Wählen Sie **Prometheus** aus.

1. Geben Sie für die HTTP-URL die **Endpunkt – URL-Abfrage** an, die auf der Workspace-Detailseite in der Konsole von Amazon Managed Service für Prometheus angezeigt wird.

1. Entfernen Sie in der HTTP-URL, die Sie gerade angegeben haben, die `/api/v1/query` Zeichenfolge, die an die URL angehängt ist, da die Prometheus-Datenquelle sie automatisch anhängt.

1. Wählen Sie unter **Auth** den Schalter für **SigV4-Authentifizierung** aus, um sie zu aktivieren.

   Lassen Sie die Felder **ARN-Rolle übernehmen** und **Externe ID** leer. Wählen Sie dann für **Standardregion** die Region aus, in der sich Ihr Workspace in Amazon Managed Service für Prometheus befindet.

1. Wählen Sie **Speichern & Testen** aus.

   Sie sollten die folgende Nachricht sehen: Die **Datenquelle funktioniert**

1. Testen Sie eine PromQL-Abfrage anhand der neuen Datenquelle:

   1. Wählen Sie **Explore**.

   1. Führen Sie eine PromQL-Beispielabfrage aus, wie zum Beispiel:

      ```
      prometheus_tsdb_head_series
      ```