在 Amazon QuickSight 中使用 Amazon Q 构建企业补丁和库存控制面板

作者: Suhail Fouzan, Eswar Sesha Sai Kamineni, Rizwan Mohammed |

在当今快节奏的 IT 环境中,监控和可视化整个基础架构的补丁合规性至关重要。传统上,在 Amazon QuickSight 中创建全面的修补仪表板是一个耗时的手动过程,需要为每个可视组件执行多个步骤。

QuickSight 中的 Amazon Q 是一款由人工智能驱动的助手,可增强 Amazon QuickSight 中的数据分析和可视化功能。本博客探讨了 QuickSight 中的 Amazon Q 如何通过自然语言交互简化仪表板创建,从而改变这种体验。了解如何将多步手动流程简化为几个简单的提示,使您能够快速生成富有洞察力的补丁合规性和库存可视化效果。了解 Amazon Q 的人工智能功能如何帮助您创建动态仪表板,节省宝贵的时间,同时保持准确性,并提供对组织补丁状态的实时见解。无论您是系统管理员、安全分析师还是 IT 经理,本指南都演示了 QuickSight 中的 Amazon Q 如何彻底改变您监控和报告补丁合规性和库存的方式。

此外,该解决方案通过自定义清单可视化提供对基础架构的全面可见性。创建图表以查看您的计算资源如何在云提供商、亚马逊云科技驱动程序和实例类型之间分布,从而更好地了解您的基础设施分布。

解决方案概述

使用 Amazon Q 架构图进行库存和修补控制面板

图 1 — 架构图

该解决方案利用多项亚马逊云科技服务在 QuickSight 中自动创建数据集,并利用 QuickSight 中的 Amazon Q 对数据进行可视化。使用每个目标托管节点上的 Amazon Systems Manager (SSM) 关联来执行定制脚本,该关联收集所需的清单信息并将其放入定制清单路径中。这些信息是通过 SSM 清单和资源数据同步从组织中的各个亚马逊云科技账户收集的,并保存在中央 S3 存储桶中。然后,使用 Amazon Glue 爬虫抓取器抓取这个 S3 存储桶,并创建 Glue 数据库。使用 QuickSight 的 Amazon Athena 查询该数据库中的数据,以创建数据集。QuickSight 中的 Amazon Q 用于可视化来自 QuickSight 数据集的数据。

该解决方案使用 Amazon CloudFormation 堆栈来创建资源,例如用于数据存储的 Amazon S3 存储桶,用于数据编目的 Amazon Glue 数据库和爬虫,用于管理系统经理关联、资源数据同步的 Amazon CloudFormation StackSet 以及 Amazon QuickSight 数据集和分析仪表板。该解决方案按两个主要的自动计划运行:系统经理协会每 7 天执行一次自定义库存收集,Amazon Glue 爬虫每 12 小时与 Amazon Athena 数据库进行一次数据同步。两个调度间隔都可以修改,以符合特定的组织要求。

SSM 自定义关联从云提供商和本地系统的所有托管节点收集元数据,以提供以下基础设施见解:

  • cloud_provider — 有关云提供商的信息,例如亚马逊云科技或本地 VMware 等
  • total_diskSpace — 配置的总磁盘空间
  • free_diskSpace — 可用的可用磁盘空间量
  • free_space_percent — 可用空间的百分比
  • diskspace_status — 磁盘空间状态(如果小于 10%)

此外,它利用实例元数据和自定义脚本来收集以下特定于 EC2 托管节点的信息:

  • EC2_TYPE — EC2 虚拟机管理程序类型,例如 xen 或基于 nitro 的实例
  • instance_type — 实例类型,例如按需或竞价等。
  • NVMe_version — 已安装的 NVMe 驱动程序版本
  • ena_version — 已安装 ENA 驱动程序版本
  • License_type — 与实例相关的许可信息,例如 Windows 随附许可证或 BYOL

此信息保存在每个托管节点的自定义清单路径中。SSM 清单关联会捕获这些自定义数据以及标准清单元数据。每个账户的资源数据同步会将清单元数据同步到中央 S3 存储桶。

先决条件

在本演练中,你必须具备以下条件:

  • 系统管理器托管节点(用于捕获自定义清单信息的 Amazon EC2 实例或混合节点)。
  • 在账户上启用了系统管理器清单。
  • 系统管理器补丁扫描或安装操作以修补托管节点。
  • 使用 Admin pro 或 Author pro 的 Amazon QuickSight 用户账户
  • 创建 CloudFormation 堆栈集所需的权限。
  • 亚马逊云科技组织 ID

演练

我们将使用 Amazon CloudFormation 堆栈部署解决方案来创建所需的资源。CloudFormation 堆栈可以从组织管理账户或 StackSet 委托管理员账户部署。中央 S3 存储桶、QuickSight 仪表板和其他资源将在堆栈部署账户和区域中创建。

部署完成后,我将详细介绍如何在 QuickSight 中使用 Amazon Q 创建视觉效果。

  1. 从 GitHub 存储库下载 CloudFormation 模板并部署堆栈。
  2. 在参数区域中,输入以下参数:
    1. 在 "SSM 资源数据同步和自定义清单配置" 部分下
      • Amazon S3 存储桶:用于 Amazon Systems Manager 资源数据同步的 Amazon S3 存储桶的名称
      • 目标类型:自定义清单关联的目标类型。为所有实例指定 ALL,为基于标签的目标指定 TAG,并在下一个参数中输入标签密钥和值
      • 用于定位实例的标签密钥
      • 目标实例的标签值
    2. 在 "亚马逊云科技账户选项" 部分下:
      • 亚马逊云科技组织 ID:亚马逊云科技组织根 ID (r-xxx) 或组织单位 ID (ou-xxx)。
      • 亚马逊云科技账户 ID:要在组织或 OU 中部署的亚马逊云科技账户 ID 列表。(账户必须是指定组织/组织组成员)。留空即可部署到组织或 OU 中的所有账户。
      • 亚马逊云科技账户区域:亚马逊云科技区域列表

        组织部署的 CloudFormation 模板参数

        图 2 — Amazon CloudFormation 参数 — 组织部署

        要部署到没有组织设置的账户,请执行以下操作:

        • 亚马逊云科技组织 ID:将该字段留空
        • 亚马逊云科技账户 ID:要部署的亚马逊云科技账户 ID 列表(账户不得属于任何组织)
        • 亚马逊云科技账户区域:亚马逊云科技区域列表

        不属于组织的账户的 CloudFormation 参数

        图 3 — 不属于组织的账户的 Amazon CloudFormation 参数

    3. 在该部分下方:Amazon Athena
      • Amazon Athena 数据库名称:Amazon Systems Manager 资源数据同步的 Amazon Athena 数据库名称
    4. 在该部分下方:Amazon QuickSight
      • Amazon QuickSight 用户:输入 Amazon QuickSight 用户名。
  3. 导航到 "资源" 选项卡,查看 CloudFormation 堆栈创建的资源。

CloudFormation 部署完成后,等待账户上的 SSM 库存协会完成执行。默认情况下,库存关联每 30 分钟运行一次。库存执行完成后,按照步骤运行 Glue Crawler:

  1. 导航到 Amazon Glue Crawlers 控制台
  2. 选择以 "SSM-GlueCrawler-*" 开头的爬虫
  3. 选择 "运行" 来运行爬虫。

Glue Crawler 将从中央 S3 存储桶中抓取库存数据并在 Glue 数据库 ssm_datasync_resources 上进行更新。

验证 QuickSight 用户和权限

QuickSight 用户角色:

  1. 导航到 Amazon QuickSight 主机并登录
  2. 选择右上角的用户图标并管理 QuickSight
  3. 选择 "管理用户",然后为 QuickSight 用户选择 "管理员 Pro" 角色

亚马逊 QuickSight 用户权限

图 4 — Amazon QuickSight 用户权限

QuickSight 权限:

  1. 在同一页面上,选择 "安全和权限"
  2. 在 QuickSight 对亚马逊云科技服务的访问权限下,选择管理
  3. 选择 Amazon Athena 和 Amazon S3。在 "选择 S3 存储桶" 下,选择由之前为系统管理器清单和修补数据部署的 CloudFormation 模板创建的 S3 存储桶。
  4. 选择 "保存"。

Amazon quicksight 角色对中央 S3 存储桶

图 5 — QuickSight 角色对 S3 存储桶的权限

使用 Amazon Q 创建视觉效果

  1. 在 QuickSight 分析中,选择页面顶部中心的 "生成可视化图标"。这将打开一个侧面板,输入查询,让 Amazon Q 生成可视化对象。
  2. 以下是生成视觉效果的示例提示。您可以考虑根据需要自定义提示和视觉效果。

由提供商管理的节点

这些视觉对象显示了部署在不同云提供商和本地基础设施上的托管节点的数量,从而深入了解工作负载在不同平台上的分布。

  1. 在提示符下输入 "创建按提供商划分的资源 ID 数量饼图",然后选择 BUILD。
  2. 或者,您可以将提示输入为 "为提供商的资源 ID 数量创建可视化对象",让 Amazon Q 决定视觉类型。
  3. QuickSight 中的 Amazon Q 将生成视觉效果。选择 "添加到分析",然后根据要求调整视觉对象的大小。
  4. 双击标题可编辑并更新为 "由提供商管理的节点"

搭载亚马逊 Q 的亚马逊 QuickSight Visual

图 6 — 在 QuickSight 中使用 Amazon Q 构建视觉效果

按状态管理节点

  1. 在提示符下输入 "创建按实例状态列出的资源 ID 数量的甜甜圈图",然后选择 BUILD。
  2. 选择 "添加到分析",然后根据要求调整视觉对象的大小。更新视觉标题。
  3. 对其他视觉对象执行相同的步骤,如下所述,使用不同的提示生成视觉效果。

按状态清点管理节点

图 7 — 按状态划分的托管节点

由操作系统管理的节点

提示 "创建按平台名称列出的资源 ID 计数的甜甜圈图"

按操作系统清点管理的节点

图 8 — 按操作系统管理的节点

由平台管理的节点

提示 "创建按平台类型列出的资源 ID 数量的甜甜圈图"

SSM 代理版本

提示 "创建按版本和应用程序名称等于 Amazon SSM 代理的资源 ID 数量的视觉对象"

磁盘空间状态

提示 "按磁盘空间状态创建资源 ID 计数的视觉对象"

库存操作控制面板

图 9 — 操作仪表板

Amazon EC2 实例特定的视觉效果

以下视觉效果展示了有关 Amazon EC2 实例的详细信息,这些信息源自 SSM 自定义清单关联,提供了对各种亚马逊云科技特定组件和资源配置的宝贵见解。

以下是创建视觉对象的提示:

亚马逊云科技半虚拟化驱动程序版本

  1. 提示 "创建按应用程序版本和应用程序名称等于亚马逊云科技半虚拟化驱动程序的资源 ID 数量的视觉对象"
  2. 从视觉对象中选择 null数据,然后选择 "排除空值"。选择 "添加到分析" 将视觉对象添加到分析中。这是为了排除不适用于此视觉对象的其他提供商(例如本地或混合节点)中的空值/空值。
  3. 要在控制面板中添加文本标题,请从窗格顶部选择 "添加文本" 图标,然后编辑到 亚马逊云科技控制面板

Amazon EC2 ENA 驱动版本

提示 "通过 enaversion 为资源编号创建可视化对象"。

亚马逊云科技 NVMe 驱动程序版本

提示 "按照 nvmeversion 创建资源 ID 计数的视觉对象"。

按许可类型划分的 Amazon EC2 实例

提示 "创建按许可证类型列出的资源 ID 数量的饼状图"。

按实例类型划分的 Amazon EC2 实例

提示 "按实例类型创建资源 ID 计数饼图"。

EC2 库存控制面板

图 10 — 亚马逊云科技 EC2 指标控制面板

合规表

合规表用于创建特定合规性的可视化效果,特别侧重于补丁和关联合规性。在这种情况下,我们将生成的视觉效果突出显示不合规的补丁,并提供缺失补丁的完整列表,从而清晰地概述系统的安全状况。

  1. 从表格顶部选择 "合规表"
  2. 以下是合规性特定视觉效果的提示示例。

按补丁合规性管理节点

提示 "按合规性类型等于 Patch 的合规性状态创建资源 ID 数量饼图"

按协会合规性管理节点

提示 "按合规性类型等于关联的合规性状态为资源 ID 数量创建饼图"

提供商提供的符合补丁要求的托管节点

提示 "为合规性类型等于补丁且合规性状态等于合规性提供商的资源 ID 数量创建圆环图"

按提供商修补不合规的托管节点

提示 "为合规性类型等于 Patch 且合规性状态等于 NON_COMPLIANCE 的提供商创建资源 ID 数量的圆环图"

各操作系统符合补丁要求的托管节点

提示 "为合规性类型等于补丁且合规性状态等于合规性按平台名称创建资源 ID 数量的视觉对象"

按操作系统修补不合规的托管节点

提示 "按平台名称创建资源 ID 数量的视觉对象,使合规性类型等于补丁,合规性状态等于 NON_COMPLIANCE"

缺少补丁

提示 "创建数据透视表,其中提供商、账户 ID、区域、平台名称、资源 ID、补丁标题等于 Patch 且合规性状态等于 NON_COMPLIANCE 且补丁状态等于 Missing"

SSM 托管节点合规性控制面板

SSM 补丁合规性控制面板

图 11 — 合规控制面板

创建视觉对象后,选择 "发布" 以发布仪表板。此外,您还可以利用 QuickSight 中的 Amazon Q 来获取详细信息或与仪表板进行交互以获得任何问题的答案。例如,要获取具有关键磁盘空间的托管节点列表,提示 "按磁盘空间状态列出的资源 ID 列表等于关键" 可以得到答案。

清理

要删除资源,请执行以下操作:

  1. 导航到 Amazon CloudFormation 控制台
  2. 选择堆栈,然后选择名为 ssm-inventory-patching-dashboard 的堆栈。
  3. 选择删除删除堆栈
  4. 导航到 Amazon QuickSight 主机
  5. 删除仪表盘、分析和数据集。

结论

在这篇博客文章中,我们演示了 QuickSight 中的 Amazon Q 如何简化系统管理器补丁和库存控制面板的创建。通过利用自然语言交互,曾经复杂的多步骤流程已转变为简单、直观的提示,可生成全面的可视化效果。该解决方案节省了宝贵的时间,还提供了有关云和本地环境中补丁合规性、库存状态和基础设施分布的实时见解。

此外,QuickSight 中的 Amazon Q 支持通过自然语言提示对您的控制面板数据进行交互式查询,从而使您能够快速检索特定信息。亚马逊云科技服务(包括系统管理器、QuickSight 和 Amazon Q)的组合使组织能够更好地控制其混合基础设施,同时简化监控和报告流程。无论您是管理补丁合规性、跟踪库存还是监控亚马逊云科技特定组件,该解决方案都为基础设施可视化和管理提供了一种简化的方法。立即下载我们的 CloudFormation 模板并在几分钟内实现基于人工智能的可视化,实现基础设施监控转型。

要了解有关 Amazon Systems Manager 补丁功能的更多信息,请访问我们的 Amazon Systems Manager 补丁管理器文档。


苏海尔·富赞

Suhail Fouzan

苏海尔·富赞是亚马逊网络服务(亚马逊云科技)的专业解决方案架构师,在 IT 行业拥有超过 15 年的经验。Suhail 专门从事微软工作负载、迁移服务和 Amazon Systems Manager 的运营管理,可帮助客户成功地将其基础设施迁移到亚马逊云科技。工作之余,苏海尔喜欢打板球和与家人共度时光。

Eswar Sesha Sai Kamineni

Eswar Sesha Sai Kamineni

Eswar Sesha Sai Kamineni 是亚马逊网络服务的解决方案架构师。他通过协助设计云解决方案和提供技术指导来帮助客户实现业务转型。Eswar 毕业于乔治梅森大学,获得数据分析工程学位。他对人工智能和机器学习有着浓厚的兴趣。Eswar 喜欢阅读有关技术和徒步旅行新进展的文章。

里兹万·穆罕默德

Rizwan Mohammed

Rizwan Mohammed 是亚马逊云科技的高级技术客户经理,帮助企业客户采用亚马逊云科技服务、构建新架构并优化其当前实施。凭借云运营和微软工作负载方面的专业知识,他热衷于提高客户的卓越运营。

*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您发展海外业务和/或了解行业前沿技术选择推荐该服务。