Мониторим основные сервисы в AWS с Prometheus и exporter’ами для CloudWatch

Мне кажется тут забыли рассказать про один большой косяк этого сетапа — cloudwatch-exporter дергает CloudWatch API на каждый запрос от прометеуса. При этом апи от AWS платное, и в зависимости от количества ресурсов, опрашиваемых метрик, и главное частоты опроса счет от AWS может неприятно удивить. Этой проблемы лишен другой экспортер YACE (yet another cloudwatch exporter), в нём запросы в CloudWatch API отвязаны от собственно скрейпа прометеусом.

Хочется добавить, что использование напрямую пользователей IAM внутри инфраструктуры AWS является плохой практикой. Лучше назначать IAM-роль на EC2-инстанс, где работает экспортер. Если экспортер запущен в EKS, то роль можно назначить на сервис аккаунт пода экспортёра с помощью аннотации eks.amazonaws.com/role-arn