本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 从 Amazon Managed Grafana 连接到 Amazon VPC 中的数据来源或通知渠道
<a name="AMG-configure-vpc"></a>

默认情况下，从 Amazon Managed Grafana 工作区到数据来源或通知渠道的流量通过公共互联网流动。这限制了从 Amazon Managed Grafana 工作区连接到可公开访问的服务。

**注意**  
如果您尚未配置私有 VPC，而 Amazon Managed Grafana 正在连接到可公开访问的数据源，则它会通过连接到同一 AWS 区域中的某些服务。 AWS PrivateLink这包括诸如 CloudWatch适用于 Prometheus 的亚马逊托管服务等服务，以及。 AWS X-Ray这些服务的流量不通过公共互联网流动。

如果您想连接到 VPC 中面向私人的数据来源，或将流量保持在 VPC 本地，您可以将 Amazon Managed Grafana 工作区连接到托管这些数据来源的Amazon Virtual Private Cloud（Amazon VPC）。配置 VPC 数据来源连接后，所有流量都会通过 VPC 流动。

*虚拟私有云* (VPC) 是专用于您的虚拟网络 AWS 账户。VPC 在逻辑上与其他虚拟网络（包括其他 VPC 和公共互联网）隔离。使用 Amazon VPC 在 AWS Cloud中创建和管理您的 VPC。Amazon VPC 可让您完全控制虚拟网络环境，包括资源放置、连接和安全。Amazon Managed Grafana 数据来源以及其他资源都可以在您的 VPC 中创建。有关更多信息，请参阅《Amazon Virtual Private Cloud 用户指南》**中的 [Amazon VPC 是什么？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。

**注意**  
如果您想让 Amazon Managed Grafana 工作区连接到 VPC 以外的其他网络或公共互联网中的数据，则必须向其他网络添加路由。有关如何将 VPC 连接到其他网络的信息，请参阅《Amazon Virtual Private Cloud 用户指南》**中的[将 VPC 连接到其他网络](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)。

## VPC 连接的工作原理
<a name="AMG-VPC-how-it-works"></a>

[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 可让您完全控制虚拟网络环境，包括创建面向公众和面向私人的*子网*供您的应用程序连接，以及创建*安全组*来管理哪些服务或资源可以访问子网。

要将 Amazon Managed Grafana 与 VPC 中的资源一起使用，您必须为 Amazon Managed Grafana 工作区创建与该 VPC 的连接。设置连接后，Amazon Managed Grafana 会将您的工作区连接到该 VPC 中每个可用区的每个子网，所有进出 Amazon Managed Grafana 工作区的流量都会流经该 VPC。下图展示了这种连接在逻辑上的表现方式。

![图像展示 Amazon Managed Grafana 跨多个可用区连接到 VPC。](http://docs.aws.amazon.com/zh_cn/grafana/latest/userguide/images/grafana-vpc-connection.png)


Amazon Managed Grafana 为每个子网创建一个连接（**1**）（使用[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)或 ENI），以连接到 VPC（**2**）。Amazon Managed Grafana VPC 连接与一组安全组（**3**）关联，这些安全组控制 VPC 与 Amazon Managed Grafana 工作区之间的流量。所有流量都通过配置的 VPC 路由，包括警报目的地和数据来源的连接。要连接到其他 VPC 或公共互联网（**4**）中的数据来源和警报目的地，请在其他网络和您的 VPC 之间创建[网关](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)（**5**）。

## 创建与 VPC 的连接
<a name="AMG-to-create-vpc-connection"></a>

本节介绍从现有的 Amazon Managed Grafana 工作区连接到 VPC 的步骤。您可以在创建工作区时遵循相同的说明。有关创建工作区的更多信息，请参阅 [创建 Amazon Managed Grafana 工作区](AMG-create-workspace.md)。

### 先决条件
<a name="config-vpc-prereqs"></a>

从现有 Amazon Managed Grafana 工作区建立与 VPC 的连接的先决条件如下。
+ 您必须拥有配置或创建 Amazon Managed Grafana 工作区所需的权限。例如，您可以使用 AWS 托管策略`AWSGrafanaAccountAdministrator`。
+ 您必须在账户中设置 VPC，并至少配置两个可用区，每个可用区配置一个*私有子网*。您必须知道 VPC 的子网和安全组信息。
**注意**  
不支持 [Local Zone](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html) 和 [Wavelength Zone](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)。  
不支持在[配置](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)中将 `Tenancy` 设置为 `Dedicated` 的 VPC。
**重要**  
连接到您的 Amazon Managed Grafana 工作区的每个子网中必须至少有 15 个可用 IP 地址。强烈建议您在 VPC 子网中配置警报以[监控 IP 用量](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html)。如果子网的可用 IP 地址数量低于 15 个，您可能会遇到以下问题：  
在您释放其他 IP 地址或使用其他 IP 地址连接子网之前，无法对工作区进行配置更改
您的工作区将无法接收安全更新或补丁
在极少数情况下，您可能会遇到工作区可用性完全丧失的情况，从而导致警报无法运行，控制面板无法访问
+ 如果要连接已配置数据来源的现有 Amazon Managed Grafana 工作区，建议先将 VPC 配置为连接到这些数据来源，然后再将 Amazon Managed Grafana 连接到 VPC。这包括通过连接 CloudWatch 的服务 AWS PrivateLink。否则，将失去与这些数据来源的连接。
+ 如果您的 VPC 已经有多个网关连接到其他网络，您可能需要在多个网关之间设置 DNS 解析。有关详细信息，请参阅 [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。

### 从现有的 Amazon Managed Grafana 工作区连接到 VPC
<a name="config-vpc-use"></a>

以下过程介绍了如何将 Amazon VPC 数据来源连接添加至现有的 Amazon Managed Grafana 工作区。

**注意**  
配置与 Amazon VPC 的连接时，会创建一个 IAM 角色。使用此角色，Amazon Managed Grafana 可以创建与 VPC 的连接。IAM 角色使用与服务关联的角色策略 `AmazonGrafanaServiceLinkedRolePolicy`。要详细了解与服务关联的角色，请参阅 [Service-linked 亚马逊托管 Grafana 的角色权限](using-service-linked-roles.md#slr-permissions)。

**要从现有的 Amazon Managed Grafana 工作区连接到 VPC**

1. 打开 [Amazon Managed Grafana 控制台](https://console.aws.amazon.com/grafana/home/)。

1. 在左侧导航窗格中，选择**所有工作区**。

1. 选择要为其添加 VPC 数据来源连接的工作区名称。

1. 在**网络访问设置**选项卡的**出站 VPC 连接**旁边，选择**编辑**，以创建您的 VPC 连接。

1. 选择要连接的 **VPC**。

1. 在**映射**下，选择要使用的可用区。必须至少选择两个。

1. 在每个可用区中至少选择一个*私有子网*。子网必须支持 IPv4。

1. 为 VPC 选择至少一个**安全组**。您最多可指定 5 个安全组。或者，您也可以创建一个适用于此连接的安全组。

1. 选择**保存更改**，以完成设置。

现在，您已经设置好了 VPC 连接，可以向 Amazon Managed Grafana 工作区添加可从该 VPC 访问的 [连接到数据来源](AMG-data-sources.md)。

**更改出站 VPC 设置**

要更改设置，您可以返回工作区配置的**网络访问设置**选项卡，也可以使用 [UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html)API。

**重要**  
Amazon Managed Grafana 会为您管理 VPC 配置。请勿使用 Amazon EC2 控制台或 API 编辑这些 VPC 设置，否则这些设置将不会同步。