從 Amazon Managed Grafana 連線至 Amazon VPC 中的資料來源或通知管道 - Amazon Managed Grafana
VPC 連線的運作方式建立與 VPC 的連線

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從 Amazon Managed Grafana 連線至 Amazon VPC 中的資料來源或通知管道

根據預設,從 Amazon Managed Grafana 工作區到資料來源或通知通道的流量會透過公有網際網路流動。這會將 Amazon Managed Grafana 工作區的連線限制為可公開存取的服務。

注意

當您尚未設定私有 VPC,且 Amazon Managed Grafana 正在連線至可公開存取的資料來源時,會透過 連線到相同區域中的某些 AWS 服務 AWS PrivateLink。這包括 CloudWatch、Amazon Managed Service for Prometheus 和 等服務 AWS X-Ray。傳送到這些服務的流量不會透過公有網際網路流動。

如果您想要連接到 VPC 內的私有資料來源,或將流量保持在 VPC 的本機,您可以將 Amazon Managed Grafana 工作區連接到託管這些資料來源的 Amazon Virtual Private Cloud (Amazon VPC)。設定 VPC 資料來源連線後,所有流量都會流經您的 VPC。

虛擬私有雲端 (VPC) 是您的專用虛擬網路 AWS 帳戶。它與其他虛擬網路邏輯上隔離,包括其他 VPCs和公有網際網路。使用 Amazon VPC 在 中建立和管理 VPCs AWS 雲端。Amazon VPC 可讓您完全控制虛擬聯網環境,包括資源配置、連線和安全性。您可以在 VPC 中建立 Amazon Managed Grafana 資料來源和其他資源。如需 Amazon VPC 的詳細資訊,請參閱《Amazon Amazon Virtual Private Cloud什麼是 Amazon VPC?

注意

如果您希望 Amazon Managed Grafana 工作區連線到 VPC 外部的資料,則必須將路由新增至其他網路。如需有關如何將 VPC 連線至另一個網路的資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的將 VPC 連線至其他網路

VPC 連線的運作方式

Amazon VPC 可讓您完全控制虛擬聯網環境,包括為應用程式建立面向公有和面向私有的子網路以進行連線,以及管理哪些服務或資源可存取子網路的安全群組

若要將 Amazon Managed Grafana 與 VPC 中的資源搭配使用,您必須為 Amazon Managed Grafana 工作區建立與該 VPC 的連線。設定連線後,Amazon Managed Grafana 會將您的工作區連線至該 VPC 中每個可用區域中每個提供的子網路,所有進出 Amazon Managed Grafana 工作區的流量都會流經 VPC。下圖顯示此連線在邏輯上的外觀。

顯示跨多個可用區域連線至 VPC 的 Amazon Managed Grafana 影像。

Amazon Managed Grafana 會為每個子網路 (使用彈性網路介面或 ENI) 建立連線 (1),以連線至 VPC (2)。Amazon Managed Grafana VPC 連線與一組安全群組 (3) 相關聯,可控制 VPC 與 Amazon Managed Grafana 工作區之間的流量。所有流量都會透過設定的 VPC 路由,包括警示目的地和資料來源連線。若要連線到其他 VPCs或公有網際網路 (4) 中的資料來源和提醒目的地,請在其他網路和 VPC 之間建立閘道 (5)。

建立與 VPC 的連線

本節說明從現有 Amazon Managed Grafana 工作區連線至 VPC 的步驟。您可以在建立工作區時遵循這些相同的指示。如需建立工作區的詳細資訊,請參閱 建立 Amazon Managed Grafana 工作區

先決條件

以下是從現有 Amazon Managed Grafana 工作區建立 VPC 連線的先決條件。

  • 您必須擁有必要的許可,才能設定或建立 Amazon Managed Grafana 工作區。例如,您可以使用 AWS 受管政策 AWSGrafanaAccountAdministrator

  • 您的帳戶中必須至少設定兩個可用區域的 VPC 設定,每個區域都設定一個私有子網路。您必須知道 VPC 的子網路和安全群組資訊。

    注意

    不支援本機區域Wavelength 區域

    Dedicated 不支援將 Tenancy 設定為 VPCs

    重要

    連接至 Amazon Managed Grafana 工作區的每個子網路中必須至少有 15 個可用的 IP 地址。我們強烈建議您設定警示來監控 VPC 子網路中的 IP 用量。如果子網路的可用 IP 地址數量低於 15,您可能會遇到下列問題:

    • 在您釋放其他 IP 地址或連接具有其他 IP 地址的子網路之前,無法對工作區進行組態變更

    • 您的工作區將無法接收安全性更新或修補程式

    • 在極少數情況下,您可能會遇到工作區的完整可用性損失,導致無法運作的警示和無法存取的儀表板

  • 如果您要連接已設定資料來源的現有 Amazon Managed Grafana 工作區,建議您先將 VPC 設定為連線至這些資料來源,再將 Amazon Managed Grafana 連線至 VPC。這包括透過 連線的服務,例如 CloudWatch AWS PrivateLink。否則,會失去與這些資料來源的連線。

  • 如果您的 VPC 已經有多個通往其他網路的閘道,您可能需要跨多個閘道設定 DNS 解析。如需詳細資訊,請參閱 Route 53 Resolver

從現有的 Amazon Managed Grafana 工作區連線至 VPC

下列程序說明將 Amazon VPC 資料來源連線新增至現有的 Amazon Managed Grafana 工作區。

注意

當您設定與 Amazon VPC 的連線時,它會建立 IAM 角色。透過此角色,Amazon Managed Grafana 可以建立與 VPC 的連線。IAM 角色使用服務連結角色政策 AmazonGrafanaServiceLinkedRolePolicy。若要進一步了解服務連結角色,請參閱 Amazon Managed Grafana 的服務連結角色許可

從現有的 Amazon Managed Grafana 工作區連線至 VPC

  1. 開啟 Amazon Managed Grafana 主控台

  2. 在左側導覽窗格中,選擇所有工作區

  3. 選取您要新增 VPC 資料來源連線的工作區名稱。

  4. 網路存取設定索引標籤的傳出 VPC 連線旁,選擇編輯以建立 VPC 連線。

  5. 選擇您要連接的 VPC

  6. 映射下,選取您要使用的可用區域。您必須選擇至少兩個。

  7. 在每個可用區域中至少選取一個私有子網路。子網路必須支援 IPv4。

  8. 為您的 VPC 選取至少一個安全群組。您最多可以指定 5 個安全群組。或者,您可以建立要套用至此連線的安全群組。

  9. 選擇儲存變更以完成設定。

現在您已設定 VPC 連線,您可以將可從該 VPC 連線至資料來源存取新增至 Amazon Managed Grafana 工作區。

變更傳出 VPC 設定

若要變更設定,您可以返回工作區組態的網路存取設定索引標籤,也可以使用 UpdateWorkspace API。

重要

Amazon Managed Grafana 會為您管理 VPC 組態。請勿使用 Amazon EC2 主控台或 APIs 編輯這些 VPC 設定,否則設定會不同步。