本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 從 Amazon Managed Grafana 連線至 Amazon VPC 中的資料來源或通知管道
<a name="AMG-configure-vpc"></a>

根據預設，從 Amazon Managed Grafana 工作區到資料來源或通知通道的流量會透過公有網際網路流動。這會將 Amazon Managed Grafana 工作區的連線限制為可公開存取的服務。

**注意**  
當您尚未設定私有 VPC，且 Amazon Managed Grafana 正在連線至可公開存取的資料來源時，它會透過 連線到相同區域中的一些 AWS 服務 AWS PrivateLink。這包括 CloudWatch、Amazon Managed Service for Prometheus 和 等服務 AWS X-Ray。傳送到這些服務的流量不會透過公有網際網路流動。

如果您想要連接到 VPC 內的私有資料來源，或將流量保持在 VPC 的本機，您可以將 Amazon Managed Grafana 工作區連接到託管這些資料來源的 Amazon Virtual Private Cloud (Amazon VPC)。設定 VPC 資料來源連線後，所有流量都會流經您的 VPC。

*虛擬私有雲端* (VPC) 是您的專用虛擬網路 AWS 帳戶。它與其他虛擬網路邏輯上隔離，包括其他 VPCs和公有網際網路。使用 Amazon VPC 在 中建立和管理 VPCs AWS 雲端。Amazon VPC 可讓您完全控制虛擬聯網環境，包括資源配置、連線和安全性。您可以在 VPC 中建立 Amazon Managed Grafana 資料來源和其他資源。如需 Amazon VPC 的詳細資訊，請參閱[什麼是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) *Amazon Virtual Private Cloud 使用者指南*中的 。

**注意**  
如果您希望 Amazon Managed Grafana 工作區連線到 VPC 外部的資料，則必須在另一個網路或公有網際網路中新增路由到另一個網路。如需有關如何將 VPC 連線至另一個網路的資訊，請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的[將 VPC 連線至其他網路](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)。

## VPC 連線的運作方式
<a name="AMG-VPC-how-it-works"></a>

[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 可讓您完全控制虛擬聯網環境，包括為應用程式建立面向公有和面向私有*的子網路*以進行連線，以及管理哪些服務或資源可存取子網路*的安全群組*。

若要將 Amazon Managed Grafana 與 VPC 中的資源搭配使用，您必須為 Amazon Managed Grafana 工作區建立與該 VPC 的連線。設定連線後，Amazon Managed Grafana 會將您的工作區連線至該 VPC 中每個可用區域中每個提供的子網路，所有進出 Amazon Managed Grafana 工作區的流量都會流經 VPC。下圖顯示此連線在邏輯上的外觀。

![顯示跨多個可用區域連線至 VPC 的 Amazon Managed Grafana 影像。](http://docs.aws.amazon.com/zh_tw/grafana/latest/userguide/images/grafana-vpc-connection.png)


Amazon Managed Grafana 會為每個子網路 （使用[彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)或 ENI) 建立連線 (**1**)，以連線至 VPC (**2**)。Amazon Managed Grafana VPC 連線與一組安全群組 (**3**) 相關聯，可控制 VPC 與 Amazon Managed Grafana 工作區之間的流量。所有流量都會透過設定的 VPC 路由，包括警示目的地和資料來源連線。若要連線到其他 VPCs或公有網際網路 (**4**) 中的資料來源和提醒目的地，請在其他網路和 VPC 之間建立[閘道](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) (**5**)。

## 建立與 VPC 的連線
<a name="AMG-to-create-vpc-connection"></a>

本節說明從現有 Amazon Managed Grafana 工作區連線至 VPC 的步驟。您可以在建立工作區時遵循這些相同的指示。如需建立工作區的詳細資訊，請參閱 [建立 Amazon Managed Grafana 工作區](AMG-create-workspace.md)。

### 先決條件
<a name="config-vpc-prereqs"></a>

以下是從現有 Amazon Managed Grafana 工作區建立 VPC 連線的先決條件。
+ 您必須擁有必要的許可才能設定或建立 Amazon Managed Grafana 工作區。例如，您可以使用 AWS 受管政策 `AWSGrafanaAccountAdministrator`。
+ 您的帳戶中必須至少設定兩個可用區域的 VPC 設定，每個區域都設定一個*私有子網路*。您必須知道 VPC 的子網路和安全群組資訊。
**注意**  
不支援[本機區域](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html)和 [Wavelength 區域](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)。  
`Dedicated` 不支援將 `Tenancy` 設定為 [VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。
**重要**  
連接至 Amazon Managed Grafana 工作區的每個子網路中必須至少有 15 個可用的 IP 地址。我們強烈建議您設定警示來[監控 VPC 子網路中的 IP 用量](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html)。如果子網路的可用 IP 地址數量低於 15，您可能會遇到下列問題：  
在您釋放其他 IP 地址或連接具有其他 IP 地址的子網路之前，無法對工作區進行組態變更
您的工作區將無法接收安全性更新或修補程式
在極少數情況下，您可能會遇到工作區的完整可用性損失，導致無法運作的警示和無法存取的儀表板
+ 如果您要連接已設定資料來源的現有 Amazon Managed Grafana 工作區，建議您先將 VPC 設定為連接到這些資料來源，再將 Amazon Managed Grafana 連接到 VPC。這包括透過 連線的服務，例如 CloudWatch AWS PrivateLink。否則，會失去與這些資料來源的連線。
+ 如果您的 VPC 已經有多個閘道到其他網路，您可能需要跨多個閘道設定 DNS 解析。如需詳細資訊，請參閱 [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。

### 從現有的 Amazon Managed Grafana 工作區連線至 VPC
<a name="config-vpc-use"></a>

下列程序說明將 Amazon VPC 資料來源連線新增至現有的 Amazon Managed Grafana 工作區。

**注意**  
當您設定與 Amazon VPC 的連線時，它會建立 IAM 角色。透過此角色，Amazon Managed Grafana 可以建立與 VPC 的連線。IAM 角色使用服務連結角色政策 `AmazonGrafanaServiceLinkedRolePolicy`。若要進一步了解服務連結角色，請參閱 [Amazon Managed Grafana 的服務連結角色許可](using-service-linked-roles.md#slr-permissions)。

**從現有的 Amazon Managed Grafana 工作區連線至 VPC**

1. 開啟 [Amazon Managed Grafana 主控台](https://console.aws.amazon.com/grafana/home/)。

1. 在左側導覽窗格中，選擇**所有工作區**。

1. 選取您要新增 VPC 資料來源連線的工作區名稱。

1. 在**網路存取設定**索引標籤的**傳出 VPC 連線**旁，選擇**編輯**以建立 VPC 連線。

1. 選擇您要連接的 **VPC**。

1. 在**映射**下，選取您要使用的可用區域。您必須選擇至少兩個。

1. 在每個可用區域中至少選取一個*私有子網路*。子網路必須支援 IPv4。

1. 為您的 VPC 選取至少一個**安全群組**。您最多可以指定 5 個安全群組。或者，您可以建立要套用至此連線的安全群組。

1. 選擇**儲存變更**以完成設定。

現在您已設定 VPC 連線，您可以將可從該 VPC [連線至資料來源](AMG-data-sources.md)存取新增至 Amazon Managed Grafana 工作區。

**變更傳出 VPC 設定**

若要變更設定，您可以返回工作區組態**的網路存取設定**索引標籤，也可以使用 [UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html) API。

**重要**  
Amazon Managed Grafana 會為您管理 VPC 組態。請勿使用 Amazon EC2 主控台或 APIs 編輯這些 VPC 設定，否則設定會不同步。