終止支援通知：2026 年 5 月 31 日， AWS 將終止對 的支援 AWS Panorama。2026 年 5 月 31 日之後，您將無法再存取 AWS Panorama 主控台或 AWS Panorama 資源。如需詳細資訊，請參閱[AWS Panorama 終止支援](https://docs.aws.amazon.com/panorama/latest/dev/panorama-end-of-support.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 VPC 端點
<a name="api-endpoints"></a>

如果您在沒有網際網路存取的情況下使用 VPC，您可以建立 [VPC 端點](#services-vpc-interface)以搭配 AWS Panorama 使用。VPC 端點可讓私有子網路中執行的用戶端在沒有網際網路連線的情況下連線至 AWS 服務。

如需 AWS Panorama 設備使用的連接埠和端點的詳細資訊，請參閱 [將 AWS Panorama 設備連接到您的網路](appliance-network.md)。

**Topics**
+ [建立一個 VPC 端點](#services-vpc-interface)
+ [將設備連接到私有子網路](#services-vpc-appliance)
+ [範本 AWS CloudFormation 範例](#services-vpc-templates)

## 建立一個 VPC 端點
<a name="services-vpc-interface"></a>

若要在 VPC 和 AWS Panorama 之間建立私有連線，請建立 *VPC 端點*。使用 AWS Panorama 不需要 VPC 端點。只有在沒有網際網路存取權的 VPC 中工作時，才需要建立 VPC 端點。當 AWS CLI 或 SDK 嘗試連線到 AWS Panorama 時，流量會透過 VPC 端點路由。

使用下列設定建立 AWS Panorama 的 [VPC 端點](https://console.aws.amazon.com//vpc/home#CreateVpcEndpoint:)：
+ **服務名稱** – **com.amazonaws.*us-west-2*.panorama**
+ **類型** – **介面**

VPC 端點使用服務的 DNS 名稱從 AWS 開發套件用戶端取得流量，而不需要任何額外的組態。如需使用 VPC 端點的詳細資訊，請參閱《Amazon [VPC 使用者指南》中的界面](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) VPC 端點。 **

## 將設備連接到私有子網路
<a name="services-vpc-appliance"></a>

AWS Panorama 設備可以透過使用 AWS Site-to-Site VPN 或 的私有 VPN AWS 連線連線至 AWS Direct Connect。透過這些服務，您可以建立延伸至資料中心的私有子網路。設備會連線至私有子網路，並透過 VPC 端點存取 AWS 服務。

Site-to-Site和 Direct Connect 是將資料中心安全地連線至 Amazon VPC 的服務。使用Site-to-Site VPN，您可以使用商用網路裝置進行連線。 Direct Connect 會使用 AWS 裝置進行連線。

****
+ **Site-to-Site VPN** – [什麼是 AWS Site-to-Site VPN？](https://docs.aws.amazon.com/vpn/latest/s2svpn/)
+ **Direct Connect** – [什麼是 AWS Direct Connect？](https://docs.aws.amazon.com/directconnect/latest/UserGuide/)

將本機網路連接到 VPC 中的私有子網路之後，請為下列服務建立 VPC 端點。

****
+ **Amazon Simple Storage Service** – [AWS PrivateLink 適用於 Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html)
+ **AWS IoT Core** – [AWS IoT Core 搭配界面 VPC 端點](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html) （資料平面和登入資料提供者） 使用
+ **Amazon Elastic Container Registry** – [Amazon Elastic Container Registry 介面 VPC 端點](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html)
+ **Amazon CloudWatch** – [搭配介面 VPC 端點使用 CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-and-interface-VPC.html)
+ **Amazon CloudWatch Logs** – [搭配介面 VPC 端點使用 CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html)

設備不需要連線至 AWS Panorama 服務。它透過 中的訊息管道與 AWS Panorama 通訊 AWS IoT。

除了 VPC 端點之外，Amazon S3 和 AWS IoT 還需要使用 Amazon Route 53 私有託管區域。私有託管區域會將來自子網域的流量路由至正確的 VPC 端點，包括 Amazon S3 存取點和 MQTT 主題的子網域。如需私有託管區域的資訊，請參閱《Amazon Route 53 開發人員指南》中的[使用私有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html)。

如需使用 VPC 端點和私有託管區域的範例 VPC 組態，請參閱 [範本 AWS CloudFormation 範例](#services-vpc-templates)。

## 範本 AWS CloudFormation 範例
<a name="services-vpc-templates"></a>

本指南的 GitHub 儲存庫提供 AWS CloudFormation 範本，您可以用來建立資源以搭配 AWS Panorama 使用。範本會建立具有兩個私有子網路、公有子網路和 VPC 端點的 VPC。您可以使用 VPC 中的私有子網路來託管與網際網路隔離的資源。公有子網路中的資源可以與私有資源通訊，但無法從網際網路存取私有資源。

**Example [vpc-endpoint.yml](https://github.com/awsdocs/aws-panorama-developer-guide/blob/main/cloudformation-templates/vpc-endpoint.yml) – 私有子網路**  

```
AWSTemplateFormatVersion: 2010-09-09
Resources:
  vpc:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 172.31.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      Tags:
        - Key: Name
          Value: !Ref AWS::StackName
  privateSubnetA:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref vpc
      AvailabilityZone:
        Fn::Select:
         - 0
         - Fn::GetAZs: ""
      CidrBlock: 172.31.3.0/24
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub  ${AWS::StackName}-subnet-a
  ...
```

`vpc-endpoint.yml` 範本示範如何為 AWS Panorama 建立 VPC 端點。您可以使用此端點，透過 AWS SDK 或 管理 AWS Panorama 資源 AWS CLI。

**Example [vpc-endpoint.yml](https://github.com/awsdocs/aws-panorama-developer-guide/blob/main/cloudformation-templates/vpc-endpoint.yml) – VPC 端點**  

```
  panoramaEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: true
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
      PolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
        - Effect: Allow
          Principal: "*"
          Action:
            - "panorama:*"
          Resource:
            - "*"
```

`PolicyDocument` 是以資源為基礎的許可政策，定義可以使用端點進行的 API 呼叫。您可以修改政策，以限制可透過端點存取的動作和資源。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

`vpc-appliance.yml` 範本示範如何為 AWS Panorama 設備所使用的服務建立 VPC 端點和私有託管區域。

**Example [vpc-appliance.yml](https://github.com/awsdocs/aws-panorama-developer-guide/blob/main/cloudformation-templates/vpc-appliance.yml) – 具有私有託管區域的 Amazon S3 存取點端點**  

```
  s3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.s3
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: false
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
...
  s3apHostedZone:
    Type: AWS::Route53::HostedZone
    Properties:
      Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com
      VPCs: 
        - VPCId: !Ref vpc
          VPCRegion: !Ref AWS::Region
  s3apRecords:
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref s3apHostedZone
      Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com"
      Type: CNAME
      TTL: 600
      # first DNS entry, split on :, second value
      ResourceRecords: 
      - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]
```

範例範本示範使用範例 VPC 建立 Amazon VPC 和 Route 53 資源。您可以移除 VPC 資源，並將子網路、安全群組和 VPC IDs 的參考取代為資源IDs，以針對您的使用案例進行調整。