本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS X-Ray 搭配 VPC 端點使用
如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 託管 AWS 資源,您可以在 VPC 和 X-Ray 之間建立私有連線。這可讓 Amazon VPC 中的資源與 X-Ray 服務通訊,而無需透過公有網際網路。
Amazon VPC 是 AWS 服務 ,可用來在您定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。若要將 VPC 連線至 X-Ray,您可以定義[介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)。端點為 X-Ray 提供可靠、可擴展的連線,而不需要網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連接。如需詳細資訊,請參閱《*Amazon VPC 使用者指南》*中的[什麼是 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/)。
介面 VPC 端點採用 AWS PrivateLink 技術,這項 AWS 技術 AWS 服務 可透過使用具有私有 IP 地址的彈性網路介面,在 之間進行私有通訊。如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的 [New – AWS PrivateLink for AWS 服務](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/) 部落格文章和[入門](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)。
為了確保您可以在所選的 X-Ray 中建立 VPC 端點 AWS 區域,請參閱 [支援地區](#xray-vpc-availability)。
## 為 X-Ray 建立 VPC 端點
若要開始搭配 VPC 使用 X-Ray,請為 X-Ray 建立介面 VPC 端點。
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中導覽至**端點**,然後選擇**建立端點**。
1. 搜尋並選取 AWS X-Ray 服務的名稱:`com.amazonaws.{{region}}.xray`。
1. 選取您想要的 VPC,然後在 VPC 中選取子網路以使用介面端點。端點網路界面會在選取的子網路中建立。您可以指定不同可用區域中的多個子網路 (服務所支援),協助確保界面端點在可用區域失敗的狀況下保有彈性。如果您這樣做,則會在您指定的每個子網路中建立界面網路界面。
1. (選用) 預設會為端點啟用私有 DNS,因此您可以使用其預設 DNS 主機名稱向 X-Ray 提出請求。您可以選擇停用它。
1. 指定要與端點網路界面建立關聯的安全群組。
1. (選用) 指定自訂政策以控制存取 X-Ray 服務的許可。根據預設,允許完整存取。
## 控制對 X-Ray VPC 端點的存取
當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,Amazon VPC 會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代 IAM 使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。端點政策必須以 JSON 格式撰寫。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用 VPC 端點控制服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
VPC 端點政策可讓您控制各種 X-Ray 動作的許可。例如,您可以建立政策,僅允許 PutTraceSegment 並拒絕所有其他動作。這會限制 VPC 中的工作負載和服務僅將追蹤資料傳送至 X-Ray,並拒絕任何其他動作,例如擷取資料、變更加密組態或建立/更新群組。
以下是 X-Ray 端點政策的範例。此政策可讓使用者透過 VPC 連線至 X-Ray,將區段資料傳送至 X-Ray,並防止他們執行其他 X-Ray 動作。
```
{"Statement": [
{"Sid": "Allow PutTraceSegments",
"Principal": "*",
"Action": [
"xray:PutTraceSegments"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**編輯 X-Ray 的 VPC 端點政策**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中選擇 **Endpoints (端點)**。
1. 如果您尚未建立 X-Ray 的端點,請遵循中的步驟[為 X-Ray 建立 VPC 端點](#create-VPC-endpoint-for-xray)。
1. 選取 **com.amazonaws.{{region}}.xray** 端點,然後選擇**政策**索引標籤。
1. 選擇 **Edit Policy (編輯政策)**,然後進行變更。
## 支援地區
X-Ray 目前支援下列 VPC 端點 AWS 區域:
+ 美國東部 (俄亥俄)
+ 美國東部 (維吉尼亞北部)
+ 美國西部 (加利佛尼亞北部)
+ 美國西部 (奧勒岡)
+ 非洲 (開普敦)
+ 亞太區域 (香港)
+ 亞太區域 (孟買)
+ 亞太區域 (大阪)
+ 亞太區域 (首爾)
+ 亞太區域 (新加坡)
+ 亞太區域 (雪梨)
+ 亞太區域 (東京)
+ 加拿大 (中部)
+ 歐洲 (法蘭克福)
+ 歐洲 (愛爾蘭)
+ 歐洲 (倫敦)
+ 歐洲 (米蘭)
+ 歐洲 (巴黎)
+ 歐洲 (斯德哥爾摩)
+ 中東 (巴林)
+ 南美洲 (聖保羅)
+ AWS GovCloud (美國東部)
+ AWS GovCloud (美國西部)