從 Amazon 受管 Grafana Connect 到 Amazon VPC 中的資料來源或通知渠道 - Amazon Managed Grafana
VPC 連線的運作方式建立與 VPC 的連線

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從 Amazon 受管 Grafana Connect 到 Amazon VPC 中的資料來源或通知渠道

根據預設,從 Amazon 受管 Grafana 工作區到資料來源或通知通道的流量會透過公用網際網路流動。這會限制從 Amazon 受管的 Grafana 工作區到可公開存取的服務之間的連線。

注意

如果您尚未設定私有 VPC,且 Amazon Managed Grafana 正在連線到可公開存取的資料來源,則會透過以下方式連線至相同區域中的某些 AWS 服務。 AWS PrivateLink這包括服務 CloudWatch,例如,Amazon Prometheus 和. AWS X-Ray這些服務的流量不會通過公共互聯網流動。

如果您想要連線到 VPC 內的面向私有的資料來源,或將流量保留到 VPC 的本機,您可以將 Amazon 受管的 Grafana 工作區連線到託管這些資料來源的 Amazon Virtual Private Cloud (Amazon VPC)。設定 VPC 資料來源連線後,所有流量都會透過您的 VPC 流量。

擬私有雲(VPC)是一種專用於您 AWS 帳戶的. 它在邏輯上與其他虛擬網路隔離,包括其他 VPC 和公用網際網路。使用 Amazon VPC 在中建立和管理您的 VPC。 AWS 雲端 Amazon VPC 可讓您完全控制虛擬聯網環境,包括資源配置、連線和安全性。您可以在您的虛擬私人 VPC 中建立 Amazon 受管的 Grafana 資料來源和其他資源。如需有關 Amazon VPC 的詳細資訊,請參閱什麼是 Amazon V PC? 在 Amazon Virtual Private Cloud 用戶指南中。

注意

如果您希望 Amazon 受管的 Grafana 工作區連線到 VPC 外部、其他網路或公用網際網路中的資料,則必須將路由新增至其他網路。有關如何將 VPC Connect 到其他網路的詳細資訊,請參閱 Amazon Virtual Private Cloud 使用者指南中的將 VPC 連接到其他網路

VPC 連線的運作方式

Amazon VPC 可讓您完全控制虛擬聯網環境,包括為應用程式建立面向公開和面向私有的子網路,以及安全群組管理可存取子網路的服務或資源。

若要將 Amazon 受管 Grafana 與 VPC 中的資源搭配使用,您必須為 Amazon 受管 Grafana 工作區建立與該 VPC 的連線。設定連線後,Amazon Managed Grafana 會將您的工作區連線到該 VPC 中每個可用區域中提供的每個子網路,而 Amazon 受管 Grafana 工作區往來的所有流量都會透過 VPC 流動。下圖顯示了這種連接的外觀,邏輯上。

顯示 Amazon 受管 Grafana 跨多個可用區域連線到 VPC 的影像。

Amazon 受管的 Grafana 為每個子網路 (使用 elastic network interface 或 ENI) 建立連線 (1),以連接到 VPC (2)。Amazon 受管的 Grafana 虛擬私人雲端連線與一組安全群組 (3) 相關聯,這些群組可控制 VPC 和 Amazon 受管的 Grafana 工作區之間的流量。所有流量都會透過設定的 VPC 路由傳送,包括警示目的地和資料來源連線。若要連線至其他 VPC 或公用網際網路中的資料來源和警示目的地 (4),請在其他網路和 VPC 之間建立閘道 (5)。

建立與 VPC 的連線

本節說明從您現有的 Amazon 受管 Grafana 工作區連線到 VPC 的步驟。您可以在建立工作區時遵循這些相同的指示。若要取得有關建立工作區的更多資訊,請參閱建立 Amazon Managed Grafana 工作區

必要條件

以下是從現有 Amazon 受管 Grafana 工作區建立連線至 VPC 的先決條件。

  • 您必須擁有必要的許可才能設定或建立 Amazon 受管的 Grafana 工作區。例如,您可以使用 AWS 受管理的策略,AWSGrafanaAccountAdministrator.

  • 您的帳戶中必須具有至少設定兩個可用區域的 VPC 設定,且每個區域都設定了一個私有子網路。您必須知道 VPC 的子網路和安全群組資訊。

    注意

    不支援 Local Z ones 域和 Wavelength 區

    不支援Tenancy設定為Dedicated的 VPC

  • 如果您要連接已設定資料來源的現有 Amazon 受管 Grafana 工作區,建議您先將 VPC 設定為連線到這些資料來源,然後再將 Amazon 受管 Grafana 連線到 VPC。這包括諸如 CloudWatch 通過連接的服務 AWS PrivateLink。否則,與這些資料來源的連線將會遺失。

  • 如果您的 VPC 已經有多個通往其他網路的閘道,您可能需要在多個閘道上設定 DNS 解析。如需詳細資訊,請參閱 R oute 53 解析器

從現有 Amazon 受管的 Grafana 工作區連接到 VPC

下列程序說明將 Amazon VPC 資料來源連線新增至現有 Amazon 受管的 Grafana 工作區。

注意

當您設定與 Amazon VPC 的連線時,它會建立 IAM 角色。透過這個角色,Amazon 受管的 Grafana 可以建立與 VPC 的連線。IAM 角色使用服務連結角色政策。AmazonGrafanaServiceLinkedRolePolicy若要進一步瞭解服務連結角色,請參閱Amazon 受管的 Grafana 服務連結角色許可

從現有 Amazon 受管的 Grafana 工作區連接到 VPC

  1. 打開 Amazon 託管 Grafana 控制台。

  2. 在左側導覽窗格中,選擇「所有工作區」。

  3. 選取您要新增 VPC 資料來源連線的工作區名稱。

  4. 在 [網路存取設定] 索引標籤的 [輸出 VPC 連線] 旁邊,選擇 [編輯] 以建立您的 VPC 連線。

  5. 選擇您要連接的 VPC

  6. 在 [對應] 下,選取您要使用的可用區域。您必須至少選擇兩個。

  7. 在每個可用區域中至少選取一個私有子網路。子網路必須支援 IPv4。

  8. 為您的 VPC 選取至少一個安全性群組。您最多可以指定 5 個安全群組。或者,您也可以建立要套用至此連線的安全性群組。

  9. 選擇 [儲存變更] 以完成設定。

現在您已經設定了 VPC 連線,您可以將可從該 VPC 存取的連線至資料來源存取權新增到 Amazon 受管的 Grafana 工作區。

變更輸出 VPC 設定

若要變更您的設定,您可以返回工作區設定的 [網路存取設定] 索引標籤,也可以使用 UpdateWorkspaceAPI。

重要

Amazon 託管 Grafana 會為您管理您的 VPC 組態。請勿使用 Amazon EC2 主控台或 API 編輯這些 VPC 人雲端設定,否則這些設定將不同步。