本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 VPC 端點
如果您在沒有網際網路存取的 VPC 中工作,您可以建立 VPC 端點以搭配 AWS Panorama 使用。VPC 端點可讓在私有子網路中執行的用戶端在沒有網際網路連線的情況下連線至 AWS 服務。
如需 AWS Panorama 設備所使用的連接埠和端點的詳細資訊,請參閱 將 AWS Panorama 設備連接到您的網路。
建立一個 VPC 端點
若要在 VPC 和 AWS Panorama 之間建立私有連線,請建立 VPC 端點。使用 AWS Panorama 不需要 VPC 端點。只有在 VPC 中沒有網際網路存取的情況下,才需要建立 VPC 端點。當 AWS CLI 或 SDK 嘗試連線到 AWS Panorama 時,流量會透過 VPC 端點路由。
使用下列設定建立 AWS Panorama 的 VPC 端點
-
服務名稱 –
com.amazonaws.us-west-2.panorama -
類型 – 介面
VPC 端點使用服務的 DNS 名稱,從 AWS SDK 用戶端取得流量,而不需要任何其他組態。如需使用 VPC 端點的詳細資訊,請參閱《Amazon VPC 使用者指南》中的介面 VPC 端點。
將設備連接到私有子網路
AWS Panorama 設備可以透過與 AWS Site-to-Site VPN 或 的私有 VPN AWS 連線連線至 AWS Direct Connect。透過這些服務,您可以建立延伸至資料中心的私有子網路。設備會連線至私有子網路,並透過 VPC 端點存取 AWS 服務。
Site-to-Site和 AWS Direct Connect 是可安全將資料中心連線至 Amazon VPC 的服務。使用 Site-to-Site VPN,您可以使用商用網路裝置進行連線。 AWS Direct Connect 會使用 AWS 裝置進行連線。
-
Site-to-Site VPN – 什麼是 AWS Site-to-Site VPN?
-
AWS Direct Connect – 什麼是 AWS Direct Connect?
將本機網路連接到 VPC 中的私有子網路之後,請為下列服務建立 VPC 端點。
-
Amazon Simple Storage Service – AWS PrivateLink 適用於 Amazon S3
-
AWS IoT Core – AWS IoT Core 搭配界面 VPC 端點 (資料平面和憑證提供者) 使用
-
Amazon Elastic Container Registry – Amazon Elastic Container Registry 介面 VPC 端點
-
Amazon CloudWatch – 搭配界面 VPC 端點使用 CloudWatch
-
Amazon CloudWatch Logs – 搭配界面 VPC 端點使用 CloudWatch Logs
設備不需要連線至 AWS Panorama 服務。它透過 中的訊息管道與 AWS Panorama 通訊 AWS IoT。
除了 VPC 端點之外,Amazon S3 和 AWS IoT 還需要使用 Amazon Route 53 私有託管區域。私有託管區域會將來自子網域的流量路由至正確的 VPC 端點,包括 Amazon S3 存取點和 MQTT 主題的子網域。如需私有託管區域的資訊,請參閱《Amazon Route 53 開發人員指南》中的使用私有託管區域。
如需使用 VPC 端點和私有託管區域的範例 VPC 組態,請參閱 範本 AWS CloudFormation 範例。
範本 AWS CloudFormation 範例
本指南的 GitHub 儲存庫提供 AWS CloudFormation 範本,可用來建立資源以搭配 AWS Panorama 使用。範本會建立具有兩個私有子網路、公有子網路和 VPC 端點的 VPC。您可以使用 VPC 中的私有子網路來託管與網際網路隔離的資源。公有子網路中的資源可以與私有資源通訊,但無法從網際網路存取私有資源。
範例 vpc-endpoint.yml
AWSTemplateFormatVersion: 2010-09-09 Resources: vpc: Type: AWS::EC2::VPC Properties: CidrBlock: 172.31.0.0/16 EnableDnsHostnames: true EnableDnsSupport: true Tags: - Key: Name Value: !Ref AWS::StackName privateSubnetA: Type: AWS::EC2::Subnet Properties: VpcId: !Ref vpc AvailabilityZone: Fn::Select: - 0 - Fn::GetAZs: "" CidrBlock: 172.31.3.0/24 MapPublicIpOnLaunch: false Tags: - Key: Name Value: !Sub ${AWS::StackName}-subnet-a ...
vpc-endpoint.yml 範本示範如何為 AWS Panorama 建立 VPC 端點。您可以使用此端點,透過 AWS SDK 或 管理 AWS Panorama 資源 AWS CLI。
範例 vpc-endpoint.yml
panoramaEndpoint: Type: AWS::EC2::VPCEndpoint Properties: ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama VpcId: !Ref vpc VpcEndpointType: Interface SecurityGroupIds: - !GetAtt vpc.DefaultSecurityGroup PrivateDnsEnabled: true SubnetIds: - !Ref privateSubnetA - !Ref privateSubnetB PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: "*" Action: - "panorama:*" Resource: - "*"
PolicyDocument 是以資源為基礎的許可政策,定義可以使用端點進行的 API 呼叫。您可以修改政策,以限制可透過端點存取的動作和資源。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取。
vpc-appliance.yml 範本說明如何為 AWS Panorama 設備所使用的服務建立 VPC 端點和私有託管區域。
範例 vpc-appliance.yml
s3Endpoint: Type: AWS::EC2::VPCEndpoint Properties: ServiceName: !Sub com.amazonaws.${AWS::Region}.s3 VpcId: !Ref vpc VpcEndpointType: Interface SecurityGroupIds: - !GetAtt vpc.DefaultSecurityGroup PrivateDnsEnabled: false SubnetIds: - !Ref privateSubnetA - !Ref privateSubnetB ... s3apHostedZone: Type: AWS::Route53::HostedZone Properties: Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com VPCs: - VPCId: !Ref vpc VPCRegion: !Ref AWS::Region s3apRecords: Type: AWS::Route53::RecordSet Properties: HostedZoneId: !Ref s3apHostedZone Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com" Type: CNAME TTL: 600 # first DNS entry, split on :, second value ResourceRecords: - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]
範例範本示範使用範例 VPC 建立 Amazon VPC 和 Route 53 資源。您可以移除 VPC 資源,並將子網路、安全群組和 VPC IDs 的參考取代為資源IDs,以針對您的使用案例進行調整。
