選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

開始使用 AWS PrivateLink

PDF
RSS
焦點模式
開始使用 AWS PrivateLink - Amazon Virtual Private Cloud
步驟 1:建立包含子網路的 VPC步驟 2:啟動執行個體步驟 3:測試 CloudWatch 存取權步驟 4:建立 VPC 端點以存取 CloudWatch步驟 5:測試 VPC 端點步驟 6:清除

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本教學課程示範如何使用 從私有子網路中的 EC2 執行個體傳送請求至 Amazon CloudWatch AWS PrivateLink。

下圖提供此情況如何運作的概觀。若要從電腦連線到私有子網路中的執行個體,您必須先連線到公有子網路中的堡壘主機。堡壘主機和執行個體都必須使用相同的金鑰對。由於私密金鑰的 .pem 檔案位於您的電腦,而不是堡壘主機上,因此您將使用 SSH 金鑰轉送。然後,您可以從堡壘主機連線至執行個體,而無需在 ssh 命令中指定 .pem 檔案。在您為 CloudWatch 設定 VPC 端點之後,來自目的地為 CloudWatch 之執行個體的流量會解析至端點網路界面,然後使用 VPC 端點傳送至 CloudWatch。

私有子網路中的執行個體會使用 VPC 端點存取 CloudWatch。

針對測試目的,您可以使用單一可用區域。在生產環境中,建議您使用至少兩個可用區域以獲得低延遲和高可用性。

步驟 1:建立包含子網路的 VPC

按照以下程序建立包含公有子網路和私有子網路的 VPC。

若要建立 VPC

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 選擇建立 VPC

  3. 針對 Resources to create (建立資源),選擇 VPC and more (VPC 等)。

  4. 針對自動產生名稱標籤,輸入 VPC 的名稱。

  5. 若要設定子網路,請執行下列動作:

    1. 對於 Number of Availability Zones (可用區域數量),請根據您的需求選擇 12

    2. 針對 Number of public subnets (公用子網路數量),請確定每個可用區域有一個公用子網路。

    3. 針對 Number of private subnets (私有子網路數量),請確定每個可用區域有一個私有子網路。

  6. 選擇建立 VPC

步驟 2:啟動執行個體

使用您在上一個步驟中建立的 VPC,在公有子網路中啟動堡壘主機,並在私有子網路中啟動執行個體。

先決條件

  • 使用 .pem 格式建立金鑰對。啟動堡壘主機和執行個體時,您必須選擇此金鑰對。

  • 為堡壘主機建立安全群組,以允許來自您電腦 CIDR 區塊的傳入 SSH 流量。

  • 為執行個體建立安全群組,以允許來自您堡壘主機安全群組的傳入 SSH 流量。

  • 建立 IAM 執行個體設定檔,並附加 CloudWatchReadOnlyAccess 政策。

啟動堡壘主機

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 選擇啟動執行個體

  3. 針對 Name (名稱),輸入堡壘主機的名稱。

  4. 保留預設映像和執行個體類型。

  5. 針對 Key pair (金鑰對),選擇您的金鑰對。

  6. 針對 Network settings (網路設定),執行下列操作:

    1. VPC 中,選擇您的 VPC。

    2. 針對 Subnet (子網路),選擇公有子網路。

    3. Auto-assign public IP (自動指派公有 IP) 中,選擇 Enable (啟用)。

    4. 對於 Firewall (防火牆),請選擇 Select existing security group (選取現有的安全群組),然後選擇堡壘主機的安全群組。

  7. 選擇啟動執行個體

啟動執行個體

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 選擇啟動執行個體

  3. 對於 Name (名稱),請輸入執行個體名稱。

  4. 保留預設映像和執行個體類型。

  5. 針對 Key pair (金鑰對),選擇您的金鑰對。

  6. 針對 Network settings (網路設定),執行下列操作:

    1. VPC 中,選擇您的 VPC。

    2. 針對 Subnet (子網路),選擇私有子網路。

    3. 針對 Auto-assign public IP (自動指派公有 IP) 中,選擇 Disable (停用)。

    4. 對於 Firewall (防火牆),請選擇 Select existing security group (選取現有的安全群組),然後選擇執行個體的安全群組。

  7. 展開 Advanced Details (進階詳細資訊)。在 IAM instance profile (IAM 執行個體設定檔) 中,選擇您的 IAM 執行個體設定檔。

  8. 選擇啟動執行個體

步驟 3:測試 CloudWatch 存取權

請用下列程序確認執行個體無法存取 CloudWatch。您將使用 CloudWatch 的唯讀 AWS CLI 命令來執行此操作。

若要測試 CloudWatch 存取權

  1. 從您的電腦中,使用下列命令將金鑰對新增至 SSH 代理程式,其中 key.pem 是 .pem 檔案的名稱。

    ssh-add ./key.pem

    如果您收到金鑰對權限過於開放的錯誤訊息,請執行下列命令,然後重試上一個命令。

    chmod 400 ./key.pem

  2. 從您的電腦連接至堡壘主機。您必須指定 -A 選項、執行個體使用者名稱 (例如 ec2-user) 和堡壘主機的公用 IP 地址。

    ssh -A ec2-user@bastion-public-ip-address

  3. 從堡壘主機連接至執行個體。您必須指定執行個體使用者名稱 (例如 ec2-user) 和執行個體的私有 IP 地址。

    ssh ec2-user@instance-private-ip-address

  4. 在執行個體上執行 CloudWatch list-metrics 命令,如下所示。針對 --region 選項,請指定您建立 VPC 的「區域」。

    aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1

  5. 命令會在幾分鐘後逾時。這表明您無法使用目前的 VPC 組態,從執行個體存取 CloudWatch。

    Connect timeout on endpoint URL: https://monitoring.us-east-1.amazonaws.com/

  6. 與您的執行個體保持連線。建立 VPC 端點後,您將再次嘗試此 list-metrics 命令。

步驟 4:建立 VPC 端點以存取 CloudWatch

按照下列程序建立連接至 Cloudwatch 的 VPC 端點。

先決條件

為 VPC 端點建立允許 CloudWatch 流量的安全群組。例如,新增規則,允許來自 VPC CIDR 區塊的 HTTPS 流量。

建立 CloudWatch 的 VPC 端點。

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 選擇建立端點

  4. Name tag (名稱標籤) 中,輸入端點的名稱。

  5. 對於 Service category (服務類別),選擇 AWS 服務

  6. 針對 Service (服務),請選取 com.amazonaws.region.monitoring

  7. 針對 VPC,選取您的 VPC。

  8. 針對 Subnets (子網路),請選取可用區域,然後選取私有子網路。

  9. 針對 Security group (安全群組),請選取 VPC 端點的安全群組。

  10. 對於 Policy (政策),選取 Full access (完整存取),以允許 VPC 端點上所有資源的所有主體進行所有操作。

  11. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  12. 選擇建立端點。初始狀態為 Pending (等待中)。在進行下一個步驟之前,請先等待狀態變為 Available (可用)。這可能需要幾分鐘的時間。

步驟 5:測試 VPC 端點

確認 VPC 端點正在將請求從您的執行個體傳送到 CloudWatch。

若要測試 VPC 端點

在執行個體上執行以下 命令。針對 --region 選項,請指定您建立 VPC 端點的區域。

aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1

如果您收到回應,甚至是結果空白的回應,則會使用 連線至 CloudWatch AWS PrivateLink。

如果收到 UnauthorizedOperation 錯誤,請確認執行個體具有允許存取 CloudWatch 的 IAM 角色。

如果請求逾時,請確認下列事項:

  • 端點的安全群組允許 CloudWatch 流量。

  • --region 選項可指定您在其中建立 VPC 端點的區域。

步驟 6:清除

如果您不再需要針對此教學課程建立的堡壘主機和執行個體,則可以將其終止。

終止執行個體

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Instances (執行個體)。

  3. 選取兩個測試執行個體,然後選取 Instance state (執行個體狀態)、Terminate instance (終止執行個體)。

  4. 出現確認提示時,請選擇終止

如果您不再需要該 VPC 端點,可以將其刪除。

刪除 VPC 端點。

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 選取 VPC 端點。

  4. 選擇 Actions (動作)、Delete VPC endpoints (刪除 VPC 端點)。

  5. 出現確認提示時,請輸入 delete,然後選擇 Delete (刪除)。

在本頁面

下一個主題:

存取 AWS 服務

上一個主題:

概念

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。