本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS X-Ray 搭配 VPC 端點
如果您使用亞馬遜虛擬私有雲(亞馬遜 VPC)託管AWS資源,您可以在 VPC 和 X-Ray 之間建立私人連接。這可讓 Amazon VPC 中的資源與 X-Ray 服務進行通訊,而無需透過公用網際網路。
亞馬遜 VPC 是一個AWS 服務您可以使用它來啟動AWS您定義的虛擬網路中的資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。要將 VPC 連接到 X 射線,請定義VPC 端點介面。端點提供可靠、可擴充的 X-Ray 連線,無需網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC。
介面 VPC 端點由AWS PrivateLink,一個AWS技術,使之間的私人通信AWS 服務通過使用具有私有 IP 地址的彈性網絡接口。如需詳細資訊,請參閱新增 —AWS PrivateLink為了AWS 服務
為了確保您可以在您選擇的 X 射線中創建 VPC 端點AWS 區域,請參閱支援的區域。
建立 X 射線的 VPC 端點
若要開始將 X-Ray 與 VPC 搭配使用,請為 X 射線建立介面 VPC 端點。
-
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
導覽至端點在導航窗格中並選擇建立端點。
-
搜尋並選取AWS X-Ray服務:
com.amazonaws.
。region
.xray -
選取所需的 VPC,然後在 VPC 中選取要使用介面端點的子網路。端點網路介面會建立在選取的子網路中。您可以指定不同可用區域中的多個子網路 (服務所支援),協助確保界面端點在可用區域失敗的狀況下保有彈性。如果這樣做,則會在您指定的每個子網路中建立一個介面網路介面。
-
(選擇性) 端點預設為啟用私人 DNS,因此您可以使用其預設 DNS 主機名稱向 X-Ray 發出要求。您可以選擇禁用它。
-
指定要與端點網路界面建立關聯的安全群組。
-
(選擇性) 指定自訂原則以控制存取 X-Ray 服務的權限。默認情況下,允許完全訪問。
控制對 X-Ray VPC 端點的存取
當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,Amazon VPC 會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代 IAM 使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。端點政策必須以 JSON 格式撰寫。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制服務的存取。
VPC 端點原則可讓您控制各種 X-Ray 動作的權限。例如,您可以建立僅允許的策略PutTraceSegment並拒絕所有其他行動。這會限制 VPC 中的工作負載和服務僅傳送追蹤資料至 X-Ray,並拒絕任何其他動作,例如擷取資料、變更加密設定或建立/更新群組。
以下是 X-Ray 的端點策略範例。此原則可讓使用者透過 VPC 連線至 X-Ray,將區段資料傳送至 X-Ray,並防止他們執行其他 X 射線動作。
{"Statement": [ {"Sid": "Allow PutTraceSegments", "Principal": "*", "Action": [ "xray:PutTraceSegments" ], "Effect": "Allow", "Resource": "*" } ] }
編輯 X 射線的 VPC 端點原則
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中選擇 Endpoints (端點)。
-
如果尚未建立 X-Ray 的端點,請依照中的步驟執行建立 X 射線的 VPC 端點。
-
選擇COM. 亞馬遜。
區域
.xray端點,然後選擇政策標籤。 -
選擇 Edit Policy (編輯政策),然後進行變更。
支援的區域
X-Ray 目前在下列情況下支援 VPC 端點AWS 區域:
美國東部 (俄亥俄)
美國東部 (維吉尼亞北部)
美國西部 (加利佛尼亞北部)
美國西部 (奧勒岡)
非洲 (開普敦)
亞太區域 (香港)
亞太區域 (孟買)
亞太區域 (大阪)
亞太區域 (首爾)
亞太區域 (新加坡)
亞太區域 (雪梨)
亞太區域 (東京)
加拿大 (中部)
歐洲 (法蘭克福)
歐洲 (愛爾蘭)
歐洲 (倫敦)
歐洲 (米蘭)
歐洲 (巴黎)
歐洲 (斯德哥爾摩)
中東 (巴林)
南美洲 (聖保羅)
AWS GovCloud(美國東部)
AWS GovCloud(美國西部)