从亚马逊托管 Grafana 连接到亚马逊 VPC 中的数据源或通知渠道 - Amazon Managed Grafana
VPC 连接的工作原理创建与 VPC 的连接

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从亚马逊托管 Grafana 连接到亚马逊 VPC 中的数据源或通知渠道

默认情况下,从您的 Amazon Managed Grafana 工作空间到数据源或通知渠道的流量通过公共互联网流动。这限制了从您的亚马逊托管 Grafana 工作空间与可公开访问的服务的连接。

注意

如果您尚未配置私有 VPC,而 Amazon Managed Grafana 正在连接到可公开访问的数据源,则它会通过连接到同一 AWS 区域中的某些服务。 AWS PrivateLink这包括诸如 CloudWatch适用于 Prometheus 的亚马逊托管服务等服务,以及。 AWS X-Ray这些服务的流量不会通过公共互联网流动。

如果您想连接到 VPC 内的面向私有的数据源,或者将流量保持在 VPC 本地,则可以将您的亚马逊托管 Grafana 工作空间连接到托管这些数据源的亚马逊虚拟私有云 (Amazon VPC)。配置 VPC 数据源连接后,所有流量都会通过您的 VPC 流动。

虚拟私有云 (VPC) 是专用于您的虚拟网络 AWS 账户。它在逻辑上与其他虚拟网络(包括其他 VPC 和公共互联网)隔离。使用 Amazon VPC 在中创建和管理您的 VPC。 AWS Cloud Amazon VPC 让您可以完全控制自己的虚拟网络环境,包括资源放置、连接和安全。可以在您的 VPC 中创建亚马逊托管 Grafana 数据源和其他资源。有关亚马逊 VPC 的更多信息,请参阅什么是亚马逊 VPC? 在《亚马逊虚拟私有云 Virtual Private Cloud 用户指南》中。

注意

如果您想让 Amazon Managed Grafana 工作空间连接到 VPC 以外、其他网络或公共互联网中的数据,则必须向其他网络添加路由。有关如何将您的 VPC 连接到其他网络的信息,请参阅 Amazon Virtual Private Cloud 用户指南中的将您的 VPC 连接到其他网络

VPC 连接的工作原理

Amazon VPC 可让您完全控制自己的虚拟网络环境,包括创建面向公众和面向私有的子网供您的应用程序连接,以及创建安全组来管理哪些服务或资源可以访问子网。

要将 Amazon Managed Grafana 与 VPC 中的资源配合使用,您必须为亚马逊托管 Grafana 工作空间创建与该 VPC 的连接。设置连接后,Amazon Managed Grafana 会将您的工作空间连接到该 VPC 中每个可用区中提供的每个子网,所有进出亚马逊托管 Grafana 工作空间的流量都会流经该 VPC。下图显示了这种连接的逻辑外观。

显示亚马逊托管 Grafana 跨多个可用区连接到 VPC 的图片。

Amazon Managed Grafana 为每个子网使用弹性网络接口或 ENI)创建一个连接 (1),用于连接 VPC (2)。亚马逊托管 Grafana VPC 连接与一组安全组 (3) 关联,这些安全组控制 VPC 和您的亚马逊托管 Grafana 工作空间之间的流量。所有流量都通过配置的 VPC 进行路由,包括警报目的地和数据源连接。要连接到其他 VPC 或公共互联网 (4) 中的数据源和警报目的地,请在另一个网络和您的 VPC 之间创建网 (5)。

创建与 VPC 的连接

本节介绍从您现有的亚马逊托管 Grafana 工作空间连接到 VPC 的步骤。创建工作区时,您可以按照同样的说明进行操作。有关创建工作区的更多信息,请参阅创建亚马逊托管 Grafana 工作空间

先决条件

以下是从现有亚马逊托管 Grafana 工作空间与 VPC 建立连接的先决条件。

  • 您必须拥有必要的权限才能配置或创建亚马逊托管 Grafana 工作空间。例如,您可以使用 AWS 托管策略AWSGrafanaAccountAdministrator

  • 您的账户中必须设置一个 VPC,其中至少配置了两个可用区,并为每个可用区配置一个私有子网。您必须知道您的 VPC 的子网和安全组信息。

    注意

    不支持 L@@ ocal Zones 和 Wavelength Z ones。

    不支持Tenancy将设置@@ 为配置Dedicated的 VPC

  • 如果您要连接已配置数据源的现有亚马逊托管 Grafana 工作空间,建议您在将 Amazon Managed Grafana 连接到 VPC 之前,将 VPC 配置为连接到这些数据源。这包括通过连接 CloudWatch 的服务 AWS PrivateLink。否则,与这些数据源的连接将丢失。

  • 如果您的 VPC 已经有多个通往其他网络的网关,则可能需要跨多个网关设置 DNS 解析。有关更多信息,请参阅 Route 53 解析器

从现有的亚马逊托管 Grafana 工作空间连接到 VPC

以下过程介绍向现有亚马逊托管 Grafana 工作空间添加亚马逊 VPC 数据源连接。

注意

当您配置与 Amazon VPC 的连接时,它会创建一个 IAM 角色。使用此角色,Amazon Managed Grafana 可以创建与 VPC 的连接。IAM 角色使用服务相关角色策略。AmazonGrafanaServiceLinkedRolePolicy要了解有关服务相关角色的更多信息,请参阅亚马逊托管 Grafana 的服务相关角色权限

从现有亚马逊托管 Grafana 工作空间连接到 VPC

  1. 打开亚马逊托管 Grafana 控制台。

  2. 在左侧导航窗格中,选择 “所有工作空间”。

  3. 选择要添加 VPC 数据源连接的工作空间名称。

  4. 网络访问设置选项卡的出站 VPC 连接旁边,选择编辑以创建您的 VPC 连接。

  5. 选择要连接的 VPC

  6. 在 “映射” 下,选择要使用的可用区。您必须至少选择两个。

  7. 在每个可用区中至少选择一个私有子网。子网必须支持 IPv4。

  8. 为您的 VPC 至少选择一个安全组。您最多可以指定 5 个安全组。或者,您可以创建一个安全组以应用于此连接。

  9. 选择 “保存更改” 以完成设置。

现在,您已经设置好了 VPC 连接,可以将来自该 VPC 的连接到数据来源访问权限添加到您的亚马逊托管 Grafana 工作空间中。

更改出站 VPC 设置

要更改设置,您可以返回工作区配置的网络访问设置选项卡,也可以使用 UpdateWorkspaceAPI。

重要

Amazon Managed Grafana 为您管理您的 VPC 配置。请勿使用 Amazon EC2 控制台或 API 编辑这些 VPC 设置,否则这些设置将不同步。