从 Amazon Managed Grafana 连接到 Amazon VPC 中的数据来源或通知渠道 - Amazon Managed Grafana
VPC 连接的工作原理创建与 VPC 的连接

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从 Amazon Managed Grafana 连接到 Amazon VPC 中的数据来源或通知渠道

默认情况下,从 Amazon Managed Grafana 工作区到数据来源或通知渠道的流量通过公共互联网流动。这限制了从 Amazon Managed Grafana 工作区连接到可公开访问的服务。

注意

如果您尚未配置私有 VPC,而 Amazon Managed Grafana 正在连接到可公开访问的数据来源,它会通过 AWS PrivateLink 连接到同一区域的某些 AWS 服务。这包括 CloudWatch、Amazon Managed Service for Prometheus 和 AWS X-Ray 等服务。这些服务的流量不通过公共互联网流动。

如果您想连接到 VPC 中面向私人的数据来源,或将流量保持在 VPC 本地,您可以将 Amazon Managed Grafana 工作区连接到托管这些数据来源的Amazon Virtual Private Cloud(Amazon VPC)。配置 VPC 数据来源连接后,所有流量都会通过 VPC 流动。

虚拟私有云(VPC)是专用于您的 AWS 账户 的虚拟网络。VPC 在逻辑上与其他虚拟网络(包括其他 VPC 和公共互联网)隔离。使用 Amazon VPC 在 AWS Cloud 中创建和管理您的 VPC。Amazon VPC 可让您完全控制虚拟网络环境,包括资源放置、连接和安全。Amazon Managed Grafana 数据来源以及其他资源都可以在您的 VPC 中创建。有关更多信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的 Amazon VPC 是什么?

注意

如果您想让 Amazon Managed Grafana 工作区连接到 VPC 以外的其他网络或公共互联网中的数据,则必须向其他网络添加路由。有关如何将 VPC 连接到其他网络的信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的将 VPC 连接到其他网络

VPC 连接的工作原理

Amazon VPC 可让您完全控制虚拟网络环境,包括创建面向公众和面向私人的子网供您的应用程序连接,以及创建安全组来管理哪些服务或资源可以访问子网。

要将 Amazon Managed Grafana 与 VPC 中的资源一起使用,您必须为 Amazon Managed Grafana 工作区创建与该 VPC 的连接。设置连接后,Amazon Managed Grafana 会将您的工作区连接到该 VPC 中每个可用区的每个子网,所有进出 Amazon Managed Grafana 工作区的流量都会流经该 VPC。下图展示了这种连接在逻辑上的表现方式。

图像展示 Amazon Managed Grafana 跨多个可用区连接到 VPC。

Amazon Managed Grafana 为每个子网创建一个连接(1)(使用弹性网络接口或 ENI),以连接到 VPC(2)。Amazon Managed Grafana VPC 连接与一组安全组(3)关联,这些安全组控制 VPC 与 Amazon Managed Grafana 工作区之间的流量。所有流量都通过配置的 VPC 路由,包括警报目的地和数据来源的连接。要连接到其他 VPC 或公共互联网(4)中的数据来源和警报目的地,请在其他网络和您的 VPC 之间创建网关5)。

创建与 VPC 的连接

本节介绍从现有的 Amazon Managed Grafana 工作区连接到 VPC 的步骤。您可以在创建工作区时遵循相同的说明。有关创建工作区的更多信息,请参阅 创建 Amazon Managed Grafana 工作区

先决条件

从现有 Amazon Managed Grafana 工作区建立与 VPC 的连接的先决条件如下。

  • 您必须拥有配置或创建 Amazon Managed Grafana 工作区所需的权限。例如,您可以使用 AWS 托管策略 AWSGrafanaAccountAdministrator

  • 您必须在账户中设置 VPC,并至少配置两个可用区,每个可用区配置一个私有子网。您必须知道 VPC 的子网和安全组信息。

    注意

    不支持 Local ZoneWavelength Zone

    不支持在配置中将 Tenancy 设置为 Dedicated 的 VPC。

  • 如果要连接已配置数据来源的现有 Amazon Managed Grafana 工作区,建议先将 VPC 配置为连接到这些数据来源,然后再将 Amazon Managed Grafana 连接到 VPC。这包括通过 AWS PrivateLink 连接的 CloudWatch 等服务。否则,将失去与这些数据来源的连接。

  • 如果您的 VPC 已经有多个网关连接到其他网络,您可能需要在多个网关之间设置 DNS 解析。有关详细信息,请参阅 Route 53 Resolver

从现有的 Amazon Managed Grafana 工作区连接到 VPC

以下过程介绍了如何将 Amazon VPC 数据来源连接添加至现有的 Amazon Managed Grafana 工作区。

注意

配置与 Amazon VPC 的连接时,会创建一个 IAM 角色。使用此角色,Amazon Managed Grafana 可以创建与 VPC 的连接。IAM 角色使用与服务关联的角色策略 AmazonGrafanaServiceLinkedRolePolicy。要详细了解与服务关联的角色,请参阅 Amazon Managed Grafana 的服务相关角色权限

要从现有的 Amazon Managed Grafana 工作区连接到 VPC

  1. 打开 Amazon Managed Grafana 控制台

  2. 在左侧导航窗格中,选择所有工作区

  3. 选择要为其添加 VPC 数据来源连接的工作区名称。

  4. 网络访问设置选项卡的出站 VPC 连接旁边,选择编辑,以创建您的 VPC 连接。

  5. 选择要连接的 VPC

  6. 映射下,选择要使用的可用区。必须至少选择两个。

  7. 在每个可用区中至少选择一个私有子网。子网必须支持 IPv4。

  8. 为 VPC 选择至少一个安全组。您最多可指定 5 个安全组。或者,您也可以创建一个适用于此连接的安全组。

  9. 选择保存更改,以完成设置。

现在,您已经设置好了 VPC 连接,可以向 Amazon Managed Grafana 工作区添加可从该 VPC 访问的 连接到数据来源

更改出站 VPC 设置

要更改设置,您可以返回工作区配置的网络访问设置选项卡,也可以使用 UpdateWorkspace API。

重要

Amazon Managed Grafana 会为您管理 VPC 配置。请勿使用 Amazon EC2 控制台或 API 编辑这些 VPC 设置,否则这些设置将不会同步。