本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 Amazon Managed Grafana 使用 VPC 進行故障診斷
有關搭配 Amazon Managed Grafana 使用 Amazon Virtual Private Cloud (Amazon VPC) 的常見問題解答。
何時需要在 Amazon Managed Grafana 中設定 VPC?
如果您嘗試連線到只在私有 VPC 中可用的資料來源 (不可公開存取),則需要在 Amazon Managed Grafana 中設定 VPC。
對於可公開取得或具有公開端點的資料來源,您不需要設定 VPC。
如果您連線到 Amazon CloudWatch、Amazon Managed Service for Prometheus AWS X-Ray,或者,您不需要設定 VPC。根據預設,這些資料來源會透過 連線到 Amazon Managed Grafana AWS PrivateLink 。
當我使用 Amazon Managed Grafana 工作區設定 VPC 後,為什麼現有的資料來源無法連線?
您現有的資料來源可能可透過公有網路存取,而您的 Amazon VPC 組態不允許存取公有網路。在 Amazon Managed Grafana 工作區中設定 VPC 連線後,所有流量都必須流經該 VPC。這包括在該 VPC 中託管的私有資料來源、另一個 VPC 中的資料來源、VPC 中不可用的 AWS 受管服務,以及面向網際網路的資料來源。
若要解決此問題,您必須將其他資料來源連接到您已設定的 VPC:
-
對於面向網際網路的資料來源,請將 VPC 連接到網際網路。例如,您可以使用 NAT 裝置 (從 Amazon Virtual Private Cloud 使用者指南) 連線到網際網路或其他網路。 Amazon Virtual Private Cloud
-
對於其他 VPCs中的資料來源,請在兩個 VPCs之間建立對等互連。如需詳細資訊,請參閱使用 VPCs 對等互連連接 VPC (請參閱 Amazon Virtual Private Cloud 使用者指南)。
-
對於 VPC 中無法存取的 AWS 受管服務,例如 CloudWatch、X-Ray 或 Amazon Managed Service for Prometheus,您可能需要在 VPC 中為該服務建立介面 VPC 端點。如需詳細資訊,請參閱《 AWS PrivateLink 指南》中的使用介面 VPC 端點存取 AWS 服務。
我可以使用具有專用租用的 VPC 嗎?
否,Dedicated不支援Tenancy將 設定為 VPCs。
我可以同時將 AWS Managed Services (例如 Amazon Managed Service for Prometheus、CloudWatch 或 X-Ray) 和私有資料來源 (包括 Amazon Redshift) 連線到相同的 Amazon Managed Grafana 工作區嗎?
是。您必須在與私有資料來源相同的 VPC 中設定受 AWS 管服務的連線 (例如,使用介面 VPC 端點或 NAT Gateway),並設定 Amazon Managed Grafana 工作區以連線至相同的 VPC。
為什麼在 Amazon Managed Grafana 工作區中設定 VPC 後,當我嘗試連線到資料來源502 Bad Gateway Error時,會取得 ?
以下是資料來源連線傳回502錯誤的三個最常見原因。
-
安全群組錯誤 — 在 Amazon Managed Grafana 中 VPC 組態期間選取的安全群組必須允許透過傳入和傳出規則連線至資料來源。
若要解決此問題,請確定資料來源安全群組和 Amazon Managed Grafana 安全群組中的規則都允許此連線。
-
使用者許可錯誤 — 指派的工作區使用者沒有查詢資料來源的正確許可。
若要解決此問題,請確認使用者具有編輯工作區所需的 IAM 許可,以及從託管服務存取和查詢資料的正確資料來源政策。許可可在 AWS Identity and Access Management (IAM) 主控台中取得,網址為 https://https://console.aws.amazon.com/iam/
。 -
提供的連線詳細資訊不正確 — 由於提供的連線詳細資訊不正確,Amazon Managed Grafana 工作區無法連線至您的資料來源。
若要解決此問題,請確認資料來源連線中的資訊,包括資料來源身分驗證和端點 URL,然後重試連線。
我可以從相同的 Amazon Managed Grafana 工作區連線到多個 VPCs 嗎?
您只能為 Amazon Managed Grafana 工作區設定單一 VPC。若要存取不同 VPC 或跨區域的資料來源,請參閱下一個問題。
如何連線到不同 VPC 中的資料來源? 如何從位於不同 AWS 區域 或 的 VPC 連線到資料來源 AWS 帳戶?
您可以使用 VPC 對等互連或 AWS Transit Gateway 來連接跨區域或跨帳戶 VPCs,然後連接與 Amazon Managed Grafana 工作區位於相同 AWS 帳戶 和 區域的 VPC。Amazon Managed Grafana 會像 VPC 內的任何其他連線一樣連線到外部資料來源。
注意
如果 VPC 對等互連不是您的選項,請與您的 Account Manager 共用您的使用案例,或傳送電子郵件至 aws-grafana-feedback@amazon.com
當 Amazon Managed Grafana 工作區連線到 VPC 時,我是否仍然可以連線到其他公有資料來源?
是。您可以將 VPC 和公有資料來源的資料來源同時連接到單一 Amazon Managed Grafana 工作區。對於公有資料來源,您必須透過 NAT Gateway 或其他 VPC 連線來設定 VPC 連線。對公有資料來源的請求會周遊您的 VPC,為您提供對這些請求的額外可見性和控制。
如果我因為 IP 地址不足而無法更新 Amazon Managed Grafana 工作區,該怎麼辦?
修改 Amazon Managed Grafana 工作區組態時,您可能會遇到以下錯誤:VPC 組態中的所有子網路必須至少有 15 個可用的 IP 地址。
如果連接至工作區的一或多個子網路不符合最低 IP 要求,您將會收到此錯誤。連接到工作區的每個子網路中必須至少有 15 個可用的 IP 地址。當子網路的可用 IP 地址數量低於 15 時,您可能會遇到下列問題:
-
在您釋放其他 IP 地址或連接具有其他 IP 地址的子網路之前,無法對工作區進行組態變更
-
您的工作區將無法接收安全性更新或修補程式
-
在極少數情況下,您可能會遇到工作區的完整可用性損失,導致無法運作的警示和無法存取的儀表板
減少 IP 耗盡
-
如果子網路的可用 IP 地址少於 15 個,請釋出與執行個體相關聯的 IP 地址,或刪除未使用的網路介面以釋放 IP 容量。
-
如果您無法釋放現有子網路中的 IP 地址,則必須將子網路取代為至少具有 15 個可用 IP 地址的子網路。我們建議對 Amazon Managed Grafana 使用專用子網路。
取代子網路
-
在左側導覽窗格中,選擇所有工作區,然後選取工作區的名稱。
-
在網路存取控制索引標籤的傳出 VPC 連線旁,選擇編輯。
-
在映射下,選取包含 IP 地址不足子網路的可用區域。
-
在下拉式清單中,取消選取 IP 地址不足的子網路,然後選取至少具有 15 個可用 IP 地址的子網路。如有必要,請在 VPC 中建立新的子網路。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立子網路。
-
選擇儲存變更以完成設定。
在設定 VPC 連線之前,我的 Grafana 警示已成功傳送至下游服務,例如 PagerDuty 和 Slack。設定 VPC 後,為什麼我的 Grafana 提醒未傳送至這些通知目的地?
為 Amazon Managed Grafana 工作區設定 VPC 連線後,工作區中資料來源的所有流量都會流經設定的 VPC。請確定 VPC 有到達這些提醒通知服務的路由。例如,第三方託管的提醒通知目的地可能需要連線至網際網路。與資料來源非常相似,請設定網際網路或 AWS Transit Gateway,或其他與外部目的地的 VPC 連線。
我可以手動編輯我的 VPC 嗎? 為什麼修改我的安全群組或子網路會導致我的 Amazon Managed Grafana 工作區無法使用?
Amazon Managed Grafana VPC 連線使用安全群組和子網路來控制 VPC 和 Amazon Managed Grafana 工作區之間允許的流量。從 Amazon Managed Grafana 主控台 (例如使用 VPC 主控台) 外修改或刪除安全群組或子網路時,Amazon Managed Grafana 工作區中的 VPC 連線會停止保護您的工作區安全,而且無法連線工作區。若要修正此問題,請在 Amazon Managed Grafana 主控台中更新為 Amazon Managed Grafana 工作區設定的安全群組。檢視工作區時,請在網路存取控制索引標籤上選取傳出 VPC 連線,以修改與 VPC 連線相關聯的子網路或安全群組。
