使用 AWS X-Ray 搭配 VPC 端點 - AWS X-Ray
建立 X 射線的 VPC 端點控制對 X-Ray VPC 端點的存取支援的區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS X-Ray 搭配 VPC 端點

如果您使用亞馬遜虛擬私有雲(亞馬遜 VPC)託管AWS資源,您可以在 VPC 和 X-Ray 之間建立私人連接。這可讓 Amazon VPC 中的資源與 X-Ray 服務進行通訊,而無需透過公用網際網路。

亞馬遜 VPC 是一個AWS 服務您可以使用它來啟動AWS您定義的虛擬網路中的資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。要將 VPC 連接到 X 射線,請定義VPC 端點介面。端點提供可靠、可擴充的 X-Ray 連線,無需網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC

介面 VPC 端點由AWS PrivateLink,一個AWS技術,使之間的私人通信AWS 服務通過使用具有私有 IP 地址的彈性網絡接口。如需詳細資訊,請參閱新增 —AWS PrivateLink為了AWS 服務博客文章和開始使用亞馬遜 VPC 用戶指南

為了確保您可以在您選擇的 X 射線中創建 VPC 端點AWS 區域,請參閱支援的區域

建立 X 射線的 VPC 端點

若要開始將 X-Ray 與 VPC 搭配使用,請為 X 射線建立介面 VPC 端點。

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 導覽至端點在導航窗格中並選擇建立端點

  3. 搜尋並選取AWS X-Ray服務:com.amazonaws.region.xray

    選擇服務。

  4. 選取所需的 VPC,然後在 VPC 中選取要使用介面端點的子網路。端點網路介面會建立在選取的子網路中。您可以指定不同可用區域中的多個子網路 (服務所支援),協助確保界面端點在可用區域失敗的狀況下保有彈性。如果這樣做,則會在您指定的每個子網路中建立一個介面網路介面。

    選取虛擬私人雲端和子網路。

  5. (選擇性) 端點預設為啟用私人 DNS,因此您可以使用其預設 DNS 主機名稱向 X-Ray 發出要求。您可以選擇禁用它。

  6. 指定要與端點網路界面建立關聯的安全群組。

    選取安全性群組。

  7. (選擇性) 指定自訂原則以控制存取 X-Ray 服務的權限。默認情況下,允許完全訪問。

控制對 X-Ray VPC 端點的存取

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,Amazon VPC 會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代 IAM 使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。端點政策必須以 JSON 格式撰寫。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制服務的存取

VPC 端點原則可讓您控制各種 X-Ray 動作的權限。例如,您可以建立僅允許的策略PutTraceSegment並拒絕所有其他行動。這會限制 VPC 中的工作負載和服務僅傳送追蹤資料至 X-Ray,並拒絕任何其他動作,例如擷取資料、變更加密設定或建立/更新群組。

以下是 X-Ray 的端點策略範例。此原則可讓使用者透過 VPC 連線至 X-Ray,將區段資料傳送至 X-Ray,並防止他們執行其他 X 射線動作。

 {"Statement": [
     {"Sid": "Allow PutTraceSegments",
       "Principal": "*",
       "Action": [
         "xray:PutTraceSegments"
       ],
       "Effect": "Allow",
       "Resource": "*"
     }
   ]
 }
編輯 X 射線的 VPC 端點原則

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 如果尚未建立 X-Ray 的端點,請依照中的步驟執行建立 X 射線的 VPC 端點

  4. 選擇COM. 亞馬遜。區域.xray端點,然後選擇政策標籤。

  5. 選擇 Edit Policy (編輯政策),然後進行變更。

支援的區域

X-Ray 目前在下列情況下支援 VPC 端點AWS 區域:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 非洲 (開普敦)

  • 亞太區域 (香港)

  • 亞太區域 (孟買)

  • 亞太區域 (大阪)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • 歐洲 (米蘭)

  • 歐洲 (巴黎)

  • 歐洲 (斯德哥爾摩)

  • 中東 (巴林)

  • 南美洲 (聖保羅)

  • AWS GovCloud(美國東部)

  • AWS GovCloud(美國西部)