# 在 VPC 上运行金丝雀
<a name="CloudWatch_Synthetics_Canaries_VPC"></a>

您可以在 VPC 上的终端节点上，以及在内部公有终端节点上运行金丝雀。要在 VPC 上运行金丝雀，您必须在 VPC 上同时启用 **DNS 解析**和 **DNS 主机名**选项。有关更多信息，请参阅[在您的 VPC 中使用 DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html)。

当您在 VPC 终端节点上运行金丝雀时，必须提供一种将其指标发送到 CloudWatch 并将其构件发送到 Amazon S3 的方法。如果 VPC 已启用 Internet 访问，则您无需再执行任何操作。金丝雀将在您的 VPC 中执行，但可以访问 Internet 以上传其指标和构件。

如果 VPC 尚未启用互联网访问功能，您有两个选项：
+ 启用 IPv4 互联网访问，以允许金丝雀向 CloudWatch 和 Amazon S3 发送指标。有关更多信息，请参阅以下部分 [为 VPC 上的金丝雀提供互联网访问权限](#CloudWatch_Synthetics_VPC_Internet)。
+ 如果您希望将 VPC 保持私有状态，可以将金丝雀配置为通过私有 VPC 终端节点将其数据发送到 CloudWatch 和 Amazon S3。如果您尚未这样做，则必须为 CloudWatch (com.amazonaws.*region*.monitoring) 创建 VPC 端点，并为 Amazon S3 创建网关端点。有关更多信息，请参阅 [将 CloudWatch、CloudWatch Synthetics 和 CloudWatch 网络监控与接口 VPC 端点结合使用](cloudwatch-and-interface-VPC.md) 和[适用于 Amazon S3 的 Amazon VPC 终端节点](https://docs.aws.amazon.com/glue/latest/dg/vpc-endpoints-s3.html)。

## 为 VPC 上的金丝雀提供互联网访问权限
<a name="CloudWatch_Synthetics_VPC_Internet"></a>

请按照以下步骤为您的 VPC 金丝雀提供互联网访问权限，或者为您的 VPC 金丝雀分配静态 IP 地址

**为 VPC 上的金丝雀提供互联网访问（IPv4）**

1. 在 VPC 上的公有子网中创建 NAT 网关。有关说明，请参阅[创建 NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating)。

1. 在启动金丝雀的私有子网中的路由表中添加新路由。指定以下内容：
   + 对于 **Destination**（目标），输入 **0.0.0.0/0**。
   + 对于**目标**，选择 **NAT 网关**，然后选择您创建的 NAT 网关的 ID。
   + 选择 **Save routes（保存路由）**。

   有关在路由表中添加路由的更多信息，请参阅[在路由表中添加和删除路由](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)。

**为 VPC 上的金丝雀提供互联网访问（IPv6）**

1. 将 VPC 配置为具有双栈子网。您必须向 VPC 添加仅出口互联网网关，更新路由表以允许流向互联网网关的流量，并允许来自关联安全组的出站访问。有关更多信息，请参阅[为 VPC 添加 IPv6 支持](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html)。

1. 使用 `CreateCanary` 或 `UpdateCanary` API 设置金丝雀 VPC 配置中的 `Ipv6AllowedForDualstack `。有关更多信息，请参阅 [VpcConfigInput](https://docs.aws.amazon.com/AmazonSynthetics/latest/APIReference/API_VpcConfigInput.html)。

   要启用来自金丝雀的出站 IPv6 流量，必须为双堆栈启用附加到金丝雀的 VPC 子网。

**注意**  
确保通往 NAT 网关的路由处于**活动**状态。如果 NAT 网关被删除，而您尚未更新路由，则它们将处于黑洞状态。有关更多信息，请参阅[使用 NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)。