本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 排查将 VPC 与 Amazon Managed Grafana 配合使用时的问题
<a name="AMG-configure-vpc-faq"></a>

将 Amazon Virtual Private Cloud（Amazon VPC）与 Amazon Managed Grafana 配合使用时的常见问题解答。

## 何时需要在 Amazon Managed Grafana 中配置 VPC？
<a name="vpc-faq-when-to-configure-vpc"></a>

如果您尝试连接到仅在私有 VPC（不对公众开放）中可用的数据来源，则需要在 Amazon Managed Grafana 中配置 VPC。

对于公开可用的数据来源，或具有面向公众端点的数据来源，您不需要配置 VPC。

如果您连接到亚马逊 CloudWatch、适用于 Prometheus 的亚马逊托管服务， AWS X-Ray或者，则无需配置 VPC。这些数据来源默认通过 AWS PrivateLink 连接到 Amazon Managed Grafana。

## 将 VPC 与我的 Amazon Managed Grafana 工作区配置在一起之后，为什么我现有的数据来源无法连接？
<a name="vpc-faq-existing-sources-failing"></a>

您现有的数据来源应该可以通过公共网络访问，而您的 Amazon VPC 配置不允许访问公共网络。在 Amazon Managed Grafana 工作区中配置 VPC 连接后，所有流量都必须流经该 VPC。这包括托管在该 VPC 中的私有数据来源、其他 VPC 中的数据来源、VPC 中不可用的 AWS 托管服务，以及面向互联网的数据来源。

要解决此问题，必须将其他数据来源连接到已配置的 VPC：
+ 对于面向互联网的数据来源，请将 VPC 连接到互联网。例如，您可以[使用 NAT 设备连接到互联网或其他网络](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)（详见《Amazon Virtual Private Cloud 用户指南》**）。
+ 对于其他 VPC 中的数据来源，请在两个 VPC 之间创建对等连接。有关更多信息，请参阅《Amazon Virtual Private Cloud 用户指南》**中的[使用 VPC 对等连接来连接 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)。
+ 对于在您的 VPC 中无法访问的 AWS 托管服务，例如 CloudWatch X-Ray、或适用于 Prometheus 的亚马逊托管服务，您可能需要在 VPC 中为该服务创建接口 VPC 终端节点。有关更多信息，请参阅*AWS PrivateLink 指南*中的[使用接口 VPC 终端节点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。

## 我能否使用具有专用租赁的 VPC？
<a name="vpc-faq-dedicated-tenancy"></a>

不，不支持通过将 `Tenancy` 设置为 `Dedicated` [配置的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。

## 我能否将 AWS 托管服务（例如适用于 Prometheus 的亚马逊托管服务， X-Ray或）和私有数据源（包括 Amazon Redsh CloudWatch ift）连接到同一个亚马逊托管 Grafana 工作空间？
<a name="vpc-faq-connect-services-and-private-sources"></a>

可以。您必须配置与私有数据源位于同一 VPC 中的 Managed Services 的连接（例如，使用[接口 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)或 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)），并将您的 Amazon Managed Grafana 工作空间配置为连接到同一 VPC。 AWS 

## 在 Amazon Managed Grafana 工作区中配置 VPC 后，当我尝试连接到数据来源时，为什么会出现 `502 Bad Gateway Error`？
<a name="vpc-faq-502-error"></a>

以下是数据来源连接返回 `502` 错误的三个最常见原因。
+ **安全组错误**：在 Amazon Managed Grafana 中配置 VPC 时选择的安全组必须通过入站和出站规则允许与数据来源的连接。

  要解决此问题，请确保数据来源安全组和 Amazon Managed Grafana 安全组中的规则都允许此连接。
+ **用户权限错误**：分配的工作区用户没有查询数据来源的正确权限。

  要解决此问题，请确认用户是否拥有编辑工作区所需的 IAM 权限，以及从托管服务访问和查询数据的正确数据来源策略。权限可在 AWS Identity and Access Management (IAM) 控制台中获得，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
+ **提供的连接详细信息不正确**：由于提供的连接详细信息不正确，Amazon Managed Grafana 工作区无法连接到您的数据来源。

  要解决此问题，请确认数据来源连接中的信息（包括数据来源身份验证和端点 URL），然后重试连接。

## 我能否从同一个 Amazon Managed Grafana 工作区连接到多个 VPC？
<a name="vpc-faq-multiple-vpcs"></a>

您只能为一个 Amazon Managed Grafana 工作区配置一个 VPC。要访问不同 VPC 中的数据来源，或跨区域访问数据来源，请参阅下一个问题。

## 如何连接不同 VPC 中的数据来源？ 如何从位于不同 AWS 区域 或的 VPC 连接到数据源 AWS 账户？
<a name="vpc-faq-connect-to-different-vpc"></a>

您可以使用 [VPC 对](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)等互连或[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)连接跨区域或跨账户 VPC，然后连接与您的 Amazon Managed Grafana 工作空间位于相同 AWS 账户 和区域的 VPC。Amazon Managed Grafana 会像 VPC 内的任何其他连接一样，连接到外部数据来源。

**注意**  
如果 VPC 对等连接不适合您，请与客户经理分享您的应用场景，或发送电子邮件至 [aws-grafana-feedback@amazon.com](mailto:aws-grafana-feedback@amazon.com)。

## 当我的 Amazon Managed Grafana 工作区连接到 VPC 时，我是否仍能连接到其他公共数据来源？
<a name="vpc-faq-connect-to-public-sources"></a>

可以。您可以同时将 VPC 的数据来源和公共数据来源连接到单个 Amazon Managed Grafana 工作区。对于公共数据来源，您必须通过 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)或其他 [VPC 连接](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)配置 VPC 连接。对公共数据来源的请求会穿过您的 VPC，为您提供对这些请求的额外可见性和控制力。

## 如果我因为 IP 地址不足而无法更新 Amazon Managed Grafana 工作区，该怎么办？
<a name="vpc-faq-ip-exhaustion"></a>

 在修改 Amazon Managed Grafana 工作区配置时，您可能会遇到以下错误：VPC 配置中的所有子网都必须至少有 15 个可用 IP 地址。

 如果连接到您的工作区的一个或多个子网不符合最低 IP 要求，则会收到此错误。与您的工作区相连的每个子网中必须至少有 15 个可用 IP 地址。当子网的可用 IP 地址数量低于 15 时，您可能会遇到以下问题：
+ 在您释放其他 IP 地址或使用其他 IP 地址连接子网之前，无法对工作区进行配置更改
+ 您的工作区将无法接收安全更新或补丁
+ 在极少数情况下，您可能会遇到工作区可用性完全丧失的情况，从而导致警报无法运行，控制面板无法访问

**减轻 IP 耗尽的风险**

1. 如果子网的可用 IP 地址少于 15 个，请释放与实例关联的 IP 地址或删除未使用的网络接口以释放 IP 容量。

1. 如果您无法释放现有子网中的 IP 地址，则必须将该子网替换为至少有 15 个可用 IP 地址的子网。我们建议为 Amazon Managed Grafana 使用专用子网。

**替换子网**

1. 打开 [Amazon Managed Grafana 控制台](https://console.aws.amazon.com/grafana)。

1. 在左侧导航窗格中，选择**所有工作区**，然后选择工作区的名称。

1. 在**网络访问控制**选项卡的**出站 VPC 连接**旁边，选择**编辑**。

1. 在**映射**下，选择包含 IP 地址不足的子网的可用区。

1. 在下拉列表中，取消选择 IP 地址不足的子网，然后选择一个至少有 15 个可用 IP 地址的子网。如有必要，在您的 VPC 中创建新子网。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)。

1. 选择**保存更改**，以完成设置。

## 在配置 VPC 连接之前，我的 Grafana 警报已成功发送到下游服务，例如 PagerDuty 和 Slack。配置 VPC 后，为什么我的 Grafana 警报没有发送到这些通知目的地？
<a name="vpc-faq-grafana-alert-destinations"></a>

为 Amazon Managed Grafana 工作区配置 VPC 连接后，工作区中发往数据来源的所有流量都会流经配置的 VPC。确保 VPC 有到达这些警报通知服务的路由。例如，由第三方托管的警报通知目的地可能需要连接到互联网。与数据来源一样，配置互联网或 AWS Transit Gateway，或其他与外部目的地的 VPC 连接。

## 我可以手动编辑我的 VPC 吗？ 为什么修改我的安全组或子网会导致我的 Amazon Managed Grafana 工作区变得不可用？
<a name="vpc-faq-manually-edit-vpc"></a>

Amazon Managed Grafana VPC 连接使用安全组和子网来控制 VPC 和您的 Amazon Managed Grafana 工作区之间被允许的流量。当从 Amazon Managed Grafana 控制台外部（如使用 VPC 控制台）修改或删除安全组或子网时，Amazon Managed Grafana 工作区中的 VPC 连接将停止保护您的工作区安全，工作区将变得不可访问。要解决此问题，请更新 Amazon Managed Grafana 控制台中为 Amazon Managed Grafana 工作区配置的安全组。查看工作区时，在**网络访问控制**选项卡上选择**出站 VPC 连接**，以修改与 VPC 连接关联的子网或安全组。