本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 从 Amazon Managed Grafana 连接到 Amazon VPC 中的数据来源或通知渠道
默认情况下,从 Amazon Managed Grafana 工作区到数据来源或通知渠道的流量通过公共互联网流动。这限制了从 Amazon Managed Grafana 工作区连接到可公开访问的服务。
**注意**
如果您尚未配置私有 VPC,而 Amazon Managed Grafana 正在连接到可公开访问的数据源,则它会通过连接到同一 AWS 区域中的某些服务。 AWS PrivateLink这包括诸如 CloudWatch适用于 Prometheus 的亚马逊托管服务等服务,以及。 AWS X-Ray这些服务的流量不通过公共互联网流动。
如果您想连接到 VPC 中面向私人的数据来源,或将流量保持在 VPC 本地,您可以将 Amazon Managed Grafana 工作区连接到托管这些数据来源的Amazon Virtual Private Cloud(Amazon VPC)。配置 VPC 数据来源连接后,所有流量都会通过 VPC 流动。
*虚拟私有云* (VPC) 是专用于您的虚拟网络 AWS 账户。它在逻辑上与其他虚拟网络(包括其他 VPCs 和公共互联网)隔离。使用 Amazon VPC VPCs 在中创建和管理您的 AWS 云。Amazon VPC 可让您完全控制虚拟网络环境,包括资源放置、连接和安全。Amazon Managed Grafana 数据来源以及其他资源都可以在您的 VPC 中创建。有关更多信息,请参阅《Amazon Virtual Private Cloud 用户指南》**中的 [Amazon VPC 是什么?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。
**注意**
如果您想让 Amazon Managed Grafana 工作区连接到 VPC 以外的其他网络或公共互联网中的数据,则必须向其他网络添加路由。有关如何将 VPC 连接到其他网络的信息,请参阅《Amazon Virtual Private Cloud 用户指南》**中的[将 VPC 连接到其他网络](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)。
## VPC 连接的工作原理
[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 可让您完全控制虚拟网络环境,包括创建面向公众和面向私人的*子网*供您的应用程序连接,以及创建*安全组*来管理哪些服务或资源可以访问子网。
要将 Amazon Managed Grafana 与 VPC 中的资源一起使用,您必须为 Amazon Managed Grafana 工作区创建与该 VPC 的连接。设置连接后,Amazon Managed Grafana 会将您的工作区连接到该 VPC 中每个可用区的每个子网,所有进出 Amazon Managed Grafana 工作区的流量都会流经该 VPC。下图展示了这种连接在逻辑上的表现方式。
![\[图像展示 Amazon Managed Grafana 跨多个可用区连接到 VPC。\]](http://docs.aws.amazon.com/zh_cn/grafana/latest/userguide/images/grafana-vpc-connection.png)
Amazon Managed Grafana 为每个子网创建一个连接(**1**)(使用[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)或 ENI),以连接到 VPC(**2**)。Amazon Managed Grafana VPC 连接与一组安全组(**3**)关联,这些安全组控制 VPC 与 Amazon Managed Grafana 工作区之间的流量。所有流量都通过配置的 VPC 路由,包括警报目的地和数据来源的连接。要连接到其他 VPCs 或公共 Internet (**4**) 中的数据源和警报目的地,请在另一个网络和您的 VPC 之间创建一个网[关](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) (**5**)。
## 创建与 VPC 的连接
本节介绍从现有的 Amazon Managed Grafana 工作区连接到 VPC 的步骤。您可以在创建工作区时遵循相同的说明。有关创建工作区的更多信息,请参阅 [创建 Amazon Managed Grafana 工作区](AMG-create-workspace.md)。
### 先决条件
从现有 Amazon Managed Grafana 工作区建立与 VPC 的连接的先决条件如下。
+ 您必须拥有配置或创建 Amazon Managed Grafana 工作区所需的权限。例如,您可以使用 AWS 托管策略`AWSGrafanaAccountAdministrator`。
+ 您必须在账户中设置 VPC,并至少配置两个可用区,每个可用区配置一个*私有子网*。您必须知道 VPC 的子网和安全组信息。
**注意**
不支持 [Local Zone](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html) 和 [Wavelength Zone](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)。
VPCs不支持使用`Tenancy`设置`Dedicated`为进行@@ [配置](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。
**重要**
连接到您的 Amazon Managed Grafana 工作区的每个子网中必须至少有 15 个可用 IP 地址。强烈建议您在 VPC 子网中配置警报以[监控 IP 用量](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html)。如果子网的可用 IP 地址数量低于 15 个,您可能会遇到以下问题:
在您释放其他 IP 地址或使用其他 IP 地址连接子网之前,无法对工作区进行配置更改
您的工作区将无法接收安全更新或补丁
在极少数情况下,您可能会遇到工作区可用性完全丧失的情况,从而导致警报无法运行,控制面板无法访问
+ 如果要连接已配置数据来源的现有 Amazon Managed Grafana 工作区,建议先将 VPC 配置为连接到这些数据来源,然后再将 Amazon Managed Grafana 连接到 VPC。这包括通过连接 CloudWatch 的服务 AWS PrivateLink。否则,将失去与这些数据来源的连接。
+ 如果您的 VPC 已经有多个网关连接到其他网络,您可能需要在多个网关之间设置 DNS 解析。有关详细信息,请参阅 [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。
### 从现有的 Amazon Managed Grafana 工作区连接到 VPC
以下过程介绍了如何将 Amazon VPC 数据来源连接添加至现有的 Amazon Managed Grafana 工作区。
**注意**
配置与 Amazon VPC 的连接时,会创建一个 IAM 角色。使用此角色,Amazon Managed Grafana 可以创建与 VPC 的连接。IAM 角色使用与服务关联的角色策略 `AmazonGrafanaServiceLinkedRolePolicy`。要详细了解与服务关联的角色,请参阅 [Amazon Managed Grafana 的服务相关角色权限](using-service-linked-roles.md#slr-permissions)。
**要从现有的 Amazon Managed Grafana 工作区连接到 VPC**
1. 打开 [Amazon Managed Grafana 控制台](https://console.aws.amazon.com/grafana/home/)。
1. 在左侧导航窗格中,选择**所有工作区**。
1. 选择要为其添加 VPC 数据来源连接的工作区名称。
1. 在**网络访问设置**选项卡的**出站 VPC 连接**旁边,选择**编辑**,以创建您的 VPC 连接。
1. 选择要连接的 **VPC**。
1. 在**映射**下,选择要使用的可用区。必须至少选择两个。
1. 在每个可用区中至少选择一个*私有子网*。子网必须支持 IPv4。
1. 为 VPC 选择至少一个**安全组**。您最多可指定 5 个安全组。或者,您也可以创建一个适用于此连接的安全组。
1. 选择**保存更改**,以完成设置。
现在,您已经设置好了 VPC 连接,可以向 Amazon Managed Grafana 工作区添加可从该 VPC 访问的 [连接到数据来源](AMG-data-sources.md)。
**更改出站 VPC 设置**
要更改设置,您可以返回工作区配置的**网络访问设置**选项卡,也可以使用 [UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html)API。
**重要**
Amazon Managed Grafana 会为您管理 VPC 配置。请勿使用 Amazon EC2 控制台编辑这些 VPC 设置 APIs,否则设置将不同步。
# 排查将 VPC 与 Amazon Managed Grafana 配合使用时的问题
将 Amazon Virtual Private Cloud(Amazon VPC)与 Amazon Managed Grafana 配合使用时的常见问题解答。
## 何时需要在 Amazon Managed Grafana 中配置 VPC?
如果您尝试连接到仅在私有 VPC(不对公众开放)中可用的数据来源,则需要在 Amazon Managed Grafana 中配置 VPC。
对于公开可用的数据来源,或具有面向公众端点的数据来源,您不需要配置 VPC。
如果您连接到亚马逊 CloudWatch、适用于 Prometheus 的亚马逊托管服务, AWS X-Ray或者,则无需配置 VPC。这些数据来源默认通过 AWS PrivateLink 连接到 Amazon Managed Grafana。
## 将 VPC 与我的 Amazon Managed Grafana 工作区配置在一起之后,为什么我现有的数据来源无法连接?
您现有的数据来源应该可以通过公共网络访问,而您的 Amazon VPC 配置不允许访问公共网络。在 Amazon Managed Grafana 工作区中配置 VPC 连接后,所有流量都必须流经该 VPC。这包括托管在该 VPC 中的私有数据来源、其他 VPC 中的数据来源、VPC 中不可用的 AWS 托管服务,以及面向互联网的数据来源。
要解决此问题,必须将其他数据来源连接到已配置的 VPC:
+ 对于面向互联网的数据来源,请将 VPC 连接到互联网。例如,您可以[使用 NAT 设备连接到互联网或其他网络](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)(详见《Amazon Virtual Private Cloud 用户指南》**)。
+ 对于其他数据源 VPCs,请在两 VPCs者之间创建对等关系。有关更多信息,请参阅[ VPCs 使用 VPC 对等连接进行连接](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)(来自*亚马逊虚拟私有云用户指南*)。
+ 对于在您的 VPC 中无法访问的 AWS 托管服务 CloudWatch,例如 X-Ray 或适用于 Prometheus 的亚马逊托管服务,您可能需要在 VPC 中为该服务创建接口 VPC 终端节点。有关更多信息,请参阅*AWS PrivateLink 指南*中的[使用接口 VPC 终端节点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
## 我能否使用具有专用租赁的 VPC?
不支持,不支持将 `Tenancy` `Dedicated` “设置为” 进行[VPCs 配置](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。
## 我能否将 AWS 托管服务(例如适用于 Promet CloudWatch heus 的亚马逊托管服务或 X-Ray)和私有数据源(包括 Amazon Redshift)连接到同一个亚马逊托管 Grafana 工作空间?
可以。您必须配置与私有数据源位于同一 VPC 中的 Managed Services 的连接(例如,使用[接口 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)或 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)),并将您的 Amazon Managed Grafana 工作空间配置为连接到同一 VPC。 AWS
## 在 Amazon Managed Grafana 工作区中配置 VPC 后,当我尝试连接到数据来源时,为什么会出现 `502 Bad Gateway Error`?
以下是数据来源连接返回 `502` 错误的三个最常见原因。
+ **安全组错误**:在 Amazon Managed Grafana 中配置 VPC 时选择的安全组必须通过入站和出站规则允许与数据来源的连接。
要解决此问题,请确保数据来源安全组和 Amazon Managed Grafana 安全组中的规则都允许此连接。
+ **用户权限错误**:分配的工作区用户没有查询数据来源的正确权限。
要解决此问题,请确认用户是否拥有编辑工作区所需的 IAM 权限,以及从托管服务访问和查询数据的正确数据来源策略。权限可在 AWS Identity and Access Management (IAM) 控制台中获得,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
+ **提供的连接详细信息不正确**:由于提供的连接详细信息不正确,Amazon Managed Grafana 工作区无法连接到您的数据来源。
要解决此问题,请确认数据来源连接中的信息(包括数据来源身份验证和端点 URL),然后重试连接。
## 我能否 VPCs 从同一个亚马逊托管 Grafana 工作空间连接到多个工作空间?
您只能为一个 Amazon Managed Grafana 工作区配置一个 VPC。要访问不同 VPC 中的数据来源,或跨区域访问数据来源,请参阅下一个问题。
## 如何连接不同 VPC 中的数据来源? 如何从位于不同 AWS 区域 或的 VPC 连接到数据源 AWS 账户?
您可以使用 [VPC 对](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)等互连或[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)连接跨区域或跨账户 VPCs,然后连接与您的 Amazon Managed Grafana 工作空间位于相同 AWS 账户 和区域的 VPC。Amazon Managed Grafana 会像 VPC 内的任何其他连接一样,连接到外部数据来源。
**注意**
如果您无法选择 VPC 对等连接,请与您的客户经理分享您的用例,或者发送电子邮件至 [aws-grafana-feedback@amazon .com](mailto:aws-grafana-feedback@amazon.com)。
## 当我的 Amazon Managed Grafana 工作区连接到 VPC 时,我是否仍能连接到其他公共数据来源?
可以。您可以同时将 VPC 的数据来源和公共数据来源连接到单个 Amazon Managed Grafana 工作区。对于公共数据来源,您必须通过 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)或其他 [VPC 连接](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)配置 VPC 连接。对公共数据来源的请求会穿过您的 VPC,为您提供对这些请求的额外可见性和控制力。
## 如果我因为 IP 地址不足而无法更新 Amazon Managed Grafana 工作区,该怎么办?
在修改 Amazon Managed Grafana 工作区配置时,您可能会遇到以下错误:VPC 配置中的所有子网都必须至少有 15 个可用 IP 地址。
如果连接到您的工作区的一个或多个子网不符合最低 IP 要求,则会收到此错误。与您的工作区相连的每个子网中必须至少有 15 个可用 IP 地址。当子网的可用 IP 地址数量低于 15 时,您可能会遇到以下问题:
+ 在您释放其他 IP 地址或使用其他 IP 地址连接子网之前,无法对工作区进行配置更改
+ 您的工作区将无法接收安全更新或补丁
+ 在极少数情况下,您可能会遇到工作区可用性完全丧失的情况,从而导致警报无法运行,控制面板无法访问
**减轻 IP 耗尽的风险**
1. 如果子网的可用 IP 地址少于 15 个,请释放与实例关联的 IP 地址或删除未使用的网络接口以释放 IP 容量。
1. 如果您无法释放现有子网中的 IP 地址,则必须将该子网替换为至少有 15 个可用 IP 地址的子网。我们建议为 Amazon Managed Grafana 使用专用子网。
**替换子网**
1. 打开 [Amazon Managed Grafana 控制台](https://console.aws.amazon.com/grafana)。
1. 在左侧导航窗格中,选择**所有工作区**,然后选择工作区的名称。
1. 在**网络访问控制**选项卡的**出站 VPC 连接**旁边,选择**编辑**。
1. 在**映射**下,选择包含 IP 地址不足的子网的可用区。
1. 在下拉列表中,取消选择 IP 地址不足的子网,然后选择一个至少有 15 个可用 IP 地址的子网。如有必要,在您的 VPC 中创建新子网。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)。
1. 选择**保存更改**,以完成设置。
## 在配置 VPC 连接之前,我的 Grafana 警报已成功发送到下游服务,例如 PagerDuty 和 Slack。配置 VPC 后,为什么我的 Grafana 警报没有发送到这些通知目的地?
为 Amazon Managed Grafana 工作区配置 VPC 连接后,工作区中发往数据来源的所有流量都会流经配置的 VPC。确保 VPC 有到达这些警报通知服务的路由。例如,由第三方托管的警报通知目的地可能需要连接到互联网。与数据来源一样,配置互联网或 AWS Transit Gateway,或其他与外部目的地的 VPC 连接。
## 我可以手动编辑我的 VPC 吗? 为什么修改我的安全组或子网会导致我的 Amazon Managed Grafana 工作区变得不可用?
Amazon Managed Grafana VPC 连接使用安全组和子网来控制 VPC 和您的 Amazon Managed Grafana 工作区之间被允许的流量。当从 Amazon Managed Grafana 控制台外部(如使用 VPC 控制台)修改或删除安全组或子网时,Amazon Managed Grafana 工作区中的 VPC 连接将停止保护您的工作区安全,工作区将变得不可访问。要解决此问题,请更新 Amazon Managed Grafana 控制台中为 Amazon Managed Grafana 工作区配置的安全组。查看工作区时,在**网络访问控制**选项卡上选择**出站 VPC 连接**,以修改与 VPC 连接关联的子网或安全组。