本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 從 Amazon Managed Grafana 連線至 Amazon VPC 中的資料來源或通知管道
<a name="AMG-configure-vpc"></a>

根據預設，從 Amazon Managed Grafana 工作區到資料來源或通知通道的流量會透過公有網際網路流動。這會將 Amazon Managed Grafana 工作區的連線限制為可公開存取的服務。

**注意**  
當您尚未設定私有 VPC，且 Amazon Managed Grafana 正在連線至可公開存取的資料來源時，會透過 連線到相同區域中的某些 AWS 服務 AWS PrivateLink。這包括 CloudWatch、Amazon Managed Service for Prometheus 和 等服務 AWS X-Ray。傳送到這些服務的流量不會透過公有網際網路流動。

如果您想要連接到 VPC 內的私有資料來源，或將流量保持在 VPC 的本機，您可以將 Amazon Managed Grafana 工作區連接到託管這些資料來源的 Amazon Virtual Private Cloud (Amazon VPC)。設定 VPC 資料來源連線後，所有流量都會流經您的 VPC。

*虛擬私有雲端* (VPC) 是您的專用虛擬網路 AWS 帳戶。它與其他虛擬網路邏輯上隔離，包括其他 VPCs和公有網際網路。使用 Amazon VPC 在 中建立和管理 VPCs AWS 雲端。Amazon VPC 可讓您完全控制虛擬聯網環境，包括資源配置、連線和安全性。您可以在 VPC 中建立 Amazon Managed Grafana 資料來源和其他資源。如需 Amazon VPC 的詳細資訊，請參閱《Amazon *Amazon Virtual Private Cloud*[什麼是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。

**注意**  
如果您希望 Amazon Managed Grafana 工作區連線到 VPC 外部的資料，則必須在另一個網路或公有網際網路中新增路由到另一個網路。如需有關如何將 VPC 連線至另一個網路的資訊，請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的[將 VPC 連線至其他網路](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)。

## VPC 連線的運作方式
<a name="AMG-VPC-how-it-works"></a>

[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 可讓您完全控制虛擬聯網環境，包括為應用程式建立面向公有和面向私有*的子網路*以進行連線，以及管理哪些服務或資源可存取子網路*的安全群組*。

若要將 Amazon Managed Grafana 與 VPC 中的資源搭配使用，您必須為 Amazon Managed Grafana 工作區建立與該 VPC 的連線。設定連線後，Amazon Managed Grafana 會將您的工作區連線至該 VPC 中每個可用區域中每個提供的子網路，所有進出 Amazon Managed Grafana 工作區的流量都會流經 VPC。下圖顯示此連線在邏輯上的外觀。

![\[此影像顯示跨多個可用區域連線至 VPC 的 Amazon Managed Grafana。\]](http://docs.aws.amazon.com/zh_tw/grafana/latest/userguide/images/grafana-vpc-connection.png)


Amazon Managed Grafana 會為每個子網路 （使用[彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)或 ENI) 建立連線 (**1**)，以連線至 VPC (**2**)。Amazon Managed Grafana VPC 連線與一組安全群組 (**3**) 相關聯，可控制 VPC 與 Amazon Managed Grafana 工作區之間的流量。所有流量都會透過設定的 VPC 路由，包括警示目的地和資料來源連線。若要連線到其他 VPCs或公有網際網路 (**4**) 中的資料來源和提醒目的地，請在其他網路和 VPC 之間建立[閘道](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) (**5**)。

## 建立與 VPC 的連線
<a name="AMG-to-create-vpc-connection"></a>

本節說明從現有 Amazon Managed Grafana 工作區連線至 VPC 的步驟。您可以在建立工作區時遵循這些相同的指示。如需建立工作區的詳細資訊，請參閱 [建立 Amazon Managed Grafana 工作區](AMG-create-workspace.md)。

### 先決條件
<a name="config-vpc-prereqs"></a>

以下是從現有 Amazon Managed Grafana 工作區建立 VPC 連線的先決條件。
+ 您必須擁有必要的許可，才能設定或建立 Amazon Managed Grafana 工作區。例如，您可以使用 AWS 受管政策 `AWSGrafanaAccountAdministrator`。
+ 您的帳戶中必須至少設定兩個可用區域的 VPC 設定，每個區域都設定一個*私有子網路*。您必須知道 VPC 的子網路和安全群組資訊。
**注意**  
不支援[本機區域](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html)和 [Wavelength 區域](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)。  
`Dedicated` 不支援將 `Tenancy` 設定為 [VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。
**重要**  
連接至 Amazon Managed Grafana 工作區的每個子網路中必須至少有 15 個可用的 IP 地址。我們強烈建議您設定警示來[監控 VPC 子網路中的 IP 用量](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html)。如果子網路的可用 IP 地址數量低於 15，您可能會遇到下列問題：  
在您釋放其他 IP 地址或連接具有其他 IP 地址的子網路之前，無法對工作區進行組態變更
您的工作區將無法接收安全性更新或修補程式
在極少數情況下，您可能會遇到工作區的完整可用性損失，導致無法運作的警示和無法存取的儀表板
+ 如果您要連接已設定資料來源的現有 Amazon Managed Grafana 工作區，建議您先將 VPC 設定為連線至這些資料來源，再將 Amazon Managed Grafana 連線至 VPC。這包括透過 連線的服務，例如 CloudWatch AWS PrivateLink。否則，會失去與這些資料來源的連線。
+ 如果您的 VPC 已經有多個通往其他網路的閘道，您可能需要跨多個閘道設定 DNS 解析。如需詳細資訊，請參閱 [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。

### 從現有的 Amazon Managed Grafana 工作區連線至 VPC
<a name="config-vpc-use"></a>

下列程序說明將 Amazon VPC 資料來源連線新增至現有的 Amazon Managed Grafana 工作區。

**注意**  
當您設定與 Amazon VPC 的連線時，它會建立 IAM 角色。透過此角色，Amazon Managed Grafana 可以建立與 VPC 的連線。IAM 角色使用服務連結角色政策 `AmazonGrafanaServiceLinkedRolePolicy`。若要進一步了解服務連結角色，請參閱 [Amazon Managed Grafana 的服務連結角色許可](using-service-linked-roles.md#slr-permissions)。

**從現有的 Amazon Managed Grafana 工作區連線至 VPC**

1. 開啟 [Amazon Managed Grafana 主控台](https://console.aws.amazon.com/grafana/home/)。

1. 在左側導覽窗格中，選擇**所有工作區**。

1. 選取您要新增 VPC 資料來源連線的工作區名稱。

1. 在**網路存取設定**索引標籤的**傳出 VPC 連線**旁，選擇**編輯**以建立 VPC 連線。

1. 選擇您要連接的 **VPC**。

1. 在**映射**下，選取您要使用的可用區域。您必須選擇至少兩個。

1. 在每個可用區域中至少選取一個*私有子網路*。子網路必須支援 IPv4。

1. 為您的 VPC 選取至少一個**安全群組**。您最多可以指定 5 個安全群組。或者，您可以建立要套用至此連線的安全群組。

1. 選擇**儲存變更**以完成設定。

現在您已設定 VPC 連線，您可以將可從該 VPC [連線至資料來源](AMG-data-sources.md)存取新增至 Amazon Managed Grafana 工作區。

**變更傳出 VPC 設定**

若要變更設定，您可以返回工作區組態**的網路存取設定**索引標籤，也可以使用 [UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html) API。

**重要**  
Amazon Managed Grafana 會為您管理 VPC 組態。請勿使用 Amazon EC2 主控台或 APIs 編輯這些 VPC 設定，否則設定會不同步。

# 搭配 Amazon Managed Grafana 使用 VPC 進行故障診斷
<a name="AMG-configure-vpc-faq"></a>

有關搭配 Amazon Managed Grafana 使用 Amazon Virtual Private Cloud (Amazon VPC) 的常見問題解答。

## 何時需要在 Amazon Managed Grafana 中設定 VPC？
<a name="vpc-faq-when-to-configure-vpc"></a>

如果您嘗試連線到只在私有 VPC 中可用的資料來源 （不可公開存取），則需要在 Amazon Managed Grafana 中設定 VPC。

對於可公開取得或具有公開端點的資料來源，您不需要設定 VPC。

如果您連線到 Amazon CloudWatch、Amazon Managed Service for Prometheus AWS X-Ray，或者，您不需要設定 VPC。根據預設，這些資料來源會透過 連線到 Amazon Managed Grafana AWS PrivateLink 。

## 當我使用 Amazon Managed Grafana 工作區設定 VPC 後，為什麼現有的資料來源無法連線？
<a name="vpc-faq-existing-sources-failing"></a>

您現有的資料來源可能可透過公有網路存取，而您的 Amazon VPC 組態不允許存取公有網路。在 Amazon Managed Grafana 工作區中設定 VPC 連線後，所有流量都必須流經該 VPC。這包括在該 VPC 中託管的私有資料來源、另一個 VPC 中的資料來源、VPC 中不可用的 AWS 受管服務，以及面向網際網路的資料來源。

若要解決此問題，您必須將其他資料來源連接到您已設定的 VPC：
+ 對於面向網際網路的資料來源，請將 VPC 連接到網際網路。例如，您可以使用 [NAT 裝置 （從 Amazon Virtual Private Cloud 使用者指南） 連線到網際網路或其他網路](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)。 *Amazon Virtual Private Cloud *
+ 對於其他 VPCs中的資料來源，請在兩個 VPCs之間建立對等互連。如需詳細資訊，請參閱[使用 VPCs 對等互連連接 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html) （請參閱 *Amazon Virtual Private Cloud 使用者指南*)。
+ 對於 VPC 中無法存取的 AWS 受管服務，例如 CloudWatch、X-Ray 或 Amazon Managed Service for Prometheus，您可能需要在 VPC 中為該服務建立介面 VPC 端點。如需詳細資訊，請參閱《 *AWS PrivateLink 指南*》中的[使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。

## 我可以使用具有專用租用的 VPC 嗎？
<a name="vpc-faq-dedicated-tenancy"></a>

否，`Dedicated`不支援`Tenancy`[將 設定為 VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。

## 我可以同時將 AWS Managed Services （例如 Amazon Managed Service for Prometheus、CloudWatch 或 X-Ray) 和私有資料來源 （包括 Amazon Redshift) 連線到相同的 Amazon Managed Grafana 工作區嗎？
<a name="vpc-faq-connect-services-and-private-sources"></a>

是。您必須在與私有資料來源相同的 VPC 中設定受 AWS 管服務的連線 （例如，使用[介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)或 [NAT Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html))，並設定 Amazon Managed Grafana 工作區以連線至相同的 VPC。

## 為什麼在 Amazon Managed Grafana 工作區中設定 VPC 後，當我嘗試連線到資料來源`502 Bad Gateway Error`時，會取得 ？
<a name="vpc-faq-502-error"></a>

以下是資料來源連線傳回`502`錯誤的三個最常見原因。
+ **安全群組錯誤** — 在 Amazon Managed Grafana 中 VPC 組態期間選取的安全群組必須允許透過傳入和傳出規則連線至資料來源。

  若要解決此問題，請確定資料來源安全群組和 Amazon Managed Grafana 安全群組中的規則都允許此連線。
+ **使用者許可錯誤** — 指派的工作區使用者沒有查詢資料來源的正確許可。

  若要解決此問題，請確認使用者具有編輯工作區所需的 IAM 許可，以及從託管服務存取和查詢資料的正確資料來源政策。許可可在 AWS Identity and Access Management (IAM) 主控台中取得，網址為 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
+ **提供的連線詳細資訊不正確** — 由於提供的連線詳細資訊不正確，Amazon Managed Grafana 工作區無法連線至您的資料來源。

  若要解決此問題，請確認資料來源連線中的資訊，包括資料來源身分驗證和端點 URL，然後重試連線。

## 我可以從相同的 Amazon Managed Grafana 工作區連線到多個 VPCs 嗎？
<a name="vpc-faq-multiple-vpcs"></a>

您只能為 Amazon Managed Grafana 工作區設定單一 VPC。若要存取不同 VPC 或跨區域的資料來源，請參閱下一個問題。

## 如何連線到不同 VPC 中的資料來源？ 如何從位於不同 AWS 區域 或 的 VPC 連線到資料來源 AWS 帳戶？
<a name="vpc-faq-connect-to-different-vpc"></a>

您可以使用 [VPC 對等互連](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)或 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 來連接跨區域或跨帳戶 VPCs，然後連接與 Amazon Managed Grafana 工作區位於相同 AWS 帳戶 和 區域的 VPC。Amazon Managed Grafana 會像 VPC 內的任何其他連線一樣連線到外部資料來源。

**注意**  
如果 VPC 對等互連不是您的選項，請與您的 Account Manager 共用您的使用案例，或傳送電子郵件至 [aws-grafana-feedback@amazon.com](mailto:aws-grafana-feedback@amazon.com)。

## 當 Amazon Managed Grafana 工作區連線到 VPC 時，我是否仍然可以連線到其他公有資料來源？
<a name="vpc-faq-connect-to-public-sources"></a>

是。您可以將 VPC 和公有資料來源的資料來源同時連接到單一 Amazon Managed Grafana 工作區。對於公有資料來源，您必須透過 [NAT Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) 或其他 VPC 連線來設定 [VPC 連線](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)。對公有資料來源的請求會周遊您的 VPC，為您提供對這些請求的額外可見性和控制。

## 如果我因為 IP 地址不足而無法更新 Amazon Managed Grafana 工作區，該怎麼辦？
<a name="vpc-faq-ip-exhaustion"></a>

 修改 Amazon Managed Grafana 工作區組態時，您可能會遇到以下錯誤：VPC 組態中的所有子網路必須至少有 15 個可用的 IP 地址。

 如果連接至工作區的一或多個子網路不符合最低 IP 要求，您將會收到此錯誤。連接到工作區的每個子網路中必須至少有 15 個可用的 IP 地址。當子網路的可用 IP 地址數量低於 15 時，您可能會遇到下列問題：
+ 在您釋放其他 IP 地址或連接具有其他 IP 地址的子網路之前，無法對工作區進行組態變更
+ 您的工作區將無法接收安全性更新或修補程式
+ 在極少數情況下，您可能會遇到工作區的完整可用性損失，導致無法運作的警示和無法存取的儀表板

**減少 IP 耗盡**

1. 如果子網路的可用 IP 地址少於 15 個，請釋出與執行個體相關聯的 IP 地址，或刪除未使用的網路介面以釋放 IP 容量。

1. 如果您無法釋放現有子網路中的 IP 地址，則必須將子網路取代為至少具有 15 個可用 IP 地址的子網路。我們建議對 Amazon Managed Grafana 使用專用子網路。

**取代子網路**

1. 開啟 [Amazon Managed Grafana 主控台](https://console.aws.amazon.com/grafana)。

1. 在左側導覽窗格中，選擇**所有工作區**，然後選取工作區的名稱。

1. 在**網路存取控制**索引標籤的**傳出 VPC 連線**旁，選擇**編輯**。

1. 在**映射**下，選取包含 IP 地址不足子網路的可用區域。

1. 在下拉式清單中，取消選取 IP 地址不足的子網路，然後選取至少具有 15 個可用 IP 地址的子網路。如有必要，請在 VPC 中建立新的子網路。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[建立子網路](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)。

1. 選擇**儲存變更**以完成設定。

## 在設定 VPC 連線之前，我的 Grafana 警示已成功傳送至下游服務，例如 PagerDuty 和 Slack。設定 VPC 後，為什麼我的 Grafana 提醒未傳送至這些通知目的地？
<a name="vpc-faq-grafana-alert-destinations"></a>

為 Amazon Managed Grafana 工作區設定 VPC 連線後，工作區中資料來源的所有流量都會流經設定的 VPC。請確定 VPC 有到達這些提醒通知服務的路由。例如，第三方託管的提醒通知目的地可能需要連線至網際網路。與資料來源非常相似，請設定網際網路或 AWS Transit Gateway，或其他與外部目的地的 VPC 連線。

## 我可以手動編輯我的 VPC 嗎？ 為什麼修改我的安全群組或子網路會導致我的 Amazon Managed Grafana 工作區無法使用？
<a name="vpc-faq-manually-edit-vpc"></a>

Amazon Managed Grafana VPC 連線使用安全群組和子網路來控制 VPC 和 Amazon Managed Grafana 工作區之間允許的流量。從 Amazon Managed Grafana 主控台 （例如使用 VPC 主控台） 外修改或刪除安全群組或子網路時，Amazon Managed Grafana 工作區中的 VPC 連線會停止保護您的工作區安全，而且無法連線工作區。若要修正此問題，請在 Amazon Managed Grafana 主控台中更新為 Amazon Managed Grafana 工作區設定的安全群組。檢視工作區時，請在**網路存取控制**索引標籤上選取**傳出 VPC 連線**，以修改與 VPC 連線相關聯的子網路或安全群組。