在 VPC 上运行金丝雀
您可以在 VPC 上的终端节点上,以及在内部公有终端节点上运行金丝雀。要在 VPC 上运行金丝雀,您必须在 VPC 上同时启用 DNS 解析和 DNS 主机名选项。有关更多信息,请参阅在您的 VPC 中使用 DNS。
当您在 VPC 终端节点上运行金丝雀时,必须提供一种将其指标发送到 CloudWatch 并将其构件发送到 Amazon S3 的方法。如果 VPC 已启用 Internet 访问,则您无需再执行任何操作。金丝雀将在您的 VPC 中执行,但可以访问 Internet 以上传其指标和构件。
如果 VPC 尚未启用互联网访问功能,您有两个选项:
-
启用 IPv4 互联网访问,以允许金丝雀向 CloudWatch 和 Amazon S3 发送指标。有关更多信息,请参阅以下部分 为 VPC 上的金丝雀提供互联网访问权限。
-
如果您希望将 VPC 保持私有状态,可以将金丝雀配置为通过私有 VPC 终端节点将其数据发送到 CloudWatch 和 Amazon S3。如果您尚未这样做,则必须为 CloudWatch (com.amazonaws.
region.monitoring) 创建 VPC 端点,并为 Amazon S3 创建网关端点。有关更多信息,请参阅 将 CloudWatch、CloudWatch Synthetics 和 CloudWatch 网络监控与接口 VPC 端点结合使用 和适用于 Amazon S3 的 Amazon VPC 终端节点。
为 VPC 上的金丝雀提供互联网访问权限
请按照以下步骤为您的 VPC 金丝雀提供互联网访问权限,或者为您的 VPC 金丝雀分配静态 IP 地址
为 VPC 上的金丝雀提供互联网访问(IPv4)
在 VPC 上的公有子网中创建 NAT 网关。有关说明,请参阅创建 NAT 网关。
在启动金丝雀的私有子网中的路由表中添加新路由。指定以下内容:
对于 Destination(目标),输入
0.0.0.0/0。对于目标,选择 NAT 网关,然后选择您创建的 NAT 网关的 ID。
选择 Save routes(保存路由)。
有关在路由表中添加路由的更多信息,请参阅在路由表中添加和删除路由。
为 VPC 上的金丝雀提供互联网访问(IPv6)
将 VPC 配置为具有双栈子网。您必须向 VPC 添加仅出口互联网网关,更新路由表以允许流向互联网网关的流量,并允许来自关联安全组的出站访问。有关更多信息,请参阅为 VPC 添加 IPv6 支持。
使用
CreateCanary或UpdateCanaryAPI 设置金丝雀 VPC 配置中的Ipv6AllowedForDualstack。有关更多信息,请参阅 VpcConfigInput。要启用来自金丝雀的出站 IPv6 流量,必须为双堆栈启用附加到金丝雀的 VPC 子网。
注意
确保通往 NAT 网关的路由处于活动状态。如果 NAT 网关被删除,而您尚未更新路由,则它们将处于黑洞状态。有关更多信息,请参阅使用 NAT 网关。