将 Amazon X-Ray 与 VPC 终端节点结合使用 - Amazon X-Ray
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon X-Ray 与 VPC 终端节点结合使用

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 托管Amazon资源,您可以在 VPC 和 X-Ray 之间建立私有连接。这样,Amazon VPC 中的资源就能够与 X-Ray 服务通信而不用访问公共 Internet。

Amazon VPC 是Amazon服务,可用来启动Amazon资源。借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。要将 VPC 连接到 X-Ray,请定义接口 VPC 终端节点。该终端节点提供了到 X-Ray 的可靠、可扩展的连接,无需 Internet 网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅 。什么是 Amazon VPC中的Amazon VPC 用户指南

接口 VPC 终端节点由AmazonPrivateLinkAmazon技术,使之间的私人通信Amazon服务,以使用具有私有 IP 地址的 elastic network interface。有关更多信息,请参阅 。NewAmazon的 PrivateLinkAmazon服务博客帖子和开始使用中的Amazon VPC 用户指南

为了确保您 VPC 够在 X-Ray 选择的Amazon区域,请参阅支持的区域

为 X-Ray 创建 VPC 终端节点

要在 VPC 中开始使用 X-Ray,请为 X-Ray 创建接口 VPC 终端节点。

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 导航到终端节点,然后选择创建终端节点

  3. 搜索并选择Amazon X-Ray服务:com.amazonaws.region.xray

    
            选择服务。
  4. 选择您想要的 VPC,然后在 VPC 中选择使用接口终端节点的子网。将在选定的子网中创建一个终端节点网络接口。您可以在不同的可用区中指定多个子网 (在服务支持的情况下),以帮助确保您的接口终端节点能够在出现可用区故障时复原。如果执行此操作,将在您指定的每个子网中创建一个接口网络接口。

    
            选择 VPC 和子网。
  5. (可选)默认情况下,为终端节点启用私有 DNS,以使您可以使用默认的 DNS 主机名向 X-Ray 发出请求。您可以选择禁用它。

  6. 指定要与终端节点网络接口关联的安全组。

    
            选择安全组。
  7. (可选)指定自定义策略以控制访问 X-Ray 服务的权限。默认情况下,允许完全访问。

控制对 X-Ray VPC 终端节点的访问

VPC 终端节点策略是一种 IAM 资源策略,您在创建或修改终端节点时可将它附加到终端节点。如果您在创建终端节点时未附加策略,Amazon VPC 将为您附加默认策略以允许对服务的完全访问。终端节点策略不会覆盖或替换 IAM 用户策略或服务特定的策略。这是一个单独的策略,用于控制从终端节点中对指定服务进行的访问。终端节点策略必须采用 JSON 格式编写。有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

VPC 终端节点策略使您能够控制对各种 X-Ray 操作的权限。例如,您可以创建一个策略以仅允许 PutTracesEdge 并拒绝所有其他操作。这将限制 VPC 中的工作负载和服务仅向 X-Ray 发送跟踪数据,并拒绝任何其他操作,例如检索数据、更改加密配置或创建/更新组。

下面是 X-Ray 的终端节点策略示例。此策略允许通过 VPC 连接到 X-Ray 的用户将区段数据发送到 X-Ray,并且还可以阻止他们执行其他 X-Ray 操作。

{"Statement": [ {"Sid": "Allow PutTraceSegments", "Principal": "*", "Action": [ "xray:PutTraceSegments" ], "Effect": "Allow", "Resource": "*" } ] }

编辑 X-Ray 的 VPC 终端节点

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择终端节点

  3. 如果您尚未为 X-Ray 创建端点,请按照为 X-Ray 创建 VPC 终端节点

  4. 选择com.amazonaws.区域.xray终端节点,然后选择策略选项卡。

  5. 选择 Edit Policy (编辑策略),然后进行更改。

支持的区域

X-Ray 当前在以下Amazon区域:

  • 美国东部 (俄亥俄)

  • 美国东部 (弗吉尼亚北部)

  • 美国西部 (加利福尼亚北部)

  • 美国西部 (俄勒冈)

  • Africa (Cape Town)

  • 亚太地区(香港)

  • 亚太地区 (孟买)

  • Asia Pacific (Osaka)

  • 亚太地区 (首尔)

  • 亚太地区 (新加坡)

  • 亚太地区 (悉尼)

  • 亚太地区 (东京)

  • 加拿大 (中部)

  • 欧洲(法兰克福)

  • 欧洲(爱尔兰)

  • 欧洲(伦敦)

  • Europe (Milan)

  • 欧洲(巴黎)

  • 欧洲(斯德哥尔摩)

  • 中东(巴林)

  • 南美洲(圣保罗)

  • AmazonGovCloud(美国东部)

  • AmazonGovCloud(美国西部)