将 Amazon X-Ray 与 VPC 终端节点结合使用 - Amazon X-Ray
为 X-Ray 创建控制对 X-Ray VPC 的访问支持的区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon X-Ray 与 VPC 终端节点结合使用

如果您使用Amazon Virtual Private Cloud Amazon VPC)托管Amazon资源,您可以在 VPC 和 X-Ray 这样,您的 Amazon VPC 上的资源就可以与 X-------------------Ray 服务进行通信

Amazon VPC 是一项 Amazon 服务,可用来启动在虚拟网络中定义的 Amazon 资源。借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。要将 VPC 连接到 X-Ray,请定义一个接口 VPC 终端节点. 该终端节点提供了到 X-Ray 的可靠、可扩展的连接,无需 Internet 网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅 Amazon VPC 用户指南中的什么是 Amazon VPC

接口 VPC 终端节点由Amazon PrivateLink,一个Amazon实现私人通信的技术Amazon服务通过使用具有私有 IP 地址的elastic network interface 来实现。有关更多信息,请参阅 。New!Amazon PrivateLink 为了Amazon服务博客帖子和开始使用中的Amazon VPC User Guide.

为确保您可以在所选的 X-Ray 中创建 VPC 终端节点Amazon区域,请参阅支持的区域.

为 X-Ray 创建

要开始在您的 VPC 中使用 X-Ray,请为 X-Ray 创建接口 VPC 终端节点。

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 导航到终端节点在导航窗格中,然后选择创建终端节点.

  3. 搜索并选择Amazon X-Ray服务:com.amazonaws.region.xray.

    选择服务。

  4. 选择所需的 VPC,然后在 VPC 中选择使用接口终端节点的子网。将在所选子网中创建一个终端节点网络接口。您可以在不同的可用区中指定多个子网 (在服务支持的情况下),以帮助确保您的接口终端节点能够在出现可用区故障时复原。如果这样做,将在您指定的每个子网中创建一个接口网络接口。

    选择 VPC 和子网。

  5. (可选)默认情况下,为终端节点启用私有 DNS,以使您可以使用默认的 DNS 主机名向 X-Ray 发出请求。你可以选择禁用它。

  6. 指定要与终端节点网络接口关联的安全组。

    选择安全组。

  7. (可选)指定自定义策略以控制访问 X-Ray 服务的权限。默认情况下,允许完全访问。

控制对 X-Ray VPC 的访问

VPC 终端节点策略是一种 IAM 资源策略,您在创建或修改端点时可将它附加到端点。如果您在创建端点时未附加策略,Amazon VPC 会为您附加一个默认策略,该策略允许对服务的完全访问。端点策略不会覆盖或替换 IAM 用户策略或服务特定的策略。这是一个单独的策略,用于控制从终端节点中对指定服务进行的访问。终端节点策略必须采用 JSON 格式编写。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 终端节点控制对服务的访问

VPC 终端节点策略允许您控制各种 X-Ray 操作的权限。例如,您可以创建一个策略,以仅允许 PutTraceSegment 并拒绝所有其他操作。这会限制 VPC 中的工作负载和服务仅向 X-Ray 发送跟踪数据并拒绝任何其他操作,例如检索数据、更改加密配置或创建/更新组。

下面是 X-Ray------------的终端节点策略示例。此策略允许通过 VPC 连接到 X-Ray 的用户将分段数据发送到 X-Ray,并阻止他们执行其他 X-Ray 操作。

 {"Statement": [
     {"Sid": "Allow PutTraceSegments",
       "Principal": "*",
       "Action": [
         "xray:PutTraceSegments"
       ],
       "Effect": "Allow",
       "Resource": "*"
     }
   ]
 }

编辑 X-Ray-----------的 VPC

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoints(端点)

  3. 如果您尚未为 X-Ray 创建终端节点,请按照为 X-Ray 创建.

  4. 选择com.amazonaws.领域.x-ray终端节点,然后选择策略选项卡。

  5. 选择 Edit Policy (编辑策略),然后进行更改。

支持的区域

X-Ray 当前在以下方面支持 VPC 终端Amazon区域:

  • 美国东部(俄亥俄)

  • 美国东部(弗吉尼亚北部)

  • 美国西部(加利福尼亚北部)

  • 美国西部(俄勒冈)

  • Africa (Cape Town)

  • Asia Pacific (Hong Kong)

  • Asia Pacific (Mumbai)

  • Asia Pacific (Osaka)

  • Asia Pacific (Seoul)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 亚太区域(东京)

  • 加拿大(中部)

  • 欧洲(法兰克福)

  • 欧洲(爱尔兰)

  • 欧洲(伦敦)

  • 欧洲(米兰)

  • Europe (Paris)

  • Europe (Stockholm)

  • Middle East (Bahrain)

  • 南美洲(圣保罗)

  • Amazon GovCloud (美国东部)

  • Amazon GovCloud (美国西部)