将 Amazon X-Ray 与 VPC 端点结合使用 - Amazon X-Ray
为 X-Ray 创建 VPC 端点控制对 X-Ray VPC 端点的访问支持的区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon X-Ray 与 VPC 端点结合使用

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 托管 Amazon 资源,则可以在您的 VPC 和 X-Ray 之间建立私有连接。这让 Amazon VPC 中的资源能够与 X-Ray 服务进行通信而不用访问公共互联网。

Amazon VPC 是一项 Amazon Web Service,可用来启动在虚拟网络中定义的 Amazon 资源。借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。要将 VPC 连接到 X-Ray,请定义一个接口 VPC 端点。该端点提供了到 X-Ray 的可靠、可扩展的连接,无需 Internet 网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅 Amazon VPC 用户指南中的什么是 Amazon VPC

接口 VPC 端点由 Amazon PrivateLink 提供支持,后者是一种Amazon技术,可将弹性网络接口与私有 IP 地址结合使用来支持Amazon Web Services之间的私有通信。有关更多信息,请参阅《Amazon VPC 用户指南》中的新功能 - 适用于 Amazon Web Services 的 Amazon PrivateLink 博客文章和入门

如需确保可以为选择的 Amazon Web Services 区域 中 X-Ray 创建 VPC 端点,请参阅支持的区域

为 X-Ray 创建 VPC 端点

要开始将您的 X-Ray 与 VPC 一起使用,请为 X-Ray 创建接口 VPC 端点。

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中导航到端点,然后选择创建端点

  3. 搜索并选择Amazon X-Ray服务名称:com.amazonaws.region.xray

    选择服务。

  4. 选择您想要的 VPC,然后在 VPC 中选择使用接口端点的子网。所选子网中创建一个端点网络接口。您可以在不同的可用区中指定多个子网(在服务支持的情况下),以帮助确保您的接口端点能够在出现可用区故障时复原。如果执行此操作,将在您指定的每个子网中创建一个接口网络接口。

    选择 VPC 和子网。

  5. (可选)默认情况下,端点启用私有 DNS,以使您能够使用默认的 DNS 主机名向 X-Ray 发出请求。您可以选择将其禁用。

  6. 指定要与端点网络接口关联的安全组。

    选择安全组

  7. (可选)指定自定义策略来控制对 X-Ray 服务的访问权限。默认情况下,允许完全访问。

控制对 X-Ray VPC 端点的访问

VPC 端点策略是一种 IAM 资源策略,您在创建或修改端点时可将它附加到端点。如果您在创建端点时未附加策略,Amazon VPC 会为您附加一个默认策略,该策略允许对服务的完全访问。端点策略不会覆盖或替换 IAM 用户策略或服务特定的策略。这是一个单独的策略,用于控制从端点中对指定服务进行的访问。端点策略必须采用 JSON 格式编写。有关更多信息,请参阅《Amazon VPC 用户指南》中的 使用 VPC 端点控制对服务的访问

VPC 端点策略让您可以控制对多种 X-Ray 操作的权限。例如,可以创建一个策略仅允许 PutTraceSegment 并拒绝所有其他操作。这会限制 VPC 中的工作负载和服务仅将跟踪数据发送给 X-Ray,并拒绝检索数据、更改加密配置或创建/更新组等任何其他操作。

下面是用于 X-Ray 的端点策略示例。该策略允许通过 VPC 连接到 X-Ray 的用户将分段数据发送到 X-Ray,还禁止他们执行其他 X-Ray 操作。

 {"Statement": [
     {"Sid": "Allow PutTraceSegments",
       "Principal": "*",
       "Action": [
         "xray:PutTraceSegments"
       ],
       "Effect": "Allow",
       "Resource": "*"
     }
   ]
 }
编辑 X-Ray 的 VPC 端点策略

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择端点

  3. 如果您尚未为 X-Ray 创建端点,请按照为 X-Ray 创建 VPC 端点中的步骤操作。

  4. 选择 com.amazonaws.region.monitoring 端点,然后选择策略选项卡。

  5. 选择编辑策略,然后进行更改。

支持的区域

X-Ray 当前在以下Amazon Web Services 区域中支持 VPC 端点:

  • 美国东部(俄亥俄州)

  • 美国东部(弗吉尼亚州北部)

  • 美国西部(北加利福尼亚)

  • 美国西部(俄勒冈州)

  • Africa (Cape Town)

  • 亚太地区(香港)

  • Asia Pacific (Mumbai)

  • 亚太地区(大阪)

  • 亚太地区(首尔)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 亚太地区(东京)

  • 加拿大(中部)

  • 欧洲地区(法兰克福)

  • 欧洲地区(爱尔兰)

  • 欧洲地区(伦敦)

  • 欧洲地区(米兰)

  • 欧洲地区(巴黎)

  • 欧洲地区(斯德哥尔摩)

  • 中东(巴林)

  • 南美洲(圣保罗)

  • Amazon GovCloud(美国东部)

  • Amazon GovCloud(美国西部)