本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将 Amazon X-Ray 与 VPC 端点结合使用
如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 托管 Amazon 资源,则可以在您的 VPC 和 X-Ray 之间建立私有连接。这让 Amazon VPC 中的资源能够与 X-Ray 服务进行通信而不用访问公共互联网。
Amazon VPC 是一项 Amazon Web Services 服务,可用来启动在虚拟网络中定义的 Amazon 资源。借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。要将 VPC 连接到 X-Ray,请定义一个[接口 VPC 端点](https://docs.amazonaws.cn/vpc/latest/privatelink/vpce-interface.html)。该端点提供了到 X-Ray 的可靠、可扩展的连接,无需 Internet 网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅**《Amazon VPC 用户指南》中的[什么是 Amazon VPC](https://docs.amazonaws.cn/vpc/latest/userguide/)。
接口 VPC 端点由 Amazon PrivateLink 提供支持,后者是一种Amazon技术,可将弹性网络接口与私有 IP 地址结合使用来支持Amazon Web Services 服务之间的私有通信。有关更多信息,请参阅*《Amazon VPC 用户指南》*中的[新功能 - 适用于 Amazon Web Services 服务 的 Amazon PrivateLink](https://www.amazonaws.cn/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/) 博客文章和[入门](https://docs.amazonaws.cn/vpc/latest/userguide/GetStarted.html)。
如需确保可以为选择的 Amazon Web Services 区域 中 X-Ray 创建 VPC 端点,请参阅[支持的区域](#xray-vpc-availability)。
## 为 X-Ray 创建 VPC 端点
要开始将您的 X-Ray 与 VPC 一起使用,请为 X-Ray 创建接口 VPC 端点。
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中导航到**端点**,然后选择**创建端点**。
1. 搜索并选择Amazon X-Ray服务名称:`com.amazonaws.{{region}}.xray`。
1. 选择您想要的 VPC,然后在 VPC 中选择使用接口端点的子网。所选子网中创建一个端点网络接口。您可以在不同的可用区中指定多个子网(在服务支持的情况下),以帮助确保您的接口端点能够在出现可用区故障时复原。如果执行此操作,将在您指定的每个子网中创建一个接口网络接口。
1. (可选)默认情况下,端点启用私有 DNS,以使您能够使用默认的 DNS 主机名向 X-Ray 发出请求。您可以选择将其禁用。
1. 指定要与端点网络接口关联的安全组。
1. (可选)指定自定义策略来控制对 X-Ray 服务的访问权限。默认情况下,允许完全访问。
## 控制对 X-Ray VPC 端点的访问
VPC 端点策略是一种 IAM 资源策略,您在创建或修改端点时可将它附加到端点。如果您在创建端点时未附加策略,Amazon VPC 会为您附加一个默认策略,该策略允许对服务的完全访问。端点策略不会覆盖或替换 IAM 用户策略或服务特定的策略。这是一个单独的策略,用于控制从端点中对指定服务进行的访问。端点策略必须采用 JSON 格式编写。有关更多信息,请参阅**《Amazon VPC 用户指南》中的[使用 VPC 端点控制对服务的访问权限](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-endpoints-access.html)。
VPC 端点策略让您可以控制对多种 X-Ray 操作的权限。例如,可以创建一个策略仅允许 PutTraceSegment 并拒绝所有其他操作。这会限制 VPC 中的工作负载和服务仅将跟踪数据发送给 X-Ray,并拒绝检索数据、更改加密配置或创建/更新组等任何其他操作。
下面是用于 X-Ray 的端点策略示例。该策略允许通过 VPC 连接到 X-Ray 的用户将分段数据发送到 X-Ray,还禁止他们执行其他 X-Ray 操作。
```
{"Statement": [
{"Sid": "Allow PutTraceSegments",
"Principal": "*",
"Action": [
"xray:PutTraceSegments"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**编辑 X-Ray 的 VPC 端点策略**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择**端点**。
1. 如果您尚未为 X-Ray 创建端点,请按照[为 X-Ray 创建 VPC 端点](#create-VPC-endpoint-for-xray)中的步骤操作。
1. 选择 **com.amazonaws.{{region}}.monitoring** 端点,然后选择**策略**选项卡。
1. 选择**编辑策略**,然后进行更改。
## 支持的区域
X-Ray 当前在以下Amazon Web Services 区域中支持 VPC 端点:
+ 美国东部(俄亥俄州)
+ 美国东部(弗吉尼亚州北部)
+ 美国西部(加利福尼亚北部)
+ 美国西部(俄勒冈州)
+ 非洲(开普敦)
+ 亚太地区(香港)
+ Asia Pacific (Mumbai)
+ 亚太地区(大阪)
+ 亚太地区(首尔)
+ 亚太地区(新加坡)
+ 亚太地区(悉尼)
+ 亚太地区(东京)
+ 加拿大(中部)
+ 欧洲地区(法兰克福)
+ 欧洲地区(爱尔兰)
+ 欧洲地区(伦敦)
+ 欧洲地区(米兰)
+ 欧洲地区(巴黎)
+ 欧洲地区(斯德哥尔摩)
+ 中东(巴林)
+ 南美洲(圣保罗)
+ Amazon GovCloud(美国东部)
+ Amazon GovCloud(美国西部)