EC2没有外网权限时该如何监控

在没有外网的情况下需要使用 VPC Endpoint.

AWS EC2 如果需要上报日志 或者 上报监控指标数据点 到 CloudWatch 需要透过公网将日志内容上报到 CloudWatch Logs 或 CloudWatch 的外部接口，因此他需要依赖您的 0.0.0.0/0 安全组规则访问公网。现在您把这个规则移除之后，您的 EC2 无法继续上报 CloudWatch Logs 日志是预期的结果。

目前您可以透过 AWS PrivateLink (VPC Endpoint) 在您的 VPC 内网创建一个 CloudWatch Logs PrivateLink 的私有接口。如此一来，您的 EC2 可以直接透过内网将日志上报到这个 CW Logs 的 VPC Endpoint。 架构将如下方的图片。

具体操作步骤是：

1. 开启 VPC 控制台。
2. 选择 “终端节点” 然后点击 “创建终端节点” 。
3. 选择 CloudWatch（监控或日志）相关的服务名称，例如：com.amazonaws.<region>.cloudwatch(监控数据) 或 com.amazonaws.<region>.logs(日志)。
4. 选择适当的 VPC 以及要在其中创建终端节点的子网。
5. 配置安全组以允许从你的 EC2 实例到终端节点的流量。
6. 创建终端节点。

创建完毕之后，等候 PrivateLink 状态部署完成后，在您的 VPC 指定的子网内会产生专用的 Network Interface。您需要确保 EC2 的 Egress 规则可以访问这些接口的地址。 之后您就可以测试您的 EC2 是否可以成功上报 CloudWatch 指标数据点 或者 日志。

请您留意 AWS PrivateLink 将会有额外的固定费用，使用之前请您务必打开 [3] 的文件了解。

关于 AWS PrivateLink 请您参考下方的文件：

[1] 官方技术文件：https://docs.aws.amazon.com/zh_cn/vpc/latest/privatelink/privatelink-access-aws-services.html

[2] 官方博客：https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/

[3] AWS PrivateLink 定价费用：https://aws.amazon.com/cn/privatelink/pricing/