Lambda 托管实例的联网 - Amazon Lambda
连接选项具有互联网网关的公有子网VPC 端点具有 NAT 网关的私有子网选择连接选项后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Lambda 托管实例的联网

运行 Lambda 托管实例函数时,您需要配置网络连接,以使您的函数能够访问 VPC 外部的资源。这包括 Amazon S3 和 DynamoDB 等 Amazon 服务。将遥测数据传输到 CloudWatch Logs 和 X-Ray 也需要此连接。

连接选项

配置 VPC 连接有三种主要方法,每种方法在成本、安全性和复杂性方面都有不同的优缺点。

具有互联网网关的公有子网

此选项采用公有子网,并通过互联网网关实现与互联网的直接连接。您可以在 IPv4 和 IPv6 配置之间进行选择。

具有互联网网关的 IPv4

要使用互联网网关配置 IPv4 连接

  1. 创建或使用具有 IPv4 CIDR 数据块的现有公有子网。

  2. 将 Internet 网关附加到 VPC。

  3. 更新路由表以将 0.0.0.0/0 流量路由到互联网网关。

  4. 确保已为资源分配公有 IPv4 地址或弹性 IP 地址。

  5. 配置安全组,以允许在所需端口上进行出站流量传输。

此配置提供双向连接,既支持您的函数的出站连接,也支持来自互联网的入站连接。

具有互联网网关的 IPv6

要使用互联网网关配置 IPv6 连接

  1. 在您的 VPC 上启用 IPv6。

  2. 创建或使用分配了 IPv6 CIDR 数据块的现有公有子网。

  3. 将互联网网关连接到您的 VPC(同一个互联网网关可以同时处理 IPv4 和 IPv6)。

  4. 更新路由表以将 ::/0 流量路由到互联网网关。

  5. 确认您需要访问的 Amazon 服务在您所在区域支持 IPv6。

  6. 配置安全组,以允许在所需端口上进行出站流量传输。

此配置使用 IPv6 寻址提供双向连接。

带仅传出互联网网关的 IPv6

要使用仅传出互联网网关配置 IPv6 连接

  1. 在您的 VPC 上启用 IPv6。

  2. 创建或使用分配了 IPv6 CIDR 数据块的现有公有子网。

  3. 将仅传出互联网网关连接到您的 VPC。

  4. 更新路由表以将 ::/0 流量路由到仅传出互联网网关。

  5. 确认您需要访问的 Amazon 服务在您所在区域支持 IPv6。

  6. 配置安全组,以允许在所需端口上进行出站流量传输。

此配置提供仅限出站的连接,防止来自互联网的入站连接,同时允许您的函数启动出站连接。

VPC 端点

VPC 端点使您无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接即可将 VPC 私密地连接到支持的 Amazon 服务。您的 VPC 和Amazon服务之间的流量不会脱离 Amazon 网络。

要配置 VPC 端点

  1. 通过 console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。

  2. 在导航窗格中,选择端点

  3. 选择 创建端点

  4. 对于服务类别,选择 Amazon 服务

  5. 对于服务名称,选择您需要的服务端点(例如,为 Amazon S3 选择 com.amazonaws.region.s3)。

  6. 对于 VPC,选择您的 VPC。

  7. 对于子网,选择要在其中创建端点网络接口的子网。要获得高可用性,在多个可用区中选择子网。

  8. 对于安全组,选择要与端点网络接口关联的安全组。安全组必须在所需端口上允许来自您的函数安全组的入站流量。

  9. 选择创建端点

针对您的函数需要访问的每个 Amazon 服务重复这些步骤。

具有 NAT 网关的私有子网

该选项使用 NAT 网关为私有子网中的资源提供互联网访问,同时确保这些资源保持私有状态。

要配置具有 NAT 网关的私有子网

  1. 使用 CIDR 数据块创建公有子网(如果尚不存在)。

  2. 将 Internet 网关附加到 VPC。

  3. 在公有子网中创建一个 NAT 网关,并分配弹性 IP 地址。

  4. 更新公有子网路由表以添加路由:0.0.0.0/0 → 互联网网关。

  5. 创建或使用具有 CIDR 数据块的现有私有子网。

  6. 更新私有子网路由表以添加路由:0.0.0.0/0 → NAT 网关。

  7. 配置安全组,以允许在所需端口上进行出站流量传输。

为了实现高可用性,请在每个可用区部署一个 NAT 网关,并对每个可用区的路由表进行配置,以使用本地 NAT 网关。这样可以防止跨可用区的数据传输费用并提高弹性。

选择连接选项

在选择连接选项时,请考虑以下因素:

带有互联网网关的公有子网

  • 配置最简单,成本最低

  • 适用于开发和测试环境

  • 资源可以接收来自互联网的入站连接(安全考虑因素)

  • 同时支持 IPv4 和 IPv6

VPC 端点

  • 最高安全性,流量留存在 Amazon 网络内

  • 与互联网路由相比,延迟更低

  • 推荐用于具有严格安全要求的生产环境

  • 每个端点、每个可用区以及处理的每 GB 数据的成本更高

  • 每个可用区都需要一个端点才能实现高可用性

具有 NAT 网关的私有子网

  • 资源保持私有性,没有入站互联网访问权限

  • 标准的企业架构模式

  • 支持所有的 IPv4 互联网流量

  • 成本适中,包括按小时收取 NAT 的网关费用和数据处理费

  • 仅支持 IPv4

后续步骤