租户隔离
当您需要为调用 Lambda 函数的单个最终用户或租户进行隔离请求处理时,请使用租户隔离模式。此功能可简化处理租户特定代码或数据的多租户应用程序的构建过程,例如用于工作流自动化或代码执行的 SaaS 平台,无需管理租户特定的功能资源和请求路由逻辑。
多租户应用程序在为各个租户或终端用户运行代码或处理数据时,需要具备严格的隔离要求。在租户隔离模式下,Lambda 使用客户指定的租户标识符来将请求路由至底层函数执行环境,从而确保函数的执行环境仅用于为指定的终端用户或租户提供调用服务。Lambda 的函数执行环境利用 Firecracker 虚拟化
当使用租户隔离模式的函数接收到带有租户标识符的调用请求时,Lambda 会首先尝试查找与该租户标识符相关的可用执行环境。如果不存在执行环境,Lambda 会为该租户创建并分配一个新的执行环境。当具有指定租户标识符的函数调用纵向扩展时,Lambda 会根据需要自动查找或创建新的执行环境。
主题
何时使用租户隔离模式
当您需要通过单个 Lambda 函数为多个终端用户或租户提供服务时,请使用租户隔离模式,同时确保用于处理各个租户调用的执行环境彼此之间保持隔离。对于多租户应用程序,这种严格的执行环境隔离对于以下操作是必不可少的:
-
执行最终用户提供的代码:为各个租户维护单独的执行环境可以限制执行用户提供的可能不正确或恶意的代码产生的影响。
-
处理租户特定的数据:为各个租户维护单独的执行环境可以防止特定于租户的敏感数据泄露给其他租户。
来自同一租户的多个调用请求可以重复使用相同的函数执行环境,从而减少冷启动次数,并提高对延迟敏感型应用程序的响应速度。
支持的功能和限制
使用函数 URL、预置并发或 SnapStart 的函数不支持租户隔离模式。您可以使用同步调用、异步调用或通过将 Amazon API Gateway 用作事件触发器来向租户隔离函数发送请求。
支持的 Amazon Web Services 区域
除亚太地区(新西兰)区域以外的所有商业区域均支持租户隔离模式。
注意事项
将租户隔离用于 Lambda 函数时,请务必注意以下事项:
定价
当 Lambda 创建新的租户隔离执行环境时,将会向您收费。此价格取决于您为函数分配的内存量和您使用的 CPU 架构。有关更多信息,请参阅 Amazon Lambda 定价
隔离模式
下表概述了使用租户隔离和不使用租户隔离的 Lambda 函数之间的差异。
| 功能 | 使用租户隔离 | 不使用租户隔离 |
|---|---|---|
| 隔离类型 | 租户级隔离 | 函数级隔离 |
| 环境重用 | 执行环境在不同租户之间绝不会被重复使用 | 执行环境可以在同一函数的不同调用中重复使用 |
| 数据隔离 | 无法访问其他租户的数据 | 可以访问之前调用相同函数版本时所获取的数据 |
| 冷启动 | 由于租户特定的环境,冷启动次数增多 | 由于环境重复使用,冷启动次数减少 |
| 定价 | 除标准 Lambda 定价之外的额外费用 | 标准 Lambda 定价 |