Wann sollte der Mandantenisolationsmodus verwendet werden Unterstützte Funktionen und Einschränkungen Unterstützt AWS-Regionen Überlegungen Preisgestaltung Isolationsmodus

Isolierung von Mietern

Verwenden Sie den Mandantenisolationsmodus, wenn Sie eine isolierte Anforderungsverarbeitung für einzelne Endbenutzer oder Mandanten benötigen, die eine Lambda-Funktion aufrufen. Diese Funktion vereinfacht die Erstellung von Mehrmandantenanwendungen, die mandantenspezifischen Code oder Daten verarbeiten, wie z. B. SaaS-Plattformen für die Workflow-Automatisierung oder Codeausführung, da die Verwaltung mandantenspezifischer Funktionsressourcen und die Anforderungsrouting-Logik entfällt.

Für Anwendungen mit mehreren Mandanten gelten strenge Isolationsanforderungen, wenn sie Code ausführen oder Daten für einzelne Mandanten oder Endbenutzer verarbeiten. Im Tenant-Isolationsmodus verwendet Lambda eine vom Kunden angegebene Mandanten-ID, um Anfragen an die zugrunde liegenden Funktionsausführungsumgebungen weiterzuleiten. Dadurch wird sichergestellt, dass die Ausführungsumgebungen einer Funktion nur für Aufrufe vom angegebenen Endbenutzer oder Mandanten verwendet werden. Die Funktionsausführungsumgebungen von Lambda nutzen die Firecracker-Virtualisierung, um Workloads zu isolieren.

Wenn eine Funktion, die den Tenant-Isolationsmodus verwendet, einen Aufruf mit einer Mandanten-ID empfängt, versucht Lambda zunächst, eine verfügbare Ausführungsumgebung zu finden, die dieser Mandanten-ID zugeordnet ist. Wenn keine Ausführungsumgebungen vorhanden sind, erstellt Lambda eine neue Ausführungsumgebung und weist diesem Mandanten eine neue Ausführungsumgebung zu. Wenn Funktionsaufrufe mit der angegebenen Mandanten-ID immer größer werden, sucht Lambda nach Bedarf nach neuen Ausführungsumgebungen oder erstellt sie.

Themen

Wann sollte der Mandantenisolationsmodus verwendet werden

Verwenden Sie den Mandantenisolationsmodus, wenn Sie mehrere Endbenutzer oder Mandanten mit einer einzigen Lambda-Funktion bedienen müssen, und stellen Sie gleichzeitig sicher, dass die Ausführungsumgebungen, die zur Verarbeitung von Aufrufen für einzelne Mandanten verwendet werden, voneinander isoliert bleiben. Diese strikte Isolierung der Ausführungsumgebungen ist für Mehrmandantenanwendungen erforderlich, die:

Vom Endbenutzer bereitgestellten Code ausführen: Durch die Beibehaltung separater Ausführungsumgebungen für einzelne Mandanten können die Auswirkungen der Ausführung von vom Benutzer bereitgestelltem Code, der falsch oder bösartig sein kann, begrenzt werden.
Verarbeitung mandantenspezifischer Daten: Durch die Beibehaltung separater Ausführungsumgebungen für einzelne Mandanten kann verhindert werden, dass vertrauliche mandantenspezifische Daten an andere Mandanten weitergegeben werden.

Durch mehrere Aufrufanfragen desselben Mandanten kann dieselbe Funktionsausführungsumgebung wiederverwendet werden, wodurch Kaltstarts reduziert und die Reaktionszeiten für latenzempfindliche Anwendungen verbessert werden.

Unterstützte Funktionen und Einschränkungen

Der Isolationsmodus für Mandanten wird bei Funktionen, die Function, Provisioned Concurrency oder verwenden URLs, nicht unterstützt. SnapStart Sie können Anfragen an eine vom Mandanten isolierte Funktion senden, indem Sie synchrone Aufrufe, asynchrone Aufrufeoder Amazon API Gateway als Event-Trigger verwenden.

Unterstützt AWS-Regionen

Der Mandantenisolationsmodus wird in allen kommerziellen Regionen außer Asien-Pazifik (Neuseeland) unterstützt.

Überlegungen

Beachten Sie Folgendes, wenn Sie Tenant Isolation mit Ihren Lambda-Funktionen verwenden:

Unveränderliche Konfiguration: Die Mandantenisolierung ist eine unveränderliche Funktionseigenschaft. Sie kann nur aktiviert werden, wenn eine Funktion erstellt wird.
Erforderlicher Tenant-ID-Parameter: Funktionen, die den Tenant-Isolationsmodus verwenden, müssen mit einem Parameter aufgerufen werden. tenant-id Wenn Sie diesen Parameter weglassen, schlagen Funktionsaufrufe fehl.
Die Ausführungsrolle gilt für alle Mandanten: Aufrufe von allen Mandanten verwenden die in der Ausführungsrolle Ihrer Lambda-Funktion definierten Berechtigungen.
Parallelität: Es gibt keine Änderungen an der Parallelität oder dem Skalierungsverhalten Ihrer Funktion, wenn Sie die Mandantenisolierung verwenden. Lambda legt eine Obergrenze von 2.500 mandantenisolierten Ausführungsumgebungen (aktiv oder inaktiv) für jeweils 1.000 gleichzeitige Ausführungen fest, die für Ihre Lambda-Funktion konfiguriert sind.

Preisgestaltung

Ihnen wird eine Gebühr berechnet, wenn Lambda eine neue, vom Mandanten isolierte Ausführungsumgebung erstellt. Der Preis hängt von der Speichermenge ab, die Sie Ihrer Funktion zuweisen, und von der CPU-Architektur, die Sie verwenden. Weitere Informationen finden Sie unter AWS Lambda Preise.

Isolationsmodus

In der folgenden Tabelle werden die Unterschiede zwischen Lambda-Funktionen mit und ohne Mandantenisolierung beschrieben.

Feature	Mit Mandantenisolierung	Ohne Isolierung der Mieter
Art der Isolierung	Isolierung auf Mandantenebene	Isolierung auf Funktionsebene
Wiederverwendung der Umgebung	Ausführungsumgebungen werden niemals mandantenübergreifend wiederverwendet	Ausführungsumgebungen können bei Aufrufen derselben Funktion wiederverwendet werden
Datenisolierung	Auf Daten von anderen Mandanten kann nicht zugegriffen werden	Auf Daten aus früheren Aufrufen derselben Funktionsversion kann möglicherweise zugegriffen werden
Kalte Starts	Mehr Kaltstarts aufgrund von mieterspezifischen Umgebungen	Weniger Kaltstarts aufgrund der Wiederverwendung der Umgebung
Preisgestaltung	Zusätzliche Gebühr neben den Standard-Lambda-Preisen	Lambda-Standardpreise

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Fehlerbehebung

Aktivierung der Mandantenisolierung