Redes para instancias administradas de Lambda - AWS Lambda
Opciones de conectividadUna subred pública con puerta de enlace de InternetPuntos de conexión de VPCSubred privada con puerta de enlace NATElección de una opción de conectividadSiguientes pasos

Redes para instancias administradas de Lambda

Cuando ejecuta las funciones de instancias administradas de Lambda, debe configurar la conectividad de red para permitir que sus funciones accedan a recursos externos a la VPC. Esto incluye servicios de AWS como Amazon S3 y DynamoDB. La conectividad también es necesaria para transmitir datos de telemetría a Registros de CloudWatch y X-Ray.

Opciones de conectividad

Existen tres enfoques principales para configurar la conectividad de la VPC, cada uno con diferentes ventajas y desventajas en cuanto a costo, seguridad y complejidad.

Una subred pública con puerta de enlace de Internet

Esta opción utiliza una subred pública con acceso directo a Internet a través de una puerta de enlace de Internet. Puede elegir entre configuraciones de IPv4 e IPv6.

IPv4 con puerta de enlace de Internet

Cómo configurar la conectividad IPv4 con una puerta de enlace de Internet

  1. Cree o utilice una subred pública existente con un bloque de CIDR IPv4.

  2. Adjunte un gateway de Internet a su VPC.

  3. Actualice la tabla de enrutamiento para enrutar el tráfico de 0.0.0.0/0 a la puerta de enlace de Internet.

  4. Asegúrese de que los recursos tengan direcciones IPv4 públicas o direcciones IP elásticas asignadas.

  5. Configure grupos de seguridad para permitir el tráfico saliente en los puertos necesarios.

Esta configuración proporciona conectividad bidireccional, lo que permite tanto las conexiones salientes desde sus funciones como las entrantes desde Internet.

IPv6 con puerta de enlace de Internet

Cómo configurar la conectividad IPv6 con una puerta de enlace de Internet

  1. Habilite IPv6 en su VPC.

  2. Cree o utilice una subred pública existente con un bloque de CIDR IPv6 asignado.

  3. Adjunte una puerta de enlace de Internet a su VPC (la misma puerta de enlace de Internet puede gestionar tanto IPv4 como IPv6).

  4. Actualice la tabla de enrutamiento para enrutar el tráfico de ::/0 a la puerta de enlace de Internet.

  5. Compruebe que los servicios de AWS a los que necesita acceder sean compatibles con IPv6 en su región.

  6. Configure grupos de seguridad para permitir el tráfico saliente en los puertos necesarios.

Esta configuración proporciona conectividad bidireccional mediante el direccionamiento IPv6.

IPv6 con puerta de enlace de Internet solo de salida

Cómo configurar la conectividad IPv6 con una puerta de enlace de Internet solo de salida

  1. Habilite IPv6 en su VPC.

  2. Cree o utilice una subred pública existente con un bloque de CIDR IPv6 asignado.

  3. Asocie una puerta de enlace de Internet solo de salida a su VPC.

  4. Actualice la tabla de enrutamiento para enrutar el tráfico de ::/0 a la puerta de enlace de Internet solo de salida.

  5. Compruebe que los servicios de AWS a los que necesita acceder sean compatibles con IPv6 en su región.

  6. Configure grupos de seguridad para permitir el tráfico saliente en los puertos necesarios.

Esta configuración proporciona conectividad solo de salida, lo que evita las conexiones entrantes desde Internet y permite que sus funciones inicien las conexiones salientes.

Puntos de conexión de VPC

Los puntos de conexión de VPC le permiten conectar de forma privada su VPC a los servicios de AWS compatibles sin necesidad de una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN o una conexión de Direct Connect de AWS. El tráfico entre su VPC y el servicio AWS no sale de la red de Amazon.

Cómo configurar puntos de conexión de VPC

  1. Abra la consola de Amazon VPC en console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión.

  3. Elija Crear punto de conexión.

  4. En Service category (Categoría de servicios), elija AWSServices (Servicios de AWC).

  5. En Nombre del servicio, seleccione el punto de conexión del servicio que necesita (por ejemplo, com.amazonaws.region.s3 para Amazon S3).

  6. En VPC, seleccione la VPC.

  7. En Subredes, seleccione las subredes en las que quiere crear las interfaces de red de punto de conexión. Para lograr un mayor nivel de disponibilidad, seleccione subredes en varias zonas de disponibilidad.

  8. En Grupos de seguridad, seleccione los grupos de seguridad que deban asociarse a las interfaces de red del punto de conexión. Los grupos de seguridad deben permitir el tráfico entrante desde el grupo de seguridad de la función en los puertos necesarios.

  9. Seleccione Crear punto de conexión.

Repita estos pasos para cada servicio de AWS al que tengan que acceder sus funciones.

Subred privada con puerta de enlace NAT

Esta opción utiliza una puerta de enlace NAT para proporcionar acceso a Internet para los recursos en las subredes privadas y, al mismo tiempo, mantener la privacidad de los recursos.

Cómo configurar una subred privada con una puerta de enlace NAT

  1. Cree una subred pública (si aún no existe) con un bloque de CIDR.

  2. Adjunte un gateway de Internet a su VPC.

  3. Cree una puerta de enlace NAT en la subred pública y asigne una dirección IP elástica.

  4. Actualice la tabla de enrutamiento de la subred pública para añadir una ruta: 0.0.0.0/0 → puerta de enlace de Internet.

  5. Cree o utilice una subred privada existente con un bloque de CIDR.

  6. Actualice la tabla de enrutamiento de la subred privada para añadir una ruta: 0.0.0.0/0 → puerta de enlace NAT.

  7. Configure grupos de seguridad para permitir el tráfico saliente en los puertos necesarios.

Para obtener una alta disponibilidad, implemente una puerta de enlace NAT en cada zona de disponibilidad y configure las tablas de enrutamiento por zona de disponibilidad para usar la puerta de enlace NAT local. Esto evita los cargos por transferencia de datos entre zonas de disponibilidad y mejora la resiliencia.

Elección de una opción de conectividad

Considere los siguientes factores cuando elija una opción de conectividad:

Subred pública con puerta de enlace de Internet

  • La configuración más sencilla con el costo más bajo.

  • Adecuada para entornos de desarrollo y pruebas.

  • Los recursos pueden recibir conexiones entrantes de Internet (por motivos de seguridad).

  • Compatible con IPv4 e IPv6.

Puntos de conexión de VPC de

  • Máxima seguridad, el tráfico permanece dentro de la red de AWS.

  • Menor latencia en comparación con el enrutamiento de Internet.

  • Recomendados para entornos de producción con requisitos de seguridad estrictos.

  • Mayor costo por punto de conexión, por zona de disponibilidad y por GB procesado.

  • Requieren un punto de conexión en cada zona de disponibilidad para una alta disponibilidad.

Subred privada con puerta de enlace NAT

  • Los recursos permanecen privados sin acceso entrante a Internet.

  • Patrón de arquitectura empresarial estándar.

  • Compatible con todo el tráfico de Internet IPv4.

  • Costo moderado con una puerta de enlace NAT por hora y cargos por procesamiento de datos.

  • Solo compatible con IPv4.

Siguientes pasos