Mise en réseau pour les instances gérées par Lambda - AWS Lambda
Options de connectivitéSous-réseau public avec passerelle InternetPoints de terminaison d’un VPCSous-réseau privé avec passerelle NATChoix d'une option de connectivitéÉtapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise en réseau pour les instances gérées par Lambda

Lorsque vous exécutez les fonctions d'instances gérées Lambda, vous devez configurer la connectivité réseau pour permettre à vos fonctions d'accéder à des ressources en dehors du VPC. Cela inclut des AWS services tels qu'Amazon S3 et DynamoDB. La connectivité est également nécessaire pour transmettre des données de télémétrie à CloudWatch Logs and X-Ray.

Options de connectivité

Il existe trois approches principales pour configurer la connectivité VPC, chacune avec des compromis différents en termes de coût, de sécurité et de complexité.

Sous-réseau public avec passerelle Internet

Cette option utilise un sous-réseau public avec un accès direct à Internet via une passerelle Internet. Vous pouvez choisir entre IPv4 et IPv6 configurations.

IPv4 avec passerelle Internet

Pour configurer IPv4 la connectivité avec une passerelle Internet

  1. Créez ou utilisez un sous-réseau public existant avec un bloc IPv4 CIDR.

  2. Attachez une passerelle Internet à votre VPC.

  3. Mettez à jour la table de routage pour acheminer le 0.0.0.0/0 trafic vers la passerelle Internet.

  4. Assurez-vous que des IPv4 adresses publiques ou des adresses IP élastiques sont attribuées aux ressources.

  5. Configurez les groupes de sécurité pour autoriser le trafic sortant sur les ports requis.

Cette configuration fournit une connectivité bidirectionnelle, autorisant à la fois les connexions sortantes depuis vos fonctions et les connexions entrantes depuis Internet.

IPv6 avec passerelle Internet

Pour configurer IPv6 la connectivité avec une passerelle Internet

  1. Activez IPv6 sur votre VPC.

  2. Créez ou utilisez un sous-réseau public existant auquel un bloc IPv6 CIDR est attribué.

  3. Connectez une passerelle Internet à votre VPC (la même passerelle Internet peut gérer IPv4 les IPv6 deux).

  4. Mettez à jour la table de routage pour acheminer le ::/0 trafic vers la passerelle Internet.

  5. Vérifiez les AWS services dont vous avez besoin pour accéder à l'assistance IPv6 dans votre région.

  6. Configurez les groupes de sécurité pour autoriser le trafic sortant sur les ports requis.

Cette configuration fournit une connectivité bidirectionnelle à l'aide de l' IPv6 adressage.

IPv6 avec passerelle Internet de sortie uniquement

Pour configurer IPv6 la connectivité avec une passerelle Internet de sortie uniquement

  1. Activez IPv6 sur votre VPC.

  2. Créez ou utilisez un sous-réseau public existant auquel un bloc IPv6 CIDR est attribué.

  3. Connectez une passerelle Internet de sortie uniquement à votre VPC.

  4. Mettez à jour la table de routage pour acheminer le ::/0 trafic vers la passerelle Internet de sortie uniquement.

  5. Vérifiez les AWS services dont vous avez besoin pour accéder à l'assistance IPv6 dans votre région.

  6. Configurez les groupes de sécurité pour autoriser le trafic sortant sur les ports requis.

Cette configuration fournit une connectivité sortante uniquement, empêchant les connexions entrantes en provenance d'Internet tout en permettant à vos fonctions d'initier des connexions sortantes.

Points de terminaison d’un VPC

Les points de terminaison VPC vous permettent de connecter en privé votre VPC aux AWS services pris en charge sans avoir besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion Direct Connect. AWS Le trafic entre votre VPC et le AWS service ne quitte pas le réseau Amazon.

Pour configurer les points de terminaison VPC

  1. Ouvrez la console Amazon VPC à l'adresse console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Choisissez Créer un point de terminaison.

  4. Pour Service category (Catégorie de service), choisissez Services AWS .

  5. Dans Nom du service, sélectionnez le point de terminaison de service dont vous avez besoin (par exemple, com.amazonaws.region.s3 pour Amazon S3).

  6. Pour VPC, sélectionnez votre VPC.

  7. Pour les sous-réseaux, sélectionnez les sous-réseaux dans lesquels vous souhaitez créer des interfaces réseau de point de terminaison. Pour une haute disponibilité, sélectionnez des sous-réseaux dans plusieurs zones de disponibilité.

  8. Pour Security groups (Groupes de sécurité), sélectionnez les groupes de sécurité à associer aux interfaces réseau du point de terminaison. Les groupes de sécurité doivent autoriser le trafic entrant en provenance du groupe de sécurité de votre fonction sur les ports requis.

  9. Choisissez Créer un point de terminaison.

Répétez ces étapes pour chaque AWS service auquel vos fonctions doivent accéder.

Sous-réseau privé avec passerelle NAT

Cette option utilise une passerelle NAT pour fournir un accès Internet aux ressources des sous-réseaux privés tout en préservant la confidentialité des ressources.

Pour configurer un sous-réseau privé avec une passerelle NAT

  1. Créez un sous-réseau public (s'il n'en existe pas déjà un) avec un bloc CIDR.

  2. Attachez une passerelle Internet à votre VPC.

  3. Créez une passerelle NAT dans le sous-réseau public et attribuez une adresse IP élastique.

  4. Mettez à jour la table de routage du sous-réseau public pour ajouter une route : 0.0.0.0/0 → passerelle Internet.

  5. Créez ou utilisez un sous-réseau privé existant avec un bloc CIDR.

  6. Mettez à jour la table de routage du sous-réseau privé pour ajouter une route : 0.0.0.0/0 → passerelle NAT.

  7. Configurez les groupes de sécurité pour autoriser le trafic sortant sur les ports requis.

Pour une haute disponibilité, déployez une passerelle NAT dans chaque zone de disponibilité et configurez des tables de routage par zone de disponibilité pour utiliser la passerelle NAT locale. Cela permet d'éviter les frais de transfert de données entre AZ et d'améliorer la résilience.

Choix d'une option de connectivité

Tenez compte des facteurs suivants lorsque vous choisissez une option de connectivité :

Sous-réseau public avec passerelle Internet

  • Configuration la plus simple au moindre coût

  • Adapté aux environnements de développement et de test

  • Les ressources peuvent recevoir des connexions entrantes depuis Internet (considérations de sécurité)

  • Supporte à la fois IPv4 et IPv6

Points de terminaison d'un VPC

  • Sécurité maximale, le trafic reste sur le AWS réseau

  • Latence plus faible par rapport au routage Internet

  • Recommandé pour les environnements de production soumis à des exigences de sécurité strictes

  • Coût plus élevé par point de terminaison, par zone de disponibilité et par Go traité

  • Nécessite un point de terminaison dans chaque zone de disponibilité pour une haute disponibilité

Sous-réseau privé avec passerelle NAT

  • Les ressources restent privées sans accès Internet entrant

  • Modèle d'architecture d'entreprise standard

  • Supporte tout le trafic IPv4 Internet

  • Coût modéré avec frais horaires de passerelle NAT et frais de traitement des données

  • Supports IPv4 uniquement

Étapes suivantes