Rede para instâncias gerenciadas do Lambda - AWS Lambda
Opções de conectividadeSub-rede pública com um gateway da InternetEndpoints da VPCSub-rede privada com um gateway de NATEscolha de uma opção de conectividadePróximas etapas

Rede para instâncias gerenciadas do Lambda

Ao executar funções de instâncias gerenciadas do Lambda, é necessário configurar a conectividade de rede para permitir que suas funções acessem recursos fora da VPC. Isso inclui serviços da AWS como o Amazon S3 e o DynamoDB. A conexão também é necessária para transmitir dados de telemetria para o CloudWatch Logs e o X-Ray.

Opções de conectividade

Há três abordagens principais para configurar a conectividade da VPC, cada uma com diferentes compensações de custo, segurança e complexidade.

Sub-rede pública com um gateway da Internet

Essa opção usa uma sub-rede pública com acesso direto à Internet por meio de um gateway da Internet. É possível escolher entre configurações IPv4 e IPv6.

IPv4 com gateway da Internet

Para configurar a conectividade de IPv4 com um gateway da Internet

  1. Crie ou use uma sub-rede pública existente com um bloco CIDR IPv4.

  2. Anexar um gateway da Internet à VPC.

  3. Atualize a tabela de rotas para rotear o tráfego de 0.0.0.0/0 para o gateway da Internet.

  4. Certifique-se de que os recursos tenham endereços IPv4 públicos ou endereços IP elásticos atribuídos a ela.

  5. Configurar grupos de segurança para permitir o tráfego de saída nas portas necessárias.

Essa configuração fornece conectividade bidirecional, permitindo conexões de saída de suas funções e conexões de entrada da Internet.

IPv6 com gateway da Internet

Para configurar a conectividade de IPv6 com um gateway da Internet

  1. Ative o IPv6 na sua VPC.

  2. Crie ou use uma sub-rede pública existente com um bloco CIDR IPv6 atribuído.

  3. Conecte um gateway da Internet à sua VPC (o mesmo gateway da Internet pode lidar com IPv4 e IPv6).

  4. Atualize a tabela de rotas para rotear o tráfego de ::/0 para o gateway da Internet.

  5. Verifique se os serviços da AWS que você precisa acessar oferecem suporte a IPv6 na sua região.

  6. Configurar grupos de segurança para permitir o tráfego de saída nas portas necessárias.

Essa configuração fornece conectividade bidirecional usando endereçamento IPv6.

IPv6 com gateway da Internet somente de saída

Para configurar a conectividade de IPv6 com um gateway da Internet somente de saída

  1. Ative o IPv6 na sua VPC.

  2. Crie ou use uma sub-rede pública existente com um bloco CIDR IPv6 atribuído.

  3. Vincule um gateway da Internet somente de saída à sua VPC.

  4. Atualize a tabela de rotas para rotear o tráfego de ::/0 para o gateway da Internet somente de saída.

  5. Verifique se os serviços da AWS que você precisa acessar oferecem suporte a IPv6 na sua região.

  6. Configurar grupos de segurança para permitir o tráfego de saída nas portas necessárias.

Essa configuração fornece conectividade somente de saída, impedindo conexões de entrada da Internet e permitindo que suas funções iniciem as conexões de saída.

Endpoints da VPC

Os endpoints da VPC permitem que você conecte de forma privada sua VPC aos serviços da AWS com suporte sem exigir um gateway da Internet, dispositivo NAT, conexão de VPN ou conexão do AWS Direct Connect. O tráfego entre sua VPC e o serviço da AWS não sai da rede da Amazon.

Para configurar endpoints da VPC

  1. Abra o console da Amazon VPC, em console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints.

  3. Escolha Criar endpoint.

  4. Em Categoria do serviço, escolha Serviços do AWS.

  5. Em Nome do serviço, selecione o endpoint de serviço de que você precisa (por exemplo, com.amazonaws.region.s3 para o Amazon S3).

  6. Em VPC, selecione sua VPC.

  7. Em Sub-redes, selecione as sub-redes nas quais deseja criar as interfaces de rede de endpoint. Para obter alta disponibilidade, selecione sub-redes em várias zonas de disponibilidade.

  8. Em Grupos de segurança, selecione os grupos de segurança para associar às interfaces de rede do endpoint. Os grupos de segurança devem permitir tráfego de entrada do grupo de segurança da sua função nas portas necessárias.

  9. Escolha Criar endpoint.

Repita essas etapas para cada serviço da AWS que suas funções precisem acessar.

Sub-rede privada com um gateway de NAT

Essa opção usa um gateway de NAT para fornecer acesso à Internet para recursos em sub-redes privadas, mantendo os recursos privados.

Para configurar uma sub-rede privada com um gateway de NAT

  1. Crie uma sub-rede pública (se ainda não existir) com um bloco CIDR.

  2. Anexar um gateway da Internet à VPC.

  3. Crie um gateway de NAT na sub-rede pública e atribua um endereço IP elástico.

  4. Atualize a tabela de rotas da sub-rede pública para adicionar uma rota:0.0.0.0/0 → gateway da Internet.

  5. Crie ou use uma sub-rede provada existente com um bloco CIDR.

  6. Atualize a tabela de rotas da sub-rede privada para adicionar a rota: 0.0.0.0/0 → gateway de NAT.

  7. Configurar grupos de segurança para permitir o tráfego de saída nas portas necessárias.

Para obter alta disponibilidade, implante um gateway de NAT em cada zona de disponibilidade e configure tabelas de rotas por zona de disponibilidade para usar o gateway de NAT local. Isso evita cobranças de transferência de dados entre AZs e melhora a resiliência.

Escolha de uma opção de conectividade

Considere os fatores a seguir ao escolher uma opção de conectividade:

Sub-rede pública com gateway da Internet

  • Configuração mais simples com menor custo

  • Adequado para ambientes de teste e desenvolvimento

  • Os recursos podem receber conexões de entrada da Internet (consideração de segurança)

  • Suporte a IPv4 e a IPv6.

Endpoints da VPC

  • Segurança máxima, o tráfego permanece dentro da rede da AWS

  • Menor latência em comparação com o roteamento da Internet

  • Recomendado para ambientes de produção com requisitos rígidos de segurança

  • Maior custo por endpoint, por zona de disponibilidade e por GB processado

  • Requer um endpoint em cada zona de disponibilidade para alta disponibilidade

Sub-rede privada com um gateway de NAT

  • Os recursos permanecem privados sem acesso de entrada à Internet

  • Padrão de arquitetura corporativa

  • Oferece suporte a todo o tráfego de IPv4 da Internet

  • Custo moderado com gateway de NAT por hora e taxas de processamento de dados

  • Oferece suporte somente a IPv4

Próximas etapas