Lambda 受管執行個體的網路 - AWS Lambda
連線選項具有網際網路閘道的公有子網路VPC 端點具有 NAT 閘道的私有子網路選擇連線選項後續步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Lambda 受管執行個體的網路

執行 Lambda 受管執行個體函數時,您需要設定網路連線,讓函數能夠存取 VPC 外部的資源。這包括 Amazon S3 和 DynamoDB 等 AWS 服務。傳輸遙測資料到 CloudWatch Logs 和 X-Ray 也需要連線。

連線選項

設定 VPC 連線有三種主要方法,每個方法在成本、安全性和複雜性方面都有不同的權衡。

具有網際網路閘道的公有子網路

此選項使用透過網際網路閘道直接存取網際網路的公有子網路。您可以選擇 IPv4 和 IPv6 組態。

IPv4 搭配網際網路閘道

使用網際網路閘道設定 IPv4 連線

  1. 建立或使用具有 IPv4 CIDR 區塊的現有公有子網路。

  2. 將網際網路閘道連接至 VPC。

  3. 更新路由表,將0.0.0.0/0流量路由到網際網路閘道。

  4. 確保資源已指派公有 IPv4 地址或彈性 IP 地址。

  5. 設定安全群組以允許所需連接埠上的傳出流量。

此組態提供雙向連線,允許來自函數的傳出連線和來自網際網路的傳入連線。

IPv6 搭配網際網路閘道

使用網際網路閘道設定 IPv6 連線

  1. 在 VPC 上啟用 IPv6。

  2. 建立或使用已指派 IPv6 CIDR 區塊的現有公有子網路。

  3. 將網際網路閘道連接到您的 VPC (相同的網際網路閘道可以同時處理 IPv4 和 IPv6)。

  4. 更新路由表,將::/0流量路由到網際網路閘道。

  5. 驗證您需要存取 AWS 的服務是否支援您區域中的 IPv6。

  6. 設定安全群組以允許所需連接埠上的傳出流量。

此組態使用 IPv6 定址提供雙向連線。

IPv6 搭配輸出限定網際網路閘道

使用輸出限定網際網路閘道設定 IPv6 連線

  1. 在 VPC 上啟用 IPv6。

  2. 建立或使用已指派 IPv6 CIDR 區塊的現有公有子網路。

  3. 將輸出限定網際網路閘道連接至 VPC。

  4. 更新路由表,將::/0流量路由到僅限輸出的網際網路閘道。

  5. 驗證您需要存取 AWS 的服務是否支援您區域中的 IPv6。

  6. 設定安全群組以允許所需連接埠上的傳出流量。

此組態提供僅限傳出連線,防止來自網際網路的傳入連線,同時允許函數啟動傳出連線。

VPC 端點

VPC 端點可讓您將 VPC 私下連線至支援的 AWS 服務,而不需要網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 與 AWS 服務之間的流量不會離開 Amazon 網路。

設定 VPC 端點

  1. 開啟位於 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 主控台。

  2. 在導覽窗格中選擇端點

  3. 選擇建立端點

  4. Service category (服務類別) 中,選擇​ AWS services

  5. 針對服務名稱,選取您需要的服務端點 (例如,com.amazonaws.region.s3針對 Amazon S3)。

  6. 針對 VPC,選取您的 VPC。

  7. 針對子網路,選取您要建立端點網路介面的子網路。如需高可用性,請選取多個可用區域中的子網路。

  8. 對於 Security group (安全群組),選取要與端點網路介面建立關聯的安全群組。安全群組必須允許所需連接埠上來自函數安全群組的傳入流量。

  9. 選擇建立端點

針對函數需要存取的每個 AWS 服務重複這些步驟。

具有 NAT 閘道的私有子網路

此選項使用 NAT 閘道為私有子網路中的資源提供網際網路存取,同時保持資源的私密性。

使用 NAT 閘道設定私有子網路

  1. 使用 CIDR 區塊建立公有子網路 (如果尚未存在)。

  2. 將網際網路閘道連接至 VPC。

  3. 在公有子網路中建立 NAT 閘道並指派彈性 IP 地址。

  4. 更新公有子網路路由表以新增路由:→ 0.0.0.0/0 網際網路閘道。

  5. 建立或使用具有 CIDR 區塊的現有私有子網路。

  6. 更新私有子網路路由表以新增路由:→ NAT 0.0.0.0/0 閘道。

  7. 設定安全群組以允許所需連接埠上的傳出流量。

若要取得高可用性,請在每個可用區域中部署一個 NAT 閘道,並將每個可用區域的路由表設定為使用本機 NAT 閘道。這可避免跨可用區域資料傳輸費用,並改善彈性。

選擇連線選項

選擇連線選項時,請考慮下列因素:

具有網際網路閘道的公有子網路

  • 成本最低的最簡單組態

  • 適合開發和測試環境

  • 資源可以從網際網路接收傳入連線 (安全考量)

  • 同時支援 IPv4 和 IPv6

VPC 端點

  • 最高安全性,流量會保留在 AWS 網路內

  • 與網際網路路由相比,延遲更低

  • 建議用於具有嚴格安全需求的生產環境

  • 每個端點、每個可用區域和每個處理 GB 的成本較高

  • 需要每個可用區域中的端點以獲得高可用性

具有 NAT 閘道的私有子網路

  • 資源保持私有,沒有傳入網際網路存取

  • 標準企業架構模式

  • 支援所有 IPv4 網際網路流量

  • NAT 閘道每小時和資料處理費用的成本適中

  • 僅支援 IPv4

後續步驟