AWS Lambda: Comment configurer une passerelle NAT pour une fonction lambda avec VPC accès

Comme par ce document, si j'ai besoin d'accéder aux ressources d'internet à partir de ma fonction Lambda avec VPC accès, j'ai besoin de l'installation d'une Passerelle NAT.

J'ai donc suivi ce guide la configuration d'une passerelle NAT. Cependant, au stade où j'ai besoin de modifier les tables de routage de mon sous-réseau pour ajouter une entrée avec de destination: 0.0.0.0/0 et la cible sous ma passerelle NAT de l'id, j'ai une erreur qui

An entry with this destination already exists

J'ai vérifié et constaté que, pour que l'entrée existante, la cible a été une passerelle internet pour mon VPC. Si je remplace cette entrée avec la passerelle NAT id, je ne peut accéder à aucune instance EC2 dans ce VPC via SSH depuis l'extérieur. Comment puis-je accomplir une situation où toutes les instances EC2 dans ce VPC

Sont accessibles uniquement via SSH et le reste de la circulation est bloquée
Sont en mesure de complètement l'accès à d'autres instances EC2 dans le même VPC
Fonction Lambda d'avoir accès à ce VPC peuvent accéder à des ressources de l'extérieur comme SQS et Kinesis.

Voici un bon tutoriel que j'ai écrit: "configuration de l'AWS lambda fonction de parler de l'internet et VPC" gist.github.com/reggi/dc5f2620b7b4f515e68e46255ac042a7

InformationsquelleAutor Mandeep Singh | 2016-02-17

amazon-web-services aws-lambda

27

Vous avez besoin de l'IGW et la passerelle NAT pour que cela fonctionne.

Dans la sous-réseaux publics (ceux que vous voulez atteindre de l'extérieur) point de la 0.0.0.0/0 de la circulation à l'IGW de la passerelle. La passerelle NAT lui-même a besoin de s'asseoir dans l'un de ces sous-réseaux publics.

Dans les sous-réseaux privés que vous souhaitez NAT point 0.0.0.0/0 de la circulation de la passerelle NAT interface réseau élastique.

Si 0.0.0.0/0 est aleady lié à la passerelle, vous devez supprimer et ajouter vers la passerelle NAT.

Voir:
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-nat-gateway.html
- Et j'ai besoin de sélectionner le sous-réseau privé dans le Lambda de la fonction de configuration
- Merci!!!!! Il m'a beaucoup aidé.
- Avec une Passerelle NAT course ~$30/mois dans les régions les moins coûteuses (et pas de NAT GW prévus par le Niveau Gratuit), ce type de suce à partir d'un point de vue de l'amateur.
- oui et non. si vous utilisez le pare-en-un, vous avez raison, ça craint pour un amateur. dans ce cas, vous pouvez essayer de mettre à profit une instance EC2 que vous pouvez construire à agir comme une instance NAT (ce que les gens faisaient avant la version gérée était là)
- vous m'avez sauvé. combien d'années d'AWS / Networking expérience avez-vous?
- merci pour les paroles aimables. J'ai travaillé avec AWS depuis le début des jours, mais si c'est important, j'ai appris la plupart de ces choses à la dure 🙂
- le respect! avez-vous un compte twitter, je peux suivre?
InformationsquelleAutor Mircea
30

J'ai trouvé un bon tutoriel détaillé sur la façon de permettre à vos lambda pour se connecter à la fois VPC ressources et de l'internet ici: https://gist.github.com/reggi/dc5f2620b7b4f515e68e46255ac042a7

Une marche rapide-par:
- installation de nouveaux sous-réseaux pour votre lambda (avec des Cidm chevauchent pas vos sous-réseaux existants). Vous avez besoin de:
  - un sous-réseau qui pointe à une Passerelle Internet (IGW) à être utilisé par le NAT (appelons-le A)
  - plusieurs pointant vers le NAT pour être utilisé par vos lambda (B, C et D)
- ajouter une passerelle NAT: définir le sous-réseau à Un
- définir votre lambda VPC sous-réseaux à B, C et D
- créer 2 voies de la table:
  - un qui pointe vers votre NAT à destination 0.0.0.0/0
  - un qui pointe vers votre IGW (devraient existe déjà) à destination 0.0.0.0/0
- mise à jour le sous-réseau à utiliser la table de routage pour le pointage de l'IGW
- mise à jour de la sous-réseaux B, C et D pour utiliser la table de routage pointant vers le NAT
Espère que cette aide.
- J'ai ajouté une présentation détaillée. Pas aussi détaillé que le lié tuto, mais c'est exactement ce que j'ai fait et il semble répondre à la question d'origine.
- L'article lié est tout à fait utile, mais a quelques erreurs, par exemple, on utilise des 'AWS services" signifie les services que dans votre VPC", mais en fait, de nombreux services AWS sont sur l'Internet public (comme par défaut S3 installation)
- Le tutoriel n'est pas parfait et les feuilles de certains détails, mais il est toujours un bon point de départ pour les débutants.
- En outre, pour ceux qui veulent comprendre la VPC chose et comment il se rapporte à RDS/Lambda, voici un très bien écrit, d'une explication, pour les débutants: edgarroman.github.io/zappa-django-guide/aws_network_primer
InformationsquelleAutor Vincent de Lagabbe
9

Vous avez besoin de deux sous-réseaux différents. Il semble que si vous avez seulement une.

Lambda ne peut utiliser privé sous-réseaux à l'intérieur de VPC.

Définition d'un sous-réseau privé: la route par défaut est une instance NAT (qui plus être sur un autre sous-réseau public) ou une Passerelle NAT, et pas les machines du sous-réseau ont une adresse IP publique. Machines avec des adresses IP publiques sont admis sur un sous-réseau privé, mais pour la plupart, ils ne fonctionnent pas correctement, parce que c'est techniquement un problème de configuration.

Définition d'un sous-réseau public: la route par défaut est le igw-xxxxxxxx Passerelle Internet des objet, et de machines ont une adresse IP publique attribuée. Machines sans les adresses IP publiques sont autorisées sur un sous-réseau public, mais ils ne seront pas en mesure d'accéder à l'Internet, parce que c'est un problème de configuration.

Il semble que vous essayez de changer vos sous-réseau existant public ou privé, par la modification de l'itinéraire par défaut. Comme prévu, cette pauses d'autres choses.

Voir aussi Pourquoi avons-nous besoin de sous-réseau privé en VPC?
- un sous-réseau privé n'a pas à avoir un nat instance ou de la passerelle qu'une route par défaut. vous pouvez avoir des machines sans une adresse IP publique dans un sous-réseau public. La seule vraie différence entre le privé et le public sous-réseaux est la route de l'igw.
- Je vais modifier à l'adresse de l'igw d'inclusion/d'exclusion comme l'attribut définissant plus clairement, et ajouter de l'autorité des citations.
- Il y a beaucoup d'instances EC2 sur ce compte et il y a 4 sous-réseaux. Je veux m'assurer que je ne suis pas gâcher quoi que ce soit alors de faire le changement. Dois-je ajouter un nouveau sous-réseau. Je ne suis pas sûr de savoir comment dois-je configurer mon Lambda de travailler avec cette stratégie
- Si vous disposez déjà d'un sous-réseau où la route par défaut pointe vers une instance NAT ou de la Passerelle NAT, vous devriez être en mesure d'utiliser ce sous-réseau avec Lambda. Si non, vous aurez besoin de créer un nouveau sous-réseau, si vous voulez être certain de ne rien briser, et puis organiser pour le NAT pour les machines (y compris Lambda interfaces) dans ce sous-réseau (Passerelle NAT est plus facile et a généralement de meilleures performances; NAT Exemple est un peu plus impliqué, mais documenté, une baisse de rendement (bien que vous pouvez ne pas remarquer, en fonction de la circulation), et moins cher).
- Je voudrais poser des questions sur votre deuxième déclaration. Lambda peut s'exécuter en public sous-réseaux. Cependant, depuis l'ENIs créé pour Lambda ne respecte pas le sous-réseau "auto-affecter une adresse IP publique" réglage de ne pas obtenir une adresse IP publique et ne peuvent pas accéder à des ressources de l'extérieur donc, compte tenu de la Fpo question, il ne l'aide pas. Cela dit, j'ai déployé des Lambdas en public sous-réseaux qui peuvent accéder à grappes ElastiCache dans le même sous-réseaux publics.
- techniquement, oui, vous pouvez la mauvaise utilisation d'un sous-réseau public par l'affectation des interfaces avec uniquement des adresses privées, tant que vous n'avez pas besoin d'Internet (à l'exception de DNS, qui fonctionnera toujours). En VPC, contrairement au modèle commun pour Ethernet Lan, il n'y a aucun avantage à mettre les deux choses sur le même sous-réseau, simplement parce qu'ils parlent les uns aux autres. L'ensemble du réseau dans le VPC est virtualisé, logiciel de définition, de sorte que la voie de la croix-des sous-réseaux au sein de la même zone de disponibilité n'a pas d'incidence sur les performances.
- Vous avez absolument raison, mais c'est à côté de la question. Mon point est seulement que la déclaration est fausse, rien d'autre. Je pour un avocat qui n'est pas à l'aide de sous-réseaux privés, à moins que vous vraiment besoin d'eux, et en fonction de votre cas d'utilisation, je voulais juste préciser que même lorsque vous déployez des Lambdas en VPC, vous ne pourriez pas nécessairement besoin d'un sous-réseau privé. Cela dit, je ne dirais pas que vous êtes mauvais usage d'un sous-réseau public par la création d'ENIs sans adresses ip publiques en eux. J'appelle ça un bon modèle, tant que cela a du sens pour votre cas d'utilisation.
InformationsquelleAutor Michael - sqlbot
0

Hé les gars, j'ai développé une étape par étape tutoriel explicite des captures d'écran à ce sujet:

Partie I
1. Créer une fonction lambda dans AWS
2. Créer une Passerelle API pour rediriger toutes les requêtes de votre AWS Lambda Fonction
  https://medium.com/@shontauro/how-can-i-turn-my-restful-api-into-a-serverless-application-and-deploy-it-to-aws-lambda-step-by-ec7ce38e18be
Partie II
1. Configurer un VPC pour votre fonction lambda
2. Accorder l'accès à internet à la fonction lambda dans le cadre d'une façon
3. Déployer l'Node.js API Restful dans votre Fonction Lambda
  https://medium.com/@shontauro/how-can-i-turn-my-restful-api-into-a-serverless-application-and-deploy-it-to-aws-lambda-step-by-8ff6cc97780f
InformationsquelleAutor shontauro
-1

Vous avez réellement n'avez pas besoin de créer de l'Internet et des passerelles NAT plus:https://aws.amazon.com/blogs/security/how-to-connect-to-aws-secrets-manager-service-within-a-virtual-private-cloud/
- Ce n'est que pour AWS Secret Manager. Si votre Lambda doit encore accès ElasticSearch, RDS ou d'autres services qui sont assis sur le dessus de VPC, vous avez encore besoin de le configurer.
InformationsquelleAutor Sébastien Tromp

Vous devez vous connecter pour publier un commentaire.