Netzwerke für Lambda Managed Instances - AWS Lambda
VerbindungsoptionenÖffentliches Subnetz mit einem Internet-GatewayVPC-EndpunktePrivates Subnetz mit NAT-GatewayAuswahl einer KonnektivitätsoptionNächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Netzwerke für Lambda Managed Instances

Wenn Sie Funktionen von Lambda Managed Instances ausführen, müssen Sie die Netzwerkkonnektivität konfigurieren, damit Ihre Funktionen auf Ressourcen außerhalb der VPC zugreifen können. Dazu gehören AWS Dienste wie Amazon S3 und DynamoDB. Die Konnektivität wird auch für die Übertragung von Telemetriedaten an CloudWatch Logs und X-Ray benötigt.

Verbindungsoptionen

Es gibt drei Hauptansätze für die Konfiguration der VPC-Konnektivität, die jeweils unterschiedliche Kompromisse in Bezug auf Kosten, Sicherheit und Komplexität beinhalten.

Öffentliches Subnetz mit einem Internet-Gateway

Diese Option verwendet ein öffentliches Subnetz mit direktem Internetzugang über ein Internet-Gateway. Sie können zwischen IPv4 und IPv6 Konfigurationen wählen.

IPv4 mit Internet-Gateway

Um die IPv4 Konnektivität mit einem Internet-Gateway zu konfigurieren

  1. Erstellen oder verwenden Sie ein vorhandenes öffentliches Subnetz mit einem IPv4 CIDR-Block.

  2. Hinzufügen eines Internet-Gateways zu Ihrer VPC.

  3. Aktualisieren Sie die Routing-Tabelle, um den 0.0.0.0/0 Verkehr an das Internet-Gateway weiterzuleiten.

  4. Stellen Sie sicher, dass den Ressourcen öffentliche IPv4 Adressen oder Elastic IP-Adressen zugewiesen sind.

  5. Konfigurieren Sie Sicherheitsgruppen so, dass ausgehender Datenverkehr auf den erforderlichen Ports zugelassen wird.

Diese Konfiguration bietet bidirektionale Konnektivität und ermöglicht sowohl ausgehende Verbindungen von Ihren Funktionen als auch eingehende Verbindungen aus dem Internet.

IPv6 mit Internet-Gateway

Um die IPv6 Konnektivität mit einem Internet-Gateway zu konfigurieren

  1. Aktivieren Sie es IPv6 auf Ihrer VPC.

  2. Erstellen oder verwenden Sie ein vorhandenes öffentliches Subnetz, dem ein IPv6 CIDR-Block zugewiesen wurde.

  3. Schließen Sie ein Internet-Gateway an Ihre VPC an (dasselbe Internet-Gateway kann IPv4 sowohl als auch verarbeiten IPv6).

  4. Aktualisieren Sie die Routentabelle, um den ::/0 Verkehr an das Internet-Gateway weiterzuleiten.

  5. Vergewissern Sie sich, dass die AWS Dienste, die Sie für den Zugriff auf den Support IPv6 in Ihrer Region benötigen, vorhanden sind.

  6. Konfigurieren Sie Sicherheitsgruppen so, dass ausgehender Datenverkehr an den erforderlichen Ports zugelassen wird.

Diese Konfiguration bietet bidirektionale Konnektivität mithilfe von IPv6 Adressierung.

IPv6 mit Internet-Gateway nur für ausgehenden Datenverkehr

So konfigurieren Sie die IPv6 Konnektivität mit einem Internet-Gateway nur für ausgehenden Datenverkehr

  1. Aktivieren Sie es IPv6 auf Ihrer VPC.

  2. Erstellen oder verwenden Sie ein vorhandenes öffentliches Subnetz, dem ein IPv6 CIDR-Block zugewiesen wurde.

  3. Schließen Sie ein Internet-Gateway nur für ausgehenden Datenverkehr an Ihre VPC an.

  4. Aktualisieren Sie die Routing-Tabelle, um den Datenverkehr an das Internet-Gateway weiterzuleiten, das ::/0 nur für ausgehenden Verkehr bestimmt ist.

  5. Vergewissern Sie sich, dass die AWS Dienste, die Sie für den Zugriff auf den Support IPv6 in Ihrer Region benötigen, vorhanden sind.

  6. Konfigurieren Sie Sicherheitsgruppen so, dass ausgehender Datenverkehr an den erforderlichen Ports zugelassen wird.

Diese Konfiguration bietet nur ausgehende Konnektivität, wodurch eingehende Verbindungen aus dem Internet verhindert werden, während Ihre Funktionen ausgehende Verbindungen initiieren können.

VPC-Endpunkte

VPC-Endpunkte ermöglichen es Ihnen, Ihre VPC privat mit unterstützten AWS Diensten zu verbinden, ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung erforderlich ist. Der Verkehr zwischen Ihrer VPC und dem AWS Service verlässt das Amazon-Netzwerk nicht.

So konfigurieren Sie VPC-Endpoints

  1. Öffnen Sie die Amazon VPC-Konsole unter console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wählen Sie Endpunkt erstellen aus.

  4. Wählen Sie bei Service category (Servicekategorie) die Option AWS services (-Services) aus.

  5. Wählen Sie unter Service-Name den Service-Endpunkt aus, den Sie benötigen (z. B. com.amazonaws.region.s3 für Amazon S3).

  6. Wählen Sie im Feld VPC Ihre VPC aus.

  7. Wählen Sie für Subnetze die Subnetze aus, in denen Sie Endpunkt-Netzwerkschnittstellen erstellen möchten. Wählen Sie für eine hohe Verfügbarkeit Subnetze in mehreren Availability Zones aus.

  8. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den Security groups (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen. Die Sicherheitsgruppen müssen eingehenden Datenverkehr von der Sicherheitsgruppe Ihrer Funktion an den erforderlichen Ports zulassen.

  9. Wählen Sie Endpunkt erstellen aus.

Wiederholen Sie diese Schritte für jeden AWS Dienst, auf den Ihre Funktionen zugreifen müssen.

Privates Subnetz mit NAT-Gateway

Diese Option verwendet ein NAT-Gateway, um den Internetzugang für Ressourcen in privaten Subnetzen bereitzustellen und gleichzeitig die Ressourcen privat zu halten.

Um ein privates Subnetz mit einem NAT-Gateway zu konfigurieren

  1. Erstellen Sie ein öffentliches Subnetz (falls noch keines vorhanden ist) mit einem CIDR-Block.

  2. Hinzufügen eines Internet-Gateways zu Ihrer VPC.

  3. Erstellen Sie ein NAT-Gateway im öffentlichen Subnetz und weisen Sie eine Elastic IP-Adresse zu.

  4. Aktualisieren Sie die Routing-Tabelle des öffentlichen Subnetzes, um eine Route hinzuzufügen: 0.0.0.0/0 → Internet-Gateway.

  5. Erstellen oder verwenden Sie ein vorhandenes privates Subnetz mit einem CIDR-Block.

  6. Aktualisieren Sie die Routentabelle des privaten Subnetzes, um eine Route hinzuzufügen: 0.0.0.0/0 → NAT-Gateway.

  7. Konfigurieren Sie Sicherheitsgruppen so, dass ausgehender Verkehr an den erforderlichen Ports zugelassen wird.

Stellen Sie für hohe Verfügbarkeit ein NAT-Gateway in jeder Availability Zone bereit und konfigurieren Sie Routing-Tabellen pro Availability Zone, um das lokale NAT-Gateway zu verwenden. Dadurch werden AZ-übergreifende Datenübertragungsgebühren vermieden und die Ausfallsicherheit verbessert.

Auswahl einer Konnektivitätsoption

Berücksichtigen Sie bei der Auswahl einer Konnektivitätsoption die folgenden Faktoren:

Öffentliches Subnetz mit Internet-Gateway

  • Einfachste Konfiguration mit niedrigsten Kosten

  • Geeignet für Entwicklungs- und Testumgebungen

  • Ressourcen können eingehende Verbindungen aus dem Internet empfangen (aus Sicherheitsgründen)

  • Unterstützt sowohl als IPv4 IPv6

VPC-Endpunkte

  • Höchste Sicherheit, der Verkehr bleibt im AWS Netzwerk

  • Geringere Latenz im Vergleich zum Internet-Routing

  • Empfohlen für Produktionsumgebungen mit strengen Sicherheitsanforderungen

  • Höhere Kosten pro Endpunkt, pro Availability Zone und pro verarbeitetem GB

  • Für hohe Verfügbarkeit ist in jeder Availability Zone ein Endpunkt erforderlich

Privates Subnetz mit NAT-Gateway

  • Ressourcen bleiben privat, wenn kein eingehender Internetzugang besteht

  • Standardmuster für Unternehmensarchitekturen

  • Unterstützt den gesamten IPv4 Internetverkehr

  • Moderate Kosten mit Stunden- und Datenverarbeitungsgebühren für das NAT-Gateway

  • Unterstützt IPv4 nur

Nächste Schritte