Comprendere i provider di capacità come limite di sicurezza Creazione di un provider di capacità Gestione dei fornitori di capacità Stati del fornitore di capacità Quote Best practice Fasi successive

fornitori di capacità

Un provider di capacità è la base per l'esecuzione di istanze gestite Lambda. Funge da limite di sicurezza per le tue funzioni e definisce le risorse di calcolo che Lambda fornirà e gestirà per tuo conto.

Quando crei un fornitore di capacità, specifichi:

Configurazione VPC: le sottoreti e i gruppi di sicurezza in cui verranno eseguite le istanze
Autorizzazioni: ruoli IAM per Lambda per la gestione delle risorse EC2
Requisiti dell'istanza (facoltativi): preferenze relative all'architettura e al tipo di istanza
Configurazione di scalabilità (opzionale): in che modo Lambda ridimensiona le tue istanze

Comprendere i provider di capacità come limite di sicurezza

I provider di capacità fungono da limite di sicurezza per le funzioni Lambda all'interno del VPC, sostituendo l'isolamento. Firecracker-based Le funzioni vengono eseguite in contenitori all'interno delle istanze, ma i contenitori non forniscono un forte isolamento di sicurezza tra le funzioni, a differenza di Firecracker MicroVMS.

Concetti chiave sulla sicurezza:

Capacity Provider: il limite di sicurezza che definisce i livelli di fiducia per le funzioni Lambda
Isolamento dei container: i container NON sono un fornitore di sicurezza: non fate affidamento su di essi per la sicurezza tra carichi di lavoro non affidabili
Trust Separation: separa i carichi di lavoro che non sono reciprocamente affidabili utilizzando diversi provider di capacità

Creazione di un provider di capacità

Puoi creare un provider di capacità utilizzando la AWS CLI, la console di AWS gestione o AWS gli SDK.

Utilizzo della AWS CLI:


aws lambda create-capacity-provider \
  --capacity-provider-name my-capacity-provider \
  --vpc-config SubnetIds=subnet-12345,subnet-67890,subnet-11111,SecurityGroupIds=sg-12345 \
  --permissions-config CapacityProviderOperatorRoleArn=arn:aws:iam::123456789012:role/MyOperatorRole \
  --instance-requirements Architectures=x86_64 \
  --capacity-provider-scaling-config ScalingMode=Auto

Parametri obbligatori

CapacityProviderName

Un nome univoco per il tuo fornitore di capacità
Deve essere univoco all'interno del tuo AWS account

VpcConfig

SubnetIds(obbligatorio): Almeno una sottorete, massimo 16. Utilizza sottoreti in più zone di disponibilità per garantire la resilienza
SecurityGroupIds(opzionale): gruppi di sicurezza per le tue istanze. Il valore predefinito è il gruppo di sicurezza VPC predefinito se non specificato

PermissionsConfig

CapacityProviderOperatorRoleArn(richiesto): ruolo IAM che consente a Lambda di gestire le risorse EC2 nel tuo provider di capacità

Parametri facoltativi

InstanceRequirements

Specificate l'architettura e i tipi di istanza per il vostro provider di capacità:

Architetture: scegli x86_64 o. arm64 L'impostazione predefinita è x86_64
AllowedInstanceTypes: Specificate i tipi di istanza consentiti. Ad esempio: m5.8xlarge
ExcludedInstanceTypes: Specificate i tipi di istanza esclusi utilizzando i caratteri jolly. È possibile specificare solo uno dei o AllowedInstanceTypes ExcludedInstanceTypes

Per impostazione predefinita, Lambda sceglie i tipi di istanza ottimali per il carico di lavoro. Ti consigliamo di lasciare che le istanze gestite da Lambda scelgano i tipi di istanza per te, poiché limitare il numero di tipi di istanze possibili può comportare una minore disponibilità.

CapacityProviderScalingConfig

Configura il modo in cui Lambda ridimensiona le tue istanze:

ScalingMode: impostato per il ridimensionamento automatico o Auto Manual per il controllo manuale. L'impostazione predefinita è Auto
MaxVCpuCount: numero massimo di vCPU per il provider di capacità. Il valore predefinito è 400.
ScalingPolicies: definisci le politiche di scalabilità del tracciamento degli obiettivi per l'utilizzo della CPU e della memoria

KmsKeyArn

Specificare una AWS KMS chiave per la crittografia EBS. Il valore predefinito è la chiave AWS gestita se non specificata.

Tag

Aggiungi tag per organizzare e gestire i tuoi provider di capacità.

PropagateTags

Configura la propagazione dei tag per applicare automaticamente i tag alle risorse gestite (istanze Amazon EC2, volumi Amazon EBS ed ENI) lanciate dal provider di capacità. Utilizza la propagazione dei tag per applicare l'allocazione dei costi, gli SCP e i requisiti di conformità. Per ulteriori informazioni, consulta Propagazione dei tag.

Gestione dei fornitori di capacità

Aggiornare un provider di capacità

È possibile aggiornare determinate proprietà di un provider di capacità utilizzando l'UpdateCapacityProviderAPI.


aws lambda update-capacity-provider \
  --capacity-provider-name my-capacity-provider \
  --capacity-provider-scaling-config ScalingMode=Auto

Eliminare un provider di capacità

Puoi eliminare un fornitore di capacità quando non è più necessario utilizzando l'DeleteCapacityProviderAPI.


aws lambda delete-capacity-provider \
  --capacity-provider-name my-capacity-provider

Nota: non è possibile eliminare un fornitore di capacità a cui sono associate versioni di funzioni.

Visualizzazione dei dettagli del fornitore di capacità

Recupera informazioni su un fornitore di capacità utilizzando l'GetCapacityProviderAPI.


aws lambda get-capacity-provider \
  --capacity-provider-name my-capacity-provider

Stati del fornitore di capacità

Un provider di capacità può trovarsi in uno dei seguenti stati:

In sospeso: il provider di capacità è in fase di creazione
Attivo: il provider di capacità è pronto per l'uso
Fallita: la creazione del provider di capacità non è riuscita
Eliminazione: il provider di capacità viene eliminato

Quote

Fornitori di capacità massima per account: 1.000
Numero massimo di versioni funzionali per provider di capacità: 100 (non possono essere aumentate)

Best practice

Separati per livello di affidabilità: crea diversi provider di capacità per carichi di lavoro con requisiti di sicurezza diversi
Usa nomi descrittivi: nomina i fornitori di capacità per indicare chiaramente l'uso previsto e il livello di affidabilità (ad esempio,production-trusted) dev-sandbox
Utilizza più zone di disponibilità: specifica le sottoreti su più AZ per un'elevata disponibilità
Consenti a Lambda di scegliere i tipi di istanza: a meno che tu non abbia requisiti hardware specifici, consenti a Lambda di selezionare i tipi di istanza ottimali per la disponibilità
Monitora l'utilizzo: AWS CloudTrail da utilizzare per monitorare le assegnazioni dei provider di capacità e i modelli di accesso

Fasi successive

Scopri come scalare le istanze gestite Lambda
Comprendi la sicurezza e le autorizzazioni per le istanze gestite Lambda
Configura la connettività VPC per i tuoi provider di capacità
Consulta le guide specifiche di runtime per Java e Node.jsPython

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Concetti principali

Propagazione di tag