Rete per istanze gestite Lambda - AWS Lambda
Opzioni di connettivitàSottorete pubblica con un gateway InternetEndpoint VPCSottorete privata con gateway NATScelta di un'opzione di connettivitàFasi successive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rete per istanze gestite Lambda

Quando si eseguono le funzioni Lambda Managed Instances, è necessario configurare la connettività di rete per consentire alle funzioni di accedere alle risorse esterne al VPC. Ciò include AWS servizi come Amazon S3 e DynamoDB. La connettività è necessaria anche per trasmettere dati di telemetria a CloudWatch Logs e X-Ray.

Opzioni di connettività

Esistono tre approcci principali per configurare la connettività VPC, ciascuno con diversi compromessi in termini di costi, sicurezza e complessità.

Sottorete pubblica con un gateway Internet

Questa opzione utilizza una sottorete pubblica con accesso diretto a Internet tramite un gateway Internet. È possibile scegliere tra IPv4 e IPv6 configurazioni.

IPv4 con gateway internet

Per configurare la IPv4 connettività con un gateway Internet

  1. Crea o usa una sottorete pubblica esistente con un blocco IPv4 CIDR.

  2. Collegare un Internet Gateway al VPC.

  3. Aggiorna la tabella delle rotte per indirizzare il 0.0.0.0/0 traffico verso il gateway Internet.

  4. Assicurati che alle risorse siano assegnati IPv4 indirizzi pubblici o indirizzi IP elastici.

  5. Configura i gruppi di sicurezza per consentire il traffico in uscita sulle porte richieste.

Questa configurazione fornisce una connettività bidirezionale, che consente sia le connessioni in uscita dalle tue funzioni sia le connessioni in entrata da Internet.

IPv6 con gateway internet

Per configurare la IPv6 connettività con un gateway Internet

  1. Abilita IPv6 sul tuo VPC.

  2. Crea o usa una sottorete pubblica esistente con un blocco IPv6 CIDR assegnato.

  3. Collega un gateway Internet al tuo VPC (lo stesso gateway Internet può gestire entrambi IPv4 e IPv6).

  4. Aggiorna la tabella delle rotte per indirizzare il ::/0 traffico verso il gateway Internet.

  5. Verifica che i AWS servizi di cui hai bisogno per accedere all'assistenza IPv6 nella tua regione.

  6. Configura i gruppi di sicurezza per consentire il traffico in uscita sulle porte richieste.

Questa configurazione fornisce una connettività bidirezionale tramite l'indirizzamento. IPv6

IPv6 con gateway Internet solo in uscita

Per configurare la IPv6 connettività con un gateway Internet solo in uscita

  1. Abilita IPv6 sul tuo VPC.

  2. Crea o usa una sottorete pubblica esistente con un blocco IPv6 CIDR assegnato.

  3. Collega un gateway Internet solo in uscita al tuo VPC.

  4. Aggiorna la tabella delle rotte per indirizzare il ::/0 traffico verso il gateway Internet solo in uscita.

  5. Verifica che i AWS servizi di cui hai bisogno per accedere all'assistenza IPv6 nella tua regione.

  6. Configura i gruppi di sicurezza per consentire il traffico in uscita sulle porte richieste.

Questa configurazione fornisce connettività solo in uscita, impedendo le connessioni in entrata da Internet e consentendo alle funzioni di avviare connessioni in uscita.

Endpoint VPC

Gli endpoint VPC ti consentono di connettere privatamente il tuo VPC ai AWS servizi supportati senza richiedere un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione Direct Connect. AWS Il traffico tra il tuo VPC e il AWS servizio non esce dalla rete Amazon.

Per configurare gli endpoint VPC

  1. Apri la console Amazon VPC all'indirizzo console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Endpoints (Endpoint).

  3. Seleziona Crea endpoint.

  4. Per Service category (Categoria servizio), scegli AWS services.

  5. Per Nome del servizio, seleziona l'endpoint del servizio di cui hai bisogno (ad esempio, com.amazonaws.region.s3 per Amazon S3).

  6. In VPC, seleziona il tuo VPC.

  7. Per Sottoreti, seleziona le sottoreti in cui desideri creare interfacce di rete per endpoint. Per un'elevata disponibilità, seleziona le sottoreti in più zone di disponibilità.

  8. Per Security groups (Gruppi di sicurezza), seleziona i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint. I gruppi di sicurezza devono consentire il traffico in entrata dal gruppo di sicurezza della funzione sulle porte richieste.

  9. Seleziona Crea endpoint.

Ripeti questi passaggi per ogni AWS servizio a cui le tue funzioni devono accedere.

Sottorete privata con gateway NAT

Questa opzione utilizza un gateway NAT per fornire l'accesso a Internet alle risorse nelle sottoreti private, mantenendo le risorse private.

Per configurare una sottorete privata con gateway NAT

  1. Crea una sottorete pubblica (se non ne esiste già una) con un blocco CIDR.

  2. Collegare un Internet Gateway al VPC.

  3. Crea un gateway NAT nella sottorete pubblica e assegna un indirizzo IP elastico.

  4. Aggiorna la tabella delle rotte della sottorete pubblica per aggiungere una route: 0.0.0.0/0 → internet gateway.

  5. Crea o usa una sottorete privata esistente con un blocco CIDR.

  6. Aggiorna la tabella di routing della sottorete privata per aggiungere una rotta: 0.0.0.0/0 → gateway NAT.

  7. Configura i gruppi di sicurezza per consentire il traffico in uscita sulle porte richieste.

Per un'elevata disponibilità, implementa un gateway NAT in ogni zona di disponibilità e configura le tabelle di routing per zona di disponibilità per utilizzare il gateway NAT locale. In questo modo si evitano costi di trasferimento dati Cross-AZ e si migliora la resilienza.

Scelta di un'opzione di connettività

Quando scegli un'opzione di connettività, considera i seguenti fattori:

Sottorete pubblica con gateway Internet

  • Configurazione più semplice con il costo più basso

  • Adatto per ambienti di sviluppo e test

  • Le risorse possono ricevere connessioni in entrata da Internet (considerazioni relative alla sicurezza)

  • Supporta sia IPv4 e IPv6

Endpoint VPC

  • Massima sicurezza, il traffico rimane all'interno della AWS rete

  • Latenza inferiore rispetto al routing Internet

  • Consigliato per ambienti di produzione con requisiti di sicurezza rigorosi

  • Costo più elevato per endpoint, per zona di disponibilità e per GB di elaborazione

  • Richiede un endpoint in ogni zona di disponibilità per un'elevata disponibilità

Sottorete privata con gateway NAT

  • Le risorse rimangono private senza accesso a Internet in entrata

  • Modello di architettura aziendale standard

  • Supporta tutto il traffico IPv4 Internet

  • Costo moderato con tariffe orarie per il gateway NAT e per l'elaborazione dei dati

  • Supporta solo IPv4

Fasi successive