子网中的 Lambda 如何访问 VPC 端点?

【问题标题】:How does Lambda within subnet access VPC endpoint?子网中的 Lambda 如何访问 VPC 端点?
【发布时间】:2021-07-06 13:42:24
【问题描述】:

我在 VPC 中有一个 lambda 函数,可以轮换 rds 密码。 当我使用秘密管理器 vpc 端点测试 lambda 函数时,如下所示:

  • 案例 1. 公共子网中的 Lambda - VPC 端点附加到 公共子网 => 轮换正常
  • 案例 2. 私有子网中的 Lambda - VPC 端点附加到 公共子网 => 尽管 cloudwatch 有一个错误,但轮换是可以的。
  • 案例 3. 公共子网中的 Lambda - VPC 端点附加到 私有子网 => 轮换失败,因为 lambda 函数超时
  • 案例 4. 私有子网中的 Lambda - VPC 端点附加 私有子网 => 轮换正常

我知道我不应该将 lambda 函数放入公共子网,但我想知道子网中的 lambda 函数如何与 vpc 端点一起使用。

谁能解释为什么 案例 2 可以,尽管 lambda 和 vpc 端点位于不同的子网中。

【问题讨论】:

    标签: amazon-web-services aws-lambda aws-secrets-manager vpc-endpoint


    【解决方案1】:

    为什么情况 2 可以

    VPC interface endpoints 具有 vpc 范围,而不是子网范围。这就解释了为什么案例 2,1 和 4 有效。因此,案例 3 也应该有效。因此,问题是为什么案例 3 不起作用?

    可能的原因是您在测试中犯了一些配置错误(例如错误的安全组),或者将 lambda 放入了错误的 VPC,没有为终端节点启用私有 DNS。因此,我建议仔细检查案例 3 的所有配置并重新运行实验。

    【讨论】:

    • 你是对的。在案例 3 中,来自公共子网中 lambda 的请求 -> lambda SG Outbound -> 公共子网的 NACL 出站 -> 私有子网的 NACL 入站(我的问题出现在这里,因为我没有从我的 VPC 的源 CIDR 添加 https 443)->附加到 VPC 端点的 ENI。谢谢。
    猜你喜欢
    • 2018-11-04
    • 2021-06-13
    • 2020-10-21
    • 2019-07-20
    • 2019-09-18
    • 2022-12-05
    • 2020-05-01
    • 2020-05-04
    • 2014-05-26
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode