我正在尝试从 AWS Lambda (Java) 连接到 RDS 数据库。
我应该从 RDS 安全组规则中启用哪个 IP?
【问题讨论】:
标签: amazon-web-services aws-lambda amazon-vpc aws-security-group
您无法通过 IP 启用此功能。首先,您需要为 Lambda 函数启用 VPC 访问,在此期间您将为其分配一个安全组。然后,在分配给 RDS 实例的安全组中,您将为分配给 Lambda 函数的安全组启用访问权限。
【讨论】:
您可以配置 Lambda 以访问您的 RDS 实例。
您可以使用 Lambda 管理控制台启用此功能。 选择需要访问 RDS 实例的 Lambda 函数,然后转到配置 -> 高级设置并选择您需要访问的 VPC(即您的 RDS 实例所在的)。
在这里了解更多 http://docs.aws.amazon.com/lambda/latest/dg/vpc.html
【讨论】:
对于寻找简洁解决方案或通过 SAM/Cloudformation 配置的 lambda 配置的其他人来说,对我有用的是:
我。创建一个安全组 (SG),允许您想要连接的所需端口上的出站流量(例如:5432 或 3306。请注意,入站规则对 lambda 没有影响,我相信目前)将该 SG 应用于您的 lambda。
二。在引用 lambda SG 的同一端口(例如 5432 或 3306)上创建一个允许入站流量的 SG,因此流量被锁定为仅 lambda。并在同一端口(5432 或 3306)上出站。将该 SG 应用到您的 RDS 实例。
更多细节:
Lambda SG:
Direction Protocol Port Source
Outbound TCP 5432 ALL
RDS SG:
Direction Protocol Port Source
Inbound TCP 5432 Lambda SG
Outbound TCP 5432 ALL
SAM template.yaml 来配置您的 lambda:
someLambda:
Type: AWS::Serverless::Function
Properties:
FunctionName: !Sub ${AWS::StackName}-someLambda
Runtime: nodejs14.x
Handler: index.handler
CodeUri: ./dist/someLambda
MemorySize: 128
Timeout: 5 # ensure matches your PG/ mySQL connection pool timeout
ReservedConcurrentExecutions: 5
Role: !GetAtt yourLambdaExecutionRole.Arn
VpcConfig:
SubnetIds: [subnet-1234, subnet-5678, subnet-9101112]
SecurityGroupIds: [sg-your-lambda-sg]
【讨论】:
这就是我所做的
我为 Lambda 和 RDS 服务分配了相同的子网和 VPC。 现在,我创建了一个选择子网之一的 NAT 网关,以便 Lambda 可以使用该 NAT 网关与外界交互。
最后一件事是在附加到 RDS 以及 Lambda 函数的安全组中添加入站条目。在我的情况下,将数据库端口 5432 列入 postgresql 的白名单,并在源中添加安全组名称。
安全组通过在入站规则中添加条目以某种方式将自己列入白名单。
这对我很有效。
【讨论】: