AWS lambda 调用不调用另一个 lambda 函数 - Node.js

Question

赋予调用函数的所有权限后。我的 Lambda 函数无法调用另一个函数。每次我遇到30 seconds timeout 问题时都会超时。看来 lambda 无法获取另一个 lambda 函数

我的 lambdas 位于同一区域、同一策略、同一安全组 .. 两个 lambdas 中的 VPC 也是相同的。现在唯一不同的是 lambda 函数

这里是角色权限

1) 创建了AWSLambdaExecute 和AWSLambdaBasicExecutionRole

2) 创建了一个要调用的 lambda 函数 Lambda_TEST

exports.handler = function(event, context) {
  console.log('Lambda TEST Received event:', JSON.stringify(event, null, 2));
  context.succeed(event);
};

3) 这是另一个调用它的函数。

var AWS = require('aws-sdk');
AWS.config.region = 'us-east-1';
var lambda = new AWS.Lambda();

exports.handler = function(event, context) {
 var params = {
   FunctionName: 'Lambda_TEST', // the lambda function we are going to invoke
   InvocationType: 'RequestResponse',
   LogType: 'Tail',
   Payload: '{ "name" : "Arpit" }'
 };

  lambda.invoke(params, function(err, data) {
   if (err) {
    context.fail(err);
   } else {
   context.succeed('Lambda_TEST said '+ data.Payload);
  }
 })
};

参考来自：This link

Answer 1

注意

我将用 executor 表示执行第二个lambda 的lambda。

---

为什么超时？

由于 executor 被“锁定”在 VPC 后面 - 所有互联网通信都被阻止。

这会导致任何http(s) 调用超时，因为它们请求的数据包永远不会到达目的地。

这就是aws-sdk 执行的所有操作都会导致超时的原因。

---

简单的解决方案

如果 executor 没有必须在 VPC 中 - 只需将其从其中取出，lambda 也可以在没有 @987654333 的情况下工作@。

当lambda 调用VPC 中的资源时，需要在VPC 中定位lambda。

真正的解决方案

从上面说的，位于VPC 中的任何资源都无法访问互联网 - 这是不正确的 - 只需要进行一些配置。

1. 创建VPC。
2. 创建 2 个子网，其中一个表示为 private，第二个表示为 public（这些术语在前面解释过，请继续阅读）。
3. 创建一个互联网网关 - 这是一个将VPC 连接到互联网的虚拟路由器。
4. 创建一个 NAT 网关 - 选择 public 子网并为其创建一个新的 elastic IP（此 IP 是您的 VPC 的本地 IP） - 此组件将与internet-gateway 进行管道通信。

5. 创建 2 个路由表 - 一个名为 public，第二个名为 private。

   1. 在 public 路由表中，转到 Routes 并添加一条新路由：

   目的地：0.0.0.0/0

   目标：internet-gateway的ID

   1. 在 private 路由表中，转到 Routes 并添加新路由：

   目的地：0.0.0.0/0

   目标：nat-gateway的ID

   • 私有子网是在其路由表中的子网 - 没有到internet-gateway的路由。

   • 公共子网是其路由表中的子网 - 存在到internet-gateway的路由

---

我们在这里吃什么？

我们创造了这样的东西：

这允许 私有 子网中的资源调用互联网。 您可以找到更多文档here。

Answer 2

我遇到过同样的问题，即“固定”到 VPC 的 Lambda 无法调用其他 Lambda。我一直在通过重构我的解决方案的结构来处理这个问题，而不使用 NAT。

假设我有几个 lambda，A、B、C、D...，我希望这些 Lambda 每个都具有对 RDS 数据库的查询访问权限。为了获得此数据库访问权限，我需要将 lambdas 放在与数据库相同的 VPC 中。但我也希望 A、B、C、D、... 之间的各种 lambdas 相互调用。所以我遇到了 Arpit 描述的问题。

我一直在通过将每个 Lambda 拆分为两个 Lambda 来处理这个问题：一个专注于流程流（即调用其他 lambda 并被另一个 lambda 调用）；另一个专注于做“真正的”工作，比如查询数据库。所以我现在有函数 A_flow, B_flow, C_flow, D_flow, ...;和函数 A_worker, B_worker, C_worker, D_worker, ... 各种流 lambdas 没有“固定”到特定的 VPC，因此可以调用其他 lambdas。各种worker Lambda与数据库在同一个VPC中，可以查询数据库。

每个流 lambda 都将与 DB 交互的工作“委托”给相应的工作 lambda。它通过执行工作 lambda 的同步调用来完成此委托。 worker lambdas 不会调用任何其他 lambdas。 （就流程流图而言，worker lambdas 是终端节点。）在我自己的系统中，其他流lambdas 对流lambdas 的调用通常是异步的；但我想如果需要它们可以是同步的。

尽管我将这种方法设计为一种解决方法，但它有一个很好的特性，可以将高级功能设计清晰地分离为 (a) 流程和 (b) 执行更详细的工作，包括与数据库资源的交互。

Answer 3

截至 2020 年 10 月，AWS PrivateLink 是比配置互联网网关/NAT 网关更简单的解决方案。请参阅此处的发行说明以及其中指向 PrivateLink 文档的链接：https://aws.amazon.com/blogs/aws/new-use-aws-privatelink-to-access-aws-lambda-over-private-aws-network/

请注意，如果两个 lambda 位于不同的 VPC 中，并且正在执行的 lambda 需要处理来自目标 lambda 的响应，那么两个 lambda 都需要一个端点。