Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktivieren Sie den Internetzugang für VPC verbundene Lambda-Funktionen
Standardmäßig werden Lambda-Funktionen in einem von Lambda verwalteten System ausgeführtVPC, das über Internetzugang verfügt. Um auf Ressourcen VPC in Ihrem Konto zuzugreifen, können Sie einer Funktion eine VPC Konfiguration hinzufügen. Dadurch wird die Funktion auf die darin enthaltenen Ressourcen beschränktVPC, sofern die nicht VPC über einen Internetzugang verfügt. Auf dieser Seite wird erklärt, wie Sie VPC Internetzugriff auf verbundene Lambda-Funktionen bereitstellen.
Erstelle das VPC
Der VPCCreate-Workflow erstellt alle VPC Ressourcen, die für eine Lambda-Funktion für den Zugriff auf das öffentliche Internet von einem privaten Subnetz aus erforderlich sind, einschließlich Subnetzen, NAT Gateways, Internet-Gateways und Routentabelleneinträgen.
Um das zu erstellen VPC
Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Dashboard die Option Erstellen ausVPC.
-
Wählen Sie unter Zu erstellende Ressourcen die Option VPCund mehr aus.
-
Konfigurieren Sie die VPC
-
Geben Sie unter Automatische Generierung von Namenstags einen Namen für das VPC ein.
-
Für IPv4CIDRBlock können Sie den Standardvorschlag beibehalten oder alternativ den CIDR Block eingeben, der für Ihre Anwendung oder Ihr Netzwerk erforderlich ist.
-
Wenn Ihre Anwendung über IPv6 Adressen kommuniziert, wählen Sie IPv6CIDRBlock, von Amazon bereitgestellter Block. IPv6 CIDR
-
-
Konfiguration der Subnetze
-
Wählen Sie für Anzahl der Availability Zones 2 aus. AZsFür eine hohe Verfügbarkeit empfehlen wir mindestens zwei.
-
Wählen Sie für Number of public subnets (Anzahl der öffentlichen Subnetze) 2 aus.
-
Wählen Sie für Number of private subnets (Anzahl der privaten Subnetze) 2 aus.
-
Sie können den CIDR Standardblock für das öffentliche Subnetz beibehalten oder alternativ die Option CIDRSubnetzblöcke anpassen erweitern und einen CIDR Block eingeben. Weitere Informationen finden Sie unter CIDRSubnetzblöcke.
-
-
Wählen Sie für NATGateways 1 pro AZ aus, um die Ausfallsicherheit zu verbessern.
-
Wählen Sie für Internet-Gateway nur für ausgehenden Ausgang Ja aus, wenn Sie sich dafür entschieden haben, einen Block einzubeziehen. IPv6 CIDR
-
Behalten Sie für VPCEndgeräte die Standardeinstellung (S3-Gateway) bei. Für diese Option fallen keine Kosten an. Weitere Informationen finden Sie unter Arten von VPC Endpunkten für Amazon S3.
-
Behalten Sie für DNSOptionen die Standardeinstellungen bei.
-
Wählen Sie „Erstellen VPC“.
Konfigurieren der Lambda-Funktion
Um eine zu konfigurierenVPC, wenn Sie eine Funktion erstellen
Öffnen Sie die Seite Funktionen
der Lambda-Konsole. -
Wählen Sie Create function (Funktion erstellen).
-
Geben Sie unter Basic information (Grundlegende Informationen) bei Function name (Funktionsname) einen Namen für Ihre Funktion ein.
-
Erweiterten Sie Advanced settings (Erweiterte Einstellungen).
-
Wählen Sie Aktivieren VPC und dann eine ausVPC.
-
(Optional) Um ausgehenden IPv6 Datenverkehr zuzulassen, wählen Sie IPv6 Datenverkehr für Dual-Stack-Subnetze zulassen aus.
-
Wählen Sie für Subnetze alle privaten Subnetze aus. Die privaten Subnetze können über das Gateway auf das Internet zugreifen. NAT Wenn eine Funktion mit einem öffentlichen Subnetz verbunden wird, erhält sie keinen Internetzugang.
Anmerkung
Wenn Sie IPv6Traffic für Dual-Stack-Subnetze zulassen ausgewählt haben, müssen alle ausgewählten Subnetze über einen Block und einen IPv4 CIDR Block verfügen. IPv6 CIDR
-
Wählen Sie unter Sicherheitsgruppen eine Sicherheitsgruppe aus, die ausgehenden Datenverkehr zulässt.
-
Wählen Sie Funktion erstellen aus.
Lambda erstellt automatisch eine Ausführungsrolle mit der AWSLambdaVPCAccessExecutionRole AWS verwalteten Richtlinie. Die Berechtigungen in dieser Richtlinie sind nur erforderlich, um elastische Netzwerkschnittstellen für die VPC Konfiguration zu erstellen, nicht aber, um Ihre Funktion aufzurufen. Um Berechtigungen mit den geringsten Rechten anzuwenden, können Sie die AWSLambdaVPCAccessExecutionRoleRichtlinie aus Ihrer Ausführungsrolle entfernen, nachdem Sie die Funktion und Konfiguration erstellt haben. VPC Weitere Informationen finden Sie unter Erforderliche Berechtigungen IAM.
Um eine VPC für eine bestehende Funktion zu konfigurieren
Um einer vorhandenen Funktion eine VPC Konfiguration hinzuzufügen, muss die Ausführungsrolle der Funktion über die Berechtigung verfügen, elastische Netzwerkschnittstellen zu erstellen und zu verwalten. Die AWSLambdaVPCAccessExecutionRole AWS verwaltete Richtlinie umfasst die erforderlichen Berechtigungen. Um Berechtigungen mit den geringsten Rechten anzuwenden, können Sie die AWSLambdaVPCAccessExecutionRoleRichtlinie nach dem Erstellen der Konfiguration aus Ihrer Ausführungsrolle entfernen. VPC
Öffnen Sie die Seite Funktionen
der Lambda-Konsole. -
Wählen Sie eine Funktion aus.
-
Wählen Sie die Registerkarte Konfiguration und wählen Sie dann. VPC
-
Wählen Sie VPCunter Bearbeiten aus.
-
Wählen Sie dieVPC.
-
(Optional) Um ausgehenden IPv6 Datenverkehr zuzulassen, wählen Sie IPv6 Datenverkehr für Dual-Stack-Subnetze zulassen aus.
-
Wählen Sie für Subnetze alle privaten Subnetze aus. Die privaten Subnetze können über das Gateway auf das Internet zugreifen. NAT Wenn eine Funktion mit einem öffentlichen Subnetz verbunden wird, erhält sie keinen Internetzugang.
Anmerkung
Wenn Sie IPv6Traffic für Dual-Stack-Subnetze zulassen ausgewählt haben, müssen alle ausgewählten Subnetze über einen Block und einen IPv4 CIDR Block verfügen. IPv6 CIDR
-
Wählen Sie unter Sicherheitsgruppen eine Sicherheitsgruppe aus, die ausgehenden Datenverkehr zulässt.
-
Wählen Sie Save (Speichern) aus.
Testen der Funktion
Verwenden Sie den folgenden Beispielcode, um zu bestätigen, dass Ihre Funktion VPC mit -connected auf das öffentliche Internet zugreifen kann. Bei Erfolg gibt der Code einen 200
Statuscode zurück. Wenn dies nicht erfolgreich ist, wird das Zeitlimit für die Funktion überschritten.
Wenn Sie bereits eine haben, VPC aber den öffentlichen Internetzugang für eine Lambda-Funktion konfigurieren müssen, gehen Sie wie folgt vor. Bei diesem Verfahren wird davon ausgegangen, dass Ihr VPC über mindestens zwei Subnetze verfügt. Wenn Sie nicht über zwei Subnetze verfügen, finden Sie weitere Informationen unter Erstellen eines Subnetzes im VPCAmazon-Benutzerhandbuch.
Überprüfen Sie die Konfiguration der Routing-Tabelle
Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie die VPCID.
-
Scrollen Sie nach unten zum Abschnitt Ressourcenübersicht. Beachten Sie die Zuordnungen der Routentabellen. Öffnen Sie jede Routing-Tabelle, die einem Subnetz zugeordnet ist.
-
Scrollen Sie nach unten zur Registerkarte Routen. Überprüfen Sie die Routen, um festzustellen, ob eine der folgenden Bedingungen zutrifft. Jede dieser Anforderungen muss durch eine separate Routentabelle erfüllt werden.
-
Internetdatenverkehr (
0.0.0.0/0
fürIPv4,::/0
fürIPv6) wird an ein Internet-Gateway () weitergeleitet.igw-xxxxxxxxxx
Das bedeutet, dass das der Routing-Tabelle zugeordnete Subnetz ein öffentliches Subnetz ist.Anmerkung
Wenn Ihr Subnetz keinen IPv6 CIDR Block hat, sehen Sie nur die IPv4 Route ().
0.0.0.0/0
Beispiel öffentliche Subnetz-Routing-Tabelle
-
Internetgebundener Datenverkehr für IPv4 (
0.0.0.0/0
) wird an ein NAT Gateway (nat-xxxxxxxxxx
) weitergeleitet, das einem öffentlichen Subnetz zugeordnet ist. Das bedeutet, dass das Subnetz ein privates Subnetz ist, das über das Gateway auf das Internet zugreifen kann. NATAnmerkung
Wenn Ihr Subnetz über einen IPv6 CIDR Block verfügt, muss die Routing-Tabelle auch internetgebundenen IPv6 Verkehr (
::/0
) an ein Internet-Gateway () weiterleiten, das nur für ausgehenden Datenverkehr bestimmt ist.eigw-xxxxxxxxxx
Wenn Ihr Subnetz keinen IPv6 CIDR Block hat, sehen Sie nur die Route (). IPv40.0.0.0/0
Beispiel private Subnetz-Routentabelle
-
-
Wiederholen Sie den vorherigen Schritt, bis Sie alle Routing-Tabellen überprüft haben, die einem Subnetz in Ihrem Netzwerk zugeordnet sind, VPC und bestätigt haben, dass Sie über eine Routing-Tabelle mit einem Internet-Gateway und eine Routing-Tabelle mit einem NAT Gateway verfügen.
Wenn Sie nicht über zwei Routentabellen verfügen, eine mit einer Route zu einem Internet-Gateway und eine mit einer Route zu einem NAT Gateway, gehen Sie wie folgt vor, um die fehlenden Ressourcen und Routentabelleneinträge zu erstellen.
Gehen Sie wie folgt vor, um eine Routing-Tabelle zu erstellen und sie einem Subnetz zuzuordnen.
Um eine benutzerdefinierte Routing-Tabelle mit der VPC Amazon-Konsole zu erstellen
-
Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Route Tables (Routing-Tabellen) aus.
-
Klicken Sie auf Create Route Table (Routing-Tabelle erstellen).
-
(Optional) Geben Sie bei Name einen Namen für Ihre Routing-Tabelle ein.
-
Für VPC, wählen Sie IhreVPC.
-
(Optional) Sie fügen ein Tag hinzu, indem Sie Add new tag (Neuen Tag hinzufügen) auswählen und den Tag-Schlüssel und -Wert eingeben.
-
Klicken Sie auf Create Route Table (Routing-Tabelle erstellen).
-
Wählen Sie auf der Registerkarte Subnet associations (Subnetzzuordnungen) die Option Edit subnet associations (Subnetzzuordnungen bearbeiten) aus.
-
Aktivieren Sie das Kontrollkästchen für das Subnetz, um es der Routing-Tabelle zuzuordnen.
-
Klicken Sie auf Save associations (Zuordnungen speichern).
Gehen Sie wie folgt vor, um ein Internet-Gateway zu erstellen, es an Ihr VPC anzuhängen und es der Routing-Tabelle Ihres öffentlichen Subnetzes hinzuzufügen.
So erstellen Sie ein Internet-Gateway
Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Internet Gateways (Internet-Gateways) aus.
-
Wählen Sie Create internet gateway (Internet-Gateway erstellen) aus.
-
(Optional) Geben Sie einen Namen für Ihr Internet-Gateway ein.
-
(Optional) Um ein Tag hinzuzufügen, wählen Sie Add new tag (Neuen Tag hinzufügen) aus und geben Sie den Schlüssel und den Wert für den Tag ein.
-
Wählen Sie Create internet gateway (Internet-Gateway erstellen) aus.
-
Wählen Sie im Banner oben auf dem Bildschirm die Option Attach to a VPC aus, wählen Sie ein verfügbares VPC und wählen Sie dann Attach Internet Gateway aus.
-
Wählen Sie die VPCID.
-
Wählen Sie die VPCID erneut aus, um die VPC Detailseite zu öffnen.
-
Scrollen Sie nach unten zum Abschnitt Ressourcenübersicht und wählen Sie dann ein Subnetz aus. Die Subnetzdetails werden auf einer neuen Registerkarte angezeigt.
-
Wählen Sie den Link unter Routentabelle aus.
-
Wählen Sie die Routentabellen-ID, um die Detailseite der Routing-Tabelle zu öffnen.
-
Wählen Sie unter Routen die Option Routen bearbeiten aus.
-
Wählen Sie Route hinzufügen und geben Sie sie dann
0.0.0.0/0
in das Feld Ziel ein. -
Wählen Sie für Target Internet-Gateway und dann das Internet-Gateway aus, das Sie zuvor erstellt haben. Wenn Ihr Subnetz über einen IPv6 CIDR Block verfügt, müssen Sie auch eine Route für
::/0
dasselbe Internet-Gateway hinzufügen. -
Wählen Sie Änderungen speichern.
Gehen Sie wie folgt vor, um ein NAT Gateway zu erstellen, es einem öffentlichen Subnetz zuzuordnen und es dann der Routing-Tabelle Ihres privaten Subnetzes hinzuzufügen.
Um ein NAT Gateway zu erstellen und es einem öffentlichen Subnetz zuzuordnen
-
Wählen Sie im Navigationsbereich NATGateways aus.
-
Wählen Sie NATGateway erstellen aus.
-
(Optional) Geben Sie einen Namen für Ihr NAT Gateway ein.
-
Wählen Sie für Subnetz ein öffentliches Subnetz in Ihrem. VPC (Ein öffentliches Subnetz ist ein Subnetz, dessen Routing-Tabelle eine direkte Route zu einem Internet-Gateway enthält.)
Anmerkung
NATGateways sind einem öffentlichen Subnetz zugeordnet, aber der Eintrag in der Routing-Tabelle befindet sich im privaten Subnetz.
-
Wählen Sie für Elastic IP Allocation ID eine Elastic IP Address aus oder wählen Sie Allocate Elastic IP.
-
Wählen Sie Create NAT Gateway aus.
Um eine Route zum NAT Gateway in der Routentabelle des privaten Subnetzes hinzuzufügen
-
Wählen Sie im Navigationsbereich Subnetze aus.
-
Wählen Sie ein privates Subnetz in Ihrem. VPC (Ein privates Subnetz ist ein Subnetz, dessen Routing-Tabelle keine Route zu einem Internet-Gateway enthält.)
-
Wählen Sie den Link unter Routentabelle aus.
-
Wählen Sie die Routentabellen-ID, um die Detailseite der Routing-Tabelle zu öffnen.
-
Scrollen Sie nach unten und wählen Sie die Registerkarte Routen und dann Routen bearbeiten
-
Wählen Sie Route hinzufügen und geben Sie sie dann
0.0.0.0/0
in das Feld Ziel ein. -
Wählen Sie für Target NAT Gateway und dann das NAT Gateway aus, das Sie zuvor erstellt haben.
-
Wählen Sie Änderungen speichern.
Gehen Sie wie folgt vor, um ein Internet-Gateway nur für ausgehenden Datenverkehr zu erstellen und es der Routing-Tabelle Ihres privaten Subnetzes hinzuzufügen.
So erstellen Sie ein Internet-Gateway nur für ausgehenden Verkehr
Wählen Sie im Navigationsbereich Internet-Gateways für ausgehenden Datenverkehr.
Klicken Sie auf Internet-Gateway für ausgehenden Datenverkehr erstellen.
-
(Optional) Geben Sie einen Namen ein.
-
Wählen Sie den aus, VPC in dem das Internet-Gateway nur für ausgehenden Datenverkehr erstellt werden soll.
Klicken Sie auf Internet-Gateway für ausgehenden Datenverkehr erstellen.
-
Wählen Sie den Link unter Angehängte ID aus. VPC
-
Wählen Sie den Link unter VPCID, um die Detailseite zu öffnen. VPC
-
Scrollen Sie nach unten zum Abschnitt Ressourcenübersicht und wählen Sie dann ein privates Subnetz aus. (Ein privates Subnetz ist ein Subnetz, dessen Routing-Tabelle keine Route zu einem Internet-Gateway enthält.) Die Subnetzdetails werden auf einer neuen Registerkarte angezeigt.
-
Wählen Sie den Link unter Routentabelle aus.
-
Wählen Sie die Routentabellen-ID, um die Detailseite der Routing-Tabelle zu öffnen.
-
Wählen Sie unter Routen die Option Routen bearbeiten aus.
-
Wählen Sie Route hinzufügen und geben Sie sie dann
::/0
in das Feld Ziel ein. -
Wählen Sie für Target die Option Internet Gateway Only Egress Only und dann das Gateway aus, das Sie zuvor erstellt haben.
-
Wählen Sie Änderungen speichern.
Konfigurieren der Lambda-Funktion
Um eine zu konfigurierenVPC, wenn Sie eine Funktion erstellen
Öffnen Sie die Seite Funktionen
der Lambda-Konsole. -
Wählen Sie Create function (Funktion erstellen).
-
Geben Sie unter Basic information (Grundlegende Informationen) bei Function name (Funktionsname) einen Namen für Ihre Funktion ein.
-
Erweiterten Sie Advanced settings (Erweiterte Einstellungen).
-
Wählen Sie Aktivieren VPC und dann eine ausVPC.
-
(Optional) Um ausgehenden IPv6 Datenverkehr zuzulassen, wählen Sie IPv6 Datenverkehr für Dual-Stack-Subnetze zulassen aus.
-
Wählen Sie für Subnetze alle privaten Subnetze aus. Die privaten Subnetze können über das Gateway auf das Internet zugreifen. NAT Wenn eine Funktion mit einem öffentlichen Subnetz verbunden wird, erhält sie keinen Internetzugang.
Anmerkung
Wenn Sie IPv6Traffic für Dual-Stack-Subnetze zulassen ausgewählt haben, müssen alle ausgewählten Subnetze über einen Block und einen IPv4 CIDR Block verfügen. IPv6 CIDR
-
Wählen Sie unter Sicherheitsgruppen eine Sicherheitsgruppe aus, die ausgehenden Datenverkehr zulässt.
-
Wählen Sie Funktion erstellen aus.
Lambda erstellt automatisch eine Ausführungsrolle mit der AWSLambdaVPCAccessExecutionRole AWS verwalteten Richtlinie. Die Berechtigungen in dieser Richtlinie sind nur erforderlich, um elastische Netzwerkschnittstellen für die VPC Konfiguration zu erstellen, nicht aber, um Ihre Funktion aufzurufen. Um Berechtigungen mit den geringsten Rechten anzuwenden, können Sie die AWSLambdaVPCAccessExecutionRoleRichtlinie aus Ihrer Ausführungsrolle entfernen, nachdem Sie die Funktion und Konfiguration erstellt haben. VPC Weitere Informationen finden Sie unter Erforderliche Berechtigungen IAM.
Um eine VPC für eine bestehende Funktion zu konfigurieren
Um einer vorhandenen Funktion eine VPC Konfiguration hinzuzufügen, muss die Ausführungsrolle der Funktion über die Berechtigung verfügen, elastische Netzwerkschnittstellen zu erstellen und zu verwalten. Die AWSLambdaVPCAccessExecutionRole AWS verwaltete Richtlinie umfasst die erforderlichen Berechtigungen. Um Berechtigungen mit den geringsten Rechten anzuwenden, können Sie die AWSLambdaVPCAccessExecutionRoleRichtlinie nach dem Erstellen der Konfiguration aus Ihrer Ausführungsrolle entfernen. VPC
Öffnen Sie die Seite Funktionen
der Lambda-Konsole. -
Wählen Sie eine Funktion aus.
-
Wählen Sie die Registerkarte Konfiguration und wählen Sie dann. VPC
-
Wählen Sie VPCunter Bearbeiten aus.
-
Wählen Sie dieVPC.
-
(Optional) Um ausgehenden IPv6 Datenverkehr zuzulassen, wählen Sie IPv6 Datenverkehr für Dual-Stack-Subnetze zulassen aus.
-
Wählen Sie für Subnetze alle privaten Subnetze aus. Die privaten Subnetze können über das Gateway auf das Internet zugreifen. NAT Wenn eine Funktion mit einem öffentlichen Subnetz verbunden wird, erhält sie keinen Internetzugang.
Anmerkung
Wenn Sie IPv6Traffic für Dual-Stack-Subnetze zulassen ausgewählt haben, müssen alle ausgewählten Subnetze über einen Block und einen IPv4 CIDR Block verfügen. IPv6 CIDR
-
Wählen Sie unter Sicherheitsgruppen eine Sicherheitsgruppe aus, die ausgehenden Datenverkehr zulässt.
-
Wählen Sie Save (Speichern) aus.
Testen der Funktion
Verwenden Sie den folgenden Beispielcode, um zu bestätigen, dass Ihre Funktion VPC mit -connected auf das öffentliche Internet zugreifen kann. Bei Erfolg gibt der Code einen 200
Statuscode zurück. Wenn dies nicht erfolgreich ist, wird das Zeitlimit für die Funktion überschritten.