Jaringan untuk Instans Terkelola Lambda - AWS Lambda
Opsi konektivitasSubnet publik dengan gateway internetTitik akhir VPCSubnet pribadi dengan gateway NATMemilih opsi konektivitasLangkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jaringan untuk Instans Terkelola Lambda

Saat menjalankan fungsi Instans Terkelola Lambda, Anda perlu mengonfigurasi konektivitas jaringan untuk mengaktifkan fungsi Anda mengakses sumber daya di luar VPC. Ini termasuk AWS layanan seperti Amazon S3 dan DynamoDB. Konektivitas juga diperlukan untuk mentransmisikan data telemetri ke Log CloudWatch dan X-Ray.

Opsi konektivitas

Ada tiga pendekatan utama untuk mengonfigurasi konektivitas VPC, masing-masing dengan trade-off yang berbeda untuk biaya, keamanan, dan kompleksitas.

Subnet publik dengan gateway internet

Opsi ini menggunakan subnet publik dengan akses internet langsung melalui gateway internet. Anda dapat memilih antara IPv4 dan IPv6 konfigurasi.

IPv4 dengan gateway internet

Untuk mengkonfigurasi IPv4 konektivitas dengan gateway internet

  1. Buat atau gunakan subnet publik yang ada dengan blok IPv4 CIDR.

  2. Lampirkan gateway internet ke VPC Anda.

  3. Perbarui tabel rute untuk merutekan 0.0.0.0/0 lalu lintas ke gateway internet.

  4. Pastikan sumber daya memiliki IPv4 alamat publik atau alamat IP Elastis yang ditetapkan.

  5. Konfigurasikan grup keamanan untuk memungkinkan lalu lintas keluar pada port yang diperlukan.

Konfigurasi ini menyediakan konektivitas dua arah, memungkinkan koneksi keluar dari fungsi Anda dan koneksi masuk dari internet.

IPv6 dengan gateway internet

Untuk mengkonfigurasi IPv6 konektivitas dengan gateway internet

  1. Aktifkan IPv6 di VPC Anda.

  2. Buat atau gunakan subnet publik yang ada dengan blok IPv6 CIDR yang ditetapkan.

  3. Lampirkan gateway internet ke VPC Anda (gateway internet yang sama dapat menangani keduanya IPv4 dan IPv6).

  4. Perbarui tabel rute untuk merutekan ::/0 lalu lintas ke gateway internet.

  5. Verifikasi bahwa AWS layanan yang Anda perlukan untuk mengakses dukungan IPv6 di Wilayah Anda.

  6. Konfigurasikan grup keamanan untuk memungkinkan lalu lintas keluar pada port yang diperlukan.

Konfigurasi ini menyediakan konektivitas dua arah menggunakan IPv6 pengalamatan.

IPv6 dengan gateway internet khusus egress

Untuk mengonfigurasi IPv6 konektivitas dengan gateway internet khusus egres

  1. Aktifkan IPv6 di VPC Anda.

  2. Buat atau gunakan subnet publik yang ada dengan blok IPv6 CIDR yang ditetapkan.

  3. Pasang gateway internet khusus egres ke VPC Anda.

  4. Perbarui tabel rute untuk merutekan ::/0 lalu lintas ke gateway internet khusus egres.

  5. Verifikasi bahwa AWS layanan yang Anda perlukan untuk mengakses dukungan IPv6 di Wilayah Anda.

  6. Konfigurasikan grup keamanan untuk memungkinkan lalu lintas keluar pada port yang diperlukan.

Konfigurasi ini menyediakan konektivitas outbound-only, mencegah koneksi masuk dari internet sekaligus memungkinkan fungsi Anda untuk memulai koneksi keluar.

Titik akhir VPC

Titik akhir VPC memungkinkan Anda menghubungkan VPC Anda secara pribadi ke AWS layanan yang didukung tanpa memerlukan gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct Connect. AWS Lalu lintas antara VPC Anda dan AWS layanan tidak meninggalkan jaringan Amazon.

Untuk mengkonfigurasi titik akhir VPC

  1. Buka konsol VPC Amazon di console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Titik Akhir.

  3. Pilih Buat Titik Akhir.

  4. Untuk kategori Layanan, pilih AWS layanan.

  5. Untuk nama Layanan, pilih titik akhir layanan yang Anda butuhkan (misalnya, com.amazonaws.region.s3 untuk Amazon S3).

  6. Untuk VPC, pilih VPC Anda.

  7. Untuk Subnet, pilih subnet tempat Anda ingin membuat antarmuka jaringan titik akhir. Untuk ketersediaan tinggi, pilih subnet di beberapa Availability Zone.

  8. Untuk grup Keamanan, pilih grup keamanan untuk diasosiasikan dengan antarmuka jaringan titik akhir. Grup keamanan harus mengizinkan lalu lintas masuk dari grup keamanan fungsi Anda pada port yang diperlukan.

  9. Pilih Buat titik akhir.

Ulangi langkah-langkah ini untuk setiap AWS layanan yang perlu diakses oleh fungsi Anda.

Subnet pribadi dengan gateway NAT

Opsi ini menggunakan gateway NAT untuk menyediakan akses internet untuk sumber daya di subnet pribadi sambil menjaga sumber daya tetap pribadi.

Untuk mengkonfigurasi subnet pribadi dengan gateway NAT

  1. Buat subnet publik (jika belum ada) dengan blok CIDR.

  2. Lampirkan gateway internet ke VPC Anda.

  3. Buat gateway NAT di subnet publik dan tetapkan alamat IP Elastis.

  4. Perbarui tabel rute subnet publik untuk menambahkan rute: 0.0.0.0/0 → gateway internet.

  5. Buat atau gunakan subnet pribadi yang ada dengan blok CIDR.

  6. Perbarui tabel rute subnet pribadi untuk menambahkan rute: 0.0.0.0/0 → NAT gateway.

  7. Konfigurasikan grup keamanan untuk memungkinkan lalu lintas keluar pada port yang diperlukan.

Untuk ketersediaan tinggi, gunakan satu gateway NAT di setiap Availability Zone dan konfigurasikan tabel rute per Availability Zone untuk menggunakan gateway NAT lokal. Ini mencegah biaya transfer data lintas-AZ dan meningkatkan ketahanan.

Memilih opsi konektivitas

Pertimbangkan faktor-faktor berikut saat memilih opsi konektivitas:

Subnet publik dengan gateway internet

  • Konfigurasi paling sederhana dengan biaya terendah

  • Cocokkan untuk lingkungan pengembangan dan pengujian

  • Sumber daya dapat menerima koneksi masuk dari internet (pertimbangan keamanan)

  • Mendukung keduanya IPv4 dan IPv6

Titik akhir VPC

  • Keamanan tertinggi, lalu lintas tetap dalam AWS jaringan

  • Latensi lebih rendah dibandingkan dengan perutean internet

  • Direkomendasikan untuk lingkungan produksi dengan persyaratan keamanan yang ketat

  • Biaya per titik akhir yang lebih tinggi, per Availability Zone, dan per GB yang diproses

  • Memerlukan titik akhir di setiap Availability Zone untuk ketersediaan tinggi

Subnet pribadi dengan gateway NAT

  • Sumber daya tetap pribadi tanpa akses internet masuk

  • Pola arsitektur perusahaan standar

  • Mendukung semua lalu lintas IPv4 internet

  • Biaya moderat dengan gateway NAT per jam dan biaya pemrosesan data

  • IPv4 Hanya mendukung

Langkah selanjutnya