支持 VPC 的 lambda 架构会更好吗?
Is VPC enabled lambda architecture can be any better?
我们的架构是一种 FAAS 方法,我们的整个后端都在 Lambdas 上。持久层是一个托管的 Cloud Mongo 集群,因此称为 Atlas。 VPC 中的 Lambda 使用对等 VPC 连接与 mongo 集群通信。
我需要一个启用了 VPC 的 Lambda,因为 Lambda 使用 VPC Peering 连接与 mongo 集群通信。我需要一个 NAT 网关,因为 Lambda 内部的资源必须与外部互联网资源对话。这是我的 VPC-Lambda-Mongo 架构:
所以我的问题是:
- 安全保障很重要,有没有比这更好的架构推荐?我会很高兴听到它。
- 如果安全和安全非常重要,您为什么还要考虑创建子网 public?您可以节省一些钱,但是在安全组中意外打开入站端口是有风险的。
- 您可以使用 NAT 实例代替 NAT 网关。如果通过 NAT 的出站流量是零星的,那么请选择
t2.micro NAT($9/月)或 t2.nano NAT($5/月)
- 最重要的是:运行您在 public 子网中的 Lambda 可能不 PCI/SOC2 兼容
- 我不确定 public 子网中的 Lambdas 是否可以直接访问互联网。如果可能,那么传出数据包的源 IP 是什么?
我们的架构是一种 FAAS 方法,我们的整个后端都在 Lambdas 上。持久层是一个托管的 Cloud Mongo 集群,因此称为 Atlas。 VPC 中的 Lambda 使用对等 VPC 连接与 mongo 集群通信。
我需要一个启用了 VPC 的 Lambda,因为 Lambda 使用 VPC Peering 连接与 mongo 集群通信。我需要一个 NAT 网关,因为 Lambda 内部的资源必须与外部互联网资源对话。这是我的 VPC-Lambda-Mongo 架构:
所以我的问题是:
- 安全保障很重要,有没有比这更好的架构推荐?我会很高兴听到它。
- 如果安全和安全非常重要,您为什么还要考虑创建子网 public?您可以节省一些钱,但是在安全组中意外打开入站端口是有风险的。
- 您可以使用 NAT 实例代替 NAT 网关。如果通过 NAT 的出站流量是零星的,那么请选择
t2.microNAT($9/月)或t2.nanoNAT($5/月) - 最重要的是:运行您在 public 子网中的 Lambda 可能不 PCI/SOC2 兼容
- 我不确定 public 子网中的 Lambdas 是否可以直接访问互联网。如果可能,那么传出数据包的源 IP 是什么?