子网内的 Lambda 如何访问 VPC 端点?
How does Lambda within subnet access VPC endpoint?
我在 VPC 中有一个 lambda 函数可以轮换 rds 密码。
当我使用秘密管理器 vpc 端点测试 lambda 函数时,如下所示:
- 案例 1. public 子网 中的 Lambda - VPC 端点附加到 public 子网 => 轮换可以
- 案例 2.私有子网 中的 Lambda - VPC 端点附加到 public 子网 => 虽然 cloudwatch 可以轮换有一个错误。
- 案例 3.public 子网 中的 Lambda - VPC 端点附加到 私有子网 => 由于超时,旋转失败lambda 函数
- 案例 4.私有子网 中的 Lambda - VPC 端点附加到私有子网 => 轮换正常
我知道我不应该将 lambda 函数放入 public 子网,但我想知道子网内的 lambda 函数如何与 vpc 端点一起工作。
谁能解释为什么 案例 2 可以,尽管 lambda 和 vpc 端点位于不同的子网中。
why Case 2 is OK
VPC interface endpoints 有 vpc 范围,不是子网范围。这解释了为什么案例 2,1 和 4 有效。因此,案例 3 也应该有效。因此,问题是为什么案例 3 不起作用?
可能的原因是您在测试中犯了一些配置错误(例如错误的安全组),或者将 lambda 放在错误的 VPC 中,没有为端点启用私有 DNS。因此,我建议仔细检查案例 3 的所有配置并重新运行 实验。
我在 VPC 中有一个 lambda 函数可以轮换 rds 密码。 当我使用秘密管理器 vpc 端点测试 lambda 函数时,如下所示:
- 案例 1. public 子网 中的 Lambda - VPC 端点附加到 public 子网 => 轮换可以
- 案例 2.私有子网 中的 Lambda - VPC 端点附加到 public 子网 => 虽然 cloudwatch 可以轮换有一个错误。
- 案例 3.public 子网 中的 Lambda - VPC 端点附加到 私有子网 => 由于超时,旋转失败lambda 函数
- 案例 4.私有子网 中的 Lambda - VPC 端点附加到私有子网 => 轮换正常
我知道我不应该将 lambda 函数放入 public 子网,但我想知道子网内的 lambda 函数如何与 vpc 端点一起工作。
谁能解释为什么 案例 2 可以,尽管 lambda 和 vpc 端点位于不同的子网中。
why Case 2 is OK
VPC interface endpoints 有 vpc 范围,不是子网范围。这解释了为什么案例 2,1 和 4 有效。因此,案例 3 也应该有效。因此,问题是为什么案例 3 不起作用?
可能的原因是您在测试中犯了一些配置错误(例如错误的安全组),或者将 lambda 放在错误的 VPC 中,没有为端点启用私有 DNS。因此,我建议仔细检查案例 3 的所有配置并重新运行 实验。