AWS:SecretManager 和 AppConfig 的 Lambda、VPC 和端点
AWS: Lambda, VPC and endpoints for SecretManager and AppConfig
我们有一个 Lambda 需要连接到 VPC 才能挂载 EFS 卷。
此 lambda 也需要连接到 AWS SecretManager 和 AWS AppConfig。
为了访问 AWS 秘密管理器,我们为名为 "com.amazonaws.eu-west-1.secretsmanager"[=10 的服务创建了一个端点(接口类型) =]
但是我们在端点列表中找不到任何 AWS AppConfig 服务,我们认为目前不可用。
有什么想法吗?
您是对的,AWS AppConfig (AC) 没有 VPC 接口端点。但是,AC 是 part of AWS Systems Manager (SSM), thus maybe you can try with interface endpoint for SSM.
如果它不起作用,而且可能不会,那么另一种方法是将您的函数放在 私有子网 中并设置 NAT gateway/instance 在 public 子网中。这样您的函数将能够通过互联网访问 AC 的 public 端点。
如果这不是一个好的解决方案,那么您可以创建第二个 lambda,而不是在 VPC 中。第二个 lambda 将充当代理,以便 VPC 中的第一个 lambda 可以使用第二个 lambda 与 AC 进行交互。 Lambda 具有 VPC 接口端点,因此 VPC 中不需要互联网连接。
我们有一个 Lambda 需要连接到 VPC 才能挂载 EFS 卷。
此 lambda 也需要连接到 AWS SecretManager 和 AWS AppConfig。
为了访问 AWS 秘密管理器,我们为名为 "com.amazonaws.eu-west-1.secretsmanager"[=10 的服务创建了一个端点(接口类型) =]
但是我们在端点列表中找不到任何 AWS AppConfig 服务,我们认为目前不可用。
有什么想法吗?
您是对的,AWS AppConfig (AC) 没有 VPC 接口端点。但是,AC 是 part of AWS Systems Manager (SSM), thus maybe you can try with interface endpoint for SSM.
如果它不起作用,而且可能不会,那么另一种方法是将您的函数放在 私有子网 中并设置 NAT gateway/instance 在 public 子网中。这样您的函数将能够通过互联网访问 AC 的 public 端点。
如果这不是一个好的解决方案,那么您可以创建第二个 lambda,而不是在 VPC 中。第二个 lambda 将充当代理,以便 VPC 中的第一个 lambda 可以使用第二个 lambda 与 AC 进行交互。 Lambda 具有 VPC 接口端点,因此 VPC 中不需要互联网连接。