堆栈内存溢出
  繁体   English   中英

如何将 VPC 和安全组分配给 AWS CDK 中的 Lambda?

[英]How do you assign a VPC and security group to a Lambda in AWS CDK?

 原文  2020-03-17 16:55:24       amazon-web-services/ aws-lambda/ aws-security-group/ aws-cdk

问题描述

我有一个带有需要插入 RDS 数据库的 lambda 函数的 AWS CDK 堆栈。 部署堆栈时,lambda 函数无法访问数据库并给出错误:getaddrinfo ENOTFOUND [RDS 端点由我定义]。 手动添加RDS数据库所在的VPC、子网和安全组后,lambda函数正常工作。

您如何在 AWS CDK 中定义 VPC、子网和安全组,最好是在 TypeScript 中? 就文档而言,我尝试过:

const vpc = ec2.Vpc.fromLookup(this, "VPC", { vpcName: "myVPC" });

const securityGroup = ec2.SecurityGroup.fromSecurityGroupId(
  this,
  "SG",
  "sg-XXXXX"
);

const subnet1a = ec2.PrivateSubnet.fromSubnetAttributes(this, "SUBNET1A", {
  subnetId: "eu-central-1a"
});

const myLambda = new lambda.Function(this, "myLambda", {
  runtime: lambda.Runtime.NODEJS_12_X,
  code: lambda.Code.fromAsset("lambda"),
  handler: "myLambda.handler",
  description: "myLambda",
  environment: {
    DB_HOST: "XXXX",
    DB_USER: "XXXX",
    DB_PASSWORD: "XXXX",
    DB_NAME: "XXXX"
  },
  vpc: vpc,
  vpcSubnets: [subnet1a],
  securityGroups: [securityGroup]
});

运行 cdk deploy 时会出现 AWS CDK 错误:“无法将 Lambda 函数放置在公共子网中,子进程因错误 1 ​​退出”

欢迎任何帮助。

3 个解决方案

解决方案1
 5  2020-10-08 19:33:46

下面是一个简单的例子,希望对你有帮助:

//get VPC Info form AWS account, FYI we are not rebuilding we are referencing
const DefaultVpc = Vpc.fromVpcAttributes(this, 'vpcdev', {
    vpcId:'vpc-d0e0000b0',
    availabilityZones: core.Fn.getAzs(),
    privateSubnetIds: 'subnet-00a0de00',
    publicSubnetIds: 'subnet-00a0de00'
});

const YourService = new lambda.Function(this, 'LambdaName', {
    code: lambda.Code.fromAsset("lambda"),
    handler: 'handlers.your_handler',
    role: lambdaExecutionRole,
    securityGroup: lambdaSecurityGroup,
    vpc: DefaultVpc,
    runtime: lambda.Runtime.PYTHON_3_7,
    timeout: Duration.minutes(2),
});

解决方案2
 3  2020-03-17 23:53:26

如果您想将 Lambda 函数部署到 VPC 中,那么您应该将其部署到私有子网(子网subnetType: SubnetType.PRIVATE )或隔离子网(子网subnetType: SubnetType.ISOLATED )。

您选择哪个取决于 Lambda 函数是否需要出站 Internet 访问。 如果是,则使用 PRIVATE,否则使用 ISOLATED。

要访问同一 VPC 中的 RDS 实例,应将 Lambda 函数放置在一个安全组中,该安全组对 RDS 实例的安全组的相关端口号具有入站访问权限。

VPC的例子在这里和Lambda 这里

解决方案3
 0  2020-03-18 11:03:14

您使用 vpc 配置 lambda 的代码很好。 您的“subnet1a”是公共子网,建议不要在公共子网中定义任何后端服务。 lambda 和 vpc 配置的 AWS 文档另一个参考链接

为 lambda 选择私有或隔离子网。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何在 CDK (AWS) 中将安全组添加到 VPC 端点 AWS CloudFormation VPC CIDR 分配给安全组 AWS CDK - 将新安全组添加到现有 VPC 终端节点 有什么方法可以使用 AWS CDK 代码将安全组和 VPC 分配给托管在 Elastic Beanstalk 中的 Web 应用程序 CDK中如何给其他安全组添加安全组ID? AWS CDK 管道:如何将 CodeBuild output 分配给 Lambda 代码? 在 AWS CDK 中设置 state 机器时,如何删除 Lambda 调用的默认重试策略? 如何在 AWS CDK 中指定源安全组 ID? 如何在 aws cdk 中导入现有 VPC? AWS CDK:如何在另一个账户中访问 VPC
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM