AWS Lambda в VPC иногда не имеет доступа к Интернету
У меня есть Lambda, которая была развернута в VPC.
У этого развертывания есть следующие конфиги:
- VPC (192.168.0.0/16)
- Общедоступная подсеть A (192.168.32.0/20) имеет шлюз NAT и маршрут 0.0.0.0/0 к Интернет-шлюзу
- Частная подсеть A (192.168.48.0/20) имеет маршрут 0.0.0.0/0 к шлюзу NAT
- Частная подсеть B (192.168.64.0/20)
Lambda имеет собственную группу Securiy и ссылки на «частную подсеть A» и «частную подсеть B».
У меня странная проблема: время от времени у Lambda нет доступа в Интернет. Сторонний сервис работает нормально.
Еще одна странность в том, что Lambda получает IP-адреса типа 127.0.0.1, 169.254.76.13, 169.254.79.1 вместо IP-адресов из подсетей (192.168.48.0/20 и 192.168.64.0/20).
Ошибка:
Error: connect ETIMEDOUT x.x.x.x:443
at Object._errnoException (util.js:1022:11)
at _exceptionWithHostPort (util.js:1044:20)
at TCPConnectWrap.afterConnect [as oncomplete] (net.js:1198:14)
Вот полный шаблон CloudFormation:
---
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Base Infrastructure'
Metadata:
'AWS::CloudFormation::Interface':
ParameterGroups:
- Label:
default: 'VPC Parameters'
Parameters:
- VpcId
- InternetGatewayId
Parameters:
VpcId:
Type: String
InternetGatewayId:
Type: String
Resources:
SubnetAPublic:
Type: 'AWS::EC2::Subnet'
Properties:
AvailabilityZone: !Select [0, !GetAZs '']
CidrBlock: !Sub '192.168.32.0/20'
MapPublicIpOnLaunch: true
VpcId: !Sub '${VpcId}'
SubnetAPrivate:
Type: 'AWS::EC2::Subnet'
Properties:
AvailabilityZone: !Select [0, !GetAZs '']
CidrBlock: !Sub '192.168.48.0/20'
VpcId: !Sub '${VpcId}'
SubnetBPrivate:
Type: 'AWS::EC2::Subnet'
Properties:
AvailabilityZone: !Select [1, !GetAZs '']
CidrBlock: !Sub '192.168.64.0/20'
VpcId: !Sub '${VpcId}'
RouteTablePublic:
Type: 'AWS::EC2::RouteTable'
Properties:
VpcId: !Sub '${VpcId}'
RouteTablePrivate:
Type: 'AWS::EC2::RouteTable'
Properties:
VpcId: !Sub '${VpcId}'
RouteTableBPrivate:
Type: 'AWS::EC2::RouteTable'
Properties:
VpcId: !Sub '${VpcId}'
RouteTableAssociationAPublic:
Type: 'AWS::EC2::SubnetRouteTableAssociation'
Properties:
SubnetId: !Ref SubnetAPublic
RouteTableId: !Ref RouteTablePublic
RouteTableAssociationAPrivate:
Type: 'AWS::EC2::SubnetRouteTableAssociation'
Properties:
SubnetId: !Ref SubnetAPrivate
RouteTableId: !Ref RouteTablePrivate
RouteTableAssociationBPrivate:
Type: 'AWS::EC2::SubnetRouteTableAssociation'
Properties:
SubnetId: !Ref SubnetBPrivate
RouteTableId: !Ref RouteTableBPrivate
EIP:
Type: 'AWS::EC2::EIP'
Properties:
Domain: vpc
NatGateway:
Type: 'AWS::EC2::NatGateway'
Properties:
AllocationId: !GetAtt 'EIP.AllocationId'
SubnetId: !Ref SubnetAPublic
RouteTablePublicInternetRoute:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref RouteTablePrivate
DestinationCidrBlock: '0.0.0.0/0'
NatGatewayId: !Ref NatGateway
RouteTablePublicInternetRoute2:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref RouteTablePublic
DestinationCidrBlock: '0.0.0.0/0'
GatewayId: !Sub '${InternetGatewayId}'
ServerlessSecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupDescription: SecurityGroup for Serverless Functions
VpcId: !Sub '${VpcId}'
ServerlessSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref ServerlessSecurityGroup
IpProtocol: -1
SourceSecurityGroupId: !Ref ServerlessSecurityGroup
Есть идеи, что я делаю не так?
P.S .: Обнаружил похожие проблемы AWS VPC Lambda Function продолжает терять доступ в Интернет и Почему лямбда-функции AWS В VPC иногда истекает время ожидания, а иногда работает нормально?
UPD
Добавлен Рут и теперь он работает
RouteTableBPrivateInternetRoute:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref RouteTableBPrivate
DestinationCidrBlock: '0.0.0.0/0'
NatGatewayId: !Ref NatGateway
Ответы 2
Чтобы функция AWS Lambda, запущенная внутри VPC, могла получить доступ к ресурсам вне VPC (например, к Интернету), она должна находиться в частной подсети с NAT-шлюзом. В вашем случае частная подсеть A - единственная подсеть с соответствующей конфигурацией, позволяющей лямбда-функции получить доступ к Интернету. Поэтому вам нужно отредактировать конфигурацию вашей лямбда-функции, чтобы она работала только в этой подсети.
Вы выбрали свою общедоступную подсеть в качестве одной из подсетей, в которых будет работать ваша лямбда?
Лямбда может получить доступ к Интернету только тогда, когда он работает в частных подсетях, поэтому перейдите на свою страницу лямбда в консоли AWS, отмените выбор общедоступной подсети и сохраните, и проблема не должна возникать повторно.