# Lambda 托管实例的联网
运行 Lambda 托管实例函数时,您需要配置网络连接,以使您的函数能够访问 VPC 外部的资源。这包括 Amazon S3 和 DynamoDB 等 AWS 服务。将遥测数据传输到 CloudWatch Logs 和 X-Ray 也需要此连接。
## 连接选项
配置 VPC 连接有三种主要方法,每种方法在成本、安全性和复杂性方面都有不同的优缺点。
## 具有互联网网关的公有子网
此选项采用公有子网,并通过互联网网关实现与互联网的直接连接。您可以在 IPv4 和 IPv6 配置之间进行选择。
### 具有互联网网关的 IPv4
**要使用互联网网关配置 IPv4 连接**
1. 创建或使用具有 IPv4 CIDR 数据块的现有公有子网。
1. 将 Internet 网关附加到 VPC。
1. 更新路由表以将 `0.0.0.0/0` 流量路由到互联网网关。
1. 确保已为资源分配公有 IPv4 地址或弹性 IP 地址。
1. 配置安全组,以允许在所需端口上进行出站流量传输。
此配置提供双向连接,既支持您的函数的出站连接,也支持来自互联网的入站连接。
### 具有互联网网关的 IPv6
**要使用互联网网关配置 IPv6 连接**
1. 在您的 VPC 上启用 IPv6。
1. 创建或使用分配了 IPv6 CIDR 数据块的现有公有子网。
1. 将互联网网关连接到您的 VPC(同一个互联网网关可以同时处理 IPv4 和 IPv6)。
1. 更新路由表以将 `::/0` 流量路由到互联网网关。
1. 确认您需要访问的 AWS 服务在您所在区域支持 IPv6。
1. 配置安全组,以允许在所需端口上进行出站流量传输。
此配置使用 IPv6 寻址提供双向连接。
### 带仅传出互联网网关的 IPv6
**要使用仅传出互联网网关配置 IPv6 连接**
1. 在您的 VPC 上启用 IPv6。
1. 创建或使用分配了 IPv6 CIDR 数据块的现有公有子网。
1. 将仅传出互联网网关连接到您的 VPC。
1. 更新路由表以将 `::/0` 流量路由到仅传出互联网网关。
1. 确认您需要访问的 AWS 服务在您所在区域支持 IPv6。
1. 配置安全组,以允许在所需端口上进行出站流量传输。
此配置提供仅限出站的连接,防止来自互联网的入站连接,同时允许您的函数启动出站连接。
## VPC 端点
VPC 端点使您无需互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接即可将 VPC 私密地连接到支持的 AWS 服务。您的 VPC 和AWS服务之间的流量不会脱离 Amazon 网络。
**要配置 VPC 端点**
1. 通过 [console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择**端点**。
1. 选择 **创建端点**。
1. 对于**服务类别**,选择 **AWS 服务**。
1. 对于**服务名称**,选择您需要的服务端点(例如,为 Amazon S3 选择 `com.amazonaws.region.s3`)。
1. 对于 **VPC**,选择您的 VPC。
1. 对于**子网**,选择要在其中创建端点网络接口的子网。要获得高可用性,在多个可用区中选择子网。
1. 对于**安全组**,选择要与端点网络接口关联的安全组。安全组必须在所需端口上允许来自您的函数安全组的入站流量。
1. 选择**创建端点**。
针对您的函数需要访问的每个 AWS 服务重复这些步骤。
## 具有 NAT 网关的私有子网
该选项使用 NAT 网关为私有子网中的资源提供互联网访问,同时确保这些资源保持私有状态。
**要配置具有 NAT 网关的私有子网**
1. 使用 CIDR 数据块创建公有子网(如果尚不存在)。
1. 将 Internet 网关附加到 VPC。
1. 在公有子网中创建一个 NAT 网关,并分配弹性 IP 地址。
1. 更新公有子网路由表以添加路由:`0.0.0.0/0` → 互联网网关。
1. 创建或使用具有 CIDR 数据块的现有私有子网。
1. 更新私有子网路由表以添加路由:`0.0.0.0/0` → NAT 网关。
1. 配置安全组,以允许在所需端口上进行出站流量传输。
为了实现高可用性,请在每个可用区部署一个 NAT 网关,并对每个可用区的路由表进行配置,以使用本地 NAT 网关。这样可以防止跨可用区的数据传输费用并提高弹性。
## 选择连接选项
在选择连接选项时,请考虑以下因素:
**带有互联网网关的公有子网**
+ 配置最简单,成本最低
+ 适用于开发和测试环境
+ 资源可以接收来自互联网的入站连接(安全考虑因素)
+ 同时支持 IPv4 和 IPv6
** VPC 端点**
+ 最高安全性,流量留存在 AWS 网络内
+ 与互联网路由相比,延迟更低
+ 推荐用于具有严格安全要求的生产环境
+ 每个端点、每个可用区以及处理的每 GB 数据的成本更高
+ 每个可用区都需要一个端点才能实现高可用性
**具有 NAT 网关的私有子网**
+ 资源保持私有性,没有入站互联网访问权限
+ 标准的企业架构模式
+ 支持所有的 IPv4 互联网流量
+ 成本适中,包括按小时收取 NAT 的网关费用和数据处理费
+ 仅支持 IPv4
## 后续步骤
+ 了解 [Lambda 托管实例的容量提供程序](lambda-managed-instances-capacity-providers.md)
+ 了解 [Lambda 托管实例的扩展](lambda-managed-instances-scaling.md)
+ 查看 [Java](lambda-managed-instances-java-runtime.md)、[Node.js](lambda-managed-instances-nodejs-runtime.md) 和 [Python](lambda-managed-instances-python-runtime.md) 的运行时特定指南
+ 了解 [Lambda 托管实例的安全和权限](lambda-managed-instances-security.md)