本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Lambda 受管執行個體的網路
<a name="lambda-managed-instances-networking"></a>

執行 Lambda 受管執行個體函數時，您需要設定網路連線，讓函數能夠存取 VPC 外部的資源。這包括 Amazon S3 和 DynamoDB 等 AWS 服務。傳輸遙測資料到 CloudWatch Logs 和 X-Ray 也需要連線。

## 連線選項
<a name="lambda-managed-instances-connectivity-options"></a>

設定 VPC 連線有三種主要方法，每個方法在成本、安全性和複雜性方面都有不同的權衡。

## 具有網際網路閘道的公有子網路
<a name="lambda-managed-instances-public-subnet-igw"></a>

此選項使用透過網際網路閘道直接存取網際網路的公有子網路。您可以選擇 IPv4 和 IPv6 組態。

### IPv4 搭配網際網路閘道
<a name="lambda-managed-instances-ipv4-igw"></a>

**使用網際網路閘道設定 IPv4 連線**

1. 建立或使用具有 IPv4 CIDR 區塊的現有公有子網路。

1. 將網際網路閘道連接至 VPC。

1. 更新路由表，將`0.0.0.0/0`流量路由到網際網路閘道。

1. 確保資源已指派公有 IPv4 地址或彈性 IP 地址。

1. 設定安全群組以允許所需連接埠上的傳出流量。

此組態提供雙向連線，允許來自函數的傳出連線和來自網際網路的傳入連線。

### IPv6 搭配網際網路閘道
<a name="lambda-managed-instances-ipv6-igw"></a>

**使用網際網路閘道設定 IPv6 連線**

1. 在 VPC 上啟用 IPv6。

1. 建立或使用已指派 IPv6 CIDR 區塊的現有公有子網路。

1. 將網際網路閘道連接到您的 VPC （相同的網際網路閘道可以同時處理 IPv4 和 IPv6)。

1. 更新路由表，將`::/0`流量路由到網際網路閘道。

1. 驗證您需要存取 AWS 的服務是否支援您區域中的 IPv6。

1. 設定安全群組以允許所需連接埠上的傳出流量。

此組態使用 IPv6 定址提供雙向連線。

### IPv6 搭配輸出限定網際網路閘道
<a name="lambda-managed-instances-ipv6-egress-only"></a>

**使用輸出限定網際網路閘道設定 IPv6 連線**

1. 在 VPC 上啟用 IPv6。

1. 建立或使用已指派 IPv6 CIDR 區塊的現有公有子網路。

1. 將輸出限定網際網路閘道連接至 VPC。

1. 更新路由表，將`::/0`流量路由到僅限輸出的網際網路閘道。

1. 驗證您需要存取 AWS 的服務是否支援您區域中的 IPv6。

1. 設定安全群組以允許所需連接埠上的傳出流量。

此組態提供僅限傳出連線，防止來自網際網路的傳入連線，同時允許函數啟動傳出連線。

## VPC 端點
<a name="lambda-managed-instances-vpc-endpoints"></a>

VPC 端點可讓您將 VPC 私下連線至支援的 AWS 服務，而不需要網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 與 AWS 服務之間的流量不會離開 Amazon 網路。

**設定 VPC 端點**

1. 開啟位於 https：//[console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。

1. 在導覽窗格中選擇**端點**。

1. 選擇**建立端點**。

1. 在 **Service category** (服務類別) 中，選擇​ **AWS services**。

1. 針對**服務名稱**，選取您需要的服務端點 （例如，`com.amazonaws.region.s3`針對 Amazon S3)。

1. 針對 **VPC**，選取您的 VPC。

1. 針對**子網路**，選取您要建立端點網路介面的子網路。如需高可用性，請選取多個可用區域中的子網路。

1. 對於 **Security group** (安全群組)，選取要與端點網路介面建立關聯的安全群組。安全群組必須允許所需連接埠上來自函數安全群組的傳入流量。

1. 選擇**建立端點**。

針對函數需要存取的每個 AWS 服務重複這些步驟。

## 具有 NAT 閘道的私有子網路
<a name="lambda-managed-instances-private-subnet-nat"></a>

此選項使用 NAT 閘道為私有子網路中的資源提供網際網路存取，同時保持資源的私密性。

**使用 NAT 閘道設定私有子網路**

1. 使用 CIDR 區塊建立公有子網路 （如果尚未存在）。

1. 將網際網路閘道連接至 VPC。

1. 在公有子網路中建立 NAT 閘道並指派彈性 IP 地址。

1. 更新公有子網路路由表以新增路由：→ `0.0.0.0/0` 網際網路閘道。

1. 建立或使用具有 CIDR 區塊的現有私有子網路。

1. 更新私有子網路路由表以新增路由：→ NAT `0.0.0.0/0` 閘道。

1. 設定安全群組以允許所需連接埠上的傳出流量。

若要取得高可用性，請在每個可用區域中部署一個 NAT 閘道，並將每個可用區域的路由表設定為使用本機 NAT 閘道。這可避免跨可用區域資料傳輸費用，並改善彈性。

## 選擇連線選項
<a name="lambda-managed-instances-choosing-connectivity"></a>

選擇連線選項時，請考慮下列因素：

**具有網際網路閘道的公有子網路**
+ 成本最低的最簡單組態
+ 適合開發和測試環境
+ 資源可以從網際網路接收傳入連線 （安全考量）
+ 同時支援 IPv4 和 IPv6

**VPC 端點**
+ 最高安全性，流量會保留在 AWS 網路內
+ 與網際網路路由相比，延遲更低
+ 建議用於具有嚴格安全需求的生產環境
+ 每個端點、每個可用區域和每個處理 GB 的成本較高
+ 需要每個可用區域中的端點以獲得高可用性

**具有 NAT 閘道的私有子網路**
+ 資源保持私有，沒有傳入網際網路存取
+ 標準企業架構模式
+ 支援所有 IPv4 網際網路流量
+ NAT 閘道每小時和資料處理費用的成本適中
+ 僅支援 IPv4 

## 後續步驟
<a name="lambda-managed-instances-networking-next-steps"></a>
+ 了解 [Lambda 受管執行個體的容量提供者](lambda-managed-instances-capacity-providers.md)
+ 了解 [Lambda 受管執行個體的擴展](lambda-managed-instances-scaling.md)
+ 檢閱 [Java](lambda-managed-instances-java-runtime.md)、[Node.js](lambda-managed-instances-nodejs-runtime.md) 和 [Python](lambda-managed-instances-python-runtime.md) 的執行時間特定指南
+ 了解 [Lambda 受管執行個體的安全性和許可](lambda-managed-instances-security.md)