amazon-web-services - VPC 中的 AWS Lambda 无法通过 NAT 访问互联网-6ren

amazon-web-services - VPC 中的 AWS Lambda 无法通过 NAT 访问互联网

转载作者：行者123 更新时间：2023-12-04 08:12:09

我的问题是，我在具有 IGW 的 VPC 内的 NAT 后面运行的 Lambda 函数无法访问 Internet 上的任何内容。

我正在尝试创建一个具有以下功能的 VPC:

互联网网关；
2 个私有(private)子网(PrivateA 和 PrivateB)分别位于可用区 A 和 B 中；
可用区 A 中有 1 个公共(public)子网 (PublicA)
PublicA 子网中的 NAT 网关
PrivateA 和 PrivateB 具有将 0.0.0.0/0 路由到 NAT 网关的路由表。
PublicA 有一个路由表，将 0.0.0.0/0 路由到互联网网关。
私有(private)子网以及公共(public)子网都有允许所有入口和导出流量的访问控制列表。

这部分是有效的。

接下来，我想在 VPC 内创建一个 Lambda 函数。我将其放入 PrivateA 和 PrivateB 中，并为其分配一个允许所有导出和入口流量的安全组。

下面是一个重现该问题的独立示例(整个模板)。我已经阅读了互联网上所有可能的文档和文章，因此如果有人能为我指出正确的方向，我将非常感激。

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Resources": {

    "Vpc": {
      "Type": "AWS::EC2::VPC",
      "Properties": {
        "CidrBlock": "10.0.0.0/16",
        "EnableDnsSupport": true,
        "EnableDnsHostnames": true,
        "InstanceTenancy": "default"
      }
    },

    "InternetGateway": {
      "Type": "AWS::EC2::InternetGateway"
    },

    "VpcGatewayAttachment": {
      "Type": "AWS::EC2::VPCGatewayAttachment",
      "Properties": {
        "VpcId": { "Ref": "Vpc" },
        "InternetGatewayId": { "Ref": "InternetGateway" }
      }
    },

    "ElasticIP":{
      "Type": "AWS::EC2::EIP",
      "Properties": {
        "Domain": "vpc"
      }
    },

    "NatGateway": {
      "Type": "AWS::EC2::NatGateway",
      "DependsOn": [ "VpcGatewayAttachment" ],
      "Properties": {
        "AllocationId": { "Fn::GetAtt": [ "ElasticIP", "AllocationId" ] },
        "SubnetId": { "Ref": "SubnetAPublic" }
      }
    },

    "SubnetAPublic": {
      "Type": "AWS::EC2::Subnet",
      "Properties": {
        "AvailabilityZone": { "Fn::Select" : [ "0", { "Fn::GetAZs" : "" } ] },
        "CidrBlock": "10.0.0.0/19",
        "MapPublicIpOnLaunch": true,
        "VpcId": { "Ref": "Vpc" }
      }
    },

    "SubnetAPrivate": {
      "Type": "AWS::EC2::Subnet",
      "Properties": {
        "AvailabilityZone": { "Fn::Select" : [ "0", { "Fn::GetAZs" : "" } ] },
        "CidrBlock": "10.0.64.0/19",
        "VpcId": { "Ref": "Vpc" }
      }
    },

    "SubnetBPrivate": {
      "Type": "AWS::EC2::Subnet",
      "Properties": {
        "AvailabilityZone": { "Fn::Select" : [ "1", { "Fn::GetAZs" : "" } ] },
        "CidrBlock": "10.0.96.0/19",
        "VpcId": { "Ref": "Vpc" }
      }
    },

    "RouteTablePublic": {
      "Type": "AWS::EC2::RouteTable",
      "Properties": {
        "VpcId": { "Ref": "Vpc" }
      }
    },

    "RouteTablePrivate": {
      "Type": "AWS::EC2::RouteTable",
      "Properties": {
        "VpcId": { "Ref": "Vpc" }
      }
    },

    "RouteTableAssociationAPublic": {
      "Type": "AWS::EC2::SubnetRouteTableAssociation",
      "Properties": {
        "SubnetId": { "Ref": "SubnetAPublic" },
        "RouteTableId": { "Ref": "RouteTablePublic" }
      }
    },

    "RouteTableAssociationAPrivate": {
      "Type": "AWS::EC2::SubnetRouteTableAssociation",
      "Properties": {
        "SubnetId": { "Ref": "SubnetAPrivate" },
        "RouteTableId": { "Ref": "RouteTablePrivate" }
      }
    },

    "RouteTableAssociationBPrivate": {
      "Type": "AWS::EC2::SubnetRouteTableAssociation",
      "Properties": {
        "SubnetId": { "Ref": "SubnetBPrivate" },
        "RouteTableId": { "Ref": "RouteTablePrivate" }
      }
    },

    "RouteTablePrivateInternetRoute": {
      "Type": "AWS::EC2::Route",
      "DependsOn": [ "VpcGatewayAttachment" ],
      "Properties": {
        "RouteTableId": { "Ref": "RouteTablePrivate" },
        "DestinationCidrBlock": "0.0.0.0/0",
        "NatGatewayId": { "Ref": "NatGateway" }
      }
    },

    "RouteTablePublicInternetRoute": {
      "Type": "AWS::EC2::Route",
      "DependsOn": [ "VpcGatewayAttachment" ],
      "Properties": {
        "RouteTableId": { "Ref": "RouteTablePublic" },
        "DestinationCidrBlock": "0.0.0.0/0",
        "GatewayId": { "Ref": "InternetGateway" }
      }
    },

    "NetworkAclPublic": {
      "Type": "AWS::EC2::NetworkAcl",
      "Properties": {
        "VpcId": { "Ref": "Vpc" }
      }
    },

    "NetworkAclPrivate": {
      "Type": "AWS::EC2::NetworkAcl",
      "Properties": {
        "VpcId": { "Ref": "Vpc" }
      }
    },

    "SubnetNetworkAclAssociationAPublic": {
      "Type": "AWS::EC2::SubnetNetworkAclAssociation",
      "Properties":{
        "SubnetId": { "Ref": "SubnetAPublic" },
        "NetworkAclId": { "Ref": "NetworkAclPublic" }
      }
    },

    "SubnetNetworkAclAssociationAPrivate": {
      "Type": "AWS::EC2::SubnetNetworkAclAssociation",
      "Properties":{
        "SubnetId": { "Ref": "SubnetAPrivate" },
        "NetworkAclId": { "Ref": "NetworkAclPrivate" }
      }
    },

    "SubnetNetworkAclAssociationBPrivate": {
      "Type": "AWS::EC2::SubnetNetworkAclAssociation",
      "Properties": {
        "SubnetId": { "Ref": "SubnetBPrivate" },
        "NetworkAclId": { "Ref": "NetworkAclPrivate" }
      }
    },

    "NetworkAclEntryInPublicAllowAll": {
      "Type": "AWS::EC2::NetworkAclEntry",
      "Properties": {
        "NetworkAclId": { "Ref": "NetworkAclPublic" },
        "RuleNumber": 99,
        "Protocol": -1,
        "RuleAction": "allow",
        "Egress": false,
        "CidrBlock": "0.0.0.0/0"
      }
    },

    "NetworkAclEntryOutPublicAllowAll": {
      "Type": "AWS::EC2::NetworkAclEntry",
      "Properties": {
        "NetworkAclId": { "Ref": "NetworkAclPublic" },
        "RuleNumber": 99,
        "Protocol": -1,
        "RuleAction": "allow",
        "Egress": true,
        "CidrBlock": "0.0.0.0/0"
      }
    },

    "NetworkAclEntryInPrivateAllowVpc": {
      "Type": "AWS::EC2::NetworkAclEntry",
      "Properties": {
        "NetworkAclId": { "Ref": "NetworkAclPrivate" },
        "RuleNumber": 99,
        "Protocol": -1,
        "RuleAction": "allow",
        "Egress": false,
        "CidrBlock": "0.0.0.0/16"
      }
    },

    "NetworkAclEntryOutPrivateAllowVpc": {
      "Type": "AWS::EC2::NetworkAclEntry",
      "Properties": {
        "NetworkAclId": { "Ref": "NetworkAclPrivate" },
        "RuleNumber": 99,
        "Protocol": -1,
        "RuleAction": "allow",
        "Egress": true,
        "CidrBlock": "0.0.0.0/0"
      }
    },

    "LambdasSecurityGroup": {
      "Type": "AWS::EC2::SecurityGroup",
      "Properties": {
        "GroupDescription": "Lambdas security group",
        "SecurityGroupEgress": [
          { "CidrIp": "0.0.0.0/0", "IpProtocol": "-1" }
        ],
        "SecurityGroupIngress": [
          { "CidrIp": "0.0.0.0/0", "IpProtocol": "-1" }
        ],
        "VpcId": { "Ref": "Vpc" }
      }
    },

    "LambdaFunctionExecutionRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Effect": "Allow",
              "Principal": { "Service": "lambda.amazonaws.com" },
              "Action": "sts:AssumeRole"
            }
          ]
        },
        "ManagedPolicyArns": [
          "arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole",
          "arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole"
        ]
      }
    },

    "LambdaFunction": {
      "Type": "AWS::Lambda::Function",
      "Properties": {
        "Handler": "index.lambda_handler",
        "Runtime": "python2.7",
        "Role": {
          "Fn::GetAtt": ["LambdaFunctionExecutionRole", "Arn"]
        },
        "Code": {
          "ZipFile": {
            "Fn::Join": ["\n", [
              "import urllib2",
              "def lambda_handler(event, context):",
              "\tresponse = urllib2.urlopen('http://python.org/')",
              "\treturn response.read()"
            ]]
          }
        },
        "VpcConfig": {
          "SecurityGroupIds": [
            { "Fn::GetAtt": [ "LambdasSecurityGroup", "GroupId"] }
          ],
          "SubnetIds": [
            { "Ref": "SubnetAPrivate" },
            { "Ref": "SubnetBPrivate" }
          ]
        }
      }
    }
  }
}

最佳答案

连接失败的原因在于“NetworkAclEntryInPrivateAllowVpc”和“NetworkAclEntryOutPrivateAllowVpc”的 ACL 配置。

如果您打开从“0.0.0.0/16”到“0.0.0.0/0”的 CIDR block ，Lambda 可以访问互联网。

我对 NAT 不太了解，但 NAT 流量似乎被该 ACL 规则阻止了。

关于amazon-web-services - VPC 中的 AWS Lambda 无法通过 NAT 访问互联网，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/42527331/

文章推荐： angularjs - angular.js chrome Access-Control-Allow-Origin

文章推荐： internet-explorer-7 - 垂直滚动条错误 IE9 和 IE7

nats.io - NATS 中的动态用户管理
我考虑创建一个基于 NATS 的新解决方案，目前只剩下两个悬而未决的问题。在我的场景中，我需要客户端向服务器进行身份验证，以及可能的机制 user+pass、token 和 JWT 我想使用 toke
nat - 以编程方式确定路由器 NAT 类型
我需要在我的程序中以编程方式确定路由器 NAT 类型。我确实查看了一些与 STUN 相关的答案和关于 SO 的 UPnP 相关信息。但没有得到任何确定的答案。我查看了 STUN RFC (rfc 5
functional-programming - 如何在 coq 中证明 "~(nat = False)"、 "~(nat = bool)"和 "~(nat = True)"
以下两个命题很容易证明。 Theorem nat_eq_nat : nat = nat. Proof. trivial. Qed. Theorem True_neq_False : ~(True
nat - gethostbyaddr() 应该在 NAT 环境中工作吗？
如果我要求 gethostbyaddr() 查找 NAT 生成的 IP 地址，例如 192.168.0.4，我应该期望它起作用吗？背景:我正在家里对一些用于网络环境的控制代码进行测试。有时，此代码会
nat - NAT 后面的 HTTP 服务器
我正在尝试使多层 NAT 后面的(apache)服务器可以从 Internet 访问。限制: 避免中继。有一个公共(public)服务器(我们称他为 OldMan)用于登录/眩晕，但它的带宽太差，无
ocaml - 类型级算术 : "at most" nat or nat interval
在 OCaml 中使用类型级算法，很容易定义一个函数，该函数的 nat 值高于特定值: let f : 'a succ nat -> string = function _ -> "hej" f Ze
nats.io - 获取 NATS 流媒体服务器中的主题列表
我正在寻找一种方法来显示操作期间 NATS 流服务器上当前存在的所有主题。已经彻底查看了文档，但到目前为止还没有找到提及。有没有办法找到可以在服务器上订阅的所有可用主题的列表？最佳答案我刚刚合并
sip - 什么时候需要TURN？对称 NAT 和端口限制 NAT
我发现:“唯一需要 TURN 的情况是当其中一个对等点位于对称 NAT 后面，而另一个对等点位于对称 NAT 或端口限制 NAT 后面时。”那么，对称 NAT 后面的对等点如何连接后面的另一个点(例如
python - Pandas 在不应该返回 NaT 的情况下返回 NaT
我的数据框是 time NTCS001G002 NTCS001W005 0 2013-05-30 23:00:00 NaN NaN 1 2013-06-30
javascript - 带有分子器的 NATS。如何更改 NATS max_payload 值？
我的问题是我需要增加 NATS 收到的 max_payload 值，但我不知道我可以在哪里做。该项目正在使用 Moleculer，NATS 被创建为带有 docker 的容器。当我尝试发出大于 1
networking - VirtualBox NAT 网络与 VMWare NAT 有根本的不同吗？
我正在尝试调试一个问题，我了解 VirtualBox 中的 NAT 网络适配器与 VMWare Fusion 中的 NAT 网络适配器之间的区别。到目前为止，我可以配置 VMWare 并实现我想要的结
echo - 是否可以从内部 nat 外部 ping 通 nat？
是否可以向 nat 后面的主机发送回显请求后。所有的 echo-request 都不包含目标主机的端口，因此如果有多个主机使用相同的外部 ip 地址，nat 将如何将 echo-reques
nats.io - 是否有 NATS Web UI 工具来监控消息？
是否有任何工具可用于监控通过 NATS 队列发布的实际消息？对于演示文稿，我需要显示通过微服务架构显示的消息，最好通过现有解决方案来实现，而不是自己编写一个。我现在有 Natsboard ( htt
nat - libutp (µTP) 和 NAT 穿越(UDP 打洞)
根据维基百科文章 Micro Transport Protocol支持使用UDP打洞的NAT穿越。但是看着libutp's project page我在头文件中找不到任何这样的引用。我错过了一些明显的
java - 如何将位于 NAT 后面的 ActiveMQ 客户端连接到不在 NAT 后面的服务器？
我在网上查了一下，我发现的所有内容都显示了如何创建一个单独的服务器来连接到位于 nat 或防火墙后面的主服务器。但在我的例子中，客户端位于 NAT 后面，服务器位于本地网络上。所以它的设置有点像下
nats.io - 如何在 Windows 10 中安装 NATS CLI 工具
我已经在我的 Windows 机器上启动并运行了带 docker 的 NATS 服务器。我也想在我的 Windows 机器上安装 nats CLI 工具。文档中只提到了 Mac 和 Linux。
Asterisk - sip_parse_nat_option : nat=yes is deprecated, 使用 nat=force_rport,comedia
我已经安装了 Asterisk 11 并出现了这个错误。我更改了 sip.conf 并且仍然在 Asterisk Debug模式下看到错误日志。 Asterisk 日志 [Apr 16 20:43:0
networking - 云形成: Referencing a NAT gateway from a route gives Invalid id: "nat-0ad5d1c106dd74175"
我有以下 Cloud Formation 配置，其中包括子网、路由表/路由、nat 网关和弹性 IP: lambdaPointToIgwStaging: Type: 'AWS::EC2::
amazon-web-services - 有没有办法在 aws 上的 kubernetes 集群中使用 NAT 实例而不是 NAT 网关作为私有(private)子网的导出？
我在私有(private)子网中的 aws 上使用 Kops 创建了一个 kubernetes 集群。当使用 NAT 网关作为集群中的导出点时，一切正常。但是，当我尝试将 NAT 实例部署为集群中的
LVS-NAT
配置LVS-NAT模式由于我们要进行LVS-NAT模式集群搭建。首先在VMware中添加两个虚拟网段 VMnet2：做内网的网段 VMnet4：做外网的网段然后

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

amazon-web-services - VPC 中的 AWS Lambda 无法通过 NAT 访问互联网