2

我正在使用 LambStatus https://lambstatus.github.io/创建一个状态页面,并希望通过 cloudwatch 警报自动更新组件的状态。我必须限制状态页面的流量。我目前只有来自 VPN 或我们的 VPC IP 地址的流量列入白名单。在理想情况下,cloudwatch 警报会触发 SNS ----> Lambda 函数 ---> 卷曲 API 端点以更新组件。

我需要将 Lambda 放在 VPC 中,以便 HTTPS 补丁来自一组 IP 地址,或者发现将 VPC 列入白名单的其他方式。

Lambda 函数可以访问 VPC 资源,但仍存在于默认 VPC 中。我是否可以控制 lambda 函数的 IP 地址或有办法将 lambda 请求列入白名单?

4

1 回答 1

4

如果您打算使用 WAF,由于 Lambda 使用 EC2 范围内的 IP 地址,因此您需要在 CURL 中添加显式标头,并且仅当标头存在时才允许 WAF 中的请求。

既然您提到了 WAF,我假设 API 端点是公共端点并且可以通过公共 IP 地址访问。

在这种情况下,最好的选择是在 VPC 中使用 Lambda。Lambda 与 VPC 环境中的公共 IP 通信,它需要启动一个私有子网,您可以选择一个具有到 NAT 网关的默认路由的子网,NAT 网关需要一个弹性 IP 地址,因此来自 Lambda 的所有流量都会去通过 NAT 网关,您可以将 NAT 网关 IP 列入白名单。我不建议使用 NAT 实例,因为我不知道实例类型和请求数量。

于 2019-03-29T05:11:34.370 回答