我们目前采用由 SQS 协调的三个 lambda 函数序列来传递详细信息。这些功能是:
身份验证 Lambda:这处理授权并将会话详细信息转发到下游 SQS。
元数据 Lambda:它检索文档元数据并将会话详细信息转发到下游 SQS。
Download Lambda:负责下载文档。
目前,我们的目标是利用门户网站通过 API 访问和下载文档。当 Auth lambda 将会话详细信息传输到元数据 lambda 时,就会出现问题,从而导致 403 错误。但是,当我将所有三个 lambda 合并为一个 lambda 代码时,它可以正常运行。我怀疑门户网站一侧可能实施了 IP 地址或 CIDR 范围限制。当我从同一 IP 范围提交请求时,它会将我定向到同一 Web 服务器。然而,如果我为元数据或下载 lambda 使用不同的 IP 范围,它会路由到不同的 Web 服务器。
我们如何在坚持使用三个 lambda 的现有设计模式的同时应对这一挑战?
我试过了
将所有 lambda 放在同一私有子网中,并将所有流量路由到公共子网。使用NAT网关,访问Internet。这种方法工作正常,但我们使用的是 IP 地址范围有限的公共子网。因此,门户网站有可能阻止来自同一 IP 范围的请求。
您已经描述了问题的解决方案:
将所有 lambda 放在同一私有子网中,并将所有流量路由到公共子网。使用NAT网关,访问Internet。这个方法效果很好...
不过好像有误会。
但我们使用的是 IP 地址范围有限的公共子网。因此,门户网站有可能阻止来自同一 IP 范围的请求。
NAT 网关将始终使用“相同”公共 IP(这是您提供的弹性 IP)。该公共 IP 独立于您的公共子网,AWS 只会将流量路由到与其关联的 NAT 网关。 如果门户阻止了该操作,您可以使用不同的弹性 IP 创建一个新的 NAT 网关。该门户不太可能将所有 AWS CIDR 范围放入阻止列表中。