我正在使用 LambStatus https://lambstatus.github.io/创建一个状态页面,并希望通过 cloudwatch 警报自动更新组件的状态。我必须将流量限制为状态页面。我目前只有来自 VPN 或我们的 VPC IP 地址的流量列入白名单。在理想情况下,云监视警报会触发 SNS ----> Lambda 函数--->卷曲 API 终端节点以更新组件。
我需要将 Lambda 放在 VPC 中,以便 HTTPS 补丁来自一组 IP 地址,或者发现将 VPC 列入白名单的其他方法。
Lambda 函数可以访问 VPC 资源,但仍存在于默认 VPC 中。我是否可以控制 lambda 函数的 IP 地址或有某种方法将 lambda 请求列入白名单?
由于如果您计划使用 WAF,Lambda 会使用 EC2 范围内的 IP 地址,因此您需要在 CURL 中添加显式标头,并且仅在标头存在时才允许 WAF 中的请求。
由于你提到了 WAF,我假设 API 终结点是公共终结点,可通过公共 IP 地址访问。
在这种情况下,不错的选择是在 VPC 中使用 Lambda。Lambda要在VPC环境中与公有IP通信,需要启动私有子网,您可以选择具有到NAT网关的默认路由的子网,NAT网关需要弹性IP地址,因此来自Lambda的所有流量都将通过NAT网关,您可以将NAT网关IP列入白名单。我不建议使用 NAT 实例,因为我不知道实例类型和请求数。