如何设置AWS lambda以访问两个单独的VPC中的资源？

Question

我正在使用Terraform来构建一个API +相应的lambda函数。

我有一些其他的基础设施，我想，认为是很好的建立了这（也许我错了？）：

• 2的VPC（让我们只是看见他们test和prod）
• 私人&公共子网在专用子网

所有的资源都在两个相同的VPC推出VPC每个

RDS数据块;例如有一个test-private-subnet和一个prod-private-subnet与完全相同的规格，相同的数据库，等等。

现在，我正在研究API和lambdas，将支持所说的API。

我不觉得我需要一个test & prod API网关和test & prod lambda表达式：

• 拉姆达代码是相同的，只是作用于不同的DB
• 您可以使用API​​ stage_variables ，用不同的ips实现test与prod API环境

但是，当我尝试设置与vpc_config块一个lambda（因为我需要它与上所允许的数据块入口的安全组关联），我收到以下错误：

Error applying plan: 

1 error(s) occurred: 

* module.lambdas.aws_lambda_function.api-lambda-users: 1 error(s) occurred: 

* aws_lambda_function.api-lambda-users: Error creating Lambda function: InvalidParameterValueException: Security Groups are required to be in the same VPC. 
status code: 400, request id: xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx 

我拉姆达配置看起来像这样：

resource "aws_lambda_function" "api-lambda-users" { 
    provider = "PROVIDER" 
    function_name = "users" 
    s3_key   = "users/${var.lambda-package-name}" 
    s3_bucket  = "${var.api-lambdas-bucket}" 
    role    = "${aws_iam_role.lambda-role.arn}" 
    handler   = "${var.handler-name}" 
    runtime   = "${var.lambda-runtime}" 

    vpc_config { 
    security_group_ids = [ 
     //"${data.aws_security_group.prod-lambda.id}", 
     "${data.aws_security_group.test-lambda.id}" 
    ] 
    subnet_ids = [ 
     //"${data.aws_subnet.prod-primary.id}", 
     "${data.aws_subnet.test-primary.id}" 
    ] 
    } 
} 

注意我最好喜欢在它们的相应列表中指定它们。

我错过了什么吗？

对此提出建议？

任何帮助，有关与否，非常感谢。

Answer 1

在vpc内部运行的Lambda与ec2实例具有相同的网络“规则”。所以它不能在两个VPC中“存在”。如果lambda函数需要在两个单独的VPC中讨论vpc资源，则可以使用类似VPC对等的方法，或者只是在两个不同的vpc中运行两个函数副本。

When you add VPC configuration to a Lambda function, it can only access resources in that VPC. If a Lambda function needs to access both VPC resources and the public Internet, the VPC needs to have a Network Address Translation (NAT) instance inside the VPC and a VPC Peering connection.