VPC LambdaはIGWからインターネットに出られないわけではなかったという話

VPC LambdaはIGWからインターネットに出られないわけではなかったという話

#AWS Lambda
#Amazon VPC
#ENI
平野重利

平野重利

facebook logohatena logotwitter logo
Clock Icon2023.01.05

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Lambda関数はVPCの中にも、外にも配置することができますが、 インターネットへの通信を行いたい時はVPC外に配置するのが一般的です。 しかし何らかの事情でパブリックサブネットにLambda関数を配置して、 VPC内部と外部両方との通信を行いたい場合があるかもしれません。 (本当にあるのかはわかりません。。 私は検証目的のアーキテクチャを作っている中で、 VPCエンドポイントを作るのが嫌だったからIGW経由でラクしようと思っただけです)

しかしパブリックサブネット内部に配置されたLambda関数は、 そのままではインターネットへは通信ができませんでした。 ネットワークについてあまり理解ができていないので色々とその理由を調べていたのですが、実はインターネットに接続できないわけでもないということがわかりました。

なお、下記の内容はあくまでも仕組みの理解と技術検証を目的として実施したものなので、この構成でインターネットへの接続を確保することは推奨構成ではない点はご注意ください。

やってみる

通信できないことの確認

IGWへ通信可能なサブネットにVPC Lambdaを作成して、 インターネットアクセスができるかを確かめてみます。

IGWがVPCにアタッチされ、ルートテーブルも正常に設定されています。 (VPCにIGWがアタッチされている様子はスクリーンショットを撮り忘れました)

VPC内にLambda関数を作ります。 VPC、サブネット、セキュリティグループを設定します。

これで、IGWに行くことができるサブネットにLambda関数が配置できました。

このLambbda関数からインターネットへ接続する必要があるプログラムを実行してみます。 プログラムは以下のように、Googleのトップページを取得するものを準備しました。

import urllib.request

def lambda_handler(event, context):
    url = 'https://www.google.co.jp'
    req = urllib.request.Request(url)
    with urllib.request.urlopen(req) as res:
        text = res.read()
        print(text)

実行してみるとインターネットへのアクセスができずにタイムアウトしてしまいました。 タイムアウトは15秒としてあります。

ここで私はしばらく原因がわからずにあれやこれや調べていたのですが、 原因は、Lambda関数にアタッチされたENIがパブリックIPを持っていないからでした。 Lambda関数をVPCに立てる場合パブリックIPは割り当たりませんし、 明示的に割り当てるような設定項目もありません。

実際ENIを見ると、パブリックIPが設定されていません。

IGWは静的NATとしての処理しかしません。 よって、VPC内部のプライベートIPと交換すべきパブリックIPがなければ、 通信はインターネットに出ていくことはできません。 ということで、今回のケースではパブリックIPを与えることができればインターネットに通信できそうです。

ENIにパブリックIPを付与する

ではENIにパブリックIPを付与してみます。 ENIに対して「アドレスの関連付け」を選択します。

指定する際には、対象となるプライベートIPも指定する必要があります。 パブリックIPはIGWでプライベートIPと交換されるので、 ペアとなるプライベートIPを指定するということなんですね。

パブリックIPがセットされました。

再度インターネットへの接続を確認

これで同じLambda関数を実行してみます。

ちゃんと通信できました! htmlのテキストが並んでいるだけですが、 インターネットにアクセスできなければ取得できない情報が含まれています。

おまけ

上記のテスト結果から、ENIについているパブリックIPとは、 IGWで交換するアドレスのことだということがわかりました。 今回、それを裏付ける挙動が他にも見られたのでご紹介します。

再度パブリックIPの関連付けを解除してみます。

次にIGWをVPCからデタッチしてみます。

そして再度ENIにパブリックIPの付与を試みて見ます。

この場合だとパブリックIPの関連付けは拒否されました。

vpc-xxxxxxxx is not attached to any internet gateway

という文言が表示されており、IGWがアタッチされていないとパブリックIPの関連付け自体が拒否されることがわかります。

ENIがIGWとは無関係にパブリックIPを持つのであれば、 所属するVPCにIGWがアタッチされているかどうかは無関係であるはずですが、 実際VPCからIGWをデタッチした状態ではENIへのパブリックIPの関連付けはできないようです。

(ただしEC2インスタンスを立てる際には、VPCにIGWがアタッチされているかに関係なく、 パブリックIPをもったENIがアタッチされたインスタンスを立てることが可能なようです。 ここの事情についてはよくわかっていませんが、 IGWに通信できる状況でなければいくらパブリックIPだけがあってもインターネットへは通信できませんので、 IGWへの通信とパブリックIPは必ずセットで必要と考えれば良さそうです。)

まとめ

VPC内のLambdaからIGW経由でインターネットに出たい場合は、 アタッチされるENIにパブリックIPを関連付けてあげれば大丈夫なことがわかりました。 またそれによって、IGWが静的NATとしてはたらいていることがよくわかりました。

はじめにも書きましたが、インターネットに出たいLambda関数はVPCの外に置くのが普通だと思いますので、 今回の例はあくまでもVPC内Lambdaを立てた時の挙動を理解するという以上の価値はないかなぁと思います。

今回はVPC Lambdaが、どうやってVPC内にLambda関数が配置されたように振る舞うのかという部分はすっ飛ばして、 Lambda関数が直接VPC内に存在するような記述としてしまったのですが、 この辺をもっと深く理解するためには、Lambda 用 VPC ネットワーキングの辺りをもっと理解する必要がありそうです。

最後に繰り返しですが、本記事は技術的な検証内容に関するものです。 VPC Lambda でVPC内と通信しつつインターネットにも出たいという場合はNAT GWを併用することが基本かつ推奨である点にご注意ください。 推奨される構成に関してはこちらの記事をご参照ください。 https://repost.aws/ja/knowledge-center/internet-access-lambda-function

Share this article

facebook logohatena logotwitter logo

関連記事

【アップデート】LambdaのランタイムにNode.js22が利用可能になりました

【アップデート】LambdaのランタイムにNode.js22が利用可能になりました

User avatar
岩田智哉
2024.11.21
AWS LambdaでFFmpeg/FFprobeを使ってみた

AWS LambdaでFFmpeg/FFprobeを使ってみた

【アップデート】Pythonと.NETでもSnapStartが利用可能になりました!!

【アップデート】Pythonと.NETでもSnapStartが利用可能になりました!!

User avatar
岩田智哉
2024.11.19
EventBridge + Lambdaを使用してEC2インスタンスに自動的にIAMロールを付与する方法

EventBridge + Lambdaを使用してEC2インスタンスに自動的にIAMロールを付与する方法

User avatar
katsumata
2024.11.19
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.