Kann VPC-fähige Lambda-Architektur besser sein?

Question

Unsere Architektur ist ein FAAS-Ansatz, bei dem unser gesamtes Backend auf Lambdas basiert. Die Persistenzschicht ist ein managed Cloud Mongo Cluster, so genannt Atlas. Lambdas in der VPC sprechen mit Mongo-Cluster unter Verwendung einer Peering-VPC-Verbindung.

Ich brauche ein VPC Lambda aktiviert, weil Lambda Gespräche Cluster mit dem VPC Peering Verbindung Mongo. Ich brauche ein NAT-Gateway, weil Ressourcen in Lambda mit externen Internet-Ressourcen zu sprechen haben. Hier ist meine VPC-Lambda-Mongo Architektur:

Also meine Fragen sind:

1. Security and Safety ist sehr wichtig, Sie empfehlen alle bessere Architektur als das? Ich würde mich freuen, es zu hören.

Answer 1

• Wenn Sicherheit und Sicherheit sehr wichtig ist, warum denken Sie auch über das Subnetz öffentlich zu machen? Sie können zwar ein paar Dollar sparen, aber ein versehentliches Öffnen von eingehenden Ports in der Sicherheitsgruppe ist ein Risiko.
• Sie können eine NAT-Instanz anstelle eines NAT-Gateways verwenden. Und wenn Ihr ausgehender Datenverkehr durch NAT sporadisch dann geht für t2.micro NAT ($ 9/Monat) oder t2.nano NAT ($ 5/Monat)
• Am wichtigsten: in öffentlichen Subnetz Ihre Lambdas Lauf möglicherweise nicht PCI/SOC 2 konform
• ich sein bin mir nicht sicher, ob Lambdas im öffentlichen Subnetz direkt auf das Internet zugreifen können. Wenn es möglich ist, was ist dann die Quell-IP für das ausgehende Paket?