启用VPC的lambda体系结构可以更好吗？

Question

我们的架构是一种FAAS方法，我们的整个后端都在Lambdas上。持久化层是一个托管云Mongo集群，也就是所谓的地图集。VPC中的Lambdas使用对等的VPC连接与mongo集群对话。

我需要启用VPC的Lambda，因为Lambda使用VPC对等连接与mongo集群进行对话。我需要一个NAT网关，因为Lambda内部的资源必须与外部互联网资源对话。以下是我的VPC-Lambda-Mongo架构：

​

所以我的问题是：

1. Security and Security是非常重要的，您建议比这更好的架构吗？我很乐意听你这么说。

Answer 1

• 如果保安和安全是非常重要的，你为什么还要考虑公开子网呢？您可以节省很少的钱，但是安全组中任何意外打开入站端口都有风险。
• 您可以使用NAT实例而不是NAT网关。如果您通过NAT的出站流量是零星的，那么选择t2.micro NAT (每月9美元)或t2.nano NAT (每月5美元)
• 最重要的是:在公共子网中运行Lambdas可能不符合PCI/SOC2 2。
• 我不确定公共子网中的Lambdas是否可以直接访问internet。如果有可能，那么传出数据包的源IP是什么？