首页
/ 在Gloo Gateway中实现跨账户AWS Lambda函数路由

在Gloo Gateway中实现跨账户AWS Lambda函数路由

2025-06-12 12:06:28作者:盛欣凯Ernestine

概述

在现代云原生架构中,跨AWS账户访问资源已成为常见需求。本文将详细介绍如何在Gloo Gateway项目中配置跨账户访问AWS Lambda函数的能力,帮助开发者在多账户环境中实现服务集成。

跨账户Lambda访问原理

跨账户访问AWS Lambda函数的核心在于权限管理。AWS提供了两种主要机制来实现这一目标:

  1. 基于IAM角色的服务账户(IRSA):通过角色链实现权限委托
  2. 基于资源的策略:直接在Lambda函数上配置访问权限

推荐方案:IAM角色服务账户(IRSA)

AWS端配置步骤

认证账户配置

  1. 创建IAM角色并关联到Kubernetes ServiceAccount
  2. 记录该角色的ARN,后续Lambda账户配置需要使用

Lambda账户配置

  1. Lambda函数准备

    • 使用现有函数或创建新函数
    • 确保函数处于可调用状态

  2. 权限策略创建

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:ListFunctions",
                "lambda:InvokeFunction",
                "lambda:GetFunction",
                "lambda:InvokeAsync"
            ],
            "Resource": "*"
        }
    ]
}

    此策略授予Lambda函数调用相关权限

  3. 角色创建与信任关系建立

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "<认证账户角色ARN>"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Gloo Gateway配置

  1. 禁用函数自动发现(FDS)

    • 通过Helm设置:gloo.discovery.fdsMode: DISABLED
    • 或通过Settings CRD设置:spec.discovery.fdsMode: DISABLED

  2. 创建上游资源

    apiVersion: gloo.solo.io/v1
kind: Upstream
metadata:
  name: aws-upstream
  namespace: gloo-system
spec:
  aws:
    region: us-east-1
    roleArn: arn:aws:iam::123456789012:role/lambda-role
    lambdaFunctions:
    - lambdaFunctionName: target-name
      logicalName: target-name

    关键字段说明:

    • roleArn: Lambda账户中创建的调用角色ARN
    • lambdaFunctions: 目标Lambda函数配置

备选方案:基于资源的配置

AWS端配置

认证账户配置

  1. 创建具有Lambda调用权限的IAM用户或角色
  2. 生成访问密钥对
  3. 在Kubernetes中创建密钥:
    glooctl create secret aws \
    --name 'aws-creds' \
    --namespace gloo-system \
    --access-key $ACCESS_KEY \
    --secret-key $SECRET_KEY

Lambda账户配置

  1. 准备目标Lambda函数
  2. 添加资源策略:
    • 主体:认证账户用户/角色ARN
    • 操作:lambda:InvokeFunction

Gloo Gateway配置

  1. 同样需要禁用FDS功能
  2. 创建上游资源:
    apiVersion: gloo.solo.io/v1
kind: Upstream
metadata:
  name: aws-upstream
  namespace: gloo-system
spec:
  aws:
    region: us-east-1
    secretRef:
      name: aws-creds
      namespace: gloo-system
    awsAccountId: "123456789012"
    lambdaFunctions:
    - lambdaFunctionName: target-name
      logicalName: target-name
    关键区别:
    • 使用secretRef引用凭证
    • 指定awsAccountId

路由验证

配置完成后,可以通过以下步骤验证:

  1. 创建虚拟服务指向AWS上游
  2. 发送测试请求
  3. 检查Lambda函数调用日志和Gloo Gateway访问日志

方案对比与选型建议

特性 IRSA方案 基于资源方案
安全性 更高(使用临时凭证) 较低(使用长期凭证)
维护复杂度 中等 较低
适合场景 生产环境 开发测试环境
凭证轮换 自动 手动
跨账户管理 集中式(IAM角色) 分散式(函数级别)

对于生产环境,强烈推荐使用IRSA方案,它提供了更好的安全性和可维护性。

常见问题排查

  1. 权限不足错误

    • 检查角色信任关系是否正确配置
    • 验证策略是否包含必要权限

  2. 跨账户调用失败

    • 确认Lambda函数资源策略允许调用
    • 检查账户ID是否正确

  3. Gloo Gateway连接问题

    • 验证上游资源配置是否正确
    • 检查网络连通性

通过本文介绍的配置方法,您可以在Gloo Gateway中轻松实现跨AWS账户的Lambda函数调用,构建更加灵活和安全的服务架构。

登录后查看全文
热门项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
27
12
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
602
4.04 K
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
69
21
pytorchpytorch
Ascend Extension for PyTorch
Python
442
531
AscendNPU-IRAscendNPU-IR
AscendNPU-IR是基于MLIR(Multi-Level Intermediate Representation)构建的,面向昇腾亲和算子编译时使用的中间表示,提供昇腾完备表达能力,通过编译优化提升昇腾AI处理器计算效率,支持通过生态框架使能昇腾AI处理器与深度调优
C++
112
170
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.46 K
825
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
922
770
flutter_flutterflutter_flutter
暂无简介
Dart
847
204
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
JavaScript
321
375
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
174
249