在Gloo Gateway中实现跨账户AWS Lambda函数路由

概述

在现代云原生架构中，跨AWS账户访问资源已成为常见需求。本文将详细介绍如何在Gloo Gateway项目中配置跨账户访问AWS Lambda函数的能力，帮助开发者在多账户环境中实现服务集成。

跨账户Lambda访问原理

跨账户访问AWS Lambda函数的核心在于权限管理。AWS提供了两种主要机制来实现这一目标：

1. 基于IAM角色的服务账户(IRSA)：通过角色链实现权限委托
2. 基于资源的策略：直接在Lambda函数上配置访问权限

推荐方案：IAM角色服务账户(IRSA)

AWS端配置步骤

认证账户配置

1. 创建IAM角色并关联到Kubernetes ServiceAccount
2. 记录该角色的ARN，后续Lambda账户配置需要使用

Lambda账户配置

1. Lambda函数准备：

   • 使用现有函数或创建新函数
   • 确保函数处于可调用状态

2. 权限策略创建：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "lambda:ListFunctions",
                   "lambda:InvokeFunction",
                   "lambda:GetFunction",
                   "lambda:InvokeAsync"
               ],
               "Resource": "*"
           }
       ]
   }
   

   此策略授予Lambda函数调用相关权限

3. 角色创建与信任关系建立：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "<认证账户角色ARN>"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   

Gloo Gateway配置

1. 禁用函数自动发现(FDS)：

   • 通过Helm设置：gloo.discovery.fdsMode: DISABLED
   • 或通过Settings CRD设置：spec.discovery.fdsMode: DISABLED

2. 创建上游资源：

   apiVersion: gloo.solo.io/v1
   kind: Upstream
   metadata:
     name: aws-upstream
     namespace: gloo-system
   spec:
     aws:
       region: us-east-1
       roleArn: arn:aws:iam::123456789012:role/lambda-role
       lambdaFunctions:
       - lambdaFunctionName: target-name
         logicalName: target-name
   

   关键字段说明：

   • roleArn: Lambda账户中创建的调用角色ARN
   • lambdaFunctions: 目标Lambda函数配置

备选方案：基于资源的配置

AWS端配置

认证账户配置

1. 创建具有Lambda调用权限的IAM用户或角色
2. 生成访问密钥对
3. 在Kubernetes中创建密钥：

   glooctl create secret aws \
       --name 'aws-creds' \
       --namespace gloo-system \
       --access-key $ACCESS_KEY \
       --secret-key $SECRET_KEY
   

Lambda账户配置

1. 准备目标Lambda函数
2. 添加资源策略：
   • 主体：认证账户用户/角色ARN
   • 操作：lambda:InvokeFunction

Gloo Gateway配置

1. 同样需要禁用FDS功能
2. 创建上游资源：

   apiVersion: gloo.solo.io/v1
   kind: Upstream
   metadata:
     name: aws-upstream
     namespace: gloo-system
   spec:
     aws:
       region: us-east-1
       secretRef:
         name: aws-creds
         namespace: gloo-system
       awsAccountId: "123456789012"
       lambdaFunctions:
       - lambdaFunctionName: target-name
         logicalName: target-name
   

   关键区别：
   • 使用secretRef引用凭证
   • 指定awsAccountId

路由验证

配置完成后，可以通过以下步骤验证：

1. 创建虚拟服务指向AWS上游
2. 发送测试请求
3. 检查Lambda函数调用日志和Gloo Gateway访问日志

方案对比与选型建议

特性	IRSA方案	基于资源方案
安全性	更高(使用临时凭证)	较低(使用长期凭证)
维护复杂度	中等	较低
适合场景	生产环境	开发测试环境
凭证轮换	自动	手动
跨账户管理	集中式(IAM角色)	分散式(函数级别)

对于生产环境，强烈推荐使用IRSA方案，它提供了更好的安全性和可维护性。

常见问题排查

1. 权限不足错误：

   • 检查角色信任关系是否正确配置
   • 验证策略是否包含必要权限

2. 跨账户调用失败：

   • 确认Lambda函数资源策略允许调用
   • 检查账户ID是否正确

3. Gloo Gateway连接问题：

   • 验证上游资源配置是否正确
   • 检查网络连通性

通过本文介绍的配置方法，您可以在Gloo Gateway中轻松实现跨AWS账户的Lambda函数调用，构建更加灵活和安全的服务架构。