Lambda tworząc ENI za każdym razem, gdy jest wywoływana: Limit ciupnięcia

Question

Moja Lambda uzyskuje dostęp do zasobów w moim VPC, tak jak pouczono w dokumentacji, którą dałem Lambdzie rolę w tworzeniu interfejsów sieciowych. Byłem przy założeniu, że ENI są ponownie wykorzystywane, ale wygląda jak każde wezwanie jest stworzenie nowego ENI, który spowodował wyrzucić błąd

Lambda was not able to create an ENI in the VPC of the Lambda function because the limit for Network Interfaces has been reached.

I przeszukiwane google, ale nie mógł znaleźć najlepszy sposób, aby rozwiązać ten problem . Oprócz ręcznego usuwania tych ENI okresowo jest lepszy sposób?

Answer 1

Zgodnie z sugestią Marka, problem polegał na tym, że moja Lambda AWS nie miała działania DeleteNetworkInterface określonego w roli (Zasady), do której ustawiono lambda. Podając odpowiednią politykę, Lambda odłącza się i usuwa ENI, kiedy to zrobi.

 { 
      "Effect": "Allow", 
      "Resource": "*", 
      "Action": [ 
       "ec2:DescribeInstances", 
       "ec2:CreateNetworkInterface", 
       "ec2:AttachNetworkInterface", 
       "ec2:DescribeNetworkInterfaces", 
       "ec2:DeleteNetworkInterface", 
       "ec2:DetachNetworkInterface", 
       "ec2:ModifyNetworkInterfaceAttribute", 
       "ec2:ResetNetworkInterfaceAttribute", 
       "autoscaling:CompleteLifecycleAction" 
      ] 
     } 

Answer 2

Oficjalna linia z AWS (poprzez their docs i bilet wsparcia) jest skorzystanie z AWS-zarządzanej polityki AWSLambdaVPCAccessExecutionRole.

Fragment z prywatnej biletu wsparcia:

Rola używasz w swojej funkcji Lambda posiada załączony politykę „AWSLambdaVPCAccessExecutionRole”, które jest zarządzane AWS politykę VPC-włączonych funkcji lambda. Ta zasada zawiera wszystkie potrzebne uprawnienia i może być aktualizowana w przyszłości, jeśli potrzebne są nowe uprawnienia z powodu aktualizacji usługi.

Warto również zauważyć, że oderwanie ENI może czasami potrwać kilka godzin.