<p>2023/12/25 ... 【追記】アリ</p>
<h1 id="%E8%83%8C%E6%99%AF">
<a class="header-anchor-link" href="#%E8%83%8C%E6%99%AF" aria-hidden="true"></a> 背景</h1>
<p>顔のイボやイボ痔を治療中で、年内に X のフォロワー1000人を目指している <a href="https://twitter.com/___nix___" target="_blank" rel="nofollow noopener noreferrer">@___nix___</a>  です。</p>
<p>以前から大人気の Lambda ですが、APIのコンピューティング部分で使うことも一般的になっています。<br>
例えば外部決済システムとやり取りをするような場合に決済システム側から「接続元IPを制限しているのでGWのIPをご連絡ください」と言われるケースが少なくありません。</p>
<p>こんな時に今までは当たり前のようにやってきたやり方、実はそれ以外にも方法があったのでご紹介したいと思います。</p>
<h1 id="%E7%8F%BE%E7%8A%B6">
<a class="header-anchor-link" href="#%E7%8F%BE%E7%8A%B6" aria-hidden="true"></a> 現状</h1>
<p>はい、この構成が Lambda を固定IP化する最も有名な方法です。<br>
Lambda を VPC 内に配置し、（お高い）NatGateway 経由でアクセスすることで接続元IPを固定にする方法です。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/b1c821cb2474-20231222.png" loading="lazy" class="md-img"></p>
<p>ただ、たったこれだけ？の為に VPC 構築して（お高い）NatGateway を設置するのにいつも罪悪感というか、手数増えるなぁという感想を持ってました。</p>
<h1 id="%E6%B0%97%E3%81%A5%E3%81%8D">
<a class="header-anchor-link" href="#%E6%B0%97%E3%81%A5%E3%81%8D" aria-hidden="true"></a> 気づき</h1>
<p>そんなある日、こんな記事を見かけました。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__c83cc7537885d" src="https://embed.zenn.studio/card#zenn-embedded__c83cc7537885d" data-content="https%3A%2F%2Fzenn.dev%2Fcounterworks%2Farticles%2Fe942f58ddb1abf" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://zenn.dev/counterworks/articles/e942f58ddb1abf" style="display:none" target="_blank">https://zenn.dev/counterworks/articles/e942f58ddb1abf</a></p>
<p>ふむふむ、読み込んでいくと気になる一文が...。</p>
<blockquote>
<p>Lambda は実は EIP をアサインできる<br>
あまり知られていませんが、Lambda Function は Public VPC に配置し、直接 Elastic IP をアタッチ出来ます。 これだけで任意の Lambda 関数の Outbound アクセスは固定IPになります。</p>
</blockquote>
<p>(。´･ω･)え?</p>
<h1 id="%E7%9B%AE%E6%8C%87%E3%81%99%E6%A7%8B%E6%88%90">
<a class="header-anchor-link" href="#%E7%9B%AE%E6%8C%87%E3%81%99%E6%A7%8B%E6%88%90" aria-hidden="true"></a> 目指す構成</h1>
<p>Lambda を PublicSubnet に配置、NetworkInterface に EIP をアタッチして外部にアクセスする経路を構築してみます。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/9e99ea1cc2de-20231222.png" loading="lazy" class="md-img"></p>
<h1 id="%E8%A3%8F%E6%8A%80">
<a class="header-anchor-link" href="#%E8%A3%8F%E6%8A%80" aria-hidden="true"></a> 裏技</h1>
<p>確かに Lambda を VPC の PublicSubnet に配置すると NetworkInterface が自動で生成されています。<br>
※「インターフェイスのタイプ = lambda」で検索すればヒットします。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/a5e16a11fb2e-20231222.png" loading="lazy" class="md-img"></p>
<p>では実際にこの NetworkInterface に EIP をアタッチしてみます。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ aws ec2 associate-address <span class="token punctuation">\</span>
--allocation-id eipalloc-xxxxxxxxxxxxxxxxx <span class="token punctuation">\</span>
--network-interface-id eni-xxxxxxxxxxxxxxxxx
<span class="token punctuation">{</span>
    <span class="token string">"AssociationId"</span><span class="token builtin class-name">:</span> <span class="token string">"eipassoc-xxxxxxxxxxxxxxxxx"</span>
<span class="token punctuation">}</span>
</code></pre></div><p>お、普通にできました。<br>
では実際にどこかのURLにアクセスする関数を書いて実行してみましょう。</p>
<p>（この辺りのプロセスは省略します）</p>
<p>本当にできた...。<br>
接続元IPはまさしく <code>eipalloc-xxxxxxxxxxxxxxxxx</code> の EIP でアクセスしてます。</p>
<h1 id="%E4%BD%95%E6%95%85%EF%BC%9F">
<a class="header-anchor-link" href="#%E4%BD%95%E6%95%85%EF%BC%9F" aria-hidden="true"></a> 何故？</h1>
<p>なんだ、楽勝じゃ無いか。<br>
（お高い）NatGateway なんてさようなら。</p>
<p>...<br>
でも何故 AWS はこのような構成を事例紹介しないのだろう。<br>
きっと何らかの理由があるはずです。</p>
<p>と言うわけで更に調査を進めましたが、結果としてこの裏技は「使っても良いけど挙動の理解が必要」だと結論付けました。<br>
※この点については後述する【追記】も併せてご覧ください。</p>
<h1 id="%E8%AA%BF%E6%9F%BB%E7%B5%90%E6%9E%9C">
<a class="header-anchor-link" href="#%E8%AA%BF%E6%9F%BB%E7%B5%90%E6%9E%9C" aria-hidden="true"></a> 調査結果</h1>
<p>Lambda を VPC に配置する際に Subnet を選択します。<br>
例えば構成図に書いたような状態だとすると AZ で冗長化させて設定することが多いと思いますが、この条件によって自動生成される NetworkInterface が変わります。具体的には以下のような組み合わせで生成されます。</p>
<p><code>セキュリティグループの組み合わせ</code> x <code>VPC の AZ</code></p>
<p>例えば Lambda を 1a の PublicSubnet のみに配置し、セキュリティグループ A をアタッチして VPC 内に設定した場合、次のような NetworkInterface が生成されるということです。</p>
<table>
<thead>
<tr>
<th>NetworkInterfase</th>
<th>AZ</th>
<th>SG</th>
</tr>
</thead>
<tbody>
<tr>
<td>Lambda-1a-A</td>
<td>1a</td>
<td>A</td>
</tr>
</tbody>
</table>
<p>【その他の例1】<br>
Lambda1 を 1a と 1c の PublicSubnet に配置し、セキュリティグループ A をアタッチ</p>
<table>
<thead>
<tr>
<th>NetworkInterfase</th>
<th>AZ</th>
<th>SG</th>
</tr>
</thead>
<tbody>
<tr>
<td>Lambda1-1a-A</td>
<td>1a</td>
<td>A</td>
</tr>
<tr>
<td>Lambda1-1c-A</td>
<td>1c</td>
<td>A</td>
</tr>
</tbody>
</table>
<p>【その他の例2】<br>
Lambda1 を 1a と 1c の PublicSubnet に配置し、セキュリティグループ A と B をアタッチ</p>
<table>
<thead>
<tr>
<th>NetworkInterfase</th>
<th>AZ</th>
<th>SG</th>
</tr>
</thead>
<tbody>
<tr>
<td>Lambda1-1a-AB</td>
<td>1a</td>
<td>A,B</td>
</tr>
<tr>
<td>Lambda1-1c-AB</td>
<td>1c</td>
<td>A,B</td>
</tr>
</tbody>
</table>
<p>ここまでは「ふーん(・ω・)」で良いのです。</p>
<p>では【その他の例2】の構成がある状態で同じ VPC 内に Lambda2 を 1a と 1c の PublicSubnet に配置し、セキュリティグループ A と B をアタッチします。</p>
<table>
<thead>
<tr>
<th>NetworkInterfase</th>
<th>AZ</th>
<th>SG</th>
</tr>
</thead>
<tbody>
<tr>
<td>Lambda1-1a-AB</td>
<td>1a</td>
<td>A,B</td>
</tr>
<tr>
<td>Lambda1-1c-AB</td>
<td>1c</td>
<td>A,B</td>
</tr>
</tbody>
</table>
<p>あれ？<br>
NetworkInterface が増えません。</p>
<p>はい、ここが分かり難い点ですが、上で書いたように <code>セキュリティグループの組み合わせ</code> x <code>VPC の AZ</code> の組み合わせであれば <strong>共有される</strong> という点に注意するようにしてください。</p>
<h1 id="%E5%AE%9F%E9%A8%93">
<a class="header-anchor-link" href="#%E5%AE%9F%E9%A8%93" aria-hidden="true"></a> 実験</h1>
<p>Lambda が自動生成してくれるけど、それなら「インターフェイスのタイプ = lambda」を手動で作成してしまえば良いのでは？</p>
<p>やってみた。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ aws ec2 create-network-interface <span class="token punctuation">\</span>
--subnet-id subnet-xxxxxxxxxxxxxxxxx <span class="token punctuation">\</span>
<span class="token parameter variable">--description</span> <span class="token string">"manual"</span> <span class="token punctuation">\</span>
<span class="token parameter variable">--groups</span> sg-xxxxxxxxxxxxxxxxx <span class="token punctuation">\</span>
--interface-type lambda

An error occurred <span class="token punctuation">(</span>InvalidParameterValue<span class="token punctuation">)</span> when calling the CreateNetworkInterface operation: invalid value <span class="token keyword">for</span> parameter interface-type: lambda
</code></pre></div><p>ダメでした... orz</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__096464e48f331" src="https://embed.zenn.studio/card#zenn-embedded__096464e48f331" data-content="https%3A%2F%2Fawscli.amazonaws.com%2Fv2%2Fdocumentation%2Fapi%2Flatest%2Freference%2Fec2%2Fcreate-network-interface.html" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-network-interface.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-network-interface.html</a></p>
<blockquote>
<ul>
<li>
<code>-interface-type</code> (string)<br>
The type of network interface. The default is interface .<br>
The only supported values are <code>interface</code> , <code>efa</code> , and <code>trunk</code> .<br>
Possible values:</li>
<li><code>efa</code></li>
<li><code>branch</code></li>
<li><code>trunk</code></li>
</ul>
</blockquote>
<p>確かに AWS CLI では制限されてました。<br>
こういうバッドノウハウ的な実験好きな人っていますよねw</p>
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
<p>この裏技を使うことで、Lambda を固定IP化する際に PrivateSubnet、（お高い）NatGateway が不要になりますので構成がシンプル且つ、（お高い）NatGateway による固定資産税と従量課金のコストに悩む必要が無くなります。</p>
<p>最初は凄くビックリしたのですが、周りではそれ程慌ただしくならないので拍子抜けしてしまってますが、裏技としては非常に面白いだけでなくコスト削減にも繋がるので適材適所でご活用ください。</p>
<h1 id="%E7%B7%A8%E9%9B%86%E5%BE%8C%E8%A8%98">
<a class="header-anchor-link" href="#%E7%B7%A8%E9%9B%86%E5%BE%8C%E8%A8%98" aria-hidden="true"></a> 編集後記</h1>
<p>この記事を書くにあたり、参照させて頂いた記事の筆者である <a href="https://twitter.com/__swordfish" target="_blank" rel="nofollow noopener noreferrer">@__swordfish</a> さんには多大なる感謝をしております。<br>
ありがとうございました。</p>
<p>※この記事を公開した後に一言ご挨拶させて頂く予定です。</p>
<p>では、この記事を気に入って頂けた方はフォローをお待ちしております♪</p>
<h1 id="%E3%80%90%E8%BF%BD%E8%A8%98%E3%80%91">
<a class="header-anchor-link" href="#%E3%80%90%E8%BF%BD%E8%A8%98%E3%80%91" aria-hidden="true"></a> 【追記】</h1>
<p><a href="https://zenn.dev/nak2k" target="_blank">nak2k</a>さんよりコメントを頂きました。<br>
（この場をお借りして感謝申し上げます！）</p>
<p>以下の2つの点は確かにこの挙動を知っていないと大きな事故に繋がりますので注意しましょう！</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__887d12924ba31" src="https://embed.zenn.studio/card#zenn-embedded__887d12924ba31" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fja_jp%2Flambda%2Flatest%2Fdg%2Ffoundation-networking.html%23foundation-nw-eni-man" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/foundation-networking.html#foundation-nw-eni-man" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/foundation-networking.html#foundation-nw-eni-man</a></p>
<blockquote>
<p>各 Hyperplane ENI は最大 65,000 個の接続/ポートをサポートします。接続数が 65,000 を超えると、Lambda は新しい Hyperplane ENI を作成して、追加の接続を提供します。</p>
</blockquote>
<blockquote>
<p>Lambda 関数が連続した複数週の間アイドル状態のままである場合、Lambda は未使用の Hyperplane ENI を回収し、関数の状態をアイドルに設定します</p>
</blockquote>


【裏技】Lambda の固定IP化にまだ NatGateway 使ってるの？

nak2k

___nix___

<p>大規模なケースでは以下に注意です。</p>
<blockquote>
<p>各 Hyperplane ENI は最大 65,000 個の接続/ポートをサポートします。接続数が 65,000 を超えると、Lambda は新しい Hyperplane ENI を作成して、追加の接続を提供します。</p>
</blockquote>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__802fb2ed37b82" src="https://embed.zenn.studio/card#zenn-embedded__802fb2ed37b82" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fja_jp%2Flambda%2Flatest%2Fdg%2Ffoundation-networking.html%23foundation-nw-eni-man" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/foundation-networking.html#foundation-nw-eni-man" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/foundation-networking.html#foundation-nw-eni-man</a></p>
<p>逆に使用頻度が低い場合も注意ですね。</p>
<blockquote>
<p>Lambda 関数が連続した複数週の間アイドル状態のままである場合、Lambda は未使用の Hyperplane ENI を回収し、関数の状態をアイドルに設定します</p>
</blockquote>


<p><a href="https://zenn.dev/nak2k" target="_blank">nak2k</a>さんありがとうございます！<br>
非公式の裏技とは言え、重要なご指摘を頂きましたので記事中に追記させて頂きました。</p>


Discussion