Detalizēta AWS Lambda analīze

Raksta tulkojums tika sagatavots speciāli kursa studentiem "Mākoņpakalpojumi". Vai vēlaties attīstīties šajā virzienā? Skatieties Egora Zujeva (TeamLead vietnē InBit) meistarklasi "AWS EC2 pakalpojums" un pievienojies nākamajai kursu grupai: sākas 26. septembrī.

Vairāk cilvēku migrē uz AWS Lambda, lai nodrošinātu mērogojamību, veiktspēju, ietaupījumus un spēju apstrādāt miljoniem vai pat triljoniem pieprasījumu mēnesī. Lai to izdarītu, jums nav jāpārvalda infrastruktūra, kurā darbojas pakalpojums. Un automātiskā mērogošana ļauj apkalpot tūkstošiem vienlaicīgu pieprasījumu sekundē. Es domāju, ka AWS Lambda var pamatoti saukt par vienu no populārākajiem AWS pakalpojumiem.

AWS Lambda

AWS Lambda ir uz notikumiem balstīts bezservera skaitļošanas pakalpojums, kas ļauj palaist kodu bez serveru nodrošināšanas vai pārvaldības un paplašināt citus AWS pakalpojumus, izmantojot pielāgotu loģiku. Lambda automātiski reaģē uz dažādiem notikumiem (sauktiem par trigeriem), piemēram, HTTP pieprasījumiem caur Amazon API Gateway, izmaiņām datos Amazon S3 segmentos vai Amazon DynamoDB tabulās; vai arī varat palaist savu kodu, izmantojot API izsaukumus, izmantojot AWS SDK un stāvokļa pārejas AWS Step Functions.

Lambda palaiž kodu ļoti pieejamā skaitļošanas infrastruktūrā un ir pilnībā atbildīga par pamatā esošās platformas administrēšanu, tostarp servera un operētājsistēmas uzturēšanu, resursu nodrošināšanu, automātisko mērogošanu, koda uzraudzību un reģistrēšanu. Tas nozīmē, ka jums vienkārši jāaugšupielādē savs kods un jākonfigurē, kā un kad tas jāizpilda. Savukārt serviss parūpēsies par tā palaišanu un nodrošinās Jūsu aplikācijas augstu pieejamību.

Kad pārslēgties uz Lambda?

AWS Lambda ir ērta skaitļošanas platforma, kas ir piemērota dažādiem lietošanas gadījumiem, ja vien pakalpojums atbalsta jūsu koda valodu un izpildlaiku. Ja vēlaties koncentrēties uz savu kodu un biznesa loģiku, vienlaikus nodrošinot servera uzturēšanu, nodrošināšanu un mērogošanu par saprātīgu samaksu, AWS Lambda noteikti ir pareizais ceļš.

Lambda ir ideāli piemērota programmēšanas saskarņu izveidei, un, ja to lieto kopā ar API Gateway, varat ievērojami samazināt izmaksas un ātrāk nokļūt tirgū. Ir dažādi veidi, kā izmantot Lambda funkcijas un iespējas bezserveru arhitektūras organizēšanai – katrs var izvēlēties kaut ko piemērotu, pamatojoties uz savu mērķi.

Lambda ļauj veikt plašu uzdevumu klāstu. Tādējādi, pateicoties CloudWatch atbalstam, varat izveidot atliktos uzdevumus un automatizēt atsevišķus procesus. Pakalpojuma izmantošanas raksturam un intensitātei nav ierobežojumu (tiek ņemts vērā atmiņas patēriņš un laiks), un nekas neliedz sistemātiski strādāt pie pilnvērtīga mikropakalpojuma, kura pamatā ir Lambda.

Šeit varat izveidot uz pakalpojumu orientētas darbības, kas nedarbojas nepārtraukti. Tipisks piemērs ir attēla mērogošana. Pat sadalīto sistēmu gadījumā Lambda funkcijas joprojām ir aktuālas.

Tātad, ja nevēlaties nodarboties ar skaitļošanas resursu piešķiršanu un pārvaldību, izmēģiniet AWS Lambda; ja nav nepieciešami smagi, resursietilpīgi aprēķini, izmēģiniet arī AWS Lambda; Ja jūsu kods darbojas periodiski, tas ir pareizi, jums vajadzētu izmēģināt AWS Lambda.

Drošība

Pagaidām par drošību sūdzību nav. No otras puses, tā kā daudzi šī modeļa iekšējie procesi un ieviešanas līdzekļi ir paslēpti no AWS Lambda pārvaldītās izpildlaika vides lietotāja, daži vispārpieņemti mākoņa drošības noteikumi kļūst nenozīmīgi.

Tāpat kā lielākā daļa AWS pakalpojumu, Lambda tiek nodrošināta, pamatojoties uz kopīgu drošības un atbilstības principu starp AWS un klientu. Šis princips samazina klienta darbības slogu, jo AWS uzņemas pakalpojumu komponentu uzturēšanas, administrēšanas un uzraudzības uzdevumus - no resursdatora operētājsistēmas un virtualizācijas slāņa līdz infrastruktūras līdzekļu fiziskajai drošībai.

Konkrēti, runājot par AWS Lambda, AWS ir atbildīga par pamatā esošās infrastruktūras, saistīto pamatā esošo pakalpojumu, operētājsistēmas un lietojumprogrammu platformas pārvaldību. Kamēr klients ir atbildīgs par sava koda drošību, konfidenciālu datu uzglabāšanu, piekļuves kontroli tiem, kā arī Lambda pakalpojumam un resursiem (Identity and Access Management, IAM), tai skaitā izmantoto funkciju ietvaros.

Tālāk redzamajā diagrammā parādīts dalītās atbildības modelis, kas attiecas uz AWS Lambda. AWS atbildība ir oranža, bet klienta atbildība ir zilā krāsā. Kā redzat, AWS uzņemas lielāku atbildību par pakalpojumā izvietotajām lietojumprogrammām.

Dalītās atbildības modelis attiecas uz AWS Lambda

Lambda darbības laiks

Lambda galvenā priekšrocība ir tā, ka, veicot kādu funkciju jūsu vietā, pakalpojums pats piešķir nepieciešamos resursus. Varat netērēt laiku un pūles sistēmas administrēšanai un koncentrēties uz biznesa loģiku un kodēšanu.

Lambda serviss ir sadalīts divās plaknēs. Pirmā ir vadības plakne. Saskaņā ar Wikipedia, vadības plakne ir tīkla daļa, kas ir atbildīga par signalizācijas satiksmes un maršrutēšanas transportēšanu. Tas ir galvenais komponents, kas pieņem globālus lēmumus par darba slodzes nodrošināšanu, apkalpošanu un sadali. Turklāt vadības plakne darbojas kā risinājuma nodrošinātāja tīkla topoloģija, kas ir atbildīga par trafika maršrutēšanu un pārvaldību.

Otrā plakne ir datu plakne. Tai, tāpat kā vadības plaknei, ir savi uzdevumi. Vadības plakne nodrošina API funkciju pārvaldībai (CreateFunction, UpdateFunctionCode) un kontrolē, kā Lambda sazinās ar citiem AWS pakalpojumiem. Datu plakne kontrolē Invoke API, kas darbina Lambda funkcijas. Pēc funkcijas izsaukšanas vadības plakne piešķir vai atlasa esošu izpildlaika vidi, kas ir iepriekš sagatavota šai funkcijai, un pēc tam izpilda tajā esošo kodu.

AWS Lambda atbalsta dažādas programmēšanas valodas, tostarp Java 8, Python 3.7, Go, NodeJS 8, .NET Core 2 un citas, izmantojot to attiecīgajās izpildlaika vidēs. AWS regulāri tos atjaunina, izplata drošības ielāpus un veic citas uzturēšanas darbības šajās vidēs. Lambda ļauj izmantot arī citas valodas, ja vien pats ieviešat atbilstošo izpildlaiku. Un tad jums būs jārūpējas par tā apkopi, tostarp jāuzrauga tā drošība.

Kā tas viss darbojas un kā dienests pildīs jūsu funkcijas?

Katra funkcija darbojas vienā vai vairākās specializētās vidēs, kas pastāv tikai šīs funkcijas darbības laikā un pēc tam tiek iznīcinātas. Katra vide vienlaikus veic tikai vienu zvanu, taču tā tiek izmantota atkārtoti, ja vienai un tai pašai funkcijai ir vairāki seriālie zvani. Visas izpildlaika vides darbojas virtuālajās mašīnās ar aparatūras virtualizāciju - tā sauktajiem mikroVM. Katrs microVM ir piešķirts noteiktam AWS kontam, un vide to var atkārtoti izmantot, lai veiktu dažādas funkcijas šajā kontā. MicroVM ir iepakoti Lambda Worker aparatūras platformas blokos, kas pieder AWS un kuru pārvalda. To pašu izpildlaiku nevar izmantot dažādas funkcijas, kā arī microVM nav unikāli dažādiem AWS kontiem.

AWS Lambda izolācijas modelis

Izpildlaika vidi izolēšana tiek realizēta, izmantojot vairākus mehānismus. Katras vides augšējā līmenī ir atsevišķas šādu komponentu kopijas:

• Funkcijas kods
• Visi funkcijai atlasītie lambda slāņi
• Funkciju izpildes vide
• Minimāla lietotāja vieta, pamatojoties uz Amazon Linux

Lai izolētu dažādas izpildes vides, tiek izmantoti šādi mehānismi:

• cgroups - ierobežo piekļuvi CPU, atmiņai, krātuvei un tīkla resursiem katrai izpildlaika videi;
• namespaces — grupēšanas procesu ID, lietotāja ID, tīkla saskarnes un citi resursi, ko pārvalda Linux kodols. Katrs izpildlaiks darbojas savā nosaukumvietā;
• seccomp-bpf - ierobežo sistēmas zvanus, kurus var izmantot izpildlaikā;
• iptables un maršrutēšanas tabulas - izpildes vidi izolēšana viena no otras;
• chroot - nodrošina ierobežotu piekļuvi pamatā esošajai failu sistēmai.

Apvienojumā ar AWS patentētajām izolācijas tehnoloģijām šie mehānismi nodrošina uzticamu darbības laika atdalīšanu. Šādā veidā izolētas vides nevar piekļūt vai modificēt datus no citām vidēm.

Lai gan vienā microVM var darboties vairāki viena AWS konta izpildlaiki, nekādā gadījumā microVM nevar koplietot starp dažādiem AWS kontiem. AWS Lambda izmanto tikai divus mehānismus, lai izolētu microVM: EC2 gadījumus un Firecracker. Viesu izolācija Lambda, pamatojoties uz EC2 gadījumiem, ir pastāvējusi kopš 2015. gada. Firecracker ir jauns atvērtā pirmkoda hipervizors, ko AWS īpaši izstrādājis bezserveru darba slodzēm un tika ieviests 2018. gadā. Fiziskā aparatūra, kurā darbojas microVM, tiek koplietota starp darba slodzēm dažādos kontos.

Vides un procesa stāvokļu saglabāšana

Lai gan Lambda izpildlaiki ir unikāli dažādām funkcijām, tie var atkārtoti izsaukt vienu un to pašu funkciju, kas nozīmē, ka izpildlaiks var izdzīvot vairākas stundas, pirms tas tiek iznīcināts.

Katram Lambda izpildlaikam ir arī ierakstāma failu sistēma, kas pieejama, izmantojot direktoriju /tmp. Tās saturam nevar piekļūt no citiem izpildlaikiem. Ciktāl tas attiecas uz procesa stāvokļa noturību, faili, kas ierakstīti /tmp, pastāv visu izpildlaika vides dzīves ciklu. Tas ļauj uzkrāt vairāku zvanu rezultātus, kas ir īpaši noderīgi dārgām darbībām, piemēram, mašīnmācīšanās modeļu ielādei.

Zvanu datu pārsūtīšana

Invoke API var izmantot divos režīmos: notikumu režīmā un pieprasījuma-atbildes režīmā. Notikuma režīmā zvans tiek pievienots rindai vēlākai izpildei. Pieprasījuma-atbildes režīmā funkcija tiek izsaukta uzreiz ar sniegto lietderīgo slodzi, pēc kuras atbilde tiek atgriezta. Abos gadījumos funkcija darbojas Lambda vidē, bet ar dažādiem lietderīgās slodzes ceļiem.

Pieprasījuma-atbildes zvanu laikā lietderīgā slodze plūst no pieprasījumu apstrādes API (API Caller), piemēram, AWS API Gateway vai AWS SDK, uz slodzes balansētāju un pēc tam uz Lambda zvanu pakalpojumu (Invoke Service). Pēdējais nosaka atbilstošo vidi funkcijas izpildei un nodod tur lietderīgo slodzi, lai pabeigtu zvanu. Slodzes balansētājs saņem ar TLS aizsargātu trafiku internetā. Satiksme Lambda pakalpojumā — pēc slodzes balansētāja — iet caur iekšējo VPC noteiktā AWS reģionā.

AWS Lambda zvanu apstrādes modelis: pieprasījuma-atbildes režīms

Pasākumu zvanus var veikt nekavējoties vai pievienot rindai. Dažos gadījumos rinda tiek ieviesta, izmantojot Amazon SQS (Amazon Simple Queue Service), kas nodod zvanus Lambda zvanu izpildes pakalpojumam, izmantojot iekšējo aptaujas procesu. Pārraidītā trafika tiek aizsargāta ar TLS, un Amazon SQS glabāto datu papildu šifrēšana netiek veikta.

Notikumu izsaukumi neatgriež atbildes — Lambda darbinieks vienkārši ignorē jebkādu atbildes informāciju. Uz notikumiem balstītus zvanus no Amazon S3, Amazon SNS, CloudWatch un citiem avotiem Lambda apstrādā notikumu režīmā. Zvani no Amazon Kinesis un DynamoDB straumēm, SQS rindām, Application Load Balancer un API Gateway zvani tiek apstrādāti pieprasījuma-atbildes veidā.

Uzraudzība

Varat pārraudzīt un pārbaudīt Lambda funkcijas, izmantojot dažādus AWS mehānismus un pakalpojumus, tostarp tālāk norādītos.

Amazones mākoņu pulkstenis
Apkopo dažādu statistiku, piemēram, pieprasījumu skaitu, pieprasījumu ilgumu un neizdevušos pieprasījumu skaitu.

Amazon CloudTrail
Ļauj reģistrēt, nepārtraukti uzraudzīt un uzturēt konta darbības informāciju, kas saistīta ar jūsu AWS infrastruktūru. Jums būs pilnīga to darbību vēsture, kas veiktas, izmantojot AWS pārvaldības konsoli, AWS SDK, komandrindas rīkus un citus AWS pakalpojumus.

AWS rentgens
Nodrošina pilnīgu pārskatāmību par visiem pieprasījuma apstrādes posmiem jūsu lietojumprogrammā, pamatojoties uz tās iekšējo komponentu karti. Ļauj analizēt lietojumprogrammas izstrādes un ražošanas vidēs.

AWS konfigurācija
Jūs varēsiet izsekot izmaiņām Lambda funkciju konfigurācijā (tostarp dzēšanu) un izpildlaikos, tagos, apdarinātāju nosaukumos, koda lielumā, atmiņas sadalījumā, taimauta iestatījumos un vienlaicības iestatījumos, kā arī Lambda IAM izpildes lomai, apakštīklam un drošības grupu saistījumiem. .

Secinājums

AWS Lambda piedāvā jaudīgu rīku komplektu drošu un mērogojamu lietojumprogrammu izveidei. Daudzas no AWS Lambda drošības un atbilstības praksēm ir tādas pašas kā citos AWS pakalpojumos, lai gan ir arī izņēmumi. No 2019. gada marta Lambda atbilst SOC 1, SOC 2, SOC 3, PCI DSS, Veselības apdrošināšanas pārnesamības un atbildības likuma (HIPAA) atbilstībai un citiem noteikumiem. Tāpēc, domājot par nākamās lietojumprogrammas ieviešanu, apsveriet AWS Lambda pakalpojumu — tas var būt jūsu uzdevumam vispiemērotākais.

Avots: www.habr.com