דיטיילד אַנאַליסיס פון AWS Lambda

די איבערזעצונג פון דעם אַרטיקל איז געווען צוגעגרייט ספּאַסיפיקלי פֿאַר די סטודענטן פון דעם קורס "וואָלקן סערוויסעס". אינטערעסירט אין דעוועלאָפּינג אין דעם ריכטונג? היטן די בעל קלאַס פון Egor Zuev (TeamLead ביי InBit) "AWS EC2 סערוויס" און פאַרבינדן די ווייַטער קורס גרופּע: סטאַרץ אויף 26 סעפטעמבער.

מער מענטשן מיגרירן צו AWS Lambda פֿאַר סקאַלאַביליטי, פאָרשטעלונג, סייווינגז און די פיייקייט צו שעפּן מיליאַנז אָדער אפילו טריליאַנז פון ריקוועס פּער חודש. צו טאָן דאָס, איר טאָן ניט דאַרפֿן צו פירן די ינפראַסטראַקטשער אויף וואָס די סערוויס לויפט. און אַוטאָסקאַלינג אַלאַוז איר צו דינען טויזנטער פון סיימאַלטייניאַס ריקוועס פּער סעקונדע. איך טראַכטן AWS Lambda קענען זיין גערופֿן איינער פון די מערסט פאָלקס AWS באַדינונגס.

AWS Lambda

AWS Lambda איז אַן עווענט-געטריבן סערווערלעסס קאַמפּיוטינג דינסט וואָס אַלאַוז איר צו לויפן קאָד אָן פּראַוויזשאַנז אָדער אָנפירונג סערווערס און פאַרברייטערן אנדערע AWS באַדינונגס ניצן מנהג לאָגיק. Lambda ריספּאַנד אויטאָמאַטיש צו פאַרשידן געשעענישן (גערופן טריגערז), אַזאַ ווי הטטפּ ריקוועס דורך Amazon API Gateway, ענדערונגען צו דאַטן אין Amazon S3 באַקאַץ אָדער Amazon DynamoDB טישן; אָדער איר קענען לויפן דיין קאָד דורך אַפּי קאַללס ניצן די AWS SDK און שטאַט טראַנזישאַנז אין AWS סטעפּ פאַנגקשאַנז.

Lambda לויפט קאָד אויף אַ העכסט בנימצא קאַמפּיוטינג ינפראַסטראַקטשער און איז גאָר פאַראַנטוואָרטלעך פֿאַר אַדמיניסטראַטיאָן פון די אַנדערלייינג פּלאַטפאָרמע, אַרייַנגערעכנט סערווער און אָפּערייטינג סיסטעם וישאַלט, מיטל פּראַוויזשאַנז, אַוטאָ-סקיילינג, קאָד מאָניטאָרינג און לאָגינג. אַז איז, איר נאָר דאַרפֿן צו צופֿעליקער דיין קאָד און קאַנפיגיער ווי און ווען עס זאָל זיין עקסאַקיוטאַד. אין קער, די דינסט וועט נעמען קעיר פון זייַן קאַטער און ענשור הויך אַוויילאַבילאַטי פון דיין אַפּלאַקיישאַן.

ווען צו באַשטימען צו Lambda?

AWS Lambda איז אַ באַקוועם קאַמפּיוטינג פּלאַטפאָרמע וואָס איז פּאַסיק פֿאַר אַ פאַרשיידנקייַט פון נוצן קאַסעס, ווי לאַנג ווי די שפּראַך און רונטימע פון ​​דיין קאָד זענען געשטיצט דורך די סערוויס. אויב איר ווילן צו פאָקוס אויף דיין קאָד און געשעפט לאָגיק בשעת אַוצאָרסינג סערווער וישאַלט, פּראַוויזשאַנז און סקיילינג צו אַ גלייַך פּרייַז, AWS Lambda איז באשטימט דער וועג צו גיין.

Lambda איז ידעאַל פֿאַר קריייטינג פּראָגראַממינג ינטערפייסיז, און ווען געוויינט אין קאַנדזשאַנגקשאַן מיט API Gateway, איר קענען באטייטיק רעדוצירן קאָס און באַקומען צו מאַרק פאַסטער. עס זענען פאַרשידענע וועגן צו נוצן Lambda פאַנגקשאַנז און אָפּציעס פֿאַר אָרגאַנייזינג אַ סערווערלעסס אַרקאַטעקטשער - אַלעמען קענען קלייַבן עפּעס פּאַסיק באזירט אויף זייער ציל.

Lambda אַלאַוז איר צו דורכפירן אַ ברייט קייט פון טאַסקס. אזוי, דאַנק צו CloudWatch שטיצן, איר קענען מאַכן דיפערד טאַסקס און אָטאַמייט יחיד פּראַסעסאַז. עס זענען קיין ריסטריקשאַנז אויף די נאַטור און ינטענסיטי פון נוצן פון די סערוויס (זכּרון קאַנסאַמשאַן און צייט זענען גענומען אין חשבון), און גאָרנישט פּריווענץ איר פון סיסטאַמאַטיקלי ארבעטן אויף אַ פול-פלעדזשד מיקראָסערוויס באזירט אויף לאַמבדאַ.

דאָ איר קענען מאַכן דינסט-אָריענטיד אַקשאַנז וואָס טאָן ניט לויפן קאַנטיניואַסלי. א טיפּיש בייַשפּיל איז בילד סקיילינג. אפילו אין די פאַל פון פונאנדערגעטיילט סיסטעמען, Lambda פאַנגקשאַנז בלייבן באַטייַטיק.

אויב איר טאָן נישט וועלן צו האַנדלען מיט אַלאַקייטינג און אָנפירונג קאַמפּיוטינג רעסורסן, פּרוּווט AWS Lambda; אויב איר טאָן ניט דאַרפֿן שווער, מיטל-אינטענסיווע חשבונות, אויך פּרובירן AWS Lambda; אויב דיין קאָד לויפט פּיריאַדיקלי, דאָס איז רעכט, איר זאָל פּרובירן AWS Lambda.

זיכערקייַט

ביז איצט עס זענען קיין טענות וועגן זיכערקייַט. אויף די אנדערע האַנט, זינט פילע פון ​​די ינערלעך פּראַסעסאַז און ימפּלאַמענטיישאַן פֿעיִקייטן פון דעם מאָדעל זענען פאַרבאָרגן פון די באַניצער פון די AWS Lambda געראטן רונטימע סוויווע, עטלעכע בכלל אנגענומען כּללים פון וואָלקן זיכערהייט ווערן ירעלאַוואַנט.

ווי רובֿ AWS באַדינונגס, Lambda איז צוגעשטעלט אויף אַ שערד זיכערהייט און העסקעם יקער צווישן AWS און דער קונה. דער פּרינציפּ ראַדוסאַז די אַפּעריישאַנאַל מאַסע אויף דעם קליענט, זינט AWS נעמט אויף די טאַסקס פון מיינטיינינג, אַדמיניסטראַטיאָן און מאָניטאָרינג סערוויס קאַמפּאָונאַנץ - פֿון די באַלעבאָס אָפּערייטינג סיסטעם און די ווירטואַליזאַטיאָן שיכטע צו די גשמיות זיכערהייט פון ינפראַסטראַקטשער אַסעץ.

ספּאַסיפיקלי וועגן AWS Lambda, AWS איז פאַראַנטוואָרטלעך פֿאַר אָנפירונג די אַנדערלייינג ינפראַסטראַקטשער, פֿאַרבונדן אַנדערלייינג באַדינונגס, אָפּערייטינג סיסטעם און אַפּלאַקיישאַן פּלאַטפאָרמע. בשעת דער קליענט איז פאַראַנטוואָרטלעך פֿאַר די זיכערהייט פון זיין קאָד, סטאָרינג קאַנפאַדענשאַל דאַטן, קאַנטראָולינג אַקסעס צו עס, ווי געזונט ווי די לאַמבדאַ סערוויס און רעסורסן (אידענטיטי און אַקסעס מאַנאַגעמענט, IAM), אַרייַנגערעכנט אין די לימאַץ פון די פאַנגקשאַנז געניצט.

די דיאַגראַמע אונטן ווייזט די שערד פֿאַראַנטוואָרטלעכקייט מאָדעל ווי עס אַפּלייז צו AWS Lambda. AWS פֿאַראַנטוואָרטלעכקייט איז מאַראַנץ און קונה פֿאַראַנטוואָרטלעכקייט איז בלוי. ווי איר קענען זען, AWS נעמט מער פֿאַראַנטוואָרטלעכקייט פֿאַר די אַפּלאַקיישאַנז דיפּלויד אויף די סערוויס.

שערד פֿאַראַנטוואָרטלעכקייט מאָדעל אַפּלייז צו AWS Lambda

לאַמבדאַ רונטימע

דער הויפּט מייַלע פון ​​Lambda איז אַז דורך דורכפירן אַ פֿונקציע אויף דיין ביכאַף, די סערוויס זיך אַלאַקייץ די נייטיק רעסורסן. איר קענען ויסמיידן וויסט צייט און מי אויף סיסטעם אַדמיניסטראַציע און פאָקוס אויף געשעפט לאָגיק און קאָודינג.

די לאַמבדאַ דינסט איז צעטיילט אין צוויי פּליינז. דער ערשטער איז די קאָנטראָל פלאַך. לויט וויקיפעדיע, איז די קאָנטראָל פלאַך דער טייל פון דער נעץ פאַראַנטוואָרטלעך פֿאַר טראַנספּאָרטינג סיגנאַלינג פאַרקער און רוטינג. עס איז דער ערשטיק קאָמפּאָנענט וואָס מאכט גלאבאלע דיסיזשאַנז וועגן פּראַוויזשאַנז, סערוויסינג און דיסטריביוטינג ווערקלאָודז. אין אַדישאַן, די קאָנטראָל פלאַך אקטן ווי די נעץ טאַפּאַלאַדזשי פון די לייזונג שפּייַזער, פאַראַנטוואָרטלעך פֿאַר רוטינג און אָנפירונג פאַרקער.

די צווייטע פלאַך איז די דאַטן פלאַך. עס, ווי די קאָנטראָל פלאַך, האט זייַן אייגענע טאַסקס. די קאָנטראָל פלאַך גיט אַפּיס פֿאַר אָנפירונג פאַנגקשאַנז (CreateFunction, UpdateFunctionCode) און קאָנטראָלס ווי לאַמבדאַ קאַמיונאַקייץ מיט אנדערע AWS באַדינונגס. די דאַטן פלאַך קאָנטראָל די Invoke API, וואָס לויפט לאַמבדאַ פאַנגקשאַנז. נאָך אַ פונקציע איז גערופן, די קאָנטראָל פלאַך אַלאַקייץ אָדער סאַלעקץ אַ יגזיסטינג רונטימע סוויווע וואָס איז פאַר-צוגעגרייט פֿאַר די פֿונקציע, און דעמאָלט עקסאַקיוץ די קאָד אין עס.

AWS Lambda שטיצט פאַרשידן פּראָגראַממינג שפּראַכן, אַרייַנגערעכנט Java 8, Python 3.7, Go, NodeJS 8, .NET Core 2 און אנדערע, דורך זייער ריספּעקטיוו רונטימע ינווייראַנמאַנץ. AWS דערהייַנטיקט זיי קעסיידער, דיסטריביוץ זיכערהייט פּאַטשאַז און דורכפירן אנדערע וישאַלט אַקטיוויטעטן אויף די ינווייראַנמאַנץ. Lambda אַלאַוז איר צו נוצן אנדערע שפּראַכן, אויב איר ינסטרומענט די צונעמען רונטימע זיך. און דעמאָלט איר וועט האָבן צו נעמען קעיר פון זייַן וישאַלט, אַרייַנגערעכנט מאָניטאָרינג זייַן זיכערקייַט.

ווי טוט דאָס אַלע אַרבעט און ווי וועט די סערוויס דורכפירן דיין פאַנגקשאַנז?

יעדער פֿונקציע לויפט אין איין אָדער מער דעדאַקייטאַד ינווייראַנמאַנץ, וואָס עקסיסטירן בלויז פֿאַר די לעבן פון די פֿונקציע און זענען דעמאָלט חרובֿ. יעדער סוויווע מאכט בלויז איין רופן אין אַ צייַט, אָבער עס איז ריוזד אויב עס זענען קייפל סיריאַל רופט צו דער זעלביקער פֿונקציע. כל רונטימע ינווייראַנמאַנץ לויפן אויף ווירטואַל מאשינען מיט ייַזנוואַרג ווירטואַליזאַטיאָן - אַזוי גערופענע מיקראָוום. יעדער מיקראָוום איז אַסיינד צו אַ ספּעציפיש AWS חשבון און קענען זיין ריוזד דורך ינווייראַנמאַנץ צו דורכפירן פאַרשידענע פאַנגקשאַנז אין דעם חשבון. מיקראָוומות זענען פּאַקידזשד אין בנין בלאַקס פון די לאַמבדאַ וואָרקער ייַזנוואַרג פּלאַטפאָרמע, וואָס איז אָונד און אַפּערייטאַד דורך AWS. דער זעלביקער רונטימע קענען ניט זיין געוויינט דורך פאַרשידענע פאַנגקשאַנז, און מיקראָוום איז ניט יינציק פֿאַר פאַרשידענע AWS אַקאַונץ.

AWS Lambda Isolation Model

אפגעזונדערטקייט פון רונטימע ינווייראַנמאַנץ איז ימפּלאַמענאַד ניצן עטלעכע מעקאַניזאַמז. אין דער שפּיץ מדרגה פון יעדער סוויווע עס זענען באַזונדער קאפיעס פון די פאלגענדע קאַמפּאָונאַנץ:

• פֿונקציע קאָד
• קיין לאַמבדאַ לייַערס אויסגעקליבן פֿאַר די פֿונקציע
• פונקציע דורכפירונג סוויווע
• מינימאַל באַניצער פּלאַץ באזירט אויף אַמאַזאָן לינוקס

די פאלגענדע מעקאַניזאַמז זענען געניצט צו יזאָלירן פאַרשידענע דורכפירונג ינווייראַנמאַנץ:

• cgroups - באַגרענעצן אַקסעס צו קפּו, זכּרון, סטאָרידזש און נעץ רעסורסן פֿאַר יעדער רונטימע סוויווע;
• נאַמעספּאַסעס - גרופּינג פּראָצעס ידס, באַניצער ידס, נעץ ינטערפייסיז און אנדערע רעסורסן געראטן דורך די לינוקס קערן. יעדער רונטימע לויפט אין זיין אייגענע נאָמען;
• seccomp-bpf - ריסטריקץ די סיסטעם רופט וואָס קענען זיין געוויינט אין די רונטימע;
• iptables און רוטינג טישן - אפגעזונדערטקייט פון דורכפירונג ינווייראַנמאַנץ פון יעדער אנדערער;
• chroot - גיט לימיטעד אַקסעס צו די אַנדערלייינג טעקע סיסטעם.

קאַמביינד מיט AWS פּראַפּרייאַטערי אפגעזונדערטקייט טעקנאַלאַדזשיז, די מעקאַניזאַמז ענשור פאַרלאָזלעך רונטימע צעשיידונג. ינווייראַנמאַנץ אפגעזונדערט אין דעם וועג קענען נישט אַקסעס אָדער מאָדיפיצירן דאַטן פון אנדערע ינווייראַנמאַנץ.

כאָטש קייפל רונטימעס פון דער זעלביקער AWS חשבון קענען לויפן אויף אַ איין מיקראָוום, אונטער קיין צושטאנדן קענען מיקראָוומות זיין שערד צווישן פאַרשידענע AWS אַקאַונץ. AWS Lambda ניצט בלויז צוויי מעקאַניזאַמז צו יזאָלירן מיקראָוום: EC2 ינסטאַנסיז און Firecracker. גאַסט אפגעזונדערטקייט אין לאַמבדאַ באזירט אויף EC2 ינסטאַנסיז איז געווען אַרום זינט 2015. Firecracker איז אַ נייַע אָפֿן מקור היפּערווייזער ספּאַסיפיקלי דיזיינד דורך AWS פֿאַר סערווערלעסס ווערקלאָודז און באַקענענ אין 2018. די גשמיות ייַזנוואַרג פליסנדיק מיקראָוום איז שערד צווישן ווערקלאָודז צווישן פאַרשידענע אַקאַונץ.

שפּאָרן ינווייראַנמאַנץ און פּראָצעס שטאַטן

כאָטש לאַמבדאַ רונטימע איז יינציק פֿאַר פאַרשידענע פאַנגקשאַנז, זיי קענען ריפּיטידלי רופן די זעלבע פֿונקציע, טייַטש די רונטימע קענען בלייַבנ לעבן עטלעכע שעה איידער זיי ווערן חרובֿ.

יעדער לאַמבדאַ רונטימע אויך האט אַ רייטאַבאַל טעקע סיסטעם צוטריטלעך דורך די / tmp וועגווייַזער. דער אינהאַלט קענען ניט זיין אַקסעסט פֿון אנדערע רונטימז. ווי ווייַט ווי פּערסיסטאַנס פון פּראָצעס שטאַט, טעקעס געשריבן צו / טמפּ עקסיסטירן פֿאַר די גאנצע לעבן ציקל פון די רונטימע סוויווע. דאָס אַלאַוז די רעזולטאַטן פון קייפל קאַללס צו זיין אַקיומיאַלייטיד, וואָס איז ספּעציעל נוציק פֿאַר טייַער אַפּעריישאַנז אַזאַ ווי לאָודינג מאַשין לערנען מאָדעלס.

רופן דאַטן אַריבערפירן

די Invoke API קענען זיין געוויינט אין צוויי מאָדעס: געשעעניש מאָדע און בעטן-ענטפער מאָדע. אין געשעעניש מאָדע, די רופן איז מוסיף צו אַ ריי פֿאַר שפּעטער דורכפירונג. אין בעטן-ענטפער מאָדע, די פֿונקציע איז גערופֿן טייקעף מיט די צוגעשטעלט פּיילאָוד, נאָך וואָס דער ענטפער איז אומגעקערט. אין ביידע קאַסעס, די פֿונקציע לויפט אין אַ לאַמבדאַ סוויווע, אָבער מיט פאַרשידענע פּיילאָוד פּאַטס.

בעשאַס בעטן-ענטפער קאַללס, די פּיילאָוד פלאָוז פון אַ בקשה פּראַסעסינג אַפּי (אַפּי קאַללער), אַזאַ ווי AWS API Gateway אָדער AWS SDK, צו די מאַסע באַלאַנסער, און דערנאָך צו די לאַמבדאַ רופן סערוויס (ינוואָקע סערוויס). דער יענער באַשטימט די צונעמען סוויווע פֿאַר עקסאַקיוטינג די פֿונקציע און פּאַסיז די פּיילאָוד דאָרט צו פאַרענדיקן דעם רופן. די מאַסע באַלאַנסער נעמט TLS-פּראָטעקטעד פאַרקער איבער די אינטערנעט. פאַרקער אין די לאַמבדאַ דינסט - נאָך די מאַסע באַלאַנסער - גייט דורך אַן ינערלעך וופּק אין אַ ספּעציפיש AWS געגנט.

AWS Lambda Call פּראַסעסינג מאָדעל: בעטן-ענטפער מאָדע

געשעעניש קאַללס קענען זיין געמאכט גלייך אָדער צוגעלייגט צו אַ ריי. אין עטלעכע קאַסעס, די ריי איז ימפּלאַמענאַד מיט Amazon SQS (Amazon Simple Queue Service), וואָס פּאַסיז קאַללס צו די לאַמבדאַ רופן מקיים דינסט דורך אַן ינערלעך פּאָלער פּראָצעס. די טראַנסמיטטעד פאַרקער איז פּראָטעקטעד דורך TLS, און עס איז קיין נאָך ענקריפּשאַן פון דאַטן סטאָרד אין Amazon SQS.

געשעעניש קאַללס טאָן ניט צוריקקומען רעספּאָנסעס - דער לאַמבדאַ וואָרקער פשוט איגנאָרירט קיין ענטפער אינפֿאָרמאַציע. געשעעניש-באזירט קאַללס פֿון Amazon S3, Amazon SNS, CloudWatch און אנדערע קוואלן זענען פּראַסעסט דורך Lambda אין געשעעניש מאָדע. קאַללס פֿון Amazon Kinesis און DynamoDB סטרימז, SQS קיוז, אַפּפּליקאַטיאָן לאָוד באַלאַנסער און API Gateway קאַללס זענען פּראַסעסט אין אַ בקשה-ענטפער מאָדע.

מאָניטאָרינג

איר קענען מאָניטאָר און קאָנטראָלירן Lambda פאַנגקשאַנז ניצן אַ פאַרשיידנקייַט פון AWS מעקאַניזאַמז און באַדינונגס, אַרייַנגערעכנט די פאלגענדע.

Amazon CloudWatch
קאַלעקץ פאַרשידן סטאַטיסטיק אַזאַ ווי די נומער פון ריקוועס, די געדויער פון ריקוועס, און די נומער פון ריקוועס אַז ניט אַנדערש.

Amazon CloudTrail
אַלאַוז איר צו קלאָץ, קאַנטיניואַסלי מאָניטאָר און טייַנען חשבון טעטיקייט אינפֿאָרמאַציע פֿאַרבונדן מיט דיין AWS ינפראַסטראַקטשער. איר וועט האָבן אַ גאַנץ געשיכטע פון ​​אַקשאַנז דורכגעקאָכט מיט די AWS מאַנאַגעמענט קאַנסאָול, AWS SDK, באַפֿעלן שורה מכשירים און אנדערע AWS באַדינונגס.

AWS X-Ray
פּראָווידעס גאַנץ וויזאַביליטי אין אַלע סטאַגעס פון בעטן פּראַסעסינג אין דיין אַפּלאַקיישאַן באזירט אויף אַ מאַפּע פון ​​זייַן ינערלעך קאַמפּאָונאַנץ. אַלאַוז איר צו פונאַנדערקלייַבן אַפּלאַקיישאַנז בעשאַס אַנטוויקלונג און אין פּראָדוקציע ינווייראַנמאַנץ.

AWS קאָנפיג
איר וועט קענען צו שפּור ענדערונגען צו Lambda פונקציע קאַנפיגיעריישאַן (אַרייַנגערעכנט דילישאַן) און רונטימעס, טאַגס, האַנדלער נעמען, קאָד גרייס, זיקאָרן אַלאַקיישאַן, טיימאַוט סעטטינגס און קאַנקעראַנסי סעטטינגס, ווי געזונט ווי Lambda IAM דורכפירונג ראָלע, סובנעטטינג און זיכערהייט גרופּע ביינדינגז .

סאָף

AWS Lambda אָפפערס אַ שטאַרק גאַנג פון מכשירים פֿאַר בנין זיכער און סקאַלאַבלע אַפּלאַקיישאַנז. פילע זיכערהייט און העסקעם פּראַקטיסיז אין AWS Lambda זענען די זעלבע ווי אין אנדערע AWS באַדינונגס, כאָטש עס זענען אויסנעמען. זינט מערץ 2019, לאַמבדאַ איז געהאָרכיק מיט SOC 1, SOC 2, SOC 3, PCI DSS, Health Insurance Portability and Accountability Act (HIPAA) העסקעם און אנדערע רעגיאַליישאַנז. אַזוי, ווען איר טראַכטן וועגן ימפּלאַמענינג דיין ווייַטער אַפּלאַקיישאַן, באַטראַכטן די AWS Lambda דינסט - עס קען זיין דער בעסטער פּאַסיק פֿאַר דיין אַרבעט.

מקור: www.habr.com