Criando Aplicações Serverless - ARC302 - Sao Paulo Summit

© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Criando Aplicações Serverless
Giovani Bassan
Arquiteto de Soluções , Amazon Web Services
Matheus Polli – IT Manager - BPP
ARC302

Anúncio público de serviço:
Node v8.10 disponível no AWS Lambda
(e ainda: Go e .NET CoreCLR 2.0 estão em GA!)

Agenda: 6 maneiras de melhorar o serverless “trend"
1. Pensar em patterns: playbook de arquitetura serverless
2. Scale like the pros: entendendo concorrência & throttling
3. SecOps all-the-way: permissões & privilégios
4. Pensar em apps
5. Software lifecycle: do código ao deployment
6. Quando as coisas dão errado: Error-handling e diagnostics
Caso de Cliente: BPP Serverless na AWS

Key Trends
Não re:Invent a roda!!
O poder dos Serviços Gerenciados
Processamento de Streams e
computação “extremamente paralela”
Adoção exponencial de
microservices
Serverless, arquiteturas
orientadas à eventos

1. Serverless Patterns:
Serviços Gerenciados + Funções AWS Lambda

Serviços Gerenciados como blocos de montagem
Amazon SNS
Amazon SQS
Amazon S3
Mensageria
Monitoração e Debugging
Storage
AWS X-Ray
AWS Lambda
Amazon API Gateway
Orquestração
API Proxy
Computação
AWS Step Functions
Amazon DynamoDB
Amazon Kinesis
Analytics
Database
Computação na ponta
AWS Greengrass
Lambda@Edge
Amazon Athena
Amazon Aurora
Serverless (coming soon)

Patterns para a era Cloud
• Transformação de Media no upload: Amazon S3 event + Lambda
• Limpeza NoSQL: Amazon DynamoDB change streams + Lambda
• Website Serverless: Amazon S3 + Amazon DynamoDB + Amazon API Gateway
+ Lambda
• Click-stream analytics: Amazon Kinesis Data Firehose + Lambda
• Processamento ordenado de eventos: Kinesis + Lambda
• Fanout Multi-function: Amazon SNS (or Lambda) + Lambda
• Workflows: AWS Step Functions + Lambda
• Distribuição de Eventos: Amazon CloudWatch Events + Lambda
• Serverless cron jobs: CloudWatch timer events + Lambda
• Login hooks: Amazon Cognito User Pools + Lambda
• Ações GraphQL: AWS AppSync + Lambda

Patterns para a era Cloud
• Resize de imagens: AWS Lambda@Edge + Amazon CloudFront
• Regras de Email: Amazon SES + Lambda
• Compliance de políticas de configuração: AWS Config + Lambda
• Stored procedures: Amazon Aurora + Lambda
• Authorizers customizados para APIs: API Gateway Auth + Lambda
• Coreografia DevOps: CloudWatch alarms + Lambda
• Alexa skills: Amazon Alexa + Lambda
• Chatbots: Slack + Amazon Lex + Lambda
• Automação IoT: AWS IoT + Lambda
• Smart devices: AWS Greengrass + Lambda
• Encriptação de arquivos para trânsito: AWS Snowball Edge + Lambda

Meta-patterns
1. Serviço enviando evento async para Lambda (Amazon S3,
Amazon SNS)
2. Lambda com evento do serviço (Amazon DynamoDB, Kinesis)
3. Exchange Synchronous (Alexa, Amazon Lex)
4. Transformação Batch (Kinesis Data Firehose)
5. Microservice (API + Lambda + sua escolha de DB)
6. Customização via funções (AWS Config, Amazon SES rules)
7. Fanout Data-driven (S3-Lambda, Lambda-Lambda)
8. Coreografia (AWS Step Functions + Lambda)
9. Funções Lambda em devices (AWS Greengrass, AWS Snowball
Edge)

Em Breve:
Amazon SQS como built-in Lambda
event source

Patterns: Melhores práticas
• Não re:Invent a roda – use managed services quando possível
• …e mantenha-se atualizado! 
• Lambda@Edge expande o suporte à headers com Amazon S3 origin events
• Mantenha os eventos nos serviços AWS enquanto for possível:
• Exemplo:
• Amazon S3  Lambda  client do que Amazon S3  client  Lambda
• Verifique os limites fim-a-fim
• Prefira functions idempotent, stateless e quando não puder…
• Use Step Functions se necessitar de controle stateful (retries, longa duração)
• Criando SaaS ou plataforma ISV? Use as técnicas que a AWS usa:
1. Arquitetura modo serverless usando Lambda e API Gateway
2. Ofereça ao seu ecossitema customizações via funções
3. Permita que seus clientes e parceiros criem sistemas reativos com a emissão de
eventos

2. Concorrência, Throttling, & Timeouts

API Gateway Throttling
Três nívels de throttling para APIs:
API Key level throttling – configurável no usage plan
Method level throttling – configurável na config. do stage
Account level throttling – limites podem ser alterados

API Gateway Throttling
Algoritmo de Token bucket
Burst – o tamanho máximo do bucket
Rate – o número de tokens adicionados ao bucket
Você pode setar uma quota diária, semanal ou mensal

Gerenciamento da concorrência Lambda
Limite de segurança da conta: 1,000 (É um Soft Limit )
Limites de concorrência por função
• Você define esses limites
• Se não definido: todas as funções compartilham o pool restante
• Permite proteger a capacidade do ambiente de produção (e não
é cobrado se não utilizado)
• Também útil para:
• Evitar que a escala do Lambda não inunde o backend legado
• Limitar uma função descontrolada enquanto desenvolve/testa
• Limitar os custos totais

Lambda Burst & Scale Throttles
Limites instantaneos de burst:
• Em US-EAST-1, EU-WEST-1, e US-WEST-2: 3,000 concorrentes
• Em UE-CENTRAL-1:1,000
• Todas outras regiões: 500
• Após isso:
• Concorrência adicional de 500/minuto (até atingir o limite da
função ou da conta)

Max Timeouts
API Gateway: 30 segundos
Lambda: 5 minutos
Lambda@Edge: 30 segundos (origin), 5 segundos (view
events)
O que fazer quando executar uma função que precisa de
mais de 30 segundos? Vá com async:
1. API  Step Function  your function
2. API  f1 (sync)  f2 (async)

3. Segurança e AuthZ

Perguntas chave para segurança em Serverlesss Apps
O que pode chamar essa função/ API?
O que essa função / API pode chamar?
Quem pode modificar essas decisões?
Como posso saber o que está acontecendo?

Respostas chave para segurança em Serverlesss Apps
O que pode chamar essa função/ API?
O menor número de coisas possível!
O que essa função / API pode chamar?
O menor número de coisas possível!
Quem pode modificar essas decisões?
O menor número de pessoas possível!
Como posso saber o que está acontecendo?
Auditoria!

3 Conceitos Simples
1. Resource Policies
Analogia: Quem eu posso convidar
para minha casa?

3 Conceitos Simples
2. Execution Roles
Analogia: Com o que minhas
crianças podem brincar?

3 Conceitos Simples
3. Roles
Analogia: Estou no trabalho ou em
casa?
?

• Resource Policies para controlar quem
pode chamar as APIs e em quais
condições
• Use cases
• Habilitar usuários de uma conta AWS
diferente para acessar sua API de uma
forma segura
• Restringir o acesso de ranges de IP
específicos ou blocos
• Limitar o acesso à uma função Lambda
específica
Nova Feature API Gateway - Resource Policies

API Gateway: Resource policies vs. Lambda Authorizers
• Qual devo usar?
• Se uma resource policies pode expressar a restrição, use-a. (Elas
são de graça, rápidas e padrão)
• Como essas features interagem?
• Nós as calculamos em três fases; todas as 3 tem que passar:
• Pre-authN (check de tempo, check de IP origem)
• Post-authN (call principal checks)
• Lambda authorizer (se presente)
• Nós paramos assim que uma permissão é negada, portanto o
lambda authorizer só é executado se for necessário para tomar
uma decisão.

API Gateway: Quadro comparativo Auth
Feature AWS_IAM Token Request
Amazon
Cognito
Authentication X X X X
Authorization X X X
Signature V4 X
Amazon Cognito
User Pools
X X X
Third-Party
Authentication
X X
Multiple Header
Support
X
Custos Adicionais None Pay per
authorizer
invoke
Pay per
authorizer
invoke
None

Roles e X-account Calls
• Roles de exec. Lambda definem o que a função pode fazer.
• API Gateway invocation roles permitem mudar o principal
do caller para qualquer role/user na mesma conta
• Permaneça com o principal do API Gateway a não ser que você
tenha um motivo para isso.
• API Gateway agora também suporta:
• Invocações Lambda Cross-account
• Lambda Authorizer custom Cross-account
• Pattern: Mudança de conta dentro de uma API ou função:
Kinesis stream na Account A  function (Account A)  API (Account B)

Mantendo o track: Auditing e Config Policies
• Use o AWS CloudTrail para track de API e gerenciamento
de functions (create, delete, retrieve, etc.)
• É possível auditar a invocação de Lambdas
• Rodar queries no CloudTrail logs com Amazon Athena
• Ou construir um engine de análise simples usando Lambda
• Use o AWS Config para monitorar continuamente o
enforcement de políticas

Chamando Third-Party Services de forma segura
AWS Secrets Manager
• Faça o store, uso e gerenciamento de credenciais de
database, API keys e outros secrets para a AWS ou
terceiros
• Rotate, audit, e versionamento de secrets
• Suporte Built-in para MySQL, PostgreSQL e Amazon
Aurora no Amazon RDS
• Suporta tanto keys default ou custom AWS KMS
• Elimine senhas abertas no env, variável ou código Lambda!

4. Tudo sobre [Serverless] Apps

AWS Serverless Application Repository
• Descubra, customize e faça o deploy de serverless apps
• Publique e compartilhe apps …
• Com sua conta AWS
• Entre contas
• Com todos! (acesso público)
• Se ainda não ouviu falar: Agora GA!
• Apps Financeiras baseadas em biblioteca NumPy
• Roadmap: Mais funcionalidades app-centric no console
Lambda e interação com o repositório de apps

Apps são baseadas no SAM (Serverless App Model)
• Mais features do API Gateway no SAM (março/18):
• Logging e configuração de métricas
• CORS
• Endpoints Regionais
• Binary data
• Settings Method-level como limite de throttling e TTL de cache
• Suporte de event source para Amazon CloudWatch
Logging

Anúncio de Open Source
Implementação do SAM agora é open source!
Nos ajude a criar novas tools com SAM contribuindo com a
especificação ou com o translator SAM:
• Adicionando event sources
• Incluir transformações SAM em outras ferramentas

5. Build, Teste e Deploy de Serverless
Apps

AWS CodePipeline
AWS Code Suite
AWS
CodeCommit
ou GitHub
AWS
CodeBuild
(build)
AWS
CodeBuild
(test)
AWS
CloudFormation
(deploy)
AWS
CodeDeploy
AWS Cloud9
Editor
AWS
CodeStar

Melhores Práticas para Desenvolvimento Serverless
• CI/CD pipeline para apps (incluindo publish no repo!)
• Teste e debug local
• Novidade: Python debugging no AWS Cloud9 IDE
• AWS CloudFormation: Deploy em multiplas regiões
• Util para multi-region APIs
• Deploy incremental para segurança
• Weighted aliases no Lambda
• Canary stages no API Gateway
• AWS CodeDeploy: Deploy de app SAM (incluindo rollback)

6. Quando as coisas dão errado:
Error-Handling e Diagnostics

API Gateway CloudWatch Metrics
API Gateway Default metrics (free):
Count número total de invokes para o API Gateway
4XXError #invokes que geraram um erro 4XX
(incluindo throttling)
5XXError #invokes que geraram um erro 5XX
Latency total time to fully process request
IntegrationLatency tempo do API Gateway para um call integration
CacheHitCount número de successful hit no cache
CacheMissCount número de cache miss ocorridos

API Gateway CloudWatch Metrics
Incluidas free
Granularidade: por API stage
Default Metrics
Cobradas no CloudWatch
Granularidade: por método
Pode ser global
Detailed Metrics

Lambda CloudWatch Metrics (free)
Tanto no nível da função e versão:
• Invocations, Errors, Throttles, IteratorAge, DeadLetterError
Tanto no nível da conta ou da função (com limite definido):
• ConcurrentExecutions
Somente no nível da conta:
• UnreservedConcurrentExecutions

Amazon CloudWatch Alarms
Qualquer métrica pode disparar um alarme
As notificações podem ser enviadas para um tópico Amazon
SNS
O tópico Amazon SNS pode enviar para outros destinos
Email
SQS queue
Função Lambda

Amazon API Gateway CloudWatch Logs
API Gateway Logging
2 níveis: error e info
Opcional: log conteúdo request/body método
Global no stage ou override por método
API Gateway Access Logging
Fomato de log customizável para parse
Log Pivots
Construa métricas baseadas em filtros de log
Detalhe nos logs que geraram a métrica

Lambda CloudWatch Logs
Padrão:
• Configurado Automaticamente
• Infos Básicas (requests, duration, memory, etc.)
capturadas automaticamente
• App pode adicionar log entries
Avançado:
• Selecione um range no gráfico e visualize os logs
daquele momento
• Envia logs para outra Lambda function
• Use o Elasticsearch & Kibana para agregar/analisar
• “Top talkers”

O Ciclo de vida de um Request Lambda
1. Download do código (filesystem SquashFS)
2. Start do runtime da linguagem
3. Load do Código (ex. class loading no Java)
4. Run Código “init” (ex., static initializers no Java)
5. Processa o request warm

Mesma visão com AWS X-Ray

Coisas que você pode monitorar com o X-Ray
• Cold vs warm starts
• Async dwell time (tempo gasto com o evento em fila)
• Duração de calls para outros serviços AWS (e com
customização, adicionar trace points, serviços 3rd)
• Erros e throttles de call para serviços AWS
Muitas ofertas de 3rd podem ajudar também!

Fazendo o Cold Starts mais Eficiente
• Controle as dependências do seu pacote de deploy
• Faça Tree shake do seu Java! (Hint: Spring é expensive )
• Combine “hot paths”…mas preserve agilidade
• Otimize para sua language, quando aplicável…
• Node – Browserfy, Minify
• AWS Java v2 SDK (preview)
• Só use VPC quando precisar acessar um recurso lá!
• Delay loading quando possível

Resumo: 6 maneiras de melhorar o serverless “trend”
1. Pensar em patterns: playbook de arquitetura serverless
2. Scale like the pros: entendendo concorrência & throttling
3. SecOps all-the-way: permissões & privilégios
4. Pensar em apps
5. Software lifecycle: do Código ao deployment
6. Quando as coisas dão errado: Error-handling e diagnostics

“Built in Security, Performance e
Escalabilidade”
“Não há outro player
que ofereça uma stack
tão completa e
confiável como a da
AWS”
- Matheus Polli,
Gerente de TI da BPP.
BPP é o maior parceiro VISA na
América Latina para emissão de
cartões pré-pagos.
Entrega soluções de pagamentos
para empresas e usuários finais.

O Desafio
Manipular milhões de transações
financeiras por dia, com demandas
sazonais de uma maneira
responsiva, cost-effective, segura e
altamente disponível.
Eliminar esforços de administração
de ambiente e focar no
desenvolvimento de valor ao
cliente.

Solução
Inserir diagrama de arquitetura

Por favor, complete a avaliação desta
sessão no aplicativo do summit.
…e…Go Serverless!!

Não esqueça do Feedback!
1. Clique no icone de
Agenda
2. Selecione a sessão
que você assistiu
3. Clique em Avaliar
Sessão e submeta seu
feedback

Obrigado!

Criando Aplicações Serverless - ARC302 - Sao Paulo Summit

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Criando Aplicações Serverless - ARC302 - Sao Paulo Summit

Semelhante a Criando Aplicações Serverless - ARC302 - Sao Paulo Summit (20)

Mais de Amazon Web Services

Mais de Amazon Web Services (20)

Criando Aplicações Serverless - ARC302 - Sao Paulo Summit