Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub

Debugging di AWS Lambda: Errori comuni di invocazione e come risolverli

Padroneggia l'arte del debugging delle funzioni AWS Lambda. Questa guida completa illustra i guasti di invocazione più comuni, che spaziano dai problemi di autorizzazione IAM e di connettività VPC ai vincoli di risorse come l'esaurimento della memoria e i timeout delle funzioni. Scopri come sfruttare efficacemente i log di CloudWatch e applicare soluzioni pratiche e attuabili—tra cui l'ottimizzazione delle configurazioni, la gestione delle dipendenze e la correzione dei ruoli di esecuzione—per garantire prestazioni affidabili e coerenti delle funzioni serverless.

Debug di AWS Lambda: Errori di Invocazione Comuni e Come Risolverli

Gli errori di invocazione di AWS Lambda di solito provengono da uno di tre punti: il chiamante non può invocare la funzione, Lambda non può avviare il runtime, oppure il tuo codice si avvia e poi fallisce. La correzione più rapida è identificare in quale fase si è verificato il fallimento prima di modificare memoria, timeout, policy IAM o impostazioni VPC.

Inizia con i log di CloudWatch, poi conferma autorizzazioni, impostazioni dell'handler, dipendenze e rete in quest'ordine.

Stabilire la Baseline di Debug: Log di CloudWatch

Prima di modificare la funzione, controlla il gruppo di log /aws/lambda/NomeDellaTuaFunzione. Un'esecuzione normale di Lambda di solito include queste righe di log della piattaforma:

  1. START: Indica l'inizio dell'esecuzione.
  2. END: Indica il completamento dell'esecuzione.
  3. REPORT: Fornisce metriche di riepilogo (Durata, Durata Fatturata, Memoria Utilizzata, Memoria Massima Utilizzata e dettagli del tracciamento X-Ray).

Se la funzione non si avvia mai, potresti non vedere i log dell'applicazione. In tal caso, controlla il servizio chiamante, il risultato del test dalla console Lambda, gli eventi CloudTrail e la policy basata sulle risorse della funzione.

Risolvere Errori di Autorizzazione e Accesso

Gli errori di autorizzazione sono probabilmente la causa più comune di fallimento dell'invocazione di Lambda. Questi tipicamente rientrano in due categorie: la funzione non ha il permesso di essere eseguita, oppure l'entità chiamante non ha il permesso di invocare la funzione.

Fallimenti del Ruolo di Esecuzione (Ruolo IAM)

Ogni funzione Lambda deve assumere un ruolo di esecuzione IAM. Se questo ruolo è configurato male, la funzione non può interagire con i servizi AWS necessari.

Autorizzazioni Mancanti Comuni:

Accesso al Servizio Necessario Azioni della Policy IAM Richieste
Registrazione su CloudWatch logs:CreateLogGroup, logs:CreateLogStream, logs:PutLogEvents
Connettività VPC ec2:CreateNetworkInterface, ec2:DeleteNetworkInterface, ec2:DescribeNetworkInterfaces
Lettura S3/DynamoDB s3:GetObject, dynamodb:GetItem, ecc.

Correzione:

  1. Vai alla configurazione della funzione Lambda nella Console AWS.
  2. Controlla la scheda "Autorizzazioni" e rivedi la policy del ruolo IAM allegato.
  3. Assicurati che il ruolo abbia la policy gestita di base AWS AWSLambdaBasicExecutionRole oppure che la sua policy personalizzata includa le azioni CloudWatch necessarie.
  4. Aggiungi solo le autorizzazioni del servizio di cui il tuo codice ha effettivamente bisogno, come s3:GetObject per un prefisso specifico di un bucket.

Errori di Policy Basata sulle Risorse (Autorizzazioni di Invocazione)

Se la tua Lambda è invocata da un altro servizio (come S3, API Gateway, SNS o un'invocazione cross-account), quel servizio necessita di un'autorizzazione esplicita per chiamare la tua funzione.

Sintomo: Il servizio (es., S3) tenta di attivare la Lambda, ma non appare nulla nei log di CloudWatch e il servizio riporta un errore.

Correzione: usa il comando CLI add-permission o l'impostazione equivalente della console per concedere i diritti di invocazione. Ad esempio, per permettere a un bucket S3 di invocare la funzione:

aws lambda add-permission \
    --function-name my-processing-function \
    --statement-id S3InvokePermission \
    --action lambda:InvokeFunction \
    --principal s3.amazonaws.com \
    --source-arn arn:aws:s3:::my-trigger-bucket

Per le invocazioni cross-account, controlla entrambi i lati: il chiamante necessita dell'autorizzazione IAM per chiamare lambda:InvokeFunction, e la funzione Lambda necessita di una policy basata sulle risorse che permetta a quel chiamante.

Errori di Configurazione e Vincoli delle Risorse

Questi errori riguardano le impostazioni dell'ambiente di runtime definite e i limiti delle risorse imposti alla funzione.

Errori di Timeout della Funzione

Un timeout della funzione è un fallimento comune, che indica che l'esecuzione ha superato il tempo massimo consentito. Lambda terminerà forzatamente l'esecuzione e registrerà un errore Task timed out.

Diagnosi:

  1. Controlla la riga REPORT nei log di CloudWatch. Osserva la Duration rispetto al timeout configurato.
  2. Se la funzione scade presto (es., dopo 5 secondi con un limite di 30 secondi), il collo di bottiglia è probabilmente l'inizializzazione o la connettività (es., in attesa di una risoluzione DNS).

Correzioni:

  • Aumentare il Timeout: Se l'attività è intrinsecamente di lunga durata (es., elaborazione di grandi dati), aumenta il timeout (fino a 15 minuti).
  • Ottimizzare Codice/Dipendenze: Se l'attività è lenta, analizza il codice per identificare i colli di bottiglia. Assicurati che tutte le chiamate esterne abbiano timeout ragionevoli definiti all'interno del codice.
  • Gestire i Cold Start: Grandi processi di inizializzazione possono contribuire ai timeout. Usa la concorrenza provisionata di Lambda se i cold start sono critici.

Errori di Esaurimento della Memoria

Se la tua funzione richiede più RAM di quella allocata, si bloccherà e registrerà un OutOfMemoryError o un messaggio simile, a seconda del runtime.

Diagnosi: Rivedi la metrica Max Memory Used nella riga REPORT di CloudWatch. Se questo valore è costantemente vicino o uguale alla Memory Size configurata, potresti avere una perdita di memoria o risorse insufficienti.

Correzione: Aumenta l'allocazione di memoria e ripeti il test. Lambda alloca più CPU man mano che allochi più memoria, quindi una memoria maggiore a volte può ridurre la durata abbastanza da compensare parte del costo. Misura la tua funzione invece di presumere che sarà più economica.

AWS Lambda Power Tuning può aiutare a confrontare le impostazioni di memoria per un carico di lavoro specifico.

Configurazione Errata dell'Handler (Runtime.HandlerNotFound)

Questo si verifica quando Lambda non riesce a localizzare il punto di ingresso definito nella configurazione della funzione.

Sintomo: Error: Runtime.HandlerNotFound o un fallimento di avvio simile.

Correzione: Verifica che il campo Handler nelle impostazioni della funzione corrisponda alla struttura: [nome_file].[nome_funzione]. Ad esempio, una funzione Python definita in my_code.py con la funzione di ingresso lambda_handler deve avere l'handler impostato su my_code.lambda_handler.

Per Node.js, i nomi degli handler seguono il modulo e la funzione esportata, come index.handler per una funzione handler esportata in index.js.

Problemi di Rete e Connettività VPC

Quando una funzione Lambda è configurata per essere eseguita all'interno di una Virtual Private Cloud (VPC), ottiene l'accesso a risorse private ma perde l'accesso a Internet pubblico per impostazione predefinita.

Mancanza di Accesso a Internet

Se la tua Lambda è in una VPC e necessita di connettersi a servizi esterni, ha bisogno di una rotta verso Internet attraverso un NAT gateway o un altro percorso di uscita approvato. Mettere la funzione in una subnet pubblica non le fornisce un indirizzo IP pubblico.

Sintomo: Fallimenti di connessione HTTP, timeout durante l'accesso a endpoint pubblici.

Correzioni:

  1. Verifica che la funzione sia collegata a subnet private destinate ai carichi di lavoro Lambda.
  2. Assicurati che queste subnet private abbiano una voce nella tabella di instradamento che indirizzi il traffico Internet in uscita (0.0.0.0/0) a un NAT Gateway.
  3. Se la Lambda deve solo accedere privatamente ai servizi AWS, considera gli endpoint VPC come gli endpoint gateway per S3 e DynamoDB o gli endpoint di interfaccia per i servizi supportati.

Restrizioni del Security Group e delle ACL di Rete

La tua funzione può avviarsi con successo ma bloccarsi quando il suo security group, il security group di destinazione, la ACL di rete o la tabella di instradamento bloccano la connessione.

Correzione: permettere il traffico in uscita dal security group della Lambda verso la porta di destinazione e permettere il traffico in entrata sul security group di destinazione dal security group della Lambda. Ad esempio, una funzione Lambda che si connette a PostgreSQL necessita di TCP 5432 in uscita da Lambda e TCP 5432 in entrata sul lato del database.

Se il ruolo di esecuzione non ha le autorizzazioni EC2 necessarie per le interfacce di rete per l'accesso VPC, Lambda può fallire durante la preparazione della rete VPC necessaria per eseguire la funzione.

Errori di Distribuzione e Configurazione del Runtime

Questi problemi riguardano come è strutturato il bundle del codice o l'ambiente di runtime scelto.

Errori di Dipendenza e Pacchetto

Se il tuo codice si basa su librerie esterne che non sono state correttamente raggruppate o installate per l'ambiente di runtime specifico, la funzione fallirà durante l'inizializzazione.

Sintomo: Eccezioni di runtime come module not found, cannot import name o No such file or directory (particolarmente comune in Python o Node.js).

Correzioni:

  1. Ambiente Locale vs. Lambda: Assicurati di costruire le dipendenze su un ambiente che corrisponda al runtime Lambda (es., usa pip install -t . per Python per posizionare correttamente le dipendenze).
  2. Usa Lambda Layers: Impacchetta dipendenze più grandi e stabili in Lambda Layers per ridurre la dimensione del pacchetto di distribuzione principale e migliorare la velocità di distribuzione.
  3. Controlla il Percorso: Verifica che la tua configurazione di runtime punti correttamente alla posizione delle dipendenze installate.

Dimensione e Formato del Pacchetto di Distribuzione

Lambda ha limiti di dimensione del pacchetto di distribuzione, e questi limiti differiscono a seconda che tu carichi un file .zip direttamente, carichi tramite Amazon S3, usi layers o distribuisca un'immagine contenitore. Controlla le quote Lambda attuali per il tuo metodo di impacchettamento prima di ristrutturare una funzione di grandi dimensioni.

Sintomo: La distribuzione fallisce con un errore di dimensione, o un pacchetto grande contribuisce a cold start più lenti.

Correzioni:

  • Riduzione: Rimuovi file non necessari, documentazione e dipendenze di sviluppo.
  • Layers: Sposta asset statici o dipendenze grandi in Lambda Layers.
  • Immagini Contenitore: Per applicazioni molto grandi, considera la distribuzione della funzione come un'immagine contenitore da Amazon ECR.

Problemi di Evento e Payload

Alcuni fallimenti di invocazione provengono dall'evento stesso:

  • JSON Malformato: I test dalla console e le invocazioni CLI richiedono payload JSON validi.
  • Forma dell'evento inaspettata: Un evento S3, un evento API Gateway e un evento EventBridge non hanno gli stessi campi.
  • Comportamento di ripetizione asincrona: Le invocazioni asincrone possono riprovare dopo i fallimenti e possono inviare eventi falliti a una destinazione o a una coda di lettere morte se configurate.

Per un test CLI diretto, cattura la risposta e i log:

aws lambda invoke \
    --function-name my-function \
    --payload '{"ping": true}' \
    --cli-binary-format raw-in-base64-out \
    response.json

L'opzione --cli-binary-format raw-in-base64-out è comunemente necessaria con AWS CLI v2 quando si passa JSON grezzo direttamente sulla riga di comando.

Riepilogo dei Passaggi di Risoluzione dei Problemi

Quando incontri un errore di invocazione, segui questo approccio sistematico:

  1. Controlla Prima CloudWatch: Cerca errori immediati registrati dal servizio Lambda prima della riga START.
  2. Verifica il Ruolo IAM: Assicurati che il ruolo di esecuzione della funzione abbia tutte le autorizzazioni richieste (logging, VPC e accesso al servizio).
  3. Rivedi la Configurazione: Controlla il nome dell'Handler, l'impostazione della Memoria e il limite di Timeout.
  4. Analizza le Impostazioni VPC: Se usi una VPC, verifica i security group, i mapping delle subnet e le tabelle di instradamento (specialmente per l'accesso al NAT Gateway).
  5. Esamina le Dipendenze: Conferma che tutte le librerie necessarie siano correttamente impacchettate e accessibili dal runtime.

Una volta che sai se il fallimento è avvenuto prima dell'invocazione, durante l'avvio del runtime o all'interno del tuo codice, la correzione diventa molto più mirata. Controlla prima i log, verifica l'identità IAM attiva e la policy delle risorse, poi regola le impostazioni di handler, pacchetto, timeout, memoria e VPC in base all'errore specifico che vedi.