世界を動かす技術を、日本語で。

サーバーレスの恐怖

概要

ServerlessHorrorsは、 サーバーレスの失敗談 を集めたブログ。 作者のAndrasは Coolify というOSSのPaaSを開発中。 Heroku / Netlify / Vercel の代替として自分でホスト可能。 読者は GitHubのPRで体験談投稿 が可能。 代表的な事例として 高額請求やDDoS被害 が紹介。

ServerlessHorrorsの概要

  • サーバーレス利用時の 恐怖体験談 を掲載するブログ
  • 制作者は Andras、Coolifyプロジェクトの開発者
  • Coolifyは Heroku / Netlify / Vercel のOSS代替サービス
  • 読者による 体験談投稿 はGitHubの Pull Request で受付
  • 新着記事や過去記事の 日付一覧 を掲載

主なサーバーレス失敗事例

  • 2025年5月13日 など新着記事の定期更新
  • BigQuery のパブリックデータセット利用で $22,639.69 の高額請求
    • Google BigQuery、SQLの誤用やコスト見積もりミス
  • Vercel 上のEchoFoxサービスが DDoS攻撃 を受け、 $23,000.42 の請求
    • 帯域使用量急増、56,000件以上のアカウントおよびトライアル発生
  • サーバーレスのコスト管理やセキュリティリスク の実例として紹介

サイトの目的と投稿方法

  • サーバーレス利用者の 注意喚起 と体験共有
  • GitHub経由 で誰でも 体験談を投稿可能
  • サーバーレスの 落とし穴やリスク を広く周知する目的

Coolifyについて

  • オープンソース かつ セルフホスト可能 なPaaSプロジェクト
  • Heroku / Netlify / Vercel のような使い勝手
  • サーバーレスに頼らず 自分で管理・運用 したいユーザー向け

まとめ

  • ServerlessHorrorsは サーバーレスのリスク事例 を集約
  • 高額請求やDDoS など現実的な問題点を共有
  • Coolify のような選択肢も紹介し、利用者のリテラシー向上を目指す

Hackerたちの意見

Vercelのストーリーをちょっと見た感じだと、全ての支払いが無効にされたか、最初からミスだったみたい。こんな請求書を本当に払わなきゃいけないことってあるの?ツイートしないと返金されないのかな?

ツイートしないと返金されないの? これが怖いんだよね。今ってソーシャルメディアが物事を解決する唯一の手段なの? フォロワーが少ないし、そもそもアカウントも持ってない場合、請求書を我慢しなきゃいけないの?

いや、こういうホスティングのエンタープライズコンサルティングでは、通常サポートチームに直接連絡できる担当者がいるよ。ただ、こういうプロジェクトはオラクルのライセンスの丸め誤差を超えるような方法で測定されるから、誰がティア1の扱いを受けるかで市場がセグメント化されちゃうんだよね。

サポートエージェントの機嫌に頼るのは良くない戦略だよね。

開発者が10万ドルの請求を受けたら、たいていは銀行が最初にそれを拒否すると思うよ。特にクレジットリミットが高くない場合はね。でも、もしこれが法人アカウントに起こったら、どこかでリソースが漏れたらどうなるんだろう?数十億ドルの会社なら、たぶん「運営費用」として片付けて終わりだろうね。

私が参加しているコミュニティグループの誰かが、Azureの非営利向けの無料プランで遊んでて、1,200ユーロくらいの損失が出ちゃった。大きな額ではないけど、私たちには大きい。HNのコメントに励まされて、サポートにお願いしてみたんだけど、何度かお願いした後、最終的に請求額を100ユーロ未満に減らしてくれたけど、全額免除はしてくれなかった。だから、SNSで恥をかかせなくても、やっぱり頼んでみる価値はあると思う。^そのプランは約6ヶ月前に変更された。

てっきり「サーバーレス」のホスティングや開発、デバッグの恐怖についてだと思ったら、価格オーバーランの話だった。サイトを適当にスクロールしてたら、大半の投稿は無視しちゃったけど(帯域幅の請求書ってあんまり面白くないし)、これだけは見たよ:https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-c... 自分が持ってないS3バケットに対して認証なしでAPIコールをしてコストを上げる話。これは新しい発見だった。

競争相手を潰す方法。好きだな。あと、AWSが嫌いな理由でもある。サプライズ請求から中小企業を守る気ゼロ。Azureもあんまり良くないけど、少なくとももう少し保護策がある。

あのブログ記事がバイラルになった後、すぐに変更されたと思うよ:https://aws.amazon.com/about-aws/whats-new/2024/08/amazon-s3...

「サーバーレス」のホスティングや開発、デバッグの恐怖についての話だと思ったけど、実際は価格オーバーランの話だったね。それには同意するよ。大規模なAWS Lambdaのバックエンドを引き継いだチームに雇われたんだけど、基盤となるプラットフォームの不透明さ(これがサーバーレスの価値提案なんだけど!)が、厳しい状況になったときにすごく痛い思いをさせるんだ。システムのそのレイヤーに近いところでバグを見つけると特にね(うちの場合、シークレット拡張に接続しようとしたときの間欠的なソケットのハングアップがあった)。それに、ローカルのテスト環境がデプロイされた環境とほとんど似てないから… 家ではGoogle Cloud Functionsでちょっとしたおもちゃのようなものを動かしてるけど、ちゃんと動いてるよ(スケール・トゥ・ゼロは無料枠で隠れるのに便利だし)。でも、プロの環境でHTTPサーバーやキューコンシューマーをECSのコンテナに入れる方がいいと思わないシナリオは想像できないな。

同じく、LambdaやDynamoを使わざるを得ない悲惨な話や、クラウドロックインの話を期待してたんだ。$20/月のVPSで簡単に動くものなのにね。

自分のものの前にCloudflareを置いてた。ハッカーがキャッシュされてないオブジェクトを見つけて、100M回以上ヒットした。それを止めたら、今度はオリジンバケットを見つけて直接ヒットしてきた。無知をお許しを、でもこれは誰にでも起こりうることじゃないの?キャッシュされてないオブジェクトって、ポート22を弱いパスワードで開けっぱなしにするほど深刻なことじゃないよね(そうなの?)。それに、S3のリソース(画像とか)は公開されてるから、誰でも好きなだけアクセスできるんじゃないの?

Hacker Newsで議論の続きを見る