Những câu chuyện kinh hoàng về serverless

• Nhiều trường hợp bị tính phí khổng lồ ngoài dự kiến thường xuyên xảy ra trên các dịch vụ SaaS và serverless khác nhau, và đây là một trang đã tổng hợp chúng theo cách dễ theo dõi
• Đã xuất hiện các trường hợp người dùng vốn đang trả phí thuê bao hàng tháng bình thường nhưng do tấn công DoS hoặc sử dụng tài nguyên thiếu kiểm soát mà bị tính phí từ hàng chục nghìn đến hàng trăm nghìn USD chỉ trong một ngày
• Ở một số dịch vụ, ngay cả khi đã đặt giới hạn chi tiêu, phí vượt mức vẫn bị áp dụng, làm lộ rõ những giới hạn mang tính hệ thống
• Cộng đồng lập trình viên chia sẻ những trải nghiệm như vậy và chỉ ra cấu trúc tính phí phi lý cùng sự thiếu minh bạch là các vấn đề chính
• Trong môi trường serverless và cloud, chỉ một sai sót nhỏ hoặc một cuộc tấn công cũng có thể gây thiệt hại tài chính rất lớn, nên cần đặc biệt chú ý

Tổng hợp các trường hợp bị tính phí quá mức trên dịch vụ serverless và SaaS

#1 Khoản phí khổng lồ phát sinh trên Webflow

• Trong khi dùng gói 69 USD/tháng, người dùng bị tính $1,189.42 cho một tháng mà không có lý do rõ ràng

#2 Trường hợp trang game WebGL bị tấn công DoS

• Sau khi xảy ra tấn công DoS, người vận hành một trang tải lên game WebGL quy mô trung bình đã nhận hóa đơn từ Google Firebase hơn $100,000 chỉ trong một ngày

#3 Vercel Pro và việc vượt quá giới hạn chi tiêu

• Dùng gói Vercel Pro với giá $20/tháng và đặt giới hạn chi tiêu $120, nhưng vẫn phát sinh thêm phí ngoài dự kiến

#4 Tính phí dự án và hóa đơn cực lớn

• Có trường hợp một dự án vốn chỉ trả $50 mỗi tháng nhưng một sáng nọ lại nhận hóa đơn lên tới $70,000

#5 Vấn đề tính phí khi dùng BigQuery và bộ dữ liệu công khai

• Trong môi trường Playgroud, một người dùng BigQuery đã bị tính khoản phí khổng lồ hơn $22,000

#6 Phí hosting quá cao so với lượng truy cập nhỏ

• Dù chỉ có 9,000 lượt truy cập mỗi tháng, dịch vụ vẫn bị tính $250/tháng, tương đương $3,000 mỗi năm

#7 Vấn đề phát sinh sau khi Devin(AI) thay đổi codebase

• Đã có trải nghiệm về những hậu quả ngoài dự kiến khi AI tên Devin thực hiện thay đổi mã nguồn

#8 Bất ngờ bị tính phí sau thời gian dùng miễn phí

• Dù chưa từng thanh toán lần nào, một ngày nọ người dùng vẫn bất ngờ bị tính $530

#9 Tính phí với trang tài liệu và các dự án nhỏ khác

• Có nhiều trường hợp bị tính phí cao ngay cả với dịch vụ sử dụng ít, chẳng hạn một trang tài liệu đơn giản bị tính gần $400

#10 Nỗi kinh hoàng của free tier

• Ngay cả hóa đơn khoảng $103 cũng bị xem là vấn đề; đặc biệt, việc đang dùng free tier mà bất ngờ nhận hóa đơn là yếu tố gây lo ngại

#11 Cloudflare, AWS và các vấn đề khác

• Có trường hợp Cloudflare thông báo phải trả $120,000 trong vòng 24 giờ và đồng thời ngừng dịch vụ
• Trên AWS S3, vẫn phát sinh các khoản phí ngoài dự kiến ngay cả sau khi tạo bucket rỗng, riêng tư
• Nhiều nhà cung cấp khác cũng lặp lại các trường hợp tương tự, như Netlify gửi hóa đơn chưa thanh toán trị giá $104,500

#12 Tấn công DoS, email và mất dữ liệu

• Trong một cuộc tấn công DoS, việc gửi email đã tiêu tốn $11,000, sau đó cơ sở dữ liệu cũng bị mất

#13 Vercel bị tính phí hàng loạt, vấn đề tài khoản và trial

• Trên Vercel, một cuộc tấn công spam đã khiến hóa đơn lên tới $23,000 chỉ trong một ngày, đồng thời kích hoạt 56.000 tài khoản và trial

#14 Khoản phí ngoài dự kiến trong quá trình test/deploy

• Có trường hợp khi deploy tính năng lên Vercel và các dịch vụ tương tự cho mục đích thử nghiệm thì phát sinh khoản phí ngoài dự kiến
• sitemap.txt sử dụng băng thông đến hàng trăm GB, dẫn đến hóa đơn rất lớn

#15 Chi phí test của Firebase và Cloud Run

• Chỉ với hai lần test Firebase và Cloud Run, một dịch vụ đã tiêu tốn $72,000 và rơi vào nguy cơ phá sản

Kết luận và hàm ý

• Cấu trúc chi phí trong môi trường serverless và cloud có thể thiếu minh bạch hoặc rất dễ tổn thương trước tấn công và sai sót
• Có rất nhiều trường hợp bị tính phí ngoài dự kiến, vì vậy khi vận hành dịch vụ cần giám sát chặt chẽ, quản lý mức sử dụng và thiết lập giới hạn cho phép
• Nếu các chức năng tự động hóa và giám sát còn yếu, chỉ một lần thử nghiệm đơn giản hoặc một cuộc tấn công từ bên ngoài cũng có thể gây ra tổn thất ngoài dự kiến lên tới hàng chục nghìn USD
• Với lập trình viên, startup và người dùng SaaS, tầm quan trọng của quản lý chi phí và nhận thức rủi ro đang ngày càng tăng