<aside class="msg message">!<div class="msg-content">
これは <a href="https://qiita.com/advent-calendar/2022/zozo" target="_blank" rel="nofollow noopener noreferrer">ZOZO Advent Calendar 2022</a> カレンダー Vol.5 の 16 日目の記事です。昨日の投稿は @cease2xist さんの「<a href="https://qiita.com/cease2xist/items/d373358f8c668ff54ac9" target="_blank" rel="nofollow noopener noreferrer">Composition over Inheritance - Delegation in Kotlin</a>」でした。
</div></aside>
AWS Lambda SnapStartを有効にする時にハマったポイントを備忘録として残します。
<h2 id="%E7%B5%90%E8%AB%96">
<a class="header-anchor-link" href="#%E7%B5%90%E8%AB%96" aria-hidden="true"></a> 結論</h2>
<ul>
<li>SnapStartはAWS X-Rayをサポートしていない。
<ul>
<li>よって、AWS X-Ray Active tracingを有効にしてトレースができない。</li>
<li>トレースしたい時は、AWS Distro for OpenTelemetryを使用しよう。</li>
</ul>
</li>
<li>SnapStartを有効にすると、Javaランタイムは自動で環境変数のクレデンシャルではなくContainer credentialsを使用する。</li>
</ul>
<h2 id="lambda%E3%81%AE%E7%92%B0%E5%A2%83">
<a class="header-anchor-link" href="#lambda%E3%81%AE%E7%92%B0%E5%A2%83" aria-hidden="true"></a> Lambdaの環境</h2>
<ul>
<li>Lambdaランタイム: Java11</li>
<li>アーキテクチャ: x86_64</li>
<li>region: ap-northeast-1</li>
</ul>
<h2 id="%E3%83%8F%E3%83%9E%E3%82%8A%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#%E3%83%8F%E3%83%9E%E3%82%8A%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88" aria-hidden="true"></a> ハマりポイント</h2>
<h3 id="snapstart%E3%81%AFaws-x-ray%E3%82%92%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E3%81%97%E3%81%A6%E3%81%84%E3%81%AA%E3%81%84">
<a class="header-anchor-link" href="#snapstart%E3%81%AFaws-x-ray%E3%82%92%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E3%81%97%E3%81%A6%E3%81%84%E3%81%AA%E3%81%84" aria-hidden="true"></a> SnapStartはAWS X-Rayをサポートしていない</h3>
2022/12/15時点では、SnapStartはAWS X-Rayをサポートしていません。 
なので、Lambda関数をトレース&amp;可視化する時に有効化されることが多いAWS X-Ray Active tracingを有効にすることができませんでした。
<h4 id="%E8%A7%A3%E6%B1%BA%E7%AD%96">
<a class="header-anchor-link" href="#%E8%A7%A3%E6%B1%BA%E7%AD%96" aria-hidden="true"></a> 解決策</h4>
<h5>どうしてもAWS X-Rayでトレーシング・可視化したいケース</h5>
現状の解決策はAWS X-Rayがサポートされることを待つしかないかもです。
<h5>ツールにこだわりなくトレーシング・可視化したいケース</h5>
こちらのケースであれば解決できそうです。
<a href="https://docs.aws.amazon.com/lambda/latest/dg/java-tracing.html" target="_blank" rel="nofollow noopener noreferrer">公式ドキュメント</a>でもおすすめされているAWS Distro for OpenTelemetry(ADOT)を使いましょう。
ADOTは<a href="https://aws-otel.github.io/docs/getting-started/lambda" target="_blank" rel="nofollow noopener noreferrer">AWS Distro for OpenTelemetry Lambda</a>を提供しています。 
ドキュメントにも記載されていますが、プラグアンドプレイでLambdaのトレースができます。
ADOT Lambdaの<a href="https://aws-otel.github.io/docs/getting-started/lambda#getting-started-with-aws-lambda-layers" target="_blank" rel="nofollow noopener noreferrer">Getting started</a>を参考にすれば導入は簡単です。 
トレースしたいLambdaのLambdaレイヤーにADOTを追加し、いくつか環境変数を追加するだけです。Lambda関数自体のコード修正は必要ありません。
そして、ここからが超大事なのですが、ADOTはデフォルトでトレースデータをエクスポートする先にAWS X-Rayを設定しています。なので、トレースをするためにはAWS X-Ray Active tracingを有効にする必要があります。
え？それじゃダメじゃない？？
そうです、デフォルトの設定のままだと、SnapStartを有効にしている限りはトレースすることができないと思います。
なので、OpenTelemetry Collectorのconfigを変更し、エクスポーターをAWS X-Ray以外のものに変更しましょう。
<a href="https://aws-otel.github.io/docs/getting-started/lambda#custom-configuration-for-the-adot-collector-on-lambda" target="_blank" rel="nofollow noopener noreferrer">Custom configuration for the ADOT Collector on Lambda</a>を読めば難なくconfigを変更できると思います。設定ファイルの変更だけで簡単にツールを変更できちゃう点は、さすがOpenTelemetryさんという気持ちになります。
現時点でサポートされているエクスポーターは<a href="https://github.com/aws-observability/aws-otel-lambda#adot-lambda-layer-available-components" target="_blank" rel="nofollow noopener noreferrer">こちら</a>です。
私のケースでは、Lambda関数のボトルネックを探る調査タスクだったため、比較的導入が手軽そうなloggingをエクスポーターに指定しました。
<div class="code-block-container">
<div class="code-block-filename-container">collector.yaml</div>
<pre class="language-yaml"><code class="language-yaml">receivers:
 otlp:
 protocols:
 grpc:
 http:

exporters:
 logging:
 loglevel: debug

service:
 pipelines:
 traces:
 receivers: [otlp]
 exporters: [logging]
</code></pre>
</div>Lambda関数実行後、CloudWatch Logsでログが出力されることを確認できました。
<img src="https://res.cloudinary.com/zenn/image/fetch/s--9fR-FoX4--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/8d98a38b6bf022965cf163e9.png%3Fsha%3De9f29c7f09698ba740196d96f5d061d0e2c2ccac" alt loading="lazy" class="md-img">
<h3 id="%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%82%AD%E3%83%BC%E3%81%8C%E8%A6%8B%E3%81%A4%E3%81%8B%E3%82%89%E3%81%AA%E3%81%84">
<a class="header-anchor-link" href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%82%AD%E3%83%BC%E3%81%8C%E8%A6%8B%E3%81%A4%E3%81%8B%E3%82%89%E3%81%AA%E3%81%84" aria-hidden="true"></a> アクセスキーが見つからない</h3>
SnapStartを有効にし、関数のテストを実行したところ下記のようなエラーが発生しました。あれ、有効にする前はテスト通っていたんだけどな？
<div class="code-block-container"><pre><code>Unable to load credentials from system settings.
Access key must be specified either via environment variable (AWS_ACCESS_KEY_ID)
or system property (aws.accessKeyId).:
software.amazon.awssdk.core.exception.SdkClientException
</code></pre></div>エラーの発生元を辿ると、以下のように環境変数からアクセスキーを取得するように指定していました。SnapStartを有効にする前は、このコードでアクセスキーを取得できていたはずだぞ？？
<div class="code-block-container"><pre class="language-scala"><code class="language-scala">val sesClient = SesClient
 .builder()
 .credentialsProvider(EnvironmentVariableCredentialsProvider.create())
 .httpClient(apacheHttpClient)
 .build()
</code></pre></div>実は、SnapStartを有効にすると、Javaランタイムは環境変数のアクセスキーでなくContainer Credentialsを使いアクセスキーを取得します。
ドキュメントを読む限りの推測ですが、通常はLambdaの初期化時に環境変数に一時的なアクセスキーが保存されるため、SnapStartを有効にするとアクセスキーが更新されず、そのアクセスキーの有効期限が切れてしまう。という問題が発生するのかなと推測しました。
なので、Container Credentialsで特定のURIにリクエストをして、アクセスキーを取得するようになっているのかと。いや、ここは自信ないです。
<h4 id="%E8%A7%A3%E6%B1%BA%E7%AD%96-1">
<a class="header-anchor-link" href="#%E8%A7%A3%E6%B1%BA%E7%AD%96-1" aria-hidden="true"></a> 解決策</h4>
解決策の1つとしてデフォルトの認証情報プロバイダーチェーンを使用する方法を記載しておきます。以下のように認証情報プロバイダーを設定しないことでデフォルトを自動的に使用してくれます。
<div class="code-block-container"><pre class="language-scala"><code class="language-scala">val sesClient = SesClient
 .builder()
 .httpClient(apacheHttpClient)
 .build()
</code></pre></div>これによって、環境変数に設定されている場合も、Container Credentialsの場合でもアクセスキーを取得して関数を実行してくれます。
Lambda関数のパフォーマンスを最適化したい場合は、ちゃんと認証情報プロバイダーを指定した方が良いかもしれません。
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
AWS Lambda SnapStart を有効にするためにハマったポイントを記載しました。
SnapStart x AWS Distro for OpenTelemetry によって、JVM言語で実装したLambda関数を実戦投入する機会が今後増えるかもしれないなと思いました。とても楽しみです！
明日は @curry_on_a_rice さんです。

AWS Lambda SnapStartを有効にする時にハマったポイント

SnapStartはAWS X-Rayをサポートしていない

Discussion