Serverless Headless E‑Commerce trên AWS Lambda & GCP Cloud Functions

Triển khai toàn bộ backend để giảm chi phí, tăng tốc độ xử lý đơn hàng

---

1️⃣ Giới thiệu & Bối cảnh thị trường

Theo Statista 2024, doanh thu thương mại điện tử tại Đông Nam Á đạt US$ 115 tỷ, tăng 23 % so với 2023. Cục TMĐT VN báo cáo rằng các shop có độ trễ < 200 ms thu hút 30 % khách hàng quay lại, trong khi thời gian xử lý đơn hàng > 2 giây làm tỉ lệ bỏ giỏ tăng 12 %.

Shopify Commerce Trends 2025 cho thấy 70 % các thương hiệu mới ưu tiên kiến trúc headless + serverless để đáp ứng “instant checkout”.

⚡ Kết luận: Đầu tư vào kiến trúc serverless giúp giảm CAPEX (không cần duy trì server) và OPEX (trả tiền theo lượt gọi), đồng thời đáp ứng yêu cầu latency < 150 ms cho checkout.

---

2️⃣ Kiến trúc Serverless Headless E‑Commerce tổng quan

+-------------------+       +-------------------+       +-------------------+
|   Frontend SPA   | <---> |   API Gateway     | <---> |   Lambda / Cloud  |
| (React/Vue/Next) |       | (REST + GraphQL)  |       | Functions (Biz)   |
+-------------------+       +-------------------+       +-------------------+
                                 |   ^   |                     |
                                 |   |   |                     |
                                 v   |   v                     v
                        +-------------------+        +-------------------+
                        |   DynamoDB /      |        |   Cloud Storage   |
                        |   Firestore       |        |   (S3 / GCS)      |
                        +-------------------+        +-------------------+
                                 |   ^   |
                                 |   |   |
                                 v   |   v
                        +-------------------+
                        |   EventBridge /   |
                        |   Pub/Sub         |
                        +-------------------+
                                 |
                                 v
                        +-------------------+
                        |   Payment GW (Stripe/PayPal) |
                        +-------------------+

• API Gateway (AWS API Gateway hoặc GCP API Gateway) chịu trách nhiệm auth, throttling, request‑validation.
• Lambda / Cloud Functions chứa business logic: catalog, cart, order, promotion.
• DynamoDB / Firestore là NoSQL lưu trữ product, inventory, session – single‑digit ms latency.
• EventBridge / Pub/Sub dùng để asynchronous order processing (email, fulfillment, analytics).
• CloudFront + Cloudflare Workers cung cấp CDN + edge‑logic (cache, A/B test).

---

3️⃣ Lựa chọn công nghệ (Tech Stack) – Bảng so sánh

Thành phần	AWS (Lambda)	GCP (Cloud Functions)	Azure (Functions)	Self‑hosted (K8s)
Compute	Node 18, Python 3.11, Go 1.22	Node 18, Python 3.11	.NET 6, Node 18	Docker, K8s
DB	DynamoDB (on‑demand)	Firestore (native)	Cosmos DB (Mongo API)	PostgreSQL
API GW	AWS API Gateway (REST+GraphQL)	GCP API Gateway	Azure API Management	Kong / Nginx
Event Bus	EventBridge	Pub/Sub	Event Grid	RabbitMQ
CI/CD	GitHub Actions + SAM	Cloud Build + Terraform	Azure DevOps	ArgoCD
Cost (per M req)	$0.0000002	$0.00000025	$0.00000022	$0.000001
Cold‑Start	80 ms (Node)	120 ms (Node)	100 ms (Node)	300 ms
Region Coverage VN	Asia‑Pacific (Singapore)	Asia‑East1 (Taiwan)	East Asia (Hong Kong)	Tự host VN‑DC

🛡️ Lưu ý: Đối với độ trễ < 150 ms, AWS Lambda + DynamoDB là lựa chọn tối ưu nhất tại VN do độ trễ mạng thấp giữa Singapore và Hà Nội (≈ 30 ms).

---

4️⃣ Phân tích chi phí 30 tháng (USD)

Khoản mục	Năm 1	Năm 2	Năm 3	Tổng 30 tháng
Compute (Lambda)	$12 400	$13 200	$14 100	$39 700
DB (DynamoDB)	$8 500	$9 200	$9 900	$27 600
API Gateway	$3 200	$3 500	$3 800	$10 500
CDN (CloudFront)	$2 800	$3 000	$3 200	$9 000
Payment GW fees (2 % txn)	$15 000	$16 500	$18 000	$49 500
Monitoring (CloudWatch)	$1 200	$1 300	$1 400	$3 900
Tổng	$43 100	$46 700	$50 400	$140 200

⚡ Kết quả: Với 30 k USD chi phí hạ tầng, hệ thống có thể xử lý > 5 triệu giao dịch mỗi tháng, chi phí trung bình $0.008 / giao dịch – 70 % rẻ hơn so với mô hình VM‑based truyền thống (≈ $0.03 / giao dịch).

---

5️⃣ Các phase triển khai chi tiết

Phase 1 – Đánh giá & Thiết kế (2 tuần)

Công việc	Người chịu trách nhiệm	Thời gian	Dependency
Thu thập yêu cầu nghiệp vụ	Business Analyst	Tuần 1	–
Định nghĩa data model (DynamoDB)	Data Engineer	Tuần 1	Yêu cầu BA
Kiến trúc API (OpenAPI 3.0)	Solution Architect	Tuần 2	Data model
Đánh giá bảo mật (PCI‑DSS)	Security Lead	Tuần 2	API spec

Phase 2 – Xây dựng môi trường Serverless (3 tuần)

Công việc	Người chịu trách nhiệm	Thời gian	Dependency
Tạo VPC, Subnet, IAM roles	Cloud Engineer	Tuần 3	–
Deploy API Gateway (SAM)	Cloud Engineer	Tuần 3‑4	VPC, IAM
Provision DynamoDB tables (on‑demand)	DB Admin	Tuần 4	IAM
Thiết lập CloudWatch log groups	Cloud Engineer	Tuần 4	–
CI/CD pipeline (GitHub Actions)	DevOps	Tuần 5	SAM template

Phase 3 – Phát triển API & Business Logic (5 tuần)

Công việc	Người chịu trách nhiệm	Thời gian	Dependency
Scaffold Lambda functions (Node)	Senior Dev	Tuần 6‑7	CI/CD
Implement Catalog API (CRUD)	Senior Dev	Tuần 7‑8	DynamoDB
Implement Cart & Checkout (idempotent)	Senior Dev	Tuần 8‑9	API GW
Integration Stripe webhook (Lambda)	Senior Dev	Tuần 9	Payment GW
Unit test (Jest) + coverage ≥ 80 %	QA Engineer	Tuần 10	Code
Deploy to dev stage	DevOps	Tuần 10	CI/CD

Phase 4 – Tích hợp Frontend Headless (3 tuần)

Công việc	Người chịu trách nhiệm	Thời gian	Dependency
Setup Next.js storefront (SSR)	Frontend Lead	Tuần 11‑12	API spec
GraphQL client (Apollo)	Frontend Lead	Tuần 12	API GW
Edge caching (Cloudflare Worker)	DevOps	Tuần 13	CDN
SEO & schema markup	SEO Specialist	Tuần 13	Frontend
End‑to‑end test (Cypress)	QA Engineer	Tuần 13	Frontend

Phase 5 – Kiểm thử & Bảo mật (2 tuần)

Công việc	Người chịu trách nhiệm	Thời gian	Dependency
Pen‑test OWASP Top 10	Security Lead	Tuần 14	Full stack
Load test (k6) – 10 k RPS	Performance Engineer	Tuần 14	API GW
Disaster Recovery drill	Ops Lead	Tuần 15	Backup
Fix bugs & hardening	Dev Team	Tuần 15	Findings

Phase 6 – Go‑Live & Vận hành (2 tuần)

Công việc	Người chịu trách nhiệm	Thời gian	Dependency
Deploy to prod (Blue/Green)	DevOps	Tuần 16	All phases
DNS switch (Route 53)	Cloud Engineer	Tuần 16	CDN
Monitoring dashboard (Grafana)	Ops Lead	Tuần 16	CloudWatch
Runbook handover	Ops Lead	Tuần 17	Docs
Post‑go‑live review	PM	Tuần 17	KPI

---

6️⃣ Timeline & Gantt Chart

gantt
    title Serverless Headless E‑Commerce – 30‑week Plan
    dateFormat  YYYY-MM-DD
    section Phase 1
    Requirement & Design      :a1, 2025-01-06, 2w
    section Phase 2
    Infra Setup               :a2, after a1, 3w
    CI/CD Pipeline            :a3, after a2, 1w
    section Phase 3
    Lambda Development        :b1, after a3, 5w
    Unit Test & Coverage      :b2, after b1, 1w
    section Phase 4
    Frontend Integration      :c1, after b2, 3w
    Edge Caching              :c2, after c1, 1w
    section Phase 5
    Security & Load Testing   :d1, after c2, 2w
    section Phase 6
    Production Deploy (Blue/Green) :e1, after d1, 1w
    Monitoring & Runbook      :e2, after e1, 1w

---

7️⃣ Rủi ro & Phương án dự phòng

Rủi ro	Impact	Phương án B	Phương án C
Cold‑start latency > 200 ms	Checkout chậm → mất doanh thu	Sử dụng Provisioned Concurrency (AWS)	Chuyển sang GCP Cloud Run (container)
Gián đoạn DynamoDB	Mất dữ liệu tạm thời	Enable DynamoDB Global Tables (multi‑region)	Backup sang S3 + restore script
Payment gateway downtime	Không nhận thanh toán	Fallback to PayPal (secondary)	Queue webhook & retry (SQS)
API‑gateway throttling	429 Too Many Requests	Increase burst limit + usage plan	Deploy Cloudflare Rate Limiting at edge
Compliance breach (PCI‑DSS)	Phạt & uy tín	Implement AWS WAF + Shield Advanced	External audit & remediation plan

---

8️⃣ KPI, Công cụ đo & Tần suất

KPI	Mục tiêu	Công cụ đo	Tần suất
Checkout latency (p95)	≤ 150 ms	CloudWatch Metrics + Grafana	5 phút
Order success rate	≥ 99.9 %	Datadog APM (Lambda)	1 giờ
Cold‑start time	≤ 80 ms (Node)	Lambda Insights	15 phút
Cost per transaction	≤ $0.009	AWS Cost Explorer	Daily
Security findings	0 critical	AWS GuardDuty + Security Hub	Weekly
Traffic spikes handling	10× peak	Load test (k6) + Auto‑scaling	Monthly

---

9️⃣ Tài liệu bàn giao cuối dự án – 15 tài liệu bắt buộc

STT	Tài liệu	Người viết	Nội dung chính
1	Architecture Diagram	Solution Architect	Diagram (text art + mermaid), component description
2	API Specification (OpenAPI 3.0)	Backend Lead	Endpoints, schemas, auth
3	Data Model & ERD	DB Admin	DynamoDB tables, GSIs, access patterns
4	Infrastructure as Code (SAM/ Terraform)	DevOps	Full repo, modules, parameters
5	CI/CD Pipeline Docs	DevOps	GitHub Actions workflow, secrets
6	Security & Compliance Report	Security Lead	PCI‑DSS checklist, IAM policies
7	Disaster Recovery Runbook	Ops Lead	Backup, restore, failover steps
8	Monitoring & Alerting Playbook	Ops Lead	Grafana dashboards, CloudWatch alarms
9	Performance Test Report	Performance Engineer	k6 scripts, results, bottlenecks
10	Load Balancing & Scaling Strategy	Cloud Engineer	Provisioned concurrency, auto‑scale
11	Payment Integration Guide	Backend Lead	Stripe webhook, idempotency
12	Frontend Integration Guide	Frontend Lead	GraphQL queries, SSR caching
13	User Acceptance Test (UAT) Sign‑off	QA Lead	Test cases, results
14	Change Management Log	PM	Version, date, description
15	License & Third‑Party Notice	Legal	OSS licenses, vendor contracts

---

🔟 Checklist Go‑Live (42 item)

1️⃣ Security & Compliance

#	Item	✅
1	IAM roles principle‑of‑least‑privilege
2	API‑Gateway authorizer (Cognito/JWT)
3	WAF rules (SQLi, XSS) enabled
4	TLS 1.2+ everywhere
5	Secrets stored in AWS Secrets Manager
6	PCI‑DSS scope validated
7	Logging of all auth events
8	Vulnerability scan (Snyk) passed
9	Backup retention ≥ 30 days
10	Incident response plan reviewed

2️⃣ Performance & Scalability

#	Item	✅
11	Provisioned Concurrency set for hot Lambdas
12	DynamoDB auto‑scaling enabled (RCU/WCU)
13	CDN cache‑control headers verified
14	CloudFront invalidation script ready
15	Load test ≥ 10 k RPS passed
16	Auto‑scaling alarms configured
17	Cold‑start monitoring dashboard
18	Edge‑worker latency < 20 ms
19	Rate‑limit thresholds tuned
20	Graceful shutdown handling in Lambdas

3️⃣ Business & Data Accuracy

#	Item	✅
21	Idempotent order creation (dedup key)
22	Inventory decrement transactionally
23	Price validation against master catalog
24	Promotion engine rule testing
25	Tax calculation per VN law (VAT 10 %)
26	Order status workflow (Pending→Paid→Shipped)
27	Email/SMS notification templates reviewed
28	Data export (CSV/JSON) verified
29	GDPR‑like data‑deletion API
30	Business KPI dashboard live

4️⃣ Payment & Finance

#	Item	✅
31	Stripe webhook signature verification
32	Fallback payment gateway (PayPal) config
33	Refund API tested (full/partial)
34	Reconciliation script (Python) scheduled
35	PCI‑DSS tokenization verified
36	Currency conversion rates updated daily
37	Transaction logs stored in immutable S3
38	Finance team sign‑off on fees
39	Chargeback handling SOP documented
40	Settlement report generation

5️⃣ Monitoring & Rollback

#	Item	✅
41	CloudWatch alarms (error > 5 min)
42	Blue/Green deployment switch script

---

1️⃣1️⃣ Các đoạn code / config thực tế

1️⃣ SAM template (YAML) – Deploy Lambda + API GW

AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31
Description: Serverless Headless E‑Commerce

Globals:
  Function:
    Runtime: nodejs18.x
    Timeout: 10
    MemorySize: 256
    Environment:
      Variables:
        TABLE_PRODUCTS: !Ref ProductsTable
        TABLE_ORDERS: !Ref OrdersTable

Resources:
  ProductsTable:
    Type: AWS::DynamoDB::Table
    Properties:
      TableName: products
      BillingMode: PAY_PER_REQUEST
      AttributeDefinitions:
        - AttributeName: pk
          AttributeType: S
      KeySchema:
        - AttributeName: pk
          KeyType: HASH

  OrdersTable:
    Type: AWS::DynamoDB::Table
    Properties:
      TableName: orders
      BillingMode: PAY_PER_REQUEST
      AttributeDefinitions:
        - AttributeName: orderId
          AttributeType: S
      KeySchema:
        - AttributeName: orderId
          KeyType: HASH

  CheckoutFunction:
    Type: AWS::Serverless::Function
    Properties:
      Handler: src/checkout.handler
      Events:
        Api:
          Type: Api
          Properties:
            Path: /checkout
            Method: post
            RestApiId: !Ref ApiGateway

2️⃣ Lambda handler (Node) – Checkout (idempotent)

// src/checkout.js
const AWS = require('aws-sdk');
const dynamo = new AWS.DynamoDB.DocumentClient();
const { v4: uuidv4 } = require('uuid');

exports.handler = async (event) => {
  const body = JSON.parse(event.body);
  const idempotencyKey = event.headers['Idempotency-Key'] || uuidv4();

  // Check if order already exists
  const existing = await dynamo.get({
    TableName: process.env.TABLE_ORDERS,
    Key: { orderId: idempotencyKey },
  }).promise();

  if (existing.Item) {
    return { statusCode: 200, body: JSON.stringify(existing.Item) };
  }

  // Create order
  const order = {
    orderId: idempotencyKey,
    items: body.items,
    total: body.total,
    status: 'PENDING',
    createdAt: new Date().toISOString(),
  };

  await dynamo.put({
    TableName: process.env.TABLE_ORDERS,
    Item: order,
  }).promise();

  // TODO: invoke payment gateway async
  return { statusCode: 201, body: JSON.stringify(order) };
};

3️⃣ API Gateway authorizer (Cognito) – SAM

  ApiGateway:
    Type: AWS::Serverless::Api
    Properties:
      StageName: prod
      Auth:
        DefaultAuthorizer: CognitoAuthorizer
        AddDefaultAuthorizerToCorsPreflight: false
        Authorizers:
          CognitoAuthorizer:
            UserPoolArn: arn:aws:cognito-idp:ap-southeast-1:123456789012:userpool/ap-southeast-1_ABCDEF

4️⃣ CloudFront + Cloudflare Worker (edge cache invalidation)

// cloudflare-worker.js
addEventListener('fetch', event => {
  const url = new URL(event.request.url);
  // Cache static assets for 1 day
  if (url.pathname.startsWith('/static/')) {
    event.respondWith(
      caches.match(event.request).then(resp => {
        return resp || fetch(event.request).then(r => {
          const newResp = r.clone();
          const headers = new Headers(newResp.headers);
          headers.set('Cache-Control', 'public, max-age=86400');
          return new Response(newResp.body, { ...newResp, headers });
        });
      })
    );
  } else {
    event.respondWith(fetch(event.request));
  }
});

5️⃣ Docker Compose (local dev for DynamoDB + LocalStack)

version: '3.8'
services:
  dynamodb:
    image: amazon/dynamodb-local
    ports:
      - "8000:8000"
    command: "-jar DynamoDBLocal.jar -sharedDb"
  localstack:
    image: localstack/localstack
    environment:
      - SERVICES=lambda,apigateway,cloudformation
    ports:
      - "4566:4566"
    volumes:
      - "./localstack:/var/lib/localstack"

6️⃣ Nginx config (reverse proxy for Next.js)

server {
    listen 80;
    server_name shop.example.com;

    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_cache_bypass $http_upgrade;
    }

    location /api/ {
        proxy_pass https://api-id.execute-api.ap-southeast-1.amazonaws.com/prod/;
        proxy_set_header Host $host;
    }
}

7️⃣ GitHub Actions CI/CD (SAM Deploy)

name: Deploy Serverless

on:
  push:
    branches: [ main ]

jobs:
  build-deploy:
    runs-on: ubuntu-latest
    permissions:
      id-token: write
      contents: read
    steps:
      - uses: actions/checkout@v3
      - name: Set up Node
        uses: actions/setup-node@v3
        with:
          node-version: '18'
      - name: Install SAM CLI
        run: |
          pip install aws-sam-cli
      - name: Build
        run: sam build
      - name: Deploy
        env:
          AWS_REGION: ap-southeast-1
        run: |
          sam deploy --no-confirm-changeset --no-fail-on-empty-changeset \
            --stack-name ecommerce-prod --capabilities CAPABILITY_IAM

8️⃣ Payment reconciliation script (Python)

#!/usr/bin/env python3
import stripe, csv, os
from datetime import datetime, timedelta

stripe.api_key = os.getenv('STRIPE_SECRET_KEY')
yesterday = datetime.utcnow() - timedelta(days=1)

charges = stripe.Charge.list(
    created={'gte': int(yesterday.timestamp())},
    limit=100
)

with open('/tmp/reconcile.csv', 'w', newline='') as f:
    writer = csv.writer(f)
    writer.writerow(['order_id', 'charge_id', 'amount', 'status'])
    for c in charges.auto_paging_iter():
        writer.writerow([c.metadata.get('order_id'), c.id, c.amount/100, c.status])

9️⃣ k6 Load Test (10 k RPS)

import http from 'k6/http';
import { check, sleep } from 'k6';
export const options = {
  stages: [{ duration: '5m', target: 10000 }],
};

export default function () {
  const res = http.post('https://api-id.execute-api.ap-southeast-1.amazonaws.com/prod/checkout', JSON.stringify({
    items: [{ sku: 'SKU123', qty: 2 }],
    total: 199900
  }), { headers: { 'Content-Type': 'application/json', 'Idempotency-Key': `${__VU}-${__ITER}` } });

  check(res, { 'status 201': (r) => r.status === 201 });
  sleep(0.1);
}

🔟 CloudWatch Metric Filter (Error rate)

{
  "filterPattern": "[timestamp=*] [level=ERROR] *",
  "metricTransformations": [
    {
      "metricName": "LambdaErrorCount",
      "metricNamespace": "ECommerce",
      "metricValue": "1"
    }
  ]
}

---

12️⃣ Kết luận & Hành động

Key Takeaways

1. Serverless + Headless giảm CAPEX tới 70 % so với VM truyền thống và đáp ứng latency < 150 ms cho checkout.
2. Provisioned Concurrency + DynamoDB on‑demand là công cụ chính để giữ cold‑start dưới 80 ms.
3. CI/CD (SAM + GitHub Actions) cho phép deploy toàn bộ stack trong ≤ 5 phút và hỗ trợ Blue/Green rollout không downtime.
4. Rủi ro chủ yếu là cold‑start, DynamoDB outage, payment gateway; đã có phương án B/C rõ ràng.
5. KPI được đo liên tục (latency, success‑rate, cost) giúp tối ưu hoá chi phí và trải nghiệm khách hàng.

🛡️ Best Practice: Luôn đặt Idempotency‑Key cho mọi transaction và log toàn bộ request‑response để phục vụ audit PCI‑DSS.

Câu hỏi thảo luận
– Anh em đã gặp cold‑start > 200 ms khi dùng Lambda chưa? Giải pháp nào hiệu quả nhất?
– Khi DynamoDB gặp throttling, team đã scale như thế nào?

Kêu gọi hành động
– Bắt tay vào việc thiết kế OpenAPI spec ngay hôm nay, sau đó tạo SAM template để triển khai môi trường dev.
– Đặt monitoring dashboard trong 24 giờ để theo dõi latency và error rate.

---

📣 Đoạn chốt marketing

Nếu anh em đang cần tích hợp AI nhanh vào app mà lười build từ đầu, thử ngó qua con Serimi App xem, mình thấy API bên đó khá ổn cho việc scale.

Anh em nào làm Content hay SEO mà muốn tự động hóa quy trình thì tham khảo bộ công cụ bên noidungso.io.vn nhé, đỡ tốn cơm gạo thuê nhân sự part‑time.

---