User's blog

Dominando Limitações e Disponibilidade do Amazon Bedrock: Um Guia Prático para Aplicações em Produção

Written by

Make.com Service User

in

O Desafio das Aplicações de IA em Produção

Quando aplicações de inteligência artificial generativa entram em produção, erros se tornam inevitáveis. Os dois mais comuns são aqueles que retornam 429 ThrottlingException (requisição rejeitada por excesso de volume) e 503 ServiceUnavailableException (serviço temporariamente indisponível). Embora a maioria desses erros seja recuperável através de tentativas subsequentes, o impacto na experiência do usuário é imediato: atrasos nas respostas, interrupções na fluidez da conversa e, potencialmente, abandono da plataforma.

O desafio fica ainda mais complexo em cenários com múltiplos usuários acessando o mesmo modelo simultaneamente. Nesse contexto, a diferença entre uma aplicação resiliente e usuários frustrados está justamente na capacidade de tratar esses erros adequadamente. Uma estratégia bem elaborada de retry, rate limiting e observabilidade pode transformar falhas transitórias em pequenos incômodos em vez de bloqueadores críticos.

Diferenças Entre os Dois Tipos de Erro

Entender a raiz de cada erro é fundamental para implementar a solução correta. O erro 503 ocorre quando o serviço Bedrock enfrenta problemas de capacidade ou infraestrutura — é uma questão de saúde do serviço. Já o 429 emerge quando a conta atinge seus limites de quota — seja em requisições por minuto (RPM – Requisições Por Minuto) ou em tokens processados por minuto (TPM – Tokens Por Minuto).

A estratégia de retry para cada um difere significativamente. Para 503, tentativas com backoff exponencial funcionam bem, pois o serviço geralmente se recupera em segundos. Para 429, é necessário sincronizar as tentativas com o ciclo de renovação de quota, que ocorre a cada 60 segundos.

Entendendo o Erro 429: ThrottlingException

Como Funciona a Limitação por Taxa de Requisição (RPM)

O erro RPM surge quando o número total de chamadas ao Bedrock por minuto ultrapassa a quota configurada para a conta. O ponto crítico é que esse limite se aplica globalmente a todos os aplicativos que chamam o serviço na mesma região, não individualmente por aplicação.

Imagine um cenário com três aplicações em produção, todas consumindo o mesmo modelo Bedrock na mesma região. A aplicação A pico em 50 requisições por minuto, assim como B e C. A quota contratada é de 150 RPM, que parecia adequada. Porém, na prática o tráfego não é perfeitamente uniforme. Durante uma promoção, a aplicação A salta para 60 RPM enquanto B e C permanecem em 50. O total chega a 160 RPM e algumas requisições começam a falhar.

Mitigar esse problema requer ação em dois frontes: no lado do cliente e no lado da quota. No cliente, implementar rate limiting por aplicação garante que uma aplicação “barulhenta” não esgote a quota de outras. Usar exponencial backoff com variação aleatória (jitter) faz com que retries não ocorram sincronizados entre múltiplas instâncias. Sincronizar finais de retry com o ciclo de 60 segundos aumenta a chance de sucesso.

No lado da quota, monitorar as métricas reais de pico via Amazon CloudWatch e solicitar aumentos através do AWS Service Quotas garante espaço para crescimento sem que surpreças de tráfego virem incidentes.

Limitação por Tokens (TPM)

Mesmo com contagem de requisições modestas, um único prompt grande ou uma resposta longa podem consumir milhares de tokens. O erro TPM ocorre quando o total de tokens (entrada + saída) por minuto excede a quota da conta.

Uma aplicação enviando 10 requisições por minuto com 15 mil tokens de entrada e 5 mil de saída cada uma consome aproximadamente 200 mil tokens por minuto — muito mais restritivo que 200 pequenos prompts. Esse cenário frequentemente se manifesta quando usuários colam documentos grandes, transcripts longos ou executam trabalhos em lote de sumarização.

Responder a isso significa monitorar proativamente o consumo de tokens através de logs do Bedrock, implementar um rate limiter que mantenha janela deslizante de 60 segundos de consumo, e quebrar tarefas grandes em chunks menores espalhados ao longo do tempo. Usar respostas em stream também ajuda, pois fornece mais controle sobre quando parar a geração.

Limitação Específica por Modelo

Às vezes o erro indica que um modelo específico está sobrecarregado — não é problema de quota da conta, mas de saturação temporária da infraestrutura compartilhada daquele modelo. Nesses casos, projetar para degradação graciosa funciona melhor que tratar como falha dura.

Implementar fallback automático para modelos alternativos (por exemplo, se Claude Sonnet está indisponível, usar Claude Haiku) combinado com failover entre regiões melhora significativamente a resiliência. Expor esse comportamento degradado nos dashboards garante visibilidade — em vez de mascarar silenciosamente o problema.

Entendendo o Erro 503: ServiceUnavailableException

Esgotamento do Pool de Conexões

Este erro frequentemente não vem do Bedrock em si, mas da forma como o cliente está configurado. O boto3 utiliza um pool HTTP padrão relativamente pequeno (cerca de 10 conexões), facilmente saturado em workloads altamente concorrentes. Criar um novo cliente para cada requisição multiplica desnecessariamente o número de conexões abertas.

A solução é compartilhar uma única instância de cliente Bedrock e aumentar o tamanho do pool:

import boto3
from botocore.config import Config

config = Config(
    max_pool_connections=50,
    retries={'max_attempts': 3}
)
bedrock_client = boto3.client('bedrock-runtime', config=config)

Problemas Temporários de Recursos do Serviço

Quando a AWS Bedrock sinaliza indisponibilidade temporária, geralmente está lidando com pico de demanda em modelos on-demand. Nesse cenário, tratar como outage transitória e focar em retry inteligente com fallover gracioso é a estratégia adequada.

Padrões Avançados de Resiliência

O Padrão Circuit Breaker

Para sistemas críticos, simples retries não bastam. O padrão circuit breaker evita que a aplicação continue martelando um serviço já falho. Funciona em três estados: CLOSED (operação normal), OPEN (rejeitando requisições após múltiplas falhas) e HALF_OPEN (testando recuperação).

Quando Bedrock retorna 503, continuar enviando requisições piora a situação. O circuit breaker reduz a carga no serviço em dificuldade, ajudando sua recuperação mais rápida, falha rapidamente em vez de desperdiçar tempo em requisições que provavelmente falharão, e se recupera automaticamente testando periodicamente se o serviço se restabeleceu.

Failover entre Regiões com CRIS

O recurso Cross-Region Inference (CRIS) da AWS Bedrock oferece um mecanismo gerenciado de roteamento de tráfego entre regiões. Perfis CRIS globais podem enviar tráfego para regiões comerciais da AWS com melhor combinação de throughput e custo. Perfis geográficos confinam o tráfego a geografias específicas para atender requisitos rígidos de residência de dados.

Para workloads não reguladas, usar perfil global melhora significativamente disponibilidade e absorve picos regionais. Para workloads reguladas, configurar perfis geográficos alinhados com limites de compliance fornece controle necessário.

Implementação de Retry e Rate Limiting Robusto

Backoff Exponencial com Jitter

Este padrão é essencial para tratar throttling graciosamente, evitando martelar o serviço imediatamente após falha e prevenindo que múltiplas instâncias retry no mesmo momento:

import time
import random
from botocore.exceptions import ClientError

def bedrock_request_with_retry(bedrock_client, operation, **kwargs):
    """Secure retry implementation with sanitized logging."""
    max_retries = 5
    base_delay = 1
    max_delay = 60
    
    for attempt in range(max_retries):
        try:
            if operation == 'invoke_model':
                return bedrock_client.invoke_model(**kwargs)
            elif operation == 'converse':
                return bedrock_client.converse(**kwargs)
        except ClientError as e:
            if e.response['Error']['Code'] == 'ThrottlingException':
                if attempt == max_retries - 1:
                    raise
                delay = min(base_delay * (2 ** attempt), max_delay)
                jitter = random.uniform(0, delay * 0.1)
                time.sleep(delay + jitter)
                continue
            else:
                raise

Rate Limiter Consciente de Tokens

Para limitação baseada em tokens, manter janela deslizante de 60 segundos de consumo permite decidir de forma simples se é seguro enviar outra requisição:

import time
from collections import deque

class TokenAwareRateLimiter:
    def __init__(self, tpm_limit):
        self.tpm_limit = tpm_limit
        self.token_usage = deque()
    
    def can_make_request(self, estimated_tokens):
        now = time.time()
        while self.token_usage and self.token_usage[0][0] < now - 60:
            self.token_usage.popleft()
        current_usage = sum(tokens for _, tokens in self.token_usage)
        return current_usage + estimated_tokens <= self.tpm_limit
    
    def record_usage(self, tokens_used):
        self.token_usage.append((time.time(), tokens_used))

Monitoramento e Observabilidade

Não é possível gerenciar aquilo que não se consegue visualizar. O Amazon CloudWatch fornece métricas essenciais: Invocations (invocações bem-sucedidas), InvocationClientErrors (erros 4xx incluindo throttling), InvocationServerErrors (erros 5xx incluindo indisponibilidade), InvocationThrottles (erros 429 específicos), InvocationLatency (tempos de resposta) e InputTokenCount/OutputTokenCount (consumo de tokens).

Dashboards efetivos separam 429 e 503 em widgets diferentes, desagregam por ModelId e Região, e mostram comparações lado a lado do tráfego atual versus semanas anteriores para detectar tendências emergentes.

Alarmes críticos devem disparar para: múltiplos eventos de throttling em janela de 5 minutos, períodos consecutivos com throttles indicando pressão sustentada, quota utilizada acima de 80%, taxa de sucesso abaixo da SLA (por exemplo, 95% em 10 minutos), e picos súbitos de 503 correlacionados com regiões ou modelos específicos.

Use Amazon Simple Notification Service (Amazon SNS) para rotear alertas aos canais de comunicação da equipe (Slack, PagerDuty, email). Configure níveis de severidade diferentes e inclua descrições detalhadas com links para runbooks de troubleshooting.

Reunindo Tudo: Construindo Aplicações Resilientes

O sucesso ao lidar com erros do Bedrock requer compreensão de causas raiz — distinguir entre limites de quota (429) e problemas de capacidade (503). Implementar retries apropriados com parâmetros diferentes para cada tipo de erro. Desenhar para escala utilizando connection pooling, circuit breakers e failover entre regiões. Monitorar proativamente com CloudWatch e alertas bem configurados. Planejar para crescimento solicitando aumentos de quota e implementando estratégias de fallback.

Como próximo passo, identifique seus workloads Bedrock mais críticos, implemente os padrões de retry e rate limiting aqui descritos, e construa dashboards e alarmes que exponham picos reais em vez de apenas médias. Ao longo do tempo, use dados de tráfego real para refinar quotas, modelos de fallback e deployments regionais, garantindo que seus sistemas de IA permaneçam poderosos e confiáveis conforme escalam.

Para equipes buscando acelerar resolução de incidentes, a AWS oferece o AWS DevOps Agent — um agente com inteligência artificial que investiga erros do Bedrock correlacionando métricas CloudWatch, logs e alarmes assim como um engenheiro DevOps experiente faria, identificando automaticamente causas raiz e sugerindo passos de remediação.

Fonte

Mastering Amazon Bedrock throttling and service availability: A comprehensive guide (https://aws.amazon.com/blogs/machine-learning/mastering-amazon-bedrock-throttling-and-service-availability-a-comprehensive-guide/)

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

More posts