一�����、前言
年年有大促����,大家對于大促穩(wěn)定性保障這個詞都不陌生,業(yè)務(wù)場景盡管各不相同�,“套路”往往殊路同歸,全鏈路壓測�、容量評估、限流�、緊急預(yù)案等,來來去去總少不了那么幾板斧����。
創(chuàng)新互聯(lián)建站是專業(yè)的崇仁網(wǎng)站建設(shè)公司,崇仁接單;提供成都網(wǎng)站建設(shè)�、網(wǎng)站建設(shè),網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進行崇仁網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!
跳出這些“套路”��,回到問題的本質(zhì)����,我們?yōu)槭裁匆凑者@些策略來做?
除了口口相傳的歷史經(jīng)驗�����,我們還能做些什么?又有什么理論依據(jù)?
二�、怎樣的系統(tǒng)算是穩(wěn)定?
首先回答另一個問題,怎樣的系統(tǒng)算是穩(wěn)定的?
Google SRE中(SRE三部曲[1])有一個層級模型來描述系統(tǒng)可靠性基礎(chǔ)和高層次需求(Dickerson's Hierarchy of Service Reliability)�����,如下圖:
該模型由Google SRE工程師Mikey Dickerson在2013年提出���,將系統(tǒng)穩(wěn)定性需求按照基礎(chǔ)程度進行了不同層次的體系化區(qū)分��,形成穩(wěn)定性標準金字塔模型����。
金字塔的底座是監(jiān)控(Monitoring)���,這是一個系統(tǒng)對于穩(wěn)定性最基礎(chǔ)的要求����,缺少監(jiān)控的系統(tǒng),如同蒙上眼睛狂奔的野馬�����,無從談及可控性���,更遑論穩(wěn)定性。更上層是應(yīng)急響應(yīng)(Incident Response)�,從一個問題被監(jiān)控發(fā)現(xiàn)到最終解決,這期間的耗時直接取決于應(yīng)急響應(yīng)機制的成熟度�����。合理的應(yīng)急策略能保證當(dāng)故障發(fā)生時�,所有問題能得到有序且妥善的處理,而不是慌亂成一鍋粥����。事后總結(jié)以及根因分析(Postmortem&Root Caue Analysis),即我們平時談到的“復(fù)盤”����,雖然很多人都不太喜歡這項活動�,但是不得不承認這是避免我們下次犯同樣錯誤的最有效手段��,只有當(dāng)摸清故障的根因以及對應(yīng)的缺陷�����,我們才能對癥下藥�,合理進行規(guī)避。
假設(shè)一個系統(tǒng)從初次發(fā)布后就不再進行更新迭代��,做好上述三個方面的工作就能基本滿足系統(tǒng)對于穩(wěn)定性的全部需求����。可惜目前基本不會存在這樣的系統(tǒng)���,大大小小的應(yīng)用都離不開不斷的變更與發(fā)布�����,因此要保證系統(tǒng)在這些迭代中持續(xù)穩(wěn)定�,測試和發(fā)布管控(Testing&Release procedures)是必不可少的����。有效的測試與發(fā)布策略能保障系統(tǒng)所有新增變量都處于可控穩(wěn)定區(qū)間內(nèi)�����,從而達到整體服務(wù)終態(tài)穩(wěn)定����。除了代碼邏輯更新��,迭代同樣可能帶來業(yè)務(wù)規(guī)模及流量的變化���,容量規(guī)劃(Capacity Planning)則是針對于這方面變化進行的保障策略。現(xiàn)有系統(tǒng)體量是否足夠支撐新的流量需求���,整體鏈路上是否存在不對等的薄弱節(jié)點���,都是容量規(guī)劃需要考慮的問題。
位于金字塔模型最頂端的是產(chǎn)品設(shè)計(Product)與軟件研發(fā)(Development)���,即通過優(yōu)秀的產(chǎn)品設(shè)計與軟件設(shè)計使系統(tǒng)具備更高的可靠性�,構(gòu)建高可用產(chǎn)品架構(gòu)體系���,從而提升用戶體驗���。
三�����、大促穩(wěn)定性保障方法
從金字塔模型我們可以看到構(gòu)建維護一個高可用服務(wù)所需要做到的幾方面工作�����,那么問題回到大促穩(wěn)定性���,如何體系化地保障大促期間系統(tǒng)穩(wěn)定性?
大促保障實際上針對于特定業(yè)務(wù)場景的集中穩(wěn)定性建設(shè)工作,相較于日常保障工作��,具有高并發(fā)流量���、短保障周期的特點�����,對系統(tǒng)性能與保障時間有明確要求(一般為2個月左右)���。
考慮到上述特性,我們?nèi)绾卧诙虝r間內(nèi)針對大促大流量業(yè)務(wù)場景對系統(tǒng)穩(wěn)定性需求進行優(yōu)化鞏固?
既然時間有限,盲目撒網(wǎng)必然不是最佳策略��,需要有針對性地從關(guān)鍵點����、薄弱點下手。因此第一步���,需要獲得全局系統(tǒng)鏈路現(xiàn)狀�,包括關(guān)鍵外部依賴�、重點業(yè)務(wù)影響等,找到整體保障的核心關(guān)注點����。接下來進一步分析大促業(yè)務(wù)數(shù)據(jù)��,得到除系統(tǒng)本身以外的變量干擾因素�。以這兩者為基礎(chǔ),集中圍繞金字塔模型中系統(tǒng)監(jiān)控�����、規(guī)劃容量��、應(yīng)急響應(yīng)、測試和復(fù)盤等幾個方面需求對系統(tǒng)進行針對性集中保障建設(shè)���,得到最終保障結(jié)果����。
至此���,基本獲得了完整的大促穩(wěn)定性保障策略方向���,按照執(zhí)行順序依次是:
- 系統(tǒng)鏈路&業(yè)務(wù)策略梳理(System & Biz Profiling)
- 監(jiān)控(Monitoring)
- 容量規(guī)劃(Capacity Planning)
- 應(yīng)急響應(yīng)(Incident Response)
- 測試
- 事后總結(jié)(Testing & Postmortem)
1、System & Biz Profiling - 系統(tǒng)鏈路梳理
系統(tǒng)鏈路梳理是所有保障工作的基礎(chǔ)��,如同對整體應(yīng)用系統(tǒng)進行一次全面體檢��,從流量入口開始����,按照鏈路軌跡,逐級分層節(jié)點�����,得到系統(tǒng)全局畫像與核心保障點����。
入口梳理盤點
一個系統(tǒng)往往存在十幾個甚至更多流量入口�,包含HTTP�、RPC、消息等都多種來源��。如果無法覆蓋所有所有鏈路�,可以從以下三類入口開始進行梳理:
核心重保流量入口
- 用戶承諾服務(wù)SLI較高,對數(shù)據(jù)準確性���、服務(wù)響應(yīng)時間�、可靠度具有明確要求���。
- 面向企業(yè)級用戶
資損事件對應(yīng)入口
- 關(guān)聯(lián)到公司資金收入或者客戶資金收入
- 收費服務(wù)
大流量入口
- 系統(tǒng)TPS&QPS TOP5~10
- 該類入口雖然不涉及較高SLI與資損要求���,但是流量較高,對整體系統(tǒng)負載有較大影響���。
節(jié)點分層判斷
流量入口就如同線團中的線頭,挑出線頭后就可按照流量軌跡對鏈路上的節(jié)點(HSF\DB\Tair\HBase等一切外部依賴)按照依賴程度�����、可用性、可靠性進行初級分層區(qū)分�����。
(1)強弱依賴節(jié)點判斷
- 若節(jié)點不可用���,鏈路業(yè)務(wù)邏輯被中斷 or 高級別有損(存在一定耐受閾值)�,則為業(yè)務(wù)強依賴;反之為弱依賴�����。
- 若節(jié)點不可用���,鏈路執(zhí)行邏輯被中斷(return error)�,則為系統(tǒng)強依賴;反之為弱依賴�。
- 若節(jié)點不可用,系統(tǒng)性能受影響�,則為系統(tǒng)強依賴;反之為弱依賴。
- 按照快速失敗設(shè)計邏輯����,該類節(jié)點不應(yīng)存在,但是在不變更應(yīng)用代碼前提下�,如果出現(xiàn)該類節(jié)點�,應(yīng)作為強依賴看待���。
- 若節(jié)點無感可降級 or 存在業(yè)務(wù)輕微損傷替換方案���,則為弱依賴。
(2)低可用依賴節(jié)點判斷
- 節(jié)點服務(wù)日常超時嚴重
- 節(jié)點對應(yīng)系統(tǒng)資源不足
(3)高風(fēng)險節(jié)點判斷
- 上次大促后�����,節(jié)點存在大版本系統(tǒng)改造
- 新上線未經(jīng)歷過大促的節(jié)點
- 節(jié)點對應(yīng)系統(tǒng)是否曾經(jīng)出現(xiàn)高級別故障
- 節(jié)點故障后存在資損風(fēng)險
應(yīng)產(chǎn)出數(shù)據(jù)
完成該項梳理工作后��,我們應(yīng)該產(chǎn)出以下數(shù)據(jù):對應(yīng)業(yè)務(wù)域所有核心鏈路分析���,技術(shù)&業(yè)務(wù)強依賴�、核心上游�����、下游系統(tǒng)��、資損風(fēng)險應(yīng)明確標注�。
下圖為單條鏈路分析示例:
2��、System & Biz Profiling - 業(yè)務(wù)策略同步
不同于高可用系統(tǒng)建設(shè)體系,大促穩(wěn)定性保障體系與面向特定業(yè)務(wù)活動的針對性保障建設(shè)�����,因此�����,業(yè)務(wù)策略與數(shù)據(jù)是我們進行保障前不可或缺的數(shù)據(jù)����。
一般大促業(yè)務(wù)數(shù)據(jù)可分為兩類,全局業(yè)務(wù)形態(tài)評估以及應(yīng)急策略&玩法�����。
全局評估
該類數(shù)據(jù)從可以幫助我們進行精準流量評估��、峰值預(yù)測�、大促人力排班等等,一般包含下面幾類:
- 大促業(yè)務(wù)時長(XX日-XX日)
- 業(yè)務(wù)量預(yù)估體量(日常X倍)
- 預(yù)估峰值日期
- 業(yè)務(wù)場景預(yù)估流量分配
應(yīng)急策略
該類數(shù)據(jù)指相較于往年大促活動�,本次大促業(yè)務(wù)變量,可用于應(yīng)急響應(yīng)預(yù)案與高風(fēng)險節(jié)點評估等����,一般包含下面兩類:
- 特殊業(yè)務(wù)玩法
- 應(yīng)急情況打法策略
3�、Monitoring - 監(jiān)控&告警梳理
目前業(yè)界常用的監(jiān)控手段一般有兩種模式�,黑盒監(jiān)控(Black-box monitoring)與白盒監(jiān)控(White-box monitoring)。黑盒監(jiān)控面向?qū)ο?�,一般監(jiān)控正在發(fā)生(而非即將發(fā)生)的異常��,即系統(tǒng)現(xiàn)有故障��。而白盒監(jiān)控主要依賴系統(tǒng)內(nèi)部指標監(jiān)控�����,面向?qū)ο蟮耐瑫r也面向原因���,可對系統(tǒng)即將面臨的異常進行提前預(yù)警�,也可在異常發(fā)生時同步監(jiān)控下層內(nèi)部指標�����,從而定位根本原因���。因此大促穩(wěn)定性保障中,我們一般選擇的是白盒監(jiān)控。
站在監(jiān)控的角度看��,我們的系統(tǒng)從上到下一般可以分為三層:業(yè)務(wù)(Biz)、應(yīng)用(Application)���、系統(tǒng)(System)�����。系統(tǒng)層為最下層基礎(chǔ),表示操作系統(tǒng)相關(guān)狀態(tài);應(yīng)用層為JVM層���,涵蓋主應(yīng)用進程與中間件運行狀態(tài);業(yè)務(wù)層為最上層,為業(yè)務(wù)視角下服務(wù)對外運行狀態(tài)����。
因此進行大促穩(wěn)定性監(jiān)控梳理時,可以先脫離現(xiàn)有監(jiān)控��,先從核心����、資損鏈路開始,按照業(yè)務(wù)��、應(yīng)用(中間件�����、JVM�����、DB)、系統(tǒng)三個層次梳理需要哪些監(jiān)控�����,再從根據(jù)這些索引找到對應(yīng)的監(jiān)控告警�����,如果不存在�����,則相應(yīng)補上;如果存在則檢查閾值���、時間、告警人是否合理����。
監(jiān)控
監(jiān)控系統(tǒng)一般有四項黃金指標:延時(Latency), 錯誤(Error),流量(Traffic), 飽和度(Situation)�,各層的關(guān)鍵性監(jiān)控同樣也可以按照這四項指標來進行歸類�,具體如下:
表 1
告警
是不是每項監(jiān)控都需要告警?答案當(dāng)然是否定的。建議優(yōu)先設(shè)置Biz層告警�,因為Biz層我們對外服務(wù)最直觀業(yè)務(wù)表現(xiàn)�,最貼切用戶感受。Application&System層指標主要用于監(jiān)控����,部分關(guān)鍵&高風(fēng)險指標可設(shè)置告警�,用于問題排查定位以及故障提前發(fā)現(xiàn)。
對于一項告警����,我們一般需要關(guān)注級別����、閾值�����、通知人等幾個點。
1)級別
即當(dāng)前告警被觸發(fā)時�����,問題的嚴重程度��,一般來說有幾個衡量點:
- 是否關(guān)聯(lián)GOC
- 是否產(chǎn)生嚴重業(yè)務(wù)影響
- 是否產(chǎn)生資損
2)閾值
即一項告警的觸發(fā)條件&時間��,需根據(jù)具體場景合理制定����。一般遵循以下原則:
- 不可過于遲鈍���。一個合理的監(jiān)控體系中,任何異常發(fā)生后都應(yīng)觸發(fā)相關(guān)告警�。
- 不可過于敏感。過于敏感的閾值會造成頻繁告警�����,從而導(dǎo)致響應(yīng)人員疲勞應(yīng)對�,無法篩選真實異常����。若一個告警頻繁出現(xiàn),一般是兩個原因:系統(tǒng)設(shè)計不合理 or 閾值設(shè)置不合理�����。
- 若單一指標無法反饋覆蓋整體業(yè)務(wù)場景,可結(jié)合多項指標關(guān)聯(lián)構(gòu)建����。
- 需符合業(yè)務(wù)波動曲線,不同時段可設(shè)置不同條件&通知策略�����。
3)通知人&方式
若為業(yè)務(wù)指標異常(Biz層告警)����,通知人應(yīng)為問題處理人員(開發(fā)、運維同學(xué))與業(yè)務(wù)關(guān)注人員(TL��、業(yè)務(wù)同學(xué))的集合���,通知方式較為實時�����,比如電話通知��。
若為應(yīng)用 & 系統(tǒng)層告警�����,主要用于定位異常原因���,通知人設(shè)置問題排查處理人員即可,通知方式可考慮釘釘�、短信等低干擾方式����。
除了關(guān)聯(lián)層次�����,對于不同級別的告警,通知人范圍也可適當(dāng)擴大�����,尤其是關(guān)聯(lián)GOC故障的告警指標���,應(yīng)適當(dāng)放寬范圍�,通知方式也應(yīng)更為實時直接����。
應(yīng)產(chǎn)出數(shù)據(jù)
完成該項梳理工作后����,我們應(yīng)該產(chǎn)出以下數(shù)據(jù):
- 系統(tǒng)監(jiān)控模型,格式同表1
- Biz���、Application、System 分別存在哪些待監(jiān)控點
- 監(jiān)控點是否已全部存在指標�,仍有哪些待補充
- 系統(tǒng)告警模型列表,需包含以下數(shù)據(jù)
- 關(guān)聯(lián)監(jiān)控指標(鏈接)
- 告警關(guān)鍵級別
- 是否推送GOC
- 是否產(chǎn)生資損
- 是否關(guān)聯(lián)故障
- 是否關(guān)聯(lián)預(yù)案
- 業(yè)務(wù)指標大盤����,包含Biz層重點監(jiān)控指標數(shù)據(jù)。
- 系統(tǒng)&應(yīng)用指標大盤�����,包含核心系統(tǒng)關(guān)鍵系統(tǒng)指標����,可用于白盒監(jiān)控定位問題��。
4���、Capacity Planning - 容量規(guī)劃
容量規(guī)劃的本質(zhì)是追求計算風(fēng)險最小化和計算成本最小化之間的平衡,只追求任意其一都不是合理的���。為了達到這兩者的最佳平衡點,需盡量精準計算系統(tǒng)峰值負載流量����,再將流量根據(jù)單點資源負載上限換算成相應(yīng)容量,得到最終容量規(guī)劃模型�����。
流量模型評估
1)入口流量
對于一次大促��,系統(tǒng)峰值入口流量一般由常規(guī)業(yè)務(wù)流量與非常規(guī)增量(比如容災(zāi)預(yù)案&業(yè)務(wù)營銷策略變化帶來的流量模型配比變化)疊加擬合而成��。
(a)常規(guī)業(yè)務(wù)流量一般有兩類計算方式:
歷史流量算法:該類算法假設(shè)當(dāng)年大促增幅完全符合歷史流量模型����,根據(jù)當(dāng)前&歷年日常流量�,計算整體業(yè)務(wù)體量同比增量模型;然后根據(jù)歷年大促-日常對比�����,計算預(yù)估流量環(huán)比增量模型;最后二者擬合得到最終評估數(shù)據(jù)。
由于計算時無需依賴任何業(yè)務(wù)信息輸入���,該類算法可用于保障工作初期業(yè)務(wù)尚未給出業(yè)務(wù)總量評估時使用�,得到初估業(yè)務(wù)流量�����。
業(yè)務(wù)量-流量轉(zhuǎn)化算法(GMV\DAU\訂單量):該類算法一般以業(yè)務(wù)預(yù)估總量(GMV\DAU\訂單量)為輸入����,根據(jù)歷史大促&日常業(yè)務(wù)量-流量轉(zhuǎn)化模型(比如經(jīng)典漏洞模型)換算得到對應(yīng)子域業(yè)務(wù)體量評估。
該種方式強依賴業(yè)務(wù)總量預(yù)估�,可在保障工作中后期使用��,在初估業(yè)務(wù)流量基礎(chǔ)上納入業(yè)務(wù)評估因素考慮�。
(b)非常規(guī)增量一般指前臺業(yè)務(wù)營銷策略變更或系統(tǒng)應(yīng)急預(yù)案執(zhí)行后流量模型變化造成的增量流量����。例如,NA61機房故障時����,流量100%切換到NA62后��,帶來的增量變化���。
考慮到成本最小化�����,非常規(guī)增量P計算時一般無需與常規(guī)業(yè)務(wù)流量W一起�����,全量納入疊加入口流量K,一般會將非常規(guī)策略發(fā)生概率λ作為權(quán)重�����,即:
2)節(jié)點流量
節(jié)點流量由入口流量根據(jù)流量分支模型����,按比例轉(zhuǎn)化而來���。分支流量模型以系統(tǒng)鏈路為計算基礎(chǔ)����,遵循以下原則:
- 同一入口,不同鏈路占比流量獨立計算。
- 針對同一鏈路上同一節(jié)點��,若存在多次調(diào)用�,需計算按倍數(shù)同比放大(比如DB\Tair等)����。
- DB寫流量重點關(guān)注,可能出現(xiàn)熱點造成DB HANG死���。
容量轉(zhuǎn)化
1)Little Law衍生法則
不同類型資源節(jié)點(應(yīng)用容器、Tair��、DB���、HBASE等)流量-容量轉(zhuǎn)化比各不相同,但都服從Little Law衍生法則���,即:
2)N + X 冗余原則
- 在滿足目標流量所需要的最小容量基礎(chǔ)上����,冗余保留X單位冗余能力
- X與目標成本與資源節(jié)點故障概率成正相關(guān)���,不可用概率越高��,X越高
- 對于一般應(yīng)用容器集群,可考慮X = 0.2N
上述法則只能用于容量初估(大促壓測前&新依賴)���,最終精準系統(tǒng)容量還是需要結(jié)合系統(tǒng)周期性壓力測試得出���。
應(yīng)產(chǎn)出數(shù)據(jù)
- 基于模型評估的入口流量模型 & 集群自身容量轉(zhuǎn)化結(jié)果(若為非入口應(yīng)用�����,則為限流點梳理)��。
- 基于鏈路梳理的分支流量模型 & 外部依賴容量轉(zhuǎn)化結(jié)果�。
5�、Incident Response - 緊急&前置預(yù)案梳理
要想在大促高并發(fā)流量場景下快速對線上緊急事故進行響應(yīng)處理,僅僅依賴值班同學(xué)臨場發(fā)揮是遠遠不夠的�����。爭分奪秒的情況下�����,無法給處理人員留有充足的策略思考空間�,而錯誤的處理決策��,往往會導(dǎo)致更為失控嚴重的業(yè)務(wù)&系統(tǒng)影響�。因此����,要想在大促現(xiàn)場快速而正確的響應(yīng)問題����,值班同學(xué)需要做的是選擇題(Which),而不是陳述題(What)���。而選項的構(gòu)成,便是我們的業(yè)務(wù)&系統(tǒng)預(yù)案����。
從執(zhí)行時機與解決問題屬性來劃分,預(yù)案可分為技術(shù)應(yīng)急預(yù)案����、技術(shù)前置預(yù)案、業(yè)務(wù)應(yīng)急預(yù)案�����、業(yè)務(wù)前置預(yù)案等四大類�。結(jié)合之前的鏈路梳理和業(yè)務(wù)評估結(jié)果,我們可以快速分析出鏈路中需要的預(yù)案����,遵循以下原則:
- 技術(shù)應(yīng)急預(yù)案:該類預(yù)案用于處理系統(tǒng)鏈路中�����,某層次節(jié)點不可用的情況����,例如技術(shù)/業(yè)務(wù)強依賴����、弱穩(wěn)定性、高風(fēng)險等節(jié)點不可用等異常場景�。
- 技術(shù)前置預(yù)案:該類預(yù)案用于平衡整體系統(tǒng)風(fēng)險與單節(jié)點服務(wù)可用性,通過熔斷等策略保障全局服務(wù)可靠���。例如弱穩(wěn)定性&弱依賴服務(wù)提前降級、與峰值流量時間沖突的離線任務(wù)提前暫定等��。
- 業(yè)務(wù)應(yīng)急預(yù)案:該類預(yù)案用于應(yīng)對業(yè)務(wù)變更等非系統(tǒng)性異常帶來的需應(yīng)急處理問題�,例如業(yè)務(wù)數(shù)據(jù)錯誤(數(shù)據(jù)正確性敏感節(jié)點)����、務(wù)策略調(diào)整(配合業(yè)務(wù)應(yīng)急策略)等
- 業(yè)務(wù)前置預(yù)案:該類預(yù)案用于配和業(yè)務(wù)全局策略進行的前置服務(wù)調(diào)整(非系統(tǒng)性需求)
應(yīng)產(chǎn)出數(shù)據(jù)
完成該項梳理工作后�����,我們應(yīng)該產(chǎn)出以下數(shù)據(jù):
- 執(zhí)行&關(guān)閉時間(前置預(yù)案)
- 觸發(fā)閾值(緊急預(yù)案�����,須關(guān)聯(lián)相關(guān)告警)
- 關(guān)聯(lián)影響(系統(tǒng)&業(yè)務(wù))
- 決策&執(zhí)行&驗證人員
- 開啟驗證方式
- 關(guān)閉閾值(緊急預(yù)案)
- 關(guān)閉驗證方式
階段性產(chǎn)出-全鏈路作戰(zhàn)地圖
進行完上述幾項保障工作���,我們基本可得到全局鏈路作戰(zhàn)地圖,包含鏈路分支流量模型��、強弱依賴節(jié)點����、資損評估、對應(yīng)預(yù)案&處理策略等信息���。大促期間可憑借該地圖快速從全局視角查看應(yīng)急事件相關(guān)影響,同時也可根據(jù)地圖反向評估預(yù)案���、容量等梳理是否完善合理�����。
6、Incident Response - 作戰(zhàn)手冊梳理
作戰(zhàn)手冊是整個大促保障的行動依據(jù)����,貫穿于整個大促生命周期,可從事前�����、事中��、事后三個階段展開考慮����。
整體梳理應(yīng)本著精準化、精細化的原則���,理想狀態(tài)下�,即便是對業(yè)務(wù)����、系統(tǒng)不熟悉的輪班同學(xué)����,憑借手冊也能快速響應(yīng)處理線上問題。
事前
1)前置檢查事項清單
大促前必須執(zhí)行事項checklist,通常包含以下事項:
- 集群機器重啟 or 手動FGC
- 影子表數(shù)據(jù)清理
- 檢查上下游機器權(quán)限
- 檢查限流值
- 檢查機器開關(guān)一致性
- 檢查數(shù)據(jù)庫配置
- 檢查中間件容量�、配置(DB\緩存\NoSQL等)
- 檢查監(jiān)控有效性(業(yè)務(wù)大盤、技術(shù)大盤���、核心告警)
- 每個事項都需包含具體執(zhí)行人�、檢查方案�����、檢查結(jié)果三列數(shù)據(jù)
2)前置預(yù)案
域內(nèi)所有業(yè)務(wù)&技術(shù)前置預(yù)案。
事中
1)緊急技術(shù)&業(yè)務(wù)預(yù)案
需要包含的內(nèi)容基本同前置預(yù)案���,差異點如下:
- 執(zhí)行條件&恢復(fù)條件:具體觸發(fā)閾值,對應(yīng)監(jiān)控告警項����。
- 通知決策人��。
2)應(yīng)急工具&腳本
常見故障排查方式�、核心告警止血方式(強弱依賴不可用等),業(yè)務(wù)相關(guān)日志撈取腳本等��。
3)告警&大盤
應(yīng)包含業(yè)務(wù)���、系統(tǒng)集群及中間件告警監(jiān)控梳理結(jié)果,核心業(yè)務(wù)以及系統(tǒng)大盤����,對應(yīng)日志數(shù)據(jù)源明細等數(shù)據(jù):
- 日志數(shù)據(jù)源明細:數(shù)據(jù)源名稱、文件位置�����、樣例���、切分格式��。
- 業(yè)務(wù)�����、系統(tǒng)集群及中間件告警監(jiān)控梳理結(jié)果:關(guān)聯(lián)監(jiān)控指標(鏈接)、告警關(guān)鍵級別���、是否推送GOC�、是否產(chǎn)生資損�、是否關(guān)聯(lián)故障�����、是否關(guān)聯(lián)預(yù)案�����。
- 核心業(yè)務(wù)&系統(tǒng)大盤:大盤地址��、包含指標明細(含義�、是否關(guān)聯(lián)告警���、對應(yīng)日志)�。
4)上下游機器分組
應(yīng)包含核心系統(tǒng)���、上下游系統(tǒng),在不同機房��、單元集群分組����、應(yīng)用名,可用于事前-機器權(quán)限檢查��、事中-應(yīng)急問題排查黑屏處理�����。
5)值班注意事項
包含每班輪班同學(xué)值班必做事項����、應(yīng)急變更流程、核心大盤鏈接等��。
6)核心播報指標
包含核心系統(tǒng)&服務(wù)指標(CPU\LOAD\RT)���、業(yè)務(wù)關(guān)注指標等,每項指標應(yīng)明確具體監(jiān)控地址�、采集方式����。
7)域內(nèi)&關(guān)聯(lián)域人員通訊錄、值班
包含域內(nèi)技術(shù)���、TL、業(yè)務(wù)方對應(yīng)排班情況��、聯(lián)系方式(電話)����,相關(guān)上下游��、基礎(chǔ)組件(DB�����、中間件等)對應(yīng)值班情況��。
8)值班問題記錄
作戰(zhàn)記錄���,記錄工單�、業(yè)務(wù)問題、預(yù)案(前置\緊急)(至少包含:時間��、問題描述(截圖)�、影響分析���、決策&解決過程等)��。值班同學(xué)在值班結(jié)束前,進行記錄���。
事后
1)系統(tǒng)恢復(fù)設(shè)置事項清單(限流���、縮容)
一般與事前檢查事項清單對應(yīng),包含限流閾值調(diào)整����、集群縮容等大促后恢復(fù)操作。
2)大促問題復(fù)盤記錄
應(yīng)包含大促遇到的核心事件總結(jié)梳理���。
7、Incident Response - 沙盤推演
實戰(zhàn)沙盤演練是應(yīng)急響應(yīng)方面的最后一項保障工作����,以歷史真實故障CASE作為應(yīng)急場景輸入�����,模擬大促期間緊急狀況����,旨在考驗值班同學(xué)們對應(yīng)急問題處理的響應(yīng)情況。
一般來說���,一個線上問題從發(fā)現(xiàn)到解決,中間需要經(jīng)歷定位&排查&診斷&修復(fù)等過程����,總體遵循以下幾點原則:
- 盡最大可能讓系統(tǒng)先恢復(fù)服務(wù)����,同時為根源調(diào)查保護現(xiàn)場(機器、日志�、水位記錄)����。
- 避免盲目搜索,依據(jù)白盒監(jiān)控針對性診斷定位��。
- 有序分工�,各司其職�����,避免一窩蜂失控亂象����。
- 依據(jù)現(xiàn)場情況實時評估影響范圍,實在無法通過技術(shù)手段挽救的情況(例如強依賴不可用)���,轉(zhuǎn)化為業(yè)務(wù)問題思考(影響范圍�����、程度、是否有資損�����、如何協(xié)同業(yè)務(wù)方)����。
沙盤演練旨在檢驗值班同學(xué)故障處理能力���,著重關(guān)注止血策略����、分工安排���、問題定位等三個方面:
國際化中臺雙11買家域演練
根據(jù)故障類型���,常見止血策略有以下解決思路:
- 入口限流:調(diào)低對應(yīng)Provider服務(wù)來源限流值
應(yīng)對突發(fā)流量過高導(dǎo)致自身系統(tǒng)��、下游強依賴負載被打滿。
下游弱依賴不可用�。
下游業(yè)務(wù)強依賴經(jīng)業(yè)務(wù)同意后降級(業(yè)務(wù)部分有損)����。
單機水位飆高時,先下線不可用單機服務(wù)(無需下線機器�,保留現(xiàn)場)�。
應(yīng)對集群單點不可用、性能差���。
應(yīng)對單庫或某單元依賴因為自身原因(宿主機或網(wǎng)絡(luò)),造成局部流量成功率下跌下跌��。
Google SRE中���,對于緊急事故管理有以下幾點要素:
- 嵌套式職責(zé)分離��,即分確的職能分工安排
- 控制中心\作戰(zhàn)室
- 實時事故狀態(tài)文檔
- 明確公開的職責(zé)交接
其中嵌套式職責(zé)分離���,即分確的職能分工安排,達到各司其職���,有序處理的效果,一般可分為下列幾個角色:
- 事故總控:負責(zé)協(xié)調(diào)分工以及未分配事務(wù)兜底工作�,掌握全局概要信息,一般為PM/TL擔(dān)任�。
- 事務(wù)處理團隊:事故真正處理人員�����,可根據(jù)具體業(yè)務(wù)場景&系統(tǒng)特性分為多個小團隊���。團隊內(nèi)部存在域內(nèi)負責(zé)人,與事故總控人員進行溝通��。
- 發(fā)言人:事故對外聯(lián)絡(luò)人員�,負責(zé)對事故處理內(nèi)部成員以及外部關(guān)注人員信息做周期性信息同步,同時需要實時維護更新事故文檔��。
- 規(guī)劃負責(zé)人:負責(zé)外部持續(xù)性支持工作�,比如當(dāng)大型故障出現(xiàn),多輪排班輪轉(zhuǎn)時����,負責(zé)組織職責(zé)交接記錄。
相關(guān)閱讀
[1]https://landing.google.com/sre/books/
https://sre.google/sre-book/table-of-contents/
https://sre.google/workbook/table-of-contents/
網(wǎng)頁題目:穩(wěn)定性保障6步走:高可用系統(tǒng)大促作戰(zhàn)指南
文章URL:
http://uogjgqi.cn/article/dhgdedg.html
