故障的隔离与逃逸：打造处理重大故障的容灾体系

在面临大规模系统故障的时候，能否有能力把故障隔离在一定范围内，限制故障的影响，并且有能力把业务流量从故障区域内迁移走，将会对业务的连续性产生决定性的影响。

1、故障隔离能力

故障隔离与可用性和可扩展性的关系

进行故障隔离的三大原则

如何实施故障隔离: 通过多重分解来隔离故障

2、故障逃逸能力

透明多级分流

• 位于客户端和网络边缘的设备，能够最快速的响应用户请求，减轻给后方的 I/O 与 CPU 压力（
  如本地缓存、内容分发网络、反向代理等
  ）。
• 能够线性拓展处理能力的部件，便于伸缩并可以使用较小的代价水平增加机器来获得与处理业务量相匹配的并发性能，应尽量作为业务逻辑的主要载体（
  如集群中能够自动扩缩的服务节点
  ）。
• 有全局性影响的技术部分，这些部件的稳定性影响较大，需要时刻保持着容错备份，维护高可用性状态（
  如服务注册中心、配置中心
  ）。
• 单点部件，通常只能依靠垂直扩容，如升级机器本身的网络、存储和运算性能来提升处理能力，如位于系统入口的路由、网关或者负载均衡器（
  原则上这些也都可以做集群，但一次网络请求中通常避免不了至少有一个是单点的部件
  ）、以及位于请求调用链末端的传统关系数据库等。

当对系统进行流量规划时，在充分理解这些部件的价值差异的同时，可以遵循下面一些通用的设计原则：

• 减少单点，如果某些单点是无可避免的，则应尽最大限度减少到达单点部件的流量。在系统中往往会有多个部件能够处理、响应用户请求，比如要获取静态图片资源，浏览器缓存、内容分发网络、反向代理、Web 服务器、文件服务器、数据库都可能提供这张图片。引导请求分流至最合适的组件中，避免绝大多数流量汇集到单点部件（如数据库），同时依然能够在绝大多数时候保证处理结果的准确性，使单点系统在出现故障时自动而迅速地实施补救措施，这便是系统架构中多级分流的意义。
• 奥卡姆剃刀原则，在对多级分流的手段有全面的理解与充分的准备的同时，还需要清晰地意识到这些设施并不是越多越好。不是每一个系统都要对高并发、高可用有着极高的要求，需要根据需求，以及用户量、峰值流量和团队本身的技术与运维能力来考虑如何部署这些设施才是合理的做法，在能满足需求的前提下，最简单的系统就是最好的系统。

通过客户端缓存、域名服务器、传输链路、内容分发网络、负载均衡器、服务端缓存这些与功能无关的技术部件节所构建的多级透明分流的体系，可以获得高可用、高并发的架构收益和价值。

业务流量类型

业务流量迁移

• 流量迁移框

在业务流量调度的过程中，会涉及到不同数据中心（业务单元）间流量比例的调整，路由规则的变更，部分服务的启停，业务配置数据的变更等不同的任务之间的协同工作，这就需要我们建立一个整体的业务流量调度框架来统一协调工作，这里面需要关注下面的一些点：

• 任务间的依赖：需要梳理清楚并使用 DAG 图等方式对任务间的依赖关系进行管理。
• 任务执行条件：理清任务执行的前后置条件，通常前置条件是用来检查服务的健康状态，后置条件是用来判断流量调度进度。
• 健康指标：要有能够表示任务执行状态的健康指标。

我们可以面向服务构建起不同的切流方案脚本，通过依赖关系将不同的流量调度任务进行聚合，协同完成业务服务流量调度，并可以对切流方案进行进行演练和评估，让我们能够提前排除业务流量调度过程中会碰到各种风险。

• 依赖管理

  
  

• 发现服务依赖关系
  

当我们发布一个新服务时，可以利用场景驱动的方式来分析在不同类型的故障和灾难场景下与上下游服务的依赖关系。此外，我们还可以利用跟踪系统分析目标服务如何通过 RPC 和网络通信与其他服务交互，结合服务发现系统将交互映射到特定的服务。再进一步分析服务的跟踪日志，以基于服务行为的因果模型来推理基于状态的依赖关系。确定了两个服务的流量之间的依赖关系，也就可以决定切流的顺序。

• 持续验证

针对相互独立的服务我们可以采用并行的方式进行流量迁移。对于一个新服务，我们可以通过一些高可用工具来检测与周边服务的强弱依赖关系，并使用小规模的切流来谨慎地验证指定的依赖关系，同时密切监视所有相关服务的健康状况。通过逐渐扩大切流测试的半径，直到所有级别的切流都可以常态化进行。以一种以可控、可扩展的方式来验证依赖关系。

• 核心路径分析

在每次切流测试以及每次容灾演练之后需要进行关键路径分析，通过识别容灾切流依赖关系图中的瓶颈，帮助我们优化恢复时间。我们需要检查对缓慢、繁重任务的依赖性，并尝试将这些依赖性移出关键路径。如果依赖项延长了关键路径，那么需要评估依赖项是否是业务上的关键强依赖服务，并考虑其故障恢复成本。针对不影响系统正确性的弱依赖项，可以降级的方式来加快恢复的速度，我们通过分析关键路径上的依赖性来筛选弱依赖项。我们还可以通过故障演练，以受控的方式有意打破弱依赖关系，以评估相应的服务级别影响。

• 防止资源争用

在业务流量迁移过程中会涉及一些共享资源（例如，服务器计算能力和网络带宽），在进行流量迁移的过程中需要确保共享资源不会过载并减少资源争用的影响，需要遵循以下三个原则：

• 服务容量检测

我们通过定期测试验证共享基础设施有足够的容量来承载由于流量迁移造成的利用率峰值。通过对网络的全面监控和控制，观察到引流如何影响峰值网络利用率。当测试过程中出现瓶颈时，就需要调整路由策略、流量比率和优先级安排方案或带宽预留配置，以便我们能够安全地调度服务流量。

• 重要流量优先

为了处理共享资源无法支持需求的大范围故障事件，我们需要制定了一个流量迁移的优先级方案。要优先考虑尽快迁移面向用户服务的流量，以限制用户可感知的故障影响，然后排出有状态的服务流量。这确保了对最终用户的影响最小化，同时也最小化了状态迁移的开销。

• 优雅降级

最后，我们需要准备系统在资源过载的情况下优雅降级方案。通过使用使用预案开关来关闭某些弱依赖服务或者降低服务请求的复杂性（例如，通过逐步关闭算法复杂性以降低服务器计算能力）。

• 流量调整节奏与反馈控制

在进行流量迁移时要通过健康监测，实现闭环反馈，以安全地调整切流的速度。切流的速度由步长（流量迁移的比例）和下一步前的等待时间决定。当进行流量迁移时，需要根据底层系统的健康状况调整相关的参数进行切流速度的调整。

3、基础设施容灾能力

 全生命周期的稳定性保障：SRE 运维实践

• 系统的体系结构和跨服务依赖
• 指标的选择、度量和监控
• 紧急事件处理
• 容量规划
• 变更管理
• 性能（
  可用性、延迟和资源效率
  ）

通过系统设计早期 SRE 的引入，会使得服务开发能够更加关注“面向失败设计”，这样可以让该服务的可靠性得到提升。但随着对 SRE 专业知识需求的持续增长，就需要 SRE 的能力能沉淀出基于最佳生产实践的服务框架，将一些架构模式和代码模型进行标准化，封装在框架体系内，通过构建框架模块来实现这些关注重点的标准解决方案。而这也是构建统一 SRE 运维平台的基础。在这种模式下， 通过 SRE 和 SRE 平台来承担大部分础设施服务的软件开发和维护的职责，特别是限流降级、系统保护、自动化、流量管理、日志和监控等服务，而研发团队就可以更专注于业务逻辑的开发。