作者 | 承霄
來源 | 阿裡技術公衆号
一 概述
自己以及帶領的團隊曾經負責較多不同類型的網際網路服務系統,如幾十萬應用數&億級流量的雲計算平台、年營收将近千億的廣告系統、億級使用者千萬級日活的釘釘工作台系統、億級交易額的釘釘市場&交易系統、算法線上離線工程系統等相關系統或子系統,整體而言無重大故障,達到定級故障數也很少,線上穩定性保障在一個不錯的水位上。階段性總結下我從團隊技術負責人視角做好穩定性建設的實踐性思考和簡要思路,為感興趣的技術同學提供一個實踐指南。
我的團隊穩定性建設思路包括了3大技術要素:良好的系統架構和實作、完備的團隊研發運維流程機制、技術同學良好意識和能力,以及1個業務要素:良好的研發項目管理。
二 良好的系統架構和實作
1 架構設計
根據不同系統業務特點、不同發展階段(系統規模、團隊規模)、不同系統名額側重性要求等,有很多不同的架構思路和折中考量,例如存儲選型、服務化治理、中間件選型、中台系統抽象等。本文簡要講述會影響系統穩定性的一些架構設計點以供參考,設計考量點具體内容可自行搜尋細看。
消除單點
從請求發起側到服務處理傳回的調用全鍊路的各個環節上避免存在單點(某個環節隻由單個伺服器完成功能),做到每個環節使用互相獨立的多台伺服器進行分布式處理,要針對不同穩定性要求級别和成本能力做到不同伺服器規模分布式,這樣就避免單個伺服器挂掉引發單點故障後進而導緻服務整體挂掉的風險。可能涉及的環節有端動态擷取資源服務(html& js &小程式包等)、域名解析、多服務商多區域多機房IP入口、靜态資源服務、接入路由層、服務邏輯層、任務排程執行層、依賴的微服務、資料庫及消息中間件。
消除單點的政策:
- 在服務邏輯層采用多營運商多IP入口、跨地&同地多機房部署、同機房多機器部署、分布式任務排程等政策。
- 在資料存儲層采用資料庫分庫分表、資料庫主從備叢集、KV存儲&消息等分布式系統叢集多副本等政策。
- 有分布式處理能力後,需要考慮單個伺服器故障後自動探活摘除、伺服器增删能不停服自動同步給依賴方等問題,這裡就需引入一些分布式中樞控制系統,如服務注冊發現系統、配置變更系統等,例如zookeeper是一個經典應用于該場景的一個分布式元件。
資料一緻性
在分布式處理以及微服務化後,相關聯的資料會存在于不同的系統之中,相關聯的資料庫表、資料存儲、緩存等資料會因為架構設計或子系統抖動故障失敗等原因,導緻彼此資料出現不一緻,這也是一類穩定性故障。最簡單的一緻性,就是關系型資料庫的同請求内同庫相關聯的多個資料表更新的一緻性, 這個可通過資料庫的事務以及不同僚務級别來保證。從架構層面,資料一緻性也會根據業務特點,做強一緻性、最終一緻性的架構選型,不同選型根據CAP理論,也會帶來可用性以及分區容忍性的一些折衷。
在做好SLA高的基礎系統選型、分布式事務中間件使用、幂等設計,針對性提升好微服務本身SLA後,可根據不同資料一緻性級别要求,考慮通過消息觸發多系統對賬、定時排程對賬、子流程失敗後主動投遞消息延遲重試、消息消費失敗後回旋重試、資料庫記錄過程中狀态後做定時排程掃描未成功記錄後重試、離線全量對賬。緩存更新機制不合理也容易引發緩存和資料庫之間資料不一緻,一般在資料更新時考慮并發更新時緩存删除優先或固定單線程串行更新政策。
複雜分布式業務系統或微服務化治理後,基于消息中間件的解耦是普遍方式,這時選擇一個確定自身不重不丢以及高SLA消息中間件非常重要,利用消息中間件自身的多次回旋重試基本能保障很高的最終一緻性,資料一緻性要求更高的,再配合不同級别對賬機制即可。
強弱依賴梳理和降級
當服務依賴各類微服務時,避免強依賴(依賴服務挂掉會到自己服務挂掉),盡可能在對應服務出現問題時做到自動降級處理(弱依賴)或者手工降級,降級後依賴服務功能局部去掉或做合适局部提示,局部體驗上有部分降級,但不會讓主鍊路和整體功能挂掉。對于穩定性要求很好的關鍵系統,在成本可接受的情況下,同時維護一套保障主鍊路可用的備用系統和架構,在核心依賴服務出現問題能做一定時間周期的切換過渡(例如mysql故障,階段性使用KV資料庫等),例如釘釘IM消息核心系統就實作對資料庫核心依賴實作一套一定周期的弱依賴備案,在核心依賴資料庫故障後也能保障一段時間消息收發可用。
強依賴的服務越少,系統整體基礎穩定性就越高。部分特殊資料依賴多于邏輯依賴的系統,做去依賴架構設計也是一個思路,将依賴服務資料統一整合到自有服務的資料存儲中,通過消息 或定時更新的方式更新,做到不依賴 或少依賴其他系統,進而提高穩定性,但這樣做也會有副作用:資料備援可能會引發不同程度一定時間視窗資料不一緻性。
熱點或極限值處理
業務規模以及資料規模大的部分系統,在系統中會出現資料熱點、資料極度傾斜、少量大客戶超過極限門檻值使用等極限場景,例如超級大客戶廣告投放物料、廣告點選展示資料、API調用頻次都是比普通客戶大很多,如果按照客戶次元分庫分表,基本在物料更新、查詢、報表檢視等一系列的場景都可能導緻單庫抖動,這除了影響大客戶自己外也會影響分布在該分庫分表上所有普通客戶。電商中極度暢銷商品以及秒殺、企業IM中大組織群&大組織涉及全員關注更新行為、微網誌等訂閱類明星大V的資訊釋出等都是少量極限場景可能會引發整體系統穩定性問題。是以,架構設計時,要分析自己系統中是否存在極限場景并設計對應方案做好應對。
極限場景中不同類型場景處理架構方案也不一樣,可能的方式:
- 大客戶從普通客戶分庫分表中拆出來隔離建庫表,隔離享用專有資源以及獨立庫表拆分路由邏輯以及隔離服務邏輯計算資源;
- 大客戶特定極限資料計算做預約計算以及預加載,在低峰期預約或提前優化完成;
- 秒殺系統極限值可以考慮核心邏輯簡化+消息解耦、同商品庫存拆分獨立交易、部分查詢或處理KV存儲替代關系型存儲、資料提前預熱加載、排隊、限流政策等政策;
- 大組織IM場景設計合适讀擴散或寫擴散的政策,同時針對業務特點(不同人延遲度不一樣)做到不同人員體驗平滑,或者為大組織或大V提供專屬計算存儲資源或專屬查詢更新邏輯。
- 在特定極限值系統架構以及資源無法滿足的情況,産品側以及技術側要明确采用最高門檻值調用限制。
資金交易類系統要仔細考慮資損的風險
交易系統對于資料準确性、一緻性、資金損失等都是很敏感的,這一塊在是否使用緩存、事務一緻性考量、資料時延、資料不丢不重、資料精準核對和恢複等需要額外架構設計考量。仔細評估交易以及營銷的全鍊路各個環節,評估其中出現資損的可能性以及做好應對設計,例如增加多層級對賬、券總額度控制、異常金額限制和報警等資損防控的考量等。不同層次不同次元不同時間延遲的對賬以及預案是一個重要及時感覺資損和止血的有效方式。全鍊路的過程資料要做好盡可能持久化和備援備份,友善後續核對以及基于過程資料進行資料修複,同時盡量針對特殊資料丢失場景提供快速自動化修複處理預案(如交易消息可選擇性回放和基于幂等原則的重新消費)。
離線資料流
基于資料的搜尋推薦、機器學習算法系統、資料産品等,核心功能依賴離線産出 或 增量産出資料,這類資料可能規模大、來源廣、生産鍊路長,在整體生産和傳輸鍊路中,很容易出現資料少量丢失、部分環節失敗、資料生産延遲等情況,最終消費線上系統也很難感覺少量資料錯誤進而導緻故障。
針對離線資料流,要增加不同傳輸環節資料完整性校驗、不同生産環節資料正确性校驗、資料延遲監控、資料生産失敗監控、端到端資料正确性規則校驗、資料錯誤或延遲兜底預案、資料復原重刷工具等機制。機器學習類系統還要考慮離線特征和線上特征資料一緻性,確定離線訓練的模型,線上預測應用效果是一緻的,是以模型上線時以及線上定期做離線和線上特征資料一緻性核對。
其他異常情況處理
整體系統架構,除了正向邏輯、性能、擴充性設計等外,要增加一個異常設計視角,窮盡思考各類異常情況以及設計應對政策。
2 容量評估設計
系統設計整體至少考慮應對5到10倍或近1到3年系統規模增長,要保障後續通過增加機器資源等快速方式能實作系統水準擴容。例如分庫分表的規模提前設計好提前量,避免臨時資料庫能力不足導緻需要臨時重構擴容(增加分庫分表以及修改路由以及遷移資料);服務邏輯層設計持有資料狀态導緻無法加機器做服務層擴容。網際網路産品發展變化較快,不一定會如期爆發,容量架構設計上也要注意不要過度提前設計,避免提前複雜化引發研發效率以及機器成本問題。
針對線上流量峰值,建議系統常态保持近期峰值3倍左右容量餘量,上線前和上線後要定期做壓測摸高,寫流量可用影子表等方式做壓測,壓測可單接口以及模拟線上流量分布壓測結合,根據壓測結果優化架構或擴容,持續保持容量富餘。
對于可能超過系統現有容量的突發峰值,限流政策是線上要配置的政策。入口側入口流量調用 、不同管道服務依賴調用、對依賴服務的調用都要評估可極限調研的上限值,通過中間件等合适方式限制超過門檻值調用,避免引發雪崩效應。特定業務系統,對于超過峰值流量,可以通過消息架構以及合适體驗設計做削峰填谷。針對惡意攻擊流量也要考慮在入口層部署防DDOS攻擊的流量清洗層。
部分系統峰值變化較大且需要持續盡可能承載保障,可考慮引入彈性伸縮政策,預約 或根據流量變化觸發系統自動擴縮容,以確定以盡量小成本來自動化滿足變化峰值。
3 運維方案設計
系統要考慮持續疊代釋出變更以及線上運維的訴求,做到可灰階、可監控、可復原。
可灰階保障及時在小流量情況,發現問題,避免引發大範圍故障。是以在做系統任何變更時,要考慮灰階方案,特别是大使用者流量系統。灰階方式可能有白名單使用者、按使用者Id固定劃分後不同流量比例、機器分批釋出、業務概念相關分組分比例(例如某個行業、某個商品、某類商品)等,灰階周期要和結合系統風險和流量做合适設計,重要系統灰階周期可能持續超過一周或更多。
監控項要系統性确認是否完備以及保持更新,可能監控項:錯誤日志前端js錯誤、使用者體驗到的性能和白屏率、接口成功率、依賴服務成功率、機器基礎負載相關監控(CPU使用率、cpu Load、記憶體、IO、網絡等)、服務基礎監控(端口、程序、狀态探活、JVM full gc、OOM等)、資料庫負載監控、資料庫慢請求、流量同比劇烈變化。監控項的報警政策也要根據業務系統特點以及監控項的特點,做不同報警政策設計,例如秒級&分鐘級報警、錯誤率報警、錯誤日志次數報警、連續出錯報警等。核心監控可摘要一個監控大盤,一個大盤快速判斷服務穩定性情況。
可復原:新增功能增加配置開關,當線上出現問題時,可通過關閉功能開關,快速下線最新更新 或部分有問題功能。針對不同出錯場景,有配置驅動一些預案,例如降級對某個服務的依賴、提供合适功能維護中公告、切換到備用服務等預案,在特定問題出現時,可以快速做線上止損和恢複。釋出功能注意提前考慮出現問題時快速復原步驟,部分經常釋出注意對復原步驟做演練。
4 安全設計
資料以及應用安全問題一旦出現可能很緻命,一定要加以考慮。安全是一個比較專業領域,正常在針對業務系統經典安全場景做好考量的同時,盡量引入專業安全技術同學評估。所有資源通路需要合适鑒權,避免越權通路;防Sql注入等攻擊,做參數合法性校驗;資源消耗頻次管控,如短信資源等;使用者防騷擾,設定使用者通知、彈屏等觸達門檻值和頻次;敏感資訊過濾或脫敏等。
5 高品質的代碼實作
合适實作和經典性實踐是非常重要代碼品質保障的方式,大量線上問題還是由少量代碼細節考慮不周全和經驗不足引發的。這方面考量不同語言都會有自己一些最佳的實踐,例如Java,可以參考《Java開發手冊》。比較通用保障方式是分支覆寫完備的單元測試 、線上引流回歸測試、完備回歸測試用例等測試品質保障措施。
三 團隊研發運維流程機制
穩定性涉及團隊所有不同水準同學、所有系統、研發所有環節、線上時時刻刻,單個同學是無法保障好的,必須建立團隊流程機制來可持續保障。
主要流程機制如下:
- 技術Review:不同體量設計安排經驗更加豐富同學Review,架構師、主管、外部架構師的Review、定期系統整體Review等。
- 代碼Code Review:建立規範和标準,通過CR認證合格同學執行code review動作。
- 單測:不同風險的系統設定盡量高的行覆寫 & 分支覆寫率标準,複雜邏輯類追求100%分支覆寫。
- 回歸測試:持續積累回歸用例,在上線前和上線後執行回歸動作;上線前線上引流測試也是一種模拟測試方式,端類型系統還可以用monkey工具做随機化測試。
- 釋出機制:設計釋出準入和審批流程,確定每次上線釋出都是經過精細設計和稽核的,上線過程要做到分批、灰階、支援快速復原、線上分批觀察(日志确認)、線上回歸等核心動作。建立釋出紅線等機制,不同系統設計合适釋出時段以及釋出灰階觀察周期。
- 團隊報警值班響應機制 (報警群、短信、電話):確定報警有合适人員即時響應處理,團隊層面可定期做資料性統計通曬,同時建立主管或架構師兜底機制。
- 定期排查線上隐患:定期做線上走查和錯誤日志治理、告警治理,確定線上小的隐患機制化發現和修複。例如在釘釘針對企業使用者早晚高峰的特點,設計早值班機制,用于高峰期第一時間應急以及每天專人花一定時間走查線上,該機制在釘釘技術團隊持續踐行多年,有效發現和治理了釘釘各個線上系統的隐患。
- 使用者問題處理機制:Voc日清、周清等。在釘釘也經曆Voc周清到日清的持續機制精進。
- 線上問題複盤機制:天内、周内問題及時複盤,確定針對每個線上問題做系統和團隊精進。
- 代碼品質抽查通曬:定期抽查團隊同學代碼,做評估和通曬,鼓勵好的代碼,幫助不好代碼的改善。
- 成立穩定性治理專門topic:合适同學每周做好穩定性過程和精進。
- 定期壓測機制:定期機制化執行,核查線上容量情況。
- 日常演練機制:預案演練,模拟線上故障的不通知的突襲演練提升團隊線上問題應對能力。
流程機制要和團隊同學共創達成一緻後,配合建立topic負責人機制,對流程機制執行度和執行效果要做好過程監測和通曬,建立明确數字化标準和衡量機制(例如釘釘技術團隊針對線上問題設定1-5-10标準,1分鐘響應5分鐘内定位10分鐘内恢複),同時建立對應獎懲機制。流程機制也要根據系統狀态進行精簡或精進,確定流程機制可執行性和生命力。
四 技術同學意識和能力
人的意識是最重要的,專業能力可以鍛煉培養。如果意識不足或松懈,好的能力以及機制流程也會形同虛設。
永遠要對敬畏線上,敬畏客戶體驗。面向線上的穩定性戰術上可以基于專業度鍛煉後自信,但戰略和思想上必須持續如履薄冰、三省吾身。線上穩定性保障是作為技術人自己專業度的追求和必須保持初心,始終保持敬畏。不因為業務繁忙、個人心情狀态、團隊是否重視而有變化,隻要職責在,就要守護好。技術主管以及系統owner要有持續感覺穩定性隐患和風險,保持銳度,集中性以及系統性查差補漏。
1 團隊對線上敬畏的一些具象展現和要求
每個報警不要放過,每個報警及時響應處理
快速定位和快速恢複是個人以及團隊專業能力沉澱,但快速報警響應是每個敬畏線上敬畏使用者體驗的技術同學可以做到的。
在監控完備和持續前提下,每個報警及時處理即可以降低故障影響範圍,也會持續減少小的隐患。報警一些小的實踐技巧:報警按照方向收斂報警群,建立報警天級值班機制,報警短信手機設定為震動模式(不打擾同空間家人或朋友情況下,自己第一時間感覺),主管要訂閱報警作為團隊報警兜底處理人,報警響應好的同學和不好的同學要資料化表揚和批評。
從團隊角度,報警及時響應必須配合報警治理進行,否則過多無效報警也會讓有責任心的同學變得麻木。是以必須控制無效報警的數量,例如單應用無效報警(不需要線上問題進行定位以及修複處理的)不要超過5條,個人次元無效報警天級别不超過10條。
線上問題要複盤,不論是否為定級故障,不論問題大小
小的線上問題也要複盤,複盤準備度可以低于定級故障,但都需要思考反思以及落實優化Action。小的線上問題就是未來線上故障的前兆。我們團隊周會上都會有一個環節,上周如有線上問題則會安排對觸發人做複盤。
錯誤日志要重視
要定期分析線上錯誤日志,隐患的問題是藏在錯誤日志中的。我們現在技術團隊會有早值班機制,每個方向每天都有一個技術同學走查線上,以發現線上隐患問題為導向,走查監控大盤、錯誤日志、使用者回報,通過這個例行機制,很好地防微杜漸。
每個使用者回報要重視,定位到根本原因
一個使用者回報背後必然有多個實際線上問題,隻是這個使用者無法忍受,知道回報路徑以及對這個産品有熱愛 或強依賴才選擇回報的。徹底定位一個voc,就是修複了一類線上問題。而且到使用者回報的程度,這個線上問題就已經有一定程度使用者體驗影響了。我們現在技術團隊有一個voc日清機制,針對線上voc問題對使用者做好日内響應答複,也是一個不錯對于這個意識的數字化衡量。
2 能力培養
單個技術同學個人技術以及穩定性保障能力是團隊在每個穩定性任務上拿到結果的執行者和基礎,是以技術主管重視識别不同同學個人優勢和不足,針對性做工作安排以及培養鍛煉。隻要線上意識上足夠重視,能力對于大部門技術同學是可以培養的。
團隊内同學由于入行時間、曆史經驗等各方面原因,對于目前系統穩定性保障能力是有強弱的差異的,對于個人是正常情況,但對于團隊而言,不能因為團隊個别同學能力上存在不足而引入團隊層面穩定性保障風險。需要主管很好熟悉以及判斷同學能力段位,在負責系統和子產品、流程機制限制、輔導人等方面做好差異化安排。例如校招同學X個月不做線上釋出,前X個月釋出有師兄協同釋出機制,并發高 或資金交易等等風險高的系統讓更加有經驗的負責。同時設計培養機制,能力目前不足但有潛力的同學,可以安排由經驗豐富的同學指導以及提供一些進階實操路徑,按照節奏從易到難逐漸承擔更高風險的系統職責。
能力培養方式有技術Review、代碼CR和輔導、參與團隊穩定性保障機制、安排合适師兄指導、過程中主管指導、逐漸承擔更高職責等。代碼層面,對于Java同學來說, 《Java開發手冊》是一個很好的實踐性指南,超出代碼風格,提供了日志、異常處理、集合等庫使用、資料庫設計、分層設計等多個提升代碼品質的實踐做法,我們自己團隊所有Java研發同學都會100%通過阿裡雲上阿裡巴巴代碼認證考試,同時團隊有一個團隊内新人品碼機制,同時釘釘大技術團隊層面有一個品碼會機制,這些都是不錯地培養同學寫出好代碼的培養方式。
好多小團隊、大團隊、公司都有很多不錯提升穩定性機制和案例,積極主動參考學習以及結合自己業務系統思考踐行,是自己提升重要路徑。架構上高可用以及架構相關經典書籍自我學習,從理論上做系統性認知也是有必要,相關書籍網上有很多推薦,例如《高性能網站建設》、《大型網站系統與Java中間件實踐》等。
少量的同學在主管和團隊盡可能幫助和輔導後在穩定性性保障的意識和能力上持續不能達标,這類同學要做好階段性高風險系統隔離以及堅定做汰換。對業務、客戶體驗、團隊内其他同學負責,及時汰換他以降低這一塊穩定性風險。
五 良好的研發項目管理
從經驗看,線上系統大部分故障是由新的變更引入和觸發的,變更是業務和産品疊代演進方式,是以不可能沒有變更,但我們可以對變更項目做合适品質管理,進而有效提高線上穩定性。
項目管理的四要素:工作範圍(需求)、時間(傳遞時間)、品質、成本(人 & 機器資源等),簡稱STQC,這四個要素是互相關聯的和制約的,形成一個項目管理品質管理鐵三角,一個要素變動就會影響到其他要素,是以要保障好品質就必須要考慮怎麼管理好其他三個要素。
此外,我們可以進一步了解項目成功的要素,以終為始聚焦考慮如何提升實際影響成功的品質,成功的項目不僅取決于項目本身從開始到結束的執行過程,還取決于開始前和結束後的努力。成功的項目應該取決于三個階段的努力:
- 項目開始前必須 “了解什麼是客戶的成功”,隻有客戶成功了項目才能成功;——了解客戶真正的需求。
- 項目執行中能夠“擔負客戶成功的責任”,按要求完成承諾的工作。
- 項目結束後能“幫助客戶實作價值”,隻有客戶說項目成功了才是真正的成功。——幫助客戶實作業務目标、使用者價值目标、商業價值目标。
品質管理鐵三角
網際網路産品疊代速度很快,推崇快速推出、快速試錯、快速占據市場先機,傳遞時間的快是網際網路産品、業務同學對于研發團隊顯性的要求,而傳遞品質和線上持續穩定則是一個隐性需求,産品業務預設研發團隊應該做到,但往往在時間、成本等方面沒有給予顯性考慮,這一塊就需要研發項目管理同學主動評估考量進來,有自己專業判斷和堅持。
了解好真正的客戶需求和傳遞後客戶價值的實作,可以幫助在四要素沖突的時候合适取舍需求來保障時間和品質,以及和業務産品&客戶基于客戶價值實作争取時間、資源來保障品質。項目管理角度穩定性保障基本動作包括确定和充分了解幫助客戶成功的需求範圍、控制好需求變更、預留品質保障環節時間、動态管控傳遞預期時間、争取充足人力以及機器等成本資源。進階動作:在提前了解和了解甚至共同參與制定業務戰略和政策基礎上提前規劃需求範圍和研發節奏&人員排兵布陣&架構布局、深入了解業務基礎上協助做需求取舍和優化。