C. Google SRE 实践
概述
- 服务可靠度层级模型
- 产品设计
- 软件开发
- 容量规划
- 测试 + 发布
- 事后总结和问题根源分析
- 应急事件处理
- 监控
监控(10)
- 组件
- 接口
- 时间序列信息操作语言
- 服务端:基本上每个集群一个实例,不同实例之间的数据是互通的
- 时间序列数据的存储
- 规则计算:数据汇总
- 报警
- 监控系统的分片机制
- 收集层:运算和汇总,每个集群部署一个或者两个(避免单点故障)
- 全局层:计算层和展示层
- 客户端:应用程序的监控埋点
- 接口
- 白盒测试:主要是应用自己收集自己的测试数据
- 黑盒测试
- 配置文件
- 自动化测试工具,测试配置文件是否正确
- 模板管理
- 将某一个代码类库暴露的所有监控信息模板化
- HTTP服务器类库
- 内存分配器类库
- 存储系统客户端类库
- 通用RPC框架
- 等等
- 将单实例监控数据按级汇总到全局范围的模型
- 等等
- 将某一个代码类库暴露的所有监控信息模板化
应急事件处理(11 ~ 14)
- on - call 轮值
- 生产系统中的维护需求响应时间,跟业务需要的可靠性有关
- 直接面向最终用户的服务或者时间爱呢非常紧迫的服务:5分钟
- 非敏感业务:30分钟
- 主副on-call机制
- 机制一:副on-call处理主on-call没有响应的事情
- 机制二:主on-call处理生产系统紧急情况,副on-call负责处理其他非紧急的生产环境变更需求
- 机制
- 每12个小时最多只能处理2个紧急事件
- 生产系统中的维护需求响应时间,跟业务需要的可靠性有关
- 排查故障
- 理论
- 反复采用假设 - 排除 手段的过程
- 步骤
- 故障报告
- 定位
- 合理判断一个问题的严重程度
- 检查
- 诊断
- 测试/修复,有可能失败
- 治愈
- 注意点
- 在遇到一个大型问题是,首先要做的是尽最大可能让系统恢复,而不是立即开始故障排查过程
- 比如说将用户流量从问题集群导向其他还在正常工作的集群
- 将流量抛弃以避免连锁过载问题
- 关闭系统的某些功能以降低负载
- 等等
- 在遇到一个大型问题是,首先要做的是尽最大可能让系统恢复,而不是立即开始故障排查过程
- 理论
- 紧急事件响应
- 紧急故障管理
- 角色
- 事故总控
- 事务处理团队
- 发言人
- 规划负责人
- 措施/机制
- 划分优先级:控制影响范围,恢复服务,同时为根源调查保存现场
- 事前准备:事先和所有事故处理参与者一起准备一套流程
- 信任:充分相信每个事故参与者,分配职责后让他们自主行动
- 反思:在事故处理过程中主意自己的情绪和精神状态。如果发现自己开始惊慌失措或者感到压力难以承受,应该寻求更多的帮助
- 考虑替代方案:周期性地重新审视目前的情况,重新评估目前的工作是否应该继续执行,还是需要执行其他更重要或者更紧急的事情
- 联系:平时不断地使用这项流程,知道习惯成自然
- 换位思考:上次你是事故总控负责人吗?下次可以换一个职责试试。鼓励每个团队成员熟悉流程中的其他角色。
- 什么时候对外宣布事故
- 是否需要引入第二个团队来帮助处理问题?
- 这次事故是否正在影响最终用户?
- 集中分析一小时后,这个问题是否依然没有得到解决?
- 角色
- 运维压力
- 量化运维压力:比如说 每天工单数量 < 5,每次轮值报警实践 < 3等
- 降低报警数:一个异常可能触发多条报警,可以合理地分组报警信息
- 极端情况下:停止支持某个服务,或者和研发团队共同分担
- 机制
- 保证每个工程师每个季度至少参与on-call一次,最好两次
- 每年举办一次持续数天的全公司灾难恢复演习,针对理论行和实际性的灾难进行演练
事后总结和问题根源分析(15,16)
- 事后总结报告:对事不对人
- 重点关注如何定位造成这次事件的根本问题,而不是职责某个人或者团队的错误或者不恰当的举动。
- 报告评审
- 关键的灾难数据是否已经被收集并保存起来了?
- 本次事故的影响评估是否完整?
- 造成事故的根源问题是否足够深入?
- 文档中记录的任务优先级是否合理,能够及时解决了根源问题?
- 这次事故处理的过程是否共享给了所有相关部门?
- 建立事后总结文化
- 本月最佳事后总结
- Google + 事后总结小组
- 事后总结阅读俱乐部
- 命运之轮:将某一篇事后总结的场景再现,一批工程师负责扮演这篇文档中提到的各种角色
- 收集关于时候总结有效性的反馈
- 挑战:投入产出比的质疑
- 首先进行几轮完整的和成功的事后总结,证明它们的价值。
- 确保对有效的书面总结提供奖励和庆祝。不光通过前面提到的公开渠道,也应该在团队或个人的绩效中体现
- 鼓励公司高级管理层认可和参与其中。
- 跟踪故障
- 聚合:将多条报警聚合成一个单独的故障,或许能够有效解决这个问题
- 加标签:对故障做标签(不同团队对标签要求不一样,比如说有些团队只需要标注到 network 就行了,有些团队可能需要更加细化,比如说network:switch 或者 network:cable)
- 分析
- 每周/每月/每季度 的故障数量和每次故障的报警数量
- 对比团队/服务 以及按时间分析趋势和模式。跨团队的数据统计
- 需要语义分析的技术:找到更广泛的问题,而不仅仅是简单的计数,比如说 寻找基础设施中造成故障最多的一部分。通过跨团队收集,可以从中找出系统性的问题。
测试(17)
- 测试类型
- 传统测试
- 单元测试
- 集成测试
- mock测试
- 系统测试
- 冒烟测试:如果该测试不通过,那么其他更昂贵的测试可以不用进行了
- 性能测试:性能测试可以保证随着时间推移系统性能不会下降,或者资源要求不会升高
- 回归测试:保证之前的Bug不会重现
- 生产测试
- 配置测试:针对配置文件的测试
- 压力测试
- 数据库容量满到什么程度,才会导致写请求失败
- 向某应用每秒发送多少个请求,将导致应用过载并导致请求处理失败。
- 金丝雀测试:灰度发布
- 指数型升级部署:先部署1台,然后部署2台,然后部署4台等等
- 以0.1%的用户流量服务器容量开始,同时按24小时增长10倍推进。与此同时,还要考虑到变更部署的地域性分布。
- 传统测试
- 创建一个构建和测试环境
- 区分项目的重要性, 确定测试的优先级
- 良好的测试基础设施
- 测试大规模使用的工具
- 针对灾难的测试
- 发布到生产环境
- 集成
- 多种类型的测试工具互相验证,有些类型只负责报错,不做修复
- 生产环境探针
- 已知的错误请求
- 已知的正确请求,可以针对生产重放
- 已知的正确请求,不可以针对生产重放
其他
- 容量规划(18 ~ 22)
- 软件开发(23 ~ 25)
- 数据的备份和恢复(26)
- 产品发布(27)
727
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
