🥇"Bitrix24": "Tas, kas ātri pacelts, netiek uzskatīts par nokritušu"

Šodien pakalpojumam Bitrix24 nav simtiem gigabitu trafika, kā arī tam nav milzīga serveru parka (lai gan, protams, ir diezgan daudz esošo). Taču daudziem klientiem tas ir galvenais rīks darbam uzņēmumā, tā ir reāla biznesam svarīga aplikācija. Tāpēc krist nav iespējams. Kā būtu, ja avārija tomēr notiktu, bet pakalpojums “atkoptos” tik ātri, ka neviens neko nepamanītu? Un kā ir iespējams īstenot failover, nezaudējot darba kvalitāti un klientu skaitu? Aleksandrs Demidovs, Bitrix24 mākoņpakalpojumu direktors, mūsu emuāram runāja par rezervēšanas sistēmas attīstību 7 produkta pastāvēšanas gadu laikā.

“Mēs Bitrix24 izlaidām kā SaaS pirms 7 gadiem. Galvenās grūtības, iespējams, bija šādas: pirms tas tika publiski izlaists kā SaaS, šis produkts vienkārši pastāvēja iesaiņota risinājuma formātā. Klienti to iegādājās no mums, mitināja savos serveros, izveidoja korporatīvo portālu - vispārējs risinājums darbinieku saziņai, failu glabāšanai, uzdevumu pārvaldībai, CRM, tas arī viss. Un līdz 2012. gadam mēs nolēmām, ka vēlamies to palaist kā SaaS, administrējot to paši, nodrošinot kļūdu toleranci un uzticamību. Pieredzi ieguvām pa ceļam, jo līdz tam mums tās vienkārši nebija – bijām tikai programmatūras ražotāji, nevis pakalpojumu sniedzēji.

Uzsākot pakalpojumu, mēs sapratām, ka vissvarīgākais ir nodrošināt kļūdu toleranci, uzticamību un pastāvīgu pakalpojuma pieejamību, jo, ja jums ir vienkārša parasta vietne, piemēram, veikals, un tas jums uzkrīt un tur sēž. stundu, tikai jūs ciešat, jūs zaudējat pasūtījumus, jūs zaudējat klientus, bet pašam klientam tas viņam nav īpaši svarīgi. Viņš, protams, bija sarūgtināts, bet aizgāja un nopirka to citā vietnē. Un, ja šī ir aplikācija, uz kuras ir piesaistīts viss darbs uzņēmuma iekšienē, komunikācija, lēmumi, tad svarīgākais ir iegūt lietotāju uzticību, proti, nepievilt un nepakrist. Jo viss darbs var apstāties, ja kaut kas iekšā nedarbojas.

Bitrix.24 kā SaaS

Pirmo prototipu samontējām gadu pirms publiskās palaišanas, 2011. gadā. Mēs to samontējām apmēram nedēļas laikā, apskatījām, pagriezām - tas pat strādāja. Tas ir, jūs varētu ieiet formā, ievadīt tur portāla nosaukumu, tiktu atvērts jauns portāls un izveidota lietotāju bāze. Mēs to apskatījām, principā novērtējām produktu, nodevām metāllūžņos un turpinājām to pilnveidot veselu gadu. Tā kā mums bija liels uzdevums: mēs negribējām izveidot divas dažādas kodu bāzes, mēs negribējām atbalstīt atsevišķu iepakotu produktu, atsevišķus mākoņa risinājumus - mēs vēlējāmies to visu izdarīt vienā kodā.

Tipiska tīmekļa aplikācija tajā laikā bija viens serveris, uz kura darbojas kaut kāds PHP kods, mysql datubāze, tiek augšupielādēti faili, dokumenti, attēli tiek ievietoti augšupielādes mapē - labi, tas viss darbojas. Diemžēl, izmantojot šo, nav iespējams palaist kritiski stabilu tīmekļa pakalpojumu. Tur izplatītā kešatmiņa netiek atbalstīta, datu bāzes replikācija netiek atbalstīta.

Mēs formulējām prasības: tā ir iespēja atrasties dažādās vietās, atbalstīt replikāciju un ideālā gadījumā atrasties dažādos ģeogrāfiski sadalītos datu centros. Atdaliet produkta loģiku un faktiski datu glabāšanu. Spēt dinamiski mērogot atbilstoši slodzei un vispār izturēt statiku. No šiem apsvērumiem faktiski radās prasības produktam, kuras mēs gada laikā precizējām. Šajā laikā platformā, kas izrādījās vienota - kastītiem risinājumiem, mūsu pašu servisam - veicām atbalstu tām lietām, kas mums bija vajadzīgas. Mysql replikācijas atbalsts paša produkta līmenī: tas ir, izstrādātājs, kurš raksta kodu, nedomā par to, kā tiks izplatīti viņa pieprasījumi, viņš izmanto mūsu api, un mēs zinām, kā pareizi izplatīt rakstīšanas un lasīšanas pieprasījumus starp meistariem. un vergi.

Mēs esam nodrošinājuši atbalstu produktu līmenī dažādām mākoņa objektu krātuvēm: Google krātuvei, amazon s3, kā arī atbalstam atvērtā steka swift. Tāpēc tas bija ērti gan mums kā pakalpojumam, gan izstrādātājiem, kuri strādā ar iepakotu risinājumu: ja viņi vienkārši izmanto mūsu API darbam, viņi nedomā par to, kur fails galu galā tiks saglabāts, lokāli failu sistēmā vai objektu failu krātuvē.

Rezultātā uzreiz nolēmām, ka rezervēsim visa datu centra līmenī. 2012. gadā mēs pilnībā izlaidām pakalpojumu Amazon AWS, jo mums jau bija pieredze ar šo platformu — tur tika mitināta mūsu pašu vietne. Mūs piesaistīja fakts, ka katrā reģionā Amazon ir vairākas pieejamības zonas – patiesībā (to terminoloģijā) vairāki datu centri, kas ir vairāk vai mazāk neatkarīgi viens no otra un ļauj rezervēt vesela datu centra līmenī: ja tas pēkšņi neizdodas, datu bāzes tiek replicētas par galveno-masters, tīmekļa lietojumprogrammu serveri tiek dublēti un statiskie dati tiek pārvietoti uz s3 objektu krātuvi. Slodze ir sabalansēta - toreiz pa Amazon elb, bet nedaudz vēlāk tikām pie saviem slodzes balansētājiem, jo vajadzēja sarežģītāku loģiku.

Tas, ko viņi gribēja, ir tas, ko viņi saņēma...

Visas pamata lietas, ko vēlējāmies nodrošināt – pašu serveru kļūdu tolerance, tīmekļa lietojumprogrammas, datu bāzes – viss darbojās labi. Vienkāršākais scenārijs: ja kāda no mūsu tīmekļa lietojumprogrammām neizdodas, tad viss ir vienkārši - tās tiek izslēgtas no balansēšanas.

Balansētājs (tolaik tas bija Amazon elbs) nederīgās mašīnas atzīmēja un izslēdza uz tām slodzes sadali. Amazon automātiskā mērogošana darbojās: kad slodze pieauga, automātiskās mērogošanas grupai tika pievienotas jaunas iekārtas, slodze tika sadalīta jaunām mašīnām - viss bija kārtībā. Ar mūsu balansieriem loģika ir aptuveni tāda pati: ja kaut kas notiek ar lietojumprogrammu serveri, mēs noņemam no tā pieprasījumus, izmetam šīs mašīnas, iedarbinām jaunas un turpinām strādāt. Shēma gadu gaitā ir nedaudz mainījusies, bet turpina darboties: tā ir vienkārša, saprotama, un ar to nav nekādu grūtību.

Mēs strādājam visā pasaulē, klientu slodzes maksimumi ir pilnīgi atšķirīgi, un draudzīgā veidā mums vajadzētu būt iespējai jebkurā laikā - klientiem nepamanīti - veikt noteiktus servisa darbus jebkurai mūsu sistēmas sastāvdaļai. Līdz ar to mums ir iespēja atslēgt datu bāzi no darbības, pārdalot slodzi uz otru datu centru.

Kā tas viss darbojas? — Pārslēdzam trafiku uz strādājošu datu centru - ja datu centrā notiek avārija, tad pilnībā, ja tas ir mūsu plānotais darbs ar vienu datu bāzi, tad daļu trafika, kas apkalpo šos klientus, pārslēdzam uz otru datu centru, apturot tā replikācija. Ja tīmekļa lietojumprogrammām ir nepieciešamas jaunas mašīnas, jo ir palielinājusies otrā datu centra slodze, tās tiks startētas automātiski. Mēs pabeidzam darbu, tiek atjaunota replikācija, un mēs atgriežam visu slodzi. Ja mums ir jāatspoguļo kāds darbs otrajā DC, piemēram, jāinstalē sistēmas atjauninājumi vai jāmaina iestatījumi otrajā datu bāzē, tad kopumā mēs atkārtojam to pašu, tikai otrā virzienā. Un, ja tas ir nelaimes gadījums, tad mēs visu darām triviāli: mēs izmantojam notikumu apstrādātāju mehānismu uzraudzības sistēmā. Ja tiek aktivizētas vairākas pārbaudes un statuss kļūst kritisks, mēs palaižam šo apdarinātāju, kas var veikt šo vai citu loģiku. Katrai datu bāzei mēs norādām, kurš serveris ir tās kļūmjpārlēce un kur ir jāpārslēdz trafiks, ja tā nav pieejama. Vēsturiski mēs vienā vai otrā veidā izmantojam nagios vai dažas tās dakšiņas. Principā līdzīgi mehānismi pastāv gandrīz jebkurā monitoringa sistēmā, neko sarežģītāku pagaidām neizmantojam, bet varbūt kādreiz izmantosim. Tagad uzraudzību aktivizē nepieejamība, un tai ir iespēja kaut ko pārslēgt.

Vai esam visu rezervējuši?

Mums ir daudz klientu no ASV, daudzi klienti no Eiropas, daudzi klienti, kas atrodas tuvāk Austrumiem – Japānai, Singapūrai un tā tālāk. Protams, milzīga klientu daļa ir Krievijā. Tas ir, darbs nav vienā reģionā. Lietotāji vēlas ātru atbildi, ir prasības ievērot dažādus vietējos likumus, un katrā reģionā mēs rezervējam divus datu centrus, kā arī ir daži papildu pakalpojumi, kurus atkal ir ērti izvietot viena reģiona ietvaros - klientiem, kuri atrodas šis reģions strādā. REST apstrādātāji, autorizācijas serveri, tie ir mazāk kritiski klienta darbībai kopumā, jūs varat pārslēgties caur tiem ar nelielu pieņemamu kavēšanos, bet jūs nevēlaties izgudrot riteni, kā tos uzraudzīt un ko darīt ar viņiem. Tāpēc mēs cenšamies maksimāli izmantot esošos risinājumus, nevis attīstīt kaut kādu kompetenci papildu produktos. Un kaut kur mēs triviāli izmantojam pārslēgšanu DNS līmenī, un pakalpojuma dzīvīgumu mēs nosakām ar to pašu DNS. Amazon ir pakalpojums Route 53, taču tas nav tikai DNS, kurā varat veikt ierakstus, un viss — tas ir daudz elastīgāks un ērtāks. Izmantojot to, jūs varat izveidot ģeogrāfiski izplatītus pakalpojumus ar ģeogrāfiskajām atrašanās vietām, kad to izmantojat, lai noteiktu, no kurienes klients ir nācis, un sniegtu viņam noteiktus ierakstus - ar tā palīdzību jūs varat izveidot kļūmjpārlēces arhitektūras. Tādas pašas veselības pārbaudes ir konfigurētas pašā maršrutā 53, jūs iestatāt uzraugāmos galapunktus, iestatāt metriku, iestatāt, ar kādiem protokoliem nosaka pakalpojuma “dzīvību” - tcp, http, https; iestatiet pārbaužu biežumu, kas nosaka, vai pakalpojums ir vai nav. Un pašā DNS jūs norādāt, kas būs primārais, kas sekundārais, kur pārslēgties, ja tiek aktivizēta veselības pārbaude maršrutā 53. To visu var izdarīt ar dažiem citiem rīkiem, bet kāpēc tas ir ērti - mēs to iestatām vienreiz augšā un tad vispār nedomā, kā mēs veicam pārbaudes, kā pārslēdzamies: viss darbojas pats no sevis.

Pirmais "bet": kā un ar ko rezervēt pašu 53. maršrutu? Kas zina, ja nu ar viņu kaut kas notiks? Par laimi, mēs nekad neuzkāpām uz šī grābekļa, bet man atkal būs stāsts par to, kāpēc mums likās, ka mums tomēr ir jāveic rezervācija. Šeit mēs iepriekš izlikām sev salmiņus. Vairākas reizes dienā veicam visu zonu pilnīgu izkraušanu, kas mums ir 53. maršrutā. Amazon API ļauj ērti nosūtīt tos JSON formātā, un mums ir vairāki rezerves serveri, kur mēs to konvertējam, augšupielādējam konfigurāciju veidā un, rupji runājot, ir rezerves konfigurācija. Ja kaut kas notiek, mēs varam to ātri izvietot manuāli, nezaudējot DNS iestatījumu datus.

Otrais "bet": Kas šajā attēlā vēl nav rezervēts? Pats balansētājs! Mūsu klientu sadalījums pa reģioniem ir ļoti vienkāršs. Mums ir domēni bitrix24.ru, bitrix24.com, .de - tagad ir 13 dažādi, kas darbojas dažādās zonās. Nonācām pie tā: katram reģionam ir savi balansētāji. Tas padara ērtāku sadali pa reģioniem atkarībā no tā, kur ir tīkla maksimālā slodze. Ja tā ir kļūme viena balansētāja līmenī, tad tas vienkārši tiek izņemts no ekspluatācijas un izņemts no dns. Ja ir kādas problēmas ar balansētāju grupu, tad tie tiek dublēti citās vietnēs, un pārslēgšanās starp tām notiek, izmantojot to pašu maršrutu53, jo īsā TTL dēļ pārslēgšanās notiek maksimāli 2, 3, 5 minūšu laikā. .

Trešais "bet": Kas vēl nav rezervēts? S3, pareizi. Kad ievietojām failus, ko glabājam lietotājiem s3, mēs patiesi ticējām, ka tas ir bruņu caurduršanas veids, un tur nekas nav jārezervē. Taču vēsture rāda, ka lietas notiek savādāk. Kopumā Amazon raksturo S3 kā fundamentālu pakalpojumu, jo Amazon pati izmanto S3, lai saglabātu mašīnu attēlus, konfigurācijas, AMI attēlus, momentuzņēmumus... Un, ja s3 avarē, kā tas notika vienu reizi pa šiem 7 gadiem, tik ilgi, cik mēs esam lietojuši bitrix24, tas seko tam kā ventilators. Ir daudz lietu, kas rodas – nespēja startēt virtuālās mašīnas, api kļūme utt.

Un S3 var nokrist - tas notika vienreiz. Līdz ar to nonācām pie šādas shēmas: pirms dažiem gadiem Krievijā nebija nopietnu sabiedrisko objektu krātuves, un mēs apsvērām variantu kaut ko darīt paši... Par laimi, nesākām to darīt, jo mēs to darītu. esam iedziļinājušies zināšanām, kuru mums nav, un, iespējams, sajauktos. Tagad Mail.ru ir ar s3 saderīga krātuve, tā ir pieejama Yandex un daudziem citiem pakalpojumu sniedzējiem. Galu galā mēs nonācām pie domas, ka vēlamies, pirmkārt, iegūt dublējumu un, otrkārt, iespēju strādāt ar vietējām kopijām. Konkrēti Krievijas reģionā mēs izmantojam pakalpojumu Mail.ru Hotbox, kas ir API saderīgs ar s3. Mums nebija vajadzīgas nekādas lielas lietojumprogrammas koda modifikācijas, un mēs izveidojām šādu mehānismu: s3 ir trigeri, kas aktivizē objektu izveidi/dzēšanu, Amazon piedāvā pakalpojumu ar nosaukumu Lambda — šī ir koda palaišana bez servera. kas tiks izpildīts tieši tad, kad tiks aktivizēti noteikti aktivizētāji.

Mēs to izdarījām ļoti vienkārši: ja mūsu aktivizētājs iedarbojas, mēs izpildām kodu, kas kopēs objektu uz Mail.ru krātuvi. Lai pilnībā uzsāktu darbu ar vietējām datu kopijām, mums ir nepieciešama arī reversā sinhronizācija, lai klienti, kas ir Krievijas segmentā, varētu strādāt ar viņiem tuvāku krātuvi. Pasts gatavojas pabeigt trigerus savā krātuvē - būs iespējams veikt reverso sinhronizāciju infrastruktūras līmenī, bet pagaidām mēs to darām sava koda līmenī. Ja redzam, ka klients ir ievietojis failu, tad koda līmenī notikumu ievietojam rindā, apstrādājam un veicam reverso replikāciju. Kāpēc tas ir slikti: ja mēs kādu darbu ar saviem objektiem veicam ārpus mūsu produkta, tas ir, ar kādiem ārējiem līdzekļiem, mēs to neņemsim vērā. Tāpēc mēs gaidām līdz beigām, kad krātuves līmenī parādās trigeri, lai neatkarīgi no tā, no kurienes mēs izpildām kodu, objekts, kas nonāca pie mums, tiek kopēts otrā virzienā.

Koda līmenī mēs katram klientam reģistrējam abas krātuves: viena tiek uzskatīta par galveno, otra tiek uzskatīta par rezerves. Ja viss ir kārtībā, mēs strādājam ar krātuvi, kas mums ir tuvāka: tas ir, mūsu klienti, kas atrodas Amazon, viņi strādā ar S3, un tie, kas strādā Krievijā, viņi strādā ar Hotbox. Ja karodziņš tiek aktivizēts, ir jāpievieno kļūmjpārlēce, un mēs pārslēdzam klientus uz citu krātuvi. Mēs varam atzīmēt šo izvēles rūtiņu neatkarīgi pēc reģiona un pārslēgt tos uz priekšu un atpakaļ. Mēs to vēl neesam izmantojuši praksē, bet esam paredzējuši šo mehānismu un domājam, ka kādreiz mums būs vajadzīgs un noderēs tieši šis slēdzis. Tas jau vienreiz ir noticis.

Ak, un Amazon aizbēga...

Šī gada aprīlī tiek atzīmēta gadadiena kopš Telegram bloķēšanas sākuma Krievijā. Visvairāk ietekmētais pakalpojumu sniedzējs, uz kuru tas attiecas, ir Amazon. Un diemžēl vairāk cieta Krievijas uzņēmumi, kas strādāja visai pasaulei.

Ja uzņēmums ir globāls un Krievija tam ir ļoti mazs segments, 3-5% - nu, tā vai tā, jūs varat tos upurēt.

Ja tas ir tīri Krievijas uzņēmums - esmu pārliecināts, ka tam ir jāatrodas lokāli -, labi, tas vienkārši būs ērti pašiem lietotājiem, ērti un būs mazāk risku.

Ko darīt, ja tas ir uzņēmums, kas darbojas globāli un kuram ir aptuveni vienāds klientu skaits no Krievijas un kaut kur citur pasaulē? Segmentu savienojamība ir svarīga, un tiem vienā vai otrā veidā ir jādarbojas vienam ar otru.

2018. gada marta beigās Roskomnadzor nosūtīja vēstuli lielākajiem operatoriem, ka plāno bloķēt vairākus miljonus Amazon IP, lai bloķētu... Zello messenger. Pateicoties šiem pašiem pakalpojumu sniedzējiem - viņi veiksmīgi nopludināja vēstuli visiem, un radās izpratne, ka saikne ar Amazon var izjukt. Bija piektdiena, mēs panikā skrējām pie kolēģiem no servers.ru, sakot: “Draugi, mums ir vajadzīgi vairāki serveri, kas atradīsies nevis Krievijā, nevis Amazonā, bet, piemēram, kaut kur Amsterdamā,” secībā. uz, lai varētu vismaz kaut kā instalēt savu VPN un starpniekserveri dažiem galapunktiem, kurus mēs nekādā veidā nevaram ietekmēt, piemēram, tā paša s3 galapunktiem - mēs nevaram mēģināt izveidot jaunu pakalpojumu un iegūt citu IP, mums vēl ir jānokļūst tur. Tikai dažu dienu laikā mēs uzstādījām šos serverus, palaidām tos un kopumā sagatavojāmies brīdim, kad sākās bloķēšana. Interesanti, ka RKN, skatoties uz satraukumu un paniku, teica: "Nē, mēs tagad neko nebloķēsim." (Bet tas ir tieši līdz brīdim, kad sāka bloķēt Telegram.) Iekārtojuši apvedceļa iespējas un sapratuši, ka bloķēšana nav ieviesta, mēs tomēr nesākām visu lietu sakārtot. Jā, katram gadījumam.

Un 2019. gadā mēs joprojām dzīvojam bloķēšanas apstākļos. Vakar vakarā paskatījos: aptuveni miljons IP joprojām tiek bloķēti. Tiesa, Amazon tika gandrīz pilnībā atbloķēts, maksimumā tas sasniedza 20 miljonus adrešu... Kopumā realitāte ir tāda, ka var nebūt saskaņotības, labas saskaņotības. Pēkšņi. Tā var nebūt tehnisku iemeslu dēļ – ugunsgrēki, ekskavatori, tas viss. Vai arī, kā mēs redzējām, ne gluži tehniski. Līdz ar to kāds liels un liels, ar saviem AS, droši vien var šo to nokārtot citādi - tiešais savienojums un citas lietas jau ir l2 līmenī. Bet vienkāršā versijā, piemēram, mūsu vai pat mazākā versijā, katram gadījumam var būt dublēšana kaut kur citur paceltu serveru līmenī, kas iepriekš konfigurēts vpn, starpniekserveris, ar iespēju ātri pārslēgt konfigurāciju uz tiem šajos segmentos. kas ir būtiski savienojamībai. Tas mums noderēja ne reizi vien, kad sākās Amazon bloķēšana, sliktākajā gadījumā caur tiem ļāvām tikai S3 trafiku, bet pamazām tas viss atrisinājās.

Kā rezervēt... visu pakalpojumu sniedzēju?

Pašlaik mums nav scenārija, ja visa Amazon nokristu. Mums ir līdzīgs scenārijs attiecībā uz Krieviju. Krievijā mūs mitināja viens pakalpojumu sniedzējs, no kura izvēlējāmies vairākas vietnes. Un pirms gada mēs saskārāmies ar problēmu: lai gan tie ir divi datu centri, problēmas var rasties jau pakalpojumu sniedzēja tīkla konfigurācijas līmenī, kas joprojām ietekmēs abus datu centrus. Un mēs varam nebūt pieejami abās vietnēs. Protams, tā arī notika. Mēs beidzām pārskatīt arhitektūru iekšpusē. Tas nav īpaši mainījies, taču Krievijai mums tagad ir divas vietnes, kas nav no viena un tā paša pakalpojumu sniedzēja, bet gan no divām dažādām. Ja viens neizdodas, mēs varam pārslēgties uz otru.

Hipotētiski Amazon mēs apsveram iespēju veikt rezervāciju cita pakalpojumu sniedzēja līmenī; varbūt Google, varbūt vēl kāds... Bet līdz šim praksē esam novērojuši, ka, kamēr Amazon notiek avārijas vienas pieejamības zonas līmenī, tikmēr vesela reģiona līmenī avārijas ir diezgan reti. Tāpēc teorētiski mums ir doma, ka mēs varētu veikt atrunu “Amazon nav Amazon”, taču praksē tas vēl nenotiek.

Daži vārdi par automatizāciju

Vai vienmēr ir nepieciešama automatizācija? Šeit ir lietderīgi atgādināt Danninga-Kruger efektu. Uz “x” ass ir mūsu zināšanas un pieredze, ko mēs iegūstam, un uz “y” ass ir pārliecība par mūsu rīcību. Sākumā mēs neko nezinām un nemaz neesam pārliecināti. Tad mēs nedaudz zinām un kļūstam ļoti pārliecināti - tā ir tā sauktā “stulbuma virsotne”, ko labi ilustrē attēls “plānprātība un drosme”. Tad esam nedaudz mācījušies un esam gatavi doties kaujā. Tad mēs uzkāpjam uz dažām mega nopietnām kļūdām un nonākam izmisuma ielejā, kad it kā kaut ko zinām, bet patiesībā nezinām daudz. Tad, gūstot pieredzi, kļūstam pārliecinātāki.

Mūsu loģika par dažādiem automātiskajiem pārslēgšanās gadījumiem uz noteiktiem negadījumiem ir ļoti labi aprakstīta šajā grafikā. Sākām - neko nezinājām, gandrīz viss darbs tika darīts ar rokām. Tad mēs sapratām, ka varam visam pievienot automatizāciju un, piemēram, mierīgi gulēt. Un pēkšņi mēs uzkāpjam uz mega-grābekļa: tiek aktivizēts kļūdains pozitīvs rādītājs, un mēs pārslēdzam satiksmi uz priekšu un atpakaļ, ja labā nozīmē mums to nevajadzēja darīt. Līdz ar to replikācija sabojājas vai kaut kas cits — šī ir pati izmisuma ieleja. Un tad mēs nonākam pie izpratnes, ka mums visam jāpieiet gudri. Tas ir, ir jēga paļauties uz automatizāciju, paredzot viltus trauksmes iespēju. Bet! ja sekas var būt graujošas, tad labāk to atstāt dežūrmaiņā, dežurējošajiem inženieriem, kuri pārliecināsies un uzraudzīs, vai tiešām ir notikusi avārija, un vajadzīgās darbības veiks manuāli...

Secinājums

7 gadu laikā mēs nonācām no tā, ka kaut kas nokrita, bija panika-panika, līdz sapratnei, ka problēmas neeksistē, ir tikai uzdevumi, tie ir - un var - atrisināt. Veidojot pakalpojumu, paskatieties uz to no augšas, novērtējiet visus riskus, kas var rasties. Ja jūs tos redzat uzreiz, tad iepriekš paredziet atlaišanu un iespēju izveidot defektu izturīgu infrastruktūru, jo jebkurš punkts, kas var neizdoties un novest pie servisa nedarbošanās, to noteikti darīs. Un pat ja jums šķiet, ka daži infrastruktūras elementi noteikti neizdosies - piemēram, tas pats s3, tomēr paturiet prātā, ka viņi var. Un vismaz teorētiski ir priekšstats par to, ko jūs ar viņiem darīsit, ja kaut kas notiks. Ir riska pārvaldības plāns. Kad domājat darīt visu automātiski vai manuāli, novērtējiet riskus: kas notiks, ja automatizācija sāks visu pārslēgt - vai tas neradīs vēl sliktāku situāciju salīdzinājumā ar negadījumu? Varbūt kaut kur ir jāizmanto saprātīgs kompromiss starp automatizācijas izmantošanu un dežurējošā inženiera reakciju, kurš izvērtēs reālo ainu un sapratīs, vai kaut kas ir jāpārslēdz uz vietas vai "jā, bet ne tagad".

Saprātīgs kompromiss starp perfekcionismu un reālām pūlēm, laiku, naudu, ko varat tērēt shēmai, kas jums galu galā būs.

Šis teksts ir atjaunināta un paplašināta versija Aleksandra Demidova ziņojumam konferencē Darba laiks 4. diena.

Avots: www.habr.com

Bitrix24: “Tas, kas ātri pacelts, netiek uzskatīts par kritušu”