Haosa inženierija: apzinātas iznīcināšanas māksla. 2. daļa

Piezīme. tulk.: Šis raksts turpina AWS tehnoloģiju evaņģēlista Adriana Hornsbija lielisko rakstu sēriju, kura mērķis ir vienkāršā un skaidrā veidā izskaidrot eksperimentu nozīmi, lai mazinātu IT sistēmu kļūmju sekas.

"Ja jums neizdodas sagatavot plānu, jūs plānojat neizdoties." - Bendžamins Franklins

В pirmā daļa Šajā rakstu sērijā es iepazīstināju ar haosa inženierijas jēdzienu un paskaidroju, kā tas palīdz atrast un labot sistēmas trūkumus, pirms tie noved pie ražošanas kļūmēm. Tajā arī tika apspriests, kā haosa inženierija veicina pozitīvas kultūras pārmaiņas organizācijās.

Pirmās daļas beigās es apsolīju runāt par "rīkiem un metodēm kļūmju ieviešanai sistēmās". Diemžēl manai galvai šajā ziņā bija savi plāni, un šajā rakstā es mēģināšu atbildēt uz populārāko jautājumu, kas rodas starp cilvēkiem, kuri vēlas iekļūt haosa inženierijā: Ko vispirms lauzt?

Lielisks jautājums! Tomēr šķiet, ka viņu šī panda īpaši neuztrauc...

Nejaucieties ar haosa pandu!

Īsā atbilde: atlasiet kritiskos pakalpojumus pieprasījuma ceļā.

Garāka, bet skaidrāka atbilde: Lai saprastu, kur sākt eksperimentēt ar haosu, pievērsiet uzmanību trim jomām:

1. Paskaties avāriju vēsture un identificēt modeļus;
2. Izlemt kritiskās atkarības;
3. Izmantojiet tā saukto pārmērīgas pārliecības efekts.

Tas ir smieklīgi, bet šo daļu tikpat viegli varētu nosaukt "Ceļojums uz sevis izzināšanu un apgaismību". Tajā sāksim “spēlēties” ar dažiem foršiem instrumentiem.

1. Atbilde slēpjas pagātnē

Ja atceraties, pirmajā daļā es iepazīstināju ar kļūdu labošanas (COE) jēdzienu - metodi, ar kuras palīdzību mēs analizējam savas kļūdas - kļūdas tehnoloģijā, procesā vai organizācijā -, lai izprastu to cēloni(s) un novērstu. atkārtošanās nākotnē. Kopumā tas ir tas, kur jums vajadzētu sākt.

"Lai saprastu tagadni, jums jāzina pagātne." — Kārlis Sagans

Apskatiet kļūmju vēsturi, atzīmējiet tās COE vai pēcnāves un klasificējiet tās. Nosakiet izplatītākos modeļus, kas bieži rada problēmas, un par katru COE uzdodiet sev šādu jautājumu:

"Vai to varēja paredzēt un tāpēc novērst ar defektu injekciju?"

Es atceros vienu neveiksmi savas karjeras sākumā. To varēja viegli novērst, ja mēs būtu veikuši pāris vienkāršus haosa eksperimentus:

Normālos apstākļos aizmugursistēmas instances reaģē uz veselības pārbaudēm no slodzes balansētājs (ELB)). ELB izmanto šīs pārbaudes, lai novirzītu pieprasījumus uz veseliem gadījumiem. Kad izrādās, ka instance ir “neveselīga”, ELB pārtrauc tai sūtīt pieprasījumus. Kādu dienu pēc veiksmīgas mārketinga kampaņas satiksmes apjoms pieauga, un aizmugursistēmas sāka reaģēt uz veselības pārbaudēm lēnāk nekā parasti. Jāsaka, ka šīs veselības pārbaudes bija dziļi, tas ir, tika pārbaudīts atkarību stāvoklis.

Tomēr kādu laiku viss bija kārtībā.

Tad jau diezgan saspringtos apstākļos viens no gadījumiem sāka izpildīt nekritisku, regulāru ETL cron uzdevumu. Liela trafika un cronjob kombinācija palielināja CPU noslogojumu līdz gandrīz 100%. CPU pārslodze vēl vairāk palēnināja reakcijas uz veselības pārbaudēm, tik ļoti, ka ELB nolēma, ka instancē ir veiktspējas problēmas. Kā gaidīts, balansētājs pārtrauca tam sadalīt trafiku, kas, savukārt, palielināja atlikušo grupas gadījumu slodzi.

Pēkšņi arī visas pārējās instances sāka izgāzties veselības pārbaudē.

Jaunas instances palaišanai bija nepieciešama pakotņu lejupielāde un instalēšana, un tas prasīja daudz ilgāku laiku, nekā vajadzēja ELB, lai tās pa vienam atspējotu automātiskās mērogošanas grupā. Skaidrs, ka drīz vien viss process sasniedza kritisko punktu un aplikācija avarēja.

Tad mēs uz visiem laikiem sapratām šādus punktus:

• Programmatūras instalēšana, veidojot jaunu gadījumu, labāk ir dot priekšroku nemainīgai pieejai Zelta AMI.
• Sarežģītās situācijās atbildēm uz veselības pārbaudēm un ELB ir jābūt prioritārām — pēdējā lieta, ko vēlaties, ir sarežģīt dzīvi atlikušajiem gadījumiem.
• Ļoti palīdz lokāla veselības pārbaužu kešatmiņa (pat uz dažām sekundēm).
• Sarežģītā situācijā nepalaidiet cron uzdevumus un citus nekritiskus procesus - taupiet resursus svarīgākajiem uzdevumiem.
• Veicot automātisko mērogošanu, izmantojiet mazākus gadījumus. 10 mazu īpatņu grupa ir labāka nekā 4 lielu īpatņu grupa; ja viena instance neizdodas, pirmajā gadījumā 10% trafika tiks sadalīti pa 9 punktiem, otrajā - 25% trafika pa trim punktiem.

Tātad, vai to varēja paredzēt un tādējādi novērst, ieviešot problēmu?

Jā, un vairākos veidos.

Pirmkārt, simulējot augstu CPU izmantošanu, izmantojot tādus rīkus kā stress-ng vai cpuburn:

❯ stress-ng --matrix 1 -t 60s

stress-ng

Otrkārt, pārslogojot instanci ar wrk un citi līdzīgi komunālie pakalpojumi:

❯ wrk -t12 -c400 -d20s http://127.0.0.1/api/health

Eksperimenti ir salīdzinoši vienkārši, taču tie var sniegt labu vielu pārdomām, nepārdzīvojot patiesas neveiksmes radīto stresu.

Bet neapstājieties pie tā. Mēģiniet atveidot avāriju testa vidē un pārbaudiet savu atbildi uz jautājumu "Vai to varēja paredzēt un tāpēc novērst, ieviešot kļūdu?" Šis ir neliels haosa eksperiments haosa eksperimenta ietvaros, lai pārbaudītu pieņēmumus, taču sākot ar neveiksmi.

Vai tas bija sapnis, vai tas tiešām notika?

Tāpēc izpētiet neveiksmju vēsturi, analizējiet ĒD, atzīmējiet un klasificējiet tos pēc “trāpījuma rādiusa” jeb, precīzāk, ietekmēto klientu skaita, un pēc tam meklējiet modeļus. Pajautājiet sev, vai to varēja paredzēt un novērst, iepazīstinot ar problēmu. Pārbaudiet savu atbildi.

Pēc tam pārejiet uz visizplatītākajiem modeļiem ar lielāko diapazonu.

2. Izveidojiet atkarības karti

Veltiet brīdi, lai pārdomātu savu pieteikumu. Vai ir skaidra tā atkarību karte? Vai jūs zināt, kāda būs to ietekme, ja notiks neveiksme?

Ja neesat ļoti iepazinies ar savas lietojumprogrammas kodu vai tas ir kļuvis ļoti liels, var būt grūti saprast, ko kods dara un kādas ir tā atkarības. Izpratne par šīm atkarībām un to iespējamo ietekmi uz lietojumprogrammu un lietotājiem ir ļoti svarīga, lai zinātu, kur sākt ar haosa inženieriju: sākumpunkts ir komponents ar lielāko trieciena rādiusu.

Atkarību identificēšana un dokumentēšana tiek saukta par "atkarības kartes izveide» (atkarības kartēšana). Parasti tas tiek darīts lietojumprogrammām ar lielu kodu bāzi, izmantojot kodu profilēšanas rīkus. (koda profilēšana) un instrumentācija (instrumenti). Varat arī izveidot karti, uzraugot tīkla trafiku.

Tomēr ne visas atkarības ir vienādas (kas vēl vairāk sarežģī procesu). Dažas kritisks, cits - sekundārais (vismaz teorētiski, jo avārijas bieži notiek tādu atkarību problēmu dēļ, kuras tika uzskatītas par nekritiskām).

Bez kritiskām atkarībām pakalpojums nevar darboties. Nekritiskas atkarības "nevajadzētu» ietekmēt pakalpojumu kritiena gadījumā. Lai izprastu atkarības, jums ir jābūt skaidrai izpratnei par jūsu lietojumprogrammas izmantotajām API. Tas var būt daudz grūtāk, nekā šķiet – vismaz lieliem lietojumiem.

Sāciet, izpētot visas API. Izcelt visvairāk nozīmīgs un kritisks... Ņem atkarības no kodu krātuves, pārbaudiet to savienojumu žurnāli, pēc tam skatiet dokumentācija (protams, ja tas pastāv - pretējā gadījumā jums joprojām irоlielākas problēmas). Izmantojiet rīkus, lai profilēšana un izsekošana, filtrējiet ārējos zvanus.

Varat izmantot tādas programmas kā netstat - komandrindas utilīta, kas parāda visu sistēmas tīkla savienojumu (aktīvās ligzdas) sarakstu. Piemēram, lai uzskaitītu visus pašreizējos savienojumus, ierakstiet:

❯ netstat -a | more 

AWS varat izmantot plūsmas žurnāli (plūsmas žurnāli) VPC ir metode, kas ļauj apkopot informāciju par IP trafiku, kas iet uz vai no VPC tīkla saskarnēm. Šādi žurnāli var palīdzēt arī citos uzdevumos – piemēram, meklējot atbildi uz jautājumu, kāpēc noteikta trafika nesasniedz instanci.

Varat arī izmantot AWS rentgens. X-Ray ļauj iegūt detalizētu, "galīgo" (no gala līdz galam) pārskatu par pieprasījumiem, kad tie pārvietojas lietojumprogrammā, kā arī izveido lietojumprogrammas pamatā esošo komponentu karti. Ļoti ērti, ja nepieciešams noteikt atkarības.

AWS rentgena konsole

Tīkla atkarības karte ir tikai daļējs risinājums. Jā, tas parāda, kura lietojumprogramma ar kuru sazinās, taču ir arī citas atkarības.

Daudzas lietojumprogrammas izmanto DNS, lai izveidotu savienojumu ar atkarībām, savukārt citas var izmantot pakalpojumu atklāšanu vai pat cieti kodētas IP adreses konfigurācijas failos (piem., /etc/hosts).

Piemēram, jūs varat izveidot DNS melnais caurums via iptables un paskaties, kas saplīst. Lai to izdarītu, ievadiet šādu komandu:

❯ iptables -I OUTPUT -p udp --dport 53 -j REJECT -m comment --comment "Reject DNS"

DNS melnais caurums

Ja /etc/hosts vai citus konfigurācijas failus, jūs atradīsit IP adreses, par kurām jūs neko nezināt (jā, diemžēl, tā arī notiek), varat atkal nākt palīgā iptables. Pieņemsim, ka esat atklājis 8.8.8.8 un nezina, ka šī ir Google publiskā DNS servera adrese. Izmantojot iptables Varat bloķēt ienākošo un izejošo trafiku uz šo adresi, izmantojot šādas komandas:

❯ iptables -A INPUT -s 8.8.8.8 -j DROP -m comment --comment "Reject from 8.8.8.8"
❯ iptables -A OUTPUT -d 8.8.8.8 -j DROP -m comment --comment "Reject to 8.8.8.8"

Tiek slēgta piekļuve

Pirmais noteikums noņem visas paketes no Google publiskā DNS: ping darbojas, bet paketes netiek atgrieztas. Otrais noteikums pamet visas paketes, kas nāk no jūsu sistēmas uz Google publisko DNS — atbildot uz ping mēs saņemam Darbība nav atļauta.

Piezīme: šajā konkrētajā gadījumā to būtu labāk izmantot whois 8.8.8.8, bet tas ir tikai piemērs.

Mēs varam iet vēl dziļāk truša bedrē, jo viss, kas izmanto TCP un UDP, faktiski ir atkarīgs arī no IP. Vairumā gadījumu IP ir piesaistīts ARP. Neaizmirstiet par ugunsmūriem...

Ja iedzersi sarkano tableti, tu paliksi Brīnumzemē, un es tev parādīšu, cik dziļa ir truša bedre.

Radikālāka pieeja ir atvienot mašīnas pa vienai un redzēt, kas salauzts... kļūsti par "haosa mērkaķi". Protams, daudzas ražošanas sistēmas nav paredzētas šādam brutāla spēka uzbrukumam, bet vismaz to var izmēģināt testa vidē.

Atkarības kartes izveide bieži ir ļoti ilgstošs pasākums. Es nesen runāju ar klientu, kurš gandrīz divus gadus pavadīja, izstrādājot rīku, kas pusautomātiski ģenerē atkarības kartes simtiem mikropakalpojumu un komandu.

Tomēr rezultāts ir ļoti interesants un noderīgs. Jūs uzzināsiet daudz par savu sistēmu, tās atkarībām un darbībām. Vēlreiz esiet pacietīgs: pats ceļojums ir vissvarīgākais.

3. Sargieties no pārmērīgas pašpārliecinātības

"Kas par ko sapņo, tas tam tic." — Dēmostens

Vai esat kādreiz dzirdējuši par pārmērīgas pārliecības efekts?

Saskaņā ar Vikipēdiju, pārmērīgas pašpārliecinātības efekts ir "kognitīva novirze, kurā personas pārliecība par savām darbībām un lēmumiem ir ievērojami lielāka par šo spriedumu objektīvo precizitāti, īpaši, ja pārliecības līmenis ir salīdzinoši augsts."

Balstīts uz instinktu un pieredzi...

No savas pieredzes varu teikt, ka šī kropļošana ir lielisks mājiens, kur sākt ar haosa inženieriju.

Uzmanieties no pārāk pašpārliecināta operatora:

Čārlijs: "Šī lieta nav kritusi piecus gadus, viss ir kārtībā!"
Avārija: "Pagaidiet... Es drīz būšu klāt!"

Neobjektivitāte kā pārmērīgas pašpārliecinātības sekas ir mānīga un pat bīstama lieta dažādu to ietekmējošo faktoru dēļ. Tas jo īpaši attiecas uz gadījumiem, kad komandas dalībnieki ir ielikuši sirdi tehnoloģijā vai veltījuši daudz laika tās “labošanai”.

Summējot

Haosa inženierijas sākumpunkta meklēšana vienmēr sniedz vairāk rezultātu, nekā gaidīts, un komandas, kuras pārāk ātri sāk lauzt lietas, aizmirst par globālāko un interesantāko (haosa-) būtību.inženierzinātnes - radoša izmantošana zinātniskās metodes и empīriski pierādījumi (programmatūras) sistēmu projektēšanai, izstrādei, ekspluatācijai, uzturēšanai un uzlabošanai.

Ar to noslēdzas otrā daļa. Lūdzu, rakstiet atsauksmes, dalieties viedokļos vai vienkārši uzsitiet plaukstas vidējs. Nākamajā daļā I tiešām Es apsvēršu rīkus un metodes kļūmju ieviešanai sistēmās. Līdz!

PS no tulka

Lasi arī mūsu emuārā:

• «Haosa inženierija: apzinātas iznīcināšanas māksla. 1. daļa";
• «Kā panākt augstu pieejamību Kubernetes";
• «Monitorings un Kubernetes (pārskats un video reportāža)";
• «Notiek eksperimentēšana ar kube starpniekserveri un mezglu nepieejamību Kubernetes'.

Avots: www.habr.com