Top fakapov Cyan

Labi visiem! 

Mani sauc Ņikita, es esmu Cian inženieru komandas komandas vadītājs. Viens no maniem pienākumiem uzņēmumā ir līdz nullei samazināt ar infrastruktūru saistīto incidentu skaitu ražošanā.
Tas, kas tiks apspriests tālāk, sagādāja mums daudz sāpju, un šī raksta mērķis ir neļaut citiem cilvēkiem atkārtot mūsu kļūdas vai vismaz samazināt to ietekmi. 

Preambula

Sen, kad Cian sastāvēja no monolītiem un vēl nebija ne miņas no mikropakalpojumiem, mēs izmērījām resursa pieejamību, pārbaudot 3-5 lapas. 

Viņi atbild - viss ir kārtībā, ja viņi ilgu laiku neatbild - modri. Cik ilgi viņiem bija jābūt bez darba, lai to uzskatītu par incidentu, cilvēki lēma sanāksmēs. Negadījuma izmeklēšanā vienmēr bija iesaistīta inženieru komanda. Kad izmeklēšana bija pabeigta, viņi uzrakstīja pēcnāves ziņojumu – sava veida ziņojumu pa e-pastu šādā formātā: kas noticis, cik ilgi tas ilga, ko mēs darījām šobrīd, ko darīsim turpmāk. 

Vietnes galvenās lapas jeb kā mēs saprotam, ka esam trāpījuši apakšā

 
Lai kaut kā izprastu kļūdas prioritāti, esam noteikuši biznesa funkcionalitātei vissvarīgākās vietnes lapas. Izmantojot tos, mēs uzskaitām veiksmīgo/neveiksmīgo pieprasījumu un taimautu skaitu. Šādi mēs novērtējam darbības laiku. 

Teiksim, mēs noskaidrojām, ka vietnē ir vairākas īpaši svarīgas sadaļas, kas ir atbildīgas par galveno pakalpojumu - sludinājumu meklēšanu un iesniegšanu. Ja neveiksmīgo pieprasījumu skaits pārsniedz 1%, tas ir kritisks incidents. Ja 15 minūšu laikā vislabākajā laikā kļūdu līmenis pārsniedz 0,1%, tad arī tas tiek uzskatīts par kritisku incidentu. Šie kritēriji attiecas uz lielāko daļu incidentu; pārējie ir ārpus šī raksta darbības jomas.

Labākie incidenti Cyan

Tātad, mēs noteikti esam iemācījušies noteikt faktu, ka noticis incidents. 

Tagad katrs incidents ir sīki aprakstīts un atspoguļots Jira eposā. Starp citu: šim nolūkam mēs sākām atsevišķu projektu, ko sauca par FAIL - tajā var izveidot tikai epikus. 

Ja apkopojat visas pēdējo gadu neveiksmes, līderi ir: 

• ar mssql saistīti incidenti;
• ārēju faktoru izraisīti incidenti;
• admin kļūdas.

Apskatīsim sīkāk administratoru kļūdas, kā arī dažas citas interesantas neveiksmes.

Piektā vieta - “Sakārtot lietas DNS”

Tā bija vētraina otrdiena. Mēs nolēmām atjaunot kārtību DNS klasterī. 

Es gribēju pārsūtīt iekšējos DNS serverus no bind uz powerdns, piešķirot tam pilnīgi atsevišķus serverus, kur nav nekā, izņemot DNS. 

Mēs ievietojām vienu DNS serveri katrā mūsu DC vietā, un pienāca brīdis pārvietot zonas no saistīšanas uz powerdns un pārslēgt infrastruktūru uz jauniem serveriem. 

Pārvietošanās laikā no visiem serveriem, kas bija norādīti vietējās kešatmiņas saitēs visos serveros, palika tikai viens, kas atradās datu centrā Sanktpēterburgā. Šis DC sākotnēji tika pasludināts par mums nekritisku, taču pēkšņi kļuva par vienu neveiksmes punktu.
Tieši šajā pārvietošanas periodā nogāzās kanāls starp Maskavu un Sanktpēterburgu. Mēs faktiski palikām bez DNS piecas minūtes un atgriezāmies, kad mitinātājs novērsa problēmu. 

Secinājumi:

Ja agrāk, gatavojoties darbam, mēs atstājām novārtā ārējos faktorus, tad tagad arī tie ir iekļauti sarakstā, kam gatavojamies. Un tagad mēs cenšamies nodrošināt, lai visi komponenti būtu rezervēti n-2, un darba laikā mēs varam pazemināt šo līmeni līdz n-1.

• Sastādot rīcības plānu, atzīmējiet punktus, kur pakalpojums varētu neizdoties, un iepriekš pārdomājiet scenāriju, kurā viss noritēja “no slikta uz sliktāku”.
• Izplatiet iekšējos DNS serverus pa dažādām ģeogrāfiskajām atrašanās vietām/datu centriem/statīviem/slēdžiem/ievadēm.
• Katrā serverī instalējiet lokālo kešatmiņas DNS serveri, kas novirza pieprasījumus uz galvenajiem DNS serveriem, un, ja tas nav pieejams, tas atbildēs no kešatmiņas. 

Ceturtā vieta - “Lietu sakopšana Nginksā”

Kādā jaukā dienā mūsu komanda nolēma, ka “mums ar to ir gana”, un sākās nginx konfigurāciju pārveidošanas process. Galvenais mērķis ir izveidot konfigurācijas intuitīvā struktūrā. Iepriekš viss bija “vēsturiski izveidots”, un tam nebija nekādas loģikas. Tagad katrs servera_nosaukums ir pārvietots uz tāda paša nosaukuma failu, un visas konfigurācijas ir sadalītas mapēs. Starp citu, konfigurācijā ir 253949 rindiņas vai 7836520 rakstzīmes un tā aizņem gandrīz 7 megabaitus. Augstākais struktūras līmenis: 

Nginx struktūra

├── access
│   ├── allow.list
...
│   └── whitelist.conf
├── geobase
│   ├── exclude.conf
...
│   └── geo_ip_to_region_id.conf
├── geodb
│   ├── GeoIP.dat
│   ├── GeoIP2-Country.mmdb
│   └── GeoLiteCity.dat
├── inc
│   ├── error.inc
...
│   └── proxy.inc
├── lists.d
│   ├── bot.conf
...
│   ├── dynamic
│   └── geo.conf
├── lua
│   ├── cookie.lua
│   ├── log
│   │   └── log.lua
│   ├── logics
│   │   ├── include.lua
│   │   ├── ...
│   │   └── utils.lua
│   └── prom
│       ├── stats.lua
│       └── stats_prometheus.lua
├── map.d
│   ├── access.conf
│   ├── .. 
│   └── zones.conf
├── nginx.conf
├── robots.txt
├── server.d
│   ├── cian.ru
│   │   ├── cian.ru.conf
│   │   ├── ...
│   │   └── my.cian.ru.conf
├── service.d
│   ├── ...
│   └── status.conf
└── upstream.d
    ├── cian-mcs.conf
    ├── ...
    └── wafserver.conf

Tas kļuva daudz labāks, taču konfigurāciju pārdēvēšanas un izplatīšanas procesā dažām no tām bija nepareizs paplašinājums un tās netika iekļautas direktīvā include *.conf. Rezultātā daži saimnieki kļuva nepieejami un atgrieza 301 galvenajā lapā. Sakarā ar to, ka atbildes kods nebija 5xx/4xx, tas netika pamanīts uzreiz, bet tikai no rīta. Pēc tam mēs sākām rakstīt testus, lai pārbaudītu infrastruktūras komponentus.

Secinājumi: 

• Pareizi strukturējiet savas konfigurācijas (ne tikai nginx) un pārdomājiet struktūru projekta agrīnā stadijā. Tādā veidā jūs padarīsiet tos saprotamākus komandai, kas savukārt samazinās TTM.
• Uzrakstiet testus dažiem infrastruktūras komponentiem. Piemēram: pārbaudiet, vai visiem atslēgas servera_nosaukumiem ir pareizs statuss + atbildes pamatteksts. Pietiks tikai ar dažiem skriptiem, kas pārbauda komponenta pamatfunkcijas, lai trijos no rīta drudžaini neatcerētos, kas vēl ir jāpārbauda. 

Trešā vieta - “Pēkšņi Kasandrā pietrūka vietas”

Dati nepārtraukti auga, un viss bija kārtībā līdz brīdim, kad Cassandra klasterī sāka nedarboties lielo korpusu remonts, jo uz tiem nevarēja strādāt blīvēšana. 

Kādā vētrainā dienā klasteris gandrīz pārvērtās par ķirbi, proti:

• klasterī bija palikuši aptuveni 20% no kopējās vietas;
• Nav iespējams pilnībā pievienot mezglus, jo tīrīšana nenotiek pēc mezgla pievienošanas, jo starpsienās trūkst vietas;
• produktivitāte pakāpeniski samazinās, jo blīvēšana nedarbojas; 
• Klasteris ir avārijas režīmā.

Iziet — mēs pievienojām vēl 5 mezglus bez tīrīšanas, pēc tam sākām tos sistemātiski noņemt no klastera un atkārtoti ievadīt, piemēram, tukšus mezglus, kuriem bija beigusies vieta. Tika pavadīts daudz vairāk laika, nekā mēs vēlētos. Pastāvēja klastera daļējas vai pilnīgas nepieejamības risks. 

Secinājumi:

• Visos cassandra serveros nedrīkst aizņemt vairāk kā 60% vietas katrā nodalījumā. 
• Tie ir jāielādē ar ne vairāk kā 50% CPU.
• Jums nevajadzētu aizmirst par jaudas plānošanu un rūpīgi pārdomāt katru komponentu, pamatojoties uz tā specifiku.
• Jo vairāk mezglu klasterī, jo labāk. Serveri, kuros ir neliels datu apjoms, tiek pārslogoti ātrāk, un šādu kopu ir vieglāk atdzīvināt. 

Otrā vieta - “Dati pazuda no konsula atslēgas vērtību krātuves”

Pakalpojumu atklāšanai mēs, tāpat kā daudzi, izmantojam konsulu. Bet mēs izmantojam arī tās atslēgas vērtību monolīta zili zaļajam izkārtojumam. Tajā tiek glabāta informācija par aktīvajām un neaktīvajām augštecēm, kas izvietošanas laikā mainās vietām. Šim nolūkam tika uzrakstīts izvietošanas pakalpojums, kas sadarbojās ar KV. Kādā brīdī dati no KV pazuda. Atjaunots no atmiņas, bet ar vairākām kļūdām. Rezultātā augšupielādes laikā augšējo plūsmu slodze tika sadalīta nevienmērīgi, un mēs saņēmām daudzas 502 kļūdas, jo centrālā procesora aizmugursistēmas tika pārslogotas. Rezultātā mēs no konsula KV pārcēlāmies uz postgresu, no kurienes tos vairs nav tik vienkārši noņemt.  

Secinājumi:

• Pakalpojumos bez jebkādas atļaujas nedrīkst būt dati, kas ir būtiski vietnes darbībai. Piemēram, ja jums nav autorizācijas ES, labāk būtu liegt piekļuvi tīkla līmenī no visur, kur tas nav nepieciešams, atstāt tikai nepieciešamos, kā arī iestatīt action.desstructive_requires_name: true.
• Iepriekš praktizējiet dublēšanas un atkopšanas mehānismu. Piemēram, iepriekš izveidojiet skriptu (piemēram, python), kas var dublēt un atjaunot.

Pirmā vieta - "Captain Unobvious" 

Kādā brīdī mēs pamanījām nevienmērīgu slodzes sadalījumu nginx augšpusē gadījumos, kad aizmugursistēmā bija 10+ serveri. Sakarā ar to, ka apļveida robots sūtīja pieprasījumus no 1. līdz pēdējai augšpusei un katra nginx pārlādēšana sākās no jauna, pirmās augšupējās plūsmas vienmēr saņēma vairāk pieprasījumu nekā pārējās. Rezultātā tie darbojās lēnāk un cieta visa vietne. Tas kļuva arvien pamanāmāks, palielinoties satiksmes apjomam. Vienkārša nginx atjaunināšana, lai iespējotu izlases veidu, neizdevās — mums ir jāpārveido virkne lua koda, kas (tajā brīdī) netika palaista 1.15 versijā. Mums bija jāuzlabo mūsu nginx 1.14.2, ieviešot tajā nejaušu atbalstu. Tas atrisināja problēmu. Šī kļūda iegūst kategoriju “Kapteinis, kas nav acīmredzams”.

Secinājumi:

Bija ļoti interesanti un aizraujoši izpētīt šo kļūdu). 

• Organizējiet uzraudzību tā, lai tas palīdzētu ātri atrast šādas svārstības. Piemēram, varat izmantot ELK, lai uzraudzītu rps katrā katras augšpuses aizmugurē, pārraudzītu to reakcijas laiku no nginx viedokļa. Šajā gadījumā tas mums palīdzēja noteikt problēmu. 

Tā rezultātā lielāko daļu neveiksmju varēja izvairīties, rūpīgāk pievēršoties tam, ko darāt. Mums vienmēr jāatceras Mērfija likums: Viss, kas var noiet greizi, noies greizi, un veidot komponentus, pamatojoties uz to. 

Avots: www.habr.com