很多团队都有类似经历。
平时巡检一切正常,文档里写着主备切换、跨机房容灾,看上去很安全。
真有一个节点挂掉或一个机房出问题时才发现:
切换脚本没人敢按,谁也不确定现在还能不能用。
备链路和备代理池多年不用,一启用就是超时和配置不一致。
原本是单点小故障,最后演变成整条业务线长时间不可用。
这篇文章就围绕一件事展开:
当容灾机制只活在文档里,一次单点故障会被放大到什么程度,以及要怎么把容灾做成按得下去的按钮。
==================================================
一、从单点到全线崩的放大过程
1、切换机制在纸面上存在
典型过程是这样:
文档里写着主挂了就切备机房,备代理池一直在列表里。
实际运行中:
一年没人执行过一次切换脚本。
配置已经改了很多轮,谁也不敢保证结果。
真出故障时,大家先问一句“现在还能不能切”,然后开始开会讨论。
本来几分钟能缩小影响范围。
结果在拉扯和犹豫里耗掉一两个小时。
下游系统等不到响应开始超时和重试,整条链路跟着炸。
2、备侧多年不用,一启用就各种不一致
还有一种常见场景:
备库有,但表结构和索引早已和主库不一样。
备机房有,但业务配置、域名解析、出口代理都停留在旧版本。
备代理池有,但从未跑过真实流量。
切过去之后经常出现:
重要接口直接返回错误。
新功能在备侧没有上线,部分业务行为完全变形。
代理出口还指向原来的路径,用户看起来还是连不上。
原本可以靠切到备侧削峰止损的小范围故障,
硬生生变成一次又长又乱的生产事故。
==================================================
二、根本原因是不知道“故障边界”在哪
1、只有方案,没有故障域
很多系统确实有主备方案,
但缺少两件关键东西:
什么程度算局部故障,只需要在本机房内处理。
什么程度必须要从一个区域切到另一个区域,甚至要切代理池。
没有清晰故障域边界:
小问题没人切,大问题大家都想切,但已经来不及。
任何切换都像豪赌,于是平时不演练,真出事更不敢按。
2、配置和依赖长期漂移
文档里的主备关系,对应的是很久以前的真实拓扑。
新功能上线只动主侧,备侧未必跟。
调用方式从直连改成走代理、走网关,文档不一定更新。
时间久了,主备只是名字相同。
要走同一条容灾路径,实际上是两套越来越不同的系统。
==================================================
三、先把“故障域”和“谁能切”讲清楚
1、一条请求路径上有多少故障域
从一条典型请求倒推,把完整链路画出来:
用户或脚本进入入口网关和代理出口。
网关进入内部服务和存储。
内部服务访问外部平台和第三方接口。
逐段标出:
哪些组件有主备,哪些还是单点。
每一段故障会影响到哪些业务和区域。
哪些环节只切上游没有意义,必须连出口和路由一起动。
最后总结出几个清晰故障域:
单节点故障,只下线本节点。
单机房故障,迁移整片服务和出口。
代理池或出口级故障,调整所有依赖该出口的路径。
2、把“何时切”和“谁能切”写成规则
容灾能不能用,关键不在脚本,而在规则。
至少要确定:
哪些指标出现时可以先观察。
哪些指标出现时必须在限定时间内切出当前故障域。
哪些角色有权发起哪一种级别的切换。
例如:
单节点成功率连续下降到很低,就自动将该节点移出集群。
机房整体延迟持续超阈值且无明显恢复趋势,由值班负责人确认后切到备机房。
代理池连续健康检查失败,由网络或运维在控制台内一键切备池并降低主池权重。
这样每一次切换都有依据,不再完全靠临场判断。
==================================================
四、让出口和代理层真正变成可切的基础设施
1、出口也要按故障域分组
很多跨区和多平台的系统,出口本身就是公共关键点。
如果不把代理层纳入容灾设计,很多服务侧的主备切换都会被出口拖后腿。
比较实用的做法,是用易路代理这类统一出口平台,把线路按区域和用途拆组:
区域级出口池,
例如 US CORE、EU CORE、SEA CORE,对应不同区域业务。
业务级出口池,
例如 BIZ LOGIN、BIZ SENSITIVE、SPIDER POOL,分别承载账号类访问和采集任务。
灾备级出口池,
与核心池同区域但不同节点,只在主池异常时接力。
故障发生时:
只对出问题那一组出口池做降权或切换。
只把采集流量迁走,账号层尽量留在最稳的线路上。
2、健康检查和熔断要和真实流量打通
以易路为例,可以这样做:
用轻量脚本定时访问关键站点页面,记录延迟和成功率。
结合易路面板里的节点状态,判断是哪部分出口只对你不友好。
在自己的调度层里配置规则:
连续多次健康检查失败时,自动给该出口池降权或暂时切出。
优先从采集和低优先级业务抽压力。
账号登录和敏感操作只在状态良好的出口组之间流动。
这样,出口不再是一个看着在线的黑盒,而是有健康度、有容灾动作的基础设施。
==================================================
真正危险的容灾机制不是没有,而是只写在文档里。
故障域没画清,切换没有边界,出口和代理层长期被忽视,
一个单点就能拖垮整个业务面。
反过来看,只要愿意做三件事:
画清链路和故障域,写明什么情况要切、谁可以切。
为不同业务和区域准备独立服务池和出口池,并定期在真实流量下演练。
用易路这类支持线路分组和观测的代理平台,把出口级容灾也做成一个真实可操作的按钮。
系统在高峰和事故里的行为,就会从随缘存活,变成可预测、可控制和可恢复的状态。