AWS首席技術(shù)官WernerVogels談到了針對故障的設(shè)計(jì)架構(gòu),他表示,無論你或你的云供應(yīng)商在數(shù)據(jù)中心運(yùn)營方面有多出色,數(shù)據(jù)中心總有一天會中斷。
即使是規(guī)模最大、最成功的公司也會成為故障的受害者——Facebook、Slack和AWS最近就是例子。雖然并非所有的停機(jī)都是云造成的,但AWS最近的一個(gè)例子已經(jīng)證明,有可行的、主動的業(yè)務(wù)連續(xù)性(BCP)和災(zāi)難恢復(fù)(DR)計(jì)劃,以及每一個(gè)計(jì)劃的運(yùn)行手冊,都能帶來不同。
雖然BCP和災(zāi)難恢復(fù)通常被歸為一類,但業(yè)務(wù)連續(xù)性往往比災(zāi)難恢復(fù)更常見,勞動強(qiáng)度也更低。BCP通常指的是典型的云中斷,而DR指的是由于惡意行為或其他破壞性事件導(dǎo)致所有數(shù)據(jù)完全銷毀的情況。對于BCP計(jì)劃,數(shù)據(jù)和服務(wù)器的多個(gè)副本通常就足夠了,而災(zāi)難恢復(fù)計(jì)劃要求有更多的備份和協(xié)議。
另一個(gè)需要確定的重要方面是恢復(fù)點(diǎn)目標(biāo)(RPO)和恢復(fù)時(shí)間目標(biāo)(RTO)。RTO是指在從災(zāi)難中恢復(fù)時(shí),企業(yè)能夠承受的斷開連接的時(shí)間量,而RPO是指在不損害企業(yè)聲譽(yù)或違反服務(wù)級別協(xié)議(SLA)的情況下,你在災(zāi)難中可能丟失的數(shù)據(jù)量(例如,24小時(shí))。
既然已經(jīng)確定了這些重要因素,那么在發(fā)生另一次云中斷或任何其他可能出現(xiàn)的問題時(shí),如何保護(hù)你的組織?以下是在最壞情況發(fā)生后準(zhǔn)備和恢復(fù)服務(wù)的一些步驟。
創(chuàng)建多可用性區(qū)域部署
BCP最簡單、最常見的架構(gòu)是在同一區(qū)域內(nèi)至少使用兩個(gè)可用性區(qū)域(AZ)。例如,在AWS上,每個(gè)區(qū)域由三個(gè)AZ組成,它們彼此相對靠近,通過專用光纖和低延遲連接連接。這可以保持服務(wù)正常運(yùn)行,以便在一個(gè)AZ出現(xiàn)故障時(shí)繼續(xù)為客戶提供服務(wù)。
云提供商傾向于將其服務(wù)分布在多個(gè)AZ(例如AmazonS3、AmazonDynamoDB、GoogleCloudSpaner等)。因此,它們被設(shè)計(jì)用來處理AZ故障。
注意,需要考慮到此類架構(gòu)可能涉及設(shè)計(jì)階段需要考慮的內(nèi)部成本。
在多區(qū)域部署中使用單個(gè)AZ
在這個(gè)場景中,你將在兩個(gè)不同區(qū)域的一個(gè)AZ上實(shí)現(xiàn)應(yīng)用程序和數(shù)據(jù)庫。這使你能夠在一個(gè)地區(qū)出現(xiàn)停機(jī)時(shí)提供服務(wù)。
這兩個(gè)AZ可以通過以下幾種方式部署:
——每個(gè)地區(qū)將使用負(fù)載均衡器或DNS(域名系統(tǒng))路由為50%的工作負(fù)載提供服務(wù)。
——主區(qū)域?qū)榇蟛糠只蛩辛髁刻峁┓?wù),第二個(gè)區(qū)域?qū)⒃诔霈F(xiàn)故障時(shí)為用戶提供服務(wù)。如果選擇此路線,可能需要自動執(zhí)行此故障切換任務(wù)。
使用多AZ和多區(qū)域部署
最近一次AWS大故障發(fā)生在北弗吉尼亞州(US-East-1)地區(qū),由于網(wǎng)絡(luò)影響,影響了整個(gè)地區(qū)。如果你所有的基本工作負(fù)載都在該地區(qū)運(yùn)行,那么你的服務(wù)將不可避免地受到影響。這意味著在該地區(qū)的AWS服務(wù)恢復(fù)之前,你的所有服務(wù)都將暫停——你把所有的雞蛋放在一個(gè)籃子里!這是一種罕見的情況,網(wǎng)絡(luò)故障會影響多個(gè)AZ。
對于這種情況,最好的保護(hù)措施是在不同的位置運(yùn)行不同的工作負(fù)載和備份,這樣,如果一個(gè)地區(qū)出現(xiàn)故障,你可以繼續(xù)為來自不同地區(qū)的客戶提供服務(wù)。
當(dāng)然,運(yùn)行的區(qū)域越多,環(huán)境就越復(fù)雜,云賬單也就越昂貴。因此,考慮到你的產(chǎn)品實(shí)際上有多重要,在哪里和多少地區(qū)建立業(yè)務(wù)時(shí)要有策略。你將需要付出額外的努力,以確保你的產(chǎn)品在所有情況下都能發(fā)揮作用,從而保證盡可能實(shí)現(xiàn)地區(qū)多元化。
在多云或混合部署上運(yùn)行
在多個(gè)云提供商上運(yùn)行已經(jīng)變得越來越流行。但現(xiàn)實(shí)是,維護(hù)多個(gè)云環(huán)境非常困難,當(dāng)你使用托管服務(wù)時(shí),這一挑戰(zhàn)變得更加困難。例如,如果你使用的是AmazonDynamoDB,則其他云提供商無法提供類似的解決方案。
因此,行業(yè)趨勢是在一個(gè)特定的云上(在一個(gè)多AZ或多地區(qū)架構(gòu)上)運(yùn)行每個(gè)工作負(fù)載,但允許不同的工作負(fù)載在不同的其他云上運(yùn)行——這意味著你可以在兩個(gè)不同的云提供商之間拆分部分服務(wù)。在這種情況下,發(fā)生停機(jī)時(shí)并非所有系統(tǒng)都停機(jī)。
或者,另一種常見做法是在內(nèi)部設(shè)置DR站點(diǎn)。當(dāng)客戶將其工作負(fù)載遷移到云端時(shí),他們傾向于將本地作為災(zāi)難恢復(fù)站點(diǎn)使用,因此如果出現(xiàn)問題,他們將能夠在本地運(yùn)行一些關(guān)鍵服務(wù)。當(dāng)公司的云成熟度處于初始階段,并且沒有使用托管服務(wù)時(shí),這是一個(gè)很好的實(shí)踐。
創(chuàng)建備份
雖然上述所有解決方案都是BCP的理想解決方案,但在數(shù)據(jù)被加密或刪除的情況下,它們行不通,需要可靠的災(zāi)難恢復(fù)策略。因此,除了為你的服務(wù)提供多個(gè)實(shí)施之外,你可能還需要一個(gè)可靠的備份計(jì)劃,以滿足公司的RPO和RTO要求。
有許多第三方備份解決方案和云備份服務(wù)可用,例如AWSBackup,它們可以幫助你實(shí)現(xiàn)備份自動化,并將備份保存到單獨(dú)的賬戶和區(qū)域。你應(yīng)該像保護(hù)金庫一樣保護(hù)備份賬戶,這樣它就可以抵御攻擊,將數(shù)據(jù)加密。
如果發(fā)生此類攻擊,備份賬戶上的數(shù)據(jù)將用于恢復(fù)服務(wù),以便繼續(xù)為客戶提供服務(wù)。
已經(jīng)介紹了為云環(huán)境構(gòu)建BCP和DR計(jì)劃的最常用方法,讓我們討論一下可用于實(shí)現(xiàn)這些方法的工具:
利用基礎(chǔ)設(shè)施即代碼
基礎(chǔ)設(shè)施即代碼(IaC)可以實(shí)現(xiàn)環(huán)境的自動配置。一旦配置了要使用的參數(shù),它將被保存到主文件中,也就是清單。從那里,你的環(huán)境可以自動重新創(chuàng)建,用于測試、災(zāi)難恢復(fù)或各種其他情況。
對容器使用縮放規(guī)則
如果你使用的是容器,那么基于各種度量實(shí)現(xiàn)縮放規(guī)則會非常有幫助。可以向上縮放以增加同一塊中的簇,也可以向外縮放,這將復(fù)制實(shí)例。通過實(shí)施擴(kuò)展規(guī)則,你可以輕松備份和恢復(fù)基于容器的應(yīng)用程序,以便在出現(xiàn)停機(jī)時(shí)檢索所有重要的工作負(fù)載。理想情況下,你需要在容器和實(shí)例級別上進(jìn)行縮放,以使其最有效。
重新路由DNS請求
如果一個(gè)位置的服務(wù)器關(guān)閉,你可以將所有請求重新路由到運(yùn)行服務(wù)的其他位置。可以將Cloudflare等DNS提供商配置為檢測系統(tǒng)何時(shí)關(guān)閉,并自動執(zhí)行基于地理位置的重新路由。
同樣,你還可以設(shè)置容器編排器來定義和自動化各種重新路由請求的規(guī)則。我們建議同時(shí)實(shí)現(xiàn)自動縮放以確保可用性,并使用AmazonECS來實(shí)現(xiàn)重路由請求。
設(shè)置指示燈以在多個(gè)位置運(yùn)行
另一個(gè)推薦的業(yè)務(wù)連續(xù)性策略是運(yùn)行試點(diǎn)燈,它本質(zhì)上是在不同區(qū)域備用運(yùn)行的工作負(fù)載的復(fù)制版本。如果發(fā)生災(zāi)難,所有數(shù)據(jù)都將保存在那里,隨時(shí)準(zhǔn)備進(jìn)行設(shè)置。只需在事件發(fā)生后部署基礎(chǔ)設(shè)施并擴(kuò)展資源,產(chǎn)品就應(yīng)該立即啟動并運(yùn)行。
如果不能有任何停機(jī)時(shí)間,你可能需要考慮運(yùn)行熱備用。根據(jù)AWS的說法,“熱備用方法包括確保在另一個(gè)地區(qū)有一個(gè)縮小的、但功能齊全的生產(chǎn)環(huán)境副本。這種方法擴(kuò)展了指示燈概念,減少了恢復(fù)時(shí)間,因?yàn)楣ぷ髫?fù)載總是在另一個(gè)地區(qū)。”
雖然成本要高得多,但熱備用的啟動和運(yùn)行速度將比指示燈快,因?yàn)椴恍枰A(chǔ)設(shè)施設(shè)置。
總結(jié)
在災(zāi)難恢復(fù)方面,抱最好的希望,做最壞的打算是最重要的規(guī)則之一。云中斷可能會發(fā)生在任何人身上,不會有任何事先通知。
通過遵循上述策略,你可以確保服務(wù)在多個(gè)位置可用,可以輕松地將流量轉(zhuǎn)移到未受影響的區(qū)域,并在災(zāi)難發(fā)生時(shí)做好備份和行動準(zhǔn)備。最好的是,你可以放輕松,企業(yè)的功能和信譽(yù)保持在最高標(biāo)準(zhǔn)。
