关于“某季度核心交易系统熔断机制失效”的故障复盘 凌晨两点,当全网流量像洪水一样冲垮了备选架构的奇美亚网关(GCP)时,我们才发现那层用来兜底的保险丝早就烧了。别急着去念啥“复盘了”,实际上这场事故就形成在我们睡前打了一个哈欠的时候。 那天晚上十点半,业务部门突然通知要做个紧急的大促活动,原本的盘算是异步处理、延迟败者。结局公司拍板还是走主链路,哪怕被验证过是高危场景。
那时候整个系统正在处理一批庞大的电商订单,延迟已经到了 2000 毫秒。我们在那边盯着日志,看到一条条红色的报错,像疯了一样刷屏。 最离谱的是那一小段代码逻辑,纯粹是出于某个单元测试的变量没更新就进了造环境。
本来应当有个 safeguard 做保护,结局那个变量在那儿飘啊飘,最终直接害得系统直接崩了。
这时候我认定,我们所有的监控工具实际上都是摆设。我们花了大价钱上 APM,买了 K8s,配置了各种 Alert,可一旦需求变了,要么某个测试用例跑偏了,这些玩意儿立马就沉默了。 那段工夫我们简直不敢动。我在群里发消息,问能不能再什么的那 20 分钟?产品经理回答:不中,活动已经在进行了。客服那边启动崩溃,用户数量呈指数级增长,就连有人启动刷屏投诉。
这时候我不得不承认,我们的防御体系在极端情况下是脆弱的。我们当作的高并发处理本事,在真世界的流量冲击面前,显得那么不堪一击。 自然,这也不是唯一的教训。上周我们推了一套新的预警方案,花了三个月,结局上线前才发现配置错了。
当时我当作我们搞砸了,结局花重金买的工具直接没动。
那一刻我特别焦虑,感觉整个项目都悬了。最终还是有人熬夜手动调整了参数,才勉强救场。
这件事让我明白,工具只是辅助,真正的难题是大家对系统的理解不够深入,要么是在测试阶段就埋下了伏笔。 说到测试,那才是最头疼的地方。我们每次上线前总想着把所有场景都覆盖一遍,结局就是文档和代码打架,配置和逻辑互斥。有一回,我们在测试环境推了个分页加载的优化方案,说好了是降成本的,结局上线后发现页面加载直接变成卡死。
这是出于测试环境的数据量别看大,但少了那种特殊的“脏数据”场景。我们只测了正常和异常,没测过那种“千疮百孔”的边界情况。 这种状况目前反过来看,简直不可思议。我们在写代码的时候,总想着优化逻辑,结局忽略了性能;在配置环境的时候,总想着精简资源,结局忽略了兼容性。我们当作自己在做技术,实际上是在玩火。 反思到这里,我认定我们早就对这类难题麻木了。就像骑脚踏车,明明知道前面有坑,可每次出发的时候,脚还是落在那儿不动。直到那天突然下雨,要么突然遇到一个大风,我们才发现骑车变得难如登天。 最终,关于如何改进。我不打算写长篇大论的方案,只想说点实在的。
第一,砍掉那些花里胡哨的监控指标,把重点放在真正的业务指标上。
第二,得重新审视我们的测试流程,不能再只盯着功能验证,得加入混沌工程,要在开发阶段就故意制造故障,看看系统有多抗造。
第三,也是最关键的一点,得把对系统的信任重新建立起来。 最近我发现,我们团队里有人启动揪心技术了。
那会儿大家认定只要成本降下来就行,目前大家启动图保险,怕出事。
这实际上是个好现象,说明大家启动意识到风险的关键性了。希望未来的项目中,能再少一点侥幸,多一点敬畏。
毕竟,系统修好了固然好,但过不去的坎儿,才是真正考验我们本事的地方。