簡介：臺灣作家林清玄在接受記者采訪的時候，如此評價自己 30 多年寫作生涯：“第一個十年我才華橫溢，‘賊光閃現(xiàn)’，令周邊黯然失色；第二個十年，我終于‘寶光現(xiàn)形’，不再去搶風頭，反而與身邊的美麗相得益彰；進入第三個十年，繁華落盡見真醇，我進入了‘醇光初現(xiàn)’的階段，真正體味到了境界之美”。

作者 | ?韓堂、柘遠、沉醉
來源 | 阿里巴巴云原生公眾號
?

前言

臺灣作家林清玄在接受記者采訪的時候，如此評價自己 30 多年寫作生涯：“第一個十年我才華橫溢，‘賊光閃現(xiàn)’，令周邊黯然失色；第二個十年，我終于‘寶光現(xiàn)形’，不再去搶風頭，反而與身邊的美麗相得益彰；進入第三個十年，繁華落盡見真醇，我進入了‘醇光初現(xiàn)’的階段，真正體味到了境界之美”。
?
長夜有窮，真水無香。領略過了 K8s“身在江湖”的那種驚心動魄以及它那生態(tài)系統(tǒng)的繁花似錦，該是回過頭來體味高可用體系境界之美的時候了。畢竟僅能經得起敲打還是不能獨步武林的！
?
在 K8s 高可用領域有一個問題被大家所熟知，那就是 K8s 單集群規(guī)模帶來的 SLO 問題，如何持續(xù)保障？今天就以單集群的規(guī)模增長帶來的高可用挑戰(zhàn)來作為引子來給大家一個體感。
?
ASI 單集群規(guī)模支撐超過社區(qū)的 5000 臺，這是個非常有意思且具備極大挑戰(zhàn)的事情，對需要進行 K8s 生產化的同學，甚至具備 K8s 生產化經驗的同學來說，一定會是個感興趣的話題?；乜?ASI 單集群規(guī)模從 100 到 10000 的發(fā)展之路，伴隨著業(yè)務的增長和創(chuàng)新帶來的每一次集群規(guī)模增長，都在逐步使我們的壓力和挑戰(zhàn)發(fā)生質變。
?

ASI：Alibaba Serverless infrastructure，阿里巴巴針對云原生應用設計的統(tǒng)一基礎設施，ASI 是阿里公共云服務 ACK 的阿里集團企業(yè)版。

大家知道 K8s 社區(qū)只能夠支撐五千個節(jié)點，當超過這個規(guī)模時，會出現(xiàn)各種性能瓶頸問題，比如：

• etcd 出現(xiàn)大量的讀寫延遲。
• kube-apiserver 查詢 pods/nodes 延時很高，甚至導致 etcd oom。
• 控制器無法及時感知數(shù)據變化，如出現(xiàn) watch 數(shù)據延遲。

以電商場景為例，100 節(jié)點增長到 4 千節(jié)點的時候，我們提前針對 ASI apiserver 的客戶端和服務端做了大量的性能優(yōu)化，從 apiserver 客戶端的角度優(yōu)先訪問本地 cache，在客戶端去做負載均衡；apiserver 服務端主要做了 watch 優(yōu)化和 cache 索引優(yōu)化；在 etcd 內核上利用并發(fā)讀提升單 etcd 集群讀處理能力，基于 hashmap 的 freelist 管理新算法提高 etcd 存儲上限，基于 raft learner 技術來提高多備能力等等。
?
從 4 千節(jié)點增長到 8 千節(jié)點，我們又做了 qps 限流管理和容量管理優(yōu)化、etcd 單資源對象存儲拆分、組件規(guī)范全生命周期落地通過客戶端的規(guī)范約束降低對 apiserver 的壓力和以及穿透到 etcd 的壓力等等。
?
終于迎來 8 千節(jié)點增長到上萬節(jié)點的時刻，我們開始如火如荼地開展 etcdcompact 算法優(yōu)化；etcd 單節(jié)點多 multiboltdb 的架構優(yōu)化，apiserver 的服務端數(shù)據壓縮，通過組件治理降低 etcd 寫放大等；同時開始打造常態(tài)化的壓測服務能力，持續(xù)回答 ASI 的 SLO。
?
這些例子在高可用挑戰(zhàn)中司空見慣，列出的能力也只是其中一小部分，你也許很難看到能力之間的關聯(lián)和底層的演進邏輯。當然，更多的能力建設沉淀到了我們的系統(tǒng)和機制當中。本篇文章會作為一個開始，以綜述的形式分享我們在建設 ASI 全局高可用體系中的幾個關鍵部分，再往后會有針對性地對進行技術點和演進路線的詳解。如果大家有什么問題或者希望了解的部分，歡迎在評論區(qū)留言。

ASI 全局高可用概述

高可用是個比較復雜的命題，任何日常的變化例如服務升級、硬件更新、數(shù)據遷移、流量突增等都可能造成服務 SLO 受損，甚至不可用。
?
ASI 作為容器平臺，并非孤立存在，而是與云底層及公共服務形成完備的生態(tài)系統(tǒng)。要解決 ASI 的高可用問題，需要縱觀全局，找出每層的最優(yōu)解，最終串聯(lián)組成最優(yōu)的整體解決方案。涉及到的層面包括：
?

• 云基礎相關管理，包括可用區(qū)的選擇，規(guī)劃和硬件資產的管理
• 節(jié)點的管理
• ASI 集群管理
• 公共服務
• 集群運維
• 應用研發(fā)

特別是在 ASI 這個場景下，要支撐的業(yè)務集群數(shù)量龐大，涉及到的研發(fā)運維人員眾多，功能發(fā)布頻繁的迭代開發(fā)模式以及業(yè)務種類繁多帶來的運行時的復雜多變，相比其他容器平臺來看，ASI 高可用面臨更多的挑戰(zhàn)，其難度不言而喻。
?

ASI 全局高可用設計

如下圖所示，現(xiàn)階段高可用能力建設整體策略以 1-5-10（故障 1 分種發(fā)現(xiàn)、5 分鐘定位、10 分鐘止損）為目標牽引，注重將能力沉淀到系統(tǒng)或機制中，讓 SRE/Dev 能夠無差別的 oncall。??
?
盡量避免發(fā)生問題、盡快發(fā)現(xiàn)、定位及恢復問題，是實現(xiàn)目標的關鍵，為此我們將 ASI 全局高可用體系的實現(xiàn)分三大部分展開：一是基礎能力建設；二是應急體系建設；三是通過常態(tài)化壓測以及故障演練等完成上述能力的保鮮和持續(xù)演進。?
?

通過 3 個部分的輪轉驅動，實現(xiàn)一個 ASI 全局高可用體系的構建，其頂層是 SLO 體系和 1-5-10 應急體系。在應急體系和數(shù)據驅動的體系背后，我們建設了大量高可用基礎能力，包括防御體系、高可用架構升級、故障自愈體系、以及持續(xù)改進機制。與此同時，我們建立了多個基礎性平臺為高全用體系提供配套能力，如常態(tài)化故障演練平臺、全鏈路仿真壓測平臺、告警平臺、預案中心等等。
?

全局高可用基礎能力建設

在建設全局高可用能力之前，我們的系統(tǒng)在迅速發(fā)展和變化下不斷出現(xiàn)事故和險情，需要隔三差五去應急，導致讓問題追身的局面，并且追身后沒高效應對的手段，面臨著幾個嚴峻的挑戰(zhàn)：
?

• 如何在架構和能力上去提升我們的可用性，降低系統(tǒng)發(fā)生故障的概率和影響面？
• 如何在核心鏈路性能和架構上做一些突破，能夠支撐這么復雜多變的業(yè)務場景和業(yè)務增長的通用需求？
• 如何讓問題不再追身，做好預防工作，避免應急？
• 如何在應急發(fā)生時，能夠快速發(fā)現(xiàn)，快速診斷，快速止損？

針對這些問題，并且總結出以下幾個核心原因：
?

• 可用性能力不足：在集團場景下，組件不斷在變化，不斷增加系統(tǒng)的壓力和復雜度，ASI 在生產可用性的能力上缺失，如限流降級、負載均衡等，組件容易亂用造成低級錯誤，影響集群可用性。
• 系統(tǒng)風控和 pod 保護能力不足：在人為誤操作或系統(tǒng) bug 時, 容易造成業(yè)務 pod 無辜受損或者大面積受損。
• 容量風險：集群數(shù)量幾百，組件接近一百；另外歷史問題因 podCIDR 和節(jié)點 IP 數(shù)的配置，大多 ASI 元集群的節(jié)點規(guī)模被約束在 128 臺以內，隨著業(yè)務快速發(fā)展，對容量風險而言存在較大挑戰(zhàn)。
• 單集群規(guī)模受限，加上橫向擴展能力不足影響業(yè)務發(fā)展：單集群不斷增長規(guī)模，以及業(yè)務類型變化，組件變化都對單集群支撐的最大規(guī)模產生影響，對 SLO 持續(xù)穩(wěn)定產生影響。

1. 高可用基礎能力頂層設計

針對這些解決的問題，我們做了高可用基礎能力的頂層設計，這些基礎能力建設整體主要分為幾個部分：
?

• 性能優(yōu)化和高可用架構建設：主要是從性能優(yōu)化和架構升級的角度來提升整個集群支撐的業(yè)務類型和業(yè)務量。
• 組件規(guī)范全生命周期管理：主要從規(guī)范的角度在組件的整個生命周期去落地，從出生啟用和集群準入開始，到每一次變更，到下線整個生命周期都要防止組件亂用、野蠻生長、無限膨脹，控制組件在系統(tǒng)可承受范圍之內。
• 攻防體系建設：主要從 ASI 系統(tǒng)本身觸發(fā)，在從攻擊和防御的角度來提升系統(tǒng)的安全，防御和風控能力。

下面針對我們的一些痛點進行幾個關鍵能力建設的描述。
?

2. K8s 單集群架構的痛點

• 對 ApiServer 的掌控能力不夠，應急能力不足，我們自己的經歷，歷次集群 Master 出現(xiàn)異常的次數(shù)超過 20+，歷次恢復時間最長超過 1 小時。
• ApiServer 是 APIServer 集群的單點，爆炸半徑大。
• 單集群規(guī)模大， Apiserver 內存水位比較高，壓力來源于頻繁的查詢，寫入更多更大的資源對象。
• 在業(yè)務層缺少跨機房的容災能力，當 ASI 不可用的時候，只能依賴 ASI 的恢復能力。
• 集群規(guī)模的持續(xù)擴大，離線任務的大量創(chuàng)建和刪除對集群的造成更大壓力。

這里面從兩個大的角度可以去提高集群架構的可用性，除了在單集群進行架構優(yōu)化以及性能突破外，還要通過多集群這樣的橫向擴展能力去支撐更大的規(guī)模。
?

• 一是通過聯(lián)邦這樣的多集群能力來解決單集群的橫向擴展能力以及單地域跨集群容災能力。
• 另外一個單集群本身的架構還可以從隔離和優(yōu)先級策略的架構角度來進行差異化 SLO 保障。

3. ASI 架構升級落地

1）APIServer 多路架構升級

核心方案就是通過對 apiserver 進行分組，通過不同的優(yōu)先級策略進行對待，從而對服務進行差異化 SLO 保障。
?

• 通過分流以降低主鏈路 apiserver 壓力（核心訴求）

  • P2 及以下組件接入旁路 apiserver，并可以在緊急情況（如自身穩(wěn)定性收到影響）下，做整體限流。

• 旁路 apiserver 配合主鏈路做藍綠、灰度（次級訴求）

  • 旁路 apiserver 可以使用獨立版本，增加新功能灰度維度，如使用獨立的限流策略，如開啟新的 feature 功能驗證。

• SLB 災備（次級訴求）

  • 旁路 apiserver 可以在主 apiserver 發(fā)生異常時，對外提供服務（需 controller 自行切換目標地址）。

2）ASI 多集群聯(lián)邦架構升級

目前張北中心的一個機房就幾萬節(jié)點，如果不解決多集群的管理問題，帶來的問題如下：
?

• 容災層面：把核心交易應用的中心單元部署在一個集群的風險是很大的，最壞情況下集群不可用導致整個應用服務不可用。
• 性能層面：對于業(yè)務來說，如因核心應用在某一時點使用時極其敏感而設定各種單機最大限制、CPU 互斥獨占保證，如果都部署在一個集群的話，會因為集群節(jié)點規(guī)模限制，導致應用發(fā)生堆疊，造成 cpu 熱點，性能不滿足要求；對于 ASI 管控 Master 來說，單集群無限制擴大，性能總會出現(xiàn)瓶頸，總有一天會無法支撐。
• 運維層面：當某個應用擴容發(fā)現(xiàn)沒資源，SRE 還得考慮節(jié)點加到哪個集群，額外加大了 SRE 集群管理的工作。

因此 ASI 需要達成統(tǒng)一的多集群管理解決方案，幫助上層各個 Pass、SRE、應用研發(fā)等提供更好的多集群管理能力，通過它來屏蔽多集群的差異、方便的進行多方資源共享。
?
ASI 選擇基于社區(qū)聯(lián)邦 v2 版本來開發(fā)滿足我們的需求。
?

4. K8s 集群遭遇規(guī)模增長帶來的極大性能挑戰(zhàn)

在一個大規(guī)模的 K8s 集群中性能會遇到哪些問題呢？
?

• 首先是查詢相關問題。在大集群中最重要的就是如何最大程度地減少 expensive request。對百萬級別的對象數(shù)量來說，按標簽、namespace 查詢 Pod，獲取所有 Node 等場景時，很容易造成 etcd 和 kube-apiserver OOM 和丟包，乃至雪崩等問題發(fā)生。
• 其次是寫入相關問題。etcd 適用場景是讀多寫少，大量寫請求可能會導致 db size 持續(xù)增長、寫性能達到瓶頸被限速、影響讀性能。如大量的離線作業(yè)需要頻繁的創(chuàng)建和刪除 pod，通過 ASI 鏈路對 pod 對象的寫放大，最終對 etcd 的寫壓力會放大幾十倍之大。
• 最后是大資源對象相關問題。etcd 適合存儲較小的 key-value 數(shù)據，在大 value 下，性能急速下降。

5. ASI 性能瓶頸突破

ASI 性能優(yōu)化的方向

ASI 的性能優(yōu)化可以從 apiserver 客戶端、apiserver 服務端、etcd 存儲 3 個方面來進行優(yōu)化。
?

• 客戶端側，可以做 cache 優(yōu)化，讓各個 client 優(yōu)先訪問本地 informer cache，也需要做負載均衡優(yōu)化，主要包括對 apiserver,etcd 的負載均衡。同時針對客戶端的各種優(yōu)化，可以通過組件性能規(guī)范，在組件啟用，準入的時候進行校驗是否滿足。
• APIServer 側，可以從訪問層，緩存層，存儲層 3 個層次進行優(yōu)化。在緩存層，我們重點建設了 cache 的索引優(yōu)化以及 watch 優(yōu)化，在存儲層上重點通過 snappy 壓縮算法對 pod 進行數(shù)據壓縮，在訪問層上重點建設了限流能力。

• etcd 存儲側的優(yōu)化，我們也從幾個方面做了很多工作，包括 etcd 內核層面各種算法優(yōu)化工作，還有通過將不同資源拆分到不同 etcd 集群的能力實現(xiàn)了基本的水平拆分能力，同時也在 etcd server 層做 multi boltdb 的擴展能力提升。

6. K8s 集群的預防能力薄弱

在 K8s 中，kube-apiserver 作為統(tǒng)一入口，所有的控制器/client 都圍繞 kube-apiserver 在工作，盡管我們 SRE 通過組件的全生命周期進行規(guī)范約束卡點改進，比如通過在組件的啟用和集群準入階段進行了卡點審批，通過各個組件 owner 的全面配合改造后，大量的低級錯誤得到防范，但還是有部分控制器或部分行為并不可控。
?
除了基礎設施層面的故障外，業(yè)務流量的變化，是造成 K8s 非常不穩(wěn)定的因素，突發(fā)的 pod 創(chuàng)建和刪除，如果不加以限制，很容易把 apiserver 打掛。
?
另外非法的操作或代碼 Bug 有可能造成業(yè)務 pod 影響，如不合法的 pod 刪除。
?
結合所有風險進行分層設計，逐層進行風險防控。
?

7. ASI 單集群的預防能力加強

1）支持 API 訪問層的多維度（resource/verb/client）精細化限流

社區(qū)早期采用的限流方式主要通過 inflight 控制讀寫總體并發(fā)量，我們當時在 apf 沒有出來之前就意識到限流能力的不足，沒有能力去對請求來源做限流。而 apf 通過 User 來做限流（或者說要先經過 authn filter）存在一些不足，一方面因為Authn 并不是廉價的，另外一方面它只是將 API Server 的能力按配置來做分配，并不是一種限流方案和應急預案。我們需要緊急提供一種限流能力，以應對緊急情況，自研了 ua limiter 限流能力，并基于 ua limiter 簡單的配置方式實現(xiàn)了一套限流管理能力，能夠很方便在幾百個集群當中進行默認限流管理，以及完成應急限流預案。
?
下面是我們自研的 ua limiter 限流方案和其他限流方案的詳細對比：
?

ua limiter、APF、sentinel 在限流上的側重點是不一樣的：
?

• ua limiter 是根據 ua 提供一個簡單的 QPS hard limit。
• apf 更加側重于并發(fā)度的控制，考慮的是流量的隔離和隔離后的公平性。
• sentinel 功能全面，但是對于公平性的支持并沒有 APF 全面，同時復雜度有一些過高。

考慮我們現(xiàn)階段的需求和場景，發(fā)現(xiàn) ua limiter 落地最為合適，因為我們通過 user agent 的不同，來對于組件進行限流。當然后續(xù)進行更加精細的限流，還是可以考慮結合使用 APF 等方案進一步加強。
?
限流策略如何管理，數(shù)百套集群，每套集群規(guī)模都不太一樣，集群節(jié)點數(shù)、pod 數(shù)都是不同的，內部組件有近百個，每個組件請求的資源平均有 4 種，對不同資源又有平均 3 個不同的動作，如果每個都做限流，那么規(guī)則將會爆炸式增長，即便做收斂后維護成本也非常的高。因此我們抓最核心的：核心資源 pod\node、核心動作（創(chuàng)建、刪除、大查詢）；最大規(guī)模的：daemonset 組件、PV/PVC 資源。并結合線上實際流量分析，梳理出二十條左右的通用限流策略，并將其納入到集群交付流程中實現(xiàn)閉環(huán)。
?
當新的組件接入，我們也會對其做限流設計，如果比較特殊的，則綁定規(guī)則并在集群準入和部署環(huán)節(jié)自動下發(fā)策略，如果出現(xiàn)大量的限流情況，也會觸發(fā)報警，由 SRE 和研發(fā)去跟進優(yōu)化和解決。
?

2）支持業(yè)務 POD 級別的精細化限流

所有 pod 相關的操作都會對接 Kube Defender 統(tǒng)一風控中心，進行秒級別、分鐘級、小時級、天級別的流控。該全局風控限流組件，實行中心端部署，維護各場景下的接口調用限流功能。
?
defender 是站在整個 K8s 集群的視角，針對用戶發(fā)起的或者系統(tǒng)自動發(fā)起的有風險的操作進行防護（流控、熔斷、校驗）和審計的風控系統(tǒng)。之所以做 defender，主要從以下幾個方面考慮：
?

• 類似 kubelet/controller 這樣的組件，在一個集群中存在多個進程，任一單一進程都無法看到全局的視圖，無法進行準確的限流。
• 從運維視角，分散在各個組件中的限速規(guī)則難以配置與審計，當部分操作因為限流原因失敗時，排查鏈路過長影響問題定位的效率。
• K8s 面向終態(tài)的分布式設計，每個組件都有決策的能力，那么就需要一個集中的服務對那些危險決策進行風控。

defender 的框架圖如下所示：

• defender server 是 K8s 集群級的服務，可以部署多個，其中一個 active，其余 standby。
• 用戶可以通過kubectl配置風控規(guī)則。
• K8s 中的組件，例如 controller，kubelet，extension-controller 等，都可以通過 defender sdk 接入 defender（改動很小），在進行危險操作前請求 defender 進行風控，根據風控結果決定是否繼續(xù)該危險操作。defender 作為一個集群級的風控防護中心，為 K8s 集群的整體穩(wěn)定性進行保駕護航。

3）數(shù)字化容量治理

在只有幾個 core 集群的場景下，依靠專家經驗管理容量完全可以輕松搞定，但隨著容器業(yè)務的快速發(fā)展，覆蓋泛交易、中間件、新生態(tài)、新計算以及售賣區(qū)等業(yè)務在接入 ASI，短短幾年時間就發(fā)展了幾百個集群，再發(fā)展幾年數(shù)以千計萬計？如此多的集群依靠傳統(tǒng)的人肉資源管理方式難以勝任，人力成本越來越高，特別是面臨諸如以下問題，極易造成資源使用率低下，機器資源的嚴重浪費，最終造成部分集群容量不足導致線上風險。
?

• 組件變更不斷，業(yè)務類型和壓力也在變化，線上真實容量（到底能扛多少 qps）大家都不得而知，當業(yè)務需要增大流量時是否需要擴容？是否橫向擴容也無法解決問題？
• 早期申請容器資源隨意，造成資源成本浪費嚴重，需要基于容器成本耗費最小化明確指導應該合理申請多少資源（包括 cpu，內存及磁盤）。同一個地域，同一個元集群的業(yè)務集群，一個集群浪費了資源就會造成其他集群資源的緊張。

在 ASI 中，組件變化是常態(tài)，組件容量如何自適應這種變化也是一個非常大的挑戰(zhàn)。而日常的運維及診斷須要有精準的容量數(shù)據來作為備容支撐。
?
因此我們決定通過數(shù)據化指導組件申請合理的（成本低，安全）容器資源。通過數(shù)據化提供日常運維所需要的容量相關數(shù)據，完成備容，在生產水位異常時，完成應急擴容。
?

目前我們完成了水位監(jiān)控、全量風險播報、預調度、profile 性能數(shù)據定時抓取、進而通過組件規(guī)范中推進 CPU 內存以及 CPU 內存比例優(yōu)化。正在做的包括自動化的規(guī)格建議，節(jié)點資源補充建議，以及自動化導入節(jié)點，結合 chatops 正在打造釘群“一鍵備容”閉環(huán)。另外還在結合全鏈路壓測服務數(shù)據，得出各個組件的基線對比，通過風險決策，進行發(fā)布卡點，確保組件上線安全。同時未來會結合線上真實的變更，來持續(xù)回答真實環(huán)境的 SLO 表現(xiàn)，精準預測容量。
?

全局高可用應急能力建設

高可用基礎能力的建設可以為 ASI 提供強有力的抗風險保障，從而在各種風險隱患出現(xiàn)時，盡可能保證我們服務的可用性。但是在風險出現(xiàn)后，如何快速介入消滅隱患，或者在高可用能力無法覆蓋的故障出現(xiàn)后，進行有序止損，就變成了一個非常具有技術深度和橫向復雜度的工程難題，也讓 ASI 的應急能力建設成為我們非常重要的投入方向。
?
在建設應急體系之初，我們的系統(tǒng)由于迅速的發(fā)展和變化，不斷出現(xiàn)的事故和險情，明顯的暴露出當時我們面臨的幾個嚴重的問題：
?

• 為什么客戶總是早于我們發(fā)現(xiàn)問題？
• 為什么恢復需要這么長的時間？
• 為什么同樣的問題會重復出現(xiàn)？
• 為什么只有幾個人能處理線上的問題？

針對這些問題，我們也進行了充分的腦暴和探討，并且總結出以下幾個核心原因：
?

• 發(fā)現(xiàn)問題手段單一：只有 metrics 數(shù)據作為最基本暴露問題的手段。
• 定位問題能力缺乏：只有少數(shù)監(jiān)控大盤，核心組件的可觀測能力建設程度沒有統(tǒng)一。
• 恢復手段缺乏體系：線上問題的修復需要臨時敲命令，寫腳本，效率低且風險大。
• 應急缺少體系規(guī)范：缺乏與業(yè)務方聯(lián)動，工程師思維嚴重，不是以止損為第一目標，對問題嚴重度缺乏意識。
• 長期問題缺乏跟蹤：線上發(fā)現(xiàn)的隱患，或者事故復盤的跟進項，缺乏持續(xù)跟進能力，導致重復踩坑。
• 缺乏能力保鮮機制：業(yè)務變化非?？焖?#xff0c;導致一些能力在一段時間后，進入一個“不會用也不敢用，也不能保證一定能用”的尷尬境地。

1. 應急能力建設頂層設計

針對這些亟待解決的問題，我們也做了應急能力的頂層設計，架構圖如下：
?

應急能力建設整體可以分為幾個部分：
?

• 1-5-10 應急體系：針對線上出現(xiàn)的任何突發(fā)風險，都能做到“一分鐘發(fā)現(xiàn)，五分鐘定位，十分鐘恢復”的底層能力和機制。
• 問題追蹤跟進：針對線上發(fā)現(xiàn)的所有風險隱患，無論嚴重與否，都能持續(xù)跟蹤推進的能力。
• 能力保鮮機制：針對建設的 1-5-10 能力，鑒于其使用頻率比較低的本質特性。

2. 應急能力建設子模塊建設

針對頂層設計中的每個子模塊，我們都已經做出了一些階段性的工作和成果。
?

1）一分鐘發(fā)現(xiàn)：問題發(fā)現(xiàn)能力

為了解決無法早于客戶發(fā)現(xiàn)問題的難題，我們的工作最重要的目標就是要做到：讓一切問題都無處遁形，被系統(tǒng)主動發(fā)現(xiàn)。
?
所以這就像是一場持久戰(zhàn)，我們要做的，就是通過各種可能的手段去覆蓋一個又一個新的問題，攻占一個又一個城池。
?
在這個目標的驅使下，我們也總結出一套非常行之有效的“戰(zhàn)略思想”，即「1+1 思想」。它的核心觀點在于，任何發(fā)現(xiàn)問題的手段，都可能因為對外部的依賴或者自身穩(wěn)定性的缺陷，導致偶發(fā)的失效，所以必須有能夠作為互備的鏈路來進行容錯。
?
在這個核心思想的指導下，我們團隊建設了兩大核心能力，即黑盒/白盒報警雙通道，這兩個通道的各有各的特點：
?

• 黑盒通道：基于黑盒思想，從客戶視角把 ASI 整體當做黑盒，直接發(fā)出指令，探測正向功能；比如直接擴容一個 statefulset。
• 白盒通道：基于白盒思想，借助系統(tǒng)內部暴露出來的各種維度的可觀測性數(shù)據的異常波動來發(fā)現(xiàn)潛在問題；比如 APIServer 的內存異常上漲。

黑盒通道對應的具體產品叫做 kubeprobe，是由我們團隊脫胎于社區(qū) kuberhealthy 項目的思想上進行更多的優(yōu)化和改造形成的新產品，并且也成為我們判斷集群是否出現(xiàn)嚴重風險的重要利器。
?
白盒通道的建設相對更為復雜，它需要建設在完備的可觀測數(shù)據的基礎之上，才能夠真正發(fā)揮它的功力。所以為此我們首先從 metrics、日志、事件 3 個維度分別基于 SLS 建設 3 種數(shù)據通道，將所有可觀測數(shù)據統(tǒng)一到 SLS 上管理。另外我們也建設了告警中心，負責完成對當前上百套集群的告警規(guī)則的批量管理，下發(fā)能力，最終構造了出了一個數(shù)據完備，問題覆蓋廣泛的白盒告警系統(tǒng)。最近還在進一步將我們的告警能力向 SLS 告警 2.0 遷移，實現(xiàn)更加豐富的告警功能。
?

2）五分鐘定位：問題根因自動定位能力

隨著線上問題排查經驗的不斷豐富，我們發(fā)現(xiàn)有很多問題會比較頻繁地出現(xiàn)。它們的排查方法和恢復手段基本已經比較固化。即便某個問題背后的原因可能有多種，但是隨著線上排查經驗的豐富，基本都可以慢慢迭代出對這個問題的排查路線圖。如下圖所示，是針對 etcd 集群不健康的告警設計的排查路線：
?

如果把這些相對比較確認的排查經驗固化到系統(tǒng)中，在問題出現(xiàn)后可以自動觸發(fā)形成決策，勢必可以大幅減少我們對線上問題的處理耗時。所以在這個方面，我們也開始了一些相關能力的建設。
?
從黑盒通道方面，kubeprobe 構建了一套自閉環(huán)的根因定位系統(tǒng)，將問題排查的專家經驗下沉進系統(tǒng)中，實現(xiàn)了快速和自動的問題定位功能。通過普通的根因分析樹以及對失敗巡檢探測事件/日志的機器學習分類算法（持續(xù)開發(fā)投入中），為每一個 KubeProbe 的探測失敗 Case 做根因定位，并通過 KubeProbe 內統(tǒng)一實現(xiàn)的問題嚴重性評估系統(tǒng)（目前這里的規(guī)則仍比較簡單），為告警的嚴重性做評估，從而判斷應該如何做后續(xù)的處理適宜，比如是否自愈，是否電話告警等等。
?

從白盒通道方面，我們通過底層的 pipeline 引擎的編排能力，結合已經建設的數(shù)據平臺中的多維度數(shù)據，實現(xiàn)了一個通用的根因診斷中心，將通過各種可觀測數(shù)據從而排查問題根因的過程通過 yaml 編排的方式固化到系統(tǒng)中，形成一個根因診斷任務，并且在觸發(fā)任務后形成一個問題的診斷結論。并且每種結論也會綁定對應的恢復手段，比如調用預案、自愈等等。
?

兩種通道都通過釘釘機器人等手段實現(xiàn)類似 chatops 的效果，提升 oncall 人員的處理問題速度。
?

3）十分鐘恢復：恢復止損能力

為了能夠提升運行時故障的止損恢復速度，我們也把恢復止損能力的建設放在第一優(yōu)先級，這個方面我們的核心準則是兩個：
?

• 止損能力要系統(tǒng)化，白屏化，可沉淀。
• 一切以止損為目標，而不是以找到絕對的根因為目標。

所以在這兩個準則的驅使下，我們做了兩個方面的工作：
?

• 建設預案中心：中心化沉淀我們所有的止損能力到系統(tǒng)中，白屏管理，接入，運行。一方面也可以將以前散落在各個研發(fā)手中或者文檔中的預案統(tǒng)一收攏中心端統(tǒng)一管理，實現(xiàn)了對預案的中心化管控。另一方面預案中心也開發(fā)了支持用戶通過 yaml 編排的方式來錄入預案的能力，從而實現(xiàn)低成本接入。
• 建設通用止損手段集：根據過往歷史經驗，結合 ASI 的特有特性，建設多種通用的止損能力集合，作為應急時的重要抓手。包括了組件原地重啟，組件快速擴容，controller/webhook 快速降級，集群快速切換只讀等等常用功能。

4）問題持續(xù)跟蹤機制 BugFix SLO

針對缺乏跟進能力的問題，我們提出了 BugFix SLO 機制。正如名字所描述的那樣，我們認為每個發(fā)現(xiàn)的問題都是一個要被修復的 “Bug”，并且針對這種 Bug 我們做了一下工作：
?

• 一方面，定義了一系列分類方法保證問題能夠明確到團隊和具體的一個負責人。
• 一方面，定義解決優(yōu)先級，即解決這個問題的 SLO，L1 - L4，不同優(yōu)先級代表不同的解決標準，L1 代表必須當天內迅速跟進并且解決。

每兩周，通過過去一段時間收集的新的問題，我們會產出一份穩(wěn)定性周報，進行問題解決程度的通曬以及重點問題的同步。另外也會在每兩周進行一次全員拉會對齊，對每個新問題的負責人確定，優(yōu)先級確認進行對齊。
?

5）能力驗收保鮮機制

由于穩(wěn)定性風險是相對低頻發(fā)生的，所以對穩(wěn)定性能力的最好的保鮮手段就是演練，所以在這個基礎之上我們設計或者參與了兩種演練方案，分別是：
?

• 常態(tài)化故障演練機制
• 生產突襲演練機制

【常態(tài)化演練機制】

常態(tài)化故障演練機制的核心目的在于以更頻繁的頻率對 ASI 系統(tǒng)相關的故障場景以及針對這個故障的恢復能力進行持續(xù)驗收，從而既發(fā)現(xiàn)某些組件的在穩(wěn)定性方面的缺陷，也可以驗收各種恢復手段預案的有效性。
?
所以為了能夠盡可能提升演練頻率，我們：
?

• 一方面開始建設自身的故障場景庫，將所有場景進行入庫，分類，管理，保證場景的覆蓋面夠全面。
• 另一方面同質量保證團隊合作，充分利用其 chorus 平臺提供的注入故障能力將我們的設計場景逐個落地，并且配置為后臺持續(xù)運行。我們還借助該平臺靈活的插件豐富能力，將平臺同我們的告警系統(tǒng)，預案系統(tǒng)進行 API 對接，在故障場景被觸發(fā)注入后，可以完全通過后臺自動調用的模式完整的針對這個場景的注入、檢查、恢復都通過后臺運行完成。

鑒于常態(tài)化演練的演練頻率如此之高，我們通常在一個專用的集群中進行持續(xù)的后臺演練場景觸發(fā)，以降低因為演練帶來的穩(wěn)定性風險。

【生產突襲演練機制】

常態(tài)化故障演練即便做的再頻繁，我們也不能完全保證在生產集群真的出現(xiàn)同樣的問題，我們是否能夠以同樣的方式進行應對；也沒有辦法真正確認，這個故障的影響范圍是否與我們預期的范圍一致；這些問題最根本的原因還是在于我們在常態(tài)化故障演練中的集群一般是沒有生產流量的測試集群。
?
所以在生產環(huán)境進行故障模擬才能夠更加真實的反應線上的實況，從而提升我們對恢復手段的正確性的信心。在落地方面，我們通過積極參與到云原生團隊組織的季度生產突襲活動，將我們一些相對復雜或者比較重要的演練場景實現(xiàn)了在生產環(huán)境的二次驗收，與此同時也對我們的發(fā)現(xiàn)速度，響應速度也進行了側面評估，不僅發(fā)現(xiàn)了一些新的問題，也為我們如何在測試集群設計更符合線上真實情況的場景帶來了很多參考輸入。

寫在最后

本篇僅作為開篇從整體上介紹了 ASI 全局高可用體系建設上一些探索工作以及背后的思考，后續(xù)團隊會針對具體的領域比如 ASI 應急體系建設，ASI 預防體系建設，故障診斷與恢復、全鏈路精細化 SLO 建設和運營、ASI 單集群規(guī)模的性能瓶頸突破上等多個方面進行深入的解讀，敬請期待。
?
ASI 作為云原生的引領實施者，它的高可用，它的穩(wěn)定性影響著甚至決定著阿里集團和云產品的業(yè)務的發(fā)展。ASI SRE 團隊長期招人，技術挑戰(zhàn)和機會都在，感興趣的同學歡迎來撩：en.xuze@alibaba-inc.com，hantang.cj@taobao.com。
?

數(shù)字時代，如何更好地利用云的能力？什么是新型、便捷的開發(fā)模式？如何讓開發(fā)者更高效地構建應用？科技賦能社會，技術推動變革，拓展開發(fā)者的能量邊界，一切，因云而不同。點擊立即報名活動，2021 阿里云開發(fā)者大會將會帶給你答案。

原文鏈接：https://developer.aliyun.com/article/784105?

版權聲明：本文內容由阿里云實名注冊用戶自發(fā)貢獻，版權歸原作者所有，阿里云開發(fā)者社區(qū)不擁有其著作權，亦不承擔相應法律責任。具體規(guī)則請查看《阿里云開發(fā)者社區(qū)用戶服務協(xié)議》和《阿里云開發(fā)者社區(qū)知識產權保護指引》。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內容，填寫侵權投訴表單進行舉報，一經查實，本社區(qū)將立刻刪除涉嫌侵權內容。 與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的【深度探讨】阿里巴巴万级规模 K8s 集群全局高可用体系之美的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。