高可用系统架构——关于语雀宕机的思考

语雀系统崩溃了，并且经过8个多小时才恢复，估计语雀的小伙伴们已经哭晕在厕所里了。

本次稳定性故障再次给架构师敲响警钟：系统高可用一直是架构的重点，它涉及到系统的方方面面，并且是一件持续性的长期工作。

故障起因是“因为运维工具bug，导致存储服务器被下线”。这个味道似曾相识，记得阿里云的一次稳定性故障，也是因为运维bug，将服务器实例下线而产生大面积服务不可用，最后云阿里云CTO不得不自降一级，真是惨不忍睹啊。我也谈一下如何设计高可用系统，从系统设计理念、系统架构的原则、常用技术手段、相关制度保证几个方面简单谈一下如何架构高可用系统。

1、高可用系统设计的理念

（1）面向“失败“的架构

一个分布式系统，需要多个子系统协同才能提供完整的服务或者功能。但是“分布式“的架构，决定了各个系统的服务无法保证100%可靠。所以在架构与设计时，就应该考虑外部依赖服务失败了的情况。架构师要根据可用性要求进行取舍，或者提供如何应对失败的解决方案。

（2）怀疑一切

不要抱有侥幸心理。查找并发现一切可能发生的风险，怀疑他们，并提供相应的预案。尤其是一些强依赖的系统：例如底层中间件、上游主数据等。“黑天鹅事件“一般就出现在这些系统中，而且影响都是致命的。

（3）系统的短板决定了可用性的上限

大家都知道木桶理论，一个木桶可以盛纳的水量取决于最短的那个木板(如下图)。系统可用性也是这样，也许99%的地方都考虑了高可用，但是唯独一个地方漏掉了。那么这个1%的点就成了可用性的“阿喀琉斯之踵“，导致系统可用性极低。在本实例中，架构、设计、编码、测试都做好了，结果把运维工具给忘了，导致数据丢失，所有一切都归零了。因此，要保证系统高可用，需要全方面查找系统的短板，然后修正提高。

2、高可用系统架构的原则

（1）“n+1“的原则。

集群中实例数必须是>=2的，并且方便扩展。只有这样才可以保证系统部分实例不可用时，服务照旧可用，运维人员可以及时进行实例扩展。例如：生产环境中应用的实例数不能低于2个，数据库实例至少是1主1从2个实例。对于高可用系统则需要考虑分布式多活、数据灾备等多中技术手段。对于金融或者资产管理类的系统，一般采用“两地三中心”的部署架构。

（2）可监控可预警

高可用系统都有好的监控体系，不仅可以从多个层面监控系统运行状态，提供可视化的监控工具，而且可以及时报警，方便开发人员第一时间发现问题（先于用户），并提供线索与工具，方便其解决问题。减少系统问题影响范围与持续时间，杜绝其升级成为高可用故障。

（3）可隔离的原则

允许对问题系统进行隔离。当发生问题时，可以将问题束缚在一定的范围内。例如：为核心用户或者关键服务提供单独的资源保障，防止其受到问题系统的干扰。saas产品一般会为高价值用户提供专属环境，并且在IT资源与稳定性保障方面会给与特殊照顾，保证核心用户不会因为公有环境宕机而影响其业务。

（4）可快恢。

强调一个“快”字。在本次语雀系统故障中，数据无法快恢是导致服务长时间不可用的直接原因。从描述中可以看出，语雀应该是做了数据冷备，但不是热备，而且数据量较大，所以数据恢复时间太长，导致服务长时间不可用。

记得在故障处理时，曾经提出过1-5-10的原则，就是1 分钟发现问题， 5 分钟介入问题修复，10 分钟故障恢复。如果能够快速解决故障，故障等级有可能降低