# 故障管理
**Topics**
+ [REL 9 如何备份数据?](w2aac19b9c11b5.md)
+ [REL 10 如何使用故障隔离来保护您的工作负载?](w2aac19b9c11b7.md)
+ [REL 11 如何将您的工作负载设计为可承受组件故障的影响?](w2aac19b9c11b9.md)
+ [REL 12 如何测试可靠性?](w2aac19b9c11c11.md)
+ [REL 13 如何规划灾难恢复 (DR)?](w2aac19b9c11c13.md)
# REL 9 如何备份数据?
备份数据、应用程序和配置,以满足恢复时间目标(RTO)和恢复点目标(RPO)的要求。
**Topics**
+ [REL09-BP01 识别和备份需要备份的所有数据,或从源复制数据](rel_backing_up_data_identified_backups_data.md)
+ [REL09-BP02 保护并加密备份](rel_backing_up_data_secured_backups_data.md)
+ [REL09-BP03 自动执行数据备份](rel_backing_up_data_automated_backups_data.md)
+ [REL09-BP04 定期执行数据恢复以验证备份完整性和流程](rel_backing_up_data_periodic_recovery_testing_data.md)
# REL09-BP01 识别和备份需要备份的所有数据,或从源复制数据
所有 AWS 数据存储均提供备份功能。Amazon RDS 和 Amazon DynamoDB 等服务还额外地支持可实现时间点故障恢复(PITR,Point-In-Time Recovery)的自动备份,这使您可以将备份恢复到距当前时间不超过五分钟的任意时间点。许多 AWS 服务提供了将备份复制到其他 AWS 区域 的功能。AWS Backup 工具向您提供了跨 AWS 服务来集中实现自动化数据保护的功能。
Amazon S3 可用作自行管理数据来源和 AWS 托管数据来源的备份目标。Amazon EBS、Amazon RDS 和 Amazon DynamoDB 等 AWS 服务具有可用于创建备份的内置功能。此外,也可使用第三方备份软件。
本地数据可以备份到 AWS 云 中(通过使用 [AWS Storage Gateway](https://docs.aws.amazon.com/storagegateway/latest/vgw/WhatIsStorageGateway.html) 或者 [AWS DataSync)](https://docs.aws.amazon.com/datasync/latest/userguide/what-is-datasync.html)。Amazon S3 存储桶可用于在 AWS 上存储此数据。Amazon S3 提供了多种存储层,例如 [Amazon Glacier 或 S3 Glacier Deep Archive](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/amazon-s3-glacier.html) ,可用于降低数据存储的成本。
您可以从其他来源复制数据,以此来满足数据恢复需求。例如, [Amazon Elasticache 复制节点](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Replication.Redis.Groups.html) 或者 [RDS 只读副本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html) 可用于在主来源丢失时复制数据。如果此类来源可用于满足您的 [恢复点目标(RPO,Recovery Point Objective)和恢复时间目标(RTO,Recovery Time Objective)](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/disaster-recovery-dr-objectives.html),则您可能无需备份。在另一个例子中,如果使用 Amazon EMR,只要可以将数据从 S3 复制到 EMR 中, [就无需备份您的 HDFS 数据存储](https://aws.amazon.com/premiumsupport/knowledge-center/copy-s3-hdfs-emr/)。
在选择备份策略时,请考虑恢复数据所用的时间。恢复数据所需的时间取决于备份的类型(在采用备份策略时)或数据复制机制的复杂性。此时间应该符合工作负载的 RTO。
**期望结果:**
数据来源已确定,并根据重要性进行了分类。然后,根据 RPO 为数据恢复建立了策略。此策略涉及到备份这些数据来源,或者能够从其他来源复制数据。在出现数据丢失的情况下,所实施的策略可以在定义的 RPO 和 RTO 内实现数据的恢复或再现。
**云成熟度阶段:** 基础
**常见反模式:**
+ 并不了解工作负载的所有数据来源及其重要性。
+ 没有对关键数据来源进行备份。
+ 仅对部分数据来源进行备份,但没有考虑重要性标准。
+ 没有定义 RPO,或者备份频率无法满足 RPO。
+ 没有评估备份是否必需或者是否可以从其他来源复制数据。
**建立此最佳实践的好处:** 确定需要备份的位置并实施某种机制来创建备份,或者具备从外部来源复制数据的能力,这样可以提高在停机期间还原和恢复数据的能力。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
了解并使用工作负载所用的 AWS 服务和资源的备份功能。大部分 AWS 服务提供了备份工作负载数据的功能。
**实施步骤:**
1. **确定工作负载的所有数据来源**。数据可以存储在多种资源中,例如 [数据库](https://aws.amazon.com/products/databases/), [卷](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volume-types.html), [文件系统](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html), [日志记录系统](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)和 [对象存储](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)。请参阅 **资源** 部分以查找 **相关文档,** 了解存储数据的不同 AWS 服务,以及这些服务提供的备份功能。
1. **根据重要性对数据来源进行分类**。对于工作负载,不同数据集具有不同的重要程度,因此对弹性具有不同的要求。例如,一些数据可能会非常重要,要求接近于零的 RPO,而另一些数据则不那么重要,可以承受较高的 RPO 和某种程度的数据丢失。与此类似,不同数据集也可能会有不同的 RTO 要求。
1. **使用 AWS 或第三方服务来创建数据的备份**。 [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 是一种托管服务,可用于为 AWS 上的各种数据来源创建备份。大部分这些服务还具有原生的创建备份功能。AWS Marketplace 有许多解决方案同样提供了这些功能。请参阅以下列出的 **资源** ,了解如何从不同 AWS 服务创建数据备份的信息。
1. **对于没有备份的数据,请建立数据复制机制**。您可能会出于各种原因,不对可从其他来源复制的数据进行备份。您可能会遇到一种情况,在需要时从来源复制数据的成本相比创建备份更低,因为可能会有与存储备份相关的成本。另一个例子是从备份进行还原的时间比从来源复制数据用时更长,使得备份不符合 RTO 要求。在此类情况下请做出权衡,并建立明确定义的流程,确定在需要进行恢复时如何从这些来源复制数据。例如,如果您从 Amazon S3 将数据加载到数据仓库(如 Amazon Redshift)或 MapReduce 集群(如 Amazon EMR),以便对此类数据进行分析,这就是可从其他来源复制数据的例子。只要此类分析的结果被存储在某位置,或者可重现,您不会因为数据仓库或 MapReduce 集群故障而遭遇数据丢失的情况。其他可从数据源复制数据的例子包括,缓存(如 Amazon ElastiCache)或 RDS 只读副本。
1. **建立备份数据的频率**。创建数据来源的备份是一个定期执行的流程,其频率取决于 RPO。
**实施计划的工作量级别:** 适中
## 资源
**相关最佳实践:**
[REL13-BP01 定义停机和数据丢失的恢复目标](rel_planning_for_recovery_objective_defined_recovery.md)
[REL13-BP02 使用定义的恢复策略来实现恢复目标](rel_planning_for_recovery_disaster_recovery.md)
**相关文档:**
+ [什么是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [什么是 AWS DataSync?](https://docs.aws.amazon.com/datasync/latest/userguide/what-is-datasync.html)
+ [什么是卷网关?](https://docs.aws.amazon.com/storagegateway/latest/vgw/WhatIsStorageGateway.html)
+ [AWS 合作伙伴:可以帮助进行备份的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=Backup)
+ [AWS Marketplace:可以用于备份的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html)
+ [备份 Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/efs-backup-solutions.html)
+ [备份 Amazon FSx for Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/using-backups.html)
+ [ElastiCache for Redis 备份和还原](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)
+ [在 Neptune 中创建数据库集群快照](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html)
+ [创建数据库快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateSnapshot.html)
+ [创建按计划触发的 EventBridge 规则](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-scheduled-rule.html)
+ [跨区域复制](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr.html) (使用 Amazon S3)
+ [EFS 到 EFS AWS Backup](https://aws.amazon.com/solutions/efs-to-efs-backup-solution/)
+ [将日志数据导出到 Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html)
+ [对象生命周期管理](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html)
+ [DynamoDB 的按需备份和还原](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/backuprestore_HowItWorks.html)
+ [DynamoDB 的时间点恢复](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html)
+ [使用 Amazon OpenSearch Service 索引快照](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-managedomains-snapshots.html)
**相关视频:**
+ [AWS re:Invent 2021 – 使用 AWS 进行备份、灾难恢复和勒索软件防护](https://www.youtube.com/watch?v=Ru4jxh9qazc)
+ [AWS Backup 演示:跨账户和跨区域备份](https://www.youtube.com/watch?v=dCy7ixko3tE)
+ [AWS Backup re:Invent 2019:深入了解 AWS,主讲:Rackspace(STG341)](https://youtu.be/av8DpL0uFjc)
**相关示例:**
+ [Well-Architected 实验室:为 Amazon S3 实施双向跨区域复制(CRR,Cross-Region Replication)](https://wellarchitectedlabs.com/reliability/200_labs/200_bidirectional_replication_for_s3/)
+ [Well-Architected 实验室:测试数据的备份与还原](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/)
+ [Well-Architected 实验室:面向分析工作负载的备份和还原(具备故障恢复功能)](https://wellarchitectedlabs.com/reliability/200_labs/200_backup_restore_failback_analytics/)
+ [Well-Architected 实验室:灾难恢复 – 备份与还原](https://wellarchitectedlabs.com/reliability/disaster-recovery/workshop_1/)
# REL09-BP02 保护并加密备份
使用 AWS IAM 等身份验证和授权服务,控制并检测对备份的访问。使用加密功能,防止并检测备份的数据完整性是否受到损坏。
Amazon S3 支持多种对您的静态数据进行加密的方式。借助服务器端加密功能,Amazon S3 以未加密数据的形式接受您的对象,然后在存储此类数据时进行加密。若采用客户端加密,您的工作负载应用程序需要负责在将其发送到 Amazon S3 之前加密数据。这两种方式都让您可以使用 AWS Key Management Service(AWS KMS)创建并存储数据密钥,或者您也可以提供自己的密钥并自行对其负责。使用 AWS KMS,您可以通过 IAM 设置策略,决定谁可以以及谁不可以访问您的数据密钥与解密数据。
针对 Amazon RDS,如果您已选择对数据库进行加密,那么您的备份也会被加密。DynamoDB 备份则始终被加密。
**常见反模式:**
+ 对备份和还原自动化的访问权限与对数据的访问权限相同。
+ 未加密您的备份。
**建立此最佳实践的好处:** 保护备份安全可防止篡改数据,而加密数据可防止数据意外暴露时对其访问。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 对每个数据存储使用加密功能。如果源数据已加密,则备份也将被加密。
+ 在 RDS 中启用加密功能。当您创建 RDS 实例时,可以使用 AWS Key Management Service 配置静态加密。
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ 在 EBS 卷中启用加密。您可以配置默认加密或在创建卷时指定唯一密钥。
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ 使用所需的 Amazon DynamoDB 加密。DynamoDB 会加密所有静态数据。您可以使用 AWS 拥有的 AWS KMS 密钥或者 AWS 托管 KMS 密钥,指定存储在您账户中的密钥。
+ [DynamoDB 静态加密](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.html)
+ [管理加密的表](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/encryption.tutorial.html)
+ 加密 Amazon EFS 中存储的数据。在创建文件系统时配置加密。
+ [在 EFS 中加密数据和元数据](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)
+ 在源和目标区域中配置加密功能。您可以使用 KMS 中存储的密钥配置 Amazon S3 中的静态加密,但这些密钥是特定于区域的。您在配置复制时可以指定目标密钥。
+ [CRR 附加配置:复制通过存储在 AWS KMS 中的加密密钥、使用服务器端加密(SSE,Server-Side Encryption)创建的对象](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr-replication-config-for-kms-objects.html)
+ 实施用于访问您的备份的最低权限。请遵循最佳实践,根据安全最佳实践来限制对备份、快照和副本的访问。
+ [安全性支柱:AWS Well-Architected](./wat.pillar.security.en.html)
## 资源
**相关文档:**
+ [AWS Marketplace:可以用于备份的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Amazon S3:利用加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
+ [CRR 附加配置:复制通过存储在 AWS KMS 中的加密密钥、使用服务器端加密(SSE,Server-Side Encryption)创建的对象](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr-replication-config-for-kms-objects.html)
+ [DynamoDB 静态加密](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.html)
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [在 EFS 中加密数据和元数据](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)
+ [AWS 中的备份的加密](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
+ [管理加密的表](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/encryption.tutorial.html)
+ [安全性支柱:AWS Well-Architected](./wat.pillar.security.en.html)
**相关示例:**
+ [Well-Architected 实验室:为 Amazon S3 实施双向跨区域复制(CRR,Cross-Region Replication)](https://wellarchitectedlabs.com/reliability/200_labs/200_bidirectional_replication_for_s3/)
# REL09-BP03 自动执行数据备份
将备份配置为根据遵循恢复点目标(RPO,Recovery Point Objective)的定期计划自动备份,或者在数据集发生更改时自动备份。具有低数据丢失需求的关键数据资产需要频繁地自动备份,而可以接受某些丢失的较不重要数据的备份频率可以更低。
AWS Backup 可用于创建各种 AWS 数据来源的自动数据备份。Amazon RDS 实例可以按照五分钟的频率进行几乎连续的备份,Amazon S3 对象可以按照十五分钟的频率进行几乎连续的备份,提供可恢复到备份历史记录中的特定时间点的时间点故障恢复(PITR,Point-In-Time Recovery)功能。对于其他 AWS 数据来源,例如 Amazon EBS 卷、Amazon DynamoDB 表或 Amazon FSx 文件系统,AWS Backup 最快可以按每小时的频率运行自动备份。这些服务还提供了原生备份功能。以下 AWS 服务提供了具备时间点故障恢复的自动备份功能: [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery_Howitworks.html), [Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIT.html)和 [Amazon Keyspaces(Apache Cassandra 兼容)](https://docs.aws.amazon.com/keyspaces/latest/devguide/PointInTimeRecovery.html) – 这些备份可以恢复到备份历史记录中的特定时间点。大部分其他 AWS 数据存储服务提供了计划定期备份的功能,频率最快为每小时一次。
Amazon RDS 和 Amazon DynamoDB 提供支持时间点故障恢复的持续备份。一旦启用,Amazon S3 版本控制就会自动执行。[Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snapshot-lifecycle.html) 可用于自动创建、复制和删除 Amazon EBS 快照。它还可以自动创建、复制、弃用和取消注册 Amazon EBS 支持的亚马逊云机器镜像(AMI,Amazon Machine Image)及其底层 Amazon EBS 快照。
针对您的备份自动化和历史的集中式视图,AWS Backup 提供完全托管的基于策略的备份解决方案。它会使用 AWS Storage Gateway 将云端和本地的多项 AWS 服务的数据备份集中在一起并自动处理。
除了版本控制,Amazon S3 还具有复制功能。整个 S3 存储桶都可自动复制到相同或不同 AWS 区域 中的其他存储桶。
**期望结果:**
按照确定的节奏创建数据来源备份的自动流程。
**常见反模式:**
+ 手动执行备份。
+ 使用具有备份功能的资源,但不包括自动化中的备份。
**建立此最佳实践的好处:** 自动化备份可以确保按照 RPO 执行备份,并在未备份时发出警报。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
1. **确定当前** 在手动备份的数据来源。请参阅 [REL09-BP01 识别和备份需要备份的所有数据,或从源复制数据](rel_backing_up_data_identified_backups_data.md) 以获取有关此项的指南。
1. **确定工作负载的** RPO。请参阅 [REL13-BP01 定义停机和数据丢失的恢复目标](rel_planning_for_recovery_objective_defined_recovery.md) 以获取有关此项的指南。
1. **使用自动化备份解决方案或托管服务**。AWS Backup 是一项完全托管的服务,它简化了 [跨 AWS 服务、云端以及本地以集中方式自动进行数据保护的过程](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup.html#creating-automatic-backups)。备份计划是 AWS Backup 的功能,可用于创建规则来定义要备份的资源,以及创建这些备份的频率。此频率应遵循在第 2 步中确定的 RPO。 [本 WA 实验室](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/) 提供有关如何使用 AWS Backup 创建自动备份的动手实践指南。大多数存储数据的 AWS 服务提供了原生备份功能。例如,可以利用 RDS 来实现支持时间点故障恢复(PITR,Point-In-Time Recovery)的自动备份。
1. **对于** 自动备份解决方案或托管服务不支持的数据来源(如本地数据来源或消息队列),请考虑使用受信任的第三方解决方案来创建自动备份。或者,您可以使用 AWS CLI 或开发工具包创建自动化过程来完成此操作。您可以使用 AWS Lambda 函数或 AWS Step Functions 来定义创建数据备份中涉及的逻辑,并使用 Amazon EventBridge 按照基于 RPO 确定的频率来执行它(如第 2 步中所述)。
**实施计划的工作量级别:** 低
## 资源
**相关文档:**
+ [AWS 合作伙伴:可以帮助进行备份的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=Backup)
+ [AWS Marketplace:可以用于备份的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [创建按计划触发的 EventBridge 规则](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-scheduled-rule.html)
+ [什么是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [什么是 AWS Step Functions?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
**相关视频:**
+ [AWS Backup re:Invent 2019:深入了解 AWS,主讲:Rackspace(STG341)](https://youtu.be/av8DpL0uFjc)
**相关示例:**
+ [Well-Architected 实验室:测试数据的备份与还原](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/)
# REL09-BP04 定期执行数据恢复以验证备份完整性和流程
通过执行恢复测试,验证您的备份流程实施是否满足恢复时间目标(RTO)和恢复点目标(RPO)要求。
使用 AWS,您可以构建一个测试环境,还原您的备份以评估 RTO 和 RPO 功能,并且对数据的内容和完整性执行测试。
此外,Amazon RDS 和 Amazon DynamoDB 还允许时间点恢复 (PITR)。您可以使用持续备份将您的数据集还原到其在指定日期与时间所处的状态。
**期望结果:** 使用明确定义的机制定期从备份恢复数据,确保可以按照为工作负载确定的恢复时间目标(RTO,Recovery Time Objective)来恢复数据。验证从备份进行还原可以得到包含原始数据的资源,而不会造成数据损坏或无法访问数据,并且数据丢失在恢复点目标(RPO,Recovery Point Objective)之内。
**常见反模式:**
+ 还原备份,但未查询或检索任何数据以确保还原操作可用。
+ 假定采取了备份。
+ 假定系统的备份完全正常运行,并且可从中恢复数据。
+ 假定从备份还原或恢复数据的时间满足工作负载的 RTO。
+ 假定备份中包含的数据满足工作负载的 RPO
+ 临时进行还原,没有使用运行手册或者没有按照确定的自动程序执行。
**建立此最佳实践的好处:** 测试备份的恢复过程可以确保在需要时能够将数据还原,不必担心数据可能丢失或损坏,可以按照工作负载要求的 RTO 还原和恢复,并且任何数据丢失都在工作负载的 RPO 以内。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
测试备份和还原功能可树立信心,确信能够在出现中断时执行这些操作。定期将备份还原到新的位置,并运行测试以验证数据的完整性。需要执行一些常见的测试,以检查
数据是否可用、没有损坏、是否可以访问并且任意数据丢失都符合工作负载的 RPO。此类测试还可以帮助确定恢复机制是否足够快以满足工作负载的 RTO 要求。
1. **确定当前** 所备份的数据来源以及存储这些备份的位置。请参阅 [REL09-BP01 识别和备份需要备份的所有数据,或从源复制数据](rel_backing_up_data_identified_backups_data.md) 以获取有关如何实施此项的指导。
1. **为每个** 数据来源建立数据验证标准。不同类型的数据具有不同的属性,这可能需要不同的验证机制。在将此数据用于生产之前,请考虑可以如何验证此数据。一些验证数据的常见方法包括使用数据和备份属性,例如数据类型、格式、校验和、大小,或者将这些属性与自定义的验证逻辑结合使用。例如,可以将所恢复资源的校验和值,与创建备份时数据来源的校验和值进行比较。
1. **建立 RTO 和 RPO** 以根据数据重要性来还原数据。请参阅 [REL13-BP01 定义停机和数据丢失的恢复目标](rel_planning_for_recovery_objective_defined_recovery.md) 以获取有关如何实施此项的指导。
1. **评估数据恢复能力**。检查备份和还原策略,了解它是否可以满足您的 RTO 和 RPO,并根据需要调整策略。使用 [AWS Resilience Hub](https://docs.aws.amazon.com/resilience-hub/latest/userguide/create-policy.html),您可以对工作负载运行评估。该评估根据弹性策略评估您的应用程序配置,并报告是否能够满足 RTO 和 RPO 目标。
1. **使用当前** 为生产环境中数据还原所确立的流程执行测试还原。这些流程依赖于对原始数据来源进行备份的方法,备份本身的格式和存储位置,或者数据是否从其他来源复制。例如,如果您使用 [AWS Backup 等托管服务,则此过程可能就是简单地将备份恢复到新的资源](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html)。如果您使用 AWS 弹性灾难恢复,则可以 [启动恢复演习。](https://docs.aws.amazon.com/drs/latest/userguide/failback-preparing.html)。
1. **根据您之前在** 第 2 步中为数据验证确立的标准,从还原后的资源(来自上一步)验证数据恢复。还原和恢复的数据是否包含备份时的最新记录/项目? 此数据是否在工作负载的 RPO 之内?
1. **测量** 还原和恢复所需的时间,并与在之前在第 3 步中确立的 RTO 进行比较。此流程是否符合工作负载的 RTO? 例如,比较还原进程开始时的时间戳以及恢复验证完成时的时间戳,以计算此进程的用时。所有 AWS API 调用均有时间戳,此信息在 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)中提供。虽然此信息可以提供还原进程何时开始的详细信息,但验证完成时的结束时间戳应该由您的验证逻辑来记录。如果使用自动化进程,则 [Amazon DynamoDB](https://aws.amazon.com/dynamodb/) 等服务可用于存储此信息。此外,许多 AWS 服务提供了事件历史记录,其中可提供发生特定操作时的时间戳信息。在 AWS Backup 中,备份和还原操作称为 *作业*,这些作业在其元数据中包含时间戳信息,可用于测量还原和恢复所需的时间。
1. **如果** 数据验证失败,或者如果还原和恢复所需的时间超过了为工作负载设定的 RTO,则通知利益相关方。在实施自动化以完成此操作时 [(例如在本实验中)](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/),可以使用 Amazon Simple Notification Service(Amazon SNS)等服务将推送通知(例如电子邮件或 SMS)发送给利益相关方。 [这些消息还可以发布到消息传递应用程序,例如 Amazon Chime、Slack 或 Microsoft Teams,](https://aws.amazon.com/premiumsupport/knowledge-center/sns-lambda-webhooks-chime-slack-teams/) 或者 [通过使用 AWS Systems Manager OpsCenter 来创建 OpsItems 等任务](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-creating-OpsItems.html)。
1. **自动执行此流程以便定期运行**。例如,AWS Lambda 等服务或 AWS Step Functions 中的状态机可用于自动完成还原和恢复流程,Amazon EventBridge 可用于定期触发此自动工作流,如以下架构图中所示。了解如何 [使用 AWS Backup 自动完成数据恢复验证](https://aws.amazon.com/blogs/storage/automate-data-recovery-validation-with-aws-backup/)。此外, [本 Well-Architected 实验室](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/) 提供动手实践体验,可用于练习针对此处的多个步骤实现自动化的方法。
![\[图中显示自动化的备份和还原流程\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/automated-backup-restore-process.png)
**实施计划的工作量级别:** 中到高,具体取决于验证条件的复杂性。
## 资源
**相关文档:**
+ [使用 AWS Backup 自动完成数据恢复验证](https://aws.amazon.com/blogs/storage/automate-data-recovery-validation-with-aws-backup/)
+ [AWS 合作伙伴:可以帮助进行备份的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=Backup)
+ [AWS Marketplace:可以用于备份的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=Backup)
+ [创建按计划触发的 EventBridge 规则](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-scheduled-rule.html)
+ [DynamoDB 的按需备份和还原](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/BackupRestore.html)
+ [什么是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [什么是 AWS Step Functions?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
+ [什么是 AWS 弹性灾难恢复](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
+ [AWS 弹性灾难恢复](https://docs.aws.amazon.com/resilience-hub/latest/userguide/what-is.html)
**相关示例:**
+ [Well-Architected 实验室:测试数据的备份与还原](https://wellarchitectedlabs.com/reliability/200_labs/200_testing_backup_and_restore_of_data/)
# REL 10 如何使用故障隔离来保护您的工作负载?
故障隔离边界可将一个工作负载内的故障影响限制于有限数量的组件。边界以外的组件不会受到故障的影响。使用多个故障隔离边界,您可以限制作用于您的工作负载的影响。
**Topics**
+ [REL10-BP01 将工作负载部署到多个位置](rel_fault_isolation_multiaz_region_system.md)
+ [REL10-BP02 为您的多位置部署选择合适的位置](rel_fault_isolation_select_location.md)
+ [REL10-BP03 组件的自动恢复受限于单个位置](rel_fault_isolation_single_az_system.md)
+ [REL10-BP04 采用隔板架构来限制影响范围](rel_fault_isolation_use_bulkhead.md)
# REL10-BP01 将工作负载部署到多个位置
将工作负载数据和资源分布到多个可用区,或在必要时分布到多个 AWS 区域。可通过选择不同位置满足各种需求。
在 AWS,服务设计的其中一个基本原则是避免底层物理基础设施中存在单点故障。这促使我们构建使用多个可用区并能灵活应对单个可用区故障的软件和系统。同样,系统也被构建可灵活应对单个计算节点、单个存储卷或单个数据库实例故障。构建依赖冗余组件的系统时,务必要确保组件独立运行;如果是 AWS 区域,组件应自主运行。只有实现了这一点,采用冗余组件的理论可用性计算的优点才能发挥作用。
**可用区(AZ,Availability Zone)**
AWS 区域由在设计上彼此相互独立的多个可用区组成。每个可用区之间都间隔相当的物理距离,以避免因环境公害(如火灾、洪水和龙卷风)导致的相互关联的故障情况。每个可用区还拥有独立的物理基础设施:专用的公用电源连接、独立备份电源、独立机械服务以及可用区内外的独立网络连接。此设计将任意这些系统的故障限制在受影响的那一个 AZ 中。尽管可用区在地理位置上相互分离,但它们位于相同的区域中,从而实现高吞吐量、低延迟的联网。整个 AWS 区域(跨多个可用区,由多个物理上独立的设计中心组成)可以视为工作负载的单个逻辑部署目标,包括同步复制数据(例如,在两个数据库之间)的能力。这样一来,您便能在主动/主动或主动/备用配置中使用可用区。
可用区是独立的,因此当工作负载采用了使用多个可用区的架构时,可以提高工作负载的可用性。一些 AWS 服务(包括 Amazon EC2 实例数据面板)作为严格的区级别服务部署,与其所在的可用区共存亡。其他 AZ 中的 Amazon EC2 实例不受影响,可以继续正常工作。与此类似,如果某个可用区中的故障导致 Amazon Aurora 数据库失败,则不受影响的 AZ 中的只读副本 Aurora 实例可以自动提升为主实例。另一方面,区域性 AWS 服务(例如 Amazon DynamoDB)在内部以主动/主动配置的形式使用多个可用区,以实现为该服务设定的可用性设计目标,而且无需您配置 AZ 置放。
![\[图中显示跨三个可用区部署的多层架构。请注意,Amazon S3 和 Amazon DynamoDB 始终会自动部署到多个可用区。而 ELB 也会被部署到所有三个区。\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/multi-tier-architecture.png)
虽然 AWS 控制面板通常提供在整个区域(多个可用区)内管理资源的功能,但某些控制面板(包括 Amazon EC2 和 Amazon EBS)能够将结果筛选到单个可用区。完成筛选后,请求仅在指定可用区中进行处理,从而降低其他可用区的中断风险。此 AWS CLI 示例演示仅从 us-east-2c 可用区中获取 Amazon EC2 实例信息:
```
AWS ec2 describe-instances --filters Name=availability-zone,Values=us-east-2c
```
*AWS Local Zones*
AWS Local Zones 在其各自的 AWS 区域内的作用与可用区相似,它们可被选择作为区级别 AWS 资源(如子网和 EC2 实例)的置放位置。特别之处在于,它们并不位于相关的 AWS 区域内,而是靠近目前还未设置 AWS 区域的人口密集的工业和 IT 中心。但是,您还是可以享有高带宽,并且能够在本地区域的本地工作负载与在 AWS 区域内运行的工作负载之间进行安全连接。您应该利用 AWS Local Zones 将工作负载尽量部署在接近用户的地方,以满足低延迟的要求。
**Amazon 全球边缘网络**
Amazon 全球边缘网络由全球各大城市的边缘站点组成。Amazon CloudFront 使用此网络以较低的延迟向最终用户分发内容。您可以通过 AWS Global Accelerator 在这些边缘站点创建您的工作负载端点,以便在靠近您的用户的 AWS 全球网络进行接入。利用 Amazon API Gateway,使用 CloudFront 分配的边缘优化 API 端点可以通过最近的边缘站点方便客户端访问。
*AWS 区域*
AWS 区域采用自主设计,因此通过多区域方法,您可以将服务的专用副本部署到每个区域。
多区域方法对于 *灾难恢复* 策略很常见,用于在偶发的大规模事件中满足恢复目标。请参阅 [https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html) 以了解有关这些策略的更多信息。不过,这里我们的重点是 *可用性*,旨在达成长期使用中的平均正常运行时间目标。对于高可用性目标,通常可以将多区域架构设计为主动/主动模式,各个服务副本(在其各自的区域中)处于活动状态(为请求提供服务)。
**推荐**
大多数工作负载的可用性目标都可通过在单个 AWS 区域内采用多 AZ 策略来实现。只有当工作负载具有极高的可用性要求或者其他业务目标时,才考虑多区域架构,在这些情况下需要使用多区域架构。
AWS 提供了跨区域运行服务的功能。例如,AWS 使用 Amazon Simple Storage Service(Amazon S3)复制、Amazon RDS 只读副本(包括 Aurora 只读副本)和 Amazon DynamoDB 全局表,提供了连续异步数据复制功能。通过连续复制,您的数据版本可近乎实时地供各个活动区域使用。
使用 AWS CloudFormation,您可以跨 AWS 账户和 AWS 区域定义基础设施并一致地进行部署。AWS CloudFormation StackSets 扩展了此功能,允许您通过单个操作,跨多个账户和区域创建、更新或删除 AWS CloudFormation 堆栈。对于 Amazon EC2 实例部署,亚马逊云机器镜像(AMI,Amazon Machine Image)可用于提供诸如硬件配置和已安装软件等信息。您可以实施 Amazon EC2 Image Builder 管道来创建所需的 AMI,并将这些 AMI 复制到您的活动区域。这可以确保这些 *Golden AMI* 具有您需要部署的所有内容,并可在各个新区域中扩展您的工作负载。
对于路由流量,Amazon Route 53 和 AWS Global Accelerator 均可定义策略来确定哪些用户转向哪个活动的区域端点。使用 Global Accelerator,您可以设置流量转盘,控制导向各个应用程序端点的流量的百分比。Route 53 支持这种百分比方法,还有多个其他策略可用,包括基于地理位置距离和延迟的策略。Global Accelerator 自动利用 AWS 边缘服务器广泛的网络,尽可能快地将流量载入到 AWS 主干网,从而得到较低的请求延迟。
所有这些功能在执行时,都保留了各个区域的自主性。这种方法有极少的例外,包括我们提供全球边缘交付的服务(例如 Amazon CloudFront 和 Amazon Route 53),以及 AWS Identity and Access Management(IAM)服务的控制面板。大多数服务都完全在单个区域中运行。
**本地数据中心**
对于在本地数据中心运行的工作负载来说,尽可能打造混合体验。AWS Direct Connect 提供从您的本地到 AWS 的专用网络连接,使您可以同时在两者中运行。
另一个选项是,通过 AWS Outposts 在本地运行 AWS 基础设施和服务。AWS Outposts 是一项完全托管式服务,可将 AWS 基础设施、AWS 服务、API 和工具延伸到您的数据中心。在您的设计中心会安装与 AWS 云 中使用的相同硬件基础设施。然后,AWS Outposts 会连接到最近的 AWS 区域。您可以使用 AWS Outposts 支持您的低延迟工作负载,或满足本地数据处理要求。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 使用多个可用区和 AWS 区域。将工作负载数据和资源分布到多个可用区,或在必要时分布到多个 AWS 区域。可通过选择不同位置满足各种需求。
+ 区域性服务本质上是跨多个可用区部署的。
+ 这包括 Amazon S3、Amazon DynamoDB 和 AWS Lambda(未连接到 VPC 时)
+ 将容器、实例和基于功能的工作负载部署到多个可用区中。使用包括缓存在内的多可用区数据存储。使用 EC2 Auto Scaling、ECS 任务置放、AWS Lambda 函数配置(在 VPC 中运行时)和 ElastiCache 集群的功能。
+ 部署 Auto Scaling 组时,请使用单独可用区中的子网。
+ [示例:跨多个可用区分布实例](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-benefits.html#arch-AutoScalingMultiAZ)
+ [Amazon ECS 任务置放策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ [配置 AWS Lambda 函数以访问 Amazon VPC 中的资源](https://docs.aws.amazon.com/lambda/latest/dg/vpc.html)
+ [选择区域和可用区](https://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/RegionsAndAZs.html)
+ 部署 Auto Scaling 组时,请使用单独可用区中的子网。
+ [示例:跨多个可用区分布实例](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-benefits.html#arch-AutoScalingMultiAZ)
+ 使用 ECS 任务置放参数,并指定数据库子网组。
+ [Amazon ECS 任务置放策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ 配置要在 VPC 中运行的函数时,请使用多个可用区中的子网。
+ [配置 AWS Lambda 函数以访问 Amazon VPC 中的资源](https://docs.aws.amazon.com/lambda/latest/dg/vpc.html)
+ 将多个可用区与 ElastiCache 集群配合使用。
+ [选择区域和可用区](https://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/RegionsAndAZs.html)
+ 如果您的工作负载必须部署到多个区域,请选择一个多区域策略。大多数可靠性需求可通过在单个 AWS 区域中使用多可用区策略来满足。可在必要时使用多区域策略来满足您的业务需求。
+ [AWS re:Invent 2018:适用于多区域主动-主动应用程序的架构模式(ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ 备份到另一个 AWS 区域可以让您更加确信,数据在需要时可用。
+ 有些工作负载具有法规要求,需要使用多区域策略。
+ 评估您工作负载的 AWS Outposts。如果您的工作负载需要到本地部署数据中心的较低延迟,或具有本地数据处理要求,然后使用 AWS Outposts 在本地运行 AWS 基础设施和服务
+ [什么是 AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html)
+ 确定 AWS Local Zones 是否可以帮助您为用户提供服务。如果您有低延迟要求,请查看 AWS Local Zones 是否距离您的用户较近。如果是,则使用它将工作负载部署到离这些用户较近的位置。
+ [AWS Local Zones 常见问题](https://aws.amazon.com/about-aws/global-infrastructure/localzones/faqs/)
## 资源
**相关文档:**
+ [AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure)
+ [AWS Local Zones 常见问题](https://aws.amazon.com/about-aws/global-infrastructure/localzones/faqs/)
+ [Amazon ECS 任务置放策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ [选择区域和可用区](https://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/RegionsAndAZs.html)
+ [示例:跨多个可用区分布实例](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-benefits.html#arch-AutoScalingMultiAZ)
+ [全局表:使用 DynamoDB 的多区域复制](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/GlobalTables.html)
+ [使用 Amazon Aurora 全局数据库](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database.html)
+ [使用 AWS 服务创建多区域应用程序博客系列](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/)
+ [什么是 AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html)
**相关视频:**
+ [AWS re:Invent 2018:适用于多区域主动-主动应用程序的架构模式(ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [AWS re:Invent 2019:AWS 全球网络基础设施的创新与运营(NET339)](https://youtu.be/UObQZ3R9_4c)
# REL10-BP02 为您的多位置部署选择合适的位置
## 期望结果
要实现高可用性,请始终(在可能时)将您的工作负载组件部署到多个可用区(AZ,Availability Zone),如图 10 中所示。对于具有极高弹性要求的工作负载,请谨慎评估用于多区域架构的选项。
![\[图中显示一个弹性多 AZ 数据库部署,该部署备份到另一个 AWS 区域\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/multi-az-architecture.png)
## 常见反模式
+ 在多 AZ 架构可以满足需求时选择设计多区域架构。
+ 当应用程序部件之间的弹性和多位置需求不同时,没有考虑它们之间的依赖关系。
## 建立此最佳实践的好处
要实现弹性,您应使用构建防御层的方法。其中一层使用多 AZ,通过构建高度可用的架构,防护较小规模的、更常见的中断。另一个防御层用于防御很少发生的事件,例如大范围的自然灾害和区域级别的中断。这个第二层涉及到设计应用程序的架构来跨越多个 AWS 区域。
+ 99.5% 的可用性与 99.99% 的可用性相比,每个月的正常运行时间之差超过 3.5 小时。采用多 AZ 的工作负载的可用性,预期只能达到“四个九”。
+ 通过在多个 AZ 中运行工作负载,您可以隔离电力、冷却和网络中的故障,以及火灾和洪水之类的大多数自然灾害。
+ 为工作负载实施多区域策略,有助于防御影响到某个国家/地区中较大地理面积的大范围自然灾害,或者区域范围的技术故障。请注意,实施多区域架构会有很高的复杂性,对于大部分工作负载通常来说都是不必要的。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
对于一个可用区的中断或部分丢失而导致的灾难事件,在单个 AWS 区域内的多个可用区中实施高可用工作负载,有助于防范自然灾难和技术灾难。每个 AWS 区域由多个可用区组成,各个可用区之间实现了故障隔离并且间隔相当的物理距离。不过,对于可能造成间隔相当距离的多个可用区组件丢失风险的灾难事件,您应该实施灾难恢复选项,以防范整个区域的自然灾难和技术故障。对于需要极高弹性的工作负载(关键基础设施、与生命健康相关的应用程序、财务系统基础设施等),需要使用多区域策略。
## 实施步骤
1. 评估您的工作负载并确定需要使用多 AZ 方法(单个 AWS 区域)还是多区域方法才能够满足弹性需求。实施多区域架构来满足这些需求会引入额外的复杂性,因此请谨慎考虑您的使用场景及其需求。弹性需求几乎总是可以使用单个 AWS 区域来满足。在确定您是否需要使用多区域时,请考虑以下可能的需求:
1. **灾难恢复(DR,Disaster Recovery)**:对于一个可用区的中断或部分丢失而导致的灾难事件,在单个 AWS 区域内的多个可用区中实施高可用工作负载,有助于防范自然灾难和技术灾难。对于可能造成间隔相当距离的多个可用区组件丢失风险的灾难事件,您应该实施跨多个区域的灾难恢复,以防范整个区域的自然灾难和技术故障。
1. **高可用性(HA,High Availability)**:多区域架构(在每个区域中使用多个 AZ)可用于实现四个 9 以上(> 99.99%)的可用性。
1. **堆栈本地化**:面向全球受众部署工作负载时,您可以将本地化的堆栈部署在不同的 AWS 区域中,以便服务于这些区域中的受众。本地化可以包括语言、货币和所存储数据的类型。
1. **靠近用户:** 面向全球受众部署工作负载时,您可以通过在靠近最终用户所在位置的 AWS 区域中部署堆栈,从而减少延迟。
1. **数据驻留**:一些工作负载面临着数据驻留要求,来自特定用户的数据必须保留在特定国家/地区的边界内。根据相关的法规,您可以选择将整个堆栈或者仅仅将数据部署到这些边界内的 AWS 区域中。
1. 以下是 AWS 服务提供的一些多 AZ 功能的示例:
1. 为了使用 EC2 或 ECS 保护工作负载,请在计算资源前端部署 Elastic Load Balancer。然后,Elastic Load Balancing 提供解决方案来检测未正常运行的区中的实例,并将流量路由到正常运行的区中。
1. [开始使用 Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancer-getting-started.html)
1. [开始使用网络负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html)
1. 当 EC2 实例运行不支持负载均衡的现成商用软件时,您可以通过实施多 AZ 灾难恢复方法来实现某种形式的容错能力。
1. [REL13-BP02 使用定义的恢复策略来实现恢复目标](rel_planning_for_recovery_disaster_recovery.md)
1. 对于 Amazon ECS 任务,将您的服务均匀地部署在三个 AZ 上以实现可用性与成本的平衡。
1. [Amazon ECS 可用性最佳实践 \$1 容器](https://aws.amazon.com/blogs/containers/amazon-ecs-availability-best-practices/)
1. 对于非 Aurora Amazon RDS,您可以选择多 AZ 作为配置选项。在主数据库实例出现故障时,Amazon RDS 会自动提升备用数据库,用于接收其他可用区中的流量。还可以创建多区域只读副本来改进弹性。
1. [Amazon RDS 多可用区部署](https://aws.amazon.com/rds/features/multi-az/)
1. [在不同 AWS 区域中创建只读副本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.XRgn.html)
1. 以下是 AWS 服务提供的一些多区域功能的示例:
1. 对于 Amazon S3 工作负载,当服务自动提供了多 AZ 可用性时,如果需要多区域部署,请考虑多区域接入点。
1. [Amazon S3 中的多区域接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPoints.html)
1. 对于 DynamoDB 表,此时服务自动提供了多 AZ 可用性,您可以轻松地将现有表转换为全局表来利用多区域的优势。
1. [将单区域 Amazon DynamoDB 表转换为全局表](https://aws.amazon.com/blogs/aws/new-convert-your-single-region-amazon-dynamodb-tables-to-global-tables/)
1. 如果您的工作负载采用 Application Load Balancers 或网络负载均衡器作为前端,请将流量引导到包含正常运行端点的多个区域,从而使用 AWS Global Accelerator 来改进应用程序的可用性。
1. [AWS Global Accelerator 中标准加速器的端点 – AWS Global Accelerator(amazon.com)](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.html)
1. 对于利用 AWS EventBridge 的应用程序而言,请考虑使用跨区域总线来将事件转发到您选择的其他区域。
1. [在 AWS 区域之间发送和接收 Amazon EventBridge 事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-region.html)
1. 对于 Amazon Aurora 数据库,请考虑使用跨多个 AWS 区域的 Aurora 全局数据库。可以对现有集群进行修改来添加新的区域。
1. [开始使用 Amazon Aurora 全局数据库](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-getting-started.html)
1. 如果您的工作负载包括 AWS Key Management Service(AWS KMS)加密密钥,请考虑多区域密钥是否适合您的应用程序。
1. [AWS KMS 中的多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)
1. 对于其他 AWS 服务功能,请参阅此博客系列中的以下内容: [使用 AWS 服务创建多区域应用程序系列](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/)
**实施计划的工作量级别: **中到高
## 资源
**相关文档:**
+ [使用 AWS 服务创建多区域应用程序系列](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/)
+ [AWS 上的灾难恢复(DR,Disaster Recovery)架构,第 IV 部分:多站点主动/主动](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iv-multi-site-active-active/)
+ [AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure)
+ [AWS Local Zones 常见问题](https://aws.amazon.com/about-aws/global-infrastructure/localzones/faqs/)
+ [AWS 上的灾难恢复(DR,Disaster Recovery)架构,第 I 部分:云中的恢复策略](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/)
+ [云中的灾难恢复不相同](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-is-different-in-the-cloud.html)
+ [全局表:使用 DynamoDB 的多区域复制](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/GlobalTables.html)
**相关视频:**
+ [AWS re:Invent 2018:适用于多区域主动-主动应用程序的架构模式(ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [Auth0:多区域高可用性架构,可扩展至每月 15亿\$1 次登录,并具有自动故障转移功能](https://www.youtube.com/watch?v=vGywoYc_sA8)
**相关示例:**
+ [AWS 上的灾难恢复(DR,Disaster Recovery)架构,第 I 部分:云中的恢复策略](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/)
+ [DTCC 实现了本地部署无法企及的弹性](https://aws.amazon.com/solutions/case-studies/DTCC/)
+ [Expedia Group 使用具有专有 DNS 服务的多区域、多可用区架构来增加应用程序的弹性](https://aws.amazon.com/solutions/case-studies/expedia/)
+ [Uber:用于多区域 Kafka 的灾难恢复](https://eng.uber.com/kafka/)
+ [Netflix:实现多区域弹性的主动-主动架构](https://netflixtechblog.com/active-active-for-multi-regional-resiliency-c47719f6685b)
+ [我们如何为 Atlassian Cloud 构建数据驻留](https://www.atlassian.com/engineering/how-we-build-data-residency-for-atlassian-cloud)
+ [Intuit TurboTax 跨两个区域运行](https://www.youtube.com/watch?v=286XyWx5xdQ)
# REL10-BP03 组件的自动恢复受限于单个位置
如果工作负载的组件只能在单个可用区或本地部署数据中心内运行,您必须实施相关功能,以在定义的恢复目标内彻底重建工作负载。
如果由于技术限制无法使用将工作负载部署到多个位置的最佳实践,您必须实施其他的弹性路径。在这种情况下,您必须让重建必要基础设施、重新部署应用程序和重建必要数据的操作实现自动化。
例如,Amazon EMR 会为相同可用区内的特定集群启动全部节点,因为在相同区内运行集群可以改善作业流的性能,提高数据访问速率。如果这是工作负载弹性所需的必要组件,则您必须设法重新部署集群及其数据。同样对于 Amazon EMR,您还应该通过除多可用区以外的方式对冗余进行预置。您可以预置 [多个节点](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-ha-launch.html)。使用 [EMR 文件系统 (EMRFS)](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-fs.html),EMR 中的数据可存储在 Amazon S3 内,进而可以实现跨多个可用区或 AWS 区域复制。
同样,对于 Amazon Redshift 来说,它默认会在您选择的 AWS 区域内随机选择可用区,然后对其中的集群进行预置。相同区内的全部集群节点都会被预置。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 实施自我修复。尽可能使用弹性伸缩部署实例或容器。如果不能使用弹性伸缩,则使用 EC2 实例的自动恢复功能,或者基于 Amazon EC2 或 ECS 容器生命周期事件实施自我修复自动化。
+ 将 Auto Scaling 组用于对单个实例 IP 地址、私有 IP 地址、弹性 IP 地址和实例元数据没有要求的实例和容器工作负载。
+ [什么是 EC2 Auto Scaling?](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
+ [服务弹性伸缩](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-auto-scaling.html)
+ 启动配置用户数据可以用于实现自动化,从而让大多数工作负载可以自我修复。
+ 将 EC2 实例的自动恢复功能用于需要单个实例 ID 地址、私有 IP 地址、弹性 IP 地址和实例元数据的工作负载。
+ [恢复您的实例。](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html)
+ 自动恢复功能会在检测到实例故障时,向 SNS 主题发送恢复状态提醒。
+ 在无法使用弹性伸缩或 EC2 恢复的情况下,请使用 EC2 实例生命周期事件或 ECS 事件实现自我修复自动化。
+ [EC2 Auto Scaling 生命周期钩子](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html)
+ [Amazon ECS 事件](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs_cwe_events.html)
+ 使用这些事件调用自动化,该自动化将根据您需要的流程逻辑来修复组件。
## 资源
**相关文档:**
+ [Amazon ECS 事件](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs_cwe_events.html)
+ [EC2 Auto Scaling 生命周期钩子](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html)
+ [恢复您的实例。](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html)
+ [服务弹性伸缩](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-auto-scaling.html)
+ [什么是 EC2 Auto Scaling?](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
# REL10-BP04 采用隔板架构来限制影响范围
类似于船上的隔板,此模式确保将故障限制在一小部分请求或客户端,受损的请求数量有限,因此大部分请求可以继续执行而不会受错误影响。数据的隔板经常被称作分区,而服务的隔板称为单元格。
在 *基于单元格的架构中*,每个单元格都是完整、独立的服务实例,而且都有固定的最大大小。当负载增加时,工作负载会通过添加更多单元格而变大。分区键用于传入流量,以确定哪个单元格将处理请求。任何故障都会被限制在它所发生的单个单元格内,因此受损请求的数量有限,而其他单元格将继续执行而不受错误影响。确定适当的分区键,最大限度地减少跨单元格交互,以便使每个请求无需使用复杂的映射服务,这一点非常重要。需要复杂映射的服务最终只是把问题转移到映射服务上,而需要跨单元格交互的服务会在单元格之间创建依赖关系(因此这样做会减少假定的可用性改进)。
![\[图中显示基于 Cell 的架构\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/cell-based-architecture.png)
Colm MacCarthaigh 在他的 AWS 博客中说明了 Amazon Route 53 如何利用 [https://aws.amazon.com/blogs/architecture/shuffle-sharding-massive-and-magical-fault-isolation/](https://aws.amazon.com/blogs/architecture/shuffle-sharding-massive-and-magical-fault-isolation/) 的概念来隔离客户请求以避免影响其他分区。在此情况下,一个分区由两个或更多单元格组成。根据分区键,来自客户(或资源,或其他您想要隔离的对象)的流量会被路由至其指定的分区。若有八个单元格(每个分区中有两个单元格),而且在四个分区中划分客户,25% 的客户将在出现问题时受到影响。
![\[图中显示一个划分为传统分片的服务\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/service-divided-into-traditional-shards.png)
通过随机分区,您可以创建由两个单元格组成的虚拟分区,然后将您的客户指定给其中的一个虚拟分区。当问题发生时,您还是会失去完整服务的四分之一,但分配客户或资源的方式意味着若采用随机分区,影响的范围会在很大程度上小于 25%。在八个单元格中,存在着 28 种由两个单元格组成的独特组合,亦即有 28 种可能的随机分区(虚拟分区)。如果您有数百或数千个客户,并将每个客户指定给一个随机分区,那么问题的影响范围仅为 1/28。这比正常分区的情况好七倍。
![\[图中显示一个划分为随机分片的服务。\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/service-divided-into-shuffle-shards.png)
除了单元格,分区还可用于服务器、队列或其他资源。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 采用隔板架构。类似于船上的隔板,此模式确保将故障限制在较小的请求或用户子集,受损的请求数量有限,因此大部分可以继续执行而不会受错误影响。数据的隔板经常被称作分区,而服务的隔板称为单元格。
+ [Well-Architected 实验室:使用随机分区进行故障隔离](https://wellarchitectedlabs.com/reliability/300_labs/300_fault_isolation_with_shuffle_sharding/)
+ [随机分片:AWS re:Invent 2019:Amazon Builders’ Library 简介(DOP328)](https://youtu.be/sKRdemSirDM?t=1373)
+ [AWS re:Invent 2018:AWS 如何将故障的影响范围最小化(ARC338)](https://youtu.be/swQbA4zub20)
+ 评估工作负载的基于 Cell 的架构。在基于单元格的架构中,每个单元格都是完整、独立的服务实例,而且都有固定的最大大小。当负载增加时,工作负载会通过添加更多单元格而变大。分区键用于传入流量,以确定哪个单元格将处理请求。任何故障都会被限制在它所发生的单个单元格内,因此受损请求的数量有限,而其他单元格将继续执行而不受错误影响。确定适当的分区键,最大限度地减少跨单元格交互,以便使每个请求无需使用复杂的映射服务,这一点非常重要。需要复杂映射的服务最终只是把问题转移到映射服务上,而需要跨 Cell 交互的服务会降低 Cell 的自主性(因此,假定这样做可以提高可用性)。
+ Colm MacCarthaigh 在他的 AWS 博客中说明了 Amazon Route 53 如何利用随机分片的概念来隔离客户请求以避免影响其他分片
+ [随机分区:神奇的大规模故障隔离](https://aws.amazon.com/blogs/architecture/shuffle-sharding-massive-and-magical-fault-isolation)
## 资源
**相关文档:**
+ [随机分区:神奇的大规模故障隔离](https://aws.amazon.com/blogs/architecture/shuffle-sharding-massive-and-magical-fault-isolation)
+ [Amazon Builders' Library:采用随机分区进行工作负载隔离](https://aws.amazon.com/builders-library/workload-isolation-using-shuffle-sharding/)
**相关视频:**
+ [AWS re:Invent 2018:AWS 如何将故障的影响范围最小化(ARC338)](https://youtu.be/swQbA4zub20)
+ [随机分片:AWS re:Invent 2019:Amazon Builders’ Library 简介(DOP328)](https://youtu.be/sKRdemSirDM?t=1373)
**相关示例:**
+ [Well-Architected 实验室:使用随机分区进行故障隔离](https://wellarchitectedlabs.com/reliability/300_labs/300_fault_isolation_with_shuffle_sharding/)
# REL 11 如何将您的工作负载设计为可承受组件故障的影响?
在设计具有高可用性和较短平均恢复时间(MTTR)要求的工作负载时必须考虑到弹性。
**Topics**
+ [REL11-BP01 监控工作负载的所有组件以检测故障](rel_withstand_component_failures_monitoring_health.md)
+ [REL11-BP02 失效转移到运行状况良好的资源](rel_withstand_component_failures_failover2good.md)
+ [REL11-BP03 自动修复所有层](rel_withstand_component_failures_auto_healing_system.md)
+ [REL11-BP04 恢复期间依赖于数据面板而不是控制面板](rel_withstand_component_failures_avoid_control_plane.md)
+ [REL11-BP05 使用静态稳定性来防止双模态行为](rel_withstand_component_failures_static_stability.md)
+ [REL11-BP06 当事件影响可用性时发出通知](rel_withstand_component_failures_notifications_sent_system.md)
# REL11-BP01 监控工作负载的所有组件以检测故障
持续监控您的工作负载的运行状况,以便您和您的自动化系统立即发现任何性能下降或故障情况。监控基于商业价值的关键性能指标(KPI)。
所有恢复和修复机制必须从快速检测问题的能力入手。首先,应该检测技术故障并加以解决。不过,可用性基于您的工作负载创造商业价值的能力,因此衡量它的关键性能指标(KPI,Key Performance Indicator)需要成为您的检测和补救策略一部分。
**常见反模式:**
+ 由于未配置警报,因此在发生中断时不会进行通知。
+ 虽然存在警报,但只有在达到阈值时才会发出警报,导致没有足够的响应时间。
+ 收集指标的频率不够高,无法满足恢复时间目标(RTO)。
+ 只有面向客户的工作负载层才会受到主动监控。
+ 只收集技术指标,不收集业务功能指标。
+ 没有衡量工作负载用户体验的指标。
**建立此最佳实践的好处:** 如果您在所有层面都设置了适当的监控,则可以通过减少检测时间来减少恢复时间。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 根据恢复目标确定您的组件的收集间隔。
+ 您的监控间隔取决于您必须实现的恢复速度。您的恢复时间取决于恢复所需的时间,因此您在确定收集频率时,必须考虑此时间和恢复时间目标(RTO)。
+ 为组件配置详细监控。
+ 确定是否需要为 EC2 实例和 Auto Scaling 配置详细监控。详细监控以 1 分钟为间隔提供指标,默认监控以 5 分钟为间隔提供指标。
+ [为您的实例启用或禁用详细监控](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-cloudwatch-new.html)
+ [使用 Amazon CloudWatch 监控自动扩缩组和实例](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html)
+ 确定是否需要为 RDS 设置增强监控。增强监控使用 RDS 实例上的代理来获取关于 RDS 实例上不同进程或线程的有用信息。
+ [增强监控](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)
+ 创建自定义指标来测量业务关键性能指标(KPI,Key Performance Indicator)。工作负载实现关键业务功能。这些功能应用作 KPI 来帮助在发生间接问题时确定这些问题。
+ [发布自定义指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ 使用用户金丝雀来监控用户的故障体验。可以运行综合事务测试(又称为“金丝雀测试”,但不要和金丝雀部署相混淆)模拟客户的行为,这是最重要的测试流程之一。从不同的远程位置针对您的工作负载端点持续地运行此类测试。
+ [Amazon CloudWatch Synthetics 使您能够创建用户金丝雀](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ 创建跟踪用户体验的自定义指标。如果您可以衡量客户体验,就可以确定发生了客户体验下降。
+ [发布自定义指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ 设置告警,以在检测到工作负载未正常运行时发出告警,并指示什么时候对资源进行弹性伸缩。告警可以显示在控制面板上,可通过 Amazon SNS 或电子邮件发送提醒,并使用 Auto Scaling 来纵向扩展或缩减工作负载的资源。
+ [使用 Amazon CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ 创建控制面板以可视化形式呈现指标。可以使用控制面板直观地查看趋势、离群值和表示其他潜在问题的指标,或者提供您可能需要进行调查的问题的指示。
+ [使用 CloudWatch 控制面板](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
## 资源
**相关文档:**
+ [Amazon CloudWatch Synthetics 使您能够创建用户金丝雀](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [为您的实例启用或禁用详细监控](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-cloudwatch-new.html)
+ [增强监控](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)
+ [使用 Amazon CloudWatch 监控自动扩缩组和实例](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html)
+ [发布自定义指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html)
+ [使用 Amazon CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [使用 CloudWatch 控制面板](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)
**相关示例:**
+ [Well-Architected 实验室:第 300 级:实施运行状况检查和管理依赖项以提高可靠性](https://wellarchitectedlabs.com/Reliability/300_Health_Checks_and_Dependencies/README.html)
# REL11-BP02 失效转移到运行状况良好的资源
确保如果某个资源发生故障,该运行状况良好的资源可以继续为请求提供服务。对于位置故障(如可用区或 AWS 区域),确保您拥有适当的系统以失效转移到未受损位置内运行状况良好的资源。
Elastic Load Balancing 和 AWS Auto Scaling 等 AWS 服务有助于跨资源和可用区分配负载。因此,可以通过将流量转移到运行状况良好的剩余资源,缓解单个资源(例如 EC2 实例)的故障或可用区的损坏。对于多区域工作负载就比较复杂。例如,跨区域只读副本让您可以将数据部署到多个 AWS 区域,但在发生失效转移时,您仍必须提升只读副本至主节点,并将流量指向该节点。Amazon Route 53 和 AWS Global Accelerator 可以帮助跨 AWS 区域路由流量。
如果您的工作负载使用 Amazon S3 或 Amazon DynamoDB 等 AWS 服务,则它们会自动部署到多个可用区。当发生故障时,AWS 控制面板会自动为您将流量路由至运行正常的位置。数据在多个可用区中进行冗余存储,并保持可用。针对 Amazon RDS,您必须选择多可用区作为配置选项,然后在发生故障时,AWS 会自动将流量定向至运行正常的实例。对于 Amazon EC2 实例、Amazon ECS 任务或 Amazon EKS 容器组(pod),您要选择部署到哪些可用区。然后,Elastic Load Balancing 会提供解决方案以检测运行不正常区内的实例,并将流量路由至运行正常的区。Elastic Load Balancing 甚至可以将流量路由至本地数据中心内的组件。
针对多区域方法(也可能包括本地数据中心),Amazon Route 53 会提供定义互联网域并指定路由策略的方式,而此类策略可能包含运行状况检查,以确保流量被路由至运行正常的区域。此外,AWS Global Accelerator 也可以提供静态 IP 地址作为您的应用程序的固定接入点,然后通过 AWS 全球网络而不是互联网路由至您选择的 AWS 区域内的终端节点,以提高性能和可靠性。
AWS 在设计服务时始终会考虑故障恢复功能。我们设计服务时会尽量缩短从故障恢复的时间并降低对数据的影响。我们的服务主要使用的数据存储,只有在数据持久存储在一个区域中的多个副本之后,才会确认请求。这些服务和资源包括 Amazon Aurora、Amazon Relational Database Service (Amazon RDS) 多可用区数据库实例、Amazon S3、Amazon DynamoDB、Amazon Simple Queue Service (Amazon SQS) 和 Amazon Elastic File System (Amazon EFS)。它们被构建为使用基于单元格的隔离,并使用可用区提供的故障隔离功能。我们在自己的运营过程中广泛使用自动化。我们还将替换和重新启动功能优化为可从中断快速恢复。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 失效转移到运行状况良好的资源。确保如果某个资源发生故障,该运行状况良好的资源可以继续为请求提供服务。对于位置故障(如可用区或 AWS 区域),确保您拥有适当的系统以失效转移到未受损位置内运行状况良好的资源。
+ 如果您的工作负载使用 Amazon S3 或 Amazon DynamoDB 等 AWS 服务,则它们会自动部署到多个可用区。当发生故障时,AWS 控制面板会自动为您将流量路由至运行正常的位置。
+ 针对 Amazon RDS,您必须选择多可用区作为配置选项,然后在发生故障时,AWS 会自动将流量定向至运行正常的实例。
+ [Amazon RDS 的高可用性(多可用区)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html)
+ 对于 Amazon EC2 实例或 Amazon ECS 任务,您要选择部署到哪些可用区。然后,Elastic Load Balancing 会提供解决方案以检测运行不正常区内的实例,并将流量路由至运行正常的区。Elastic Load Balancing 甚至可以将流量路由至本地数据中心内的组件。
+ 针对多区域方案(也可能包括本地部署数据中心),要确保来自正常运行位置的数据和资源可以继续用于处理请求
+ 例如,跨区域只读副本让您可以将数据部署到多个 AWS 区域,但在主要位置发生故障时,您仍必须提升只读副本至主节点,并将流量指向该节点。
+ [Amazon RDS 只读副本概述](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html)
+ Amazon Route 53 提供定义互联网域并指定路由策略的方式,而此类策略可能包含运行状况检查,以确保流量被路由至运行正常的区域。此外,AWS Global Accelerator 也可以提供静态 IP 地址作为您的应用程序的固定接入点,然后通过 AWS 全球网络而不是互联网路由至您选择的 AWS 区域内的端点,以提高性能和可靠性。
+ [Amazon Route 53:选择一个路由策略](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)
+ [什么是 AWS Global Accelerator?](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
## 资源
**相关文档:**
+ [AWS 合作伙伴:可以帮助您实现容错自动化的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=automation)
+ [AWS Marketplace:可以支持容错的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=fault+tolerance)
+ [AWS OpsWorks:使用自动修复来更换失败的实例](https://docs.aws.amazon.com/opsworks/latest/userguide/workinginstances-autohealing.html)
+ [Amazon Route 53:选择一个路由策略](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)
+ [Amazon RDS 的高可用性(多可用区)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html)
+ [Amazon RDS 只读副本概述](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html)
+ [Amazon ECS 任务置放策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
+ [为多个可用区创建 Kubernetes 自动扩缩组](https://aws.amazon.com/blogs/containers/amazon-eks-cluster-multi-zone-auto-scaling-groups/)
+ [什么是 AWS Global Accelerator?](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
**相关示例:**
+ [Well-Architected 实验室:第 300 级:实施运行状况检查和管理依赖项以提高可靠性](https://wellarchitectedlabs.com/Reliability/300_Health_Checks_and_Dependencies/README.html)
# REL11-BP03 自动修复所有层
在检测到故障时,使用自动化功能执行修复操作。
*重启功能* 是用于修复故障的重要工具。正如我们之前在分布式系统部分讨论过那样,最佳实践是尽可能使服务为无状态。它可以防止重启时数据丢失或可用性受损。您可以(而且在一般情况下也应该)在云中替换完整的资源(如 EC2 实例或 Lambda 函数),并将其作为重启的一部分。重启本身是从故障恢复的简单而可靠的方法。工作负载中会发生很多不同类型的故障。故障可能发生在硬件、软件、通信和操作上。将众多不同类别的故障映射到相同的恢复策略上,而不是构建新颖的机制来捕获、确定和纠正各个不同类型的故障。实例可能会因为硬件故障、操作系统错误、内存泄漏或其他原因而出现故障。系统不会针对每种情况构建自定义修复,而是会将它们全部视为实例故障。终止实例,并且允许使用 AWS Auto Scaling 进行取代。然后,在带外对故障资源进行分析。
另一个例子是重启网络请求功能。向网络超时以及依赖项返回错误的依赖性故障应用相同的恢复方法。这两个事件对系统具有类似的影响,应用类似的采用指数回退和抖动的有限重试策略,而不是尝试将各个事件当作特例进行处理。
*重启功能* 是面向恢复的计算和高可用性集群架构的特色恢复机制。
Amazon EventBridge 可用于监控和筛选事件,例如 CloudWatch 警报或其他 AWS 服务中的状态更改。根据事件信息,它可以触发 AWS Lambda、AWS Systems Manager Automation(或其他目标)在您的工作负载上执行自定义修复逻辑。
Amazon EC2 Auto Scaling 可以配置为对 EC2 实例的运行状况进行检查。若实例处于正在运行以外的任何状态,或系统状态受损,Amazon EC2 Auto Scaling 会认为实例的运行不正常,并且启动替换实例。如果使用 AWS OpsWorks,您可以在 OpsWorks 层级别配置 EC2 实例的自动修复。
针对大规模替换(如整个可用区受损),静态稳定性更适合高可用性,而不是立即尝试获取多个新的资源。
**常见反模式:**
+ 在实例或容器中单独部署应用程序。
+ 在不使用自动恢复的情况下,部署无法部署到多个位置的应用程序。
+ 手动修复自动扩展和自动恢复无法修复的应用程序。
**建立此最佳实践的好处:** 自动修复,即使工作负载一次只能部署到一个位置也能减少平均恢复时间,并确保工作负载的可用性。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 使用自动扩缩组在工作负载中部署多个层。Auto Scaling 可以对无状态应用程序执行自我修复,以及添加和移除容量。
+ [AWS Auto Scaling 的工作原理](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html)
+ 在部署了无法部署到多个位置,但在故障后允许重新启动的应用程序的 EC2 实例上,实施自动恢复。当无法将应用程序部署到多个位置时,可以使用自动恢复来替换发生故障的硬件并重新启动实例。实例元数据和关联的 IP 地址将被保留,Amazon EBS 卷以及 Elastic File System 或 File Systems for Lustre 和 File Systems for Windows 的挂载点也是如此。
+ [Amazon EC2 Automatic Recovery](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html)
+ [Amazon Elastic Block Store(Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
+ [Amazon Elastic File System(Amazon EFS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEFS.html)
+ [什么是 Amazon FSx for Lustre?](https://docs.aws.amazon.com/fsx/latest/LustreGuide/what-is.html)
+ [什么是 Amazon FSx for Windows File Server?](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/what-is.html)
+ 使用 AWS OpsWorks 时,您可以在层级别配置 EC2 实例的自动修复。
+ [AWS OpsWorks:使用自动修复来更换失败的实例](https://docs.aws.amazon.com/opsworks/latest/userguide/workinginstances-autohealing.html)
+ 当您无法使用自动扩展或自动恢复时,或者自动恢复出故障时,使用 AWS Step Functions 和 AWS Lambda 实施自动恢复。当您无法使用自动扩展,并且无法使用自动恢复或自动恢复失败时,您可以使用 AWS Step Functions 和 AWS Lambda 进行自动修复。
+ [什么是 AWS Step Functions?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
+ [什么是 AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
+ Amazon EventBridge 可用于监控和筛选事件,例如 CloudWatch 警报或其他 AWS 服务中的状态更改。根据事件信息,它可以触发 AWS Lambda(或其他目标)在您的工作负载上运行自定义修复逻辑。
+ [什么是 Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [使用 Amazon CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## 资源
**相关文档:**
+ [AWS 合作伙伴:可以帮助您实现容错自动化的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=automation)
+ [AWS Marketplace:可以支持容错的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=fault+tolerance)
+ [AWS OpsWorks:使用自动修复来更换失败的实例](https://docs.aws.amazon.com/opsworks/latest/userguide/workinginstances-autohealing.html)
+ [Amazon EC2 Automatic Recovery](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-recover.html)
+ [Amazon Elastic Block Store(Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
+ [Amazon Elastic File System(Amazon EFS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEFS.html)
+ [AWS Auto Scaling 的工作原理](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html)
+ [使用 Amazon CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [什么是 Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [什么是 AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [什么是 AWS Step Functions?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)
+ [什么是 Amazon FSx for Lustre?](https://docs.aws.amazon.com/fsx/latest/LustreGuide/what-is.html)
+ [什么是 Amazon FSx for Windows File Server?](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/what-is.html)
**相关视频:**
+ [AWS 中的静态稳定性:AWS re:Invent 2019:Amazon Builders’ Library 简介(DOP328)](https://youtu.be/sKRdemSirDM?t=704)
**相关示例:**
+ [Well-Architected 实验室:第 300 级:实施运行状况检查和管理依赖项以提高可靠性](https://wellarchitectedlabs.com/Reliability/300_Health_Checks_and_Dependencies/README.html)
# REL11-BP04 恢复期间依赖于数据面板而不是控制面板
控制面板用于配置资源,数据面板可提供服务。数据面板通常比控制面板具有更高的可用性设计目标,并且通常不太复杂。在对可能影响弹性的事件实施恢复或缓解响应时,使用控制面板操作会降低架构的整体弹性。例如,您可以依靠 Amazon Route 53 数据面板,根据运行状况检查可靠地路由 DNS 查询,但更新 Route 53 路由策略时使用控制面板,因此不要依赖它进行恢复。
Route 53 数据面板回复 DNS 查询,并执行和评估运行状况检查。它们分布在全球各地,专为 [100% 可用性的服务等级协议(SLA,Service Level Agreement)而设计。](https://aws.amazon.com/route53/sla/) 您用于创建、更新和删除 Route 53 资源的 Route 53 管理 API 和控制台是在控制面板上运行的,而这些控制面板设计用于优先考虑您在管理 DNS 时所需的强一致性和持久性。为了实现这一点,控制面板位于单个区域 US East (N. Virginia) 中。虽然这两个系统都非常可靠,但控制面板不包含在 SLA 中。在极少数情况下,数据面板的弹性设计允许它保持可用性,而控制面板做不到。对于灾难恢复和失效转移机制,使用数据面板功能可提供尽可能好的可靠性。
有关数据面板、控制面板以及 AWS 如何构建服务以满足高可用性目标的更多信息,请参阅 [使用可用区的静态稳定性](https://aws.amazon.com/builders-library/static-stability-using-availability-zones) 文章以及 [Amazon Builders’ Library。](https://aws.amazon.com/builders-library/)
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 使用 Amazon Route 53 进行灾难恢复时依赖数据面板而不是控制面板。Route 53 Application Recovery Controller 使用就绪性检查和路由控制来帮助您管理和协调失效转移。这些功能持续监控您的应用程序从故障中恢复的能力,并使您能够跨多个 AWS 区域、可用区和本地部署控制您的应用程序恢复。
+ [什么是 Route 53 Application Recovery Controller](https://docs.aws.amazon.com/r53recovery/latest/dg/what-is-route53-recovery.html)
+ [使用 Amazon Route 53 创建灾难恢复机制](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-disaster-recovery-mechanisms-using-amazon-route-53/)
+ [使用 Amazon Route 53 Application Recovery Controller 构建高弹性应用程序,第 1 部分:单区域堆栈](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-1-single-region-stack/)
+ [使用 Amazon Route 53 Application Recovery Controller 构建高弹性应用程序,第 2 部分:多区域堆栈](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-2-multi-region-stack/)
+ 了解哪些操作位于数据面板以及哪些位于控制面板。
+ [Amazon Builders' Library:通过控制较小的服务来避免分布式系统中出现过载](https://aws.amazon.com/builders-library/avoiding-overload-in-distributed-systems-by-putting-the-smaller-service-in-control/)
+ [Amazon DynamoDB API(控制面板和数据面板)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.API.html)
+ [AWS Lambda 执行](https://docs.aws.amazon.com/whitepapers/latest/security-overview-aws-lambda/lambda-executions.html) (拆分为控制面板和数据面板)
+ [AWS Lambda 执行](https://docs.aws.amazon.com/whitepapers/latest/security-overview-aws-lambda/lambda-executions.html) (拆分为控制面板和数据面板)
## 资源
**相关文档:**
+ [AWS 合作伙伴:可以帮助您实现容错自动化的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=automation)
+ [AWS Marketplace:可以支持容错的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=fault+tolerance)
+ [Amazon Builders' Library:通过控制较小的服务来避免分布式系统中出现过载](https://aws.amazon.com/builders-library/avoiding-overload-in-distributed-systems-by-putting-the-smaller-service-in-control/)
+ [Amazon DynamoDB API(控制面板和数据面板)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.API.html)
+ [AWS Lambda 执行](https://docs.aws.amazon.com/whitepapers/latest/security-overview-aws-lambda/lambda-executions.html) (拆分为控制面板和数据面板)
+ [AWS Elemental MediaStore 数据面板](https://docs.aws.amazon.com/mediastore/latest/apireference/API_Operations_AWS_Elemental_MediaStore_Data_Plane.html)
+ [使用 Amazon Route 53 Application Recovery Controller 构建高弹性应用程序,第 1 部分:单区域堆栈](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-1-single-region-stack/)
+ [使用 Amazon Route 53 Application Recovery Controller 构建高弹性应用程序,第 2 部分:多区域堆栈](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-2-multi-region-stack/)
+ [使用 Amazon Route 53 创建灾难恢复机制](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-disaster-recovery-mechanisms-using-amazon-route-53/)
+ [什么是 Route 53 Application Recovery Controller](https://docs.aws.amazon.com/r53recovery/latest/dg/what-is-route53-recovery.html)
**相关示例:**
+ [Amazon Route 53 Application Recovery Controller 简介](https://aws.amazon.com/blogs/aws/amazon-route-53-application-recovery-controller/)
# REL11-BP05 使用静态稳定性来防止双模态行为
双模态行为是指您的工作负载在正常和故障模式下展现出不同的行为,例如,可用区发生故障时依赖于启动新的实例。您应该构建静态稳定的工作负载,并且仅在一个模式下运行。在这种情况下,如果删除了一个可用区,要在每个可用区内预置足够的实例来处理工作负载,然后再使用 Elastic Load Balancing 或 Amazon Route 53 运行状况检查将负载从受损实例中转出。
适用于计算部署(如 EC2 实例或容器)的静态稳定性将提供最高水平的可靠性。您必须在稳定性水平和成本之间认真权衡。预置较小的计算容量,并在发生故障时依赖启动新实例,其成本较低。但对于大规模故障(如可用区故障)来说,此方法的效果较差,因为它依赖于对发生的损坏做出反应,而不会在损坏发生前做好准备。您选择的解决方案应在工作负载的可用性和成本需求之间做出取舍。若使用更多可用区,静态稳定性所需的额外计算量就会减少。
![\[显示跨可用区的 EC2 实例的静态稳定性的图表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/static-stability.png)
在流量转移以后,使用 AWS Auto Scaling 异步替换故障区的实例,并且在运行正常的区内启动。
双模态行为的另一个例子是,网络超时可能会导致系统尝试刷新整个系统的配置状态。这会向另一个组件添加意外负载,进而可能导致该组件出现故障,触发其他意外后果。此负面的反馈环路会影响您的工作负载的可用性。您应该构建静态稳定的系统,并且仅在一个模式下运行。静态稳定的设计会持续工作,并且始终定期刷新配置状态。当调用失败时,工作负载会使用之前的缓存值,并触发警报。
双模态行为的另一个示例是允许客户端在故障发生时绕过您的工作负载缓存。这看起来似乎是可以满足客户端需求的解决方案但却不应该被允许,因为它会明显改变您的工作负载的需求,而且很有可能导致故障。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 使用静态稳定性来防止双模态行为。双模态行为是指您的工作负载在正常和故障模式下展现出不同的行为,例如,可用区发生故障时依赖于启动新的实例。
+ [尽可能减小灾难恢复计划中的依赖关系](https://aws.amazon.com/blogs/architecture/minimizing-dependencies-in-a-disaster-recovery-plan/)
+ [Amazon Builders' Library:使用可用区的静态稳定性](https://aws.amazon.com/builders-library/static-stability-using-availability-zones)
+ [AWS 中的静态稳定性:AWS re:Invent 2019:Amazon Builders’ Library 简介(DOP328)](https://youtu.be/sKRdemSirDM?t=704)
+ 您应该构建静态稳定的系统,并且仅在一个模式下运行。在这种情况下,在每个区内预置足够的实例来处理删除了一个工作区时的工作负载,然后再使用 Elastic Load Balancing 或 Amazon Route 53 运行状况检查将负载从受损实例中转出。
+ 双模态行为的另一个示例是允许客户端在故障发生时绕过您的工作负载缓存。这看起来似乎是可以满足客户端需求的解决方案,但却不应该被允许,因为它会明显改变您的工作负载的需求,而且很有可能导致故障。
## 资源
**相关文档:**
+ [尽可能减小灾难恢复计划中的依赖关系](https://aws.amazon.com/blogs/architecture/minimizing-dependencies-in-a-disaster-recovery-plan/)
+ [Amazon Builders' Library:使用可用区的静态稳定性](https://aws.amazon.com/builders-library/static-stability-using-availability-zones)
**相关视频:**
+ [AWS 中的静态稳定性:AWS re:Invent 2019:Amazon Builders’ Library 简介(DOP328)](https://youtu.be/sKRdemSirDM?t=704)
# REL11-BP06 当事件影响可用性时发出通知
在检测到重大事件时发送通知,即使由事件引发的问题已经自动解决。
自动修复使您的工作负载变得可靠。不过,它也可能会掩盖需要处理的潜在问题。实施适当的监控和措施,以便检测问题的模式,包括那些被自动修复的问题,从而从根本上解决问题。Amazon CloudWatch 警报会基于发生的故障触发。它们还可能由于执行自动修复操作而被触发。CloudWatch 警报可被配置为发送电子邮件,或使用 Amazon SNS 集成将事件记录到第三方事件跟踪系统。
**常见反模式:**
+ 发出不需要有人采取措施的告警。
+ 执行自动修复,但不通知需要进行该修复。
**建立此最佳实践的好处:** 恢复事件通知将确保您不会忽略不经常发生的问题。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 在业务关键性能指标超出低阈值时发出警报:收到关于您的业务 KPI 的低阈值告警,可帮助您及时了解工作负载不可用或未正常工作的情况。
+ [基于静态阈值创建 CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)
+ 针对调用自动修复的事件发出告警:您可以使用任何已创建的自动化功能直接调用 SNS API 来发送通知。
+ [什么是 Amazon Simple Notification Service?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)
## 资源
**相关文档:**
+ [基于静态阈值创建 CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)
+ [什么是 Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [什么是 Amazon Simple Notification Service?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)
# REL 12 如何测试可靠性?
在为您的工作负载采用弹性设计以应对生产压力以后,测试是确保其按设计预期运行,并且提供您所预期弹性的唯一方式。
**Topics**
+ [REL12-BP01 使用行动手册调查故障](rel_testing_resiliency_playbook_resiliency.md)
+ [REL12-BP02 在意外事件发生后执行分析](rel_testing_resiliency_rca_resiliency.md)
+ [REL12-BP03 测试功能要求](rel_testing_resiliency_test_functional.md)
+ [REL12-BP04 测试扩展和性能要求](rel_testing_resiliency_test_non_functional.md)
+ [REL12-BP05 使用混沌工程测试弹性](rel_testing_resiliency_failure_injection_resiliency.md)
+ [REL12-BP06 定期进行实际试用](rel_testing_resiliency_game_days_resiliency.md)
# REL12-BP01 使用行动手册调查故障
通过在行动手册中记录调查流程,实现对并不十分了解的故障场景做出一致且及时的响应。行动手册是在确定哪些因素导致故障场景时要执行的预定义步骤。所有流程步骤的结果都将用于确定要采取的后续步骤,直到问题得到确定或上报。
行动手册是您必须要执行的主动计划,以便有效采取响应措施。当在生产中遇到行动手册未涉及的故障场景时,首先要解决问题(灭火)。然后回过头来思考您在解决问题时采取的措施,并将这些措施作为新条目添加到行动手册中。
请注意,行动手册可用于对特定事件做出响应,运行手册则用来达成特定的结果。通常,运行手册适用于例行活动,而行动手册则被用于对非例行事件做出响应。
**常见反模式:**
+ 计划在以下情况下部署工作负载:不清楚诊断问题或响应意外事件的流程。
+ 关于在对事件进行调查时从哪些系统收集日志和指标的计划外的决定。
+ 指标和事件保留的时间不够长,无法检索到数据。
**建立此最佳实践的好处:** 使用行动手册可确保始终如一地遵循程序。编写行动手册可以减少手动操作导致的错误。通过实现行动手册自动化,可以消除团队成员干预的需要,或者在他们开始干预时便向他们提供更多信息,从而缩短事件响应时间。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 使用行动手册来发现问题。管理手册是用于调查问题的书面程序。在行动手册中记录流程,实现对故障场景的一致而及时的响应。行动手册必须包含所需的信息和指导,让足够熟练的员工能够收集适用信息、确定故障的潜在来源、隔离故障,并确定成因(在意外事件发生后执行分析)。
+ 以代码形式实施行动手册。为行动手册编写脚本,以代码形式执行运营,以确保一致性并减少由手动流程引起的错误。行动手册可以由代表不同步骤的多个脚本组成,这些步骤可能是确定问题成因所必需的。系统可能会在运行手册活动过程中触发或执行行动手册活动,也可能针对响应发现的事件而提示执行行动手册活动。
+ [使用 AWS Systems Manager 自动执行您的运营手册](https://aws.amazon.com/about-aws/whats-new/2019/11/automate-your-operational-playbooks-with-aws-systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [什么是 AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
+ [什么是 Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [使用 Amazon CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## 资源
**相关文档:**
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [使用 AWS Systems Manager 自动执行您的运营手册](https://aws.amazon.com/about-aws/whats-new/2019/11/automate-your-operational-playbooks-with-aws-systems-manager/)
+ [使用 Amazon CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
+ [使用金丝雀(Amazon CloudWatch Synthetics)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [什么是 Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
+ [什么是 AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)
**相关示例:**
+ [使用行动手册和运行手册自动完成操作](https://wellarchitectedlabs.com/operational-excellence/200_labs/200_automating_operations_with_playbooks_and_runbooks/)
# REL12-BP02 在意外事件发生后执行分析
审核影响客户的事件,确定这些事件的成因和预防措施。利用这些信息来制定缓解措施,以限制或防止再次发生同类事件。制定程序以迅速有效地做出响应。根据目标受众,适当传达事件成因和纠正措施。如果需要,可将这些原因告知他人。
评估为什么现有测试找不到问题。如果还没有,增设测试。
**常见反模式:**
+ 查找事件成因,但不继续深入探究其他潜在问题和缓解问题的方法。
+ 只找出人为错误原因,但不提供任何培训或可防止人为错误的自动化功能。
**建立此最佳实践的好处:** 如果其他工作负载实施了相同的故障因素,那么在意外事件发生后执行分析并共享分析结果可帮助缓解这些工作负载的故障风险,并使它们能够在意外事件发生之前实施缓解或自动恢复措施。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 制定事后分析标准。有效的事后分析让您有机会针对系统中其他地方使用的架构模式存在的问题提出常见的解决方案。
+ 确保在提出事件成因时秉承诚实原则并且不苛责。
+ 如果您不记录问题,就无法予以纠正。
+ 确保事后分析不带苛责,这样您便可以冷静地看待建议的纠正措施,并在您的应用程序团队中促进诚实的自我评估和协作。
+ 通过流程来确定事件成因。设置流程来确定和记录事件成因,以便制定缓解措施来限制或阻止事件再次发生,并且您还可以据此制定及时有效的应对措施。根据目标受众,适当传达成因。
+ [什么是日志分析?](https://aws.amazon.com/log-analytics/)
## 资源
**相关文档:**
+ [什么是日志分析?](https://aws.amazon.com/log-analytics/)
+ [为什么您应该制定更正错误(COE,Correction of Error)措施](https://aws.amazon.com/blogs/mt/why-you-should-develop-a-correction-of-error-coe/)
# REL12-BP03 测试功能要求
使用的技术包括用于验证所需功能的单元测试和集成测试。
如果这些测试作为构建和部署措施的一部分自动运行,则您可以获得最佳的结果。例如,使用 AWS CodePipeline,开发人员会在 CodePipeline 自动检测到变更时提交对源存储库的更改。执行更改,然后加以测试。在测试完成以后,构建的代码会被部署到用于测试的暂存服务器。CodePipeline 会从暂存服务器运行更多测试,如集成或负载测试等。在成功完成此类测试以后,CodePipeline 会将经过测试并获得批准的代码部署到生产实例。
此外,过去的经验告诉我们,可运行合成事务测试(又被称作 *金丝雀测试*,但不要和金丝雀部署相混淆)模拟用户行为,这是最重要的测试流程之一。从不同的远程位置针对您的工作负载端点持续地运行此类测试。Amazon CloudWatch Synthetics 使您能够 [创建 Canary](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) 以便监控您的终端节点和 API。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 测试功能要求。这包括用于验证所需功能的单元测试和集成测试。
+ [将 CodePipeline 与 AWS CodeBuild 结合使用以测试代码和运行构建](https://docs.aws.amazon.com/codebuild/latest/userguide/how-to-create-pipeline.html)
+ [AWS CodePipeline 增加了对通过 AWS CodeBuild 进行单位和自定义集成测试的支持](https://aws.amazon.com/about-aws/whats-new/2017/03/aws-codepipeline-adds-support-for-unit-testing/)
+ [持续交付和持续集成](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html)
+ [使用金丝雀(Amazon CloudWatch Synthetics)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
+ [软件测试自动化](https://aws.amazon.com/marketplace/solutions/devops/software-test-automation)
## 资源
**相关文档:**
+ [AWS 合作伙伴:可帮助实施持续集成管道的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=Continuous+Integration)
+ [AWS CodePipeline 增加了对通过 AWS CodeBuild 进行单位和自定义集成测试的支持](https://aws.amazon.com/about-aws/whats-new/2017/03/aws-codepipeline-adds-support-for-unit-testing/)
+ [AWS Marketplace:可用于实现持续集成的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=Continuous+integration)
+ [持续交付和持续集成](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html)
+ [软件测试自动化](https://aws.amazon.com/marketplace/solutions/devops/software-test-automation)
+ [将 CodePipeline 与 AWS CodeBuild 结合使用以测试代码和运行构建](https://docs.aws.amazon.com/codebuild/latest/userguide/how-to-create-pipeline.html)
+ [使用金丝雀(Amazon CloudWatch Synthetics)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)
# REL12-BP04 测试扩展和性能要求
使用的技术包括负载测试以验证工作负载是否满足扩展和性能要求。
在云中,您可以按需为您的工作负载创建生产规模环境。如果在缩减的基础设施上运行这些测试,您必须根据您认为在生产中将会发生的情况扩展您观察到的结果。如果不想影响实际用户,您可以在生产中开展负载和性能测试,并且对您的测试数据进行标记,以避免它与真实的用户数据、损坏的使用情况统计或生产报告混在一起。
通过测试确保您的基础资源、扩展设置、服务限额和弹性设计能够在负载之下如预期运行。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 测试扩展和性能要求。执行负载测试以验证工作负载是否满足扩展和性能要求。
+ [AWS 上的分布式负载测试:模拟数千个连接的用户](https://aws.amazon.com/solutions/distributed-load-testing-on-aws/)
+ [Apache JMeter](https://github.com/apache/jmeter?ref=wellarchitected)
+ 将您的应用程序部署在与生产环境相同的环境中,然后执行负载测试。
+ 使用基础设施即代码概念,以创建尽可能类似于生产环境的环境。
## 资源
**相关文档:**
+ [AWS 上的分布式负载测试:模拟数千个连接的用户](https://aws.amazon.com/solutions/distributed-load-testing-on-aws/)
+ [Apache JMeter](https://github.com/apache/jmeter?ref=wellarchitected)
# REL12-BP05 使用混沌工程测试弹性
在处于或尽可能接近生产的环境中定期运行混沌试验,以了解系统如何应对不利条件。
** 期望结果: **
除了在事件期间验证已知预期工作负载行为的弹性测试之外,还可以通过以故障注入实验或注入意外负载的形式应用混沌工程,定期验证工作负载的弹性。将混沌工程和弹性测试结合起来,您可以提升信心,相信工作负载能够经受组件故障,并可从意外中断中恢复,而影响极小甚至没有影响。
** 常见反模式: **
+ 进行弹性设计,但不验证故障发生时工作负载如何作为一个整体运行。
+ 从不在真实环境和预期负载下进行试验。
+ 不将实验视为代码,也不在整个开发周期中维护它们。
+ 不将混沌实验作为 CI/CD 管道的一部分,也不在部署之外运行。
+ 在确定要对哪些故障进行试验时,没有想到使用过去的意外事件后分析。
** 建立此最佳实践的好处:** 注入故障来验证工作负载的弹性,这可以让您提升信心,相信您的弹性设计的恢复程序将在真正发生故障的情况下能够发挥作用。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
利用混沌工程,您的团队能够在服务提供商、基础设施、工作负载和组件级别,以可控的方式不断注入真实世界的干扰(模拟),而对客户的影响极小甚至没有影响。它使您的团队能够从故障中学习,观察、测量和提高工作负载的弹性,并验证在发生事件时,系统会发出警报并通知团队。
当持续执行时,混沌工程会突出工作负载中的缺陷,这些缺陷若不加以解决,可能会对可用性和运营产生负面影响。
**注意**
混沌工程是对系统进行试验以让人们确信系统能够在生产中经受住混乱情形的规范。– [混沌工程的原则](https://principlesofchaos.org/)
如果系统能够经受住这些干扰,那么应将混沌实验作为自动回归测试来加以维护。这样一来,应将混沌实验作为系统开发生命周期(SDLC)的一部分,以及作为 CI/CD 管道的一部分来执行。
为了确保您的工作负载能够承受组件故障,请在实验中注入实际事件。例如,对 Amazon EC2 实例的丢失或主 Amazon RDS 数据库实例的失效转移进行试验,并验证您的工作负载没有受到影响(或影响极小)。使用组件故障的组合来模拟可能因可用区中断而引起的事件。
对于应用程序级故障(如崩溃),您可以从内存和 CPU 耗尽等压力源开始。
为了验证因间歇性网络中断而引发的外部依赖项的 [回退或失效转移机制](https://aws.amazon.com/builders-library/avoiding-fallback-in-distributed-systems/) ,您的组件应通过在指定时间段(从几秒到几小时不等)内阻止对第三方提供商的访问来模拟此类事件。
其他降级模式可能会影响功能的使用并降低响应速度,这通常会导致服务中断。性能下降的常见原因是,关键服务的延迟增加以及网络通信不可靠(丢包)。对于这些故障(包括延迟、丢弃的消息和 DNS 故障等网络效应)的实验可能包括无法解析名称、无法访问 DNS 服务或无法建立与依赖服务的连接。
**混沌工程工具:**
AWS Fault Injection Service(AWS FIS)是一项完全托管式服务,用于运行故障注入实验,而这些实验可用作 CD 管道的一部分,或在管道之外使用。AWS FIS 是在混沌工程实际试用期间使用的一个不错选择。它支持在不同类型的资源中同时引入故障,包括 Amazon EC2、Amazon Elastic Container Service (Amazon ECS)、Amazon Elastic Kubernetes Service(Amazon EKS)和 Amazon RDS 等资源。这些故障包括终止资源、强制失效转移、对 CPU 或内存施加压力、节流、延迟和数据包丢失。由于它与 Amazon CloudWatch 警报集成,因此您可以设置停止条件作为防护机制,以在实验导致意外影响时回滚。
![\[该图表显示 AWS Fault Injection Service 与 AWS 资源集成,使您能够为您的工作负载运行故障注入实验。\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/fault-injection-simulator.png)
故障注入实验也有多种第三方选项。其中包括开源工具,例如 [Chaos ToolKit](https://chaostoolkit.org/)、[Chaos Mesh](https://chaos-mesh.org/)和 [Litmus Chaos](https://litmuschaos.io/)以及商业选项,如 Gremlin。为了扩大可在 AWS 上注入的故障范围,AWS FIS [与 Chaos Mesh 和 Litmus Chaos 集成](https://aws.amazon.com/about-aws/whats-new/2022/07/aws-fault-injection-simulator-supports-chaosmesh-litmus-experiments/),使您能够在多个工具之间协调故障注入工作流。例如,您可以使用 Chaos Mesh 或 Litmus 故障对容器组(pod)的 CPU 运行压力测试,同时使用 AWS FIS 故障操作终止随机选择的集群节点百分比。
## 实施步骤
+ 确定哪些故障要用于实验。
评估工作负载的设计是否具有弹性。这种设计(使用 [Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html)的最佳实践创建)考虑到了基于关键依赖关系、过去的事件、已知问题和合规性要求的风险。列出每个旨在保持弹性的设计元素及其旨在缓解的故障。有关创建此类列表的更多信息,请参阅 [《运营准备就绪情况审核》白皮书](https://docs.aws.amazon.com/wellarchitected/latest/operational-readiness-reviews/wa-operational-readiness-reviews.html) ,该白皮书指导您如何创建流程来防止以前的事件再次发生。故障模式与影响分析(FMEA)流程为您提供了一个框架,用于对故障及其对工作负载的影响执行组件级分析。Adrian Cockcroft 在 [《Failure Modes and Continuous Resilience》](https://adrianco.medium.com/failure-modes-and-continuous-resilience-6553078caad5)中更详细地概述了 FMEA。
+ 为每个故障指定一个优先级。
先进行粗略的分类,如高、中或低。要评估优先级,请考虑故障的频率和故障对整体工作负载的影响。
考虑给定故障的频率时,请分析此工作负载的以往数据(如有)。如果没有以往数据,则使用在类似环境中运行的其他工作负载的数据。
考虑给定故障的影响时,故障的范围越大,一般来说影响也越大。还要考虑工作负载设计和目的。例如,访问源数据存储的能力对于进行数据转换和分析的工作负载至关重要。在这种情况下,您将确定关于访问故障以及节流访问和延迟插入的实验的优先级。
意外事件后分析是了解故障模式的频率和影响的良好数据来源。
使用指定的优先级来确定首先用哪些故障进行实验,以及开发新的故障注入实验的顺序。
+ 对于您执行的每项实验,请遵循混沌工程和连续弹性飞轮。
![\[混沌工程和连续弹性飞轮图,显示了“改进”、“稳态”、“假设”、“进行实验”和“验证”阶段。\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/chaos-engineering-flywheel.png)
+ 将稳态定义为指示正常行为的工作负载的一些可测量输出。
如果工作负载运行可靠且符合预期,则显示为稳态。因此,定义稳态之前,请验证您的工作负载正常运行。稳态并不一定意味着故障发生时对工作负载没有影响,因为一定百分比的故障可能在可接受的范围内。稳态是您在实验期间将观察到的基线,如果您在下一步中定义的假设结果不符合预期,它将突出显示异常。
例如,可以将某个支付系统的稳态定义为处理 300TPS,成功率为 99%,且往返时间为 500ms。
+ 形成一个关于工作负载如何应对故障的假设。
一个好的假设是基于工作负载预计如何缓解故障以保持稳态。该假设指出,如果发生特定类型的故障,系统或工作负载将继续保持稳态,因为该工作负载在设计时就有特定的缓解措施。应在假设中具体说明特定的故障类型和缓解措施。
假设可以使用以下模板(但其他措辞也可以接受):
**注意**
如果发生 *特定故障* ,则 *工作负载名称* 工作负载将 *描述缓解控制措施* 维持 *业务或技术指标影响*。
例如:
+ 如果 Amazon EKS 节点组中 20% 的节点出现故障,则 Transaction Create API 将在不到 100ms 的时间内继续处理 99% 的请求(稳态)。Amazon EKS 节点将在五分钟内恢复,容器组(pod)将在实验开始后八分钟内得到调度并处理流量。警报将在三分钟内将发出。
+ 如果发生单个 Amazon EC2 实例故障,订单系统的 Elastic Load Balancing 运行状况检查将导致 Elastic Load Balancing 仅向剩余的运行状况良好的实例发送请求,而 Amazon EC2 Auto Scaling 将替换故障实例,从而保持服务器端(5xx)错误增长率低于 0.01%(稳态)。
+ 如果主 Amazon RDS 数据库实例发生故障,则供应链数据收集工作负载将失效转移并连接到备用 Amazon RDS 数据库实例,以保持不到 1 分钟的数据库读写错误(稳态)。
+ 通过注入故障来进行实验。
默认情况下,实验应具有故障保护机制,可承受工作负载。如果您知道工作负载将发生故障,则不要进行实验。混沌工程应该用于寻找已知的不确定因素或未知的不确定因素。*已知的不确定因素* 是您知道但不完全理解的东西,而 *未知的不确定因素* 是您既不知道也不完全理解的东西。对您知道已经发生故障的工作负载进行试验不会为您提供新的见解。您应该对实验仔细规划,明确一个影响范围,并提供一种可在出现意外动荡时应用的回滚机制。如果尽职调查表明您的工作负载应该能经受住实验,那就继续这项实验。有几种注入故障的选项。对于 AWS 上的工作负载,[AWS FIS](https://docs.aws.amazon.com/fis/latest/userguide/what-is.html) 提供了许多称为 [操作](https://docs.aws.amazon.com/fis/latest/userguide/actions.html)的预定义故障模拟。您还可以定义在 AWS FIS 中运行的自定义操作(使用 [AWS Systems Manager 文档](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html))。
我们不鼓励使用自定义脚本进行混沌实验,除非这些脚本能够了解工作负载的当前状态,能够发出日志,并在可能的情况下提供回滚和停止条件的机制。
支持混沌工程的有效框架或工具集应跟踪实验的当前状态,发出日志,并提供回滚机制以支持实验的受控执行。从 AWS FIS 这样的成熟服务开始,该服务支持您在明确定义的范围内和安全机制下进行实验,如果实验引入了意外的动荡,则可以回滚实验。要了解更多使用 AWS FIS 的实验,另请参阅 [“通过混沌工程构建弹性且架构完善的应用程序”实验室](https://catalog.us-east-1.prod.workshops.aws/workshops/44e29d0c-6c38-4ef3-8ff3-6d95a51ce5ac/en-US)。此外, [AWS Resilience Hub](https://docs.aws.amazon.com/resilience-hub/latest/userguide/what-is.html) 将分析您的工作负载,并创建您可以选择在 AWS FIS 中实施和运行的实验。
**注意**
对于每项实验,要清楚地了解其范围及影响。我们建议首先在非生产环境中模拟故障,然后再在生产环境中运行。
应使用实际负载,通过 [金丝雀部署](https://medium.com/the-cloud-architect/chaos-engineering-q-a-how-to-safely-inject-failure-ced26e11b3db) 在生产环境中进行实验,尽可能同时启动控制和实验系统部署。在非高峰时间进行实验是一种很好的做法,可以减小首次在生产环境中试验时的潜在影响。此外,如果使用实际的客户流量会带来太大的风险,您可以在生产基础设施上针对控制和实验部署使用合成流量进行实验。当不能使用生产环境时,在尽可能接近生产环境的预生产环境中进行实验。
您必须建立和监控防护机制,确保实验对生产流量或其他系统的影响不会超过可接受的限度。建立停止条件,以便在实验达到您定义的防护机制指标的阈值时停止实验。这应该包括工作负载的稳态指标,以及针对您要注入故障的组件的指标。A [合成监控器](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html) (也称为用户金丝雀)是一个通常应作为用户代理包含的指标。[AWS FIS 的停止条件](https://docs.aws.amazon.com/fis/latest/userguide/stop-conditions.html) 应纳入实验模板中,每个模板最多可以有五个停止条件。
混沌的原则之一是尽量缩小实验范围并减小其影响:
虽然必须考虑到一些短期负面影响,但混沌工程师有责任和义务确保实验产生的影响极小且可控。
验证范围和潜在影响的一种方法是首先在非生产环境中进行实验(验证停止条件的阈值在实验期间按预期激活,并且可观测性到位以捕获异常),而不是直接在生产环境中进行实验。
运行故障注入实验时,确保所有责任方均知情。与适当的团队(如运营团队、服务可靠性团队和客户支持团队)沟通,让他们知道实验将在何时运行以及预期会发生什么。为这些团队提供沟通工具,以便在他们看到任何不利影响时通知进行实验的人员。
必须将工作负载及其底层系统恢复到最初的已知良好状态。通常,工作负载的弹性设计会自我修复。但一些故障设计或失败的实验可能会使您的工作负载处于意外的失败状态。在实验结束时,您必须意识到这一点,并恢复工作负载和系统。使用 AWS FIS,您可以在操作参数中设置回滚配置(也称为后期操作)。后期操作将目标返回到运行该操作之前的状态。无论是自动执行(如使用 AWS FIS)还是手动执行,这些后期操作都应包含在描述如何检测和处理故障的行动手册中。
+ 验证假设。
[混沌工程的原则](https://principlesofchaos.org/) 为如何验证工作负载的稳态提供了以下指导:
关注系统的可测量输出,而不是系统的内部属性。短时间内对该输出的测量构成了系统稳态的代理。整个系统的吞吐量、错误率和延迟百分比都可以是代表稳态行为的相关指标。通过关注实验过程中的系统行为模式,混沌工程验证系统确实在工作,而不是试图验证它如何工作。
在之前的两个示例中,我们包括了服务器端(5xx)错误增长率低于 0.01% 和数据库读写错误持续时间不到 1 分钟的稳态指标。
5xx 错误是一个很好的指标,因为它们是工作负载客户端将直接经历的故障模式的结果。数据库错误测量适合作为故障的直接结果,但是还应补充一个客户端影响测量,例如失败的客户请求或向客户端显示的错误。此外,在工作负载客户端直接访问的任何 API 或 URI 上包括一个合成监控器(也称为用户金丝雀)。
+ 改进工作负载设计,以提高弹性。
如果未保持稳态,则调查如何改进工作负载设计以缓解故障,应用 [AWS Well-Architected 可靠性支柱](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)的最佳实践。可以在 [AWS Builder’s Library](https://aws.amazon.com/builders-library/)中找到其他指导和资源,其中包含有关如何 [改进运行状况检查](https://aws.amazon.com/builders-library/implementing-health-checks/) 或 [在应用程序代码中结合采用重试与回退](https://aws.amazon.com/builders-library/timeouts-retries-and-backoff-with-jitter/)的文章,等等。
实施这些更改后,再次进行实验(如混沌工程飞轮中的虚线所示),以确定其有效性。如果验证步骤表明假设成立,那么工作负载将处于稳态,循环将继续。
+ 定期进行实验。
混沌实验是一个循环,作为混沌工程的一部分,应定期进行实验。在工作负载满足实验的假设后,实验应实现自动化,作为 CI/CD 管道的回归部分持续运行。要了解如何做到这一点,请参阅关于 [如何使用 AWS CodePipeline 进行 AWS FIS 实验](https://aws.amazon.com/blogs/architecture/chaos-testing-with-aws-fault-injection-simulator-and-aws-codepipeline/)的博客。这个关于反复 [在 CI/CD 管道中进行 AWS FIS 实验](https://chaos-engineering.workshop.aws/en/030_basic_content/080_cicd.html) 的实验室使您能够动手实践。
故障注入实验也是实际试用的一部分(请参阅 [REL12-BP06 定期进行实际试用](rel_testing_resiliency_game_days_resiliency.md))。实际试用会模拟故障或事件,以便验证系统、流程和团队的响应。其目的是实际执行团队在发生意外事件时会执行的操作。
+ 捕获和存储实验结果。
必须捕获并持久保存故障注入实验的结果。包括所有必要的数据(如时间、工作负载和条件),以便以后能够分析实验结果和趋势。结果示例可能包括控制面板的屏幕截图、从指标数据库进行的 CSV 转储,或实验中事件和观察结果的手写记录。[使用 AWS FIS 进行实验记录](https://docs.aws.amazon.com/fis/latest/userguide/monitoring-logging.html) 可作为这种数据捕获的一部分。
## 资源
**相关最佳实践:**
+ [REL08-BP03 将弹性测试作为部署的一部分进行集成](rel_tracking_change_management_resiliency_testing.md)
+ [REL13-BP03 测试灾难恢复实施以验证实施效果](rel_planning_for_recovery_dr_tested.md)
**相关文档:**
+ [什么是 AWS Fault Injection Service?](https://docs.aws.amazon.com/fis/latest/userguide/what-is.html)
+ [什么是 AWS Resilience Hub?](https://docs.aws.amazon.com/resilience-hub/latest/userguide/what-is.html)
+ [混沌工程的原则](https://principlesofchaos.org/)
+ [混沌工程:规划您的首次实验](https://medium.com/the-cloud-architect/chaos-engineering-part-2-b9c78a9f3dde)
+ [弹性工程:学会接受故障](https://queue.acm.org/detail.cfm?id=2371297)
+ [混沌工程案例](https://github.com/ldomb/ChaosEngineeringPublicStories)
+ [避免在分布式系统中回退](https://aws.amazon.com/builders-library/avoiding-fallback-in-distributed-systems/)
+ [用于混沌实验的金丝雀部署](https://medium.com/the-cloud-architect/chaos-engineering-q-a-how-to-safely-inject-failure-ced26e11b3db)
**相关视频:**
+ [AWS re:Invent 2020:使用混沌工程测试弹性(ARC316)](https://www.youtube.com/watch?v=OlobVYPkxgg)
+ [AWS re:Invent 2019:通过混沌工程提高弹性(DOP309-R1)](https://youtu.be/ztiPjey2rfY)
+ [AWS re:Invent 2019:在无服务器世界中执行混沌工程(CMY301)](https://www.youtube.com/watch?v=vbyjpMeYitA)
**相关示例:**
+ [Well-Architected 实验室:第 300 级:测试 Amazon EC2、Amazon RDS 和 Amazon S3 的弹性](https://wellarchitectedlabs.com/reliability/300_labs/300_testing_for_resiliency_of_ec2_rds_and_s3/)
+ [“混沌工程在 AWS 上的应用”实验室](https://chaos-engineering.workshop.aws/en/)
+ [“通过混沌工程构建弹性且架构完善的应用程序”实验室](https://catalog.us-east-1.prod.workshops.aws/workshops/44e29d0c-6c38-4ef3-8ff3-6d95a51ce5ac/en-US)
+ [“无服务器混沌”实验室](https://catalog.us-east-1.prod.workshops.aws/workshops/3015a19d-0e07-4493-9781-6c02a7626c65/en-US/serverless)
+ [“使用 AWS Resilience Hub 测量和提高应用程序弹性”实验室](https://catalog.us-east-1.prod.workshops.aws/workshops/2a54eaaf-51ee-4373-a3da-2bf4e8bb6dd3/en-US/200-labs/1wordpressapplab)
** 相关工具: **
+ [AWS Fault Injection Service](https://aws.amazon.com/fis/)
+ AWS Marketplace: [Gremlin 混沌工程平台](https://aws.amazon.com/marketplace/pp/prodview-tosyg6v5cyney)
+ [Chaos ToolKit](https://chaostoolkit.org/)
+ [Chaos Mesh](https://chaos-mesh.org/)
+ [Litmus](https://litmuschaos.io/)
# REL12-BP06 定期进行实际试用
利用实际试用活动,在尽可能接近生产环境的环境中(包括在生产环境中),与将参与实际故障情景的人员一起为应对事件和故障而练习如何使用您的程序。实际试用会强制执行相关措施,以确保生产事件不会影响用户。
实际试用会模拟故障或事件,以便测试系统、流程和团队的响应。其目的是实际执行团队在发生意外事件时会执行的操作。这将帮助您了解可以从哪些方面作出改进,并有助于培养组织处理各种事件的经验。这些操作应该定期进行,让团队建立起关于响应方式的 *肌肉记忆* 。
在非生产环境中对您的弹性设计进行测试以后,可通过 Game Day 确保生产中的一切按照计划运行。Game Day,尤其如果是首次开展,是所有人员都应该参加的活动,工程师和运营团队都会得到关于开展时间以及活动内容的信息。运行手册准备就绪。以规定的方式在生产系统中执行模拟事件(包括可能出现的故障事件),并评估影响。如果所有系统如设计运行,检测和自我修复不会产生或只会产生非常轻微的影响。但如果观察到负面影响,测试将会回滚,并且(使用运行手册)修复问题,在必要时手动修复。由于实际试用经常在生产中进行,所以应采取全部预防措施,以确保不会对客户造成可用性影响。
**常见反模式:**
+ 记录您的程序,但不要执行。
+ 不要让业务决策者参与测试练习。
**建立此最佳实践的好处:** 定期执行实际试用可确保在发生实际事件时,所有员工都遵守策略和程序,并且能够验证这些策略和程序是否合适。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 安排实际试用,以定期运用运行手册和行动手册。生产事件中涉及的所有人员均需参与实际试用:业务负责人、开发人员、运营人员和事件响应团队。
+ 运行负载或性能测试,然后运行故障注入。
+ 寻找运行手册中的异常,并利用这些异常机会练习使用行动手册。
+ 如果您违反运行手册,请完善运行手册或纠正相应行为。如果练习使用行动手册,请确定应使用的运行手册,或者创建一个新运行手册。
## 资源
**相关文档:**
+ [什么是 AWS 实际试用?](https://aws.amazon.com/gameday/)
**相关视频:**
+ [AWS re:Invent 2019:通过混沌工程提高弹性(DOP309-R1)](https://youtu.be/ztiPjey2rfY)
**相关示例:**
+ [AWS Well-Architected 实验室 – 测试弹性](https://wellarchitectedlabs.com/reliability/300_labs/300_testing_for_resiliency_of_ec2_rds_and_s3/)
# REL 13 如何规划灾难恢复 (DR)?
拥有适当的备份和冗余工作负载组件是您的 DR 策略的开始。[RTO 和 RPO 是您恢复工作负载的](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/disaster-recovery-dr-objectives.html) 目标。根据业务需求设置这些目标。通过实施策略来实现这些目标,同时考虑工作负载资源和数据的位置和功能。中断概率和恢复成本也是关键因素,有助于了解为工作负载提供灾难恢复的商业价值。
**Topics**
+ [REL13-BP01 定义停机和数据丢失的恢复目标](rel_planning_for_recovery_objective_defined_recovery.md)
+ [REL13-BP02 使用定义的恢复策略来实现恢复目标](rel_planning_for_recovery_disaster_recovery.md)
+ [REL13-BP03 测试灾难恢复实施以验证实施效果](rel_planning_for_recovery_dr_tested.md)
+ [REL13-BP04 管理 DR 站点或区域的配置偏差](rel_planning_for_recovery_config_drift.md)
+ [REL13-BP05 自动执行恢复](rel_planning_for_recovery_auto_recovery.md)
# REL13-BP01 定义停机和数据丢失的恢复目标
工作负载具有恢复时间目标(RTO)和恢复点目标(RPO)。
*恢复时间目标 (RTO)* 是指服务中断和服务恢复之间的最大可接受延迟。这可以确定在服务不可用时被视为可接受的时间窗口。
*恢复点目标 (RPO)* 是指自上一个数据恢复点以来的最大可接受时间。这可以确定在上一个恢复点和服务中断之间可接受的数据丢失程度。
在为您的工作负载选择合适的灾难恢复(DR,Disaster Recovery)策略时,RTO 和 RPO 值是重要的考虑因素。这些目标由业务部门确定,然后由技术团队用来选择和实施 DR 策略。
**期望结果:**
每个工作负载都有一个根据业务影响定义的指定 RTO 和 RPO。工作负载被分配到一个预定义的层,该层定义服务可用性和可接受的数据丢失,以及关联的 RTO 和 RPO。如果无法进行这样的分层,那么可以为每个工作负载分配定制的分层,用于以后创建层。在为工作负载选择灾难恢复策略实施时,使用 RTO 和 RPO 作为主要考虑因素之一。在选择 DR 策略时还要考虑成本约束、工作负载依赖关系和运维需求。
对于 RTO,了解基于中断持续时间的影响。是线性的还是非线性的影响?(例如,四小时后,您关闭一条生产线,直到下一班开始)。
如下所示的灾难恢复矩阵可以帮助您了解工作负载的重要性与恢复目标之间的关系。(请注意,X 轴和 Y 轴的实际值应根据您组织的需求进行定制)。
![\[显示灾难恢复矩阵的图表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/disaster-recovery-matrix.png)
**常见反模式:**
+ 未定义恢复目标。
+ 选择任意恢复目标。
+ 选择过于宽松并且不符合业务目标的恢复目标。
+ 不了解停机和数据丢失的影响。
+ 选择不切实际的恢复目标,如零恢复时间和零数据丢失,这对于您的工作负载配置可能无法实现。
+ 选择比实际业务目标更严格的恢复目标。这将强制实施比工作负载所需的成本更高并且更复杂的 DR。
+ 选择与所依赖工作负载的恢复目标不兼容的恢复目标。
+ 您的恢复目标没有考虑法规合规性要求。
+ 为工作负载定义了 RTO 和 RPO,但从未测试过。
**建立此最佳实践的好处:** 在指导您的 DR 实施时,需要您的恢复时间目标和数据丢失恢复目标。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
对于给定的工作负载,您必须了解停机和数据丢失对业务的影响。随着停机时间或数据丢失的增加,影响通常会越来越大,但这种增长的形式可能会因工作负载类型而异。例如,您也许可以容忍长达一小时的停机时间而没有多大影响,但在一小时之后影响会迅速上升。对业务的影响表现为多种形式,包括货币成本(如收入损失)、客户信任(以及对声誉的影响)、运维问题(如错过工资发放或生产力下降)和监管风险。使用以下步骤了解这些影响,并为您的工作负载设置 RTO 和 RPO。
**实施步骤**
1. 确定此工作负载的业务利益相关者,并与他们一起实施这些步骤。工作负载的恢复目标是一项业务决策。然后,技术团队与业务利益相关者合作,使用这些目标来选择 DR 策略。
**注意**
对于步骤 2 和 3,您可以使用 [实施工作表](#implementation-worksheet).
1. 通过回答以下问题,收集必要的信息来做出决策。
1. 在组织中,您是否对工作负载影响的重要性进行了分类或分级?
1. 如果有,请将此工作负载分配到一个类别
1. 如果没有,则建立这些类别。创建不超过五个类别,并细化每个类别的恢复时间目标范围。类别示例包括:关键、高、中、低。要了解工作负载如何映射到类别,请考虑工作负载是任务关键型、业务重要型还是非业务驱动型。
1. 根据类别设置工作负载 RTO 和 RPO。始终选择比进入此步骤时计算的原始值更严格的类别(更低的 RTO 和 RPO)。如果这导致值发生了不适当的较大改变,那么考虑创建一个新类别。
1. 根据这些答案,为工作负载分配 RTO 和 RPO 值。这可以直接完成,也可以通过将工作负载分配给预定义的服务层来完成。
1. 在工作负载团队和利益相关者可访问的位置,记录此工作负载的灾难恢复计划(DRP,disaster recovery plan),此计划是组织的 [业务连续性计划(BCP,Business Continuity Plan)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/business-continuity-plan-bcp.html)的一部分
1. 记录 RTO 和 RPO,以及用于确定这些值的信息。包括用于评估工作负载对业务影响的策略
1. 除 RTO 和 RPO 之外,记录您根据灾难恢复目标正在跟踪或计划跟踪的其他指标
1. 在进行创建时,您将 DR 策略和运行手册的详细信息添加到此计划中。
1. 通过在如图 15 所示的矩阵中查找工作负载的重要性,您可以开始建立为组织定义的预定义服务层。
1. 根据 实施 DR 策略(或 DR 策略的概念验证)之后,[REL13-BP02 使用定义的恢复策略来实现恢复目标](rel_planning_for_recovery_disaster_recovery.md)测试此策略以确定工作负载的实际 RTC(Recovery Time Capability,恢复时间能力)和 RPC(Recovery Point Capability,恢复点能力)。如果这些能力没有达到所预期的恢复目标,那么,要么与您的业务利益相关者一起调整这些目标,要么对 DR 策略进行更改以便实现预期的目标。
**主要问题**
1. 在对业务产生严重影响之前,工作负载可以停止的最长时间是多少
1. 确定在工作负载中断时,每分钟业务的货币成本(直接财务影响)。
1. 请注意,影响并不总是线性的。影响可能在一开始是有限的,然后在超过一个关键时间点后迅速增加。
1. 在对业务造成严重影响之前,可以丢失的最大数据量是多少
1. 对于最关键的数据存储,请考虑此值。确定其他数据存储的各自关键性。
1. 如果工作负载数据丢失,是否可以重新创建? 如果这在操作上比备份和还原更容易,那么根据用于重新创建工作负载数据的源数据的重要性来选择 RPO。
1. 此工作负载所依赖的工作负载(下游)或依赖于此工作负载的工作负载(上游)的恢复目标和可用性期望是什么?
1. 选择使此工作负载能够满足上游依赖项要求的恢复目标
1. 根据下游依赖项的恢复能力,选择可实现的恢复目标。非关键的下游依赖项(您可以“绕过”它们)可以排除。或者,处理关键的下游依赖项,在必要时提高其恢复能力。
**其他问题**
考虑以下问题,以及它们如何应用于此工作负载:
1. 根据中断类型(区域与可用区等),您是否有不同的 RTO 和 RPO?
1. 您的 RTO/RPO 是否会在特定时间(季节性、销售活动、产品发布)发生变化? 如果是这样,不同的测量和时间边界是什么?
1. 如果工作负载中断,会有多少客户受到影响?
1. 如果工作负载中断,对声誉有何影响?
1. 如果工作负载中断,可能会产生哪些其他运营影响? 例如,如果电子邮件系统不可用或工资单系统无法提交事务,则会影响员工的工作效率。
1. 工作负载 RTO 和 RPO 如何与业务线和组织 DR 策略保持一致?
1. 是否存在提供服务的内部合同义务? 不履行这些义务会受到处罚吗?
1. 数据的监管或合规性约束是什么?
## 实施工作表
您可以将此工作表用于实施步骤 2 和 3。您可以调整此工作表以满足您的特定需求,例如添加其他问题。
![\[工作表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/worksheet.png)
**实施计划的工作量级别: **低
## 资源
**相关最佳实践:**
+ [REL09-BP04 定期执行数据恢复以验证备份完整性和流程](rel_backing_up_data_periodic_recovery_testing_data.md)
+ [REL13-BP02 使用定义的恢复策略来实现恢复目标](rel_planning_for_recovery_disaster_recovery.md)
+ [REL13-BP03 测试灾难恢复实施以验证实施效果](rel_planning_for_recovery_dr_tested.md)
**相关文档:**
+ [AWS 架构博客:灾难恢复系列](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS 上工作负载的灾难恢复:云中的恢复(AWS 白皮书)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [使用 AWS Resilience Hub 管理弹性策略](https://docs.aws.amazon.com/resilience-hub/latest/userguide/resiliency-policies.html)
+ [AWS 合作伙伴:可以帮助进行灾难恢复的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS Marketplace:可以用于灾难恢复的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
**相关视频:**
+ [AWS re:Invent 2018:适用于多区域主动-主动应用程序的架构模式(ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [AWS 上工作负载的灾难恢复](https://www.youtube.com/watch?v=cJZw5mrxryA)
# REL13-BP02 使用定义的恢复策略来实现恢复目标
定义满足工作负载恢复目标的灾难恢复(DR, disaster recovery)策略。选择一种策略,例如:备份和还原;备用(主动/被动);或主动/主动。
DR 策略依赖于在主位置无法运行工作负载的情况下,在恢复站点中支持工作负载的能力。最常见的恢复目标是 RTO 和 RPO,相关讨论内容位于 [REL13-BP01 定义停机和数据丢失的恢复目标](rel_planning_for_recovery_objective_defined_recovery.md).
跨单个 AWS 区域 内的多个可用区(AZ)的 DR 策略可以缓解火灾、洪水和重大停电等灾难事件。如果需要实施保护措施,为工作负载无法在给定 AWS 区域 中运行这种不太可能发生的事件提供保护,您可以使用跨多个区域的 DR 策略。
在跨多个区域构建 DR 策略时,您应该选择以下策略之一。这些策略按成本和复杂性升序排列,按 RTO 和 RPO 降序排列。 *恢复区域* 指的是 AWS 区域,而不是用于工作负载的主要区域。
![\[显示 DR 策略的图表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/disaster-recovery-strategies.png)
+ **备份和还原** (RPO 以小时为单位,RTO 为 24 小时或以内):将您的数据和应用程序备份到恢复区域。使用自动或连续备份可以实现时间点故障恢复,在某些情况下,可以将 RPO 降低到 5 分钟。在发生灾难的情况下,您将部署基础设施(使用基础设施即代码来减少 RTO)、部署代码并还原备份的数据,以便在恢复区域从灾难中恢复。
+ **指示灯** (RPO 以分钟为单位,RTO 为数十分钟):在恢复区域中预置核心工作负载基础设施的副本。将您的数据复制到恢复区域并在那里创建数据备份。支持数据复制和备份所需的资源(如数据库和对象存储)始终处于启用状态。其他元素(如应用程序服务器或无服务器计算)未部署,但可以在需要时使用必要的配置和应用程序代码创建。
+ **热备用** (RPO 以秒为单位,RTO 以分钟为单位):保证在恢复区域中始终运行缩减但功能齐全版本的工作负载。业务关键型系统是完全重复,而且始终可用的系统,只是其队列的规模经过缩减。数据在恢复区域中复制并留存。在需要恢复时,系统会快速扩展以处理生产负载。热备用系统的规模越大,RTO 和控制面板依赖度就越低。当完全扩展时,这称为 **热备用服务器**。
+ **多区域(多站点)主动-主动** (RPO 接近于零,RTO 可能为零):您的工作负载被部署到多个 AWS 区域,并且主动处理来自这些区域的流量。此策略要求您跨区域同步数据。必须避免或处理在两个不同区域副本中写入同一记录可能引起的冲突,这会很复杂。数据复制对于数据同步非常有用,并且可以防止某些类型的灾难,但是它不能防止数据损坏或破坏,除非您的解决方案还包含时间点故障恢复选项。
**注意**
指示灯和热备用之间的差异有时难以区分。两者都在恢复区域中包含一个环境,其中具有主区域资产的副本。区别在于,如果不先采取额外措施,指示灯无法处理请求,而热备用可以立即处理流量(容量级别降低)。指示灯将要求您启用服务器,可能需要部署额外的(非核心)基础设施并纵向扩展,而热备用只需要您纵向扩展(所有内容都已部署并运行)。根据您的 RTO 和 RPO 需求在两者之间进行选择。
**期望结果:**
对于每个工作负载,都有一个已定义和实施的 DR 策略,使该工作负载能够实现 DR 目标。工作负载之间的 DR 策略利用可重用模式(如前面描述的策略)。
**常见反模式:**
+ 为具有类似 DR 目标的工作负载实施不一致的恢复过程。
+ 在发生灾难时临时实施 DR 策略。
+ 没有 DR 计划。
+ 恢复期间依赖于控制面板操作。
**建立此最佳实践的好处:**
+ 通过定义恢复策略,您可以使用常用工具和测试步骤。
+ 通过使用定义的恢复策略,可以在团队之间更高效地共享知识,并更容易地在他们自己的工作负载上实施 DR。
**未建立此最佳实践暴露的风险等级:** 高
+ 若没有经过计划、实施和测试的 DR 策略,在发生灾难时不太可能实现恢复目标。
## 实施指导
对于每个步骤,请参见下面的详细信息。
1. 确定将满足此工作负载恢复要求的 DR 策略。
1. 查看如何实施所选 DR 策略的模式。
1. 评估工作负载的资源,以及失效转移之前(正常操作期间)恢复区域中的资源配置。
1. 确定并实施措施,让恢复区域在需要时(在灾难事件期间)可以进行失效转移。
1. 确定并实施措施,以在需要时(在灾难事件期间)可以重新路由流量进行失效转移。
1. 设计工作负载的故障恢复计划。
**实施步骤**
1. **确定将满足此工作负载恢复要求的 DR 策略。**
选择 DR 策略是在减少停机时间和数据丢失(RTO 和 RPO)与策略实施的成本和复杂性之间进行权衡。您应该避免实施比所需策略更严格的策略,因为这会产生不必要的成本。
例如,在下图中,企业已经确定了他们允许的最大 RTO 以及他们可以在服务恢复策略上花费的费用限额。鉴于企业目标,指示灯或热备用这样的 DR 策略将同时满足 RTO 和成本标准。
![\[显示根据 RTO 和成本选择 DR 策略的图表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/choosing-a-dr-strategy.png)
如需了解更多信息,请参阅 [业务连续性计划(BCP,Business Continuity Plan)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/business-continuity-plan-bcp.html)。
1. **查看如何实施所选 DR 策略的模式。**
这一步是了解如何实施所选策略。这些策略可以解释为使用多个 AWS 区域 作为主要站点和恢复站点。不过,您也可以选择使用单个区域内的多个可用区作为 DR 策略,这将利用多个策略的元素。
在这一步之后的后续步骤中,您将对特定的工作负载应用策略。
**备份和还原**
*备份和还原* 是实施起来最简单的策略,但需要更多时间和工作来恢复工作负载,从而导致更高的 RTO 和 RPO。最好的做法是,始终备份数据并将数据备份复制到另一个站点(如另一个 AWS 区域)。
![\[显示备份和还原架构的图表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/backup-restore-architecture.png)
有关此策略的更多详细信息,请参阅 [AWS 上的灾难恢复(DR)架构,第 II 部分:使用快速恢复功能的备份与还原](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-ii-backup-and-restore-with-rapid-recovery/)。
**指示灯**
利用 *指示灯* 方法,您可以将数据从主要区域复制到恢复区域。用于工作负载基础设施的核心资源部署在恢复区域中,但仍需要额外的资源和所有依赖项才能使此恢复区域成为功能堆栈。例如,在图 20 中,没有部署计算实例。
![\[显示指示灯架构的图表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/pilot-light-architecture.png)
有关此策略的更多详细信息,请参阅 [AWS 上的灾难恢复(DR)架构,第 III 部分:指示灯和热备用](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/)。
**热备用**
热 *备用* 方法涉及到确保在另一个区域中存在生产环境的规模缩减但功能齐全的副本。这种方法扩展了指示灯概念并减少了恢复时间,因为您的工作负载始终在另一个区域中运行。如果恢复区域以满容量部署,那么这种方式称为 *热备用服务器*。
![\[显示热备用架构的图表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/warm-standby-architecture.png)
使用热备用或指示灯需要扩展恢复区域中的资源。为确保在需要时有可用的容量,请考虑使用 EC2 实例的 [容量预留](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html) 。如果使用 AWS Lambda,那么 [预置并发](https://docs.aws.amazon.com/lambda/latest/dg/provisioned-concurrency.html) 可以确保执行环境,以便它们准备好立即响应函数的调用。
有关此策略的更多详细信息,请参阅 [AWS 上的灾难恢复(DR)架构,第 III 部分:指示灯和热备用](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/)。
**多站点主动/主动**
作为 *多站点主动/主动* 策略的一部分,您可以在多个区域中同时运行工作负载。多站点主动/主动策略处理来自其部署到的所有区域的流量。客户可能会出于 DR 以外的原因选择此策略。此策略可以用于提高可用性,或者在向全球受众部署工作负载时(使端点更靠近用户和/或部署针对该区域受众的本地化堆栈)使用此策略。作为一种 DR 策略,如果工作负载在部署此策略的某个 AWS 区域 中不能得到支持,那么该区域将被撤出,使用其余区域维护可用性。多站点主动/主动策略是 DR 策略中操作最复杂的策略,只有在业务需求时才应选择它。
![\[显示多站点主动/主动架构的图表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/multi-site-active-active-architecture.png)
有关此策略的更多详细信息,请参阅 [AWS 上的灾难恢复(DR,Disaster Recovery)架构,第 IV 部分:多站点主动/主动](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iv-multi-site-active-active/)。
**其他保护数据的实践**
对于所有这些策略,您还必须减轻数据灾难的影响。持续的数据复制可以防止某些类型的灾难,但它可能无法防止数据损坏或破坏,除非您的策略还包括存储数据的版本控制或用于时间点故障恢复的选项。除了副本之外,您还必须备份恢复站点中的复制数据以创建时间点备份。
**使用单个 AWS 区域 内的多个可用区(AZ)**
使用单个区域内的多个 AZ 时,您的 DR 实施会使用上述策略的多个元素。首先,您必须使用多个 AZ 创建一个高可用性(HA,High Availability)架构,如图 23 所示。此架构使用多站点主动/主动方法,因为 [Amazon EC2 实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-availability-zones) 和 [Elastic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#availability-zones) 在多个 AZ 中部署了资源,主动处理请求。此架构还演示了热备用服务器方法,如果主 [Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html) 实例出现故障(或 AZ 本身出现故障),则备用实例将提升为主实例。
![\[显示多可用区架构的图表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/multi-az-architecture2.png)
除了这种 HA 架构之外,您还需要添加运行工作负载所需的所有数据的备份。这对于限制在单个区的数据尤其重要,例如 [Amazon EBS 卷](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volumes.html) 或者 [Amazon Redshift 集群](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html)。如果一个 AZ 发生故障,您需要将这些数据恢复到另一个 AZ。如果可能,您还应该将数据备份复制到另一个 AWS 区域,作为额外的保护层。
下面的博客文章中介绍了一种不太常见的单区域多可用区 DR 的替代方法: [使用 Amazon Route 53 Application Recovery Controller 构建高弹性应用程序,第 1 部分:单区域堆栈](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-1-single-region-stack/)。这里的策略是尽可能保持 AZ 之间的隔离,就像区域的运作方式一样。使用这种替代策略,您可以选择主动/主动或主动/被动方法。
注意:某些工作负载具有数据驻留法规要求。如果这适用于当前只有一个 AWS 区域的位置的工作负载,那么多区域将不适合您的业务需求。多可用区策略可以很好地抵御大多数灾难。
1. **评估工作负载的资源,以及失效转移之前(正常操作期间)恢复区域中的资源配置。**
对于基础设施和 AWS 资源,使用基础设施即代码功能(如 [AWS CloudFormation](https://aws.amazon.com/cloudformation) )或第三方工具(如 Hashicorp Terraform)。要使用单个操作跨多个账户和区域部署,您可以使用 [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)。对于多站点主动/主动和热备用服务器策略,恢复区域中部署的基础设施具有与主区域相同的资源。对于指示灯和热备用策略,部署的基础设施将需要额外的操作才可用于生产。使用 CloudFormation [参数](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html) 和 [条件逻辑](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-conditions.html),您可以通过单个模板控制部署的堆栈是活动的还是备用的。此 CloudFormation 模板示例见 [这篇博客文章](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/)。
所有 DR 策略都要求在 AWS 区域 内备份数据源,然后将这些备份复制到恢复区域。[AWS Backup](https://aws.amazon.com/backup/) 提供了一个集中视图,您可以在其中配置、调度和监控这些资源的备份。对于指示灯、热备用和多站点主动/主动方法,您还应该将数据从主区域复制到恢复区域中的数据资源,例如 [Amazon Relational Database Service(Amazon RDS)](https://aws.amazon.com/rds) 数据库实例或 [Amazon DynamoDB](https://aws.amazon.com/dynamodb) 表。因此,这些数据资源处于活动状态,可以随时处理恢复区域中的请求。
要了解更多关于 AWS 服务如何跨区域运行的信息,请参阅以下博客系列: [使用 AWS 服务创建多区域应用程序](https://aws.amazon.com/blogs/architecture/tag/creating-a-multi-region-application-with-aws-services-series/)。
1. **确定并实施措施,让恢复区域在需要时(在灾难事件期间)可以进行失效转移。**
对于多站点主动/主动策略,失效转移意味着撤离一个区域,并依赖剩余的活动区域。通常,这些区域已准备好接受流量。对于指示灯和热备用策略,恢复操作将需要部署缺失的资源(如图 20 中的 EC2 实例),以及任何其他缺失的资源。
对于上述所有策略,您可能需要将数据库的只读实例提升为主读/写实例。
对于备份和还原,从备份中还原数据时会为该数据创建资源,例如 EBS 卷、RDS 数据库实例和 DynamoDB 表。您还需要还原基础设施并部署代码。您可以使用 AWS Backup 来还原恢复区域中的数据。请参阅 [REL09-BP01 识别和备份需要备份的所有数据,或从源复制数据](rel_backing_up_data_identified_backups_data.md) 了解更多详细信息。重建基础设施包括创建资源,例如,EC2 实例以及所需的 [Amazon Virtual Private Cloud(Amazon VPC)、](https://aws.amazon.com/vpc)子网和安全组。您可以自动执行大部分还原过程。要了解具体方法,请参阅 [这篇博客文章](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-ii-backup-and-restore-with-rapid-recovery/)。
1. **确定并实施措施,以在需要时(在灾难事件期间)可以重新路由流量进行失效转移。**
此失效转移操作可以自动或手动启动。应谨慎使用基于运行状况检查或警报自动启动的失效转移,因为不必要的失效转移(误报)会产生不可用和数据丢失等成本。因此,通常会手动启动的失效转移。在这种情况下,您仍然应该自动执行失效转移步骤,这样手动启动就像按一下按钮一样简单。
在使用 AWS 服务时,需要考虑几个流量管理选项。一种选项是使用 [Amazon Route 53](https://aws.amazon.com/route53)。使用 Amazon Route 53,您可以将一个或多个 AWS 区域 中的多个 IP 端点与一个 Route 53 域名相关联。要实施手动启动的失效转移,您可以使用 [Amazon Route 53 Application Recovery Controller](https://aws.amazon.com/route53/application-recovery-controller/),它提供高度可用的数据面板 API 以将流量重新路由到恢复区域。实施失效转移时,使用数据面板操作并避免控制面板操作,如 [REL11-BP04 恢复期间依赖于数据面板而不是控制面板](rel_withstand_component_failures_avoid_control_plane.md).
要了解有关此选项和其他选项的更多信息,请参阅 [灾难恢复白皮书的这一部分](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-options-in-the-cloud.html#pilot-light)。
1. **设计工作负载的故障恢复计划。**
故障恢复是指在灾难事件消除后将工作负载操作返回主区域。向主区域预置基础设施和代码通常遵循最初使用的相同步骤,依赖于基础设施即代码和代码部署管道。故障恢复的挑战是还原数据存储,并确保它们与运行中的恢复区域保持一致。
在失效转移状态下,恢复区域中的数据库处于活动状态,并且具有最新数据。然后,目标是从恢复区域重新同步到主区域,确保主区域是最新的。
某些 AWS 服务会自动执行此操作。如果使用 [Amazon DynamoDB 全局表](https://aws.amazon.com/dynamodb/global-tables/),即使主区域中的表不可用,当它重新联机时,DynamoDB 也会继续传播任何挂起的写操作。如果使用 [Amazon Aurora 全局数据库](https://aws.amazon.com/rds/aurora/global-database/) 并使用 [托管的计划失效转移](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-disaster-recovery.managed-failover),则维护 Aurora 全局数据库的现有复制拓扑。因此,主区域中以前的读/写实例将成为副本,并从恢复区域接收更新。
如果这不是自动执行的,您将需要在主区域中重新建立数据库,作为恢复区域中数据库的副本。在许多情况下,这将涉及删除旧的主数据库,然后创建新的副本。例如,有关如何使用 Amazon Aurora 全局数据库对 *计划外* 失效转移执行此操作的说明,请参阅下面的实验: [全局数据库的故障恢复](https://awsauroralabsmy.com/global/failback/)。
失效转移后,如果您可以继续在恢复区域中运行,请考虑将此区域设为新的主区域。您仍然需要执行上述所有步骤,将以前的主区域变成恢复区域。有些组织会进行定期轮换,定期交换其主区域和恢复区域(例如每三个月一次)。
失效转移和故障恢复所需的所有步骤都应保存在行动手册且可供所有团队成员使用,并定期进行审查。
**实施计划的工作量级别:**高
## 资源
**相关最佳实践:**
+ [REL09-BP01 识别和备份需要备份的所有数据,或从源复制数据](rel_backing_up_data_identified_backups_data.md)
+ [REL11-BP04 恢复期间依赖于数据面板而不是控制面板](rel_withstand_component_failures_avoid_control_plane.md)
+ [REL13-BP01 定义停机和数据丢失的恢复目标](rel_planning_for_recovery_objective_defined_recovery.md)
**相关文档:**
+ [AWS 架构博客:灾难恢复系列](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS 上工作负载的灾难恢复:云中的恢复(AWS 白皮书)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [云中的灾难恢复选项](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-options-in-the-cloud.html)
+ [在一小时内构建无服务器多区域、主动-主动后端解决方案](https://read.acloud.guru/building-a-serverless-multi-region-active-active-backend-36f28bed4ecf)
+ [多区域无服务器后端 – 重新加载](https://medium.com/@adhorn/multi-region-serverless-backend-reloaded-1b887bc615c0)
+ [RDS:跨区域复制只读副本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ReadRepl.html#USER_ReadRepl.XRgn)
+ [Route 53:配置 DNS 故障转移](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-configuring.html)
+ [S3:跨区域复制](https://docs.aws.amazon.com/AmazonS3/latest/dev/crr.html)
+ [什么是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [什么是 Route 53 Application Recovery Controller?](https://docs.aws.amazon.com/r53recovery/latest/dg/what-is-route53-recovery.html)
+ [AWS 弹性灾难恢复](https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html)
+ [HashiCorp Terraform:入门 – AWS](https://learn.hashicorp.com/collections/terraform/aws-get-started)
+ [AWS 合作伙伴:可以帮助进行灾难恢复的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS Marketplace:可以用于灾难恢复的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
**相关视频:**
+ [AWS 上工作负载的灾难恢复](https://www.youtube.com/watch?v=cJZw5mrxryA)
+ [AWS re:Invent 2018:适用于多区域主动-主动应用程序的架构模式(ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [开始使用 AWS 弹性灾难恢复 \$1 Amazon Web Services](https://www.youtube.com/watch?v=GAMUCIJR5as)
**相关示例:**
+ [AWS Well-Architected 实验 – 灾难恢复](https://wellarchitectedlabs.com/reliability/disaster-recovery/) – 说明 DR 策略的系列研讨会
# REL13-BP03 测试灾难恢复实施以验证实施效果
定期测试到恢复站点的失效转移,以确保正常运行,并满足 RTO 和 RPO。
要避免的模式是制定了恢复路径但很少测试。例如,您可能有一个用于只读查询的辅助数据存储。当您写入某个数据存储,却发现主存储故障时,您可能希望将故障转移到辅助数据存储。如果您不经常测试此故障转移,可能会发现您关于辅助数据存储容量的假设是错误的。辅助数据存储容量在您上次测试时可能是足够的,但可能无法再容纳这次情况下的负载。我们的经验表明,唯一有效的错误恢复是您经常测试的路径。因此,最好只开发几条恢复路径。您可以建立恢复模式并定期对其进行测试。如果恢复路径比较复杂或至关重要,您仍需定期在生产环境中测试该故障,确保恢复路径有效。在我们刚才讨论的示例中,您应该定期将故障转移到备用存储,无论是否有需要。
**常见反模式:**
+ 从不在生产环境中测试失效转移。
**建立此最佳实践的好处:** 定期测试您的灾难恢复计划,确保该计划在需要时能够正常发挥作用,并且您的团队知道如何执行该策略。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 为灾难恢复设计工作负载。定期测试恢复路径:面向恢复的计算可识别系统中能够增强恢复功能的特性。这些特性包括:隔离和冗余,系统范围回滚更改的能力,监控并确定运行状况的能力,提供诊断、自动恢复、模块化设计的能力,以及重启的能力。练习恢复路径,以确保您可以在指定时间内恢复到指定状态。在此恢复过程中使用运行手册来记录问题,并在下一次测试之前找到问题的解决方案。
+ [加州大学伯克利分校/斯坦福大学的面向恢复的计算项目](http://roc.cs.berkeley.edu/)
+ 使用 CloudEndure Disaster Recovery 来实施和测试您的 DR 策略。
+ [使用 CloudEndure 测试灾难恢复解决方案](https://docs.cloudendure.com/Content/Configuring_and_Running_Disaster_Recovery/Testing_the_Distaster_Recovery_Solution/Testing_the_Disaster_Recovery_Solution.htm)
+ [CloudEndure Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)
+ [AWS 的 CloudEndure Disaster Recovery](https://aws.amazon.com/marketplace/pp/B07XQNF22L)
## 资源
**相关文档:**
+ [AWS 合作伙伴:可以帮助进行灾难恢复的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS 架构博客:灾难恢复系列](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS Marketplace:可以用于灾难恢复的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
+ [CloudEndure Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)
+ [AWS 上工作负载的灾难恢复:云中的恢复(AWS 白皮书)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [使用 CloudEndure 测试灾难恢复解决方案](https://docs.cloudendure.com/Content/Configuring_and_Running_Disaster_Recovery/Testing_the_Distaster_Recovery_Solution/Testing_the_Disaster_Recovery_Solution.htm)
+ [加州大学伯克利分校/斯坦福大学的面向恢复的计算项目](http://roc.cs.berkeley.edu/)
+ [什么是 AWS Fault Injection Simulator?](https://docs.aws.amazon.com/fis/latest/userguide/what-is.html)
**相关视频:**
+ [AWS re:Invent 2018:适用于多区域主动-主动应用程序的架构模式(ARC209-R2)](https://youtu.be/2e29I3dA8o4)
+ [AWS re:Invent 2019:AWS 的备份与还原,以及灾难恢复解决方案(STG208)](https://youtu.be/7gNXfo5HZN8)
**相关示例:**
+ [AWS Well-Architected 实验 – 测试弹性](https://wellarchitectedlabs.com/reliability/300_labs/300_testing_for_resiliency_of_ec2_rds_and_s3/)
# REL13-BP04 管理 DR 站点或区域的配置偏差
确保 DR 站点或区域的基础设施、数据和配置满足需求。例如,检查 AMI 和服务限额是否为最新。
AWS Config 会持续监控和记录 AWS 资源配置。它可以检测到偏差并触发 [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 进行修复和发出警报。AWS CloudFormation 还可以在您已部署的堆栈中检测到偏差。
**常见反模式:**
+ 在主位置进行配置或基础设施更改时,未能在恢复位置进行更新。
+ 不考虑主位置和恢复位置的潜在限制(如服务区别)。
**建立此最佳实践的好处:** 确保您的 DR 环境与现有环境一致,可保证完整恢复。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 确保您的交付管道可交付到主站点和备份站点。用于将应用程序部署到生产中的交付管道必须分布到所有指定的灾难恢复策略位置,包括开发和测试环境。
+ 启用 AWS Config 来跟踪潜在偏差位置。使用 AWS Config 规则来创建可强制实施灾难恢复策略并在检测到偏差时生成提醒的系统。
+ [按照 AWS Config 规则 修正不合规 AWS 资源](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ 使用 AWS CloudFormation 部署基础设施。AWS CloudFormation 可以检测 CloudFormation 模板指定的内容和实际部署内容之间的偏差。
+ [AWS CloudFormation:在整个 CloudFormation 堆栈上检测偏差](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/detect-drift-stack.html)
## 资源
**相关文档:**
+ [AWS 合作伙伴:可以帮助进行灾难恢复的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS 架构博客:灾难恢复系列](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS CloudFormation:在整个 CloudFormation 堆栈上检测偏差](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/detect-drift-stack.html)
+ [AWS Marketplace:可以用于灾难恢复的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [AWS 上工作负载的灾难恢复:云中的恢复(AWS 白皮书)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
+ [如何在 AWS 上实施基础设施配置管理解决方案?](https://aws.amazon.com/answers/configuration-management/aws-infrastructure-configuration-management/?ref=wellarchitected)
+ [按照 AWS Config 规则 修正不合规 AWS 资源](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
**相关视频:**
+ [AWS re:Invent 2018:适用于多区域主动-主动应用程序的架构模式(ARC209-R2)](https://youtu.be/2e29I3dA8o4)
# REL13-BP05 自动执行恢复
利用 AWS 或第三方工具自动进行系统恢复,并将流量路由至 DR 站点或区域。
根据已配置的运行状况检查,Elastic Load Balancing 和 AWS Auto Scaling 等 AWS 服务可将负载分配到运行正常的可用区,而 Amazon Route 53 和 AWS Global Accelerator 等服务则可将负载路由到运行正常的 AWS 区域。Amazon Route 53 Application Recovery Controller 可帮助您使用就绪检查和路由控制功能来管理和协调失效转移操作。这些功能持续监控您的应用程序从故障中恢复的能力,因此您可以跨多个 AWS 区域、可用区和本地部署控制您的应用程序恢复。
对于现有的物理或虚拟数据中心或私有云上的工作负载, [AWS 弹性灾难恢复](https://aws.amazon.com/cloudendure-disaster-recovery/)(通过 AWS Marketplace 提供)使组织能够设置自动向 AWS 进行灾难恢复的策略。CloudEndure 还支持 AWS 中的跨区域/跨可用区灾难恢复。
**常见反模式:**
+ 实施相同的自动故障转移和故障恢复可能会导致在故障时发生摆动。
**建立此最佳实践的好处:** 自动恢复通过消除发生手动错误的可能性来缩短恢复时间。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 恢复路径自动化。如果恢复时间很短,人工判断和操作无法用于可用性非常高的场景。在这种情况下,系统每次必须自动进行恢复。
+ 使用 CloudEndure Disaster Recovery 自动执行失效转移和故障恢复操作。CloudEndure Disaster Recovery 可持续将您的计算机(包括操作系统、系统状态配置、数据库、应用程序和文件)复制到目标 AWS 账户和首选区域中的低成本暂存区域。在发生灾难时,您可以指示 CloudEndure Disaster Recovery 在几分钟内自动启动数千台处于完全预置状态的计算机。
+ [执行灾难恢复故障转移和故障恢复](https://docs.cloudendure.com/Content/Configuring_and_Running_Disaster_Recovery/Performing_a_Disaster_Recovery_Failover/Performing_a_Disaster_Recovery_Failover.htm)
+ [CloudEndure Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)
## 资源
**相关文档:**
+ [AWS 合作伙伴:可以帮助进行灾难恢复的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=Disaster+Recovery)
+ [AWS 架构博客:灾难恢复系列](https://aws.amazon.com/blogs/architecture/tag/disaster-recovery-series/)
+ [AWS Marketplace:可以用于灾难恢复的产品](https://aws.amazon.com/marketplace/search/results?searchTerms=Disaster+recovery)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ [AWS 的 CloudEndure Disaster Recovery](https://aws.amazon.com/marketplace/pp/B07XQNF22L)
+ [AWS 上工作负载的灾难恢复:云中的恢复(AWS 白皮书)](https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-workloads-on-aws.html)
**相关视频:**
+ [AWS re:Invent 2018:适用于多区域主动-主动应用程序的架构模式(ARC209-R2)](https://youtu.be/2e29I3dA8o4)