# 可靠性
可靠性支柱涵盖相关工作负载按照计划正确而稳定执行其预期功能的能力。它包括在其全部生命周期内运行和测试工作负载的能力。本白皮书深度介绍了有关在 AWS 中实施可靠工作负载的最佳实践指导。
可靠性支柱概述了设计原则、最佳实践和问题。如需有关具体实施的说明性指导,请参阅 [《可靠性支柱》白皮书](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html?ref=wellarchitected-wp).
**Topics**
+ [设计原则](rel-dp.md)
+ [定义](rel-def.md)
+ [最佳实践](rel-bp.md)
+ [资源](rel-resources.md)
# 设计原则
在云中实现可靠性有五个设计原则:
+ **自动从故障中恢复**:通过监控工作负载的关键绩效指标 (KPI),您可以在指标超过阈值时触发自动化功能。这些 KPI 应该是对商业价值(而不是服务运营的技术方面)的一种度量。这包括自动发送故障通知和跟踪故障,以及启动解决或修复故障的自动恢复流程。借助更高级的自动化功能,您可以在故障发生之前预测和修复故障。
+ **测试恢复过程**:在本地环境中,经常会通过执行测试来证明工作负载能够在特定场景中正常运作。通常不会利用测试来验证恢复策略。在云中,您可以测试工作负载的故障情况,并验证您的恢复程序。您可以采用自动化方式来模拟不同的故障,也可以重新建立之前导致故障的场景。此方式可以在实际的故障发生以前揭示您可以测试与修复的故障路径,从而降低风险。
+ **横向扩展以提高聚合工作负载的可用性**:使用多个小型资源替换一个大型资源,以降低单个故障对整个工作负载的影响。跨多个较小的资源分配请求,以确保它们不共用常见故障点。
+ **无需再预估容量**:本地工作负载出现故障的常见原因是资源饱和,即对工作负载的需求超过该工作负载的容量(这通常是拒绝服务攻击的目标)。在云中,您可以监控需求和工作负载利用率,并自动添加或删除资源,以保持最佳水平来满足需求,而不会出现超额预置或预置不足的问题。虽然还有很多限制,但有些配额是可控的,其他配额也可以管理(请参阅“管理Service Quotas与限制”)。
+ **管理自动化变更**:应利用自动化功能对基础设施进行更改。需要管理的变更包括,对自动化的变更,可对其进行跟踪与审查。
# 定义
在云中实现可靠性包括四个方面的最佳实践:
+ **基础**
+ **工作负载架构**
+ **变更管理**
+ **故障管理**
要实现可靠性,您必须从基础入手,而基础是服务配额和网络拓扑适应工作负载的环境。在设计时,分布式系统的工作负载架构必须能够预防与减少故障。工作负载必须处理需求或要求的变化,而且它的设计必须能够检测故障,并自动加以修复。
# 最佳实践
**Topics**
+ [基础](rel-found.md)
+ [工作负载架构](rel-workload-arch.md)
+ [变更管理](rel-chg-mgmt.md)
+ [故障管理](rel-failmgmt.md)
# 基础
基础要求是指其范围超出单个工作负载或项目的因素。在为任何系统设计架构之前,您应确定影响可靠性的基本要求。例如,您必须为数据中心提供足够的网络带宽。
在您使用 AWS 时,这些基础要求中的大部分已经包含在内,并且可以根据需要进行处理。云环境在设计层面拥有几乎无限的资源,因此 AWS 要负责满足对足够联网和计算容量的需求,让您可以根据需求随意更改资源大小和分配。
以下问题主要针对可靠性的注意事项。(有关可靠性问题的列表和最佳实践,请参阅 [附录](a-reliability.md))。
| REL 1:如何管理服务配额和限制? |
| --- |
| 基于云的工作负载架构存在服务配额(也被称作服务限制)。存在这些配额是为了防止意外预置超过您所需的资源,并对 API 操作的请求速率进行限制,以保护服务不会遭到滥用。还存在资源限制,例如,将比特推入光缆的速率,或物理磁盘上的存储量。 |
| REL 2:如何规划网络拓扑? |
| --- |
| 工作负载通常存在于多个环境中。其中包括多个云环境(可公开访问云和私有云),可能还包括现有数据中心基础设施。相关计划必须涵盖网络注意事项,如系统内部和系统间连接、公有 IP 地址管理、私有 IP 地址管理,以及域名解析。 |
基于云的工作负载架构存在服务配额(也被称作服务限制)。这些配额的存在目的在于,防止您意外预置超出必要量的资源,限制 API 操作的请求速率,从而避免服务遭到滥用。工作负载通常存在于多个环境中。您必须为所有工作负载环境监控和管理这些配额。其中包括多个云环境(可公开访问的云和私有云),可能还包括您的现有数据中心基础设施。相关计划必须涵盖网络注意事项,如系统内部和系统间连接、公有 IP 地址管理、私有 IP 地址管理以及域名解析。
# 工作负载架构
可靠的工作负载始于前期的软件和基础设施设计决策。您的架构选择将影响所有 Well-Architected 支柱的工作负载行为。针对可靠性,您必须遵循特定的模式。
使用 AWS 时,工作负载开发人员可以选择要使用的语言和技术。AWS 开发工具包通过为 AWS 服务提供特定于语言的 API,省去了复杂的代码编写过程。通过这些开发工具包,以及语言选择,开发人员可以实现此处列出的可靠性最佳实践。开发人员还可以通过以下资料库阅读并了解 Amazon 构建和运营软件的方法: [Amazon Builders' Library](https://aws.amazon.com/builders-library/?ref=wellarchitected-wp).
以下问题主要针对可靠性的注意事项。
| REL 3:如何设计工作负载服务架构? |
| --- |
| 使用面向服务的架构 (SOA) 或微服务架构构建高度可扩展的可靠工作负载。面向服务的架构 (SOA) 可通过服务接口使软件组件可重复使用。微服务架构则进一步让组件变得更小、更简单。 |
| REL 4:您如何在分布式系统中设计交互以预防发生故障? |
| --- |
| 分布式系统依赖于通信网络实现组件(例如服务器或服务)的互联。尽管这些网络中存在数据丢失或延迟,但是您的工作负载必须可靠运行。分布式系统组件的运行方式不得对其他组件或工作负载产生负面影响。这些最佳实践能够预防故障,并改善平均故障间隔时间(MTBF)。 |
| REL 5:您如何在分布式系统中进行交互设计,从而缓解或经受住故障影响? |
| --- |
| 分布式系统依赖于通信网络以便使组件互相连接(如服务器或服务等)。尽管这些网络中存在数据丢失或延迟,但是您的工作负载必须可靠运行。分布式系统组件的运行方式不得对其他组件或工作负载产生负面影响。这些最佳实践使工作负载能够承受压力或故障,从中更快地恢复,并且降低此类伤害的影响。其结果是缩短平均恢复时间(MTTR)。 |
# 变更管理
您必须提前为工作负载或其环境的更改做好准备,从而实现工作负载的可靠操作。此类更改包括,外部因素施加到工作负载上的更改(如,需求高峰),以及内部更改(如功能部署和安全补丁)。
使用 AWS,您可以监控工作负载的行为并自动对 KPI 做出响应。例如,您的工作负载可以在某项工作负载用户增加时,添加更多服务器。您可以控制谁有权进行工作负载变更并审核这些变更的历史记录。
以下问题主要针对可靠性的注意事项。
| REL 6:如何监控工作负载资源? |
| --- |
| 日志和指标是用于了解工作负载运行状况的强大工具。您可以配置工作负载以监控日志和指标,并在超出阈值或发生重大事件时发送通知。监控让您的工作负载可以发现超出低性能阈值和发生故障的情形,从而在响应中自动恢复。 |
| REL 7:您如何设计工作负载,以适应不断变化的需求? |
| --- |
| 可扩展工作负载具有自动添加或移除资源的弹性,因此确保在任何时间点都能准确满足当前的需求。 |
| REL 8:如何实施更改? |
| --- |
| 要部署新功能,必须对更改加以控制,以确保工作负载和操作环境正在运行已知的软件,并以可预测的方式进行修补和替换。如果此类更改不受控制,您将难以预测这些更改的影响,或难以处理由它们引发的问题。 |
当您构建工作负载来根据需求变化自动添加和删除资源时,这不仅可以提高可靠性,还可以确保业务成功不至于带来额外负担。借助既有的监控功能,当 KPI 偏离预期标准时,系统会自动向您的团队发送提醒。通过自动记录环境变更,您可以审核并快速识别可能影响可靠性的操作。对变更管理的控制确保您可以实施可提供所需的可靠性的规则。
# 故障管理
在任何具备一定复杂度的系统中,发生故障在意料之中。可靠性要求您的工作负载知晓故障的发生,并采取相应措施以避免对可用性产生影响。工作负载必须既能承受故障,又能自动解决问题。
使用 AWS,您可以利用自动化机制对监控数据做出响应。例如,当特定指标超过阈值时,您可以触发自动操作来解决问题。此外,与其尝试诊断并修复作为生产环境一部分的失败资源,您可以将其替换为新的资源,并对被替换的旧有资源进行故障排查。由于云使您能够以低成本构建整个系统的临时版本,您可以使用自动化测试来验证完整的恢复流程。
以下问题主要针对可靠性的注意事项。
| REL 9:如何备份数据? |
| --- |
| 备份数据、应用程序和配置,以满足恢复时间目标(RTO)和恢复点目标(RPO)的要求。 |
| REL 10:如何使用故障隔离来保护您的工作负载? |
| --- |
| 故障隔离边界可将一个工作负载内的故障影响限制于有限数量的组件。边界以外的组件不会受到故障的影响。使用多个故障隔离边界,您可以限制作用于您的工作负载的影响。 |
| REL 11:如何将您的工作负载设计为可承受组件故障的影响? |
| --- |
| 在设计具有高可用性和较短平均恢复时间 (MTTR) 要求的工作负载时必须考虑到弹性。 |
| REL 12:如何测试可靠性? |
| --- |
| 在为您的工作负载采用弹性设计以应对生产压力以后,测试是确保其按设计预期运行,并且提供您所预期弹性的唯一方式。 |
| REL 13:如何规划灾难恢复 (DR)? |
| --- |
| 拥有适当的备份和冗余工作负载组件是您的 DR 策略的开始。[RTO 和 RPO 是您恢复工作负载的](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/disaster-recovery-dr-objectives.html) 目标。根据业务需求设置这些目标。通过实施策略来实现这些目标,同时考虑工作负载资源和数据的位置和功能。中断概率和恢复成本也是关键因素,有助于了解为工作负载提供灾难恢复的商业价值。 |
请定期备份数据并测试备份文件,确保您可以从逻辑和物理错误中恢复。管理故障的关键在于自动且频繁地测试工作负载以致其出现故障,然后观察它们如何恢复。请定期执行此操作,并确保在工作负载发生重大变更后也会触发此测试。主动跟踪 KPI(以及恢复时间目标(RTO,Recovery Time Objective)和恢复点目标(RPO,Recovery Point Objective))以评估工作负载的弹性(特别是在故障测试场景中)。跟踪 KPI 将有助于您识别和减少单点故障。充分测试您的工作负载恢复流程,确保可以恢复所有数据并继续为您的客户提供服务,即使面对持续存在的问题也是如此。您的恢复流程应该与您的标准生产流程一样完备而有效。
# 资源
请参阅以下资源,详细了解可靠性的最佳实践。
## 文档
+ [AWS 文档](https://docs.aws.amazon.com/index.html?ref=wellarchitected-wp)
+ [AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure?ref=wellarchitected-wp)
+ [AWS Auto Scaling:扩展计划的工作原理](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html?ref=wellarchitected-wp)
+ [什么是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html?ref=wellarchitected-wp)
## 白皮书
+ [可靠性支柱:AWS Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html?ref=wellarchitected-wp)
+ [在 AWS 上实施微服务](https://docs.aws.amazon.com/whitepapers/latest/microservices-on-aws/introduction.html?ref=wellarchitected-wp)