# 可靠性
可靠性支柱包括工作負載如預期般正確、一致地執行其預期功能的能力。包括在整個生命週期中執行及測試工作負載。本白皮書深入說明在 AWS 上實作可靠工作負載的相關事項,並提供最佳實務指導。
可靠性支柱概述了設計原則、最佳實務和相關問題。您可以在下列白皮書中找到規範指引: [可靠性支柱白皮書](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html?ref=wellarchitected-wp)。
**Topics**
+ [設計原則](rel-dp.md)
+ [定義](rel-def.md)
+ [最佳實務](rel-bp.md)
+ [資源](rel-resources.md)
# 設計原則
雲端可靠性有五個基本的設計原則:
+ **自動從失敗中復原**:透過監控工作負載的關鍵績效指標 (KPI),您可在達到臨界值時觸發自動化。這些 KPI 應為業務價值的衡量指標,而非服務營運的技術方面。如此一來,即可自動通知和追蹤失敗,以及自動化可解決或修復失敗的復原程序。藉助更複雜的自動化功能,您可以在發生失敗前進行預測和修補。
+ **測試復原程序**:在內部部署環境中,經常執行測試以證明工作負載可在特定情況下正常工作。測試通常不可用於驗證復原策略。在雲端,您可測試工作負載會發生哪些失敗情境,同時可驗證復原程序。您可使用自動化來模擬不同的失敗情境或重新建立會導致之前失敗的情境。此方法會在實際的失敗情境發生前公開您可以測試和修復的失敗路徑,從而降低風險。
+ **水平擴展以提高總體工作負載可用性**:使用多個小資源取代一個大資源,以降低整體工作負載上發生單一失敗時造成的影響。將請求分散到多個較小的資源,以確保它們不會有共同的失敗點。
+ **停止猜測容量**:內部部署工作負載失敗的一個常見原因是資源飽和,即當對工作負載的需求超出該工作負載的容量時發生的情況 (這通常為阻斷服務攻擊的目標)。在雲端,您可以監控需求和工作負載利用率,並自動新增或刪除資源,以保持可滿足需求的最佳水平,而不會過度佈建或佈建不足。仍然存在限制,但是某些配額可以控制,而其他限制則可管理 (請參閱管理Service Quotas和限制)。
+ **管理自動化變更**:應使用自動化來執行對基礎設施的變更。需要管理的變更包括之後可以追蹤和審查的自動化變更。
# 定義
雲端可靠性有四個最佳實務領域︰
+ **基礎**
+ **工作負載架構**
+ **變更管理**
+ **失敗管理**
若要實現可靠性,您必須先從基礎開始,即服務配額和網路拓撲能適應工作負載的環境。分散式系統的工作負載架構在設計上必須能防止失敗並減輕失敗的影響。工作負載必須處理需求或要求的變更,且在設計上須能偵測失敗並自動進行自我修復。
# 最佳實務
**Topics**
+ [基礎](rel-found.md)
+ [工作負載架構](rel-workload-arch.md)
+ [變更管理](rel-chg-mgmt.md)
+ [失敗管理](rel-failmgmt.md)
# 基礎
基礎要求是其範圍超過單一工作負載或專案的要求。在建立任何系統架構之前,應確立會影響可靠性的基本要求。例如,您必須為資料中心提供足夠的網路頻寬。
藉助 AWS,這些基礎需求中的大多數已予以納入或可以按需要進行處理。設計的雲端近乎無限,因此 AWS 有責任滿足足夠的聯網和運算容量的要求,讓您可以根據需要自由變更資源大小和分配。
下列問題著重於可靠性方面的這些考量。(如需可靠性問題清單和最佳實務,請參閱 [附錄](a-reliability.md)。)
| REL 1:您如何管理服務配額和限制? |
| --- |
| 雲端型工作負載架構會有服務配額 (也稱為服務限制)。這些配額旨在用於防止不慎佈建超過您所需的資源,並限制 API 操作上的請求率,以防止服務遭到濫用。此外也會有資源限制,例如,您可將位元壓入光纖電纜的速率或實體磁碟上的儲存量會受到限制。 |
| REL 2:如何規劃您的網路拓撲? |
| --- |
| 工作負載經常存在於多個環境中。這些環境包括多個 (可公開存取和私有的) 雲端環境,且可能包含您現有的資料中心基礎設施。計畫必須包括系統內和系統間連線、公有 IP 地址管理、私有 IP 地址管理和網域名稱解析等網路考量因素。 |
雲端型工作負載架構會有服務配額 (也稱為服務限制)。這些配額旨在用於防止不慎佈建超過您所需的資源,並限制 API 操作上的請求率,以防止服務遭到濫用。工作負載經常存在於多個環境中。您必須監控和管理這些適用於所有工作負載環境的配額。這些環境包括多個 (可公開存取和私有的) 雲端環境,且可能包含您現有的資料中心基礎設施。計畫必須包括系統內和系統間連接、公有 IP 地址管理、私有 IP 地址管理和網域名稱解析等網路考量因素。
# 工作負載架構
可靠的工作負載始於對軟體和基礎設施的前期設計決策。您的架構選擇會對所有 Well-Architected 支柱的工作負載行為產生影響。為求可靠性,您必須依循特定模式。
藉助 AWS,工作負載開發人員可以選擇要使用的語言和技術。AWS 開發套件為 AWS 服務提供特定語言 API,讓編碼不再如此複雜。這些開發套件加上各種語言選項,可讓開發人員實作本文列出的可靠性最佳實務。開發人員也可 [在 Amazon Builders' Library 中](https://aws.amazon.com/builders-library/?ref=wellarchitected-wp)閱讀和了解 Amazon 如何建置和操作軟體。
下列問題著重於可靠性方面的這些考量。
| REL 3:如何設計您的工作負載服務架構? |
| --- |
| 使用服務導向架構 (SOA) 或微型服務架構,建置擴展性與可靠性高的工作負載。服務導向架構 (SOA) 是透過服務界面讓軟體元件可重複使用的做法。微型服務架構則進一步讓元件變得更小、更簡單。 |
| REL 4:如何在分散式系統中設計防止失敗的互動? |
| --- |
| 分散式系統倚賴通訊網路來互連元件,例如伺服器或服務。即使這些網路上的資料遺失或延遲,您的工作負載仍必須可靠運作。分散式系統的元件必須以不會對其他元件或工作負載造成負面影響的方式運作。這些最佳實務可防止失敗,並延長平均失敗間隔時間 (MTBF)。 |
| REL 5:如何設計分散式系統中的互動以緩解或承受故障? |
| --- |
| 分散式系統倚賴通訊網路來互連元件 (例如,伺服器或服務)。即使這些網路上的資料遺失或延遲,您的工作負載仍必須可靠運作。分散式系統的元件必須以不會對其他元件或工作負載造成負面影響的方式運作。這些最佳實務讓工作負載能夠承受壓力或故障,更快速地從其中復原,並減輕這類受損的影響。最終縮短平均復原時間 (MTTR)。 |
# 變更管理
必須預期並因應工作負載或其環境的變更,才能實現可靠的工作負載操作。變更包括對工作負載強加的變更,例如需求峰值,以及內部的變更,例如功能部署和安全性修補程式。
您可以使用 AWS 監控工作負載的行為,並自動化對 KPI 的回應。例如,隨著工作負載的使用者增加,您的工作負載可能會新增其他伺服器。您可以控制有權作出工作負載變更的人員,並稽核這些變更的歷史紀錄。
下列問題著重於可靠性方面的這些考量。
| REL 6:如何監控工作負載資源? |
| --- |
| 日誌和指標是深入了解工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控可讓您的工作負載識別何時會超過低效能閾值或發生故障,以便自動復原來回應。 |
| REL 7:如何設計工作負載以適應需求變更? |
| --- |
| 可擴展工作負載提供自動新增或移除資源的彈性,以便隨時盡可能符合目前需求。 |
| REL 8:您如何實作變更? |
| --- |
| 需有控制變更以部署新功能,並確保工作負載和運作環境執行已知軟體,且能以可預測的方式修補或取代。如果這些變更不受控制,則難以預測這些變更的效果,或是解決肇因於這些變更的問題。 |
當您建立工作負載架構以根據需求的變更自動新增和刪除資源時,其不僅可以提高可靠性,而且還能確保企業成功不會成為負擔。在適當監控下,當 KPI 偏離預期規範時,您的團隊將會自動收到提醒。自動記錄對環境的變更,讓您可進行稽核並快速識別可能影響可靠性的動作。對變更管理的控制將確保您能執行交付所需可靠性的規則。
# 失敗管理
在任何合理複雜的系統中,均有可能會發生失敗。為達可靠性要求,您的工作負載應在發生失敗時察覺此情況,並採取行動以免影響可用性。工作負載必須能夠承受失敗並自動修復問題。
藉助 AWS,您可以利用自動化對監控資料作出反應。例如,當特定指標超過臨界值時,您可以觸發可修補問題的自動化動作。此外,您無需嘗試診斷和修正生產環境中的失敗資源,而是可以用新的資源取代它,並對失敗的頻外資源執行分析。由於雲端可讓您以低成本建立整個系統的臨時版本,因此您可以使用自動化測試來驗證完整的復原程序。
下列問題著重於可靠性方面的這些考量。
| REL 9:您如何備份資料? |
| --- |
| 備份資料、應用程式和組態,以符合復原時間目標 (RTO) 和復原點目標 (RPO) 的要求。 |
| REL 10:如何使用故障隔離來保護您的工作負載? |
| --- |
| 故障隔離界限會在工作負載內將失敗影響限制至有限數量的元件。界限外的元件不受失敗影響。使用多個故障隔離界限時,您可以限制對工作負載的影響。 |
| REL 11:如何設計工作負載以承受元件失敗? |
| --- |
| 需要高可用性和低平均復原時間 (MTTR) 的工作負載必須建立彈性架構。 |
| REL 12:如何測試可靠性? |
| --- |
| 在將工作負載設計為可彈性應對生產壓力之後,測試是確保其依設計運作並交付您預期之彈性的唯一方法。 |
| REL 13:您如何規劃災難復原 (DR)? |
| --- |
| 備妥備份和冗餘工作負載元件是 DR 策略的開始。[RTO 和 RPO 是您還原](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/disaster-recovery-dr-objectives.html) 工作負載的目標。根據業務需求設定這些目標。實作策略以滿足這些目標,考量工作負載資源和資料的位置和功能。發生中斷的可能性和復原成本也是重要因素,可反映為工作負載提供災難復原的商業價值。 |
定期備份資料並測試備份檔案,從而確保您可以從邏輯和物理錯誤中復原。管理失敗的關鍵是對導致失敗的工作負載頻繁進行自動化測試,然後觀察它們可如何復原。定期執行此操作,並確保在出現重大工作負載變更後也能觸發此類測試。主動追蹤 KPI,以及復原時間目標 (RTO) 和復原點目標 (RPO),以評估工作負載的彈性 (尤其是在失敗測試情境下)。追蹤 KPI 將能助您識別和減輕單一失敗點。其目標是徹底測試您的工作負載復原程序,以便您確信即使面對持續問題,您也可以復原所有資料並繼續為客戶提供服務。應與執行正常生產程序一樣執行復原程序。
# 資源
請參閱以下資源,進一步了解我們的可靠性最佳實務。
## 文件
+ [AWS 文件](https://docs.aws.amazon.com/index.html?ref=wellarchitected-wp)
+ [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure?ref=wellarchitected-wp)
+ [AWS Auto Scaling:擴展計畫的運作方式](https://docs.aws.amazon.com/autoscaling/plans/userguide/how-it-works.html?ref=wellarchitected-wp)
+ [什麼是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html?ref=wellarchitected-wp)
## 白皮書
+ [可靠性支柱:AWS Well Architected](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html?ref=wellarchitected-wp)
+ [實作 AWS 上的微型服務](https://docs.aws.amazon.com/whitepapers/latest/microservices-on-aws/introduction.html?ref=wellarchitected-wp)