AWS S3误操作，官方故障回顾及专家深度思考

继Gitlab的误删除数据事件没几天，“不沉航母” AWS S3（Simple Storage Service）几天前也“沉”了4个小时，墙外的半个互联网也跟着挂了。如约，按AWS惯例，AWS给出了一个简单的故障报告《Summary of the Amazon S3 Service Disruption in the Northern Virginia (US-EAST-1) Region》。这个故障简单来说和Gitlab一样，也是人员误操作。先简单说一下这份报中说了什么。

简单来说，这天，有一个AWS工程师在调查Northern Virginia (US-EAST-1) Region上S3的一个和账务系统相关的问题，这个问题是S3的账务系统变慢了（我估计这个故障在Amazon里可能是Sev2级，Sev2级的故障在Amazon算是比较大的故障，需要很快解决），Oncall的开发工程师（注：Amazon的运维都是由开发工程师来干的，所以Amazon内部嬉称SDE-Software Developer Engineer为Someone Do Everything）想移除一个账务系统里的一个子系统下的一些少量的服务器（估计这些服务器上有问题，所以想移掉后重新部署），结果呢，有一条命令搞错了，导致了移除了大量的S3的控制系统。包括两个很重要的子系统：

1. 一个是S3的对象索引服务（Index），其中存储了S3对象的metadata和位置信息。这个服务也提供了所有的GET，LIST，PUT和DELETE请求。

2. 一个是S3的位置服务系统（Placement），这个服务提供对象的存储位置和索引服务的系统。这个系统主要是用于处理PUT新对象请求。

这就是为什么S3不可访问的原因。

在后面，AWS也说明了一下故障恢复的过程，其中重点提到了这点——

了解过系统底层的技术人员应该都知道这两个服务有多重要，简而言之，这两个系统就像是Unix/Linux文件系统中的inode，或是像HDFS里的node name，如果这些元数据丢失，那么，用户的所有数据基本上来说就等于全丢了。

而要恢复索引系统，就像你的操作系统从异常关机后启动，文件系统要做系统自检那样，硬盘越大，文件越多，这个过程就越慢。

另外，这次，AWS没有使用像以前那样Outage的故障名称，用的是“Increased Error Rate”这样的东西。我估计是没有把所有这两个服务删除完，有些用户是可以用的，有的用户则不行了。

在这篇故障简报中，AWS也提到了下面的这些改进措施——

1）改进运维操作工具。对于此次故障的运维工具，有下面改进：

• 让删除服务这个操作变慢一些（笔者注：这样错了也可以有时间反悔，相对于一个大规模的分布式系统，这招还是很不错的，至少在系统报警时也可以挽救）；

• 加上一个最小资源数限制的SafeGuard（笔者注：就是说，任何服务在运行时都应该有一个最小资源数，分布式集群控制系统会强行维护服务正常运行的最小的一个资源数）；

• 举一反三，Review所有和其它的运维工具，保证他们也相关的检查。

2）改进恢复过程。对于恢复时间过长的问题，有如下改进：

• 分解现有厚重的重要服务成更小的单元（在AWS，Service是大服务，小服务被称之为Cell），AWS会把这几个重要的服务重构成 Cell服务。（笔者注：这应该就是所谓的“微服务”了吧）。这样，服务粒度变小，重启也会快一些，而且还可以减少故障面（原文：blast radius – 爆炸半径）；

• 今年内完成对Index索引服务的分区计划。

下面是我对这一故障的相关思考——

0）太喜欢像Gitlab和AWS这样的故障公开了，哪怕是一个自己人为的低级错误。不掩盖，不文过饰非，透明且诚恳。Cool！

1）这次事件，还好没有丢失这么重要的数据，不然的话，将是灾难性的。

2）另外，面对在US-EASE-1这个老牌Region上的海量的对象，而且能在几个小时内恢复，很不容易了。

3）这个事件，再次印证了我在《关于高可用的系统》中提到的观点：一个系统的高可用的因素很多，不仅仅只是系统架构，更重要的是——高可用运维。

4）对于高可用的运维，平时的故障演习是很重要的。AWS平时应该没有相应的故障演习，所以导致要么长期不出故障，一出就出个大的让你措手不及。这点，Facebook就好一些，他们每个季度扔个骰子，随机关掉一个IDC一天。Netflix也有相关的Chaos Monkey，我以前在的路透每年也会做一次大规模的故障演练——灾难演习。

5）AWS对于后续的改进可以看出他的技术范儿。可以看到其改进方案是用技术让自己的系统更为的高可用。然后，对比国内的公司对于这样的故障，基本上会是下面这样的画风：

1. 加上更多更为严格的变更和审批流程；

2. 使用限制更多的权限系统和审批系统；

3. 使用更多的人来干活（一个人干事，另一个人在旁边看）；

4. 使用更为厚重的测试和发布过程；

5. 惩罚故障人，用价值观教育工程师。

这还是我老生长谈的那句话——如果你是一个技术公司，你就会更多的相信技术而不是管理。相信技术会用技术来解决问题，相信管理，那就只会有制度、流程和价值观来解决问题（注意：这里我并没有隔离技术和管理，只是更为倾向于用技术解决问题）。

最后，你是要建一个“高可用的技术系统”，还是一个“高可用的管理系统”？欢迎留言和我们一起探讨。