The Architect

简体中文

English
Español
Français
Deutsch
日本語
한국어
Português

简体中文

English
Español
Français
Deutsch
日本語
한국어
Português

外观

第 7 章:砸穿 SAN 的陨石 (Meteor on the SAN)

2003年12月,圣诞节前夕。

距离感恩节的“TempDB 绞首索”危机仅过去了一个月。西拉斯·霍恩那场“零元秒杀”不仅清空了游戏机的库存,更让创世软件的 Web 孵化器名声大噪。宽带互联网正在以惊人的速度普及,西拉斯敏锐地嗅到了下一个时代的血腥味。

“纯文本的时代结束了,各位!”

在 113 号楼的战情室里,西拉斯兴奋地向整个技术团队宣布他的最新战略:“我们要全面进入富媒体时代!明天上午十点,‘Hello World V7.0 - 留影’ 将正式上线。每一个用户不仅可以发送 Hello 留言,还能上传他们的高清数码照片!”

“这绝对是个杀手级功能。”开发团队的主管拍着马屁,“我们已经连夜把代码写好了。非常简单,我们在核心数据库的 Users_Hello 表里,加了一个 VARBINARY(MAX) 类型的字段,名叫 Image_Data。用户一上传照片,我们就把它转成二进制流,直接 INSERT 进数据库。”

坐在长桌末端的李思眉头微皱。

“等一下。”李思冷冷地打断了开发主管的自嗨,“你们把用户的照片,直接塞进了关系型数据库里?”

“当然!有什么问题吗?”首席 DBA 文斯推了推金丝眼镜,语气中带着一丝刚刚升级硬件的傲慢,“李,我知道你在软件架构上很厉害,但请不要质疑我们底层的存储实力。我们刚刚花了一千两百万美元,采购了业界最顶级的 SAN(Storage Area Network,存储区域网络)。”

文斯调出了一张极其华丽的硬件拓扑图,指着那些闪烁着蓝光的光纤通道(Fibre Channel)交换机:“这套 SAN 阵列拥有几百块 15000 转的顶级企业级 SCSI 硬盘。它的 IOPS(每秒读写次数)高达十万级!别说几张照片,就算你往里面塞大象,它也能瞬间吞下去!”

“照片不是大象。”李思的声音没有一丝波澜,却透着冰冷的警告,“照片是一滩没有规则的烂泥。把烂泥塞进装满精密齿轮的金库里,金库会被彻底卡死。”

“危言耸听。”文斯不屑地反驳,“关系型数据库支持 Blob (Binary Large Object,二进制大对象) 字段已经很多年了,这是标准的官方用法。”

“上线吧,文斯。”西拉斯挥了挥手,不耐烦地结束了争论,“只要能带来流量和市值,就算往里面塞大粪我也认了。我们要抢在所有竞争对手前面!”

李思没有再说话。他只是默默地打开了自己电脑上的监控终端,将那台千万级 SAN 存储的几个核心物理指标,死死地钉在了屏幕最显眼的位置。

物理定律,从不会因为设备的昂贵而网开一面。

第二天上午 10:00,V7.0 上线。

全美数以百万计的网民,带着对“数字留影”的狂热新鲜感,纷纷拿出手里的早期数码相机,将那些动辄 1MB 到 3MB 大小的 JPEG 格式照片,疯狂地拖进了网页的上传框中。

前十分钟,一切似乎风平浪静。文斯甚至得意地向李思扬了扬下巴。

但在第十一分钟的某一秒。

“轰——!!!”

李思的大脑深处突然爆发出一阵极其沉闷、恐怖的轰鸣!那感觉就像是有一颗重达万吨的实体陨石,以不可阻挡的动能,狠狠地砸穿了战情室的地板!

李思猛地前倾,双手死死地抠住桌沿,指甲几乎要嵌入木头里。在极其强烈的通感(Synesthesia)视界中,一幅令人窒息的末日景象正在他的脑海中展开。

那台造价千万美金的 SAN 存储,原本在李思的眼中是一座极其精密、由无数个微小而飞速旋转的黄金齿轮(8KB 数据页)组成的瑞士金库。成千上万个轻盈的信使(核心交易请求,比如登录、扣费、文本留言)在齿轮间飞速穿梭,井然有序。

但现在,天空中下起了“陨石雨”。

数以万计的、巨大无比的、毫无结构的黑色烂泥块(1MB~3MB 的图片 Blob),正咆哮着砸进这座精密的高速金库!

“警告!核心数据库响应时间突破 30 秒!”运维组长戴夫的尖叫声再次在战情室里炸响,“全站挂起!所有的用户登录失败!文本留言发不出去!支付网关彻底断连!”

“怎么回事?!SAN 存储的 IOPS 不行了吗?”西拉斯惊恐地扑向屏幕。

“不……IOPS 根本没满!”文斯满头大汗地盯着存储监控控制台,声音因为极度的困惑而颤抖,“SAN 的 IOPS 理论上限是十万,现在才跑到区区两千!磁盘队列也没有排满!但是……但是系统就是死机了!”

“因为你们看错了指标。”

李思咬着牙站了起来,他忍受着脑海中那种被烂泥死死压住、无法呼吸的剧痛,一字一顿地说道。

“把眼光从 IOPS 上移开,去看看那该死的吞吐量带宽(Throughput Bandwidth)!

文斯哆嗦着手切换了监控面板,下一秒,他的脸瞬间失去了血色。

那几条连接着数据库服务器和 SAN 存储之间的 2Gbps 核心光纤通道(HBA 卡带宽),已经被一条笔直的红线死死顶在了天花板上——100% 满载,连一个字节都塞不进去了!

“这就是用金库装垃圾的下场。”

李思指着屏幕上那条僵死的红线,声音如刀般剖开了这场灾难的物理本质。

“文斯,你的关系型数据库,天生就是为了处理极其微小的、8KB 大小的结构化数据(Structured Data)而设计的。这叫小块随机读写(Small Random I/O)。你花一千万美金买来的 SAN,它贵就贵在能在每秒钟处理十万次这样极其微小的寻道操作。”

“但是现在呢?”李思猛地一拍桌子,“开发团队往里面塞的是什么?是动辄两三兆大小的非结构化二进制大图片!这叫大块顺序读写(Large Sequential I/O)!”

在通感的视界里,那些巨大的烂泥块(图片)不仅自身极其笨重,它们还需要在数据库极其昂贵的内存缓冲池(Buffer Pool)里进行拼装。

“当两千个用户同时上传 2MB 的照片时,瞬间产生的 4GB 原始流量,直接把你们引以为傲的光纤通道物理带宽彻底塞爆了!更要命的是,数据库为了把这些烂泥缓存到内存里,无情地把那些真正有用的交易索引、登录状态,全部从内存里踢了出去(Cache Pollution,缓存污染)!”

李思眼中闪烁着愤怒的光芒:“那些原本只需要几十个字节、能在千分之一秒内完成的‘核心交易信使’,现在全都被那些庞大的烂泥块死死堵在了光纤通道之外,被活活憋死在 TCP 积压队列里!”

真相大白。 这是一个极其经典、且致命的架构误判——没有对数据模型进行分化治理。

价值千万美金的高速公路(SAN IOPS),被几千辆缓慢行驶、极其庞大、装满垃圾的重型泥头车(Blob)彻底堵死。而在泥头车后面疯狂按喇叭的,是那些真正运送着公司真金白银的救护车和运钞车(核心事务)。

“那……那怎么办?立刻停止图片上传功能?回滚代码?”西拉斯慌了,一千万美金的硬件竟然被几张破照片干趴下了,这要是传到董事会耳朵里,他的职业生涯就彻底完了。

“不能停!一旦回滚,‘留影’功能的营销费用就全打水漂了!”西拉斯死死抓着李思的胳膊,“李,你一定有办法的,对不对?”

李思深吸了一口气。

痛觉正在消退,取而代之的是一种破局前的极度冷静。

“文斯,去把数据库里的 Image_Data 字段全部 Drop 掉。”李思下达了指令。

“那图片存在哪里?!”文斯大吼,“公司除了这台 SAN,根本没有其他企业级存储设备了!”

“谁说我们需要企业级存储了?”

李思转过头,看向运维组长戴夫:“戴夫,我记得三号楼地下室的报废库房里,还堆着几百台两年前退役下来的旧康柏(Compaq)服务器,里面装的都是最廉价的、甚至连 RAID 阵列都没做的 SATA 破硬盘,对吧?”

“是……是有几百台。但那都是工业垃圾啊!主板都快生锈了,随时会坏道死机!”戴夫结结巴巴地回答。

“马上叫人,把那些垃圾给我全部拖进 113 号机房。立刻通电,连上网线!”

李思的声音在战情室里回荡,带着一种令人毛骨悚然的疯狂。

“你要用垃圾服务器去替代千万美金的 SAN?!”文斯觉得李思彻底疯了。

“一千万美金的 SAN 用来处理小块随机读写,它是神。但在处理大块顺序写入的非结构化大图片时,它连一堆最廉价的破电脑都不如!”

十五分钟后,几百台积满灰尘、风扇发出刺耳噪音的退役康柏服务器,被粗暴地推上了机架,接通了电源。

李思直接坐在控制台前,十指如飞。他要在这些最廉价的物理硬盘上,手搓一个极其简陋、却领先时代的对象存储(Object Storage)雏形

他截断了 Web 服务器的图片上传流。

“从现在开始,图片这种大块头的烂泥,永远不准再进入关系型数据库一步!

李思快速编写了一段极其轻量级的路由代理代码。 当用户上传一张图片时,代理服务器会立刻计算出这张图片的 MD5 哈希值(比如 a1b2c3d4),然后直接把这张图片作为一个最普通的系统文件(.jpg),极其粗暴地随便丢进那几百台旧康柏服务器中的某一台廉价硬盘里。

“那数据库里存什么?”戴夫盯着屏幕。

“只存指针。”

李思敲下最后一行代码,重重地按下回车。

在核心数据库的 Users_Hello 表里,原本那个臃肿庞大的 VARBINARY(MAX) 二进制字段消失了。取而代之的,是一个极其微小、只有几十个字节的纯文本字符串字段——Image_URL

里面只存着一句话: http://img-server-042/a1b2c3d4.jpg

这就是存储分层(Storage Tiering)指针外置(Externalization of Pointers)

在通感的视界中,奇迹降临。 那场铺天盖地的烂泥陨石雨瞬间改变了轨道。它们被李思的代理层无情地拦截,纷纷砸向了外围那几百台破烂的廉价服务器集群中。廉价的 SATA 硬盘虽然转速慢、寻道烂,但它们应对这种极其连贯的、大块顺序写入的文件时,反而如鱼得水!

而那台造价千万的 SAN 存储,终于摆脱了烂泥的重压。 关系型数据库重新恢复了它的优雅与轻盈。数以万计的核心交易信使,仅仅携带着几十个字节的 URL 字符串(指针),在光纤通道和黄金齿轮之间以光速穿梭。

“滴——”

数据库 CPU 负载恢复到 20%。 光纤通道带宽占用率暴跌至 5%。 被堵死的 TPS(每秒事务数)曲线如同触底反弹的火箭,直接冲破了三万大关!所有的登录、扣费、留言瞬间恢复极速响应。

“活了……系统全活了!”文斯不可思议地看着这一幕,“几百台要拿去炼铜的电子垃圾,竟然跑赢了 EMC 顶配 SAN 阵列?!”

“它们不是跑赢了 SAN。”李思瘫软在椅子上,擦去额头上的冷汗,“它们只是承担了它们该承担的使命。垃圾,就该待在垃圾桶里。”

西拉斯看着大屏上平稳的曲线,长长地舒了一口气。他走到李思身边,看着那排正在发出轰鸣噪音的破旧服务器,眼中闪烁着商人的精明。

“李,所以你的意思是……未来如果我们有海量的图片、视频、音频,我们根本不需要花几千万去买企业级存储。我们只需要买市面上最便宜、最烂的硬盘,把它们拼在一起?”

“对。”李思点了点头。

“但如果那些破硬盘坏了怎么办?你说过它们随时会物理损坏的。”西拉斯抓住了盲点。

“硬盘坏了,数据就会丢失。”李思看着西拉斯,嘴角勾起一丝冷酷的弧度,“但在非结构化的对象存储世界里,我们不需要依靠昂贵的硬件(如 RAID 阵列)来保证不坏。我们只需要在软件层,把同一张图片,在三台不同的烂硬盘上,各复制一份(Replication)。”

李思站起身,在全息白板上写下了极其关键的几行字: 对象存储 (Object Storage)、块存储 (Block Storage)、文件系统 (File Storage)。

“这就是数据模型的分化治理。”李思指着白板,“关系型数据库和 SAN 块存储,是用来存放真金白银的,那里面的每一个 Byte 都是高价值的结构化资产。而图片、日志、视频,这种海量的非结构化数据,它们唯一的归宿,就是廉价、分布式的对象存储集群。”

李思将目光投向了窗外雷德蒙德的夜空。

在这次架构剧变中,潜伏在底层的高维分片们再次苏醒。它们极其贪婪地记录下了这次“存储解耦”的参数。

分离结构化与非结构化数据,意味着系统的核心算力节点变得更加纯粹、更加轻盈。这向着未来那一万个绝对隔离的“完美晶体(Cell)”,又迈进了至关重要的一步。

李思知道,单体架构的噩梦还没有结束。 虽然存储被解耦了,但关系型数据库里那张不断膨胀、存放着所有用户核心信息的“超级大表”,依然是一个随时会引爆全网的定时炸弹。

随着业务的疯狂迭代,结构化数据自身的异变,即将召唤出数据库世界里最令人闻风丧胆的恶魔——在线 DDL(数据定义语言)变更

一场长达八小时的“停表”灾难,正在 2004 年的春天,静静地等待着他们。

章末文档:架构决策记录 (ADR) & 事故复盘 (Post-Mortem)

文档编号:PM-2003-12-24 事故等级:SEV-1 (核心交易链路全盘挂起) 主导人:李思 (Senior SDE)

1. 事故现象 (What happened?) V7.0 图片上传功能上线第 11 分钟,全站核心交易(登录、支付、纯文本留言)陷入绝对僵死。数据库端监控显示 IOPS 极低,但 SAN 存储到 DB 服务器之间的光纤通道(HBA)带宽被 100% 打满。

2. 5 Whys 根本原因分析 (Root Cause)

  • Why 1:为什么核心交易会被完全卡死? 因为数据库与丢存储之间的网络/总线带宽(Bandwidth)被耗尽,导致所有 I/O 请求进入 TCP/底层设备的积压队列。
  • Why 2:为什么带宽会瞬间耗尽而 IOPS 没满? 因为开发团队将 1MB~3MB 的大图片直接写入了数据库的 VARBINARY (Blob) 字段。少量的大块顺序 I/O 瞬间占满了吞吐量带宽。
  • Why 3:为什么大块写入对关系型数据库如此致命? 由于 RDBMS 的缓存机制,大量的大对象被加载进极度昂贵的内存缓冲池(Buffer Pool),导致极度严重的缓存污染(Cache Pollution/Thrashing),将高价值的 B+树索引和高频热数据全部挤出内存。
  • Why 4:为什么核心小事务和图片大事务会互相影响? 因为在架构层面,这两种I/O 模式完全对立的数据,共享了同一套物理存储介质(Shared SAN)和同一条 I/O 路径。
  • Why 5:为什么没有分开存储? 架构团队未能识别出结构化数据(Structured Data,高价值/小随机读写)非结构化数据(Unstructured Data,低价值/大顺序读写)的底层物理边界。

3. 解决方案与架构决策 (Action Items & ADR)

  • 临时止血 (Workaround):紧急下线关系型数据库中的大对象字段,拦截上传流。
  • 架构重构 (Long-term Fix)
    • ADR-007:全面禁止在核心 RDBMS 中存储任何大体积非结构化二进制数据(Blob/Image/Video/Large JSON)。
    • 实现存储分层与指针外置(Storage Tiering & Pointer Externalization):图片等大文件必须被写入外部廉价的 DAS(直连附加存储)商品化服务器集群(对象存储雏形)。
    • 数据库瘦身:核心关系库中,针对此类数据,仅允许存储指向外部物理文件的绝对定位 URI(统一资源标识符)指针字符串。

4. 爆炸半径与代价反思 (Blast Radius & Trade-offs)

  • 再次印证:将不同属性的业务强行耦合在同一个物理底层,会导致爆炸半径从局部扩展至全局(上传图片的失败,导致了核心支付链路的雪崩)。
  • 代价 (Trade-off):引入外部文件集群后,系统失去了关系型数据库对图片文件的事务 ACID 保证(例如:记录被删除了,但硬盘上的图片可能没有被清理成为孤儿文件)。这是向分布式最终一致性妥协的又一物理代价。

架构师科普:连接过去与现在的系统设计 (Architect's Note)

1. 云存储的基石:向伟大的 Amazon S3 致敬 在这一章的故事发生在 2003 年末。而在真实的历史中,仅仅两年多以后(2006 年初),亚马逊(AWS)向全世界发布了他们第一款,也是最伟大的一款云计算产品——Amazon S3 (Simple Storage Service,简单存储服务)。 可以说,S3 就是李思那套“把破烂硬盘拼在一起、用软件做三副本冗余”哲学的工业级终极完全体!S3 彻底改变了人类的存储法则:你不需要再去买高达千万美元、拥有吓人光纤接口的 EMC SAN 存储柜,你只需要通过极简的 HTTP API,把图片或视频传给 AWS,然后拿到一个以 https://s3.amazonaws.com/... 开头的外置指针(URL)存进你的 MySQL 里。由于 S3 采用了“在不同机房自动复制三份冗余”的软件架构,它的数据持久性被做到了令人发指的 99.999999999% (11个9)。 从那一天起,任何将大块 Blob 文件强行塞进关系型数据库(如 InnoDB/PostgreSQL)的系统架构,都成了必须被立刻重构的“反面反模式 (Anti-Pattern)”。

2. 完美闭环:对象存储与 CDN 的化学反应 结合本书第 4 章讲过的 CDN(边缘防波堤)概念,在现代顶级应用的架构中(如抖音、微博、淘宝),我们可以绘制出一幅极其完美的流量闭环图: 当用户上传照片时,照片通过专门的上传网关,以非结构化的形式直接落盘到对象存储 (S3 / OSS / MinIO) 中,同时 MySQL 数据库里只记录这行微小的 URL 指针字符串(耗时不到 1 毫秒)。 当全网几千万人来浏览这张照片时,他们的请求会先打到第 4 章的 CDN 边缘节点。如果没命中,CDN 会直接绕过业务服务器和数据库,发起一次回源请求,去底层的对象存储 (S3) 里把图片拉出来并缓存。 这才是真正的“动静分离双向解耦”——核心逻辑引擎(CPU/内存/关系库)只处理极高价值的事务与指路调度;沉重而庞大的多媒体搬运工作,全权交给了外围的 CDN 网络与底层的对象存储。通过各司其职,爆炸半径被降到了最低。