The Architect

简体中文

English
Español
Français
Deutsch
日本語
한국어
Português

简体中文

English
Español
Français
Deutsch
日本語
한국어
Português

外观

第 18 章:消失的配置与幽灵漂移 (The Disappearing Config and the Ghost Drift)

2015年,秋。Kubernetes (K8s) 的纪元。

“幽灵进程”事件(第17章)让创世软件的高层痛下决心:不能再让人类去手工管理那一万个疯狂的集装箱(Docker)。

在李思的力推下,他们引入了刚刚从 Google 内部架构博格(Borg)开源出来的终极核武器——Kubernetes(简称 K8s)

这是系统工程学的一次降维打击。

在战情室的全新大屏上,李思只需用几行极其优雅的 YAML 描述文件声明:“我要 50 个‘回复服务’的容器运行”。 下一秒,K8s 的“控制面(Control Plane)”就会像一个全知全能的上帝,自动在这上万台结点的汪洋大海中,寻找空闲的机器,把容器精准地放置下去,并配置好所有的网络和负载均衡。如果某台物理机器断电了,K8s 会在两秒内发现,并在另一台健康的机器上重新拉起那些死去的集装箱。

“这简直是魔法!”运维总监戴夫看着自动缩放(Auto-scaling)的曲线,眼眶湿润。他终于告别了半夜起来敲键盘重启机器的苦日子。 在这个叫 K8s 的系统里,声明式(Declarative)API 取代了命令式(Imperative)操作。人类不再下达“去做什么”的指令,而是告诉系统“我要什么结果”,系统自己去闭环(Reconciliation Loop)。

但西拉斯依然保持着商人的警惕:“李,这种让系统自己做所有决定的方式,如果它疯了怎么办?”

“只要你把配置(Config)写对,它就是最忠诚的蜂后。”李思端着咖啡,“微服务只管跑业务,状态和配置交给外层的 ConfigMap……等等。”

李思突然停下了脚步,他的眉头皱了起来。 在通感视界的某一个小角落里,他感觉到了一丝不寻常的波动。就像是一群纪律严明的士兵中,有几个人突然出现了短暂的“精神恍惚”。

下午 2:00。幽灵漂移开始。

“李思,客服接到了奇怪的投诉。”一位产品经理急匆匆地走进战情室,“洛杉矶有几个发帖的用户说,他们明明点击了‘公开可见’,但发出去的 Hello World 帖子,有一半变成了‘仅自己可见(Private)’!而且他们一刷新页面,这帖子的状态还在‘公开’和‘私密’之间疯狂横跳!”

李思立刻放下了咖啡:“哪个微服务管这个?”

“是刚刚重构过的‘权限服务(Auth Service)’!”戴夫马上调出了大盘。 “权限服务”在 K8s 里一共部署了 300 个副本(Pod)。这是全网流量最高的基础服务之一。

李思看了一眼这 300 个副本的状态:“它们都在 Running,没有报错,没有 OOM。”

“那为什么会横跳?”产品经理急了。

“因为配置不一致(Configuration Drift)。”李思的直觉像闪电一样运转。

在微服务架构里,李思制定了严格的规定:代码与配置必须分离。 所有的代码打好包就不准变了。而那些控制业务逻辑的开关(比如:新用户的默认发帖权限是 Public 还是 Private),全部写在 K8s 的一个叫 ConfigMap 的外部文件里。

当发帖请求打到这 300 个副本时,轮询调度(Round-robin)会让请求随机落在任意一个副本上。

“如果用户感觉状态在横跳……”李思在键盘上敲下了查询指令,“那就说明,这 300 个‘权限服务’副本的脑子里,对‘默认权限到底是多少’这个问题,有两套截然不同的记忆!”

大屏上刷出了一半的日志。 李思指着其中 200 个副本的日志:“看!这 200 个分身,读取到的 ConfigMap 是三天前发布的旧版本,默认权限是 Private。” 然后他指向另外 100 个副本:“而这 100 个分身,它们今天早上因为底层物理机维护,被 K8s 重新调度(Rescheduled) 过。它们拉起来时,读到的是最新的 ConfigMap,默认权限是 Public!”

“这怎么可能?!”戴夫惊呼,“今天早上没人动过 ConfigMap 的配置啊!”

“不,有人动了。但在 K8s 这个基于最终一致性的海洋里,这个修改变成了一个幽灵。”

通感(Synesthesia)的世界瞬间切换到了极微观的视角。李思在脑海中追踪着那个诡异的修改记录。

在这个极其庞大且依靠 API 异步交互的 K8s 集群中。昨天深夜,一名资深开发人员想要修改这个开关。他极其熟练地打开了存放配置的 Git 仓库,把 default_authPrivate 改成了 Public。 然后,部署流水线运行,这个新的 ConfigMap 被推给了 K8s 的 API 服务器。

“但是,仅仅修改外面的卷轴,是无法唤醒那些已经沉睡的士兵的。”

李思的话让戴夫打了个寒颤。

在早期的 K8s 版本中(或者使用者没有写热更新监听机制时)。容器在第一次启动时,会把外部的 ConfigMap 像一个真实的 U盘一样查进它的肚子里,然后业务代码把它读进了内存(RAM)。

这 200 个“首发”的权限服务副本,它们在三天前读到了旧的配置 Private。然后,它们就闭上了眼睛,专心致志地处理流量。无论外部的那个“U盘”里的文件怎么被开发修改。它们内存里的那个值,永远定格在了三天前!

但是! 今天早上,K8s 进行了一次常规的物理节点驱逐(Node Draining)。K8s 无情地杀死了另外 100 个老副本,然后在新的机器上孵化出了 100 个新副本。 这 100 个新鲜出炉的副本,在启动时,理所当然地读取了那个已经被开发修改过的新“U盘”(Public)。

于是,一个极其恐怖的“幽灵漂移群”诞生了。

在同一个集群里,300 个长得一模一样、版本号一模一样、由全知全能的 K8s 统领的士兵。竟然因为被孵化的时间不同,产生了极其致命的记忆撕裂!

在前端,这就表现为用户每点一次刷新,请求被随机分发到新老记忆的副本上,权限在“公开”和“私密”之间疯狂横跳。 如果在支付系统中发生这种配置漂移,今天全网的对账单将彻底爆炸!

“太可怕了。”西拉斯脸色发白,“我以为 K8s 会解决一切,没想到它连配置文件都没法同步更新。”

“K8s 只是一个调度器,它不是业务逻辑的保姆。”李思双手在键盘上飞舞,准备执行紧急的强制同步。

“戴夫,我要强杀这 200 个还活在三天前的老副本(Pod)!让 K8s 重新把它们用最新的配置拉起来!”

“但是李!”戴夫大喊,“这可是核心权限服务!200 个副本同时被你杀掉,剩下的 100 个瞬间就会承受三倍的 QPS 流量洪峰!它们会被打死的!”

“我没说要同时杀!” 李思在控制台上敲下了一长串基于标签(Label Selector)的优雅指令。 这就是云原生时代对抗集群级更新的最伟大发明——滚动更新 (Rolling Update)

在李思的指令下。K8s 犹如一台精密的手术刀,开始了一场极其优雅的“缓慢换血”。 它先杀死 5 个旧副本。 立刻在新的空地上拉起 5 个带有最新配置的新副本。 等到这 5 个新副本通过了“健康检查(Readiness Probe)”,已经能平稳接客了。 它再继续杀掉下 5 个老副本……

在整个过程中,整体的服务容量(Capacity)始终保持在 300 左右。没有任何一秒钟出现了算力断崖。原本疯狂横跳的错误率,随着新血的注入,像下楼梯一样平滑地下降。

五分钟后,所有的旧血液被全部清洗完毕。三百个带着最新“公开”记忆的微服务副本,整齐划一地处理着流量。 横跳停止了。

“呼……”戴夫虚脱地靠在椅子上,“虽然恢复了,但是只要有人改配置忘重启,这种‘记忆分裂’不还是会发生吗?这种配置漂移简直防不胜防啊!”

李思点点头,在白板上画了一个带有哈希值(Hash)的闭环。

“这是声明式系统的弊端。状态与配置分离后,业务程序因为懒惰(不愿意定时去读硬盘),导致外面的世界变了,它内心的世界还没变。”

李思重重地敲下板书:“为了彻底根除幽灵漂移。从今天起,所有的微服务配置,不能只改内容。你们必须把配置文件的校验和(Hash 值),作为一个环境变量,强硬地注入到容器部署的 YAML 描述里!”

“只要你改动了一个标点符号的配置,它的 Hash 值就会变。K8s 就会敏锐地发现:‘哦!虽然代码没叫我重启,但环境变量变了!’。K8s 就会自动、立刻触发刚才那种优雅的滚动更新(Rolling Update)!”

没有改变的配置,只有全新的实体(Immutable Infrastructure,不可变基础设施)。”李思目光灼灼地看着西拉斯和戴夫,“既然我们连物理机都当成了随意丢弃的牛马,那这些跑在上面的容器和配置,也应该是一次性的消耗品!”

“改配置,就是换掉整个容器!”

这极其冷血却又无比坚固的“不可变”哲学,彻底统治了接下来十年的云原生时代。任何试图在运行中的容器里“偷偷改两把参数”的极客行为,都被系统无情地剿灭。

K8s 确实像一个神。但要驾驭这个神,工程师自己必须先摒弃那些属于灵长类动物的修修补补的温情。

在解决了配置漂移带来的横跳噩梦后,李思终于长舒了一口。 然而,高维分片那极其冷酷的测试频率,在这一章达到了前所未有的共振。 因为当系统通过不可变基础设施(Immutable Infrastructure)达到了某种坚不可摧的“容器级稳定性”时。

一种名为“雪崩重试的巨兽(Thundering Herd / 惊群效应在 K8s 下的究极放大)”,即将借助于 K8s 那个极其完美的自动拉起机制,演变成一场吞噬一切的无尽重症循环。

那是微服务沼泽最深处的终极泥潭。第 19 章的黎明,也就是所谓的大厂“死锁连环重启案”。

架构决策记录 (ADR) & 事故复盘 (Post-Mortem)

文档编号:PM-2015-09-12 事故等级:SEV-2 (核心配置漂移,全局路由状态发生严重精神分裂现象) 主导人:李思 (Principal Engineer)

1. 事故现象 (What happened?) 用户发出的帖子权限状态在“公开”与“私密”之间随机高频横跳。 经排查,负责此校验的核心“权限微服务”部署在 K8s 中共计 300 个副本。但这 300 个相同镜像版本的副本由于启动生命周期的差异,其内存中缓存的默认权限配置截然相反,产生了恶劣的配置漂移 (Configuration Drift) 和脑裂。

2. 5 Whys 根本原因分析 (Root Cause)

  • Why 1:为什么相同的副本读出的参数不一样? 因为这 300 个 Pod 的启动时间不同。部分因为被近期驱逐发生了重启,读到了 ConfigMap 被修改后的最新值。而原先老旧的节点由于一直健康存活,未能感知配置发生了变化。
  • Why 2:为什么老节点没感知配置变化? 虽然外部(K8s 的 ConfigMap)发生了改变,但业务代码逻辑极其懒惰,只是在启动那一刻(Init 阶段)单次加载了配置到内存后,就再也没有定期 Watch(监听)配置文件的变动机制(Hot Reload)。
  • Why 3:为什么修改配置时没有重启老节点? 开发人员只发布了单独更新 ConfigMap 的指令,没有修改 Deployment 的主 YAML 描述文件。K8s 认为 Pod 不需要发生重新调度。
  • Why 4:为什么系统默许了这种分离修改? 在微服务“代码与配置解耦”的思想下,配置更新的流水线与代码发版的流水线未进行物理联动绑定,导致了“外部实体变异,而容器内部闭环失明”的状态。

3. 解决方案与架构决策 (Action Items & ADR)

  • 临时止血 (Workaround):对“权限微服务”的 Deployment 执行手工触发的滚动重启(Rolling Update)。利用 K8s 优雅切流量抹杀并置换所有旧缓存实例,强行刷新全网内存状态。
  • 架构重构 (Long-term Fix)
    • ADR-018:实施原教旨主义的 不可变基础设施 (Immutable Infrastructure)。
    • 使用如 Kustomize 或配置哈希注入插件(例如 Helm 中的 checksum 模板注解)。在 CI/CD 流水线层面,必须将涉及的重要配置文件(ConfigMap/Secret)进行 SHA256 散列哈希运算,并将该算出的散列值以环境变量(Annotation/Env)的形式死死钉死在 Deployment 模板之中。
    • 此举的极度精妙在于:哪怕业务层面懒得写“热更新监视器”,只要配置一动,注入到环境变量的哈希词缀就会导致 Deployment 本身描述发生变化。即刻极其残暴地触发系统底层的 Pod 无条件连环枪毙更新。消灭所有的温吞状态,重塑不可变轮回。

4. 爆炸半径与代价反思 (Blast Radius & Trade-offs) 声明式 API(K8s 的基石)极其美好但存在延迟盲区。当外部依赖变更时,系统不可能百分百完美地通知到万个运行态中的深层内存。用不可变(Immutable)的思想,将一切变更简化为“杀掉并新建”。

架构师科普:连接过去与现在的系统设计 (Architect's Note)

1. K8s (Kubernetes) 时代的到来 2015 前后是整个运维界大洗牌的纪元。如果上面一章说 Docker 是统一了标准集装箱,这章李思引入的 K8s 就是掌控港口的顶级起重机和装卸总指挥系统。也是如今一切大厂云原生的底座。 声明式(Declarative)取代命令式。你只需要用极其干扁的 YAML 文本写一句:“我要 100 个这样的容器(Replicas=100)”,就去睡觉。不用写一句 for 循环,不用写 IP 绑定的 Shell 脚本。底层的超级调度器会像生命体一样永远维持哪怕在断电断网后的那个最终稳态。

2. 典型的翻车坑:配置漂移 (Config Drift) 很多初学者用 K8s 时,觉得把数据库密码或者业务开关剥离到环境外的 ConfigMap(极佳的最佳实践)就万事大吉了。结果去 Dashboard 把 Config 的值改了。第二天客诉说不生效。查了两个小时才发现,跑在容器里的老 Java/Go 进程如果不手工配 FSNotify 这种热更探针,人家早在 100 天前启动时就把死值背在小脑里了,对外部世界的变化处于极其可怕的“全盲”状态。这就是经典的“漂移”。 最好的杀手锏,在 K8s 中不要讲任何热更武德,直接上外挂脚本,只要配置变了直接 Hash 注入强制大盘 Rolling Restart(滚动打散重启),用极小的物理扰动换取最高级的真理统一。

3. 优雅退出的艺术:滚动更新 (Rolling Update) 如果没有这个伟大功能,以前的大厂发布叫“停机维护发版”。在云原生时代,用户对更新是无感的。这也就是李思在本章用到的手术刀: 我绝不同时杀 300 个进程。我杀 5 个,补 5 个,K8s 路由还要贴心地去探测这新生出来的 5 位婴儿是不是睡醒且 Ready(就绪探针)了,一旦 Ready,大盘再拨一点点流量进来,然后再去杀下一批老人。这种如同太极般顺滑的版本过渡,是保住底盘连接可用性的命脉。