AWS(Amazon Web Service)開(kāi)始于2006年3月14日AmazonS3的發(fā)布,距今已有十年時(shí)間。回首過(guò)去十年,我們?cè)跇?gòu)建和運(yùn)營(yíng)AWS云計(jì)算服務(wù)中積累了大量的經(jīng)驗(yàn)教訓(xùn)——這些服務(wù)不僅需要確保安全性、可用性和可擴(kuò)展性,同時(shí)還要以盡可能低廉的成本提供可預(yù)測(cè)的性能?紤]到AWS是世界范圍內(nèi)構(gòu)建和運(yùn)營(yíng)此類服務(wù)的開(kāi)拓者,這些經(jīng)驗(yàn)教訓(xùn)對(duì)我們的業(yè)務(wù)來(lái)說(shuō)至關(guān)重要。正如我們多次重申的,“經(jīng)驗(yàn)不存在壓縮算法”?紤]到AWS擁有每月超過(guò)一百萬(wàn)的活躍用戶,而這些用戶也許會(huì)為數(shù)以億計(jì)的自家客戶提供服務(wù)。因此,積累上述經(jīng)驗(yàn)教訓(xùn)的機(jī)會(huì)在AWS比比皆是,在這些經(jīng)驗(yàn)教訓(xùn)中,我挑選了一些分享給大家,希望對(duì)各位也能有所幫助。
1.構(gòu)建可持續(xù)演進(jìn)的系統(tǒng)
從做AWS的第一天開(kāi)始,我們就清楚地認(rèn)識(shí)到,我們?cè)谧龅倪@套軟件不是一勞永逸的,F(xiàn)在可以用的軟件,一年之后很可能將不再適用。我們的預(yù)期是,隨著(用戶)數(shù)量級(jí)的增加一或兩次,我們都需要重新檢視和適當(dāng)修改我們已有的架構(gòu),以便解決擴(kuò)展性的問(wèn)題。
但是我們無(wú)法采取過(guò)去常用的通過(guò)檢修停機(jī)進(jìn)行系統(tǒng)升級(jí)的方式來(lái)實(shí)現(xiàn)上述目標(biāo),因?yàn)槭澜绺鞯刂T多業(yè)務(wù)都依賴著我們平臺(tái)所提供的7x24小時(shí)的可用性。因此,我們需要構(gòu)建一個(gè)在引入新的軟件構(gòu)件時(shí)不會(huì)引起服務(wù)癱瘓的架構(gòu)。Amazon杰出的工程師Marvin Theimer有一次開(kāi)玩笑說(shuō),Amazon S3這項(xiàng)服務(wù)的持續(xù)演進(jìn)用開(kāi)飛機(jī)來(lái)形容最為貼切。我們最開(kāi)始開(kāi)的是一架單引擎的賽斯納,一段時(shí)間后升級(jí)成一架波音737,之后又換成了一支波音747小隊(duì),而現(xiàn)在更像是由空中巨無(wú)霸空客A380組成的一支大型機(jī)隊(duì)。自始至終,我們一邊通過(guò)空中加油確保飛機(jī)的正常飛行,一邊在萬(wàn)米高空上將AWS的用戶從一架舊飛機(jī)挪到另一架新的上面去。同時(shí),AWS的用戶對(duì)此毫不知情。
2.預(yù)料到不可預(yù)料的情況
故障是注定的;隨著時(shí)間的流逝,一切終將歸于失。簭穆酚善鞯接脖P,從操作系統(tǒng)到存儲(chǔ)單元損壞的TCP數(shù)據(jù)包,從瞬時(shí)誤差到永久失效,無(wú)論你用的是最高質(zhì)量的硬件還是最低成本的組件,這都是理所當(dāng)然的。
在服務(wù)規(guī)模變得很大之后,這個(gè)問(wèn)題愈加地凸顯:舉例來(lái)說(shuō),當(dāng)Amazon S3服務(wù)處理萬(wàn)億級(jí)存儲(chǔ)交易時(shí),即使誤差概率極小的事件也將成為現(xiàn)實(shí)。在設(shè)計(jì)和構(gòu)建階段,這些故障場(chǎng)景中的一部分事先會(huì)被考慮到,但更多的則是未知數(shù)。因此,我們需要構(gòu)建的是將故障視為自然發(fā)生的系統(tǒng),即使我們并不知道故障是什么。這個(gè)系統(tǒng)應(yīng)該要做到,即使在“后院已經(jīng)著火”的情況下依然可以繼續(xù)運(yùn)行。重要的是在不需要引起整個(gè)系統(tǒng)宕機(jī)的情況下就能管理好受影響的局部組件。對(duì)此,我們已經(jīng)發(fā)展出一套控制故障發(fā)生影響范圍的基本技能,以期系統(tǒng)的總體健康狀態(tài)得以維持。
3.提供基元而非框架
很快我們開(kāi)始發(fā)現(xiàn),用戶大都喜歡在AWS提供的服務(wù)上持續(xù)構(gòu)建和演進(jìn)自己的業(yè)務(wù)系統(tǒng)。在擺脫了傳統(tǒng)IT硬件和數(shù)據(jù)中心的束縛之后,他們開(kāi)始以一種全新、有趣的、之前從未出現(xiàn)過(guò)的使用模式開(kāi)發(fā)自己的系統(tǒng)。也正是因?yàn)槿绱,為了滿足用戶多樣的需求,我們的架構(gòu)需要保持高度的靈活性。
關(guān)于這一點(diǎn),最重要的機(jī)制之一就是,我們提供給用戶的是一系列基元和工具,用戶可以選擇他們喜歡的方式來(lái)使用AWS云服務(wù),而不是由我們提供一個(gè)大而全的統(tǒng)一的框架。這個(gè)機(jī)制給我們的用戶帶來(lái)了巨大的成功,甚至AWS自身后續(xù)的一些服務(wù)也用上了這套機(jī)制,就像我們的普通用戶一樣。
同樣重要的一點(diǎn)是,我們很難在用戶還沒(méi)開(kāi)始使用一個(gè)服務(wù)之前,就準(zhǔn)確預(yù)知到對(duì)用戶而言該服務(wù)需要優(yōu)先考慮的問(wèn)題。這也是為什么所有的新服務(wù)最初都會(huì)以最小的功能集發(fā)布,然后借助用戶的反饋,再對(duì)該服務(wù)進(jìn)行后續(xù)的擴(kuò)展。
4.自動(dòng)化是關(guān)鍵
開(kāi)發(fā)一個(gè)需要持續(xù)維護(hù)的軟件服務(wù)和開(kāi)發(fā)一個(gè)最終交付給客戶的軟件有著巨大的差異,管理一個(gè)像AWS這種規(guī)模的系統(tǒng),需要一種完全不同的觀念,才能確保滿足用戶對(duì)可用性、性能以及可擴(kuò)展性的要求。
實(shí)現(xiàn)這個(gè)目標(biāo)的一個(gè)主要的機(jī)制,就是避免容易產(chǎn)生誤差的手工操作,盡可能地將管理工作自動(dòng)化。為此,我們需要構(gòu)建一套可以控制主要功能的管理API。在這方面,我們同時(shí)也對(duì)自己的用戶給予幫助。通過(guò)將應(yīng)用分解成一個(gè)個(gè)獨(dú)立的模塊,每個(gè)模塊都有自己的管理API,你可以很方便地定義自動(dòng)化規(guī)則來(lái)進(jìn)行大規(guī)模的維護(hù)。判斷自動(dòng)化做的是不是到位,可以思考一下你是不是還需要使用SSH登陸到某臺(tái)服務(wù)器進(jìn)行運(yùn)維操作?如果答案是yes,說(shuō)明你的自動(dòng)化做得還不夠好。
5.API定義要嚴(yán)謹(jǐn),因?yàn)橐坏┥暇就無(wú)法更改
我們?cè)贏mazon零售項(xiàng)目中已經(jīng)接受過(guò)類似的教訓(xùn),但對(duì)于AWS這種以API為中心的服務(wù),這個(gè)原則變得更加重要。一旦用戶開(kāi)始用我們的API開(kāi)發(fā)他們的應(yīng)用和系統(tǒng),我們就不可能再對(duì)這些API進(jìn)行變更了。因?yàn)锳PI的任何改動(dòng)都會(huì)影響到用戶已有的項(xiàng)目。因此我們充分意識(shí)到,在API給到用戶之前,我們只有一次將API做對(duì)的機(jī)會(huì)。
6.監(jiān)控你的資源使用情況
當(dāng)你為一項(xiàng)服務(wù)確定計(jì)費(fèi)模式的時(shí)候,請(qǐng)務(wù)必確保你有一份關(guān)于該服務(wù)的資源成本和運(yùn)營(yíng)的數(shù)據(jù)。對(duì)于邊際成本很低的業(yè)務(wù)尤其如此。作為服務(wù)提供商,AWS需要對(duì)服務(wù)成本保持足夠的敏感,以便我們能清楚地認(rèn)識(shí)到我們是否承擔(dān)得起某項(xiàng)服務(wù),同時(shí)也能夠定位到一些可以通過(guò)提高運(yùn)營(yíng)效率而進(jìn)一步降低成本的地方,并借此降低服務(wù)價(jià)格,最終惠及用戶。
舉一個(gè)例子,早期的時(shí)候,我們對(duì)于Amazon S3服務(wù)所用到的資源成本并不是很清晰。我們當(dāng)時(shí)假定,存儲(chǔ)和帶寬應(yīng)該是我們首要考慮的收費(fèi)點(diǎn);后來(lái)運(yùn)行了一段時(shí)間之后,我們才意識(shí)到,請(qǐng)求數(shù)量跟存儲(chǔ)與帶寬同等重要。如果某個(gè)用戶有大量的小文件要存儲(chǔ),這種情況下,即使是百萬(wàn)量級(jí)的請(qǐng)求,都不會(huì)占用太多的存儲(chǔ)和帶寬資源。最終我們做了調(diào)整,將請(qǐng)求數(shù)量也納入了計(jì)費(fèi)模型,以便AWS在收支上可以保證這項(xiàng)服務(wù)的可持續(xù)性。
7.從頭開(kāi)始建立安全機(jī)制
保護(hù)你的用戶,這一點(diǎn)的優(yōu)先級(jí)永遠(yuǎn)都應(yīng)該排在第一位,在AWS也不例外。不光要從運(yùn)營(yíng)的角度,還要從工具和機(jī)制的角度保證這一點(diǎn)。對(duì)此,我們也將繼續(xù)保持最高的支持與投入。我們很快就學(xué)到的一個(gè)經(jīng)驗(yàn)就是,為了實(shí)現(xiàn)安全的服務(wù),我們需要在服務(wù)設(shè)計(jì)的最初階段就抱有這種安全意識(shí)。安全團(tuán)隊(duì)的任務(wù)不是在一項(xiàng)服務(wù)實(shí)現(xiàn)完了之后才開(kāi)始安全檢查,相反地,安全團(tuán)隊(duì)的工作應(yīng)該和開(kāi)發(fā)團(tuán)隊(duì)一道,貫穿于整個(gè)項(xiàng)目的生命周期,以確保項(xiàng)目的安全性?傊,涉及到安全的問(wèn)題,沒(méi)有任何妥協(xié)的余地。
8.數(shù)據(jù)加密是頭等大事
數(shù)據(jù)加密,是保證用戶數(shù)據(jù)安全的重要機(jī)制。十年前,數(shù)據(jù)加密相關(guān)的工具和服務(wù)還不夠完善,直到AWS剛開(kāi)始運(yùn)營(yíng)的最初幾年,我們才逐步積累了很多關(guān)于在服務(wù)中集成數(shù)據(jù)加密的最佳實(shí)踐。AmazonS3最初提供的,是服務(wù)器端的加密機(jī)制。當(dāng)我們?cè)跀?shù)據(jù)中心移除帶有用戶數(shù)據(jù)的磁盤的時(shí)候,這些數(shù)據(jù)就無(wú)法被訪問(wèn)到了。但是后續(xù)上線的諸如Amazon Cloud HSM和Amazon Key管理服務(wù),均向用戶提供了自定義加密密鑰的機(jī)制,這樣一來(lái),AWS就不需要替用戶維護(hù)這些加密密鑰了。
現(xiàn)在,AWS所有的新服務(wù),在原型設(shè)計(jì)階段就會(huì)考慮到對(duì)數(shù)據(jù)加密的支持。比如,在Amazon Redshift服務(wù)中,每一個(gè)數(shù)據(jù)塊都通過(guò)一個(gè)隨機(jī)的密鑰進(jìn)行加密,而這些隨機(jī)密鑰則由一個(gè)主密鑰進(jìn)行加密存儲(chǔ)。用戶可以自定義這個(gè)主密鑰,這樣也就保證了只有用戶本人才能訪問(wèn)這些機(jī)密數(shù)據(jù)或敏感信息。數(shù)據(jù)加密在我們的業(yè)務(wù)中的優(yōu)先級(jí)一直非常高。我們也會(huì)持續(xù)改進(jìn),讓數(shù)據(jù)加密機(jī)制用起來(lái)更簡(jiǎn)單,最終,讓用戶能更好地保護(hù)自己的數(shù)據(jù)安全。
9.網(wǎng)絡(luò)的重要性
AWS的服務(wù)支撐了各種各樣的負(fù)載場(chǎng)景。從高并發(fā)處理到視頻轉(zhuǎn)碼,從高性能并行計(jì)算到海量的網(wǎng)絡(luò)請(qǐng)求。這些不同的負(fù)載場(chǎng)景,對(duì)網(wǎng)絡(luò)的要求也各不相同。
關(guān)于數(shù)據(jù)中心的設(shè)計(jì)和運(yùn)營(yíng),AWS開(kāi)發(fā)了一套獨(dú)特的機(jī)制,這套機(jī)制提供了靈活的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,以便滿足任何用戶的不同負(fù)載場(chǎng)景的需求。在這個(gè)過(guò)程中,我們也認(rèn)識(shí)到,為了讓用戶達(dá)成自身的目標(biāo),我們必須開(kāi)發(fā)自己的網(wǎng)絡(luò)解決方案。這樣也能滿足我們自身的一些定制化的需求,比如在保證高安全性的同時(shí),通過(guò)網(wǎng)絡(luò)來(lái)隔離用戶的能力。
AWS自主開(kāi)發(fā)的這套軟硬件解決方案,也能給用戶帶來(lái)進(jìn)一步的性能提升。關(guān)于這一點(diǎn),有一個(gè)成功的例子,那就是虛擬機(jī)之間的網(wǎng)絡(luò)通信。由于網(wǎng)絡(luò)通信是一個(gè)共享的資源,在使用AWS自己定制的解決方案之前,用戶時(shí)常會(huì)遇到網(wǎng)路擁堵的問(wèn)題。最終,AWS通過(guò)開(kāi)發(fā)支持單個(gè)根IO虛擬化技術(shù)的NIC,實(shí)現(xiàn)了給每個(gè)虛擬機(jī)虛擬出自己的NIC的解決方案。這一改動(dòng)成倍地降低了網(wǎng)絡(luò)延遲,同時(shí)提升了高達(dá)十倍的網(wǎng)絡(luò)性能。
10.不設(shè)限,保持平臺(tái)的中立與開(kāi)放
隨著時(shí)間的推移,AWS團(tuán)隊(duì)提供了越來(lái)越多的服務(wù)和功能,這也給我們的用戶創(chuàng)造了一個(gè)廣闊的開(kāi)發(fā)平臺(tái)。但是AWS遠(yuǎn)不止我們團(tuán)隊(duì)開(kāi)發(fā)的這些功能與服務(wù),一些合作伙伴基于AWS提供的服務(wù)進(jìn)一步擴(kuò)大和豐富了整個(gè)系統(tǒng)的生態(tài)。比如,我們的合作伙伴Stripe提供的支付服務(wù)得以讓Twilio在AWS上支持電話業(yè)務(wù)。
很多用戶基于AWS本身的服務(wù),開(kāi)發(fā)出自己的產(chǎn)品,用于解決特定的垂直領(lǐng)域的問(wèn)題。比如,飛利浦開(kāi)發(fā)了用于健康數(shù)據(jù)管理的Health suite數(shù)字平臺(tái);Ohpen則基于AWS開(kāi)發(fā)出自己的零售銀行平臺(tái);EagleGenomics開(kāi)發(fā)了自己的計(jì)算平臺(tái)用于基因處理等等,這樣的例子不勝枚舉。AWS并不會(huì)限制我們的合作伙伴,規(guī)定他們什么可以做什么不可以做。“不設(shè)限”的原則釋放了創(chuàng)新的動(dòng)力,為意想不到的創(chuàng)新敞開(kāi)了大門。對(duì)于在接下來(lái)的十年里,AWS的團(tuán)隊(duì)會(huì)學(xué)到哪些經(jīng)驗(yàn)教訓(xùn),我們的用戶又會(huì)創(chuàng)造出什么樣的價(jià)值,我充滿了期待。永遠(yuǎn)記得,對(duì)AWS來(lái)說(shuō),這僅僅是一個(gè)新的開(kāi)始。
