3.2.4 故障演练及冬奥实践

线上问题发生的概率很小，但我们不能等真实问题发生后来验证监控和应急能力，日常就应该完成验证。在故障演练中，我们模拟线上真实发生问题的场景，以检测我们的系统快恢能力和故障应急流程。对于任何一个大型赛事活动，故障演练都是必要的。

故障演练一般可以分为如下三个部分：

设计故障：这是最重要的部分，设计的故障要能贴合真实的场景，才能产生演练价值。通常情况下可以从实际发生过的历史故障库出发去设计。故障可以根据严重性划分为轻型、中型、重大等级别。典型的轻型故障举例：高可用SLB单可用区服务宕机、单台ECS宕机、CDN单节点异常等；典型的中型故障举例：单宿主机上批量ECS宕机、IDC机房单路掉电、特定产品控制台不可用、物理专线设备宕机等；典型的重大故障举例：IDC机房多路掉电机器全宕、可用区核心网络设备主备光缆全断、大规模DDoS攻击导致可用区级出口带宽打挂等。那么在设计故障时，也应区分不同的级别等级，以检查系统在不同级别下的恢复能力。

故障注入：我们不可能在生产环境下实际触发故障，那么就需要对应的手段真实模拟线上故障。为此可以有两种方法，其一是在安全生产环境直接触发故障，安全生产环境可以是99%的模拟流量和1%的线上流量，这样影响范围可控，而且可以根据需要调整线上流量比例，比如模拟重大故障时把线上流量关闭；其二是故障模拟系统，一般是和产品监控告警系统一同开发，可以注入并不存在的故障触发产品侧监控告警，以模拟真实场景。

故障处理与复盘：在注入故障后需要观察系统快恢自愈能力，以及演练故障处理流程，针对产品或者流程暴露的问题做针对性的复盘。产品问题一般性为不触发流量切换、流量切换延迟、主备切换不合预期、宕机未自动迁移拉起等。故障处理流程我们将在"保障阵型与流程管理"这个章节详细描述。在北京冬奥，我们一共做了若干次故障演练，得益于阿里云完善的故障管理体系，我们有可以直接注入模拟故障的故障模拟系统，和一整套故障处理流程规范。其中典型的几次如下：

通过故障演练，我们检查了系统快恢能力，及整套故障处理流程规范的应急动作熟练度，为赛时的快速故障处理打下了良好的基础。