هندسة الفوضى والمرونة

منهجية الفوضى

18 دقيقة الدرس 2 من 27

منهجية الفوضى

كثيراً ما يُساء فهم هندسة الفوضى على أنها "كسر أشياء عشوائياً ومشاهدة ما يحدث." هذا التصوير خطير — فهو يصف تخريباً لا علماً. الممارسة التي تُشغّلها Netflix وGoogle وAWS وMicrosoft في الإنتاج لها بنية صارمة وقابلة للتكرار. كل تجربة تتبع نفس الحلقة: تعريف الحالة الطبيعية، صياغة فرضية، تقييد نطاق الانفجار، تشغيل التجربة مع شرط الإجهاض، والتعلم. يُشرّح هذا الدرس كل مكوّن من مكونات تلك الحلقة ويُريك كيف تُنفّذها على نطاق الإنتاج.

الحالة المستقرة: خط الأساس الذي تحميه

لا تبدأ تجربة الفوضى بحقن الأعطال. تبدأ بتعريف دقيق لما تبدو عليه الحالة الطبيعية للنظام قيد الاختبار. هذه هي الحالة المستقرة (Steady State) — وصف قابل للقياس والمراقبة لسلوك النظام حين لا يوجد خطأ.

الحالة المستقرة الجيدة ليست "الخدمة تعمل." هذه عبارة غير قابلة للملاحظة ولا معنى لها. الحالة المستقرة على مستوى الإنتاج هي مجموعة من قراءات SLI مُحددة رقمياً مأخوذة خلال نافزة زمنية ممثِّلة (عادةً 30 دقيقة إلى ساعة من حركة المرور):

معدل نجاح الطلبات: مثلاً، 99.97% من استجابات HTTP هي 2xx خلال نافزة متحركة مدتها 5 دقائق
مئينيات زمن الاستجابة: p50 < 80 مللي ثانية، p99 < 400 مللي ثانية عند الحمل الحالي
معدل استهلاك ميزانية الخطأ: مثلاً، استهلاك أقل من 0.5% من الميزانية الشهرية لمدة 30 يوماً في الساعة
عمق قائمة الانتظار أو مستوى التشبع: مثلاً، تأخر مستهلك Kafka أقل من 10,000 رسالة لكل قسم
سلامة الخدمات المنبثقة: الخدمات التابعة تُبلّغ عن معدل خطأ أقل من 0.1% لهذه الخدمة

الفكرة الأساسية: يجب التعبير عن الحالة المستقرة بنفس المقاييس التي تتتبعها SLOs بالفعل — لأن معيار نجاح التجربة هو "الحفاظ على الحالة المستقرة رغم العطل المُحقَن." إن لم تستطع تعريف الحالة المستقرة، لن تستطيع استخلاص أي شيء من التجربة. تسجيل الأساس قبل كل تشغيل أمر غير قابل للتفاوض، حتى لو كان النظام مستقراً لأسابيع.

عملياً، تستعلم عن Prometheus أو Datadog عند بدء التجربة، وتسجل القيم، وتقارنها أثناء وبعد حقن الأعطال. تُوفّر كثير من منصات الفوضى (Gremlin، AWS Fault Injection Service) خطاف "فحص فرضية الحالة المستقرة" الذي يُشغّل هذه الاستعلامات تلقائياً ويوقف التجربة إن لم تتحقق الشروط المبدئية.

# مثال: التقاط أساس الحالة المستقرة عبر Prometheus قبل التجربة.
# شغّل هذا الاستعلام قبل 5 دقائق من بدء حقن الأعطال.

# معدل النجاح (آخر 10 دقائق، خدمة gateway)
curl -sG 'http://prometheus:9090/api/v1/query' \
  --data-urlencode 'query=sum(rate(http_requests_total{job="gateway",code=~"2.."}[10m])) / sum(rate(http_requests_total{job="gateway"}[10m]))' \
  | jq '.data.result[0].value[1]'

# زمن الاستجابة p99 (آخر 10 دقائق)
curl -sG 'http://prometheus:9090/api/v1/query' \
  --data-urlencode 'query=histogram_quantile(0.99, sum by(le) (rate(http_request_duration_seconds_bucket{job="gateway"}[10m])))' \
  | jq '.data.result[0].value[1]'

# احفظ القيم في بيانات وصف التجربة.
# قارن هذه القيم الدقيقة مع القراءات المأخوذة أثناء حقن الأعطال.

الفرضية: قابلة للدحض لا تطلعية

بتعريف الحالة المستقرة، الخطوة التالية هي صياغة فرضية — ادعاء محدد قابل للدحض حول كيفية تصرف النظام عند إدخال ظرف عطل معين. الفرضية هي قلب المنهج العلمي المُطبَّق على البنية التحتية.

للفرضية ثلاثة أجزاء:

العطل: وصف دقيق لما تحقنه (مثلاً، "نقتل عقدة Cassandra واحدة من أصل 3 في us-east-1a")
السلوك المتوقع: توقع مبني على بنيتك وأنماط المرونة (مثلاً، "مسار القراءة سيُعيد التوجيه إلى العقد الناجية؛ مستوى الاتساق ONE سيُحفظ")
النتيجة القابلة للقياس: مقاييس الحالة المستقرة تبقى ضمن حدود SLO (مثلاً، "معدل النجاح يبقى فوق 99.9% وp99 يبقى تحت 500 مللي ثانية خلال نافزة العطل")

مصيدة إنتاجية — فخ الفرضية التطلعية: الفرق الجديدة على هندسة الفوضى تكتب فرضيات كـ "النظام سيكون مرناً." هذه ليست فرضية؛ إنها أمنية. الفرضية الحقيقية يجب أن تكون قابلة للدحض — يجب أن يوجد دليل ملاحظ قد يُثبت خطأها. إن لم تكن فرضيتك قابلة للدحض، تجربتك لن تُعلّمك شيئاً. اكتب فرضيات قد تفشل فيها بنيتك فعلاً.

تُجبرك الفرضية أيضاً على توضيح سبب اعتقادك بأن النظام سيصمد. إن لم تستطع شرح الآلية (تشغيل قاطع الدائرة، امتصاص ميزانية إعادة المحاولة، استلام النسخة الاحتياطية)، فأنت لا تفهم النظام بما يكفي لتصميم التجربة بأمان. تلك الفجوة نفسها هي نتيجة.

نطاق الانفجار: تقييد مظروف الضرر

نطاق الانفجار (Blast Radius) هو أقصى نطاق تأثير يُسمح للتجربة بإحداثه — من حيث المستخدمين المتأثرين والخدمات المعطّلة والبيانات في خطر والإيرادات المعرّضة. التحكم في نطاق الانفجار هو الانضباط الهندسي الذي يُميّز هندسة الفوضى عن التوقف المتهور.

لنطاق الانفجار بُعدان:

المكاني: أي مكوّنات أو أمثلة أو مناطق أو شرائح مستخدمين ضمن النطاق. تجربة تستهدف نسخة واحدة من 5 لها نطاق انفجار مكاني أصغر بكثير من واحدة تستهدف منطقة توفر كاملة.
الزماني: مدة استمرار العطل. حقن 5 دقائق عند 2% من حركة المرور هو نطاق انفجار مختلف جداً عن حقن 30 دقيقة عند 100% من حركة المرور.

أفضل ممارسة الإنتاج من Netflix وGoogle: ابدأ التجارب بـ 1% من حركة المرور أو مثيل واحد من N، وسّع النطاق فقط بعد التأكد من تصرف النظام كما هو مُفترَض على نطاق صغير. أصغر نطاق انفجار يمكنه توليد إشارة ذات معنى هو نقطة البداية الصحيحة. تشمل ضوابط نطاق الانفجار الشائعة:

Feature flags / ظلال حركة المرور: حقن أعطال فقط لمجموعة canary (مثلاً، 1% من المستخدمين الموجَّهين عبر علامة LaunchDarkly)
استهداف المثيلات: اختر pod واحداً أو مثيل EC2 واحداً بالتسمية بدلاً من نشر كامل
النافزة الزمنية: شغّل فقط خلال فترات انخفاض حركة المرور (مثلاً، 02:00–04:00 UTC في أيام الأسبوع) لتقليل تعرض المستخدمين
جاهزية التراجع: احتفظ بأمر تراجع بأمر واحد جاهزاً قبل بدء التجربة — مثلاً، kubectl rollout undo أو استعادة مساحة عمل Terraform

ممارسة احترافية: وثّق نطاق الانفجار في تذكرة التجربة قبل تشغيل أي شيء. جملة واحدة مثل "هذه التجربة تؤثر على 2% بحد أقصى من حركة مرور الدفع لمدة 10 دقائق بحد أقصى في us-east-1" تُجبر على الوضوح وتُنشئ سجل مراجعة. في الشركات الخاضعة للتنظيم (SOC 2، PCI-DSS)، هذه الوثائق متطلب امتثال — مجلس إدارة التغييرات يحتاجها قبل الموافقة على نافزة التجربة.

شروط الإجهاض: شبكة الأمان للتجربة

شروط الإجهاض (Abort Conditions) هي معايير مُعرَّفة مسبقاً تُقيَّم تلقائياً وتنهي التجربة فوراً وتُشغّل التراجع إذا كان النظام ينحرف عن الحالة المستقرة بشكل أسرع مما هو متوقع. إنها أهم آلية أمان في هندسة الفوضى.

التمييز بين فرضية الحالة المستقرة وشروط الإجهاض مهم:

الفرضية تُعرّف كيف يبدو النجاح — المقاييس تبقى ضمن حدود SLO رغم العطل.
شروط الإجهاض تُعرّف كيف يبدو "الأمر يخرج عن السيطرة" — المقاييس تتجاوز حداً صارماً يُشير إلى ضرر حقيقي للمستخدم، لا مجرد تدهور مثير للاهتمام.

عادةً ما تُضبط شروط الإجهاض عند حد أسوأ من الفرضية لكن أفضل من توقف كامل:

معدل النجاح ينخفض دون 99.0% (الفرضية: يبقى فوق 99.9%؛ حد SLO الفعلي: 99.5%)
زمن الاستجابة p99 يتجاوز 2,000 مللي ثانية (الفرضية: يبقى تحت 500 مللي ثانية)
تشغيل منبّه المناوب (أي تصعيد تنبيه PagerDuty في الخدمة المتأثرة خلال النافزة)
معدل حرق ميزانية الخطأ يتجاوز حد الحرق السريع (مثلاً، معدل 14.4x الذي سيستنفد الميزانية الشهرية في ساعة)
خدمة تابعة (المدفوعات، المصادقة) تُبلّغ عن معدلات خطأ مرتفعة — مما يُشير إلى أن نطاق الانفجار قد فرّ من نطاقه المقصود

حلقة تجربة الفوضى (مُوضَّحة بالرسم)

المكوّنات الأربعة — الحالة المستقرة والفرضية ونطاق الانفجار وشروط الإجهاض — تُشكّل حلقة مغلقة. يُبيّن الرسم البياني أدناه كيف ترتبط وكيف يتدفق التحكم أثناء تجربة حية.

حلقة تجربة الفوضى: تتدفق الحالة المستقرة إلى تعريف الفرضية ونطاق الانفجار، ثم حقن الأعطال مع مراقبة مستمرة. تتحكم شروط الإجهاض في مسار التراجع؛ الفرضية الناجحة تؤدي إلى التعلم وتوسيع النطاق.

تنفيذ شروط الإجهاض عملياً

يجب فرض شروط الإجهاض تلقائياً، لا الاعتماد على يقظة الإنسان. المهندس الذي يُشغّل التجربة قد يُراقب 5 لوحات قيادة في آنٍ واحد؛ سيفوته الارتفاع المفاجئ. تُقيّم منصات الفوضى الحديثة شروط الإجهاض بفاصل استطلاع (عادةً 10–30 ثانية) وتوقف الحقن تلقائياً. إن كنت تُشغّل تجارب بدون منصة، اربط منطق الإجهاض في دليل التشغيل كفحص صحي مكتوب:

#!/usr/bin/env bash
# abort-check.sh — شغّله كل 15 ثانية خلال تجربة الفوضى.
# إذا أُطلق أي شرط إجهاض، استدعِ دالة الإيقاف واخرج بـ 1.

PROMETHEUS="http://prometheus:9090"
EXPERIMENT_ID="${1:?must pass experiment ID}"

stop_experiment() {
  echo "ABORT: $1 — stopping fault injection"
  # أمر الإيقاف الخاص بالمنصة؛ استبدله بأدواتك:
  # gremlin halt --experiment-id "$EXPERIMENT_ID"
  # aws fis stop-experiment --experiment-id "$EXPERIMENT_ID"
  exit 1
}

# شرط الإجهاض 1: معدل النجاح أقل من 99.0%
SUCCESS_RATE=$(curl -sG "$PROMETHEUS/api/v1/query" \
  --data-urlencode 'query=sum(rate(http_requests_total{job="gateway",code=~"2.."}[5m])) / sum(rate(http_requests_total{job="gateway"}[5m]))' \
  | jq -r '.data.result[0].value[1]')

if (( $(echo "$SUCCESS_RATE < 0.990" | bc -l) )); then
  stop_experiment "success rate ${SUCCESS_RATE} is below 0.990 abort threshold"
fi

# شرط الإجهاض 2: زمن الاستجابة p99 فوق 2000 مللي ثانية
P99=$(curl -sG "$PROMETHEUS/api/v1/query" \
  --data-urlencode 'query=histogram_quantile(0.99,sum by(le)(rate(http_request_duration_seconds_bucket{job="gateway"}[5m]))) * 1000' \
  | jq -r '.data.result[0].value[1]')

if (( $(echo "$P99 > 2000" | bc -l) )); then
  stop_experiment "p99 latency ${P99}ms exceeds 2000ms abort threshold"
fi

echo "Abort check PASSED at $(date -u +%H:%M:%SZ) — success_rate=$SUCCESS_RATE p99=${P99}ms"

ممارسة احترافية — انضباط "دليل التشغيل أولاً": قبل تشغيل أي تجربة في الإنتاج، اكتب دليل التشغيل الكامل: قيم أساس الحالة المستقرة، بيان الفرضية الدقيق، حدود نطاق الانفجار، حدود الإجهاض مع استعلامات Prometheus الخاصة بها، وإجراء التراجع بأمر واحد. يُراجَع دليل التشغيل في جلسة مزامنة قبل التجربة مع مهندس المناوب. في Google وNetflix، لا تُشغَّل أي تجربة فوضى بدون وعي المناوب وقناة تواصل مشتركة مفتوحة خلال النافزة. هذا ليس بيروقراطية — هو الفارق بين حدث تعلم مُخطَّط وتوقف غير مخطط.

لماذا تتفوق الحلقة على الحدس في كل مرة

منهجية الفوضى ليست مجرد عبء عملياتي — إنها الآلية التي تُحوّل الشعور بالحدس حول مرونة النظام إلى دليل تجريبي. قبل التجربة، تعتقد أن قاطع الدائرة يتعامل مع فقدان عقدة Cassandra. بعد تجربة منظّمة بشكل صحيح، تعلم — بنطاق انفجار محدد، تحت حمل مقاس، في بيئة الإنتاج الفعلية — ما إذا كانت تفعل ذلك أم لا. الفجوة بين الاعتقاد والمعرفة هي بالضبط الفجوة التي تُغلقها هندسة الفوضى.

على نطاق Google SRE، تُعامَل كل فرضية يُدحض فيها كنتيجة إنتاج ذات أولوية عالية. التجربة الفاشلة هدية: كشفت هشاشة فاتها مراجعة البنية واختبار الحمل ومراجعة الكود. تكلفة اكتشافها في تجربة مُتحكَّم بها هي جزء بسيط من تكلفة اكتشافها خلال حادثة فعلية في الساعة الثالثة صباحاً مع تأثر العملاء ورسائل المديرين.