هندسة الفوضى والمرونة

أنماط الصمود المُثبَتة بالفوضى

18 دقيقة الدرس 8 من 27

أنماط الصمود المُثبَتة بالفوضى

المهلات الزمنية وعمليات إعادة المحاولة والحواجز الوقائية وآليات التراجع ليست مجرد أماني — بل هي عقود هندسية. تكتب الكود، تدمج طلب السحب، وتشعر بالثقة. لكن هذه الثقة لا أساس لها حتى تُثبت تجربة الفوضى أن النمط يعمل فعلاً في ظروف الفشل الحقيقية وعلى نطاق الإنتاج. هذا الدرس يتناول كل واحد من الأنماط الأربعة الأساسية للصمود، ويشرح شكل تجربة الفوضى بالضبط، ويوضح كيفية تفسير الأدلة.

لماذا "مُهيَّأ" لا يعني "يعمل"

أخطر كلمة في دليل تشغيل الأنظمة الموزعة هي يُفترض. "يُفترض أن يفتح قاطع الدائرة بعد خمسة أعطال متتالية." "يُفترض أن تمنع المهلة الزمنية استنفاد خيوط المعالجة." هذه فرضيات. تعامل فرق SRE في الشركات الكبرى كل آلية صمود باعتبارها فرضية حتى تُفنّدها أو تُثبتها تجربة. ثلاثة أسباب شائعة لفشل نمط مُهيَّأ بصمت في بيئة الإنتاج:

الإعدادات الافتراضية للمكتبات تتجاوز إعدادات التطبيق. عميل HTTP بلغة Java لديه مهلة مقبس على مستوى النظام تساوي صفرًا (يحجب إلى الأبد) تتجاوز بصمت المهلة على مستوى التطبيق التي ضبطتها في تجمع الاتصالات.
المسار الآمن لا يُختبر أبدًا. قاطع دائرة مُهيَّأ في بيئة التطوير بحركة اصطناعية لا يصل أبدًا إلى عتبة الفشل لأن الطلبات الاصطناعية لا تُعيد إنتاج نمط الفشل المتقطع والمترابط لحركة الإنتاج الحقيقية.
السلوك يتغير عبر إصدارات المكتبات. ترقية Resilience4j في تبعية انتقالية غيّرت بصمت دلالات النافذة المنزلقة من قائمة على العدد إلى قائمة على الوقت، مما أعاد ضبط محاسبة الأعطال ومنع القاطع من الفتح نهائيًا.

المبدأ الجوهري: كل نمط صمود له ثلاث حالات: مكتوب، مُهيَّأ، ومُثبَت. فقط الحالة الثالثة تعطيك الحق في وضعه في خطة الدفاع عن مستوى الخدمة (SLO). تجارب الفوضى تنقل الأنماط من "مُهيَّأ" إلى "مُثبَت".

المهلات الزمنية: إثبات أن السيف له حد

مهلة زمنية بدون تحقق مجرد زينة. تجربة الفوضى للمهلات تستخدم حقن تأخر الشبكة لإجبار التبعية على تجاوز موعدك النهائي والتحقق من أن المُستدعي يتوقف بشكل نظيف ويسجل المقاييس الصحيحة.

# حقن تأخر 6 ثوانٍ على المنفذ 8080 باستخدام tc (التحكم في حركة مرور Linux)
# نفّذ هذا على المضيف حيث يمكن الوصول إلى الخدمة الأدنى
sudo tc qdisc add dev eth0 root handle 1: prio
sudo tc qdisc add dev eth0 parent 1:3 handle 30: netem delay 6000ms
sudo tc filter add dev eth0 protocol ip parent 1:0 prio 3 u32 \
  match ip dport 8080 0xffff flowid 1:3

# راقب في سجلات خدمتك — يجب أن ترى خطأ مهلة في غضون ~2 ثانية
# ثم التنظيف
sudo tc qdisc del dev eth0 root

ما تؤكده: أن المهلة الفعلية التي تلاحظها خدمتك تتطابق مع القيمة التي تعتقد أنك هيأتها؛ وأن الخطأ مصنَّف بشكل صحيح (مهلة مقابل رفض الاتصال)؛ وأن الامتداد في التتبع الموزع لديك يحمل رمز الحالة الصحيح؛ وأن النظام الأدنى لم يُبقَ فيه طلب معلق يستهلك خيوط معالجته.

الفخ الكلاسيكي في الإنتاج هو توارث المهلة: استدعاء gRPC داخل دالة Lambda استنفدت فيها 900 مللي ثانية من ميزانية 1000 مللي ثانية لا يرث تلقائيًا الـ 900 مللي ثانية المتبقية كمهلة أدنى. بدون نقل صريح للموعد النهائي (سياقات مواعيد gRPC، ترويسات HTTP X-Request-Timeout)، يستخدم الاستدعاء الأدنى مهلته الكاملة المُهيَّأة وتنتهي مهلة Lambda أولاً — تاركةً الخدمة الأدنى تؤدي عملاً مُكلفاً لمستدعٍ استسلم بالفعل.

فخ الإنتاج: اختبر المهلات من الطرفين. التجربة التي تتحقق فقط من منظور المُستدعي تُفوّت الحالات التي يظل فيها اتصال جانب الخادم في حالة CLOSE_WAIT، مما يراكم واصفات الملفات ويُجوّع في نهاية المطاف تجمع اتصالات الخادم حتى لو اعتقد المُستدعي أن الاستدعاء انتهى.

إعادة المحاولة: تأكيد الاستدامة وشكل التراجع الأسي

إعادة محاولة تعمل بشكل صحيح لا تزال قادرة على تدمير خدمة أدنى أثناء انقطاع جزئي إذا لم تطبق التراجع الأسي مع عشوائية. تجربة الفوضى لإعادة المحاولة تستخدم وكيل حقن الأخطاء (Toxiproxy أو حقن الأخطاء في Envoy أو VirtualService في Istio) لإرجاع استجابات 503 لنسبة مئوية مُهيَّأة من الطلبات ثم قياس شيئين: توزيع عدد إعادة المحاولة التي تضرب الخدمة الأدنى، والوقت اللازم للتعافي بالنسبة للخدمة المُستدعية.

# Toxiproxy: إنشاء وكيل وإضافة سُم تأخر وخطأ
toxiproxy-cli create --listen 0.0.0.0:21212 --upstream payment-svc:8080 payment-proxy
toxiproxy-cli toxic add payment-proxy --type limit_data --toxicName reset_peer \
  --attribute bytes=0 --upstream

# حقن أخطاء على مستوى المسار في Envoy (حقن 30% من أخطاء 503 مع تأخر 2 ثانية على 10%)
# المكافئ في VirtualService لـ Istio:
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: payment-fault
spec:
  hosts:
  - payment-svc
  http:
  - fault:
      abort:
        percentage:
          value: 30
        httpStatus: 503
      delay:
        percentage:
          value: 10
        fixedDelay: 2s
    route:
    - destination:
        host: payment-svc

ما تتحقق منه: وجود العشوائية (عاصفة إعادة المحاولة لا تنتج ارتفاعاً متزامناً يظهر كموجة منشارية في رسم بياني RPS)؛ أن إجمالي عدد إعادة المحاولة لكل طلب أصلي محدود؛ أن مفاتيح الاستدامة تُمرَّر بشكل صحيح حتى لا يُجري طلب شحن مُعاد محاولته رسوماً مضاعفة؛ وأن قائمة الرسائل الميتة (أو قاطع الدائرة) يلتقط الطلبات التي استنفدت كل محاولات إعادة التجربة.

الحواجز الوقائية: إثبات احتواء نطاق الأضرار

الحاجز الوقائي يعزل تجمعات الموارد حتى لا تتمكن خدمة بطيئة أو فاشلة من استنفاد الموارد المشتركة والتسلسل إلى وظائف غير ذات صلة. التنفيذ الكلاسيكي هو تجمعات خيوط أو تجمعات اتصالات منفصلة لكل تبعية أدنى. تتحقق تجربة الفوضى من أنك عندما تُشبع تجمعاً واحداً، تستمر التجمعات الأخرى في خدمة حركة المرور بشكل طبيعي.

نمط الحاجز الوقائي: إشباع تجمع خيوط الدفع لا يُجوّع تجمعات المصادقة أو الكتالوج — يبقى نطاق الأضرار محصوراً في حاجز واحد.

تجربة الفوضى: استخدم stress-ng أو مولد حمل مخصص لإشباع عمق قائمة انتظار التجمع A أثناء إرسال حركة مرور عادية إلى نقاط نهاية التجمعين B وC في آنٍ واحد. معايير النجاح: تبقى معدلات أخطاء التجمعين B وC دون عتبة SLO؛ يُرجع التجمع A استجابة 429 Too Many Requests أو خطأ ذو معنى (وليس مهلة)؛ ويُظهر عدد الخيوط في مقاييس JVM أو Go أن التجمع A مُثبَّت عند سقفه بينما يتمتع التجمعان B وC بهامش.

نظرة ثاقبة في الإنتاج: في Google وAmazon، لا يُحدَّد حجم تجمعات الحواجز الوقائية بالحدس — بل يُشتق من بيانات اختبارات التحميل عند 2x لذروة طلبات الثانية (RPS) لكل فئة تبعية. تجمع صغير جداً يُشغّل الحاجز في ظل الحمل الطبيعي (إيجابي كاذب). تجمع كبير جداً يُبطل العزل بالسماح لتبعية واحدة باستهلاك معظم الخيوط المتاحة. تجارب الفوضى عند 1.5x–2x ذروة الحمل تُصادق على الحجم قبل أن تصل حركة المرور إلى تلك المستويات بشكل طبيعي.

التراجع: التحقق من التدهور الرشيق

التراجع هو سلوك متدهور متفق عليه مسبقاً: تقديم استجابة مخزنة مؤقتاً، أو إرجاع قيمة افتراضية، أو تعطيل ميزة غير حيوية، أو التوجيه إلى مصدر بيانات ثانوي. تجربة الفوضى تقتل المسار الأساسي تماماً وتتحقق من أن التراجع يُنفَّذ ويُرجع نتيجة مفيدة ويُولّد الإشارات الصحيحة للمراقبة حتى يعلم مهندسو الاستعداد أنهم في وضع التدهور.

# تجربة Chaos Toolkit: إيقاف خدمة التوصيات والتحقق من
# أن الصفحة الرئيسية لا تزال تُعرض مع الاحتياطي الثابت "العناصر الشائعة"
# chaos-experiment-fallback.json
{
  "title": "Recommendation service outage triggers static fallback",
  "description": "Kill recommendation-svc pod; assert homepage P99 < 500ms and 0 500-errors",
  "steady-state-hypothesis": {
    "title": "Homepage healthy",
    "probes": [
      {
        "type": "probe",
        "name": "homepage-ok",
        "tolerance": 200,
        "provider": {
          "type": "http",
          "url": "https://staging.example.com/en",
          "timeout": 3
        }
      }
    ]
  },
  "method": [
    {
      "type": "action",
      "name": "kill-recommendation-svc",
      "provider": {
        "type": "process",
        "path": "kubectl",
        "arguments": "delete pod -l app=recommendation-svc -n production"
      }
    }
  ],
  "rollbacks": [
    {
      "type": "action",
      "name": "restore-deployment",
      "provider": {
        "type": "process",
        "path": "kubectl",
        "arguments": "rollout restart deployment/recommendation-svc -n production"
      }
    }
  ]
}

ما وراء تأكيد تنفيذ التراجع، تحقق من ثلاثة أمور دقيقة: استجابة التراجع موسومة في طبقة المراقبة (ترويسة مخصصة، تسمية مقياس، حقل سجل) حتى تُظهر لوحات المعلومات حركة مرور وضع التدهور؛ والتراجع نفسه لا يستدعي خدمة أدنى قد تكون هي أيضاً متدهورة؛ والنظام يتعافى تلقائياً عند استعادة المسار الأساسي — تراجع يتطلب مسح ذاكرة التخزين المؤقت يدوياً أو نشر تطبيق للخروج منه هو حادثة تشغيلية في انتظار الحدوث.

تركيب التجربة: من الحالة المستقرة إلى الدليل

كل تجربة نمط تتبع نفس المسار العلمي: تعريف فرضية الحالة المستقرة بعتبات قابلة للقياس (زمن استجابة P99 دون 200 مللي ثانية، معدل خطأ دون 0.1%)، حقن الفشل، مراقبة المقاييس والتتبعات في الوقت الفعلي، وتسجيل ما إذا كانت الحالة المستقرة قد صمدت. الأدلة التي تجمعها — موضّحة في Grafana، أو مُصدَّرة كسجل Chaos Toolkit، أو مسجلة في وثيقة حادثة منظمة — تصبح الأثر الذي يُسوّغ التزاماتك بمستوى الخدمة ومراجعات توقيع هندسة النظام.

عندما يفشل نمط ما في الاختبار، تكون قد وجدت ذهباً: ضعف إنتاجي حقيقي مكشوف في بيئة خاضعة للسيطرة. أرسل المعالجة كمهمة هندسية من الأولوية الأولى، أصلحها، أعد تشغيل التجربة، وفقط عندها ضع علامة على النمط باعتباره مُثبَّتاً. هذه الحلقة — افترض، جرّب، أصلح، أعد التحقق — هي ما يُميّز الفرق الناضجة تشغيلياً عن الفرق ذات النوايا الحسنة فحسب.

إشارة النضج: عندما تتضمن شريحة التخطيط الفصلي لفريق SRE جدول "حالة التحقق من أنماط الصمود" — يُظهر الأنماط المُثبَّتة والمُهيَّأة غير المُثبَّتة والمخطط لها — تكون قد وصلت إلى مستوى من الانضباط التشغيلي حيث هندسة الفوضى متجذّرة في ثقافة الهندسة، لا ممارَسة كنشاط لمرة واحدة.