第五章 质量属性之可用性

当系统不再提供与其规范一致的服务时，故障就发生了，可用性就是指系统修复故障的能力，它关注的方面包括如何检测系统故障，系统故障发生的频度，出现故障发生什么情况，允许系统有多长时间非正常运行，什么时候可以安全地出现故障等。

衡量系统的可用性可以用公式 MTBF／(MTBF+MTTR)，其中MTBF为系统出错的时间间隔也就是平均正常工作时间，而MTTR表示系统修复错误用的时间。当然上面的公式计算出的结果越大表示系统的可用性越好。

故障和错误的区别是：如果不对错误采取解决措施，错误最终就会变成系统故障。

可用性的一般场景

• 源

  系统内部，系统外部：人，硬件，软件，物理架构，物理环境

• 刺激(触发事件)

  错误：疏忽，崩溃，时间，响应

• 制品

  系统的处理器，通信通道，持久存储器，进程

• 环境

  正常操作，启动，关闭，修复模式，降级操作，过载操作

• 响应

  • 在错误变成故障之前，检测出错误
    • 记录错误
    • 通知相关的人和系统
  • 从故障中进行修复
    • 禁止导致故障的事件源
    • 在一段预先制定的时间间隔内不可用，在这段时间内对系统进行检修
    • 对错误或者故障进行修复，或者就用鸵鸟策略让它处于故障不做处理当作故障没有发生
    • 进行降级操作

• 响应度量

  • 系统必须可用的时间间隔
  • 可用性(以百分比的形式)
  • 检测故障的时间
  • 修复故障的时间
  • 系统可以在降级模式下运行的时间
  • 系统不用当机就可以从错误中恢复的比例

可用性战术

• 就像上面说的，错误可能会导致故障的发生，而可用性战术将会阻止错误发展成为故障，至少能把错误的影响限制在一定范围内，从而使修复成为可能。

  错误->控制可用性的战术->所屏蔽的错误或所做的修复

  下面主要就是讨论的可用性战术就主要针对错误的检测，错误的恢复和错误的预防

• 错误的检测

  • Ping/echo

    通过系统监视器发出Ping请求来探测服务的通信路径是不是通的，某个组件是不是还在工作。

  • 监视(Monitor)

    通过使用一个监视器的组件来检测其他组件的健康状况。

  • 心跳(Heartbeat)

    通过组建定区发出一个心跳信息，来主动的告诉系统它正在工作。

  • 时间戳(Time stamp)

    这个策略是用来探测事件到达的顺序

  • 健康检测(sanity checking)

    检测组件的某一个操作或者输出的有效性

  • 条件监视(Condition monitoring)

    对特定条件进行检测，比如检验和。

  • 投票(Voting)

    使用冗余的组件做同一件事情，以相同的输入，如果产生不同的输出，则忽略少数，采纳多数的结果。

  • 异常检测(Exception detection)

    对保证系统正常运行的条件的检测

  • 自检(Self-test)

    对自身资源，依赖库和硬件的检测

• 从错误中恢复

  有的时候不一定从一开始就检测到有错误发生，那就需要在错误发生后有恢复机制，恢复机制包括以下两种形式。

  • 准备和修复策略(Preparation and repair tactics)

    • 在运行过程中同时处理所有备份和主模块(Active redundancy)

      虽然只是把主模块展示给客户，但备份的组件也在运行，和主模块保持同步

    • 定期对备份进行更新(Passive redundancy)

      主模块在运行的过程中，不要求备份的数据实时和主模块保持一致，而是定期对备份的数据进行更新

    • 冷处理(Spare)

      表示不会对备份进行更新，只是在主模块当掉的时候，启用备份，意味着从头开始，因为备份没有任何同步的数据

    • 异常处理

      当检测到有异常发生时，针对这个异常有一定的措施，不至于异常导致错误使整个系统都不能正常工作

    • 回滚(rollback)

      就是让系统回滚到之前好的版本运行

    • 软件升级(software upgrade)

      不停止服务的对软件进行升级，来满足对新特性和可用性的支持

    • 重试(Retry)

    • 忽略错误的行为(ignore faulty behavior)

    • 退化操作(degradation)

      只保持重要功能部分，这样保证出现的只是部分功能性问题，不会影响整个系统

    • 重新配置(Reconfiguration)

  • 在从错误中恢复后进行重启(Reintroduction)

    • shadow

      在正式加入系统前，先尝试运行，并对这段时间的运行过程进行监控和修正

    • 状态重新同步

      适用于前面讲的active redundancy 和 passive redundancy

    • 逐步重启(Escalation)

    • Non-stop-forwarding

      就是在不停止对外服务的情况下，对部分功能进行重启

• 错误的预防

  相比于检测系统发生的错误和发生错误后对系统的恢复来说，也可以从一开始就禁止错误的发生

  • 直接从服务中将某个部件移除

  • 事务

    参考数据库出错的恢复机制，就是记录系统的一系列的步骤，出错了可以有序的撤销

  • 预测模型

    通过监控系统的健康状况来保证系统正在正常的方向上运行，一旦出错，立即停止

  • 阻止异常

    使用try-catch，这样即使发生了异常，系统自动执行catch中的操作，保证系统正常运行

  • 增加系统的能力

    增强系统处理各种错误异常的能力，确保在不报错和异常的情况下坚强的运行下去