业务永续:从单点故障到异地多活——服务器高可用架构设计实战指南
凌晨两点十七分,监控大屏上那个跳动了三年的绿色心跳,突然变成了灰色。值班工程师揉揉眼睛,刷新页面,再刷新。五分钟后,他拨通了技术总监的电话:“哥,主库那台机器,好像……起不来了。”三小时后,客服热线被打爆,社交媒体上“XX平台崩了”冲上热搜。一周后的复盘会上,财务给出数字:直接损失370万,间接损失无法估算。
单点故障的代价,往往不是技术问题,而是数学问题。而更残酷的真相是:那台机器迟早会挂。不是今天就是明天,不是硬件故障就是软件bug,不是人为失误就是隔壁机房的挖掘机挖断了光缆。
这不是悲观,这是概率论。
01 高可用不是“不挂”,是“挂了也不怕”
先厘清一个概念:高可用不是追求永不故障——那在物理世界不存在。高可用是追求故障发生时,用户无感知,业务不中断。
业内用两个指标衡量:
RTO(恢复时间目标):从故障发生到业务恢复,需要多久?
RPO(恢复点目标):故障发生时,允许丢失多长时间的数据?
冷备:RTO小时级,RPO天级——适合内部系统
热备:RTO分钟级,RPO秒级——适合大多数在线业务
双活/多活:RTO分钟级,RPO趋近于零——适合核心交易系统
选择哪个,不是技术决策,是成本与风险的商业决策。
02 高可用的四个层级
第一层:硬件冗余——别把鸡蛋放一个篮子
最朴素的高可用:电源坏了有备用电源,网卡坏了有备用网卡,磁盘坏了有RAID。
但这一层有个致命缺陷:服务器本身还是个单点。电源冗余救不了主板烧毁,网卡冗余救不了系统崩溃。
第二层:负载均衡——让多台机器一起扛
引入负载均衡器,流量分散到多台应用服务器。一台挂了,流量切到其他机器。
这里有两个坑:
坑一:负载均衡器自己可能是单点。解决方案:主备模式(Keepalived + VIP)或云厂商的负载均衡服务(本身是多活的)。
坑二:应用无状态化。如果用户的session存在本地,请求切到另一台机器就丢了。所以高可用逼着你做无状态设计——session放Redis,文件放OSS,日志集中采集。
第三层:数据库高可用——最难的那块骨头
应用层可以随便加机器,数据库不行。数据是有状态的,而且是唯一的。
常见的数据库高可用方案:
主从复制:主库写,从库读。主库挂了,手动或自动切换从库为新的主库。问题是:主从延迟可能导致数据丢失。
集群方案:MySQL Group Replication、PostgreSQL Patroni、MongoDB Replica Set。自动选主、自动切换,但配置复杂度上升。
存储层双写:业务层同时写两个数据库,任何一个挂了不影响。代价:业务逻辑复杂,一致性难保证。
一个残酷的真相:大多数号称“高可用”的数据库,切换时都会丢数据或断服务。区别在于:有的丢几条,有的丢几百条;有的断几分钟,有的断半小时。
第四层:异地多活——终极形态
同机房高可用,救不了整个机房断电。同城双活,救不了整个城市地震。所以有了异地多活。
单元化架构:把用户按某个维度(如用户ID)划分到不同的“单元”,每个单元独立部署,有自己的应用、数据库、缓存。单元之间独立对外提供服务。
流量路由:用户请求根据单元规则,路由到对应的单元。单元挂了,流量切换到其他单元。
数据同步:单元之间数据异步同步,或者依赖底层存储的复制能力。
国内某头部电商的双十一大促,就是典型的单元化架构。他们敢把数据库部署在三个城市,就是因为设计之初就接受了“任何一个城市挂掉,业务照常运行”的前提。
03 三个反常识视角
反常识一:高可用不是技术问题,是组织问题
我见过一个公司,技术方案设计得完美无缺:双活架构、自动切换、数据校验。结果第一次故障演练,发现运维不知道切换密码存在哪里,开发不知道如何确认数据一致性。
高可用架构真正的瓶颈,往往不是代码,是人。
反常识二:不做演练的高可用,等于没有
2019年,某国外云厂商大规模宕机,原因是自动切换系统三年没演练过,真故障来临时,脚本跑了一半卡住,运维不敢手动干预。
高可用系统在故障时的表现,和你最后一次演练的表现一模一样。一年没练,等于零。
反常识三:备份才是最后的防线
所有高可用方案都有个共同前提:数据是完整的、一致的。
但如果数据被误删了、被加密勒索了、被bug写坏了呢?高可用会把“错误数据”复制到所有节点。
这就是为什么备份是最后的防线。而且备份不能和源数据放在一起——勒索病毒可不会区分“生产库”和“备份库”。
3-2-1原则:至少3份副本,2种不同介质,1份异地存放。
更进一步的:不可变备份——备份写完后就不能再修改或删除,勒索病毒来了也动不了。
04 从零起步的路径
如果你的系统还是单机,别急着上异地多活。这条路是一步步走的:
第一步:先搞定备份。 至少做到每天全量备份,每小时增量备份。并且,一定要演练恢复。能备份不是本事,能恢复才是。
第二步:应用无状态化。 session迁出本地,文件迁出本地,日志集中采集。这一步做完,你的应用就可以水平扩展了。
第三步:负载均衡 + 多副本。 至少两台应用服务器,前面挂负载均衡。数据库做主从复制,手动切换也行。
第四步:数据库高可用。 引入自动选主工具,演练切换流程。确保切换时间在可接受范围内。
第五步:同城双活。 应用层双机房部署,数据库主备跨机房。流量可以切,数据不能丢。
第六步:异地多活。 这一步不一定是必选项。如果你的业务覆盖全国甚至全球,如果你的RTO要求小于分钟级,如果单个地域的风险你承受不起——那就值得考虑。
我认识一位CTO,他做高可用十年后说过一句话:“做高可用这些年,我最大的领悟不是技术多难,而是‘它会挂’这件事,你越早接受,就越早开始准备。”
那台跑了三年的服务器,它没做错什么。它只是到了该坏的时候。
高可用不是让服务器永生,是让业务在它倒下之后,还能继续向前。
你的备份上次恢复是什么时候?
你的切换演练上次做是什么时候?
你的架构图上,还有单点吗?
