混沌工程之如何设计对照实验

Note: 本文只截取了部分重要内容，更多内容请见原文《AWS云上混沌工程实践之对照实验设计篇》。

混沌工程实验：一个持续性迭代的闭环体系

如图所示，完整的混沌工程实验是一个持续性迭代的闭环体系，从初步的实验需求和实验对象出发，通过实验可行性评估，确定实验范围，设计合适的观测指标、实验场景和环境，选择合适的实验工具和平台框架；建立实验计划，和实验对象的干系人充分沟通，进而联合执行实验过程，并搜集预先设计好的实验指标；待实验完成后，清理和恢复实验环境，对实验结果进行分析，追踪根源并解决问题，并将以上实验场景自动化，并入流水线，定期执行；之后，便可开始增加新的实验范围，持续迭代和有序改进。

下面我们会深入讨论有关混沌工程实验的准备事项：

• 实验可行性评估
• 观测指标设计与对照
• 实验场景和环境的设计
• 实验工具和平台框架选型（限于篇幅，未完待续）

实验可行性评估

可行性评估篇提供了这样一个混沌工程实验的可行性评估模型，从多个维度对实验技术的成熟度做了定性分析。此处的实验可行性评估，依照这个可行性评估模型，会针对具体的实验需求和实验对象进行细致评估。常见的一个形式是对照“可行性评估问题表”，对实验对象的干系人进行访谈。可行性评估问题表的内容会包含以下几个方面：

• 架构抵御故障的能力：通过对实验对象的架构高可用性的分析和评估，找出潜在的系统单点风险，确定合理的实验范围。
• 实验指标设计：评估目前实验对象判定业务正常运行所需的业务指标、应用健康状况指标和其他系统指标。
• 实验环境选择：选择实验对象可以应用的实验环境：开发、测试、预生产、生产。
• 实验工具使用：评估目前实验对象对实验工具的熟悉程度。
• 故障注入场景及爆炸半径：讨论和选择可行的故障注入场景，并评估每个场景的爆炸半径。
• 实验自动化能力：衡量目前实验对象的平台自动化实施能力。
• 环境恢复能力：根据选定的故障注入场景，评估实验对象对环境的清理和恢复能力。
• 实验结果整理：根据实验需求，讨论确定实验结果和解读分析报告的内容项。

观测指标设计与对照

观测指标的设计是整个混沌工程实验成功与否的关键之一。最新的调研报告“Chaos Engineering Observability: Bringing Chaos Experiments into System Observability”指出在进行混沌工程实验过程中，系统可观测性已成为一种“强制性功能”，良好的系统可观测性会给混沌工程实验带来一个强有力的数据支撑，为后续的实验结果解读、问题追踪和最终解决提供了坚实的基础。

以下是常见混沌工程实验的观测指标类型：

• 业务性指标：价值最大，探测难度最大
• 应用健康指标：反映应用的健康状况
• 其他系统指标：较易获取，反映基础设施和系统的运行状况

以Netflix为例，早在2008年Netflix起步流媒体，手动追踪数百个指标，全靠人工来检测问题。 这种方法适用于数十台服务器和数千台设备，但不适用于未来的数千台服务器和数百万台设备。最终Netflix找到了一个可以反映业务状况、用户参与度的指标：每秒流视频启动次数SPS (stream-starts-per-second)。

SPS指标示例比较（红色=当前周，黑色=前一周）

SPS 模式通常是比较规则的，受到假日和事件等外部影响会有所变化。上图描绘的就是 SPS 随时间变化的波动情况，可以看出，它有一个稳定的模式，每天 SPS 峰值发生在晚上，谷值发生在清晨。这是因为人们习惯于在晚餐时间看电视节目。假期时，白天的观看次数增加，因为有更多的空闲时间在Netflix上观看节目。

实验场景和环境的设计

实验场景和环境的设计要努力遵循以下三大设计目标：

• 在生产环境运行实验
• 持续自动化运行实验
• 最小化实验场景的“爆炸半径”

实验场景设计

以下是亚马逊AWS云上常见的实验场景：

实验环境设计

实验环境的不同，带来不同的业务风险。生产环境的业务风险最大，开发环境的业务风险最小，其他依次类推。我们会建议用户在生产环境上进行混沌工程实验，当然前提是这些实验场景和工具已经在开发／测试和预生产环境得到了验证。当然在生产环境上进行混沌工程实验也不是强制的，用户可以选择适合自己的推进节奏，逐步向生产环境靠拢。因为实验越接近生产环境，从结果中学到的越多。同时，为了体现实验对照的效果，在生产环境进行的混沌实验可以通过真实生产流量分支的方式，组建控制组和对照组，以此区分故障注入的影响，从一定程度上控制了爆炸半径。对于非生产环境的混沌工程实验，可采用模拟生产流量的方式，尽量和生产流量相似，来验证实验场景和工具的可靠性。