阿里云香港Region可用区C服务中断事件复盘
摘要:12 月 25日 ,阿里云发布的《关于阿里云香港 Region 可用区 C 服务中断事件的说明》称,12 月 18 日,阿里云香港 Regio...
通信世界网消息(CWW) 12 月 25日 ,阿里云发布的《关于阿里云香港 Region 可用区 C 服务中断事件的说明》称,12 月 18 日,阿里云香港 Region 可用区 C 发生大规模服务中断事件。经过复盘,阿里云进一步说明了故障情况、问题分析和改进措施。
《说明》具体陈述如下:
处理过程
12 月 18 日 08:56,阿里云监控到香港 Region 可用区 C 机房包间通道温控告警,阿里云工程师介入应急处理,通知机房服务商进行现场排查。09:01,阿里云监控到该机房多个包间温升告警,此时工程师排查到冷机异常。09:09,机房服务商按应急预案对异常冷机进行 4+4 主备切换以及重启,但操作失败,冷水机组无法恢复正常。09:17,依照故障处理流程,启动制冷异常应急预案,进行辅助散热和应急通风。尝试对冷机控制系统逐个进行隔离和手工恢复操作,但发现无法稳定运行,联系冷机设备供应商到现场排查。此时,由于高温原因,部分服务器开始受到影响。
自 10:30 开始,为避免可能出现的高温消防问题,阿里云工程师陆续对整个机房计算、存储、网络、数据库、大数据集群进行降载处理。期间,继续多次对冷机设备进行操作,但均不能保持稳定运行。
12:30,冷机设备供应商到场,在多方工程师诊断下,对冷塔、冷却水管路及冷机冷凝器进行手工补水排气操作,但系统仍然无法保持稳定运行。阿里云工程师对部分高温包间启动服务器关机操作。14:47,冷机设备供应商对设备问题排查遇到困难,其中一个包间因高温触发了强制消防喷淋。15:20,经冷机设备商工程师现场手工调整配置,冷机群控解锁完成并独立运行,第 1 台冷机恢复正常,温度开始下降。工程师随后继续通过相同方法对其他冷机进行操作。18:55,4 台冷机恢复到正常制冷量。19:02,分批启动服务器,并持续观察温升情况。19:47,机房温度趋于稳定。同时,阿里云工程师开始进行服务启动恢复,并进行必要的数据完整性检查。
21:36,大部分机房包间服务器陆续启动并完成检查,机房温度稳定。其中一个包间因消防喷淋启动,未进行服务器上电。因为保持数据的完整性至关重要,工程师对这个包间的服务器进行了仔细的数据安全检查,这里花费了一些必要的时间。22:50,数据检查以及风险评估完成,最后一个包间依据安全性逐步进行供电恢复和服务器启动。
服务影响
12 月 18 日 09:23,香港 Region 可用区 C 部分 ECS 服务器开始出现停机,触发同可用区内宕机迁移。随着温度继续升高,受影响的服务器停机数量持续增加,客户业务开始受到影响,影响面扩大到香港可用区 C 的 EBS、OSS、RDS 等更多云服务。
阿里云香港可用区 C 的故障,没有直接影响客户在香港其他可用区运行的业务,但影响了香港 Region ECS 管控服务(Control Plane)的正常使用。因大量可用区 C 的客户在香港其他可用区新购 ECS 实例,从 12 月 18 日 14:49 开始,ECS 管控服务触发限流,可用性最低跌至 20%。客户在使用 RunInstances / CreateInstance API 购买新 ECS 实例时,如果指定了自定义镜像,部分实例在购买成功之后会出现启动失败的现象,由于自定义镜像数据服务依赖可用区 C 的单 AZ 冗余版本的 OSS 服务,无法通过重试解决。此时,部分 Dataworks、k8s 用户控制台操作也受到了故障影响。API 完全恢复可用为当日 23:11。
12 月 18 日 10:37,阿里云香港可用区 C 的部分存储服务 OSS 开始受到停机影响,此时客户暂不会感知,但持续高温会导致磁盘坏道,影响数据安全,工程师对服务器进行停机操作,从 11:07 至 18:26 中断了服务。阿里云在香港 Region 可用区 C 提供了 2 种类型的 OSS 服务,一种是 OSS 本地冗余 LRS 服务(通常叫单 AZ 冗余服务),仅部署在可用区 C;另一种是 OSS 同城冗余 ZRS 服务(通常叫 3AZ 冗余服务),部署在可用区 B、C 和 D。在此次故障中,OSS 同城冗余 ZRS 服务基本没有受到影响。可用区 C 的 OSS 本地冗余服务中断时间较长,因不支持跨可用区切换,需要依赖故障机房的恢复。从 18:26 开始,存储服务器重新分批启动。其中,单 AZ 本地冗余 LRS 服务有部分服务器因消防问题需要做隔离处理。恢复服务前,我们必须要确保数据可靠性,花费了较多的时间进行完整性检验工作。直至 12 月 19 日 00:30,这部分 OSS 服务(单 AZ 冗余服务)才恢复了对外服务能力。
阿里云网络少量单可用区产品(如:VPN、Privatelink 以及少量 GA 实例)在此次故障中受到影响。12 月 18 日 11:21,工程师启动网络产品可用区容灾逃逸,12:45 完成 SLB 等大部分网络产品可用区容灾逃逸,13:47NAT 产品完成收尾逃逸。除上述少量单可用区产品以外,各网络产品在故障期间保持了业务连续性,NAT 有分钟级业务受损。