阿里云香港Region可用区C服务中断事件复盘

2022-12-26 13:10

通信世界网消息（CWW） 12 月 25日，阿里云发布的《关于阿里云香港 Region 可用区 C 服务中断事件的说明》称，12 月 18 日，阿里云香港 Region 可用区 C 发生大规模服务中断事件。经过复盘，阿里云进一步说明了故障情况、问题分析和改进措施。

《说明》具体陈述如下：

处理过程

12 月 18 日 08:56，阿里云监控到香港 Region 可用区 C 机房包间通道温控告警，阿里云工程师介入应急处理，通知机房服务商进行现场排查。09:01，阿里云监控到该机房多个包间温升告警，此时工程师排查到冷机异常。09:09，机房服务商按应急预案对异常冷机进行 4+4 主备切换以及重启，但操作失败，冷水机组无法恢复正常。09:17，依照故障处理流程，启动制冷异常应急预案，进行辅助散热和应急通风。尝试对冷机控制系统逐个进行隔离和手工恢复操作，但发现无法稳定运行，联系冷机设备供应商到现场排查。此时，由于高温原因，部分服务器开始受到影响。

自 10:30 开始，为避免可能出现的高温消防问题，阿里云工程师陆续对整个机房计算、存储、网络、数据库、大数据集群进行降载处理。期间，继续多次对冷机设备进行操作，但均不能保持稳定运行。

12:30，冷机设备供应商到场，在多方工程师诊断下，对冷塔、冷却水管路及冷机冷凝器进行手工补水排气操作，但系统仍然无法保持稳定运行。阿里云工程师对部分高温包间启动服务器关机操作。14:47，冷机设备供应商对设备问题排查遇到困难，其中一个包间因高温触发了强制消防喷淋。15:20，经冷机设备商工程师现场手工调整配置，冷机群控解锁完成并独立运行，第 1 台冷机恢复正常，温度开始下降。工程师随后继续通过相同方法对其他冷机进行操作。18:55，4 台冷机恢复到正常制冷量。19:02，分批启动服务器，并持续观察温升情况。19:47，机房温度趋于稳定。同时，阿里云工程师开始进行服务启动恢复，并进行必要的数据完整性检查。

21:36，大部分机房包间服务器陆续启动并完成检查，机房温度稳定。其中一个包间因消防喷淋启动，未进行服务器上电。因为保持数据的完整性至关重要，工程师对这个包间的服务器进行了仔细的数据安全检查，这里花费了一些必要的时间。22:50，数据检查以及风险评估完成，最后一个包间依据安全性逐步进行供电恢复和服务器启动。

服务影响

12 月 18 日 09:23，香港 Region 可用区 C 部分 ECS 服务器开始出现停机，触发同可用区内宕机迁移。随着温度继续升高，受影响的服务器停机数量持续增加，客户业务开始受到影响，影响面扩大到香港可用区 C 的 EBS、OSS、RDS 等更多云服务。

阿里云香港可用区 C 的故障，没有直接影响客户在香港其他可用区运行的业务，但影响了香港 Region ECS 管控服务（Control Plane）的正常使用。因大量可用区 C 的客户在香港其他可用区新购 ECS 实例，从 12 月 18 日 14:49 开始，ECS 管控服务触发限流，可用性最低跌至 20%。客户在使用 RunInstances / CreateInstance API 购买新 ECS 实例时，如果指定了自定义镜像，部分实例在购买成功之后会出现启动失败的现象，由于自定义镜像数据服务依赖可用区 C 的单 AZ 冗余版本的 OSS 服务，无法通过重试解决。此时，部分 Dataworks、k8s 用户控制台操作也受到了故障影响。API 完全恢复可用为当日 23:11。

12 月 18 日 10:37，阿里云香港可用区 C 的部分存储服务 OSS 开始受到停机影响，此时客户暂不会感知，但持续高温会导致磁盘坏道，影响数据安全，工程师对服务器进行停机操作，从 11:07 至 18:26 中断了服务。阿里云在香港 Region 可用区 C 提供了 2 种类型的 OSS 服务，一种是 OSS 本地冗余 LRS 服务（通常叫单 AZ 冗余服务），仅部署在可用区 C；另一种是 OSS 同城冗余 ZRS 服务（通常叫 3AZ 冗余服务），部署在可用区 B、C 和 D。在此次故障中，OSS 同城冗余 ZRS 服务基本没有受到影响。可用区 C 的 OSS 本地冗余服务中断时间较长，因不支持跨可用区切换，需要依赖故障机房的恢复。从 18:26 开始，存储服务器重新分批启动。其中，单 AZ 本地冗余 LRS 服务有部分服务器因消防问题需要做隔离处理。恢复服务前，我们必须要确保数据可靠性，花费了较多的时间进行完整性检验工作。直至 12 月 19 日 00:30，这部分 OSS 服务（单 AZ 冗余服务）才恢复了对外服务能力。

阿里云网络少量单可用区产品（如：VPN、Privatelink 以及少量 GA 实例）在此次故障中受到影响。12 月 18 日 11:21，工程师启动网络产品可用区容灾逃逸，12:45 完成 SLB 等大部分网络产品可用区容灾逃逸，13:47NAT 产品完成收尾逃逸。除上述少量单可用区产品以外，各网络产品在故障期间保持了业务连续性，NAT 有分钟级业务受损。