DevOps

混沌工程实践 - 使用 AWS Fault Injection Simulator 验证容错性

介绍使用 AWS Fault Injection Simulator(FIS)实践混沌工程。包括故障注入场景设计、向 EC2/ECS/RDS 注入故障以及安全实验的推进方法。

約 2 分で読めます

混沌工程的必要性与 FIS 的作用

生产环境的故障在不可预测的时间发生。EC2 实例突然停止、AZ 故障、网络延迟增大、数据库故障转移等,预先验证系统在这些故障下能否正确运行就是混沌工程。这种方法源于 Netflix 开发的 Chaos Monkey,通过有意注入故障来验证系统的容错性。AWS Fault Injection Simulator(FIS)是 2021 年发布的托管混沌工程服务,以安全且受控的方式对 AWS 资源执行故障注入。无需自建混沌工程工具,通过与 AWS 服务的原生集成,可向 EC2、ECSEKSRDSElastiCacheSystems Manager 等广泛资源注入故障。

实验模板的设计

FIS 的实验通过实验模板定义。模板由操作(做什么)、目标(对哪些资源)和停止条件(何时中止)三个要素构成。操作示例包括:aws:ec2:stop-instances(停止 EC2)、aws:ec2:send-spot-instance-interruptions(模拟 Spot 中断)、aws:ssm:send-command(通过 SSM 施加 CPU/内存压力)、aws:ecs:stop-task(停止 ECS 任务)、aws:rds:failover-db-cluster(Aurora 故障转移)、aws:fis:inject-api-internal-error(AWS API 错误注入)。 ```json { "description": "EC2 实例停止实验", "targets": { "ec2Instances": { "resourceType": "aws:ec2:instance", "resourceTags": {"Environment": "dev"}, "selectionMode": "COUNT(1)" } }, "actions": { "stopInstances": { "actionId": "aws:ec2:stop-instances", "parameters": {"startInstancesAfterDuration": "PT5M"}, "targets": {"Instances": "ec2Instances"} } }, "stopConditions": [ {"source": "aws:cloudwatch:alarm", "value": "arn:aws:cloudwatch:ap-northeast-1:123:alarm:high-error-rate"} ], "roleArn": "arn:aws:iam::123:role/FISExperimentRole" } ``` 通过目标的 selectionMode 控制目标资源的选择方式。COUNT(1) 选择 1 个,PERCENT(50) 选择 50% 的资源。可通过基于标签的过滤限定实验对象。

安全实验的推进方法

混沌工程中最重要的是确保安全性。FIS 提供多重安全机制。停止条件(Stop Conditions)监控 CloudWatch 告警,当错误率或延迟超过阈值时自动停止实验。这防止实验对生产服务造成过度影响。通过 IAM 角色将实验权限限制到最小,防止对实验对象外资源的影响。实验的逐步扩大也是重要实践。首先在 dev 环境从小规模实验(停止 1 个实例)开始,验证结果后扩大范围。然后在 stg 环境以接近生产的条件实验,最终在生产环境进行有限实验。实验前建立假设(「即使 1 台 EC2 停止,ALB 也会自动分配流量,错误率应保持在 1% 以下」)也很重要,假设不成立时系统的改进点就会明确。 容错性设计的实践经验可参考Amazon 的相关书籍

实践性实验场景

介绍代表性实验场景。AZ 故障模拟中,同时停止特定 AZ 内的 EC2 实例,验证多 AZ 配置的 Auto Scaling 是否正确工作。网络延迟注入中,通过 SSM 执行 tc(traffic control)命令增加特定实例的网络延迟,确认微服务间通信是否通过超时和重试正确处理。RDS 故障转移中,执行 Aurora 集群的故障转移,验证应用是否自动重新连接到新的写入端点。Spot 实例中断模拟中,模拟 2 分钟前的中断通知,确认应用的优雅关闭是否正确工作。费用为实验操作执行时间每分钟 0.10 USD,5 分钟的实验为 0.50 USD。

总结

AWS FIS 是以安全且受控的方式实践混沌工程的托管服务。通过实验模板定义故障注入场景,停止条件确保安全性,逐步扩大实验范围。从 dev 环境的小规模实验开始,逐步扩展到生产环境,持续验证和改善系统的容错性。

相关服务

AWS Fault Injection Simulator向 AWS 环境注入故障以验证系统容错性的服务AWS Systems Manager统一管理 AWS 资源和本地服务器的运维管理服务Amazon CloudWatch提供 AWS 资源和应用程序的监控、日志管理和告警的服务

相关文章

使用 AWS Resilience Hub 评估应用容错能力 - RTO/RPO 目标达成可视化解析 Resilience Hub 的应用容错能力评估、RTO/RPO 策略设置和改进建议的使用方法。使用 AWS AppConfig 实现功能开关 - 安全的配置部署与回滚通过 Linear 和 Exponential 策略对独立于代码部署的配置变更进行渐进式发布。利用 CloudWatch 告警联动的自动回滚确保安全性。AWS Systems Manager 舰队管理 - 补丁应用、清单收集与 Run Command 自动化通过 Patch Manager 自动化补丁应用,通过 Run Command 高效执行远程操作。同时介绍 Session Manager 实现的免 SSH Shell 访问。

本主题的更多内容

从 re:Invent 发布看 AWS 的三年后 - 服务的生命周期与淘汰规律正视 CodeCommit 停止新用户注册、SimpleDB 事实上终止等案例,分析 AWS 服务的生命周期,提供在技术选型中识别「不会消失的服务」的视角。CI/CD 流水线自动化 - 使用 AWS CodePipeline 实现持续交付介绍使用 AWS CodePipeline 和 CodeBuild 实现 CI/CD 流水线自动化。CloudFormation 漂移检测的检测范围 - 追踪手动变更的机制与局限详细介绍 CloudFormation 漂移检测内部如何比较资源当前状态与模板期望状态、可检测变更与不可检测变更的边界以及漂移修复策略。CloudFormation 堆栈更新时发生了什么 - 变更集、回滚与替换的内部机制从变更集的差异检测、资源更新/替换/删除的判断逻辑以及回滚机制等方面,详细介绍 CloudFormation 更新堆栈时的内部处理流程。AWS CodeDeploy 的部署策略 - EC2、ECS、Lambda 的蓝绿部署统一管理面向 EC2、ECS、Lambda 三个平台的部署策略。介绍 ECS 蓝绿部署和与 CloudWatch 告警联动的自动回滚。AWS CodeDeploy 的 EC2/本地部署 - AppSpec 与生命周期钩子设计通过 AppSpec 文件以声明方式定义部署目标路径和生命周期钩子。介绍基于标签的部署组和 Auto Scaling 集成的集群管理方法。使用 AWS CodePipeline 构建 CI/CD 流水线 - 从源代码到部署的自动化自动化从源代码变更检测到构建、测试、部署的全流程。介绍 V2 触发器过滤器、手动审批操作和跨账户部署的设计。使用 Elastic Beanstalk 实现应用部署自动化 - 从环境构建到滚动部署从环境构建到滚动部署的自动化。介绍部署策略选型标准和 .ebextensions 自定义方法。

相似的文章与服务

AWS Fault Injection Simulator通过混沌工程方法安全注入 EC2 停止、网络延迟等故障,验证系统容错能力的服务AWS 的卓越运营文化 - GameDay、Wheel of Fortune、Ops as Code 支撑的运维质量将 AWS 为组织性提升运维质量而实践的 GameDay(故障模拟)、Wheel of Fortune(随机故障注入)、Ops as Code 文化与 Azure、GCP 的运维方法进行比较。RDS 故障转移需要多少秒完成 - Multi-AZ 切换机制与 DNS 传播的内幕将 RDS Multi-AZ 故障转移耗时 60-120 秒的过程分解为故障检测、DNS 记录更新和连接重建各阶段,解析缩短故障转移时间的实用技巧。AWS Resilience Hub定义应用程序的弹性目标(RTO/RPO),持续评估架构是否满足目标并提供改进建议的服务