Основные принципы Google (и индустрии)¶

Когда Google в начале 2000-х столкнулся с проблемой управления системами планетарного масштаба, стало ясно: старые методы администрирования не работают. Невозможно вручную контролировать миллионы серверов.

Так родилась дисциплина SRE, построенная на нескольких краеугольных принципах. Со временем эти принципы были подхвачены всей (вру, далеко не всей) индустрией: от Netflix до маленьких стартапов, потому что эти принципы работают. Это не догма, не теория, а проверенные инженерные максимы. Но некоторые почему-то продолжают изобретать велосипеды :(

Risk = Reliability (риск это вопрос надежности, а не субъективных мнений)¶

В традиционных командах вопрос "можно ли выпускать релиз?" часто решается эмоциями: разработчики рвутся в бой за KPI по количеству релизов и выполнение графика релизов, эксплуатация панически сопротивляется. SRE заменяет эту дискуссицию количественной мерой риска.

Как это работает: вместо споров вводится Error Budget (бюджет ошибок). Если у продукта SLO доступности 99,9%, то 0,1% времени в месяц (около 43 минут) - это и есть его бюджет на сбои. - Бюджет не израсходован? Риск низкий. Можно выпускать фичи, проводить рискованные миграции. - Бюджет исчерпан? Риск неприемлемо высок. Все усилия переключаются на повышение надежности: багфиксы, рефакторинг, улучшение мониторинга. Выпуск нового функционала замораживается до восстановления error budget.

Этот принцип превращает конфликт интересов "скорость vs. стабильность" в партнерство на основе данных. Разработчики и SRE вместе следят за одним дашбордом и принимают решения, основанные на объективных числах, а не на авторитете или криках или хотелках продукта. Риск становится управляемым ресурсом, который можно тратить и восполнять.

Service Level Objectives (SLO) - единственный источник истины¶

Надежность должна определяться не тем, что инженеры считают возможным, а тем, что нужно пользователям для комфортной работы с продуктом. Пользователь первичен.

Как это работает: SLO - это чёткая, измеримая цель по надёжности, выраженная на языке бизнеса и пользователей. - Неправильно: "база данных должна быть быстрой". - Правильно: "99% запросов к API личного кабинета должны выполняться быстрее 100 мс".

Представьте, что вы управляете службой доставки пиццы. Ваша цель - не "машины должны ездить быстро", а "95% заказов должны быть доставлены горячими в течение 30 минут". Это SLO. Оно понятно клиенту, курьеру и повару. И именно вокруг него выстраивается вся работа: сколько нужно машин, как строить маршруты, как готовить пиццу.

Все решения по архитектуре, капасити, процедурам реагирования принимаются исключительно исходя из этого целевого показателя. Без SLO вы не поймёте, успешны вы или нет.

Toil - наш главный враг, и мы его измерим и уничтожим¶

Рутинная, повторяющаяся, ручная работа - это злокачественная опухоль для команды. Она выжигает креативность, ведёт к выгоранию и не приносит никакой долгосрочной ценности.

Как это работает: SRE определяет toil и вводит жёсткое правило: не более 50% времени команды может уходить на операционную работу и рутину. Остальное время должно тратиться на инженерные проекты: создание инструментов, автоматизацию, улучшение платформы. - Примеры toil: ручное развертывание, ручная обработка алертов, ручное масштабирование инфраструктуры. - Антипримеры (не toil): написание кода для автоматизации развертывания, проектирование самоисцеляющейся системы.

Этот принцип защищает время инженеров на инновации. Он заставляет команду постоянно задавать вопрос: "А можно ли автоматизировать эту задачу, чтобы больше никогда её не делать вручную?".

Автоматизация - основное оружие¶

Всё, что можно автоматизировать, должно быть автоматизировано. Человек должен заниматься исключительно теми задачами, где требуется эвристическое мышление и принятие решений в нестандартных ситуациях, где не справится никакой "ии".

Как это работает: автоматизация в SRE имеет четкую иерархию: 1. Автоматизация для устранения toil (саморазвертывание, самовосстановление). 2. Автоматизация для масштабирования (автоскейлинг, управление нагрузкой). 3. Автоматизация для безопасности (сканирование уязвимостей, ротация секретов).

SRE автоматизирует процессы, а не единичные действия. Цель - создать самоуправляемую систему, а не просто набор скриптов.

Release Engineering (инженерия релизов): изменения должны быть безопасными¶

Большинство инцидентов вызвано изменениями. Поэтому процесс выпуска изменений должен быть максимально безопасным, постепенным и обратимым.

Как это работает: SRE настаивает на использовании проверенных практик: - Постепенное развертывание (Rolling Deployment): сначала 1% трафика, потом 5%, 25%, 50% и т.д. - Канареечные релизы: выпуск новой версии для небольшой, контролируемой группы пользователей. - Feature Flags (флаги функций): возможность "на лету" включать и выключать новую функциональность без нового деплоя. - Быстрый и надежный откат (Rollback): если что-то пошло не так, система должна позволять откатиться к предыдущей стабильной версии за минуты, а не за часы, а еще лучше - автоматически.

Эти практики снижают "blast radius" - область поражения при неудачном изменении.

Мониторинг - это не про алерты, а про понимание¶

Опять шок-контент: мониторинг существует не для того, чтобы будить инженеров по ночам. Его цель в том, чтобы дать полное понимание состояния системы и причинно-следственных связей при любом её поведении.

Как это работает: SRE разделяет три столпа Observability (наблюдаемости): 1. Метрики (Metrics): числовые показатели (сколько, как быстро). 2. Логи (Logs): записи о событиях (что произошло). 3. Трейсы (Traces): отслеживание пути запроса через все компоненты системы (где и сколько времени заняло).

Золотое правило алертинга: "На каждый алерт (предупреждение) должна быть очевидная реакция". Если на алерт нельзя немедленно и осмысленно отреагировать - он бесполезен и должен быть удален или переведен в информационное уведомление.

Системный подход к хаосу¶

Принципы Google - это не просто список хороших идей. Это единая система, где всё взаимосвязано: - Чтобы управлять риском (Принцип 1), нужны SLO (Принцип 2). - Чтобы выполнять SLO, нужно избавляться от рутины (Принцип 3) через автоматизацию (Принцип 4). - Чтобы автоматизация и изменения были безопасными, нужна инженерия релизов (Принцип 5). - А чтобы всё это контролировать, нужен умный мониторинг (Принцип 6).

Эти принципы выдержали испытание временем и масштабом. Они превратили управление самыми сложными системами на планете из магии в инженерную дисциплину. И самое главное, что они масштабируются вниз. Их можно применять в команде из пяти человек так же эффективно, как и в корпорации с тысячами инженеров. Потому что в основе лежит не размер, а логика. К сожалению, логика во многих компаниях не используется в принципе.