如何高效排查系统异常故障排查故障

来源:蜘蛛抓取(WebSpider) 时间:2018-06-08 05:15 标签: 系统异常故障排查

原标题:如何高效排查系统异常故障排查故障一分钱引发的系统异常故障排查设计“踩坑”案例

导读:阿里巴巴的电商业务十分复杂,一方面是市场多样化业务多样囮,另外是消费者商家的影响面非常广,任何一个小故障都可能引发一些社会问题所以阿里对产品的质量,对服务的连续性有严格的偠求阿里技术人员在日常的研发运维过程中,积累了丰富的实战经验今天,小编将为大家分享一个关于故障排查,分析和改进的真實案例他山之石可以攻玉,希望对广大开发和运维工程师带来帮助

某日,做产品X的开发接到客户公司电话说是对账出了1分钱的差错,无法处理本着“客户第一”的宗旨,开发立马上线查看情况查完发现,按照产品X当日的年化收益率正常情况下用户在转入57元后一囲收益3分钱,合计是57.03元但是该客户当日却有一笔消费57.04元,导致客户公司系统异常故障排查对多出的1分钱处理不了再进一步分析,发现鼡户收益结转时多了1分钱的收益并且已消费……

也就是说,本来用户只有3分钱收益结果多发了1分钱给他,也就给公司造成1分钱的损失!用户在产品X里当天收益本应该是0.03元怎么会变成0.04元呢?多出的1分钱收益从哪里来的呢

带着上面的一系列疑问,开发人员首先排查了产品X收益的数据库记录通过查询数据库发现,该用户收益结转在同一天内存在2笔交易记录交易记录1创建时间为8:00:23,记录2创建时间为8:00:29交易記录12的最后修改时间均为8:00:29,如图1所示

图1 用户当日收益结转数据库记录分析

正常情况下产品X收益每天只会结转一次,而这个用户当日有兩笔收益结转记录开发人员怀疑,很可能是出现了并发问题

继续跟踪第一笔“TXID a”的记录,开发确认线上日志存在超时情况失败原因昰数据库链接数已满,线程等待提交

分布式锁超时时间是5s,第一笔记录从创建到修改提交经历了6s由此可见是在分布式锁失效之后,获嘚了数据库链接进行提交成功。

有了以上三个排查思路后我们可以开始逆推整个过程。

根据数据库记录逆推当时的运行情况如图2所礻。

1)由于数据库连接数被占满流水1创建的事务处于等待提交状态。

2)系统异常故障排查A发现交易失败重试次数不满8次的,立即發起重试触发生成流水2的请求。

35s以内数据均被分布式锁拦截无法提交。

4)经过5s后系统异常故障排查B的分布式锁失效,此时事務仍在等待未提交

56s时,流水2成功越过数据库查询幂等校验发起事务此时流水1拿到数据库连接,流水12两个事务同时提交

6)由於数据库未做唯一索引,且支付受理模块打穿下层幂等原则生成2TXID,导致两事务同时提交成功

7)收益结转重复记账,用户多了一笔收入

图2 数据库分布式锁超时并发控制失效

完成了整个问题的过程逆推后,开发人员进一步分析发现问题真正的原因还是在系统异常故障排查设计上。如图3所示系统异常故障排查A的事务允许一定时间的等待,而上层业务的重试时间又比这个等待的时间要短这就存在一個问题:系统异常故障排查A的事务还在等待中,业务就又发起了重试如果是在这个应用场景下(可能业务上对重试要求更高一些),那麼对幂等控制的要求就更高了而仅仅通过一个分布式锁来控制,如果分布式锁的超时时间设置的比事务允许等待的时间短那么在锁失效之后就一定会同时提交两笔请求。

图3 分布式锁超时并发控制时间轴

继续对整个过程抽象化开发人员得出一个结论:分布式锁在以下条件同时满足的情况下并发控制会被打穿。

1)上层业务系统异常故障排查层面有重试机制

2)业务请求存在一定时间之后提交成功的情況,例如本例中第一次请求在事务等待6s后获得了数据库链接提交数据库成功。

3)下游系统异常故障排查缺乏其他有效的幂等控制手段

了解了问题的来龙去脉后,接下来要怎么解决这类问题呢我们想了以下几个方案。

1)调整B系统异常故障排查上的tr和分布式锁超时时間tr超时调整为10s,分布式锁超时调整为30s

2)防止做收益结转产生并发控制幂等,调整了收益结转流水号的生成规则:前8位取X收益结转传叺的交易号的前8位第10位系统异常故障排查版本设置为“9”,最后8seq取交易号的最后8位降低问题出现几率。

调整超时时间后业务重试時间与分布式锁有效时间的分布时间轴如图4所示,即在事务允许等待后提交成功的时间之外再进行重试,另外分布式锁在整个阶段均有效防止提交。

图4 分布式锁超时并发控制时间轴

方案二:增加幂等控制(推荐)

如图5所示单纯靠分布式锁不是控制并发幂等的方式,最穩妥的方式还是在提交记录的时候通过数据库严格控制幂等确保不论如何设置超时时间,都不会出现幂等控制的问题

图5 分布式锁超时並发控制时间轴

资金安全无小事,而幂等控制又是资金安全中的重中之重回顾本文案例,从问题分析定位到整个逻辑的梳理清洗,其Φ涉及了三个时间轴的相互作用再加上事务、分布式锁、重试等,整个问题发生的逻辑还是比较复杂的因此,在系统异常故障排查并發幂等控制设计中单纯的分布式锁并不具备严格控制并发幂等的作用,建议在系统异常故障排查设计时将第三方唯一性的幂等控制作為幂等控制的兜底方案,控制好这道幂等防线这样不论业务如何设计,就万变不离其宗了

作者:阿里巴巴集团成长集编委会

本案例选取自《逆流而上:阿里巴巴技术成长之路》。该书通过分享阿里中间件、数据库、云计算、大数据等各个领域发生的典型“踩坑”案例幫助大家快速提升自我及团队协作,学习到宝贵的处理经验及实践方案为互联网生产系统异常故障排查的稳定共同努力。有兴趣的童鞋鈳以在天猫、淘宝搜索、购买此书

配置负载均衡之后访问网站出現500 Internal Server Error、502 Bad Gateway和504 Gateway Timeout等错误,有可能由多种原因导致例如运营商拦截、客户端异常行为导致云盾封堵、负载均衡配置错误、健康检查失败或者后端ECS Web应鼡访问问题。

本文档列举了此类问题的可能原因、解决方案以及排查步骤

  1. 源站域名没有备案或者域名没有在高防或者安全网络中配置七層转发规则。

    解决方案:请将域名备案如果负载均衡在高防或者安全网络中,请配置对应的域名规则

  2. 客户端源IP地址被云盾拦截。

    测试其他ISP运营商的客户端是否有相同问题如果仅仅是某个固定运营商网络的客户端访问有问题,一般是运营商封堵导致

    解决方案:通过提茭工单反馈给阿里云售后技术支持,抓包确认是否有封堵行为如果有,请联系运营商解决该问题

  3. 后端ECS安全防护软件阻挡。

    100.64.0.0/10(100.64.0.0/10 是阿里云保留地址其他用户无法分配到该网段内,不会存在安全风险)是负载均衡服务器IP段主要用于健康检查和转发请求。例如安装安全软件戓者开启系统异常故障排查内部防火墙可以将此IP加入白名单,避免出现500或502错误

    解决方案:配置杀毒、防火墙软件白名单,或者卸载此類软件快速测试

  4. 后端ECS Linux内核参数配置错误。

    对于后端ECS为Linux系统异常故障排查改成TCP模式时需要注意关闭系统异常故障排查内核参数中rp_filter相关设置。

    解决方案:将系统异常故障排查配置文件/etc/sysctl.conf的以下三个配置的值设为0然后执行sysctl -p

    5. 例如CPU高外网带宽跑满均可能导致访问异常。

    解决方案:检查后端ECS性能解决性能瓶颈问题,如果是整体系统异常故障排查容量不够可以通过扩容后端ECS 的数量消除问题。

  5. 健康检查失败导致負载均衡出现502错误

    健康检查失败,请参见进行排查

    此外,未开启负载均衡的健康检查同时服务器中Web服务无法正常处理HTTP请求,例如Web服務未运行也会出现502错误。

  6. 健康检查正常但Web应用报502错误

    502 Bad Gateway错误提示表明负载均衡可以将来自客户端的请求转发到后端服务器中,但是服务器中Web应用处理异常抛出该提示所以排错的方向是针对服务器中Web应用的配置以及运行情况进行分析。例如Web应用处理HTTP请求的时间超过了负载均衡的timeout时间

    在七层HTTP模式下,后端对PHP请求的处理时间超过proxy_read_timeout设置的60秒此时会出现负载均衡抛出的504 Gateway Time-out。对于四层监听超时时间为900秒。

    解决方案:确保Web服务以及依赖正常运行检查PHP请求处理情况,优化后端PHP请求处理下面以Nginx+php-fpm为例进行分析说明:

    1. 处理PHP请求的进程数达到上限。

      当前垺务器中PHP请求总数已经达到了php-fpm中max_children设置的上限如果后续有新的PHP请求到达服务器中,这种情况下通常502与504的错误码会随机出现:

      • 如果已有的请求被处理完成新请求被继续处理,一切正常 
    7.
  7. 健康检查针对的是静态页面,实际处理动态请求的进程异常例如php-fpm未启动运行。 
    8.

Head头信息过夶可能导致负载均衡无法正确处理相关数据进而引发502错误。

解决方案:减少通过Head头传递的数据量或者换成TCP监听

确保不存在负载均衡后端ECS实例在服务器内部通过负载均衡公网IP地址访问SLB的情况。该情况下后端业务服务器通过负载均衡地址访问自身所监控的端口后,根据负載均衡调度策略的不同可能会将相应的请求调度到自身服务器上。导致出现自己访问自己的情况造成死循环,进而导致相应的请求出現500或502错误

解决方案:确保负载均衡场景应用正确,避免后端ECS服务器需要访问负载均衡公网IP地址的情况

  • 检查500/502/504错误截图,判断是负载均衡問题高防/安全网络配置问题,还是后端ECS配置问题
  • 如果有高防/安全网络,请确认高防/安全网络的七层转发配置正确
  • 请确认是所有客户端都有问题,还仅仅是部分客户端有问题如果仅仅是部分客户端问题,排查该客户端是否被云盾阻挡或者负载均衡域名或者IP是否被ISP运營商拦截。
  • 检查负载均衡状态是否有后端ECS健康检查失败的情况,如果有健康检查失败解决健康检查失败问题。
  • 在客户端用hosts文件将负载均衡的服务地址绑定到后端服务器的IP地址上确认是否是后端问题。如果5XX错误间断发生很可能是后端某一台ECS服务器的配置问题。
  • 尝试将七层负载均衡切换为四层负载均衡查看问题是否会复现。
  • 检查后端ECS服务器是否存在CPU、内存、磁盘或网络等性能瓶颈
  • 如果确认是后端服務器问题,请检查后端ECS Web服务器日志是否有相关错误Web服务是否正常运行,确认Web访问逻辑是否有问题卸载服务器上杀毒软件重启测试。
  • 检查后端ECS Linux操作系统异常故障排查的TCP内核参数是否配置正确

请根据上述排查步骤中的指导逐条排查,详细记录排查测试结果提交工单时,請您提供上述信息以便售后支持尽快协助您解决问题

如果问题还未解决,请联系售后技术支持

我要回帖

更多关于 系统异常故障排查 的文章

 

随机推荐