随着企业技术架构的复杂化与业务规模的扩大,生产环境的稳定性已成为大型互联网企业的生命线。而变更,通常是导致线上故障的首要诱因。行业数据表明,高达70%的生产事故与服务的变更直接相关。因此,构建一套有效的变更管控体系,是从源头预防风险、保障服务可靠性的关键。
本文将基于对当前变更管控普遍困境的分析,深入探讨变更的核心定义与管控逻辑,系统解答“为何管”、“管什么”以及“怎么管”三大问题,并分享哔哩哔哩(B站)在变更管控平台(ChangePilot)上的设计与实践经验。
一、当前变更管控的普遍困境
变更管理并非新概念,在ITIL等标准框架中早有涉及,但其传统焦点更多地放在流程规划、评审与记录上,缺乏对变更执行过程的精细化管控,包括对过程对象、过程定义及过程干预的明确定义。
在实际交流与观察中发现,许多公司的变更管理仍停留在“方案评审”、“关键时间控制”和“事件记录”层面。这套方法在传统IT架构下或许够用,但在以云原生和微服务为核心的现代复杂技术体系中,则暴露出诸多问题:
- 过度依赖人审:评审环节高度依赖个人经验,难以持续保证方案质量与一致性。
- 覆盖范围有限:由于评审资源有限,通常只能覆盖高优先级的重大变更,大量日常变更游离于管控之外。
- 过程管控缺失:评审仅能约束变更的发起,无法确保执行过程(如强制灰度、观察时长)被严格遵守。
- 信息孤岛严重:不同平台(基础设施、业务配置)的变更流程各异,数据分散,难以统一管理和分析。
- 故障定位困难:简单的变更记录无法支撑由底层或依赖项变更引发的复杂链式故障的根因分析。
- 全局视野盲区:缺乏统一的技术框架,导致无法全面感知公司内所有的变更行为、源头、内容和影响范围。
为破解上述困局,我们选择将变更作为一个独立的技术域进行抽象,通过定义标准化的变更对象模型与设计管控技术框架,目标是打通从变更定义、平台接入、风险防控到事后分析的全链路,实现一体化、多层次管控。
二、什么是变更?
1. 核心定义
在稳定性领域,变更是指任何对服务运行状态造成影响的行为。这些行为可能来源于研发、SRE、产品或运营的各种活动。从本质上讲,稳定性问题往往是服务从稳定状态向不稳定状态演变的“熵增”过程,而变更正是这一过程的主要推动力。
2. 变更生命周期
一个完整的变更生命周期,描述了从发起、执行到结束的全过程。传统上包括计划、预审、评审、执行和校验等环节。在执行环节,通常会根据变更对象范围进行分批(灰度)发布,以控制单次变更的影响面,避免“熵增”过快过大。
3. 变更平台与变更场景
为精确描述状态变化的过程,我们引入了“变更平台”与“变更场景”的概念。
- 变更平台:发起变更的具体功能平台(如数据库管控平台、发布平台)。
- 变更场景:该平台下某一类具体的变更过程(如“SQL DML变更”、“容器应用发布”)。
每个变更场景都包含详细的结构化描述:
- 基础信息:变更描述、级别、对象、归属等。
- 管控信息:变更内容、批次规划、防御项配置。
这类似于代码中的函数定义,明确了入参、出参、操作对象和调用方。一旦信息被结构化,就能基于CMDB实现跨平台变更关联,为后续的风险预测与智能分析奠定基础。
三、为何要进行体系化管控?
既然变更是故障的主要成因,那么对变更建立体系化的管控能力就至关重要。目标是通过主动干预,减少变更引入的风险,防止风险在变更过程中被放大和扩散。
1. 管控思路
我们将变更视为独立的管控对象,通过平台化与工程化手段实施管控。核心是定义标准的变更信息模型与交互协议,从而提供统一的能力:
- 变更信息归集与感知
- 变更订阅与检索
- 强流程执行与驱动
- 防御配置、检测与阻断
- 应急逃生机制
这使得公司内各类变更平台能够以标准化、轻量的方式接入,最终实现基架与业务系统在变更领域的统一管控,以便在出现问题时能快速溯源定界。
2. 管什么?—— 明确管理对象
在统一管控前,各平台的变更定义分散在脚本或代码中。体系化管控首先要统一管理对象,即变更的模型与变更的过程。
1)变更定义模型
为统一不同平台(应用、配置、基础设施)的变更语义,我们抽象出一个通用的变更信息模型作为中介层。
该模型分为两部分:
- 基本信息:变更方式、变更对象(类型与ID)、变更环境、变更时间、变更人员、变更内容描述。
- 管控信息:变更诉求(如日常迭代、故障处理)、变更场景、变更范围(机器分批/流量灰度)、变更影响。
标准化的模型为后续的变更感知、防御、审计以及故障根因分析提供了统一的数据基础。
2)变更流模型
变更生效通常遵循特定流程和范围。我们抽象出两类基础变更流模型:
- 逐步生效模型:适用于可分批的变更。
- a. 按机器分批生效。
- b. 按流量比例分批生效。
- 一次性生效模型:适用于无法拆分的变更(如某些数据库配置变更)。
在我们定义的流模型中,任何变更都包含初始化节点、结束节点以及0到多个变更批次节点。我们可以在这些节点上设置管控规则:
- 初始化节点:执行准入检查(如权限、资源配置)。
- 批次节点:执行前置与后置校验(如环境状态、业务指标)。
- 结束节点:执行后置检查(如配置生效状态、服务完整性)。
3. 控什么?—— 定义管控等级
基于变更流模型与生效范围,我们采用差异化管控策略,并参考AlterShield引入了五个管控等级,便于内部理解和推广:
| 管控等级 |
含义 |
变更节点数量 |
生命周期定义 |
使用场景 |
| G0 |
仅事件同步,无管控 |
1个 |
仅事件同步节点 |
无风险变更,仅用于检索与审计 |
| G1 |
单节点切面管控 |
1个 |
初始化 -> 结束 |
低风险变更,仅需事前准入与事后校验 |
| G2 |
完整工单,分批管控 |
多个 |
工单开始 -> 批次开始/结束 -> 工单结束 |
需逐步生效并配套风险管控的主流场景 |
| G3 |
G2基础上,增加提单感知 |
多个 |
增加变更提单阶段 |
非技术人员或代理执行,需系统辅助风险分析 |
| G4 |
G3基础上,增加无人值守决策 |
多个 |
增加无人值守决策阶段 |
需系统代理执行的自动化变更场景 |
每个更高等级都在前一等级基础上增加了管控维度和要求。基于标准模型与等级,我们将变更管控能力抽离,构建了统一的ChangePilot平台。这让SRE团队能更专注于风险治理,业务平台团队能更专注于功能开发,并根据场景选择最合适的管控等级,避免过度改造。
四、平台总览:ChangePilot架构设计
ChangePilot面向不同角色提供丰富功能:
- 变更信息接入:通过标准模型定义和托管变更场景,支持全生命周期编排。
- 变更信息感知:覆盖服务器、网络、数据库、中间件、PaaS、应用发布与配置等全领域变更,提供搜索、订阅、影响面分析。
- 变更过程防控:根据管控等级与防御能力,实现风险的发现与阻断。
- 变更过程分析:对变更防控效果进行度量与持续优化。
五、平台核心实践
1. 变更场景接入
所有管控都基于具体的变更场景。平台接入的核心是完成变更场景元信息的定义与录入。
在技术上,一个变更场景的定义如下(以Go为例):
type ChangeScene struct {
// 归属变更平台
Platform
// 关联变更资源类型
SourceType
// 基础信息(变更内容)Schema
ContentSchema
// 管控信息(批次内容)Schema
StepSchema
// 检查项
[]Navigation
// ...
}
变更源平台接入ChangePilot后,需在此托管其变更场景,之后的实际变更都将基于该场景实例化并执行管控。
1)变更行为控制
ChangePilot基于变更流模型提供标准接口:
type ChangeControl interface {
// 变更初始化
InitChange()
// 变更结束
FinishChange()
// 变更批次开始
StartChangeStep()
// 变更批次结束
EndChangeStep()
}
变更源平台需在流程各节点调用相应接口,触发ChangePilot执行预定义的检查(准入、前后置校验等),只有检查通过才能进入下一环节。
2)G0-G2等级接入实践
- G0:仅需在变更开始(
InitChange)和结束(FinishChange)时同步事件,无检查。
- G1:在变更初始化时进行准入检查,变更结束后进行后置检查。
- G2:最丰富的管控场景,需在变更初始化、每个批次开始/结束、变更结束等多个节点与ChangePilot交互,执行完整的风险管控链。
不同业务对管控的需求各异。ChangePilot提供了统一的检查项执行框架,允许为不同变更场景灵活配置不同的防御检查规则。
2. 变更防控建设
在变更场景中配置防御检查项,是实现管控的关键。我们将每个节点的风险管控抽象为统一的“检查项”(Navigation)。
type Navigation interface {
ParamProvider() func(context.Context, Info) (Param, error)
SpecProvider() func(context.Context, Info) (Spec, error)
Execute(context.Context, Param, Spec) (Result, error)
}
ParamProvider: 从变更信息中生成检查参数。SpecProvider: 从变更信息中生成检查规范。Execute: 执行检查,返回结果。
基于此抽象,ChangePilot集成了通用内置检查项,并支持三方检查项接入。
1)内置检查项示例
- 变更规范校验:集成B站强制灰度策略,在批次开始前校验计划是否符合规范,不合规则阻断。
- SLO检查:集成核心业务SLO体系,在变更中若检测到SLO指标跌破阈值,则提示风险并干预。
2)三方检查项接入
业务方可通过实现SpecProvider并定义结果解析表达式,以标准协议将自定义检查项(如业务健康度检查)接入ChangePilot,作用于特定变更场景。
3. 变更内容感知
基于标准模型,ChangePilot能高精细度感知变更内容,提供多维检索(包括全文检索)与灵活的订阅机制(支持IM、webhook、消息队列),下游可按CMDB元信息路径订阅变更事件。
下游平台可利用这些事件进行服务画像分析、关联告警以实现快速问题定位等。
4. 变更智能分析
变更关联分析
许多异常并非由本服务变更直接引起,而是源于上下游或基础设施的级联变更。ChangePilot利用Trace链路数据与CMDB资源拓扑信息,通过统一的资源标识符,聚合关联应用服务所涉及的所有变更(如依赖的数据库、缓存集群、网关等),为故障排查提供全局视图。
六、业务接入实践
1. 运维变更场景:应用发布
B站的应用发布主要分容器发布与物理机发布。ChangePilot对此按G2等级进行管控,收集详细的变更内容(镜像版本、配置版本、新实例信息等)。目前通过API接口接入,未来将提供统一SDK以降低接入复杂度和侵入性。
2. 业务变更场景:网关配置发布
业务网关(负责鉴权、流量治理等)的配置变更(如接口列表、参数调整)也按G2等级接入管控,确保对关键配置的修改可追溯、可管理。
七、实践思考与展望
1. 风险与效率的平衡
变更管控的核心矛盾在于风险与效率。过度管控会损害效率,在应急场景下可能影响恢复速度。因此,我们提供了应急逃生通道:
- 绿色通道:用于快速止损,临时豁免1小时,变更信息会同步通知相关人员以供审计。
- 白名单:用于活动保障等需长时间豁免的场景,需事前审批。
2. 总结与展望
B站变更管控体系仍在持续演进中,目前已覆盖核心变更场景。未来重点在:
- 扩大覆盖:将管控延伸至更多变更平台与场景。
- 深化智能:引入时间序列异常检测对比变更前后指标,利用相似度算法分析日志异常,提升防御精准度。
- 探索新技术:结合LLM等人工智能技术,实现更智能的变更风险感知、辅助分析与决策。
参考资料
发表于 5 天前
|
查看: 15|
回复: 0
