許多 Junior 工程師在接觸平台工程(Platform Engineering)或內部開發平台(IDP)時,常會聽到一個矛盾的說法:如果要系統穩定(Reliability),就必須增加限制、讓流程變得複雜且緩慢;但如果要開發者體驗好(Ergonomics,這裡指人機工程學或易用性),就得移除安全護欄,這會增加風險。
事實上,可靠性與易用性並非對立的權衡,而是一個良性循環。如果一個平台的介面混亂、操作繁瑣,它本身就是不可靠的,因為它在邀請人類犯錯。要建立能規模化擴展的平台,需要從三個支柱著手:自動化可靠性、開發者易用性,以及維運者易用性。
自動化可靠性:將可靠性視為狀態管理
在小規模系統中,可靠性通常是反應式的:警報響了,工程師登入,手動修復。但在大規模分佈式系統中,靠個體英雄主義無法生存。我們需要將可靠性轉化為一種自動化的狀態管理。
這裡的核心概念是控制平面(Control Plane)。你可以把它想像成系統的大腦,像恆溫器一樣,不斷地將實際狀態(Actual State)與期望狀態(Desired State)進行對比並修正。
例如,在處理分佈式系統的熱點(Hot Spots)問題時,傳統做法是維運人員看到 CPU 飆高後手動分片。而擁有控制平面的系統會自動偵測流量、配置新節點並遷移分片。
在實作這種機制時,必須確保工具具有冪等性(Idempotent)。冪等性是指無論執行一次還是多次相同的操作,最終結果都應該是一樣的。因為網路是不穩定的,指令可能會被發送兩次或在半路失敗,冪等性確保系統在恢復過程中不會因為重複操作而導致狀態毀損。
開發者易用性:將可靠性左移
對開發者來說,最好的文件就是自動化。如果你在文件中寫著請不要在迴圈中頻繁呼叫此 API,一定會有人漏看而導致系統崩潰。開發者易用性的目標是打造黃金路徑(Golden Path),讓正確的做法變成阻力最小的路徑。
建議採用強見解的 SDK(Opinionated SDK)模式。SDK 不應只是 API 的封裝,而應是一個可靠性引擎。
首先是模式抽象化。當你發現多個團隊都在用不同的方式實作分佈式鎖(Distributed Lock)或限流器時,這是一個信號,代表你應該將這些模式直接吸收到平台 SDK 中。開發者只需要呼叫 acquire() 和 release(),而複雜的 TTL 心跳、柵欄令牌(Fencing Tokens)等邏輯由 SDK 內部處理。
其次是環境感知預設值。不同的執行環境(如 Bare Metal、Container 或 Serverless)特性截然不同。例如 HTTP Keepalive 在長連接服務中很重要,但在 AWS Lambda 這種凍結與喚醒(Freeze-and-Thaw)的環境中,可能會導致神祕的逾時錯誤。SDK 應該能自動偵測環境並套用最適的設定。
最後是解決重試風暴(Retry Storm)。當後端服務延遲增加,所有客戶端若同步進行簡單的重試,會瞬間將服務壓垮。SDK 應預設實作指數退避與抖動(Exponential Backoff with Jitter)以及斷路器(Circuit Breaking),讓系統有空間恢復。
維運者易用性:消除部落知識
我們常關注開發者體驗,卻忘了維運者(Operator)。如果修復問題需要按照精確順序執行一系列手動指令,這就是一個隱藏的可靠性風險。
維運者最怕的是在壓力極大的 On-call 期間,因為認知負荷過高而執行錯步驟。因此,應將指令式(Imperative)操作轉為宣告式(Declarative)。維運者只需定義我想要把分片擴展到 4 個,而由控制平面去決定如何按順序執行配置、連接與再平衡。
為了降低風險,維運工具應具備以下功能: 預演模式(Dry-run):在正式執行前,告知將會影響哪些節點、預計耗時多久。 爆炸半徑控制(Blast Radius Control):強制要求對生產環境的高風險變更必須經過顯式確認。 分層的可觀測性(Observability Hierarchy):監控看板應遵循 什麼壞了 $\rightarrow$ 在哪裡壞了 $\rightarrow$ 為什麼壞了 的邏輯鏈結,讓新進工程師能像十年資深前輩一樣快速定位問題。
這能有效解決部落知識(Tribal Knowledge)問題。部落知識是指那些只存在於資深人員腦中或舊 Slack 紀錄裡的經驗。將這些經驗編碼進工具中,才能讓團隊真正規模化。
總結:三者的良性循環
這三個支柱構成了一個閉環: 易用的 SDK $\rightarrow$ 產生可預測的流量 $\rightarrow$ 減少維運壓力 $\rightarrow$ 維運者有時間優化平台 $\rightarrow$ 平台更可靠 $\rightarrow$ 進一步提升易用性。
反之,如果工具難用,維運者會犯錯,導致更多事故,工程師陷入救火循環,再也沒有時間改善工具,最終導致平台崩潰。
對於 Junior 工程師來說,請記得:當你在選擇快速修復(Quick Fix)或架構改進時,思考這個改動是在加強哪一個支柱。可靠性不是靠謹慎地操作,而是靠設計一個讓人類很難犯錯的系統。
來源:infoq.com - Three Pillars of Platform Engineering: A Virtuous Cycle
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。