[[378735]]

影響系統(tǒng)穩(wěn)定性的架構(gòu)設(shè)計有哪些?一個可持續(xù)保障的研發(fā)運維流程機制是怎樣的?如何培養(yǎng)團隊技術(shù)人員的意識和能力?本文作者以團隊技術(shù)負責(zé)人的視角，從三大技術(shù)要素和一個業(yè)務(wù)要素，分享在穩(wěn)定性建設(shè)上的實踐性思考和簡要思路。希望對同學(xué)們有所啟發(fā)。

一、概述

自己以及帶領(lǐng)的團隊曾經(jīng)負責(zé)較多不同類型的互聯(lián)網(wǎng)服務(wù)系統(tǒng)，如幾十萬應(yīng)用數(shù)&億級流量的云計算平臺、年營收將近千億的廣告系統(tǒng)、億級用戶千萬級日活的釘釘工作臺系統(tǒng)、億級交易額的釘釘市場&交易系統(tǒng)、算法在線離線工程系統(tǒng)等相關(guān)系統(tǒng)或子系統(tǒng)，整體而言無重大故障，達到定級故障數(shù)也很少，線上穩(wěn)定性保障在一個不錯的水位上。階段性總結(jié)下我從團隊技術(shù)負責(zé)人視角做好穩(wěn)定性建設(shè)的實踐性思考和簡要思路，為感興趣的技術(shù)同學(xué)提供一個實踐指南。

我的團隊穩(wěn)定性建設(shè)思路包括了3大技術(shù)要素：良好的系統(tǒng)架構(gòu)和實現(xiàn)、完備的團隊研發(fā)運維流程機制、技術(shù)同學(xué)良好意識和能力，以及1個業(yè)務(wù)要素：良好的研發(fā)項目管理。

二 良好的系統(tǒng)架構(gòu)和實現(xiàn)

1 架構(gòu)設(shè)計

根據(jù)不同系統(tǒng)業(yè)務(wù)特點、不同發(fā)展階段(系統(tǒng)規(guī)模、團隊規(guī)模)、不同系統(tǒng)指標側(cè)重性要求等，有很多不同的架構(gòu)思路和折中考量，例如存儲選型、服務(wù)化治理、中間件選型、中臺系統(tǒng)抽象等。本文簡要講述會影響系統(tǒng)穩(wěn)定性的一些架構(gòu)設(shè)計點以供參考，設(shè)計考量點具體內(nèi)容可自行搜索細看。

消除單點

從請求發(fā)起側(cè)到服務(wù)處理返回的調(diào)用全鏈路的各個環(huán)節(jié)上避免存在單點(某個環(huán)節(jié)只由單個服務(wù)器完成功能)，做到每個環(huán)節(jié)使用相互獨立的多臺服務(wù)器進行分布式處理，要針對不同穩(wěn)定性要求級別和成本能力做到不同服務(wù)器規(guī)模分布式，這樣就避免單個服務(wù)器掛掉引發(fā)單點故障后進而導(dǎo)致服務(wù)整體掛掉的風(fēng)險?？赡苌婕暗沫h(huán)節(jié)有端動態(tài)獲取資源服務(wù)(html& js &小程序包等)、域名解析、多服務(wù)商多區(qū)域多機房IP入口、靜態(tài)資源服務(wù)、接入路由層、服務(wù)邏輯層、任務(wù)調(diào)度執(zhí)行層、依賴的微服務(wù)、數(shù)據(jù)庫及消息中間件。

消除單點的策略：

• 在服務(wù)邏輯層采用多運營商多IP入口、跨地&同地多機房部署、同機房多機器部署、分布式任務(wù)調(diào)度等策略。
• 在數(shù)據(jù)存儲層采用數(shù)據(jù)庫分庫分表、數(shù)據(jù)庫主從備集群、KV存儲&消息等分布式系統(tǒng)集群多副本等策略。
• 有分布式處理能力后，需要考慮單個服務(wù)器故障后自動探活摘除、服務(wù)器增刪能不停服自動同步給依賴方等問題，這里就需引入一些分布式中樞控制系統(tǒng)，如服務(wù)注冊發(fā)現(xiàn)系統(tǒng)、配置變更系統(tǒng)等，例如zookeeper是一個經(jīng)典應(yīng)用于該場景的一個分布式組件。

數(shù)據(jù)一致性

在分布式處理以及微服務(wù)化后，相關(guān)聯(lián)的數(shù)據(jù)會存在于不同的系統(tǒng)之中，相關(guān)聯(lián)的數(shù)據(jù)庫表、數(shù)據(jù)存儲、緩存等數(shù)據(jù)會因為架構(gòu)設(shè)計或子系統(tǒng)抖動故障失敗等原因，導(dǎo)致彼此數(shù)據(jù)出現(xiàn)不一致，這也是一類穩(wěn)定性故障。最簡單的一致性，就是關(guān)系型數(shù)據(jù)庫的同請求內(nèi)同庫相關(guān)聯(lián)的多個數(shù)據(jù)表更新的一致性， 這個可通過數(shù)據(jù)庫的事務(wù)以及不同事務(wù)級別來保證。從架構(gòu)層面，數(shù)據(jù)一致性也會根據(jù)業(yè)務(wù)特點，做強一致性、最終一致性的架構(gòu)選型，不同選型根據(jù)CAP理論，也會帶來可用性以及分區(qū)容忍性的一些折衷。

在做好SLA高的基礎(chǔ)系統(tǒng)選型、分布式事務(wù)中間件使用、冪等設(shè)計，針對性提升好微服務(wù)本身SLA后，可根據(jù)不同數(shù)據(jù)一致性級別要求，考慮通過消息觸發(fā)多系統(tǒng)對賬、定時調(diào)度對賬、子流程失敗后主動投遞消息延遲重試、消息消費失敗后回旋重試、數(shù)據(jù)庫記錄過程中狀態(tài)后做定時調(diào)度掃描未成功記錄后重試、離線全量對賬。緩存更新機制不合理也容易引發(fā)緩存和數(shù)據(jù)庫之間數(shù)據(jù)不一致，一般在數(shù)據(jù)更新時考慮并發(fā)更新時緩存刪除優(yōu)先或固定單線程串行更新策略。

復(fù)雜分布式業(yè)務(wù)系統(tǒng)或微服務(wù)化治理后，基于消息中間件的解耦是普遍方式，這時選擇一個確保自身不重不丟以及高SLA消息中間件非常重要，利用消息中間件自身的多次回旋重試基本能保障很高的最終一致性，數(shù)據(jù)一致性要求更高的，再配合不同級別對賬機制即可。

強弱依賴梳理和降級

當(dāng)服務(wù)依賴各類微服務(wù)時，避免強依賴(依賴服務(wù)掛掉會到自己服務(wù)掛掉)，盡可能在對應(yīng)服務(wù)出現(xiàn)問題時做到自動降級處理(弱依賴)或者手工降級，降級后依賴服務(wù)功能局部去掉或做合適局部提示，局部體驗上有部分降級，但不會讓主鏈路和整體功能掛掉。對于穩(wěn)定性要求很好的關(guān)鍵系統(tǒng)，在成本可接受的情況下，同時維護一套保障主鏈路可用的備用系統(tǒng)和架構(gòu)，在核心依賴服務(wù)出現(xiàn)問題能做一定時間周期的切換過渡(例如mysql故障，階段性使用KV數(shù)據(jù)庫等)，例如釘釘IM消息核心系統(tǒng)就實現(xiàn)對數(shù)據(jù)庫核心依賴實現(xiàn)一套一定周期的弱依賴備案，在核心依賴數(shù)據(jù)庫故障后也能保障一段時間消息收發(fā)可用。

強依賴的服務(wù)越少，系統(tǒng)整體基礎(chǔ)穩(wěn)定性就越高。部分特殊數(shù)據(jù)依賴多于邏輯依賴的系統(tǒng)，做去依賴架構(gòu)設(shè)計也是一個思路，將依賴服務(wù)數(shù)據(jù)統(tǒng)一整合到自有服務(wù)的數(shù)據(jù)存儲中，通過消息 或定時更新的方式更新，做到不依賴 或少依賴其他系統(tǒng)，進而提高穩(wěn)定性，但這樣做也會有副作用：數(shù)據(jù)冗余可能會引發(fā)不同程度一定時間窗口數(shù)據(jù)不一致性。

熱點或極限值處理

業(yè)務(wù)規(guī)模以及數(shù)據(jù)規(guī)模大的部分系統(tǒng)，在系統(tǒng)中會出現(xiàn)數(shù)據(jù)熱點、數(shù)據(jù)極度傾斜、少量大客戶超過極限閾值使用等極限場景，例如超級大客戶廣告投放物料、廣告點擊展示數(shù)據(jù)、API調(diào)用頻次都是比普通客戶大很多，如果按照客戶維度分庫分表，基本在物料更新、查詢、報表查看等一系列的場景都可能導(dǎo)致單庫抖動，這除了影響大客戶自己外也會影響分布在該分庫分表上所有普通客戶。電商中極度暢銷商品以及秒殺、企業(yè)IM中大組織群&大組織涉及全員關(guān)注更新行為、微博等訂閱類明星大V的信息發(fā)布等都是少量極限場景可能會引發(fā)整體系統(tǒng)穩(wěn)定性問題。因此，架構(gòu)設(shè)計時，要分析自己系統(tǒng)中是否存在極限場景并設(shè)計對應(yīng)方案做好應(yīng)對。

極限場景中不同類型場景處理架構(gòu)方案也不一樣，可能的方式：

• 大客戶從普通客戶分庫分表中拆出來隔離建庫表，隔離享用專有資源以及獨立庫表拆分路由邏輯以及隔離服務(wù)邏輯計算資源;
• 大客戶特定極限數(shù)據(jù)計算做預(yù)約計算以及預(yù)加載，在低峰期預(yù)約或提前優(yōu)化完成;
• 秒殺系統(tǒng)極限值可以考慮核心邏輯簡化+消息解耦、同商品庫存拆分獨立交易、部分查詢或處理KV存儲替代關(guān)系型存儲、數(shù)據(jù)提前預(yù)熱加載、排隊、限流策略等策略;
• 大組織IM場景設(shè)計合適讀擴散或?qū)憯U散的策略，同時針對業(yè)務(wù)特點(不同人延遲度不一樣)做到不同人員體驗平滑，或者為大組織或大V提供專屬計算存儲資源或?qū)俨樵兏逻壿嫛?/li>
• 在特定極限值系統(tǒng)架構(gòu)以及資源無法滿足的情況，產(chǎn)品側(cè)以及技術(shù)側(cè)要明確采用最高閾值調(diào)用限制。

資金交易類系統(tǒng)要仔細考慮資損的風(fēng)險

交易系統(tǒng)對于數(shù)據(jù)準確性、一致性、資金損失等都是很敏感的，這一塊在是否使用緩存、事務(wù)一致性考量、數(shù)據(jù)時延、數(shù)據(jù)不丟不重、數(shù)據(jù)精準核對和恢復(fù)等需要額外架構(gòu)設(shè)計考量。仔細評估交易以及營銷的全鏈路各個環(huán)節(jié)，評估其中出現(xiàn)資損的可能性以及做好應(yīng)對設(shè)計，例如增加多層級對賬、券總額度控制、異常金額限制和報警等資損防控的考量等。不同層次不同維度不同時間延遲的對賬以及預(yù)案是一個重要及時感知資損和止血的有效方式。全鏈路的過程數(shù)據(jù)要做好盡可能持久化和冗余備份，方便后續(xù)核對以及基于過程數(shù)據(jù)進行數(shù)據(jù)修復(fù)，同時盡量針對特殊數(shù)據(jù)丟失場景提供快速自動化修復(fù)處理預(yù)案(如交易消息可選擇性回放和基于冪等原則的重新消費)。

離線數(shù)據(jù)流

基于數(shù)據(jù)的搜索推薦、機器學(xué)習(xí)算法系統(tǒng)、數(shù)據(jù)產(chǎn)品等，核心功能依賴離線產(chǎn)出 或 增量產(chǎn)出數(shù)據(jù)，這類數(shù)據(jù)可能規(guī)模大、來源廣、生產(chǎn)鏈路長，在整體生產(chǎn)和傳輸鏈路中，很容易出現(xiàn)數(shù)據(jù)少量丟失、部分環(huán)節(jié)失敗、數(shù)據(jù)生產(chǎn)延遲等情況，最終消費在線系統(tǒng)也很難感知少量數(shù)據(jù)錯誤進而導(dǎo)致故障。

針對離線數(shù)據(jù)流，要增加不同傳輸環(huán)節(jié)數(shù)據(jù)完整性校驗、不同生產(chǎn)環(huán)節(jié)數(shù)據(jù)正確性校驗、數(shù)據(jù)延遲監(jiān)控、數(shù)據(jù)生產(chǎn)失敗監(jiān)控、端到端數(shù)據(jù)正確性規(guī)則校驗、數(shù)據(jù)錯誤或延遲兜底預(yù)案、數(shù)據(jù)回滾重刷工具等機制。機器學(xué)習(xí)類系統(tǒng)還要考慮離線特征和線上特征數(shù)據(jù)一致性，確保離線訓(xùn)練的模型，線上預(yù)測應(yīng)用效果是一致的，因此模型上線時以及線上定期做離線和線上特征數(shù)據(jù)一致性核對。

其他異常情況處理

整體系統(tǒng)架構(gòu)，除了正向邏輯、性能、擴展性設(shè)計等外，要增加一個異常設(shè)計視角，窮盡思考各類異常情況以及設(shè)計應(yīng)對策略。

2 容量評估設(shè)計

系統(tǒng)設(shè)計整體至少考慮應(yīng)對5到10倍或近1到3年系統(tǒng)規(guī)模增長，要保障后續(xù)通過增加機器資源等快速方式能實現(xiàn)系統(tǒng)水平擴容。例如分庫分表的規(guī)模提前設(shè)計好提前量，避免臨時數(shù)據(jù)庫能力不足導(dǎo)致需要臨時重構(gòu)擴容(增加分庫分表以及修改路由以及遷移數(shù)據(jù));服務(wù)邏輯層設(shè)計持有數(shù)據(jù)狀態(tài)導(dǎo)致無法加機器做服務(wù)層擴容?；ヂ?lián)網(wǎng)產(chǎn)品發(fā)展變化較快，不一定會如期爆發(fā)，容量架構(gòu)設(shè)計上也要注意不要過度提前設(shè)計，避免提前復(fù)雜化引發(fā)研發(fā)效率以及機器成本問題。

針對線上流量峰值，建議系統(tǒng)常態(tài)保持近期峰值3倍左右容量余量，上線前和上線后要定期做壓測摸高，寫流量可用影子表等方式做壓測，壓測可單接口以及模擬線上流量分布壓測結(jié)合，根據(jù)壓測結(jié)果優(yōu)化架構(gòu)或擴容，持續(xù)保持容量富余。

對于可能超過系統(tǒng)現(xiàn)有容量的突發(fā)峰值，限流策略是線上要配置的策略。入口側(cè)入口流量調(diào)用 、不同渠道服務(wù)依賴調(diào)用、對依賴服務(wù)的調(diào)用都要評估可極限調(diào)研的上限值，通過中間件等合適方式限制超過閾值調(diào)用，避免引發(fā)雪崩效應(yīng)。特定業(yè)務(wù)系統(tǒng)，對于超過峰值流量，可以通過消息架構(gòu)以及合適體驗設(shè)計做削峰填谷。針對惡意攻擊流量也要考慮在入口層部署防DDOS攻擊的流量清洗層。

部分系統(tǒng)峰值變化較大且需要持續(xù)盡可能承載保障，可考慮引入彈性伸縮策略，預(yù)約 或根據(jù)流量變化觸發(fā)系統(tǒng)自動擴縮容，以確保以盡量小成本來自動化滿足變化峰值。

3 運維方案設(shè)計

系統(tǒng)要考慮持續(xù)迭代發(fā)布變更以及線上運維的訴求，做到可灰度、可監(jiān)控、可回滾。

可灰度保障及時在小流量情況，發(fā)現(xiàn)問題，避免引發(fā)大范圍故障。因此在做系統(tǒng)任何變更時，要考慮灰度方案，特別是大用戶流量系統(tǒng)。灰度方式可能有白名單用戶、按用戶Id固定劃分后不同流量比例、機器分批發(fā)布、業(yè)務(wù)概念相關(guān)分組分比例(例如某個行業(yè)、某個商品、某類商品)等，灰度周期要和結(jié)合系統(tǒng)風(fēng)險和流量做合適設(shè)計，重要系統(tǒng)灰度周期可能持續(xù)超過一周或更多。

監(jiān)控項要系統(tǒng)性確認是否完備以及保持更新，可能監(jiān)控項：錯誤日志前端js錯誤、用戶體驗到的性能和白屏率、接口成功率、依賴服務(wù)成功率、機器基礎(chǔ)負載相關(guān)監(jiān)控(CPU利用率、cpu Load、內(nèi)存、IO、網(wǎng)絡(luò)等)、服務(wù)基礎(chǔ)監(jiān)控(端口、進程、狀態(tài)探活、JVM full gc、OOM等)、數(shù)據(jù)庫負載監(jiān)控、數(shù)據(jù)庫慢請求、流量同比劇烈變化。監(jiān)控項的報警策略也要根據(jù)業(yè)務(wù)系統(tǒng)特點以及監(jiān)控項的特點，做不同報警策略設(shè)計，例如秒級&分鐘級報警、錯誤率報警、錯誤日志次數(shù)報警、連續(xù)出錯報警等。核心監(jiān)控可摘要一個監(jiān)控大盤，一個大盤快速判斷服務(wù)穩(wěn)定性情況。

可回滾：新增功能增加配置開關(guān)，當(dāng)線上出現(xiàn)問題時，可通過關(guān)閉功能開關(guān)，快速下線最新升級 或部分有問題功能。針對不同出錯場景，有配置驅(qū)動一些預(yù)案，例如降級對某個服務(wù)的依賴、提供合適功能維護中公告、切換到備用服務(wù)等預(yù)案，在特定問題出現(xiàn)時，可以快速做線上止損和恢復(fù)。發(fā)布功能注意提前考慮出現(xiàn)問題時快速回滾步驟，部分經(jīng)常發(fā)布注意對回滾步驟做演練。

4 安全設(shè)計

數(shù)據(jù)以及應(yīng)用安全問題一旦出現(xiàn)可能很致命，一定要加以考慮。安全是一個比較專業(yè)領(lǐng)域，常規(guī)在針對業(yè)務(wù)系統(tǒng)經(jīng)典安全場景做好考量的同時，盡量引入專業(yè)安全技術(shù)同學(xué)評估。所有資源訪問需要合適鑒權(quán)，避免越權(quán)訪問;防Sql注入等攻擊，做參數(shù)合法性校驗;資源消耗頻次管控，如短信資源等;用戶防騷擾，設(shè)置用戶通知、彈屏等觸達閾值和頻次;敏感信息過濾或脫敏等。

5 高質(zhì)量的代碼實現(xiàn)

合適實現(xiàn)和經(jīng)典性實踐是非常重要代碼質(zhì)量保障的方式，大量線上問題還是由少量代碼細節(jié)考慮不周全和經(jīng)驗不足引發(fā)的。這方面考量不同語言都會有自己一些最佳的實踐，例如Java，可以參考《Java開發(fā)手冊》。比較通用保障方式是分支覆蓋完備的單元測試 、線上引流回歸測試、完備回歸測試用例等測試質(zhì)量保障措施。

三 團隊研發(fā)運維流程機制

穩(wěn)定性涉及團隊所有不同水平同學(xué)、所有系統(tǒng)、研發(fā)所有環(huán)節(jié)、線上時時刻刻，單個同學(xué)是無法保障好的，必須建立團隊流程機制來可持續(xù)保障。

主要流程機制如下：

• 技術(shù)Review：不同體量設(shè)計安排經(jīng)驗更加豐富同學(xué)Review，架構(gòu)師、主管、外部架構(gòu)師的Review、定期系統(tǒng)整體Review等。
• 代碼Code Review：建立規(guī)范和標準，通過CR認證合格同學(xué)執(zhí)行code review動作。
• 單測：不同風(fēng)險的系統(tǒng)設(shè)定盡量高的行覆蓋 & 分支覆蓋率標準，復(fù)雜邏輯類追求100%分支覆蓋。
• 回歸測試：持續(xù)積累回歸用例，在上線前和上線后執(zhí)行回歸動作;上線前線上引流測試也是一種模擬測試方式，端類型系統(tǒng)還可以用monkey工具做隨機化測試。
• 發(fā)布機制：設(shè)計發(fā)布準入和審批流程，確保每次上線發(fā)布都是經(jīng)過精細設(shè)計和審核的，上線過程要做到分批、灰度、支持快速回滾、線上分批觀察(日志確認)、線上回歸等核心動作。建立發(fā)布紅線等機制，不同系統(tǒng)設(shè)計合適發(fā)布時段以及發(fā)布灰度觀察周期。
• 團隊報警值班響應(yīng)機制 (報警群、短信、電話)：確保報警有合適人員即時響應(yīng)處理，團隊層面可定期做數(shù)據(jù)性統(tǒng)計通曬，同時建立主管或架構(gòu)師兜底機制。
• 定期排查線上隱患：定期做線上走查和錯誤日志治理、告警治理，確保線上小的隱患機制化發(fā)現(xiàn)和修復(fù)。例如在釘釘針對企業(yè)用戶早晚高峰的特點，設(shè)計早值班機制，用于高峰期第一時間應(yīng)急以及每天專人花一定時間走查線上，該機制在釘釘技術(shù)團隊持續(xù)踐行多年，有效發(fā)現(xiàn)和治理了釘釘各個線上系統(tǒng)的隱患。
• 用戶問題處理機制：Voc日清、周清等。在釘釘也經(jīng)歷Voc周清到日清的持續(xù)機制精進。
• 線上問題復(fù)盤機制：天內(nèi)、周內(nèi)問題及時復(fù)盤，確保針對每個線上問題做系統(tǒng)和團隊精進。
• 代碼質(zhì)量抽查通曬：定期抽查團隊同學(xué)代碼，做評估和通曬，鼓勵好的代碼，幫助不好代碼的改善。
• 成立穩(wěn)定性治理專門topic：合適同學(xué)每周做好穩(wěn)定性過程和精進。
• 定期壓測機制：定期機制化執(zhí)行，核查線上容量情況。
• 日常演練機制：預(yù)案演練，模擬線上故障的不通知的突襲演練提升團隊線上問題應(yīng)對能力。

流程機制要和團隊同學(xué)共創(chuàng)達成一致后，配合建立topic負責(zé)人機制，對流程機制執(zhí)行度和執(zhí)行效果要做好過程監(jiān)測和通曬，建立明確數(shù)字化標準和衡量機制(例如釘釘技術(shù)團隊針對線上問題設(shè)定1-5-10標準，1分鐘響應(yīng)5分鐘內(nèi)定位10分鐘內(nèi)恢復(fù))，同時建立對應(yīng)獎懲機制。流程機制也要根據(jù)系統(tǒng)狀態(tài)進行精簡或精進，確保流程機制可執(zhí)行性和生命力。

四 技術(shù)同學(xué)意識和能力

人的意識是最重要的，專業(yè)能力可以鍛煉培養(yǎng)。如果意識不足或松懈，好的能力以及機制流程也會形同虛設(shè)。

永遠要對敬畏線上，敬畏客戶體驗。面向線上的穩(wěn)定性戰(zhàn)術(shù)上可以基于專業(yè)度鍛煉后自信，但戰(zhàn)略和思想上必須持續(xù)如履薄冰、三省吾身。線上穩(wěn)定性保障是作為技術(shù)人自己專業(yè)度的追求和必須保持初心，始終保持敬畏。不因為業(yè)務(wù)繁忙、個人心情狀態(tài)、團隊是否重視而有變化，只要職責(zé)在，就要守護好。技術(shù)主管以及系統(tǒng)owner要有持續(xù)感知穩(wěn)定性隱患和風(fēng)險，保持銳度，集中性以及系統(tǒng)性查差補漏。

1 團隊對線上敬畏的一些具象體現(xiàn)和要求

每個報警不要放過，每個報警及時響應(yīng)處理

快速定位和快速恢復(fù)是個人以及團隊專業(yè)能力沉淀，但快速報警響應(yīng)是每個敬畏線上敬畏用戶體驗的技術(shù)同學(xué)可以做到的。

在監(jiān)控完備和持續(xù)前提下，每個報警及時處理即可以降低故障影響范圍，也會持續(xù)減少小的隱患。報警一些小的實踐技巧：報警按照方向收斂報警群，建立報警天級值班機制，報警短信手機設(shè)置為震動模式(不打擾同空間家人或朋友情況下，自己第一時間感知)，主管要訂閱報警作為團隊報警兜底處理人，報警響應(yīng)好的同學(xué)和不好的同學(xué)要數(shù)據(jù)化表揚和批評。

從團隊角度，報警及時響應(yīng)必須配合報警治理進行，否則過多無效報警也會讓有責(zé)任心的同學(xué)變得麻木。所以必須控制無效報警的數(shù)量，例如單應(yīng)用無效報警(不需要線上問題進行定位以及修復(fù)處理的)不要超過5條，個人維度無效報警天級別不超過10條。

線上問題要復(fù)盤，不論是否為定級故障，不論問題大小

小的線上問題也要復(fù)盤，復(fù)盤準備度可以低于定級故障，但都需要思考反思以及落實優(yōu)化Action。小的線上問題就是未來線上故障的前兆。我們團隊周會上都會有一個環(huán)節(jié)，上周如有線上問題則會安排對觸發(fā)人做復(fù)盤。

錯誤日志要重視

要定期分析線上錯誤日志，隱患的問題是藏在錯誤日志中的。我們現(xiàn)在技術(shù)團隊會有早值班機制，每個方向每天都有一個技術(shù)同學(xué)走查線上，以發(fā)現(xiàn)線上隱患問題為導(dǎo)向，走查監(jiān)控大盤、錯誤日志、用戶反饋，通過這個例行機制，很好地防微杜漸。

每個用戶反饋要重視，定位到根本原因

一個用戶反饋背后必然有多個實際線上問題，只是這個用戶無法忍受，知道反饋路徑以及對這個產(chǎn)品有熱愛 或強依賴才選擇反饋的。徹底定位一個voc，就是修復(fù)了一類線上問題。而且到用戶反饋的程度，這個線上問題就已經(jīng)有一定程度用戶體驗影響了。我們現(xiàn)在技術(shù)團隊有一個voc日清機制，針對線上voc問題對用戶做好日內(nèi)響應(yīng)答復(fù)，也是一個不錯對于這個意識的數(shù)字化衡量。

2、能力培養(yǎng)

單個技術(shù)同學(xué)個人技術(shù)以及穩(wěn)定性保障能力是團隊在每個穩(wěn)定性任務(wù)上拿到結(jié)果的執(zhí)行者和基礎(chǔ)，因此技術(shù)主管重視識別不同同學(xué)個人優(yōu)勢和不足，針對性做工作安排以及培養(yǎng)鍛煉。只要線上意識上足夠重視，能力對于大部門技術(shù)同學(xué)是可以培養(yǎng)的。

團隊內(nèi)同學(xué)由于入行時間、歷史經(jīng)驗等各方面原因，對于當(dāng)前系統(tǒng)穩(wěn)定性保障能力是有強弱的差異的，對于個人是正常情況，但對于團隊而言，不能因為團隊個別同學(xué)能力上存在不足而引入團隊層面穩(wěn)定性保障風(fēng)險。需要主管很好熟悉以及判斷同學(xué)能力段位，在負責(zé)系統(tǒng)和模塊、流程機制約束、輔導(dǎo)人等方面做好差異化安排。例如校招同學(xué)X個月不做線上發(fā)布，前X個月發(fā)布有師兄協(xié)同發(fā)布機制，并發(fā)高 或資金交易等等風(fēng)險高的系統(tǒng)讓更加有經(jīng)驗的負責(zé)。同時設(shè)計培養(yǎng)機制，能力當(dāng)前不足但有潛力的同學(xué)，可以安排由經(jīng)驗豐富的同學(xué)指導(dǎo)以及提供一些進階實操路徑，按照節(jié)奏從易到難逐漸承擔(dān)更高風(fēng)險的系統(tǒng)職責(zé)。

能力培養(yǎng)方式有技術(shù)Review、代碼CR和輔導(dǎo)、參與團隊穩(wěn)定性保障機制、安排合適師兄指導(dǎo)、過程中主管指導(dǎo)、逐漸承擔(dān)更高職責(zé)等。代碼層面，對于Java同學(xué)來說， 《Java開發(fā)手冊》是一個很好的實踐性指南，超出代碼風(fēng)格，提供了日志、異常處理、集合等庫使用、數(shù)據(jù)庫設(shè)計、分層設(shè)計等多個提升代碼質(zhì)量的實踐做法，我們自己團隊所有Java研發(fā)同學(xué)都會100%通過阿里云上阿里巴巴代碼認證考試，同時團隊有一個團隊內(nèi)新人品碼機制，同時釘釘大技術(shù)團隊層面有一個品碼會機制，這些都是不錯地培養(yǎng)同學(xué)寫出好代碼的培養(yǎng)方式。

好多小團隊、大團隊、公司都有很多不錯提升穩(wěn)定性機制和案例，積極主動參考學(xué)習(xí)以及結(jié)合自己業(yè)務(wù)系統(tǒng)思考踐行，是自己提升重要路徑。架構(gòu)上高可用以及架構(gòu)相關(guān)經(jīng)典書籍自我學(xué)習(xí)，從理論上做系統(tǒng)性認知也是有必要，相關(guān)書籍網(wǎng)上有很多推薦，例如《高性能網(wǎng)站建設(shè)》、《大型網(wǎng)站系統(tǒng)與Java中間件實踐》等。

少量的同學(xué)在主管和團隊盡可能幫助和輔導(dǎo)后在穩(wěn)定性性保障的意識和能力上持續(xù)不能達標，這類同學(xué)要做好階段性高風(fēng)險系統(tǒng)隔離以及堅定做汰換。對業(yè)務(wù)、客戶體驗、團隊內(nèi)其他同學(xué)負責(zé)，及時汰換他以降低這一塊穩(wěn)定性風(fēng)險。

五、良好的研發(fā)項目管理

從經(jīng)驗看，線上系統(tǒng)大部分故障是由新的變更引入和觸發(fā)的，變更是業(yè)務(wù)和產(chǎn)品迭代演進方式，因此不可能沒有變更，但我們可以對變更項目做合適質(zhì)量管理，進而有效提高線上穩(wěn)定性。

項目管理的四要素：工作范圍(需求)、時間(交付時間)、質(zhì)量、成本(人 & 機器資源等)，簡稱STQC，這四個要素是相互關(guān)聯(lián)的和制約的，形成一個項目管理質(zhì)量管理鐵三角，一個要素變動就會影響到其他要素，因此要保障好質(zhì)量就必須要考慮怎么管理好其他三個要素。

此外，我們可以進一步理解項目成功的要素，以終為始聚焦考慮如何提升實際影響成功的質(zhì)量，成功的項目不僅取決于項目本身從開始到結(jié)束的執(zhí)行過程，還取決于開始前和結(jié)束后的努力。成功的項目應(yīng)該取決于三個階段的努力：

• 項目開始前必須 “了解什么是客戶的成功”，只有客戶成功了項目才能成功;——理解客戶真正的需求。
• 項目執(zhí)行中能夠“擔(dān)負客戶成功的責(zé)任”，按要求完成承諾的工作。
• 項目結(jié)束后能“幫助客戶實現(xiàn)價值”，只有客戶說項目成功了才是真正的成功。——幫助客戶實現(xiàn)業(yè)務(wù)目標、用戶價值目標、商業(yè)價值目標。

質(zhì)量管理鐵三角

互聯(lián)網(wǎng)產(chǎn)品迭代速度很快，推崇快速推出、快速試錯、快速占據(jù)市場先機，交付時間的快是互聯(lián)網(wǎng)產(chǎn)品、業(yè)務(wù)同學(xué)對于研發(fā)團隊顯性的要求，而交付質(zhì)量和線上持續(xù)穩(wěn)定則是一個隱性需求，產(chǎn)品業(yè)務(wù)默認研發(fā)團隊應(yīng)該做到，但往往在時間、成本等方面沒有給予顯性考慮，這一塊就需要研發(fā)項目管理同學(xué)主動評估考量進來，有自己專業(yè)判斷和堅持。

理解好真正的客戶需求和交付后客戶價值的實現(xiàn)，可以幫助在四要素沖突的時候合適取舍需求來保障時間和質(zhì)量，以及和業(yè)務(wù)產(chǎn)品&客戶基于客戶價值實現(xiàn)爭取時間、資源來保障質(zhì)量。項目管理角度穩(wěn)定性保障基本動作包括確定和充分理解幫助客戶成功的需求范圍、控制好需求變更、預(yù)留質(zhì)量保障環(huán)節(jié)時間、動態(tài)管控交付預(yù)期時間、爭取充足人力以及機器等成本資源。進階動作：在提前了解和理解甚至共同參與制定業(yè)務(wù)戰(zhàn)略和策略基礎(chǔ)上提前規(guī)劃需求范圍和研發(fā)節(jié)奏&人員排兵布陣&架構(gòu)布局、深入理解業(yè)務(wù)基礎(chǔ)上協(xié)助做需求取舍和優(yōu)化。