Roblox 发布宕机报告，并表示关键业务坚决不上云

1 月 20 日，在线游戏平台 Roblox 发布了一份报告，详细解释了去年 10 月份的长达 73 小时的宕机事故原因。Roblox 表示宕机主要是因启用了 Consul 较新的流式传输功能导致性能下降最终引起系统崩溃。Consul 是 HashiCorp 开发的免费开源服务网络平台。

Roblox 是目前在全球范围内备受欢迎的在线游戏平台，涉及数百个内部在线服务，日活跃用户超过 5000 万，其中许多人的年龄在 13 岁或以下。值得一提的是，Roblox 还被认为是“元宇宙”（metaverse）的关键参与者。

去年万圣节前夕（10 月 28 日），Roblox 发生了一次超长时间宕机事故。由于长时间都不能恢复服务，对产品信誉造成了比较大的影响。Roblox 创始人兼 CEO 大卫·巴斯祖奇（David Baszucki）随后在一篇博客文章中称：“花了这么长时间才恢复服务，我们对此表示歉意。”并表示“这一次的宕机问题很复杂，难以解决，因为它涉及几个因素的组合。由于我们后端服务通信在负载过重时出现了一个细微的错误，导致我们基础设施中的核心系统变得不堪重负。但这并不是因为对外流量或任何特定体验超出峰值所致。相反，故障是由我们数据中心服务器数量的增长造成的。”

事情过去快三个月，Roblox 终于发布了详细的报告。在报告中，Roblox 的技术人员解释到，Roblox 程序运行在他们自己的数据中心中，拥有超过 18,000 台服务器和 170,000 个容器，部署规模巨大。为了在多个站点上运行数千台服务器，Roblox 使用了“HashiStack”技术套件。其中包含 Consul，以 Master/slave 模式来管理集群状态，进行服务发现、健康检查、会话锁定（用于构建在顶部的 HA 系统）以及作为 KV 存储。

10 月 28 日下午，单个 Consul 服务器 CPU 负载过高，并且 Master/slave 无法正常同步。当 Roblox 服务想要与另一个服务对话时，它依赖于 Consul 来获取想要与之对话的服务的最新位置信息。但是如果 Consul 不健康，服务器将难以连接。另外，调度服务也依赖于 Consul，因此当 Consul 不健康时，系统无法调度新容器或检索身份验证信息。这致使系统健康状况显着下降，最终导致系统完全中断。

技术人员首先迁通过移集群排除了硬件问题，随后关闭、开启 Consul 集群服务经过约 50 个小时的排查得知是因为之前将 Consul 的长轮询改为了流式传输，在读负载和写负载都很高的情况下，流加剧了单个 Go 通道的竞争，导致写入过程中出现阻塞。同时，Consul 使用了一个流行的开源持久性库 BoltDB 来存储 Raft 日志，BoltDB 的设计导致了磁盘空间无限增长。

宕机 54 个小时后，通过禁止流式传输功能，将其中一个 Consul 集群恢复为了正常状态，并逐渐恢复了系统的服务能力。事后，HashiCorp 团队也将 BoltDB 改为了bbolt。

在这样的中断之后，很多人很自然地询问 Roblox 是否会考虑迁移到公共云，让第三方管理 Roblox 的基础计算、存储和网络服务。

Roblox 技术人员表示，与公有云相比，自建数据中心能够显着控制成本。此外，拥有自己的硬件并构建自己的边缘基础设施能使 Roblox 最大限度地减少性能变化并管理全球玩家的延时。但也并不拘泥于任何特定的方法：“我们将公共云用于对我们的玩家和开发人员最有意义的用例，例如突发容量、大部分 DevOps 工作流程以及大部分内部分析。但对于对性能和延迟至关重要的工作负载，我们选择在本地构建和管理自己的基础架构。这样才能使我们能够建立一个更好的平台。”