Tradeoff keandalan
Beban kerja yang andal secara konsisten memenuhi tujuan keandalan yang ditentukan. Ini harus mencapai target ketahanan yang ditetapkan, idealnya dengan menghindari peristiwa yang memengaruhi keandalan. Namun, secara realistis, beban kerja harus mentolerir dan mengontrol dampak peristiwa tersebut dan mempertahankan operasi pada tingkat yang telah ditentukan selama kegagalan fungsi aktif. Bahkan selama bencana, beban kerja yang andal harus pulih ke keadaan tertentu dalam jangka waktu tertentu, yang keduanya disepakati di antara pemangku kepentingan. Rencana respons insiden yang memungkinkan Anda mencapai deteksi dan pemulihan yang cepat sangat penting.
Selama fase desain beban kerja, Anda perlu mempertimbangkan bagaimana keputusan berdasarkan prinsip desain Keandalan dan rekomendasi dalam daftar periksa Tinjauan desain untuk Keandalan dapat memengaruhi tujuan dan pengoptimalan pilar lain. Keputusan tertentu mungkin menguntungkan beberapa pilar tetapi merupakan pertukaran bagi orang lain. Artikel ini menjelaskan contoh tradeoff yang mungkin ditemui tim beban kerja saat merancang arsitektur dan operasi beban kerja untuk keandalan.
Tradeoff keandalan dengan Keamanan
Tradeoff: Peningkatan area permukaan beban kerja. Pilar Keamanan memprioritaskan area permukaan yang berkurang dan terkandung untuk meminimalkan vektor serangan dan mengurangi pengelolaan kontrol keamanan.
Keandalan sering diperoleh melalui replikasi. Replikasi dapat terjadi pada tingkat komponen, di tingkat data, atau bahkan pada tingkat geografis. Replika, berdasarkan desain, meningkatkan area permukaan beban kerja. Dari perspektif keamanan, area permukaan yang berkurang dan terkandung lebih disukai untuk meminimalkan vektor serangan potensial dan menyederhanakan pengelolaan kontrol keamanan.
Demikian pula, solusi pemulihan bencana, seperti cadangan, meningkatkan area permukaan beban kerja. Namun, mereka sering diisolasi dari runtime beban kerja. Ini membutuhkan implementasi kontrol keamanan tambahan, yang mungkin khusus untuk solusi pemulihan bencana.
Demi tujuan keandalan, komponen tambahan mungkin diperlukan untuk arsitektur, yang meningkatkan area permukaan. Misalnya, bus pesan mungkin ditambahkan untuk membuat permintaan tangguh. Peningkatan kompleksitas ini meningkatkan area permukaan beban kerja dengan menambahkan komponen baru yang perlu diamankan, mungkin dengan cara yang belum digunakan dalam sistem. Biasanya, komponen-komponen ini disertai dengan kode dan pustaka tambahan untuk mendukung penggunaannya atau pola keandalan umum, yang juga meningkatkan area permukaan aplikasi.
Ketika beban kerja mengalami peristiwa keandalan yang sedang ditangani di bawah respons insiden aktif, urgensi mungkin menciptakan tekanan bagi tim beban kerja untuk melewati kontrol keamanan yang dioptimalkan untuk akses rutin.
Aktivitas pemecahan masalah dapat menyebabkan tim menonaktifkan protokol keamanan untuk sementara, membuat sistem yang sudah stres berpotensi terkena risiko keamanan tambahan. Ada juga risiko bahwa protokol keamanan tidak akan segera diterbitkan kembali.
Implementasi terperinci dari kontrol keamanan, seperti penetapan kontrol akses berbasis peran atau aturan firewall, memperkenalkan kompleksitas dan sensitivitas konfigurasi, meningkatkan peluang kesalahan konfigurasi. Mengurangi dampak keandalan potensial ini dengan menggunakan aturan luas mengikis ketiga prinsip arsitektur Zero Trust.
Menerapkan patch keamanan atau pembaruan perangkat lunak berpotensi mengganggu komponen target, menyebabkan tidak tersedianya selama perubahan perangkat lunak. Menunda atau menghindari patching dapat menghindari potensi risiko keandalan, tetapi membuat sistem tidak terlindungi dari ancaman yang berkembang.
Pertimbangan sebelumnya juga berlaku untuk kode beban kerja. Misalnya, ini berlaku untuk kode aplikasi yang menggunakan pustaka dan kontainer lama yang menggunakan gambar dasar lama. Jika memperbarui dan menyebarkan kode aplikasi dianggap sebagai risiko keandalan yang tidak dimitigasi, aplikasi terpapar risiko keamanan tambahan dari waktu ke waktu.
Tradeoff keandalan dengan Pengoptimalan Biaya
Replikasi adalah strategi utama untuk keandalan. Secara khusus, strateginya adalah memiliki replikasi yang cukup untuk menangani sejumlah kegagalan simpul bersamaan tertentu. Toleransi untuk kegagalan simpul yang lebih bersamaan membutuhkan jumlah replika yang lebih tinggi, yang menyebabkan peningkatan biaya.
Provisi berlebihan adalah teknik lain untuk menyerap beban tak terduga pada sistem yang dapat menyebabkan masalah keandalan. Kelebihan kapasitas apa pun yang tidak digunakan dianggap sia-sia.
Jika beban kerja menggunakan solusi pemulihan bencana yang secara berlebihan memenuhi tujuan titik pemulihan dan waktu beban kerja, kelebihannya menyebabkan biaya yang lebih tinggi karena limbah.
Penyebaran beban kerja sendiri adalah sumber potensial untuk dampak keandalan, dan dampak tersebut sering dimitigasi oleh redundansi pada waktu penyebaran melalui strategi penyebaran seperti biru/hijau. Duplikasi sementara sumber daya ini selama penyebaran yang aman biasanya meningkatkan biaya keseluruhan beban kerja selama periode tersebut. Biaya meningkat dengan frekuensi penyebaran.
Untuk mencapai keandalan, sistem memerlukan pengamatan. Sistem pemantauan memerlukan transfer dan pengumpulan data pengamatan. Saat kemampuan pemantauan meningkat, frekuensi dan volume data meningkat, yang mengarah ke biaya tambahan.
Keandalan keterjenuhan beban kerja mengharuskan pengujian dan latihan. Merancang dan menjalankan pengujian membutuhkan waktu dan peralatan yang berpotensi khusus, yang dikenakan biaya.
Beban kerja dengan target keandalan tinggi sering memiliki proses respons cepat yang mengharuskan anggota tim teknis menjadi bagian dari rotasi on-call formal. Proses ini menimbulkan biaya personel tambahan dan kehilangan biaya peluang karena perhatian yang dapat diarahkan ke tempat lain. Ini juga menimbulkan biaya alat potensial untuk manajemen proses.
Kontrak dukungan dengan penyedia teknologi adalah komponen utama dari beban kerja yang andal. Kontrak dukungan yang tidak digunakan karena tingkat dukungan terlalu banyak diprovisikan menimbulkan limbah.
Tradeoff keandalan dengan Keunggulan Operasional
Keandalan biasanya meningkatkan kompleksitas beban kerja. Ketika kompleksitas beban kerja meningkat, elemen operasional beban kerja juga dapat meningkat untuk mendukung komponen dan proses tambahan dalam hal koordinasi penyebaran dan area permukaan konfigurasi.
Memiliki strategi pemantauan komprehensif untuk beban kerja adalah bagian penting dari keunggulan operasional. Memperkenalkan komponen tambahan ke dalam arsitektur untuk menerapkan pola desain keandalan menghasilkan lebih banyak sumber data untuk dikelola, meningkatkan kompleksitas penerapan pelacakan dan pengamatan terdistribusi.
Menggunakan beberapa wilayah untuk mengatasi batasan kapasitas sumber daya wilayah tunggal dan/atau menerapkan arsitektur aktif/aktif meningkatkan kompleksitas manajemen operasional beban kerja. Kompleksitas ini diperkenalkan oleh kebutuhan untuk mengelola beberapa wilayah dan kebutuhan untuk mengelola replikasi data di antara mereka.
Karena beban kerja menjadi lebih kuat melalui penambahan komponen dan pola keandalan, dibutuhkan lebih banyak waktu untuk mempertahankan prosedur operasional dan dokumentasi artefak.
Pelatihan menjadi lebih kompleks karena jumlah komponen dalam beban kerja meningkat. Kompleksitas ini memengaruhi waktu yang diperlukan untuk orientasi dan meningkatkan pengetahuan yang diperlukan untuk melacak peta jalan produk dan panduan tingkat layanan.
Tradeoff keandalan dengan Efisiensi Performa
Pola keandalan sering menggabungkan replikasi data untuk bertahan dari kerusakan replika. Replikasi memperkenalkan latensi tambahan untuk operasi penulisan data yang andal, yang menggunakan bagian dari anggaran performa untuk pengguna atau aliran data tertentu.
Keandalan terkadang menggunakan berbagai bentuk penyeimbangan sumber daya untuk mendistribusikan atau mendistribusikan ulang beban ke replika yang sehat. Komponen khusus yang digunakan untuk penyeimbangan biasanya memengaruhi performa permintaan atau proses yang sedang seimbang.
Mendistribusikan komponen di seluruh batas geografis atau zona ketersediaan untuk bertahan dari dampak tercakup memperkenalkan latensi jaringan dalam komunikasi antar komponen yang mencakup batas ketersediaan tersebut.
Proses ekstensif digunakan untuk mengamati kesehatan beban kerja. Meskipun pemantauan sangat penting untuk keandalan, instrumentasi dapat memengaruhi performa sistem. Saat pengamatan meningkat, performa mungkin menurun.
Operasi penskalaan otomatis tidak seketika dan oleh karena itu tidak dapat menangani lonjakan permintaan yang tiba-tiba dan dramatis yang tidak dapat dibentuk atau dihaluskan. Oleh karena itu, provisi berlebihan melalui instans yang lebih besar atau lebih banyak instans adalah taktik keandalan penting untuk memperhitungkan jeda antara sinyal permintaan dan pembuatan pasokan. Kapasitas yang tidak digunakan mengimbangi tujuan efisiensi performa.
Terkadang komponen tidak dapat diskalakan sebagai reaksi terhadap permintaan, dan permintaan tersebut tidak sepenuhnya dapat diprediksi. Menggunakan instans besar untuk menutupi kasus terburuk menyebabkan penyediaan limbah yang berlebihan dalam situasi yang berada di luar kasus penggunaan tersebut.
Tautan terkait
Jelajahi tradeoff untuk pilar lainnya:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk