[回到首页] 欢迎来到消防百事通       登录      注册        |  消防产品  |  APP下载  |  消防工程群  |    网站导航     手机站    公众号


回答正确
恭喜您获得5积分
回答错误
送您1积分安慰一下
39 我要加群
我要投稿
阿里云史上最长大规模中断:触发消防喷淋,部分硬件遇水损坏
来源:综合 2022-12-27 10:01:56浏览量:3358
[加微信:fire114119,邀请你加入消防百事通交流群!]

12月25日,阿里云官方发布说明,详细解释了此次中断故障的过程、原因,以及改进措施。

简而言之就是:阿里云冷机故障,引起了机房高温,高温触发了消防喷淋,因为机器湿了,很多机器遇水损坏了,所以修了15个半小时。

从当天早上8点56分首次检测到故障警告,次日凌晨0点30分所有服务恢复正常,历时超过15个半小时。

阿里云承认,此次香港Region可用区C服务中断事件,对很多客户的业务产生重大影响,也是阿里云运营十多年来持续时间最长的一次大规模故障。

按照阿里云的官方还原,此次故障发生及处理过程如下——

08:56,监控到香港Region可用区C机房包间通道温控告警,工程师介入应急处理。

09:01,阿里云监控到该机房多个包间温升告警,此时工程师排查到冷机异常。

09:09,机房服务商按应急预案对异常冷机进行4+4主备切换以及重启,但操作失败,冷水机组无法恢复正常。

09:17,依照故障处理流程,启动制冷异常应急预案,进行辅助散热和应急通风。

尝试对冷机控制系统逐个进行隔离和手工恢复操作,但发现无法稳定运行,联系冷机设备供应商到现场排查。

此时,由于高温原因,部分服务器开始受到影响。

10:30开始,为避免可能出现的高温消防问题,阿里云工程师陆续对整个机房计算、存储、网络、数据库、大数据集群进行降载处理。

期间,继续多次对冷机设备进行操作,但均不能保持稳定运行。

12:30,冷机设备供应商到场,在多方工程师诊断下,对冷塔、冷却水管路及冷机冷凝器进行手工补水排气操作,但系统仍然无法保持稳定运行。

阿里云工程师对部分高温包间启动服务器关机操作。

14:47,冷机设备供应商对设备问题排查遇到困难,其中一个包间因高温触发了强制消防喷淋。

15:20,经冷机设备商工程师现场手工调整配置,冷机群控解锁完成并独立运行,第1台冷机恢复正常,温度开始下降。

工程师随后继续通过相同方法对其他冷机进行操作。

18:55,4台冷机恢复到正常制冷量。

19:02,分批启动服务器,并持续观察温升情况。

19:47,机房温度趋于稳定。同时,阿里云工程师开始进行服务启动恢复,并进行必要的数据完整性检查。

21:36,大部分机房包间服务器陆续启动并完成检查,机房温度稳定。

其中一个包间因消防喷淋启动,未进行服务器上电。

为保持数据的完整性,工程师对这个包间的服务器进行了仔细的数据安全检查,这里花费了一些必要的时间。

22:50,数据检查以及风险评估完成,最后一个包间依据安全性逐步进行供电恢复和服务器启动。

服务影响如下——

09:23,香港Region可用区C部分ECS服务器开始出现停机,触发同可用区内宕机迁移。

随着温度继续升高,受影响的服务器停机数量持续增加,客户业务开始受到影响,影响面扩大到香港可用区C的EBS、OSS、RDS等更多云服务。

阿里云香港可用区C的故障,没有直接影响客户在香港其他可用区运行的业务,但影响了香港Region ECS管控服务(Control Plane)的正常使用。

因为大量可用区C的客户在香港其他可用区新购ECS实例,14:49开始,ECS管控服务触发限流,可用性最低跌至20%。

客户在使用RunInstances/CreateInstance API购买新ECS实例时,如果指定了自定义镜像,部分实例在购买成功之后会出现启动失败的现象,由于自定义镜像数据服务依赖可用区C的单AZ冗余版本的OSS服务,无法通过重试解决。

此时,部分Dataworks、k8s用户控制台操作也受到了故障影响。API完全恢复可用为当日23:11。

10:37,阿里云香港可用区C的部分存储服务OSS开始受到停机影响,此时客户暂不会感知,但持续高温会导致磁盘坏道,影响数据安全,工程师对服务器进行停机操作,11:07起中断了服务,直到18:26。

阿里云在香港Region可用区C提供了2种类型的OSS服务,一种是OSS本地冗余LRS服务(通常叫单AZ冗余服务),仅部署在可用区C;另一种是OSS同城冗余ZRS服务(通常叫3AZ冗余服务),部署在可用区B、C和D。

在此次故障中,OSS同城冗余ZRS服务基本没有受到影响。

可用区C的OSS本地冗余服务中断时间较长,因不支持跨可用区切换,需要依赖故障机房的恢复。

18:26开始,存储服务器重新分批启动。

其中,单AZ本地冗余LRS服务有部分服务器因消防问题需要做隔离处理。恢复服务前,我们必须要确保数据可靠性,花费了较多的时间进行完整性检验工作。

直至12月19日00:30,这部分OSS服务(单AZ冗余服务)才恢复了对外服务能力。

阿里云网络少量单可用区产品(如VPN、Privatelink以及少量GA实例)在此次故障中受到影响。

11:21,工程师启动网络产品可用区容灾逃逸,12:45完成SLB等大部分网络产品可用区容灾逃逸,13:47,NAT产品完成收尾逃逸。

除上述少量单可用区产品以外,各网络产品在故障期间保持了业务连续性,NAT有分钟级业务受损。

10:17开始,阿里云香港Region可用区C部分RDS实例出现不可用的报警。

随着该可用区受故障影响的主机范围扩大,出现服务异常的实例数量随之增加,工程师启动数据库应急切换预案流程。

截至12:30,RDS MySQL与Redis、MongoDB、DTS等跨可用区实例完成跨可用区切换。

部分单可用区实例以及单可用区高可用实例,由于依赖单可用区的数据备份,仅少量实例实现有效迁移。

少量支持跨可用区切换的RDS实例没有及时完成切换。

经排查,是由于这部分RDS实例依赖了部署在香港Region可用区C的代理服务,而由于代理服务不可用,无法通过代理地址访问RDS实例。阿里云协助相关客户通过临时切换到使用RDS主实例的地址访问来进行恢复。

随着机房制冷设备恢复,21:30左右绝大部分数据库实例恢复正常。

对于受故障影响的单机版实例及主备均在香港Region可用区C的高可用版实例,阿里云提供了克隆实例、实例迁移等临时性恢复方案,但由于底层服务资源的限制,部分实例的迁移恢复过程遇到一些异常情况,花费较长的时间来处理解决。

同时在多个可用区运行业务的客户,在这次事件中依然可以维持业务运行。对于业务需要绝对高可用的客户,阿里云建议采用全链路多可用区的业务架构设计,以应对各种可能的意外事件。

问题分析与改进措施——

1、冷机系统故障恢复时间过长

原因分析:

机房冷却系统缺水进气形成气阻,影响水路循环导致4台主冷机服务异常,启动4台备冷机时因主备共用的水路循环系统气阻导致启动失败。

水盘补水后,因机房冷却系统的群控逻辑,无法单台独立启动冷机,手工修改冷机配置,将冷机从群控调整为独立运行后,陆续启动冷机,影响了冷却系统的恢复时长。

整个过程中,原因定位耗时3小时34分钟,补水排气耗时2小时57分钟,解锁群控逻辑启动4台冷机耗时3小时32分钟。

改进措施:

全面检查机房基础设施管控系统,在监控数据采集层面,扩大覆盖度,提升精细度,提高对故障的排查和定位速度;在设施管控逻辑层面,确保系统自动切换逻辑符合预期,同时保证手工切换的准确性,防止内部状态死锁从而影响故障的恢复。

2、现场处置不及时导致触发消防喷淋

原因分析:

随着机房冷却系统失效,包间温度逐渐升高,导致一机房包间温度达到临界值触发消防系统喷淋,电源柜和多列机柜进水,部分机器硬件损坏,增加了后续恢复难度和时长。

改进措施:

加强机房服务商管理,梳理机房温升预案及标准化执行动作,明确温升场景下的业务侧关机和机房强制关电的预案,力求更简单有效,并通过常态化演练强化执行。

3、客户在香港地域新购ECS等管控操作失败

原因分析:

ECS管控系统为B、C可用区双机房容灾,C可用区故障后由B可用区对外提供服务,由于大量可用区C的客户在香港其他可用区新购实例,同时可用区C的ECS实例拉起恢复动作引入的流量,导致可用区B管控服务资源不足。

新扩容的ECS管控系统启动时依赖的中间件服务部署在可用区C机房,导致较长时间内无法扩容。

ECS管控依赖的自定义镜像数据服务,依赖可用区C的单AZ冗余版本的OSS服务,导致客户新购实例后出现启动失败的现象。

改进措施:

全网巡检,整体优化多AZ产品高可用设计,避免出现依赖OSS单AZ和中间件单AZ的问题。

加强阿里云管控平面的容灾演练,进一步提升云产品高可用容灾逃逸能力。

4、故障信息发布不够及时透明

原因分析:

故障发生后阿里云启动对客钉群、公告等通知手段,由于现场冷机处理进展缓慢,有效信息不够。Status Page页面信息更新不及时引发客户困惑。

改进措施:

提升故障影响和客户影响的快速评估和识别拉取能力。

尽快上线新版的阿里云服务健康状态页面(Status Page),提高信息发布的速度,让客户可以更便捷地了解故障事件对各类产品服务的影响。

39
条评论
请回复有价值的信息评论
评论

消防-小白2022-12-28 07:57:20
气体灭火系统考虑考虑
回复 · 0
3
桃子的阿狸2022-12-28 07:52:46
喷淋都触发了,温度得多高呀!不是在其他地方有备份嘛!启用备份的不行吗?
回复 · 0
1
消防人2022-12-28 06:50:30
信息机房消防安全应该引起大家高度重视。
回复 · 0
1
防消使者2022-12-28 06:23:49
阿里云这么重要的场所为啥不使用气体灭火系统,
回复 · 1
1
孙大满2022-12-27 14:27:10
阿里云史上最大规模中断
回复 · 0
1
18280****12972023-02-01 08:32:02
机房为什么不用气体灭火
回复 · 0
0
孺子牛2023-01-30 09:18:02
人会生病,生病及时治疗;机器会出故障,有了故障及时处理
回复 · 0
0
火焰蓝2023-01-23 08:04:33
阿里云的技术是有目共睹的,希望我们共同努力,为消防行业做贡献。
回复 · 0
0
四川消防黄先生2023-01-17 13:43:50
应该的,机房用喷淋,
回复 · 0
0
符勇2023-01-10 03:37:48
有两点想不明白。1.机房环境温度达到了60-70度了?这种情况还不关机?2.机房不是气体吗?为什么设置为水?这是一个不允许用水的场所呀!
回复 · 0
0
老菜鸟2023-01-08 23:58:58
机房不用气体是啥情况,改进措施里也没说明。
回复 · 0
0
徐胜2023-01-04 23:37:08
论预作用系统的重要性
回复 · 0
0
zxw200612182023-01-03 11:21:19
可以做喷淋啊。加个电磁阀就行,或者加个手动阀。毕竟都是有人监控值守的。
回复 · 0
0
在云端丶2023-01-02 21:34:26
简而言之就是阿里云冷机故障引起了机房高温高温触发了消防喷淋因为机器湿了很多机器遇水坏了
回复 · 0
0
行摄天下2023-01-02 18:57:44
机房不能遇水,为什么不用气体灭火系统
回复 · 0
0
国安102023-01-01 04:52:23
文字内容千疮百洞,主要给外行看的!本质透明需要点时间!跟疫情一样,三年了没把病毒制服,把我制服了!
回复 · 0
0
紫霞2022-12-30 10:35:25
关键时候实在不行我备用泵
回复 · 0
0
王明啸2022-12-30 06:16:14
机房不都是气灭吗?怎么还有喷淋?
回复 · 0
0
Senmall2022-12-29 21:58:05
预作用不管单连锁还是双连锁没有感烟触发都不会排气充水,不知道这个怎么触发的,除非设计错误
回复 · 2
0
雨夜追风2022-12-29 14:25:27
重要的机房、档案馆、计算机房这些不应该装喷淋的,应该用气体灭火系统
回复 · 0
0
~大漠~2022-12-28 23:50:59
阿里云对于存放这样的精密仪器的房间不应该设置喷淋,应安装七氟丙烷灭火系统。
回复 · 0
0
1313****50012022-12-28 22:39:52
防患于未然
回复 · 0
0
韩永亮2022-12-28 20:41:06
机房装喷淋,还是阿里的
回复 · 0
0
我不是好人2022-12-28 14:37:00
重点点出
回复 · 0
0
红雨2022-12-28 11:31:34
阿里云也用喷淋吗?气体或细水雾
回复 · 0
0
翼天使2022-12-28 10:10:09
机房不是应该使用气体灭火系统吗?
回复 · 0
0
青松愉快2022-12-28 08:55:18
但愿我们的阿里云的科技产品质量优良,能够有效胜任我们的消防安全工作。
回复 · 0
0
柠檬没我萌。2022-12-28 07:41:22
挺好
回复 · 0
0
看海2022-12-28 05:24:50
机房冷机故障,引起机房温度升高,高温触发了消防喷淋,消防水淋湿机器设备,造成设备损坏,维修机器15小时~
回复 · 0
0
海唐广场-秩序部-董2022-12-28 02:18:43
消防设施的误动作有时会给带来经济财产损失。
回复 · 0
0
李光臻2022-12-28 01:48:04
喷淋系统的喷水对机械设备有损坏,为什么没有技术措施保障与跟进?当初又是怎么设计好了的?
回复 · 0
0
事故再次说明消防重要性,预案重要性,演练重要性,消防管理人专业性,以后定会重视。
回复 · 0
0
努力前行2022-12-27 21:32:53
阿里云运营十多年来持续时间最长的一次大规模故障
回复 · 0
0
沧海一笑2022-12-27 20:37:43
必须重视消防安全,学习消防安全知识势必可行。
回复 · 0
0
开心时刻2022-12-27 19:39:23
智能设备出现故障时,只能等其设备工程师来抢修。这也是一大弊端。
回复 · 0
0
消防一哥2022-12-27 17:50:41
全网巡检,整体优化多AZ产品高可用设计,避免出现依赖OSS单AZ和中间件单AZ的问题。 加强阿里云管控平面的容灾演练,进一步提升云产品高可用容灾逃逸能力 这算是什么效应
回复 · 0
0
合作共赢2022-12-27 16:58:41
,引起了机房高温,高温触发了消防喷淋,因为机器湿了,很多机器遇水损坏了。
回复 · 0
0
段海峰2022-12-27 12:41:31
消防安全问题不容忽视,我们必须全力以赴!
回复 · 0
0
舒朗2022-12-27 12:05:11
有重要服务器的机房就不应该设置喷淋消防系统,设置气体灭火系统较为适应。
回复 · 0
0
消防
网站首页 我要评论 文章分享
回到顶部