在很多初創(chuàng)公司和中小型企業(yè)里，運維還停留在“刀耕火種”的原始狀態(tài)，這里所說的“刀”和“火”就是運維人員的遠程客戶端，例如 SecureCRT 和 Windows 遠程桌面。

在這種工作方式下，服務器的安裝、初始化，軟件部署、服務發(fā)布和監(jiān)控都是通過手動方式來完成的，需要運維人員登錄到服務器上，一臺一臺去管理和維護。

這種非并發(fā)的線性工作方式是制約效率的最大障礙。同時，因為手動的操作方式過于依賴運維人員的執(zhí)行順序和操作步驟，稍有不慎即可能導致服務器配置不一致，也就是同一組服務器的配置上出現(xiàn)差異。

有時候，這種差異是很難直接檢查出來的，例如在一個負載均衡組里面?zhèn)€別服務器的異常就很難發(fā)現(xiàn)。

隨著業(yè)務的發(fā)展，服務器數(shù)量越來越多，運維人員開始轉向使用腳本和批量管理工具。

腳本和批量管理工具與“刀耕火種”的工作方式相比，確實提升了效率和工程質量。

但這個方式仍然有很多問題：

• 腳本的非標準化的問題。不同運維人員寫的腳本在所用的編程語言、編碼風格和健壯性方面存在巨大差異，同時這些腳本的版本管理也是一個挑戰(zhàn)。
• 腳本的傳承問題，人員的離職和工作交接，都會導致腳本無法很好地在運維人員之間傳承和再利用，因為下一個運維人員可能無法理解和修改前一個運維人員編寫的腳本功能。
• 批量管理工具的選擇。不同的管理人員選擇不同的批量管理工具必然會帶來管理混亂的問題，也無法很好地實現(xiàn)在運維人員之間互相備份工作的需求。

因此，對構建自動化運維體系的要求變得越來越迫切。通過自動化運維體系來實現(xiàn)標準化和提高工程效率，是唯一正確的選擇。那么如何建設自動化運維體系呢？

本案例研究分為三個大的方面：

• 建設自動化運維體系的原因，就是解決“3W”中的 Why 和 What 的問題，即為什么和是什么。
• 建設自動化運維體系的目標，介紹我司各個運維子系統(tǒng)是怎樣設計、運行和處理問題的，解決“3W”中的 How 的問題，也就是怎樣去做的。
• 自動化運維體系的結構和運作方式，對我司在自動化運維過程中遇到的一些問題的思考，做一個總結。

建設自動化運維體系的原因

先來看一下我們?yōu)槭裁匆ㄔO一個自動化運維體系。首先來看運維遇到的一些挑戰(zhàn)，如下圖所示：

游戲的需求

第一個是游戲的需求，它表現(xiàn)為三個方面：

游戲數(shù)量多，我司現(xiàn)在運營的游戲多達近百款。

游戲架構復雜，游戲公司和一般的互聯(lián)網(wǎng)公司有一個很大的區(qū)別，就是游戲的來源可能有很多。

比如有國外的、國內的，有大廠商的、小廠商的；每個游戲的架構可能不一樣，有的是分區(qū)制的，有的是集中制的，各種各樣的需求。

操作系統(tǒng)種類多，這與剛才的情況類似，游戲開發(fā)者的背景與編程喜好不一樣，會有 Windows、Linux 等。

硬件環(huán)境

第二個是在硬件環(huán)境方面，主要表現(xiàn)為服務器數(shù)量多、服務器型號多。因為公司從建立到現(xiàn)在有十幾年的時間了，在這個過程中分批、分期采購的服務器幾乎橫跨各大 OEM 廠商的各大產(chǎn)品線，型號多而雜。

人的因素

最后是人的因素，我們在建設自動化運維體系過程中，有一個比較重要的考慮點是人的因素。

如果大家的技術能力都很強，很多時候一個人可以完成所有工作，可能也就不需要自動化運維體系了。

正是因為每個運維人員的能力不一樣，技術水平參差不齊，甚至是運維習慣和工具也不一樣，導致我們必須要創(chuàng)建一套規(guī)范的自動化運維體系，來提升工作效率。

建設自動化運維體系的目標

再看一下建設這套自動化運維體系的目標，也就是說我們的原則是什么？筆者將自動化運維體系的建設目標總結為四個詞：

• “完備”，這個系統(tǒng)要能涵蓋所有的運維需求。
• “簡潔”，簡單好用。如果系統(tǒng)的操作流程、操作界面、設計思想都比較復雜，運維人員的學習成本就會很高，使用的效果是會打折扣的，系統(tǒng)的能力、發(fā)揮的效率也會因此打折扣。
• “高效”，特別是在批量處理或者執(zhí)行特定任務時，我們希望系統(tǒng)能夠及時給用戶反饋。
• “安全”，如果一個系統(tǒng)不安全，可能導致很快就被黑客接管了。所以安全也是重要的因素。

自動化運維體系的結構和運作方式

下圖所示是我司當前自動化運維體系的幾個子系統(tǒng)，我們來看一看它們是怎樣聯(lián)合起來工作的。

首先服務器會經(jīng)由自動化安裝系統(tǒng)完成安裝，然后會被自動化運維平臺接管。

自動化運維平臺會對自動化安檢系統(tǒng)、自動化客戶端更新系統(tǒng)和服務器端更新系統(tǒng)提供底層支撐。

自動化數(shù)據(jù)分析系統(tǒng)和自動化客戶端更新系統(tǒng)會有關聯(lián)關系。自動化數(shù)據(jù)分析系統(tǒng)會對自動化客戶端更新系統(tǒng)的結果給予反饋。

自動化運維體系結構圖

下面我們來看一下每個子系統(tǒng)是如何設計和工作的：

自動化安裝系統(tǒng)

說到自動化安裝，大家可能并不陌生，我們剛才說到挑戰(zhàn)是“兩多兩少”，型號多、操作系統(tǒng)多，但是人少，可用時間也比較少。

如下圖所示，整個流程采用通用的框架，首先由 PXE 啟動，選擇需要安裝的操作系統(tǒng)類型（安裝 Windows 或者 Linux），然后根據(jù) Windows 系統(tǒng)自動識別出需要安裝的驅動。

服務器交付用戶之前，會進行基本的安全設置，例如防火墻設置以及關閉 Windows 共享，這在一定程度上提高了安全性，也減少了需要人工做的一些操作。

自動化安裝流程圖

自動化運維平臺

當服務器由自動化安裝系統(tǒng)安裝完成以后，就會被自動化運維平臺接管。自動化運維平臺是運維人員的作業(yè)平臺，它主要解決的問題就是因服務器、操作系統(tǒng)異構而且數(shù)量特別多而帶來的管理問題。

操作系統(tǒng)是五花八門的，我們在設計系統(tǒng)過程中考慮了以下幾個因素：

• 把整個系統(tǒng)的用戶界面設計成基于瀏覽器的架構。運維工程師無論何時何地都可以登錄管理系統(tǒng)進行運維操作，這樣的話就比較方便。由 Octopod 服務器對被操作的機器發(fā)布指令。
• 統(tǒng)一管理異構服務器。大家以前可能對 Windows 深惡痛絕，其實 Windows 也可以管得很好。我們使用開源的 SSH 方式管理 Windows，這樣就可以對系統(tǒng)進行批量的補丁更新，還可以做批量的密碼管理和操作。
• 充分利用現(xiàn)有協(xié)議和工具。這個平臺的特點是所有的系統(tǒng)使用 SSH 管理，而不是自己開發(fā)一些 Agent，這也體現(xiàn)了自動化運維的觀點。

很多時候我們沒必要重新造輪子，即使自己造出一套客戶端的方法，大部分時候也并沒有在生產(chǎn)環(huán)境里得到嚴格的驗證。

而 SSH 協(xié)議本身已經(jīng)存在很多年了，而且已經(jīng)在我司使用了很多年，該出的問題已經(jīng)出了，相對于造輪子，使用 SSH 更加穩(wěn)定，更經(jīng)得起考驗，使用起來更方便。

自動化安檢系統(tǒng)

下一個系統(tǒng)是自動化安檢系統(tǒng)。由于我們的子系統(tǒng)比較多，業(yè)務也比較多，怎樣設計一套系統(tǒng)去保障它們的安全呢？

這里主要是兩個系統(tǒng)：

• 自動化安檢平臺。游戲公司和一般的互聯(lián)網(wǎng)公司有一個區(qū)別，就是前者需要給玩家發(fā)送很多的客戶端（特別是有的客戶端比較大），或者補丁文件，去更新、下載和安裝。

如果這些文件里面出現(xiàn)病毒和木馬，將是一件很糟糕的事情，甚至會對業(yè)務和公司的聲譽造成惡劣影響。當這些文件被發(fā)到玩家電腦上之前，必須經(jīng)過病毒檢測系統(tǒng)檢測，確保它沒有被注入相應的病毒代碼。

• 服務器端，主要是通過安全掃描架構來保障安全。安全并不是一蹴而就，一勞永逸的。如果不對系統(tǒng)持續(xù)地檢查、檢測、探測，那么你的一些誤操作會導致系統(tǒng)暴露在互聯(lián)網(wǎng)上，或者是暴露在惡意攻擊者的眼皮之下。

通過一種主動、自發(fā)的安全掃描架構對所有服務器進行安全掃描，就能在很大程度上規(guī)避這樣的問題。

舉一個例子，去年我們遇到過一個情況，某款交換機 ACL 達到一定的數(shù)量的時候，就完全失效了。

如果沒有相關的配套機制去檢查和檢測，那么你的服務器、你認為保護得很好的端口或者是敏感的 IP 可能已經(jīng)暴露。所以，通過這種主動的探測可以減少很多系統(tǒng)的或者是人為的安全問題。

自動化客戶端更新系統(tǒng)

游戲是有周期性的，特別是在游戲發(fā)布當天或者有版本更新的時候，這時候玩家活躍度很高，下載行為也是比較多的，但是平時的更新和下載帶寬可能并不大，這也是游戲很顯著的特點。

這個特點對于我們構建這樣一個分發(fā)系統(tǒng)提出了很大的挑戰(zhàn)：

• 在高峰時游戲產(chǎn)生的帶寬可能達到數(shù)百 GB。
• 很多小運營商或者中小規(guī)模的運營商會有一些緩存機制，這個緩存機制如果處理得不好，會對業(yè)務造成影響，也就是非法緩存的問題。
• 關于 DNS 調度的問題，DNS 調度本身是基于玩家本身的 Local DNS 的機制解析的，會有調度不準確的問題。
• DNS 污染，或者是 DNS TTL 的機制導致調度不那么靈敏和準確。

針對這些問題，我們有下面兩套系統(tǒng)來解決：

• Autopatch 系統(tǒng)
• Dorado 系統(tǒng)

Autopatch 系統(tǒng)

它解決的是大文件更新的下載問題，再就是多家 CDN 廠商流量調度。其操作流程也比較簡單，由運維人員上傳文件、安檢，然后同步到 CDN，由 CDN 分發(fā)到相關邊緣節(jié)點，最后解壓文件。

剛才說到游戲的周期性特點，就是平時帶寬不是很大，但是在某個節(jié)點的時候，或者是重大活動的時候，帶寬比較大。

如果自己構建一套 CDN 系統(tǒng)，可能不是很劃算，所以我們引入國內多家比較大型的 CDN 廠商調度資源。我們通過 302 的方法調度，而不是把域名給其中一家或幾家。

因為直接使用 CNAME 的話很難按比例調度，特別是帶寬大的時候，一家 CDN 廠商解決不了，或者是一家發(fā)生局部故障，需要快速切除。而通過集中的調度系統(tǒng)就可以實現(xiàn)按比例調度的功能。

用戶發(fā)過來的所有請求，首先要在我們這邊進行調度，但是本身并不產(chǎn)生直接下載帶寬，而是通過相關算法，按比例和區(qū)域調度給第三方的 CDN 廠商，然后玩家實際是由第三方 CDN 廠商節(jié)點去下載客戶端的。

Dorado 系統(tǒng)

剛剛講到小運營商或者某些運營商的非法緩存機制會對業(yè)務造成影響，那么對于某些關鍵的文件，如果緩存的是一個舊版本，可能會造成很大的問題。

比如我們的區(qū)服列表，如果我們服務器端增加了新的區(qū)服，在客戶端沒有顯現(xiàn)出來，就導致玩家沒有辦法進入到新的區(qū)服去玩。

針對這些問題，我們設計了內部代號為 Dorado 的系統(tǒng)，因為這些文件本身是比較小的，而且數(shù)量也不是特別多，但是需要用 HTTPS 加密，通過加密規(guī)避小運營商的緩存問題。

所以我們對于這些關鍵文件，全部有自有節(jié)點，在節(jié)點上支持 HTTPS 加密方法，規(guī)避小運營商緩存帶來的一些問題。

自動化服務器端更新系統(tǒng)

我們采用的服務器端更新模式也是一種比較傳統(tǒng)的類似于 CDN 的方式，是由目標服務器通過緩存節(jié)點到中央節(jié)點下載，由緩存節(jié)點緩存控制，這樣可以減少網(wǎng)間傳輸?shù)臄?shù)據(jù)量以及提高效率。

我們在設計這套系統(tǒng)的時候，也想過用 P2P 去做。大家想 P2P 是很炫，又節(jié)省帶寬，但是用于生產(chǎn)環(huán)境中大文件分發(fā)的時候會有幾個問題：

• 安全控制的問題，很難讓這些服務器之間又能傳數(shù)據(jù)又能進行安全端口的保護。
• 在 P2P 里做流量控制或者流量限定也是一個挑戰(zhàn)。

所以最終我們采用了一個看起來比較簡單的架構。

自動化數(shù)據(jù)分析系統(tǒng)

說到客戶端更新，其實更新的效果如何，玩家到底有沒有安裝成功或者進入游戲，很多時候我們也很茫然，只能看日志。

但是日志里面的很多信息是不完善和不完整的。下載客戶端的時候，如果看 HTTP 的日志的話，里面是 206 的代碼，很難計算出玩家到底完整下載了多少客戶端，甚至他有沒有下載下來，校驗結果是否正確，也很難知道。

所以我們最終設計了一個自動化數(shù)據(jù)分析系統(tǒng)，目標就是分析從用戶開始下載到他登錄游戲，數(shù)據(jù)到底是怎樣轉化的。

最理想的一種情況是用戶下載客戶端以后，就進入了游戲，但這是一個理想情況。

很多時候，比如因為網(wǎng)絡不好，導致用戶最終沒有下載成功，或者是因為賬號的一些問題，用戶最終沒有登錄到游戲里面去。

所以，展現(xiàn)出來的數(shù)據(jù)就是一個漏斗狀。我們的目標就是讓最終登錄的用戶數(shù)接近于起初下載客戶端的用戶數(shù)。

我們來看一下系統(tǒng)的架構。首先由玩家這邊的下載器或者是安裝客戶端，游戲客戶端里面集成一些 SDK。

對于任何一個關鍵點，比如“下載”按鈕或者“終止”按鈕的數(shù)據(jù)都上報，當然這里面不會涉及敏感信息。上報以后會有 Tomcat 集群，集群處理以后會將數(shù)據(jù)寫入 MongoDB。

看一下這個游戲在引導過程中有什么問題，左邊的這一列它分為三個文件，有一個是 3MB，有兩個是 2G 多的文件，其實大家可以想像一下。

很多時候玩家看到小的文件就把小的文件直接下載安裝了，但是實際上并不完整。

這一點也告訴我們，很多時候在運營或者是業(yè)務方面，在引導方面也是要比較合理才能去規(guī)避掉一些問題。

自動化數(shù)據(jù)備份系統(tǒng)

我們第一個版本的備份系統(tǒng)，它的設計和實現(xiàn)是比較簡單的：不同的機房會有一臺 FTP 服務器，本機房的數(shù)據(jù)寫入 FTP 服務器，然后寫入磁帶。

但是這樣就導致磁帶是分散的，沒有集中存放的地方；另外，基于 FTP 的上傳會有帶寬甚至有延遲的要求。

后來我們設計了一個集中的備份系統(tǒng)，它主要解決了以下兩個問題：

第一是簡化配置。我們所有機房的全部配置，用一個負載均衡器的 IP 就可以了。

當客戶端需要上傳文件時，通過負載均衡器獲取實際上傳的地址，然后上傳文件，由左邊第二個框里面的服務器進行接收，并且根據(jù) MD5 值進行校驗，如果校驗沒有問題，就轉到 Hadoop 的 HDFS 集群里面去。目前這個集群有數(shù)十 PB 的規(guī)模，每天上傳量有幾個 TB。

第二是提高傳輸效率和成功率。大家會想一個問題，在中國，網(wǎng)絡環(huán)境十分復雜，運營商之間存在隔閡甚至是壁壘，導致網(wǎng)絡不穩(wěn)定，丟包和延遲的問題是怎樣解決的呢？

如果基于 TCP 傳輸大文件，理論上存在單個連接上帶寬延時積的限制。這里我們創(chuàng)新的是，客戶端的上傳采用 UDP 協(xié)議，UDP 本身沒有任何控制，說白了就是客戶端可以任意、使勁地發(fā)文件。

最終會由服務器端檢查你收到了哪些文件片段，然后通知客戶端補傳一些沒上傳的片段就可以了。

基于這種方式能規(guī)避很多因為網(wǎng)絡抖動或網(wǎng)絡延遲比較大而導致的問題。當然，在客戶端做流量控制也是可以的。在遇到問題的時候多想想，或許能找到不走尋常路的解決方案。

自動化監(jiān)控報警系統(tǒng)

再看一下游戲的自動化監(jiān)控報警系統(tǒng)，如上圖。游戲的架構中有游戲客戶端、服務器端、網(wǎng)絡鏈路。

所以必須要有比較完整的體系進行全方位、立體式的監(jiān)控，才能保證在業(yè)務發(fā)生問題之前進行預警，或者在發(fā)生問題時報警：

• 對于機房鏈路，有 IDC（Internet Data Center）的網(wǎng)絡質量監(jiān)控。
• 在服務器、網(wǎng)絡設備和硬件方面，我們會做服務器的健康檢查、性能監(jiān)控，以及網(wǎng)絡設備和流量監(jiān)控。
• 在系統(tǒng)程序方面，我們會收集和分析系統(tǒng)日志。
• 在游戲服務器端應用方面，有服務器端的程序監(jiān)控。
• 在客戶端方面，我們會收集植入的 SDK 做下載更新后的效果，以及收集崩潰的數(shù)據(jù)。

作為運維人員，我們考慮問題或者設計架構的時候，視角不能僅局限于一個技術方面，或者選用多炫酷、多么牛的技術，要想想技術在業(yè)務方面的架構，或者能否通過業(yè)務指標監(jiān)控我們的運維能力與運維系統(tǒng)。

在游戲里，有一個很重要的指標就是在線人數(shù)，通過監(jiān)控在線人數(shù)這個業(yè)務指標，就可以知道系統(tǒng)是否工作正常，是不是有漏報、誤報的情況。

因為很多時候任何一個環(huán)節(jié)出了問題，最終都會體現(xiàn)在業(yè)務上，在產(chǎn)生價值的數(shù)據(jù)上。

所以我們有一套監(jiān)控在線人數(shù)的系統(tǒng)，每個游戲上線之前會接入這個系統(tǒng)，把在線的人數(shù)實時匯集到系統(tǒng)里面。

如果發(fā)生異常的抖動，系統(tǒng)中都會有所顯示，也就可以知道是否發(fā)生了問題。

以上講的是一個框架，下面我們看一下細節(jié)，怎樣做服務器的監(jiān)控。

首先由運維工程師在監(jiān)控策略平臺配置監(jiān)控策略，監(jiān)控策略平臺會將這些數(shù)據(jù)格式化成相關格式，然后推送給自動化運維平臺。

自動化運維平臺會判斷這些數(shù)據(jù)是外部來的，還是遠程檢測到的；是網(wǎng)絡模擬的，還是本地的監(jiān)控得到的。

比如流量、本地進程的監(jiān)控、本地日志的監(jiān)控，會分別推給遠程探測服務器，或者游戲服務器本身，然后由它們上報數(shù)據(jù)。

數(shù)據(jù)上報以后，根據(jù)運維工程師配置的閾值，會觸發(fā)相關的報警，然后通知運維工程師進行相關處理。

因為雖然游戲多種多樣，操作系統(tǒng)五花八門，但是總有一些大家可以公用的東西，比如監(jiān)控的模板或者監(jiān)控的策略，我們對服務器的東西也進行了整合匯總。

大家可以看到我們里面有很豐富的插件，運維人員只要選擇相關的插件，配一下閾值和周期，就可以節(jié)省時間和學習成本，提高配置策略的效率。當配置策略完成以后，直接綁定到想要監(jiān)控的服務器上就可以了。

總結

我們從 2000 年初到現(xiàn)在一直在做自動化運維體系，對過去進行總結，我覺得有三個方面可以供大家參考。

循序漸進的原則

特別是中小公司或者初創(chuàng)公司，很多時候并不需要一個“高大上”的系統(tǒng)。聚焦當前的問題，把當前的問題處理好，后面的問題也就迎刃而解。

如果一開始設計的系統(tǒng)很龐大、功能特別豐富，會導致一些無法控制的局面。

比如這個系統(tǒng)可能最后做不下去了，或者因為耦合性太強，開發(fā)控制不了了，或者項目因為經(jīng)費問題擱淺了。

但是如果一開始的目標是解決一些特定的問題，有針對性，那么推進起來也會比較簡單。

在我司的自動化運維體系建設過程中，我們首先構建的是一個基礎的服務器批量操作平臺，先把一部分需要重復執(zhí)行的工作搬到平臺上來，再依據(jù)運維的需求豐富這個操作平臺的功能和提升效率，最后把周邊的系統(tǒng)打通，相互對接，形成完整的自動化運維體系。

考慮可擴展性

設計系統(tǒng)的時候，功能或者設計方面可能不用考慮那么多，但是要考慮當服務器數(shù)量發(fā)生比較大的擴張時，系統(tǒng)是否還能支撐，比如數(shù)量級從十到百，或者上千了，這個系統(tǒng)是否還是可用的。

以實用為目的

這在我們系統(tǒng)中也是有體現(xiàn)的。很多情況下，市面上可能已經(jīng)有比較成熟的協(xié)議和工具，拿來評估看看它們在生產(chǎn)環(huán)境里面是否可用，如果能用就直接用，沒必要自己再去做一套。

自己做的這一套工具，很多方面沒有經(jīng)過驗證，可能會帶來安全問題?；诔墒斓膮f(xié)議和框架去做，可以提升效率，保證穩(wěn)定性和安全性。

在“自動化運維平臺”一節(jié)可以看到，我們并沒有自己從頭開始研發(fā)一套 Agent 植入到被管理的服務器上，而是用了開源的 SSH 協(xié)議和成熟的 OpenSSH 軟件。

這體現(xiàn)了優(yōu)先考慮開源方案加一部分二次開發(fā)而不是重復造輪子的思想。

[[251896]]

胥峰，著有暢銷書《Linux 運維最佳實踐》、譯著《DevOps：軟件架構師行動指南》，資深運維專家，有 11 年運維經(jīng)驗，在業(yè)界頗具威望和影響力。2006 年畢業(yè)于南京大學，曾就職于盛大游戲等大型知名互聯(lián)網(wǎng)公司，現(xiàn)就職于Garena Singapore 。擁有工信部認證高級信息系統(tǒng)項目管理師資格。