Tradeoff keandalan
Beban kerja yang andal secara konsisten memenuhi tujuan keandalan yang ditentukan. Ini harus mencapai target ketahanan yang ditetapkan, idealnya dengan menghindari peristiwa yang memengaruhi keandalan. Namun, secara realistis, beban kerja harus mentolerir dan mengontrol dampak peristiwa tersebut dan mempertahankan operasi pada tingkat yang telah ditentukan selama kerusakan aktif. Bahkan selama bencana, beban kerja yang andal harus pulih ke keadaan tertentu dalam jangka waktu tertentu, yang keduanya disepakati di antara para pemangku kepentingan. Rencana respons insiden yang memungkinkan Anda mencapai deteksi dan pemulihan yang cepat sangat penting.
Selama fase desain beban kerja, Anda perlu mempertimbangkan bagaimana keputusan berdasarkan prinsip desain Keandalan dan rekomendasi dalam daftar periksa Tinjauan desain untuk Keandalan dapat memengaruhi tujuan dan pengoptimalan pilar lain. Keputusan tertentu mungkin menguntungkan beberapa pilar tetapi merupakan pertukaran bagi orang lain. Artikel ini menjelaskan contoh tradeoff yang mungkin dihadapi tim beban kerja saat merancang arsitektur dan operasi beban kerja untuk keandalan.
Tradeoff keandalan dengan Keamanan
Tradeoff: Peningkatan area permukaan beban kerja. Pilar Keamanan memprioritaskan area permukaan yang berkurang dan terkandung untuk meminimalkan vektor serangan dan mengurangi manajemen kontrol keamanan.
Keandalan sering diperoleh melalui replikasi. Replikasi dapat terjadi pada tingkat komponen, di tingkat data, atau bahkan pada tingkat geografis. Replika, berdasarkan desain, meningkatkan area permukaan beban kerja. Dari perspektif keamanan, area permukaan yang berkurang dan terkandung lebih disukai untuk meminimalkan vektor serangan potensial dan menyederhanakan manajemen kontrol keamanan.
Demikian pula, solusi pemulihan bencana, seperti cadangan, meningkatkan area permukaan beban kerja. Namun, mereka sering diisolasi dari runtime beban kerja. Solusi ini memerlukan implementasi kontrol keamanan tambahan, yang mungkin spesifik untuk pendekatan pemulihan bencana.
Demi tujuan keandalan, komponen tambahan mungkin diperlukan untuk arsitektur, yang meningkatkan area permukaan. Misalnya, bus pesan mungkin ditambahkan untuk membuat permintaan tangguh melalui pemisahan. Peningkatan kompleksitas ini meningkatkan area permukaan beban kerja dengan menambahkan komponen baru yang perlu diamankan, mungkin dengan cara yang belum digunakan dalam sistem. Biasanya, komponen-komponen ini disertai dengan kode dan pustaka tambahan untuk mendukung penggunaannya atau pola keandalan umum, yang juga meningkatkan area permukaan aplikasi.
Ketika beban kerja mengalami peristiwa keandalan yang sedang ditangani di bawah respons insiden aktif, urgensi mungkin menciptakan tekanan bagi tim beban kerja untuk melewati kontrol keamanan yang dioptimalkan untuk akses rutin.
Aktivitas pemecahan masalah dapat menyebabkan tim menonaktifkan protokol keamanan untuk sementara, meninggalkan sistem yang sudah stres berpotensi terkena risiko keamanan tambahan. Ada juga risiko bahwa protokol keamanan tidak akan segera diterbitkan kembali.
Implementasi granular kontrol keamanan, seperti penetapan kontrol akses berbasis peran kustom atau aturan firewall sempit, memperkenalkan kompleksitas dan sensitivitas konfigurasi, meningkatkan kemungkinan kesalahan konfigurasi. Mengurangi dampak keandalan potensial ini dengan menggunakan aturan luas mengikis ketiga prinsip arsitektur Zero Trust.
Menerapkan patch keamanan atau pembaruan perangkat lunak berpotensi mengganggu komponen target, menyebabkan tidak tersedianya selama perubahan perangkat lunak. Menunda atau menghindari patching dapat menghindari potensi risiko keandalan, tetapi membuat sistem tidak terlindungi dari ancaman yang berkembang.
Pertimbangan sebelumnya juga berlaku untuk kode beban kerja. Misalnya, ini berlaku untuk kode aplikasi yang menggunakan pustaka dan kontainer lama yang menggunakan gambar dasar lama. Jika memperbarui dan menyebarkan kode aplikasi dilihat sebagai risiko keandalan yang tidak dimitigasi, aplikasi akan terkena risiko keamanan tambahan dari waktu ke waktu.
Tradeoff keandalan dengan Pengoptimalan Biaya
Replikasi adalah strategi utama untuk keandalan. Secara khusus, strateginya adalah memiliki replikasi yang cukup untuk menangani sejumlah kegagalan simpul bersamaan tertentu. Toleransi untuk kegagalan simpul yang lebih bersamaan membutuhkan jumlah replika yang lebih tinggi, yang menyebabkan peningkatan biaya.
Provisi berlebihan adalah teknik lain untuk menyerap beban tak terduga pada sistem, seperti selama peristiwa failover, yang dapat menyebabkan masalah keandalan. Kelebihan kapasitas apa pun yang tidak digunakan dianggap boros.
Jika beban kerja menggunakan solusi pemulihan bencana yang secara berlebihan memenuhi tujuan titik pemulihan dan waktu beban kerja, kelebihannya menyebabkan biaya yang lebih tinggi karena limbah.
Penyebaran beban kerja itu sendiri adalah sumber potensial untuk dampak keandalan, dan dampak itu sering dimitigasi oleh redundansi pada waktu penyebaran melalui strategi penyebaran seperti biru/hijau. Duplikasi sementara sumber daya ini selama penyebaran yang aman biasanya meningkatkan biaya keseluruhan beban kerja selama periode tersebut. Biaya meningkat dengan frekuensi penyebaran.
Untuk mencapai keandalan, sistem memerlukan pengamatan. Sistem pemantauan memerlukan transfer dan pengumpulan data pengamatan. Saat kemampuan pemantauan meningkat, frekuensi dan volume data meningkat, yang mengarah ke biaya tambahan.
Keandalan keterjanjian dalam beban kerja memerlukan pengujian dan latihan. Merancang dan menjalankan pengujian membutuhkan waktu dan alat yang berpotensi khusus, yang menimbulkan biaya.
Beban kerja dengan target keandalan tinggi sering kali memiliki proses respons cepat yang mengharuskan anggota tim teknis menjadi bagian dari rotasi on-call formal. Proses ini menimbulkan biaya personel tambahan dan kehilangan biaya peluang karena perhatian yang dapat diarahkan ke tempat lain. Ini juga menimbulkan biaya alat potensial untuk manajemen proses.
Kontrak dukungan dengan penyedia teknologi adalah komponen utama dari beban kerja yang andal. Kontrak dukungan yang tidak digunakan karena tingkat dukungan terlalu banyak diprovisikan menimbulkan limbah.
Tradeoff keandalan dengan Keunggulan Operasional
Keandalan biasanya meningkatkan kompleksitas beban kerja. Ketika kompleksitas beban kerja meningkat, elemen operasional beban kerja juga dapat meningkat untuk mendukung komponen dan proses tambahan dalam hal koordinasi penyebaran dan area permukaan konfigurasi.
Memiliki strategi pemantauan komprehensif untuk beban kerja adalah bagian penting dari keunggulan operasional. Memperkenalkan komponen tambahan ke dalam arsitektur untuk menerapkan pola desain keandalan menghasilkan lebih banyak sumber data untuk dikelola, meningkatkan kompleksitas penerapan pelacakan dan pengamatan terdistribusi.
Menggunakan beberapa wilayah untuk mengatasi batasan kapasitas sumber daya wilayah tunggal dan/atau menerapkan arsitektur aktif/aktif meningkatkan kompleksitas manajemen operasional beban kerja. Kompleksitas ini diperkenalkan oleh kebutuhan untuk mengelola beberapa wilayah dan kebutuhan untuk mengelola replikasi data di antara mereka.
Ketika beban kerja menjadi lebih kuat melalui penambahan komponen dan pola keandalan, dibutuhkan lebih banyak waktu untuk mempertahankan prosedur operasional dan dokumentasi artefak.
Pelatihan menjadi lebih kompleks karena jumlah komponen dalam beban kerja meningkat. Kompleksitas ini memengaruhi waktu yang diperlukan untuk onboarding. Kompleksitas ini juga meningkatkan pengetahuan yang diperlukan untuk melacak peta jalan produk dan panduan tingkat layanan terbaru.
Tradeoff keandalan dengan Efisiensi Performa
Pola keandalan sering kali menggabungkan replikasi data untuk bertahan dari kerusakan replika. Replikasi memperkenalkan latensi tambahan untuk operasi penulisan data yang andal, yang menggunakan bagian dari anggaran performa untuk pengguna atau aliran data tertentu.
Keandalan terkadang menggunakan berbagai bentuk penyeimbangan sumber daya untuk mendistribusikan atau mendistribusikan ulang beban ke replika yang sehat. Komponen khusus yang digunakan untuk penyeimbangan biasanya memengaruhi performa permintaan atau proses yang sedang seimbang.
Mendistribusikan komponen di seluruh batas geografis atau zona ketersediaan untuk bertahan dari dampak tercakup memperkenalkan latensi jaringan dalam komunikasi antar komponen yang mencakup batas ketersediaan tersebut.
Proses ekstensif digunakan untuk mengamati kesehatan beban kerja. Meskipun pemantauan sangat penting untuk keandalan, instrumentasi dapat memengaruhi performa sistem. Saat pengamatan meningkat, performa mungkin menurun.
Operasi penskalaan otomatis tidak seketika dan oleh karena itu tidak dapat menangani lonjakan permintaan yang tiba-tiba dan dramatis yang tidak dapat dibentuk atau dihaluskan. Oleh karena itu, provisi berlebihan melalui instans yang lebih besar atau lebih banyak instans adalah taktik keandalan penting untuk memperhitungkan ketertinggalan antara sinyal permintaan dan pembuatan pasokan untuk membantu menyerap ledakan. Kapasitas yang tidak digunakan mengimbangi tujuan efisiensi performa.
Terkadang komponen tidak dapat diskalakan sebagai reaksi terhadap permintaan, dan permintaan tersebut tidak sepenuhnya dapat diprediksi. Menggunakan instans besar untuk mencakup kasus terburuk menyebabkan limbah provisi berlebihan dalam situasi yang berada di luar kasus penggunaan tersebut.
Tautan terkait
Jelajahi tradeoff untuk pilar lainnya: