9月14-15日,GOPS全球运维大会上海站圆满举行,为期两天的运维盛宴,为各位运维人带来了相互交流和学习的绝佳平台,来自腾讯技术工程事业群(TEG)网络平台部的何维兵给大家带来了「大型DCI网络智能运营实践」的主题分享。
我们同步了嘉宾现场沙龙分享视频(内含高清PPT),请点击下方「腾讯技术课小程序」卡片即可查看:
同时附上整理好的演讲稿:
何维兵,来自腾讯TEG网络平台部,资深运维老兵,拥有10年运营商网络、6年互联网基础设施运营经验,擅长大型骨干网络、数据中心网络维护管理和运营支撑系统规划建设,目前专注于网络自动化运营、NetDevOps以及网络智能运营的实践探索。
运营苦、运营累,关键时刻不能跪!!!
记得有一年微信年会,老板现场发红包给大家,结果红包没发出去,因为网络出故障了!你们能想象到当时有多尴尬。随后老板找到我们提了需求,重要业务要在三分钟恢复!
我们来分析一下这个需求,这是截取的一些公开资料,大部分互联网公司都差不多,从A端到B端的访问路径算了一下,大概经过32个网络结点,中间路径1000条,这么多路径、这么多节点,三分钟时间内搞定这些问题还是挺有挑战的。
需求是合理的,老板的方向也是对的。于是我们启动了一个项目,黑镜1.0:网络故障智能定位,尝试解决这个需求。出发点是:围绕着故障发现、定位、恢复这三个阶段,看看每个阶段能做哪些事情或提升!
我们总结了一下思路,称之为“3M大法”。首先把自己的眼睛擦亮,通过Meshping的方案做了高精度的监控感知系统。第二,基于以往故障的经验总结哪些东西是跟故障强相关的因素,定义为Multi-KPI的体系,通过这种方式我们来定位故障。第三,把所有的冗余组件封装好,用的时候直接调用组件Moveout故障点。
第一个Meshping探测,原理并不复杂。过去我们7*24小时坐在NOC监控中心,但很多时候并没有发现问题,都是业务发现后找到我们。为什么出现这样的情况呢?因为业务非常多,它分布的太广了,它的敏捷度远远比我们高。那我们就想,干脆就从业务的角度监控,就拿机房的海量服务器去做这样的事情。
其实很简单,就是选取一部分机器作为探测对象,然后机器之间交叉探测。听起来很简单,但是要达到既能覆盖所有的路径,同时也在一定的时间之内,高效的把结果计算出来,并且达到高精度的报警,这还是很有挑战的。
一方面要解决海量ping侧任务和结果的计算,还要把中间的探索路径记录了下来,这么多的样本记录下来挑战也很大,我们当时做的时候也缴了一些“学费”,把设备搞奔溃的情况也出现过。
另外随着故障场景的积累,还需要更丰富的探测元素,比如说大小包的组合、QoS标记组合、UDP资源探测等等,我们现在还在持续的优化Meshping探测方案。
第二个就是Mulit-KPI指标系统。过去排查故障时,往往花大量的时间分析数据、找线索,就像上面提到的从那么复杂的一个路径中,串行的执行那么多的分析工作,很难在很短的时间内定位故障的来源。所以后来我们不找细节的东西了,去找什么东西能够代表它的故障,或者说哪些趋势变化跟故障强相关。
举例其中一个KPI指标:设备转发效能比,它是基于包量守恒原理(二层环境除外),把设备上所有的的入和出的数据包采集出来,做成一个比值曲线。大家可以看一下这个真实的数据,平时是很稳态的,但是故障发生后,这个曲线会有明显的突变。我们把这样的类似的趋势变化,定义为故障关联的KPI指标,这些指标不一定要多,但一定要准确和故障关联。
第三个是Moveout隔离屏蔽。我们对所有的网络冗余组件做了屏蔽操作的自动化封装。有些不具备屏蔽的条件,也会设置一些静默的通道放在这里,平时不用,需要使用的时候就开启它。所以至少核心的层的组件都具备“逃生”的能力。
整套定位平台框架由以上三个部分组成,其故障定位的原理也很简单,把所有的探测的流采集出来,记录下来探测流的路径,通过这些异常流的特性锁定一批设备,然后对这些设备计算KPI指标,通过KPI指标的叠加,就能看到谁是最可能的故障点了。
通过这套系统,可以在三分钟内检测到异常,并通过微信推送告警;然后4分钟内完成定位计算,推荐故障定位结论;下一步就是人去决策要不要做相应的动作?
初期以安全为主,只在部分场景做成全自动化。通过这套黑镜网络自动化的诊断、定位系统,我们在网络故障时,最快可以十分钟内恢复故障,大部分场景在30分钟之内搞定故障。
上述方法让运营能力得到很大的提升,网络质量监控很准确了,达到90%以上;但定位准确性不高,大概有50%(不准确性),还不能满足需求。
有没有办法进一步提升呢?
这几年大家都在谈AIOps的理念,我们想能不能把AIOps引进来做一些尝试。
想法很好,如何落地呢?
谈到AIOps、机器学习,其主要的核心是要有高质量的数据,要有丰富的输入和输出,从这些数据样本中去找到一些隐含的规律把它提取出来。
但是我们网络的数据是什么样的?
先看看网络故障数据,发现有三个特点:
第一个就是稀有性,网络上恶性故障样本非常少,一年下来大概两只手就可以数过来了;
第二个就是新兴性,我们发现每次故障和上次故障重复的比例并不多,它都是新兴的故障,特别是配置,每次配置发生的问题都是有差异性的,它的规律性其实并不强;
第三个是传播性,网络是一个mesh的连接,节点之间的存在较大的干扰。基于这几个特性,我们发现网络上的故障数据质量其实并不高,并不具备特别强的规律性。
那是不是不能做了呢?再看看网络上还有什么样的数据。
第一类是时序类的,比如我们通过SNMP采集的流量数据;还有一类是文本类的,比如config、syslog;这些数据能不能有小应用的场景呢?
我们结合一些行业的经验和做法,选取了2个场景来进行试点:
第一个就是时序曲线的检测,这个是业界应用最多的;
第二个就是文本的聚类分析,对配置文件进行审计校验。
我们的想法是,一方面能看能否对KPI指标的监控准确性有所提升;另一方面通过配置文件的管理,减少故障的发生。
我们来看一看具体是怎么做的。
第一个流量的异常检测,我们联合内部SNG的织云做了尝试,直接拿他们Metis平台的成熟算法应用。把网络的实时流量数据和历史数据导到Metis平台,平台返回检测结果,不需要我们进行任何配置,只需要对结果进行标记反馈。
用了这套方法之后,我们发现可以很好的解决单幅图的监控,帮助我们解决锯齿性、周需期性的误告问题。但也发现还存在一些问题,主要是曲线之间的关联问题。比如一个负载均衡的多个端口,像左边的图下降了,右边升高了,这是一个正常的网络切换行为,并不需要告警。这是在传统的监控中没有解决的问题,这里仍然解决不了。
那这种关联性如何解决呢?
过去我们对网络的管理的模式和方法不够精确,很多的网络知识,比如对网络的连接、配置等,大部分是以PPT、WORD、EXCEL的形式存在,或者装在脑子里面。没有经过很好的抽象和封装,把这些东西以参数、函数的方式表达出来,简单说就是没有模型化、结构化的抽象,没有存在我们的数据库中,系统不太能理解网络上的一些含义,比如一条连线代表什么含义,一条配置代表什么含义,一条syslog代表什么含义。
因此我们最近2年在对网络进行抽象建模,对硬件连接、对配置特性、参数,包括运营的状态进行模型化的抽象定义,简单说就是构建比较完整的网络知识图谱。这个工作,挑战性也蛮大的,我们还在不断的摸索中,硬件部分我们已经完成,并应用在一些新建、扩容场景中,配置部分正在开展中。这是我们后续重点发力的方向。
第二个实践,我们尝试在配置管理上做一些突破。一台TOR大概有5K行的配置,一台CORE上万行的配置,这么多行里挑哪一行错了是很难的。同时每一天都有变更发生,你如何在动态的情况下管理它呢?这个挑战是很大的。
我们在想怎么做呢?也无非就是找不同嘛,找谁的差异性比较大。
举个简单的例子,比如说有这么多篮的水果,如何把不同的水果篮挑出来呢?我先把水果堆在一起,看看哪些水果出现频率是最高和最低的,然后把它进行聚类,把稀疏的项目筛掉,我们就用这种思路去管理。
具体怎么做呢?
我们参考了TF-IDF的文本分析算法,它主要是会过滤一些非关键的词项。我们把这套方法叫做聚类+降维分析法,把它应用在了配置文本的管理上。
首先把配置文件拆分成很多的模块,每一个模块把词聚集起来,比如说一百个文件中的同一个配置模块聚在一起,然后计算每个词出现的频率是多少,出现频率比较低的直接筛掉。然后会形成几个模板,这个模板会代表大多数的“广泛意见”,然后拿这个模板和现网的配置进行对比,从而实现审计校验的功能。
它可以用在两个场景,第一个场景就是可以在存量的配置里提取有哪几种配置标准,给到负责配置规范的同事去核验;第二,就是对存量的小众配置的设备,去看为什么不一样?是不是哪里配错了?这个方法在标准化程度比较高的架构中效果不错,但一些边缘接入的差异性比较大的场景则不是很好,另外对一些参数错误、或全局错误也不能发现。
通过这两个案例,我们在网络AIOps方面做了初步的探索和实践,没有用很高深的算法。在这个过程当中我们也总结了一些经验,供大家在网络领域进行AIOps尝试提供一些参考,主要有三点:
第一点,就是网络要系统建模。当前的网络的抽象程度不够,系统没有办法理解网络上的语言和行为,要把网络上的对象、事件、行为标准化的定义出来,让系统能够理解。今天上午清华的裴丹老师也提到过,这个工作是基础当中的基础。当然这个挑战性非常大,需要大量的投入;
第二点,不需要过多关注算法细节。网络从业人员在算法上不具备优势,在算法领域可以充分借鉴参考成熟的经验或开放资源,把重心放在场景、数据的挖掘和分析上。关键是利用算法的思路,看他能解决什么问题,比如我们第二个案例,实际上并没有用到机器学习,只是用了一个数学算法,降低了问题的复杂度;
第三点,要加大在数据挖掘和DevOps上的投入。未来的运营,大部分是围绕数据的提取、分析、挖掘等工作,如何对数据进行快速的提取、分析,把分析、处理逻辑准确定义好,这是我们重点投入的方向。
以上就是我们近期在网络AIOps上的一些探索和思考,这些工作只是一个开头,相关的项目仍然在持续的推进,我们正在开展黑镜2.0的项目,打造基于事件的智能诊断平台。会对更多的运营数据进行分析,并把检测分析逻辑模型化,实时对全网进行大量的逻辑运算,提取异常事件,形成异常事件库。会持续的进行一些方法的优化,引入更多的算法,提升准确性。
最终将基于完整的知识图谱,构建一个图数据库描述网络的软硬件关系,基于异常事件对网元进行着色处理,然后根据中心度的算法,进行故障定位计算。
这是下一步的方向和思路,这里有很多的细节东西还没有想清楚,还在落实当中。这里也是欢迎各位一起研究和探讨。