September 2021
Beginner to intermediate
392 pages
12h 13m
Chinese
book
Google系统架构解密: 构建安全可靠的系统
by Heather Adkins, Betsy Beyer, Paul Blankinship, Piotr Lewandowski, Ana Oprea, Adam Stubblefield
Content preview from Google系统架构解密: 构建安全可靠的系统
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
232
|
第
14
章
•
策略可能会变更
,在这种情况下,验证引擎必须重新评估系统中现存的部署,确保它们
仍然符合新策略。当首次启用策略时,这一点尤为重要。
•
当决策服务不可用时,允许请求继续进行。通常来说,尤其是首次推出强制性功能时,
这种
故障时打开
式设计对于确保服务的可用性是必要的。
•
如下一节所述,操作员可在紧急情况下使用
Breakglass
机制
来绕过决策。
•
用户需要一种方法在提交前
测试
策略变更,以确保现有状态不会与新版本的策略冲突。
•
与“故障时打开”设计的理由类似,用户还希望有“试运行”(
dry run
)
模式。在这种模式下,
系统始终允许在部署时发起请求,但会监测表面的潜在问题。
•
为了
取证
,调查人员可能需要事件发生后的信息。
强制决策点必须记录足够的日志信息,这样验证器在部署后才能评估相关策略
20
。通常有必
要记录完整请求日志,但仅记录这些往往还不够。如果策略评估需要其他状态,日志必须
包括这些额外信息。例如,在为
Bor
g
实现部署后验证时,我们遇到了这样的问题:因为
“
job
”
请求包括对现有“
allocs
”和“
packages
”的引用,所以为了获得做出决策所需的完
整状态,必须连接三个日志源:
jobs
、
allocs
和
packages
21
。
14.6
实用建议
多年来,在各种环境中实现可验证的构建和部署策略时,我们吸取了不少经验教训。其中
大部分无关实际的技术选择,而是关于如何让变更部署可靠、易于调试和理解。本节包含
一些实用的建议,希望对你有帮助。
14.6.1
一步步来
提供一个高度安全、可 ...