Наблюдаемость
Режимы сбоя и инженерная практика: cardinality budget''''ы, PII и сэмплирование
В 14:00 разработчик добавил customer_email как label к http_requests_total. В 14:03 Prometheus убил себя по OOM: 9,24 миллиона series, 14,3 ГБ RAM, restart count 1. Replay WAL отставал на 73 секунды; каждый алерт сработал с задержкой или вовсе не сработал. Один label, три минуты, региональный мониторинг лежит.
Продакшн-режимы сбоя по каждому сигналу
Каждый тип сигнала имеет характерный способ отказа. Знание режима сбоя говорит, куда ставить защиты.
| Сигнал | Режим сбоя | Detection-метрика | Митигация |
|---|---|---|---|
| Метрики | Cardinality bomb — один неограниченный label вызывает OOM TSDB | prometheus_tsdb_head_series rate spike | metric_relabel_configs labeldrop, затем удалить из кода |
| Логи | Runaway ingestion — один болтливый сервис умножает дневной счёт в 10× | Ingest ГБ/день на сервис в дашборде вендора | Повысить log level или направить в sampled tier; долгосрочно: один итог на операцию |
| Логи | Silent PII leak — данные пользователей в индексированных полях | Audit dashboard, сканирующий high-cardinality строковые поля | Allow-list на pipeline; regex redactor в Fluent Bit или Vector |
| Трейсы | Sampling gap — интересный трейс был отброшен | refused_spans_total в collector’е; 0% error-трейсов после инцидента | Tail-based политика: всегда хранить ERROR + latency > SLO |
| Трейсы | Span explosion — цикл эмитит 10k span’ов на запрос | Всплеск histogram spans per trace | Обернуть тело цикла в один parent span; подавлять child span’ы выше порога |
| Трейсы | Orphaned spans — контекст не распространён через async boundary | Трейсы только с single-service span’ами; parent_span_id не установлен | Передавать W3C traceparent в заголовках сообщений (Kafka, SQS и т.д.) |
У каждого режима сбоя есть detection-метрика. Senior-команды мониторируют мониторинговый tier так же тщательно, как и продуктовый.
Cardinality budget’ы как инженерная практика
В любом 1.0 metrics стеке cardinality-дисциплина — инженерная практика, а не однократный выбор при инструментации.
Паттерн Cloudflare 2022: каждая команда владеет cardinality budget’ом (например, 100k активных series для всех сервисов в namespace команды). CI-проверки помечают любой PR, вводящий новое имя label, превышающее порог. Budget пересматривается ежеквартально, меняется на основе фактического использования. Инструменты: mimirtool Grafana, Custom Metrics Usage view Datadog, prometheus_tsdb_head_series и count by (__name__) ({__name__=~".+"}) Prometheus.
Культурная отдача: инженеры думают о label cardinality при записи — не после OOM в 03:00.
Кейс-стади OOM Prometheus. В 14:02 prometheus_tsdb_head_series прыгнул с 824k до 9,24М за две минуты — рост в 11×. При ~3 КБ на активную series, head block требовал ~27 ГБ; у сервера было 16 ГБ. Память достигла 14,3 ГБ (89% лимита) и ядро убило Prometheus по OOM. При перезапуске replay WAL составил 412 сегментов, отставая на 73 секунды от времени scrape.
Немедленная митигация (за 5 минут, без deploy): добавить metric_relabel_configs с action: labeldrop и regex: customer_email в scrape config Prometheus для затронутого сервиса. Подтвердить снижение rate prometheus_tsdb_head_series_created_total в пределах одного scrape interval. Память не освободится до следующей 2-часовой block compaction; перезапускать Prometheus только если память продолжает расти.
Долгосрочное решение: (a) убрать customer_email из метрики; (b) заменить ограниченным customer_segment (free/pro/enterprise = 3 значения); (c) использовать exemplar’ы для per-customer drill-through без стоимости cardinality; (d) добавить CI-проверку (cardinality-lint.ts), проваливающую build при совпадении новых label-имён с deny-list regex (email, user_id, request_id, session_id, customer_id); (e) добавить алерт Prometheus: rate(prometheus_tsdb_head_series_created_total[5m]) > 1000 пейджит on-call до OOM.
PII-риски на метрики и лог-поверхности
Как label’ы метрик, так и поля логов могут утекать PII в менее защищённое хранилище, чем исходная база данных.
Реальные инциденты:
- Payments-компания в 2021 году утекла телефонные номера клиентов как label метрики (
failed_phone="+1..."). Prometheus scrape’ил метрику во все окружения включая dev; телефонные номера были видны в дашбордах всей инженерной организации. - SaaS-компания в 2023 году два месяца ingestion’ировала raw тела запросов в логи (включая session token’ы), пока клиент не заметил в support thread. В logging pipeline не было PII-фильтра.
- Маркетплейс в 2024 году эмитировал пользовательские поисковые запросы как span attribute
query, раскрывая demographic-segment информацию BI-команде, имевшей доступ к Jaeger, но не к продакшн БД.
Митигации:
- Allow-list для label’ов и span attributes. Deny by default. Каждый новый label метрики или span attribute требует явного одобрения в reviewed config-файле, зачекиненном рядом с кодом.
- Redaction в logging pipeline. Vector и Fluent Bit поставляются с regex redactor’ами для типичных PII-паттернов. Список паттернов (
email,phone,ssn,token,password,session_id) должен поддерживаться в security-reviewed репо рядом с cardinality deny-list. - Audit dashboards. Дашборд, показывающий high-cardinality строковые поля по сигналу — отсортированные по числу distinct значений — ловит утечки до того, как клиент их обнаружит.
Относись к review label’ов и полей как к security gate, а не performance gate.
Конфигурация OTel сэмплирования на практике
OTel Sampler API предоставляет head-based решения на SDK и tail-based на collector’е.
SDK-level sampler’ы:
AlwaysOn— 100% сэмплирование. Только для dev/test или очень low-volume критических путей.AlwaysOff— 0% сэмплирования. Полезно для internal health-check маршрутов, где трейсы не дают сигнала.TraceIdRatioBased(p)— сэмплирует долюproot трейсов. Генерирует случайное решение, коррелированное сtrace_id; должно быть некоррелировано со свойствами запроса (см. ниже).ParentBased(root_sampler)— следует решению о сэмплировании родителя из входящегоtraceparentзаголовка. Downstream сервисы автоматически следуют решению root через W3Csampledflag.
Tail sampling на collector’е (TailSamplingProcessor):
Политики, применяемые после завершения трейса. Типичная продакшн конфигурация:
policies:
- name: errors-policy
type: status_code
status_code: {status_codes: [ERROR]}
- name: slow-traces-policy
type: latency
latency: {threshold_ms: 1000}
- name: baseline-policy
type: probabilistic
probabilistic: {sampling_percentage: 2}errors-policy и slow-traces-policy хранят 100% интересных трейсов. baseline-policy хранит 2% остального, давая покрытие low-traffic сервисам при отсутствии ошибок.
Post-mortem Elastic 2024 по head sampling. Наивное head sampling под-представляет ошибки и медленные tail’ы, поскольку решение принимается до того, как трейс имеет какой-либо исход. Post-mortem также выявил более тонкую проблему: TraceIdRatioBased генерирует случайное решение из trace_id. Если trace_id не является истинно случайным (например, производным от hash пути запроса), решение о сэмплировании коррелирует со свойствами запроса — медленные endpoints могут всегда или никогда не сэмплироваться как когорта. Продакшн правило: использовать ParentBased(TraceIdRatioBased(0.2)) на edge с криптографически случайным trace_id, и накладывать tail политики на collector’е для интересных случаев.
OOM Prometheus: расставь шаги реагирования от первого к последнему:
- 1 Проверить rate prometheus_tsdb_head_series — подтвердить рост в 11× за 2 мин
- 2 Определить новый label: просмотреть diff metric_relabel или git log instrumentation
- 3 Добавить metric_relabel_configs labeldrop для нарушителя — deploy не нужен
- 4 Подтвердить, что rate head_series_created_total падает до baseline в пределах одного scrape interval
- 5 Убрать label из кода приложения и заменить на ограниченную альтернативу
- 6 Добавить CI cardinality-lint проверку и Prometheus алерт на rate создания series
Команда добавляет customer_email к http_requests_total. Prometheus падает по OOM за 3 минуты. Какая немедленная митигация не требует редеплоя приложения?
Post-mortem Elastic 2024 выявил, что TraceIdRatioBased sampling может тихо под-представлять конкретный endpoint. В чём корневая причина?
- Prometheus head series в начале OOM-инцидента
- 824k
- Prometheus head series после label customer_email (2 мин)
- 9,24М (11×)
- RAM, требуемая при 9,24М series × 3КБ/series
- ~27 ГБ
- Лимит RAM сервера в инциденте
- 16 ГБ
- WAL сегменты при перезапуске
- 412 (73с отставание)
- Cardinality budget на команду (типичный 1.0 стек)
- 50k–500k активных series
- Окно буферизации tail-sampling
- 30–60 с на трейс
- Продакшн baseline сэмплирование: успешные трейсы
- 0,5–5%
- Продакшн baseline сэмплирование: error-трейсы
- 100%
- 01Назови пять продакшн-режимов сбоя (по одному на категорию сигнала) и укажи detection-метрику для каждого.
- 02Опиши последовательность реагирования на OOM Prometheus: немедленная митигация (без deploy) и долгосрочное решение.
- 03Объясни, почему ParentBased(TraceIdRatioBased) — рекомендуемый SDK sampler в продакшне и что post-mortem Elastic 2024 добавляет к этой рекомендации.
У каждого observability сигнала есть характерный режим сбоя: метрики встречают cardinality bomb’ы (один неограниченный label вызывает OOM TSDB за минуты), логи встречают runaway ingestion и silent PII-утечки, трейсы встречают sampling gap’ы и span explosion’ы. Detection-метрика для каждого режима сбоя должна мониториться так же тщательно, как продуктовый tier. Cardinality budget’ы — инженерная практика, поддерживаемая через CI deny-list’ы и ежеквартальные ревью, а не однократный выбор. PII-утечки в label’ах метрик и span attributes — нарушение безопасности независимо от контроля доступа — обязательны allow-list’ы и pipeline redactor’ы. OTel сэмплирование в продакшне использует ParentBased(TraceIdRatioBased) на SDK для распространения head-решений через W3C traceparent flag, и TailSamplingProcessor на collector’е для хранения 100% ERROR и slow-tail трейсов — с caveat Elastic 2024, что trace_id seed должен быть криптографически случайным и некоррелированным со свойствами запроса.
встречается в167
- Путь запроса: семь остановок от сокета до ответаjunior
- Accept и парсинг: от очереди ядра до типизированного запросаmiddle
- Маршрутизация и middleware: что выполняется и в каком порядкеmiddle
- Обработчик и ответ: от бизнес-логики до байтов на проводеmiddle
- Стриминг и backpressure: когда клиент читает медленнее, чем вы пишетеsenior
- Таймауты и хвостовая задержка: бюджеты, дедлайны и ловушка fan-outsenior
- Middleware и DI: два паттерна, формирующие любой backendjunior
- Пишем middleware: сигнатуры, next() и три модели фреймворковmiddle
- Инверсия управления: как зависимости добираются до классаmiddle
- Скоупы и время жизни DI: singleton, request, transientmiddle
- DI как шов для тестов: фейки, моки и граница, которая важнаsenior
- DI-контейнеры в продакшене: графы разрешения, циклы и когда не стоитsenior
- Блокирующий vs неблокирующий I/O: два способа ждатьjunior
- Event loop: один поток, упорядоченные фазыmiddle
- Что блокирует цикл: CPU-работа и синхронные вызовыmiddle
- Вынос CPU-работы: worker threads и пул libuvmiddle
- Backpressure и ограниченная конкурентностьsenior
- Пропускная способность под нагрузкой: хвостовая задержка и насыщениеsenior
- Зачем пул: цена создания соединенияjunior
- Размер пула: почему больше не значит быстрееmiddle
- Взятие и таймауты: очередь ожидания — настоящий дроссель задержкиmiddle
- Стратегии retry: backoff, jitter и thundering herdmiddle
- Наблюдаемость, production-инциденты и дизайн для глобального масштабаsenior
- Задачи, микрозадачи и scheduler.yield()middle
- Точность таймеров, троттлинг и фоновая работаmiddle
- Event loop Node.js: фазы, nextTick и задержка циклаsenior
- Стратегии рендеринга: SSG, SSR, ISR, streaming и гидратацияjunior
- SSG, SSR, ISR, streaming и RSC — как работает каждая стратегияmiddle
- Цена гидратации: selective, progressive, острова, resumabilitymiddle
- Core Web Vitals: что измеряют LCP, INP и CLSjunior
- LCP: четыре фазы, одна доминирующая стоимостьmiddle
- INP: input delay, processing, presentationmiddle
- Lab vs field: почему они расходятся и как использовать каждыйmiddle
- Трейдоффы метрик, RUM-атрибуция и цикл CI+полеsenior
- Общая картина: от URL до LCP до INP как эстафетаjunior
- Восемь слоёв трассировки: от service worker до второй навигацииmiddle
- Пять канонических поломок: где производство стабильно ломаетсяsenior
- Метод трёх треков: чтение трасс и построение системы мониторингаsenior
- Что такое индекс и как он ускоряет запросыjunior
- Leading-column rule: почему порядок столбцов в composite-индексе важенmiddle
- Partial, expression и covering-индексыmiddle
- Типы индексов: GIN, GiST, BRIN, Hash, Bloom и HOT-обновленияmiddle
- Index-only scan, Visibility Map и INCLUDEsenior
- Типичные сбои в продакшне и аудит индексовsenior
- Упражнение по проектированию индексов: стратегия полнотекстового поискаsenior
- EXPLAIN и планы выполнения: что решает планировщик и почемуjunior
- Типы сканирования: Seq, Index, Bitmap, Index-Onlymiddle
- Алгоритмы соединения и каскад ошибок оценки строкmiddle
- pg_statistic, ANALYZE и производственная наблюдаемостьmiddle
- Расширенная статистика: исправление ошибок оценки для коррелированных колонокsenior
- Кеш планов, настройка константных стоимостей и внутренности планировщикаsenior
- Производственные режимы отказа и стабильность плановsenior
- Connection pool: зачем амортизировать стоимость backend Postgresjunior
- Режимы PgBouncer: session, transaction и statementmiddle
- Размер пула: формула (ядра × 2) + шпинделей и двухуровневый стекmiddle
- Исчерпание пула и idle-in-transaction: сценарий отказа в 3 ночиmiddle
- Миграция на transaction mode: план развёртывания и prepared statements в PgBouncer 1.21middle
- Процессная модель Postgres и почему увеличение max_connections снижает производительностьsenior
- Ландшафт пулеров 2026, serverless connection storms и полная таксономия отказовsenior
- ADD COLUMN: мгновенно в PG 11+ против перезаписи в старом Postgresjunior
- Режим отказа очереди блокировок: почему мгновенный DDL может заморозить базуmiddle
- Безопасные DDL-паттерны: NOT VALID, CONCURRENTLY и исправления небезопасных операцийmiddle
- Таксономия сбоев миграций и дисциплина продакшнаsenior
- Выбор ключа шарда: стратегии hash, range, list и directorymiddle
- Ко-локация и Citus: инвариант, делающий шардирование пригодным к использованиюmiddle
- Режим отказа hot shard: обнаружение, изоляция и долгосрочная политикаmiddle
- Онлайн-решардинг, 2PC и операционная стоимость шардированияsenior
- Семь актов: от CREATE TABLE до Citusjunior
- Акты 1–3 в глубину: схема, индексы и статистика планировщикаmiddle
- Акты 4–6 в глубину: MVCC bloat, connection pooling и безопасные миграцииmiddle
- Акт 7 в глубину: шардинг, co-location и семиуровневый каскад трейдоффовmiddle
- Наблюдаемость, антипаттерны и производственный триажsenior
- Биты в проводеjunior
- Математика задержкиmiddle
- Bufferbloat и перегрузкаsenior
- Граница физического уровняsenior
- Номера последовательности и состояние соединенияmiddle
- Управление потоком и перегрузкойmiddle
- BBR, производственная наблюдаемость и за пределами TCPsenior
- CDN: контент по соседствуjunior
- Anycast и GeoDNS: маршрутизация к ближайшему edgemiddle
- Многоуровневый кеш и Cache-Controlmiddle
- Заголовок Vary и cache keysmiddle
- Stale-while-revalidate и cache stampedesenior
- Edge workers и edge-side compositionsenior
- CDN: операции и observabilitysenior
- WebSocket: HTTP-апгрейд до постоянного соединенияjunior
- WebSocket vs SSE vs long-polling: выбор правильного транспортаmiddle
- Backpressure в WebSocket: когда клиенты не успеваютmiddle
- Реконнект: jittered backoff, thundering herd, восстановление сообщенийsenior
- WebSocket в масштабе: HTTP/2 мультиплексирование, permessage-deflate, C10Msenior
- WebSocket в production: прокси, безопасность и распределённая архитектураsenior
- Что делают обратные проксиjunior
- Алгоритмы балансировки: от round-robin до power-of-two-choicesmiddle
- L4 vs L7 балансировка и сохранение IP клиентаmiddle
- Health checks, connection draining и slow startmiddle
- Retry-бури, circuit breakers и load sheddingsenior
- Устойчивая архитектура LB: anycast, zone-aware маршрутизация и observabilitysenior
- Почему QUIC, а не TCP+TLSjunior
- QUIC-потоки и head-of-line blockingjunior
- Объединённое рукопожатие и 1-RTTmiddle
- Connection ID и миграция сетиmiddle
- Обнаружение потерь и управление перегрузкойmiddle
- Возобновление 0-RTT и шифрование пакетовsenior
- Развёртывание и стоимость CPUsenior
- DDoS: что это и почему работаетjunior
- Атаки усиления и истощение состоянияmiddle
- Ограничение скорости: алгоритмы и архитектураmiddle
- WAF, межсетевые экраны, mTLS и HSTSmiddle
- Отравление DNS-кэша и BGP-перехватsenior
- Эшелонированная защита и экономика атакsenior
- Двенадцать слоёв: один URL, семь действующих лицjunior
- DNS, TCP, TLS по очереди: куда уходят миллисекундыmiddle
- Критический путь рендеринга и Core Web Vitalsmiddle
- Перехват прокси и шлюзы безопасности: rate limiter, WAF, mTLSmiddle
- Альтернативные пути: QUIC 0-RTT, WebSocket upgrade, миграция соединенияmiddle
- Наблюдаемость: распределённые трейсы, USE/RED и семплированиеsenior
- Устойчивость: каскадные повторы, circuit breakers и error budgetsenior
- Сначала профиль: измерь куда реально уходит времяjunior
- Закон Амдала и self-time: потолок любого ускорения, которое ты можешь выпуститьmiddle
- Измерительный цикл: микробенч, макробенч, prod-профиль, эффект наблюдателяmiddle
- Чтение флейм-графов: формы, профайлеры по языкам и 60-секундный сканmiddle
- Статистические baseline''''ы: почему один запуск — не измерениеmiddle
- История профайлеров и ловушки микробенчей: от Кнута до GWPsenior
- Hardware counters, профили холодного старта и безопасность профилейsenior
- Непрерывное профилирование в масштабе: затраты, CI-гейты, корреляция с трейсами и антипаттерныsenior
- Что делает путь горячим: симптом против причиныjunior
- Пять форм hotspot''''а: CPU, аллокации, кэш, лок, syscallmiddle
- Чтение parent и child chains: где применять правкуmiddle
- JIT deopt, цикл fix-and-verify и PR-time профилированиеmiddle
- Аппаратные счётчики и Intel TMA: диагностика подкатегорийsenior
- False sharing и горячие пути нативных мостовsenior
- Горячие пути в production: безопасность, хвостовая латентность и происхождение инструментовsenior
- Иерархия памяти: почему расстояние важнее числа операцийjunior
- Row-major vs column-major: порядок доступа и разрыв в 9xjunior
- Branch prediction: 10–30 циклов штрафа за неожиданный ifmiddle
- Hardware prefetcher, TLB и memory-level parallelismsenior
- Основы GC: за что рантайм берёт налогjunior
- Алгоритмы GC: поколенческая гипотеза, concurrent marking и write barriermiddle
- GC tradeoffs: пауза, throughput, память и давление аллокацийmiddle
- Настройка GC: пейсинг, форма кучи и наблюдаемость аллокацийmiddle
- Внутреннее устройство GC: tri-color инвариант, write barriers и глубокое погружение в рантаймыsenior
- GC в production: наблюдаемость, безопасность, edge cases и управление флотомsenior
- N+1: одна логическая операция, много round-trip''''овjunior
- Семейства фиксов: JOIN, IN, preload и DataLoadermiddle
- Обнаружение N+1: query logs, APM traces и CI gatesmiddle
- DataLoader: батчинг по дереву резолверовmiddle
- Кросс-протокольный N+1: HTTP fan-out и Redis MGETmiddle
- N+1 в масштабе: исчерпание пула, изменения планов и денормализацияsenior
- Batching: амортизируй фиксированную цену каждой операцииjunior
- Окно батчинга: размер и время ожиданияmiddle
- Batching в Kafka и Postgresmiddle
- io_uring и наблюдаемость пакетированияmiddle
- От Nagle до io_uring: эволюция пакетированияmiddle
- Backpressure, изоляция сбоев и безопасность батчей в продакшенеsenior
- Что на самом деле стоит bundle: download, parse, compile, executejunior
- Core Web Vitals: LCP, INP и CLSmiddle
- Code splitting: route-level, component-level, vendor splittingmiddle
- Tree shaking и compression: удаляем то, что не используемmiddle
- Third-party scripts: тихий убийца бюджетаmiddle
- CI enforcement и RUM: делаем бюджеты рабочимиmiddle
- V8 JIT-пайплайн, HTTP-приоритеты и безопасность bundlesenior
- Цикл performance: дисциплина, а не проектjunior
- Классификация и исправление: сопоставление family bottleneck с методамиmiddle
- Observability-стек и CI gates: ловить регрессии до выпускаmiddle
- От инцидента к enforcement: SLO burn до верифицированного исправления за 35 минутmiddle
- Культура, экономика и масштаб performancesenior