2025 年 10 月 20 日凌晨,美国东部时间(US-East-1)区域的 AWS DynamoDB 服务突发重大故障,持续约 16 小时,波及全球数百家企业核心应用。这一事件的核心根因在于 DynamoDB API 端点的 DNS 解析异常,导致服务不可用,并迅速引发容量节流和全球故障转移机制的缺口。作为 NoSQL 数据库的代表,DynamoDB 本应提供高可用性和自动扩展,但此次级联故障暴露了 DNS 作为基础设施单点风险的脆弱性。本文将从事件剖析入手,结合工程实践,提供预测缩放、熔断器和多区域健康检查的具体参数与清单,帮助工程师构建更具韧性的 NoSQL 操作体系。
事件剖析:DNS 故障如何引发级联雪崩
DynamoDB 宕机的起点是 DNS 解析问题。具体而言,系统在访问 dynamodb.us-east-1.amazonaws.com 时,无法将域名正确转换为 IP 地址。这并非公共 DNS 层故障,而是 AWS 内部智能 DNS 集群的异常,导致请求无法导向最优数据中心。AWS 官方公告指出,这一 DNS resolution issues 于凌晨 2:01 首次确认,随后的一个半小时内,故障迅速蔓延:EC2 实例启动失败(依赖 DynamoDB 存储元数据)、CloudTrail 日志积压、Lambda 函数执行中断,甚至 IAM 权限管理也受阻。
证据显示,DNS 修复后(约凌晨 3:35),问题并未立即缓解。积压的请求引发 “重试风暴”,进一步压垮 DynamoDB,导致容量节流(throttling)激活。AWS 被迫手动限制 EC2 实例启动、Lambda 事件源映射处理 SQS 队列,以及异步 Lambda 调用,以防止系统过载扩散。Downdetector 数据显示,用户投诉峰值达 650 万条,影响包括 Coinbase 交易暂停、Snapchat 消息发送失败和 Robinhood 平台离线。全球故障转移缺口尤为突出:US-East-1 作为 AWS 最早、规模最大的区域,承载全球近三分之一服务,许多跨区域应用(如 IAM 和 DynamoDB Global Tables)隐式依赖其控制平面,导致欧洲和亚洲部署的业务也瘫痪。
这一级联效应揭示了 NoSQL 系统的潜在风险:DNS 作为底层导航,若失效,将放大分区热点和容量阈值问题。历史数据显示,US-East-1 近五年内已三次引发全球中断,均源于核心组件依赖链的脆弱性。事件中,DynamoDB 的预置容量虽自动扩展,但 DNS 瓶颈阻断了流量路由,造成实际吞吐量远低于预期。
工程解决方案:构建预测缩放与故障隔离
为防范类似级联,工程师需从预测缩放入手,确保容量动态适应流量波动。AWS DynamoDB Auto Scaling 是核心工具,通过 CloudWatch 监控 ConsumedReadCapacityUnits 和 ConsumedWriteCapacityUnits 指标,实现自动调整。推荐配置:目标利用率设为 70%(允许 20% 缓冲应对突发),最小 RCU/WCU 为基线流量的 1.5 倍,最大为峰值的 2 倍。启用后,系统每分钟评估一次,若利用率超阈值,则在上调容量(步长 10-20%);缩减时,逐步降低以避峰值误判。
清单 1:预测缩放实施步骤
- 步骤 1:在 DynamoDB 控制台选择 “按需模式” 或 “预置模式 + Auto Scaling”,为表和 GSI 配置上限 / 下限。
- 步骤 2:集成 CloudWatch 警报,监控 ThrottledRequests(阈值 > 5% 触发通知)和 SystemErrors(DNS 相关异常)。
- 步骤 3:结合 Application Auto Scaling API,脚本化调整(如 Lambda 定时任务预测峰值,预热容量)。
- 参数示例:对于电商订单表,基线 RCU=100,最大 = 500;利用率 70%,冷却期 60s(避免频繁抖动)。
其次,引入熔断器(Circuit Breaker)隔离故障,防止重试风暴。Resilience4j 库适用于 Java 应用,与 DynamoDB SDK 无缝集成。配置 failureRateThreshold=20%(快速响应降级),waitDurationInOpenState=30s(适应云恢复速度),slidingWindowSize=500(捕捉分布式波动)。记录 ProvisionedThroughputExceededException 和 InternalServerError 作为失败,忽略 RequestLimitExceededException(视为限流而非故障)。
清单 2:熔断器部署清单
- 步骤 1:Maven 添加 resilience4j-circuitbreaker:2.1.0 和 dynamodb-sdk:2.20.0 依赖。
- 步骤 2:自定义 CircuitBreakerConfig,装饰 DynamoDbClient(如 decorateFunction (circuitBreaker, client::getItem))。
- 步骤 3:Spring Boot 中注入 CircuitBreakerRegistry,监控状态(CLOSED/OPEN/HALF_OPEN),集成 Micrometer 导出指标。
- 参数示例:permittedNumberOfCallsInHalfOpenState=5(测试恢复时少量探针),ignoreExceptions = 业务幂等异常。
最后,多区域健康检查确保全球 failover 无缝。启用 DynamoDB Global Tables v2,实现 active-active 复制,RPO<1s,RTO<60s。结合 Route53 健康检查,监控每个区域的 DynamoDB 端点(阈值:延迟 < 100ms,错误率 < 1%)。CloudWatch 跨区域仪表盘聚合指标,警报阈值:跨区域复制延迟> 5s 或分区不一致 > 1%。
清单 3:多区域健康检查实践
- 步骤 1:创建 Global Table,选择 2-4 区域(如 US-East-1+EU-West-1),启用 PITR 备份(保留 35 天)。
- 步骤 2:Route53 配置健康检查器,关联 DynamoDB API 端点,失败时自动路由流量。
- 步骤 3:Lambda 函数周期性验证数据一致性(查询样本项),集成 SNS 通知异常。
- 参数示例:健康检查间隔 30s,超时 5s;全局表复制模式 = eventual consistency(成本低),监控指标 = ReplicationLatency。
这些参数基于 Well-Architected Lens 可靠性支柱,确保系统从 DNS 级联中快速恢复。回滚策略:若扩展失败,fallback 到缓存层(如 DAX)或本地副本,阈值监控点包括 ConsumedCapacity>90% 和 DNS 解析时间 > 200ms。
通过上述工程化实践,NoSQL 操作可实现 99.999% 可用性,显著降低单点风险。事件虽暴露痛点,但也为行业提供了宝贵教训:弹性不止于自动扩展,更需全链路隔离与预测。
资料来源:AWS DynamoDB 官方最佳实践文档;IT 之家 2025 AWS 宕机事件报告。