الموثوقية والإتاحة والمرونة

التدهور الرشيق وتخفيف الحمل

18 دقيقة الدرس 9 من 10

التدهور الرشيق وتخفيف الحمل

لكل نظام نقطة انهيار. عندما تتجاوز حركة المرور طاقتك التصميمية — إطلاق منتج يتحول إلى موجة فيروسية، أو تخفيضات مفاجئة، أو هجمة حجب الخدمة — تواجه خياراً ثنائياً: إما أن تدع النظام ينهار تحت الثقل ويُعيد أخطاء للجميع، أو أن تتخلص بقصد من بعض العمل لتبقي المستخدمين الأهم والميزات الأكثر أهمية في حالة عمل. التدهور الرشيق وتخفيف الحمل هما الانضباطان الهندسيان اللذان يجعلان الخيار الثاني حقيقياً ومضبوطاً بدلاً من أن يكون عشوائياً وكارثياً.

الفكرة الجوهرية خادعةٌ في بساطتها: نظام يعمل جزئياً أفضل دائماً تقريباً من نظام مكسور كلياً. اكتشف Amazon أنه خلال أحداث الحمل الشديد، تعطيل توصيات المنتجات حافظ على عمل صفحة الدفع — خسارة بعض الإيرادات أفضل بكثير من خسارة كلها. Netflix، تحت أعطال حادة، يستمر في بث المحتوى المخزن مؤقتاً ويُخفي صف "الاختيارات المميزة" بدلاً من إظهار شاشة فارغة. Google Search يتخلى من اقتراحات الإملاء قبل أن يتخلى عن نتائج البحث. كل هذه قرارات متعمدة ومُهندسة مسبقاً حول ما يُضحَّى به أولاً.

التدهور الرشيق: تصنيف التضحيات

التدهور ليس فعلاً واحداً — بل هو طيف. صمِّم نظامك مع هرمية أولويات الميزات الصريحة قبل الحادث، لا أثناءه. تبدو المستويات النموذجية كما يلي:

  1. المستوى 1 — الجوهر (لا يُتخلى عنه أبداً): المسار الحرج للإيرادات أو السلامة. بالنسبة لموقع تجارة إلكترونية، هذا هو عرض المنتج والسلة والدفع. بالنسبة لبنك، هذا هو رصيد الحساب وتحويل المدفوعات. يجب أن تصمد هذه حتى لو تم تعطيل كل شيء آخر.
  2. المستوى 2 — المهم (يُتخلى عنه في الحمل الشديد): الميزات التي تؤثر بشكل ملحوظ على تجربة المستخدم لكنها ليست معاملاتية بالمعنى الصارم. الإكمال التلقائي للبحث، التوصيات الشخصية، عدادات المخزون الحية، عدادات التعليقات.
  3. المستوى 3 — التحسينات (يُتخلى عنها أولاً): لوحات التحليل في الوقت الحقيقي، تتبع تجارب A/B، أدوات الإثبات الاجتماعي، الإشعارات غير الحرجة. هذه مكلفة الحساب ومنخفضة التأثير عند غيابها.
فكرة رئيسية: اكتب قائمة المستويات ووافق عليها مع قيادة المنتج والهندسة قبل الحادث. أثناء العطل هو أسوأ وقت للنقاش حول الميزات الأكثر أهمية.

عملياً، تُطبق التدهور من خلال علامات الميزات (مفاتيح إيقاف تُعطّل ميزة فوراً)، وبدائل التخزين المؤقت (تقديم قائمة توصيات عمرها 5 دقائق بدلاً من احتساب واحدة جديدة)، والبدائل الثابتة (إعادة صفحة HTML مُصيَّرة مسبقاً من شبكة CDN عندما يكون الخادم الأصلي مثقلاً). الفكرة الأساسية أن كل استدعاء خدمة من غير المستوى الأول ملفوف في مسار بديل — try/catch أو قاطع دارة يُعيد استجابة افتراضية بدلاً من نشر الفشل نحو الأعلى.

Graceful degradation feature priority tiers and fallback paths Client API Gateway / Router Tier 1 — Core Checkout, Payments NEVER shed Tier 2 — Important Search, Autocomplete Shed under extreme load Tier 3 — Enhancement Analytics, A/B tracking Shed first Cached Fallback (stale-but-fast response) Static / Empty Response (feature hidden from UI) Normal path Fallback path (degraded)
هرمية أولويات الميزات: يوجّه بوابة API الطلبات، والمستويات غير الجوهرية تعود إلى ردود مؤقتة أو ثابتة تحت الحمل بدلاً من الفشل الكلي.

تخفيف الحمل: حماية الجوهر برفض العمل

تخفيف الحمل أسلوب أكثر عدوانية: بدلاً من تقديم استجابة متدهورة، يرفض النظام بفاعلية الطلبات الواردة لحماية نفسه. الفارق الجوهري عن الخطأ البسيط هو القصد — يُنفَّذ التخفيف قبل نفاد ذاكرة الخادم أو خيوطه، لا بعد انهياره. عند التنفيذ الصحيح، تُخدَم الطلبات التي تمر بشكل صحيح بزمن استجابة طبيعي؛ يُرفض الفائض فقط، عادةً بـ HTTP 429 Too Many Requests أو HTTP 503 Service Unavailable.

تتباين استراتيجيات تخفيف الحمل في ما ترفضه:

  • التخفيف بطول الطابور: قس طول طابور العمل. عندما يتجاوز عتبة (مثلاً 1,000 مهمة معلقة)، ارفض الوافدين الجدد فوراً. هذا يُقيّد ذيل زمن الاستجابة — طلب سيجلس في طابور من 10,000 عنصر 45 ثانية أفضل رفضه بسرعة من الإجابة عليه ببطء.
  • التخفيف بعتبة المعالج/الذاكرة: راقب استخدام المضيف. عند 85% معالج، ابدأ برفض فئات حركة المرور ذات الأولوية المنخفضة. عند 95%، ارفض كل حركة المرور من غير المستوى الأول. يمنع هذا النواةَ من قضاء وقت أطول في التبديل بين السياقات من في تنفيذ العمل الفعلي.
  • التخفيف القائم على زمن الاستجابة (الواعي بالمهلة): تتبع عمر الطلب. إذا انتظر طلب أطول من مهلته المتوقعة (مثلاً سيتخلى المستخدم عن تحميل الصفحة بعد 3 ثوانٍ)، تجاهله — تقديم استجابة بعد 4 ثوانٍ لطلب تخلى عنه مستخدمه يهدر الموارد ولا يفيد أحداً.
  • القبول القائم على الأولوية: حدّد فئات حركة المرور (عملاء مدفوعون، فحوصات صحية داخلية، مستخدمو الطبقة المجانية). تحت الحمل، اقبل حركة المرور بترتيب الأولوية وتخلَّ من الفئة الأدنى أولاً. تستخدم Google هذا بشكل واسع مع ملصقات الحرجية على استدعاءات RPC.
أفضل ممارسة: التخفيف عند الحافة وليس عند الأصل. موازن الحمل أو بوابة API التي ترفض على طبقة الشبكة تستخدم موارد الخادم الأصلي بالكاد. إذا انتظرت حتى فشل استعلام قاعدة بيانات لترفض الطلب، فقد أهدرت خيوطاً واتصالات وطاقة استعلام على طلب كنت ستفشل فيه على أي حال.
Load shedding: admission control at the gateway layer Incoming requests (surge) Admission Control Queue len > 1000? CPU > 85%? Deadline passed? Low priority? admitted Origin Servers (healthy load) 200 OK shed 429 / 503 Retry-After: 5s Healthy responses Fast rejection
التحكم في القبول عند البوابة: الطلبات ذات الأولوية العالية تمر إلى الخوادم الأصلية السليمة؛ حركة المرور الفائضة تُرفض بسرعة مع ترويسة Retry-After، مما يحمي الأصل من الانهيار.

تطبيق تخفيف الحمل: أنماط عملية

الآلية التي تقف وراء تخفيف الحمل تشمل عادةً عدة بدائيات قابلة للتركيب:

دلو الرموز / دلو ذو التسرب: يحمل التحكم في القبول دلواً من الرموز. كل طلب مقبول يستهلك رمزاً؛ تُعاد تعبئة الرموز بمعدل ثابت. عندما يفرغ الدلو، تُرفض الطلبات الجديدة. هذا يُسلّس حركة المرور المتقطعة إلى تدفق ثابت يمكن للأصل التعامل معه (تم تناوله في درس تحديد المعدل — هنا يُطبَّق عالمياً وليس لكل مستخدم).

حدود التزامن التكيفية (محدد تزامن Netflix / مستوحى من TCP Vegas): بدلاً من حد ثابت للطابور، يقيس النظام زمن الاستجابة الحالي مقابل أقل زمن استجابة ملاحظ (قانون Little). عندما يرتفع زمن الاستجابة فوق مضاعف من الحد الأدنى، يستدل على الازدحام ويُخفّض حد التزامن ديناميكياً دون ضبط يدوي. نشرت Netflix مكتبة concurrency-limits كمصدر مفتوح لهذا.

نشر الضغط العكسي: عندما تكون خدمة سفلية (مثل قاعدة بيانات) بطيئة، يجب أن تنشر الخدمة العلوية ذلك الضغط العكسي: تُبطئ معدل قبولها الخاص بدلاً من تخزين عمل غير محدود. هذا يحوّل حملاً محلياً زائداً إلى إشارة تحكم تدفق على مستوى النظام. بدونه، تمتلئ المخازن المؤقتة، ويتضخم زمن الاستجابة، وتتسلسل المهل (تم تناول هذا في درس المهل وإعادة المحاولة — النقطة هنا أن نفس الإشارة يجب أيضاً أن تُشغّل التخفيف، لا الانتظار فحسب).

فخ شائع — القطيع الرعدي عند التعافي: عندما يُرفع التخفيف ويعود النظام إلى الوضع الطبيعي، ستُعيد المحاولة جميع العملاء الذين تلقوا 503 في الوقت ذاته. يمكن لهذا "القطيع الرعدي" أن يُثقل نظاماً متعافياً فوراً. ضع دائماً ترويسة Retry-After مع تأخير عشوائي (مثلاً 5–30 ثانية مع تذبذب) في الردود المرفوضة، وطبّق التراجع الأسي على جانب العميل.

الجمع بين كل شيء: مثال عملي

تخيّل موقع تجارة إلكترونية يتوقع 50,000 طلب/ثانية في الجمعة السوداء، لكن طاقته 35,000. إليك خطة التدهور:

  1. عند 35,000 طلب/ثانية: تشغيل طبيعي. جميع الميزات مُفعَّلة.
  2. عند 40,000 طلب/ثانية: تُعكس علامة الميزة: تعطيل عداد المخزون في الوقت الحقيقي (تقديم قيمة مخزنة، تُحدَّث كل دقيقتين). تعطيل التوصيات الشخصية (تقديم اختيارات تحريرية من CDN). ينخفض المعالج دون العتبة.
  3. عند 48,000 طلب/ثانية: يُفعَّل التحكم في القبول: التخلص من 25% من حركة المرور الواردة (أنواع الجلسات ذات الأولوية الأدنى: المتصفحات غير المسجّلة، الروبوتات). إعادة 503 مع Retry-After: 10. تستمر صفحة الدفع الجوهرية بطاقة كاملة للمستخدمين المصادق عليهم.
  4. عند 52,000 طلب/ثانية (شديد): توسيع التخفيف إلى 40% من حركة المرور. تُعطَّل جميع ميزات غير المستوى الأول. تُقدَّم صفحة هبوط ثابتة طارئة من CDN للطلبات المرفوضة بدلاً من مجرد 503 عارٍ — تُظهر رسالة "نواجه طلباً عالياً" مع وقت انتظار تقديري، مما يحافظ على ثقة العلامة التجارية حتى مع رفض العمل.

النتيجة: بعض المستخدمين يتأخرون، لكن لا أحد يرى انهياراً كلياً للنظام، ولا قاعدة بيانات مثقلة، وحركة المرور الأكثر قيمة (الدفع للمستخدمين المصادق عليهم) تستمر بكامل السرعة.

مقياس واقعي: خلال أحداث الذروة، تخلص Twitter تاريخياً من 30% من حركة الكتابة (التغريدات) مع الحفاظ على قراءات الجداول الزمنية. البنية التحتية لـ Google تتخلص من استدعاءات RPC ذات الحرجية الأدنى قبل إسقاط نتائج البحث. يستخدم LinkedIn "الوضع المتدهور" الذي يعطّل عدادات من-شاهد-ملفك-الشخصي قبل تعطيل الخلاصة. هذه ليست حوادث — إنها مسارات تدهور مُهندسة ومختبرة بأدوات محاكاة الحمل مثل Gatling وk6 قبل الحدث.

قابلية الرصد أثناء التدهور

لا تستطيع إدارة ما لا تستطيع رؤيته. كل حالة تدهور يجب أن تُصدر إشارات واضحة:

  • مقياس قياس لمستوى التدهور الحالي (0 = طبيعي، 1 = جزئي، 2 = شديد).
  • عداد للطلبات المرفوضة في الثانية، مُصنَّفة حسب رمز السبب (طابور ممتلئ، حد المعالج، فئة الأولوية).
  • سطر سجل لكل عكس لعلامة ميزة مع طابع زمني وحالة التشغيل.
  • تنبيه عندما يتجاوز معدل التخفيف 5% لأكثر من 60 ثانية — هذه العتبة تعني أن تخطيط طاقتك خاطئ، لا أن التدهور يعمل كما هو مقصود.

أجرِ تدريبات تدهور منتظمة (أدخل حملاً اصطناعياً في الإعداد المرحلي، تحقق أن الميزات الصحيحة تتدهور بالترتيب الصحيح، تحقق أن المقاييس الصحيحة تُطلَق). بدون التدريبات، تتدهور مساراتك الاحتياطية بصمت — علامة الميزة موجودة لكن كود الاحتياط توقف عن العمل منذ ستة أشهر عندما أعاد مطور شاب هيكلة خدمة التوصيات.

الملخص

يحوّل التدهور الرشيق وتخفيف الحمل نظاماً ثنائي الحالة "يعمل أو لا يعمل" إلى طيف من مستويات الخدمة. من خلال التصميم المسبق لهرمية أولويات الميزات، ولف الاستدعاءات غير الحرجة في مسارات احتياطية، ونشر التحكم في القبول عند الحافة، تضمن أنه عندما تنفد الطاقة، يفشل نظامك بالطريقة التي تسبب أقل ضرر لأهم المستخدمين. هذه ليست تقنية ليوم انكسار شيء ما — إنها بنية تحتية تبنيها وتختبرها وتصونها قبل ذلك اليوم.

الدرس السابق المراقبة والتسجيل والتنبيه
الدرس التالي مشروع: جعل النظام مرناً
العودة للدورة