Surveiller Depuis Six Géolocalisations À La Fois Et Si Une Seule Échoue Je Sais Exactement Où Se Trouve Le Problème

La matinée a commencé par un ticket de support d'un client à Singapour disant que le site était hors ligne. Le tableau de bord de surveillance, qui s'exécutait à partir d'un seul serveur à Francfort, affichait tout en vert. Tous les contrôles réussissaient. Les temps de réponse étaient normaux. Le site était en ligne. Sauf qu'il ne l'était pas, du moins pas pour quiconque acheminait le trafic via certains chemins réseau asiatiques. Le problème s'est avéré être un problème d'acheminement régional chez un fournisseur en amont qui affectait le trafic en provenance d'Asie du Sud-Est tout en laissant l'accès européen et nord-américain complètement inaffecté. Le système de surveillance, vérifiant fidèlement à partir de son seul point de vue en Allemagne, n'avait aucun moyen de détecter un problème qu'il ne pouvait pas voir d'où il se tenait.

Cet incident, et plusieurs incidents similaires qui ont suivi au cours de l'année suivante, ont démontré une limitation fondamentale de la surveillance d'un seul emplacement qui semble évidente rétrospectivement mais est surprenamment facile à ignorer. Internet n'est pas un réseau uniforme où tous les chemins mènent à la même destination via la même infrastructure. C'est un réseau de systèmes autonomes interconnectés, d'accords d'appairage, de nœuds de bordure CDN et de résolveurs DNS qui créent des expériences différentes pour les utilisateurs de différentes régions géographiques. Un site web peut être parfaitement accessible depuis l'Europe tout en étant simultanément inaccessible depuis certaines parties de l'Asie, pleinement fonctionnel depuis l'Amérique du Nord tout en subissant une perte de paquets depuis l'Amérique du Sud, et rapide d'une ville tandis qu'il est lent d'une autre ville dans le même pays.

La solution que uptime.yeb.to met en œuvre est la surveillance simultanée depuis six emplacements géographiques répartis sur plusieurs continents. Chaque contrôle s'exécute depuis les six emplacements dans la même fenêtre de temps, et les résultats sont comparés pour déterminer si un problème est mondial ou régional. Quand les six emplacements signalent un échec, le site est véritablement hors ligne partout. Quand un ou deux emplacements signalent un échec tandis que les autres affichent un succès, le problème est régional, et les emplacements défaillants réduisent immédiatement l'endroit où le problème se trouve. Cette triangulation géographique transforme la surveillance d'un signal binaire « en ligne ou hors ligne » en une carte nuancée de disponibilité qui reflète le fonctionnement réel d'Internet.

Pourquoi La Surveillance D'un Seul Emplacement Crée Des Points Aveugles Dangereux

La plupart des services de surveillance d'disponibilité, y compris nombre de services bien connus, utilisent par défaut un contrôle à partir d'un seul emplacement ou permettent aux utilisateurs de sélectionner une région de surveillance principale. Cette approche fonctionne parfaitement pour détecter les pannes complètes où le serveur d'origine est hors ligne et personne nulle part ne peut accéder au site. Pour ces défaillances catastrophiques, une seule sonde suffit car le problème est universel. Mais la défaillance complète du serveur n'est qu'une catégorie de panne, et de plus en plus, ce n'est pas la plus courante. L'infrastructure web moderne, avec ses couches de CDN, d'équilibreurs de charge, de basculement DNS et de cache de bordure, a rendu les pannes totales rares tout en rendant les défaillances partielles, régionales et intermittentes plus fréquentes.

Les problèmes liés aux CDN sont la source la plus courante de divergences régionales. Les réseaux de distribution de contenu fonctionnent en mettant en cache le contenu sur des serveurs de bordure distribués dans le monde, et chaque serveur de bordure dessert les visiteurs qui en sont les plus proches géographiquement. Quand un nœud de bordure CDN dans une région spécifique rencontre des problèmes, qu'il s'agisse d'une défaillance matérielle, d'une mauvaise configuration ou d'une surcharge de capacité, les visiteurs acheminés vers ce nœud de bordure subissent une dégradation des performances ou une indisponibilité complète tandis que les visiteurs acheminés vers des nœuds de bordure sains ne voient aucun problème. Un moniteur d'un seul emplacement qui se trouve être acheminé vers un nœud de bordure sain signalera tout comme normal tandis qu'une région entière de visiteurs est affectée.

Les problèmes de propagation DNS créent une autre classe de défaillances régionales. Quand les enregistrements DNS sont mis à jour, les modifications se propagent dans l'infrastructure DNS mondiale à des vitesses différentes selon les valeurs TTL, le comportement de mise en cache du résolveur et le chemin de résolution spécifique suivi par chaque région. Pendant la fenêtre de propagation, certaines régions peuvent résoudre le domaine à l'ancienne adresse IP tandis que d'autres la résolvent à la nouvelle. Si l'ancienne adresse IP n'assure plus le trafic, les régions qui lui sont encore pointées subissent une panne que les régions déjà pointées vers la nouvelle adresse IP ne verront jamais. Une configuration de surveillance multi-régions détecte cela immédiatement car certaines sondes échoueront tandis que d'autres réussiront, créant un motif caractéristique des problèmes de propagation DNS et distinct des problèmes au niveau du serveur.

Six Sondes Et Ce Que Chaque Motif D'Échec Révèle

La puissance de six sondes simultanées réside non seulement dans la détection des défaillances mais dans leur diagnostic. Différents motifs d'échec correspondent à différentes catégories de problèmes, et un opérateur expérimenté peut souvent identifier la cause profonde à partir du motif de surveillance seul avant même d'ouvrir une fenêtre de terminal. Quand les six sondes échouent simultanément avec des erreurs de délai de connexion, le serveur d'origine ou son réseau est probablement inaccessible, suggérant un crash du serveur, une panne du fournisseur d'hébergement ou un problème au niveau du réseau au centre de données. Quand les six sondes échouent avec des réponses d'erreur HTTP comme 502 ou 503, le serveur est accessible mais l'application est cassée, suggérant une erreur de déploiement, une défaillance de base de données ou un crash au niveau de l'application.

Quand une ou deux sondes échouent tandis que les autres réussissent, le motif raconte une histoire régionale. Si les sondes défaillantes sont toutes deux en Asie tandis que les sondes européennes et nord-américaines réussissent, le problème est presque certainement dans le chemin réseau entre l'Asie et le serveur d'origine, qu'il s'agisse d'une bordure CDN, d'un fournisseur de transit ou d'un résolveur DNS régional. Si la sonde défaillante se trouve dans la même région que le serveur d'origine tandis que les sondes distantes réussissent, le problème pourrait être au niveau du réseau local du fournisseur d'hébergement, avec les sondes distantes étant servies à partir d'un cache CDN qui masque la défaillance d'origine. Chaque motif réduit le champ diagnostic et accélère le temps de résolution.

Les variations de temps de réponse entre les sondes fournissent un signal plus subtil mais tout aussi précieux. Si les six sondes affichent des réponses réussies mais que le temps de réponse d'une région a doublé par rapport à sa référence historique, cette région subit une dégradation qui n'a pas encore progressé vers une défaillance complète. Attraper la dégradation avant qu'elle ne devienne une panne est l'une des capacités les plus précieuses de la surveillance multi-régions, car elle donne à l'opérateur une fenêtre de temps pour enquêter et intervenir avant que les utilisateurs de cette région ne commencent à soumettre des tickets de support. Le tableau de bord de surveillance affiche les temps de réponse pour les six emplacements sur une seule chronologie, rendant les motifs de dégradation régionale visibles en un coup d'œil.

Acheminement Géographique Et Les Problèmes Qu'Il Cache

L'infrastructure Internet moderne utilise largement l'acheminement géographique, dirigeant les utilisateurs vers le serveur disponible le plus proche ou la bordure CDN en fonction de leur emplacement. Cet acheminement est généralement bénéfique car il réduit la latence et améliore les performances pour la majorité des utilisateurs. Mais cela signifie également que le chemin emprunté par une demande du point A au point B varie considérablement selon l'endroit où se trouve le point A. Une sonde de surveillance à New York et une sonde de surveillance à Tokyo prendront des chemins réseau entièrement différents pour atteindre le même site web, passant par différents FAI, différents échanges d'appairage et différentes bordures CDN. Une obstruction n'importe où le long d'un chemin peut être invisible depuis l'autre.

L'acheminement anycast, utilisé par la plupart des grands CDN et fournisseurs DNS, ajoute une autre couche de complexité. Avec anycast, la même adresse IP est annoncée à partir de plusieurs emplacements géographiques, et l'infrastructure d'acheminement d'Internet dirige chaque demande vers l'emplacement annonçant le plus proche. Cela signifie qu'une résolution DNS ou une demande CDN depuis l'Europe atteint un serveur européen tandis que la même demande depuis l'Asie atteint un serveur asiatique, même si l'adresse IP dans les deux cas est identique. Si le nœud anycast asiatique a un problème, les sondes asiatiques le détectent tandis que les sondes européennes ne peuvent pas, car leurs demandes n'atteignent jamais le même serveur physique.

Les modifications d'acheminement BGP peuvent causer des problèmes d'accessibilité temporaires ou prolongés pour des régions spécifiques. Quand une route de protocole de passerelle de bordure est retirée ou modifiée, le trafic qui s'écoulait auparavant par un chemin direct peut être réacheminé par des chemins plus longs, potentiellement encombrés, augmentant la latence et causant parfois une perte de paquets. Ces événements BGP sont courants, se produisant des milliers de fois par jour à l'échelle mondiale, et leur impact est intrinsèquement régional. Un système de surveillance multi-régions subit ces événements directement par ses sondes distribuées, détectant l'impact sur chaque région indépendamment plutôt que de compter sur un seul point de vue qui peut ou ne peut pas être affecté.

De La Détection À L'Action Et Savoir Ce Qu'il Faut Corriger

La détection sans information exploitable est juste une alarme qui fait du bruit sans pointer vers une solution. La valeur de la surveillance multi-régions va au-delà de vous dire que quelque chose ne va pas. Elle vous dit où ça ne va pas et, à travers le motif d'échec, suggère quel type de chose ne va pas. Ce contexte diagnostic transforme le processus de réponse aux incidents d'une recherche frénétique à travers les journaux et les tableaux de bord en une enquête ciblée qui commence par une hypothèse solide sur la cause profonde.

Quand les alertes de surveillance montrent qu'une seule région a échoué tandis que d'autres restent saines, l'opérateur peut immédiatement concentrer son enquête sur le chemin réseau de cette région. Le nœud de bordure CDN de cette région signale-t-il des problèmes ? Y a-t-il un incident BGP actif affectant les fournisseurs de transit dans ce domaine ? Le résolveur DNS pour cette région a-t-il mis en cache un enregistrement obsolète ou incorrect ? Chacune de ces questions peut être répondue rapidement, et les réponses mènent à des actions de correction spécifiques : purger le cache CDN pour cette région, contacter le fournisseur de transit ou forcer une actualisation DNS. Sans le contexte géographique fourni par la surveillance multi-régions, l'opérateur enquêterait à l'aveugle, vérifiant chaque point de défaillance possible plutôt que les plus susceptibles d'être responsables.

La plateforme de surveillance d'disponibilité associe les résultats des vérifications multi-régions aux données historiques qui ajoutent un contexte temporel au contexte spatial. Si la même région a subi des défaillances à la même heure de la journée en d'autres occasions, cela suggère un problème récurrent comme une fenêtre de maintenance programmée chez un fournisseur de transit ou un motif de trafic prévisible qui cause des problèmes de capacité pendant les heures de pointe. Si la défaillance est une première occurrence sans précédent historique, elle est plus susceptible d'être un incident aigu qui nécessite une attention immédiate. La combinaison du contexte géographique et temporel donne aux opérateurs la image la plus complète possible de ce qui se passe, où cela se passe et si cela s'est déjà produit.