[架構師的修練] #2, SLO - 如何確保服務水準?

摘要提示

• SLO/SLA/SLI: 以SLO為目標、SLI為量測、SLA為對外承諾，形成服務品質的共同語言與契約基礎。
• 量測先於改善: 沒有可觀測的指標就無從最佳化，設計時要將可量測性納入規格。
• 非同步系統案例: 以大量驗證簡訊發送為例，示範如何把「5秒完成」拆成可監控的SLI。
• 關鍵指標A/B/C1/D: 將流程分解為準備(A)/等待(B)/處理(C1)/排隊長度(D)，對症下藥。
• 分流與資源精準化: 將不同SLO與優先級的訊息分流至不同Queue，僅對關鍵路徑擴容。
• 限制理論TOC: 用Drum-Buffer-Rope思維找瓶頸、設Buffer、拉Rope控源頭，系統性控節奏。
• 逾時與繩子機制: 以處理速率與Queue長度預估延遲，超標即對前端啟動降載或替代方案。
• 成本與品質平衡: 把成本作為SLI之一，以相對單位監控，尋找SLO與Cost的可承擔交集。
• 全局最佳化: 避免只優化局部Worker而壓垮共用DB，必要時對非瓶頸限速（Rate Limit）。
• DevOps落地: 以SLO驅動的監控、SOP、預警與回饋循環，串起設計、開發、維運與管理。

全文重點

本文以「非同步系統的服務水準保證」為主軸，闡述如何將抽象的服務水準要求(SLO)落地為可觀測可執行的工程與管理實務。作者先釐清SLA/SLO/SLI的角色分工：SLO是內部追求的服務目標、SLI是對應的量測指標、SLA則是對外的服務承諾；並提出「量測先於改善」的原則，強調在設計之初就要把可量測性與監控整合進系統。

在實務案例中，團隊面臨大量驗證簡訊需於5秒內送達第三方服務。因行銷簡訊共用同一條Queue導致壅塞，驗證簡訊延遲。作者將端到端時間拆成A(前台準備) + B(Queue等待) + C1(Worker處理)，另加入D(Queue長度)作為辨識瓶頸與流量態勢的輔助。透過儀表板將「取出數量」與「取出即超標」並列，值班人員得以第一時間診斷並啟動SOP。短期可加開Worker速解，但長期會造成對不重要流量的「無差別提速」與成本浪費，因此採「分流」策略：依SLO分成不同Queue與資源池，僅對高SLO路徑擴容。

作者引入限制理論(TOC)的Drum-Buffer-Rope：以瓶頸為鼓定節奏、在瓶頸前設Buffer保護產能、以Rope向源頭控流。進一步，當Queue積壓與處理速率推算的「預估延遲」將超過用戶可接受(如30秒)時，系統自動拉Rope，對前端啟動特性開關或替代驗證方案，避免無效任務持續入列。

進階部分探討成本：將運算成本以相對單位(CPU/Memory/時間)作為SLI，納入同一監控面板，據以評估不同SLO檔位的成本曲線與優化價值(如Process Pool提升單機效益)。同時提醒全局最佳化：若盲目擴大交易後處理Worker，可能壓垮共用DB，反致交易前台惡化；此時反用TOC思維對非瓶頸限速(Rate Limiter)，在整體約束下取得全局最優。

最後，作者將SLO與DevOps循環結合：以SLO定義驅動上游SLA與維運SOP，下游落至SLI設計、監控、告警與自動化介入，形成持續回饋的改善閉環。全文展示了以架構、工程、雲基礎與管理知識「連結」的力量，說服讀者從第一天就為可量測的服務品質設計，將服務水準變成真正可交付的規格。

段落重點

開始前先想一想: 要解決的問題是什麼?

作者負責一套如FaaS的非同步任務系統，要在指定時間內完成大量由各團隊委託的工作，且盡量節省雲端資源成本。以「大量外部訊息發送(推播、SMS、Email)」為例，當日數百萬筆、且部分需限時送達，必須回答：如何量測是否達標？失敗時如何調整？極端情況怎麼與前端協同降載或切換方案？作者意識僅靠寫好程式與效能調校不夠，需把雲基礎設施掌控與管理知識納入，將「技術×管理×架構」連結起來，才能把服務水準做成可驗證且可持續優化的能力。

主題: 非同步系統的服務水準保證

本文脈絡延續作者在多場研討會的技術堆疊：容器化帶來的開發簡化、以Message Queue實作RPC與非同步可靠通訊、在大規模微服務中的框架設計與部署協同、以及Process Pool提升資源使用率。此篇把上述技術底座匯流至SLO落地：以真實營運案例，展示怎樣定義服務目標、設計對應指標、建立監控與應變SOP，並在成本與全局效率之間取得平衡，使非同步系統在高變動流量下仍能穩定達標。

1, 何謂服務水準? 該如何量化與量測?

釐清SLA/SLO/SLI：SLO是內部服務目標(如99%請求小於300ms)，SLI是對應的可量測指標(如P99延遲)，SLA則是對外協議(未達標的處置/賠償)。真正的精準伸縮不是盲目Scale-out，而是基於正確的SLI監控與燈號分級進行；再由定期檢討調整SLO門檻，驅動DevOps迭代。開發需與維運協作，埋設探針、收集數據，才能做到即時察覺、快速處置、持續改善，將抽象的「服務水準」變成可執行、可驗證的工程流程。

2, Case Study: 驗證簡訊的發送

註冊驗證需在5秒內把簡訊送到第三方。最初驗證與行銷簡訊共用同一Queue，活動高峰造成堆積，導致驗證延遲。作者將端到端時間拆成A(前台準備)、B(排隊等待)、C1(Worker處理)，並加入D(Queue長度)。以這四指標作為監控與診斷的基礎，配置SOP區分「量太大」與「處理太慢」。短期可加開Worker減緩延遲；長期則以架構分流，將高SLO流量與一般流量物理隔離，對高優先路徑精準擴容，避免成本被非關鍵流量吃掉。

2-1, 改善的第一步: 找出正確的指標

要解決延遲，先定義能反映SLO達成的SLI。將「5秒內送達第三方」拆為A(準備) + B(排隊) + C1(處理)，各階段在程式關鍵點(1~4)記錄時間戳，推導出A/B/C1，另以D(Queue長度)判斷流量態勢。把這些自定義指標送進監控系統，設定警示(A+B+C1>5s)、並以SOP指引值班判讀(B高&D高=量大，B高&D正常=處理慢)。先讓監控說話、用數據定位問題，再談解法，避免盲目擴容與治標不治本。

2-2, 改善的第二步: 解讀瓶頸在哪裡

單純Scale-out雖然能立刻降低延遲，但也會無差別提速行銷簡訊，造成不必要的成本浪費。以成本視角回看：我們要把資源花在達成高SLO的驗證流上，而非同時提升非關鍵流量。改良架構為按SLO分流、獨立Queue與Worker池，只對驗證簡訊那組做擴容，既滿足SLO又控成本。此舉將臨時性「加Worker」上升為長期化、制度化的資源配置策略，以優先級與SLO驅動資源分配。

2-3, 從開發的第一天就弄清楚 SLO

把「Design for Operation」前移：在開發第一天就鎖定SLO、拆出SLI、盤點可觀測性與補齊缺口，將監控、告警、儀表板與API設計列入規格。以四個時間點(1~4)記錄來推導A/B/C1，搭配Queue長度D，以監控服務Metrics API上報，做儀表呈現與預警。此舉讓團隊在壓力高峰(如雙十一)也能以同一面板觀察系統層與應用層指標，快速定位瓶頸。最終目標是讓SLO從口號成為可執行、可驗證、可回饋的工程工項。

2-4, 藉由限制理論 (TOC) 找出對策

引入限制理論Drum-Buffer-Rope：整體吞吐由瓶頸決定(Drum)，在瓶頸前設Buffer保護其持續滿載，當庫存過高時以Rope向源頭控流。比擬到系統：瓶頸前的「庫存」就是Queue長度，當D升高即意味瓶頸滿載，應保護瓶頸、控源頭與分級處理。這一套方法提供超越臨場直覺的系統性框架，指導我們何時該擴產、何時該分流、何時該限流，避免陷入局部最佳化。

2-5, 將限制理論套用到系統身上

把Queue當Buffer、將Worker視為Drum，D為偵測瓶頸的關鍵SLI；當D過高，優先保障高價值流量(分流/提權)、排除非關鍵訊息，讓瓶頸產能用在刀口上（對策1）。進一步，當預估延遲將超過用戶可接受時，啟動Rope控源頭，通知前端改走替代驗證或暫停入口（對策2）。藉由監控、分流、預估與控流，讓系統具備「自我保護」與「自我節流」的能力，使SLO保障從被動監看進化為主動調節。

2-6, 如果長時間無法滿足 SLO?

以處理速率X、Queue長度D、可接受延遲閾值(如30秒)推估當下送出任務的預期延遲：Delay = D / X。超標即告警並拉Rope：前端可採API查詢延遲自行抉擇，或由後端/監控自動觸發Feature Toggle關閉部分功能、切換第二驗證方案。重點在「在隊列外」做決策，避免無效任務持續入列惡化壅塞。這將SLO保障由事後補救，前移到事前預測與主動調控，提升整體用戶體感與資源效率。

2-7, Case Study 小結

案例總結了從工程直覺到系統化治理的路徑：把SLO拆成SLI並埋點量測；用儀表板與SOP縮短診斷-處置迴圈；以分流精準擴容；引入TOC的Drum-Buffer-Rope做節奏管理；以預估延遲與Rope將管控前移到入口；在保SLO的前提下再談提升吞吐。這是SaaS的基本功：不只交付軟體功能，更要交付可被承諾的服務品質，並能在真實流量中可觀測、可調節、可持續演進。

3, 其他跟 SLO 相關的進階議題

服務水準不等於單純追求更快或更大流量，而是先確保「質」(如5秒內送達)，再在質保前提下提升「量」。進階議題聚焦兩面：一是成本與SLO的平衡，將Cost納入SLI，用相對單位即時監控，尋找可承擔檔位並用工程優化(如Process Pool)壓低成本；二是全局最佳化，當多條生產線競爭同一瓶頸(如DB)時，需以QoS/Rate Limit等手段配額與限速，避免局部提速拖垮整體。

3-1, SLO 背後的成本問題

把成本視為一級指標：以CPU/記憶體/時數為相對成本單位，與A/B/C1/D並列監控。這讓團隊在比較不同SLO檔位(如5s→1s)的同時，量化各構件(Message Queue、Worker、DB等)的成本曲線，據此做投資決策與優化取捨。Infra專注降低維持SLO的基礎成本(如Process Pool提高單機效益)；Dev在源頭支持降載/替代邏輯；Ops據儀表板在SLO與Cost間動態平衡，將資源配到最有價值的SLO場景。

3-2, 多個任務競爭有限的資源(瓶頸)

以交易→交易後處理→DB為例：若只擴大交易後Worker，實際瓶頸(共用DB)反受壓，反過來傷及前台交易。這是典型局部最佳化害全局。對策是用TOC識別真正瓶頸並針對非瓶頸限速(Rate Limiter/QoS)、分級排程與配額，確保關鍵流程(交易)的資源優先。必要時調降次要線路節奏，直到能投入更大規模的結構性改造(如DB切分)。核心是以全局吞吐與關鍵SLO為導向配置節奏，而非單點衝刺。

4, 總結: 改善 SLO 就是落實 DevOps 的精神

將SLO置於DevOps無限循環的中心：上接SLA與維運SOP，下接SLI與監控告警；對外可被承諾、對內可被量測與調控。開發階段納入可觀測性與操作性設計，維運以儀表與SOP快速閉環，管理層面以SLO/Cost框選決策空間與投資優先級。如此，服務品質不再是上線後的「祈禱」，而是從第一天便可驗證、可回饋、可迭代的工程與管理合奏，體現DevOps的價值流動。

4-1, 現場回饋 - 91APP TechDay

與會者回饋肯定：SLO觀念清晰、案例具體、從指標拆解到監控與SOP的脈絡完整；對「為維運而開發」的思維、限制理論與Queue QoS的導入感到啟發。許多聽眾正在導入監控或面對大流量課題，從演講中取得可直接落地的作法與決策框架，並認同「先量測、再改善」、「把資源花在刀口上」、「質量兼顧」等核心原則。

4-2, 現場回饋 - .NET Conf 2020

回饋聚焦在「有結構的問題拆解」與「真實案例帶來的可操作性」。聽眾認為議程不僅是技術細節，更連結到團隊訓練與刻意練習，提升抽象化與系統思考能力。非.NET背景參與者亦感受內容的通用價值：以SLO/SLI為語言，結合DevOps與TOC，提供跨技術棧可借鏡的方法論，能迅速帶入現場情境中實踐。

4-3, 知識連結的力量

本文強調的不只是寫好程式，而是將雲端基礎、架構設計、流程管理、經濟性與限制理論「連結」起來，將難以規格化的時間與品質，化為可度量的SLO與SLI，並以DevOps的回饋不斷迭代。作者示範了跨域知識的編織如何把抽象目標變成可交付價值：在保證服務品質的前提下，再逐步放大流量與吞吐，讓SaaS真正做到「服務」二字的承諾。下一篇將延伸至抽象化能力的刻意鍛鍊。

資訊整理

知識架構圖

1. 前置知識：學習本主題前需要掌握什麼？
   • 基本 DevOps 概念與循環（監控-回饋-改善）
   • SLA/SLO/SLI 的定義與差異
   • 非同步架構與訊息佇列（Message Queue）的基本運作
   • 雲端監控與度量（例如 CloudWatch、Application Insights、Metrics API）
   • 基本併發/伸縮與成本概念（Scale out/in、資源用量＝費用）
   • 限制理論 TOC（Drum/Buffer/Rope）與 QoS/Rate Limiting 概念
2. 核心概念：本文的 3-5 個核心概念及其關係
   • SLO 驅動的設計：以可量測的服務水準目標來驅動架構、開發與運維
   • SLI 指標化拆解：將端到端延遲拆成可觀測的 A/B/C1 與 Queue Length D
   • 監控與預警：以 Dashboard 與燈號化門檻（綠/黃/紅）連動 SOP 和自動化
   • TOC 應用：用瓶頸思維設計分流、Buffer、Rope（前端節流/轉方案）
   • 成本與品質平衡：以相對成本單位納管，權衡 SLO 與 COST 的折衝
3. 技術依賴：相關技術之間的依賴關係
   • 應用程式與訊息佇列：App 產生消息 → MQ 緩衝/調節 → Worker 消費
   • 監控系統與指標：App/Worker 於關鍵點產出自訂 Metrics → 監控平台收斂 → Dashboard/Alert
   • 自動化控制：監控→告警→SOP/自動伸縮/Feature Toggle（Rope 達成前端控流或替代方案）
   • 效能與成本：Scale out/Process Pool/Rate Limiter → 影響資源用量 → 轉化為成本指標
   • 共用資源：資料庫/外部供應商 API → 成為多條流程的潛在瓶頸，需 QoS/Rate Limit
4. 應用場景：適用於哪些實際場景？
   • 大量外部通知推送（簡訊/推播/Email）之 SLO 保證
   • 電商註冊驗證碼的 5 秒內送達要求
   • 交易後台任務（對帳、出單）之「使命必達」與限速
   • 微服務非同步任務平台的跨團隊治理（Infra/Dev/Ops 分工）
   • 高峰（雙十一、檔期）之彈性伸縮、預測性控流與成本控管

學習路徑建議

1. 入門者路徑：零基礎如何開始？
   • 了解 SLA/SLO/SLI 基礎與差異，閱讀一篇官方/社群文章
   • 學會在現有服務加入最小可行 SLI（如請求延遲、Queue length）
   • 用雲端監控工具建立簡單 Dashboard 與基本告警門檻（綠/黃/紅）
   • 練習將一個端到端流程拆解時間點，記錄 A/B/C1 三段
2. 進階者路徑：已有基礎如何深化？
   • 將 SLO 拆解為可觀測設計（Design for Operation），完成跨服務標註(1)-(4)時間點
   • 建立 SOP 與對照表（如 B 高+D 高 => 負載過高），導入自動伸縮
   • 導入 TOC 思維：辨識瓶頸、設 Buffer、落實 Rope（API 或 Feature Toggle）
   • 將成本以相對單位（Core/GB/Hour）納管到同一面板，進行 SLO×COST 權衡
3. 實戰路徑：如何應用到實際專案？
   • 實作分流架構：依 SLO 嚴苛度分割隊列（驗證 vs 行銷）
   • 建立即時「預計延遲」API：Delay ≈ Queue Length / 處理速率，超門檻觸發 Rope
   • 對共用瓶頸（DB/外部 API）實施 Rate Limiter/QoS，避免局部最佳化害整體
   • 與產品/營運共訂 SLO 水位與成本邊界，建立變更影響的量化評估與回饋

關鍵要點清單

• SLO 驅動設計: 以服務水準目標作為設計與運維的核心，先量測再改善 (優先級: 高)
• SLA/SLO/SLI 分工: SLA 對外承諾、SLO 內部目標、SLI 可量測指標 (優先級: 高)
• 指標拆解 A/B/C1: 以(1)-(4)時間點推得A(準備)、B(排隊)、C1(執行) (優先級: 高)
• Queue Length D: D 反映瓶頸前庫存，判斷塞車與是否須分流/伸縮 (優先級: 高)
• 監控與燈號化: 為 SLI 設定綠/黃/紅門檻與告警，支撐值班 SOP (優先級: 高)
• 分流與資源隔離: 依 SLO 嚴苛度拆分隊列/Worker，精準把資源花在刀口 (優先級: 高)
• TOC（Drum/Buffer/Rope）: 找瓶頸設緩衝，超載時用繩子控流/改流程 (優先級: 高)
• 預測性延遲計算: 以 Delay≈Queue/Throughput 預測是否將違反 SLO (優先級: 高)
• 前端協作（Rope）: 當超載即啟動替代方案或暫停入口（Feature Toggle/API） (優先級: 高)
• 成本指標相對化: 以 Core/GB/Hour 等相對單位將成本與 SLO 聯動 (優先級: 中)
• Process Pool/Scale 策略: 以程序池與彈性伸縮提升效能/成本比 (優先級: 中)
• Rate Limiting/QoS: 在共用瓶頸施作限速，避免局部最佳化傷害整體 (優先級: 高)
• Dev/Infra/Ops 分工: Infra 降成本、Dev 可觀測與控流、Ops 平衡 SLO×COST (優先級: 中)
• Dashboard 一體化: 系統資源×業務 SLI 同面板，支援診斷與決策 (優先級: 中)
• SLO×COST 決策框: 以量測結果畫出可行邊界，聚焦最具性價比的優化 (優先級: 中)