• 第一步，安装Chaosblade，attach Java进程。

• 第二步，开始进行故障注入。

• 第三步，服务恢复，同时卸载attach。

通过这三种方式，基本上可以满足大部分故障注入的需求。

3）用户使用流程

用户使用流程一般是闭环的形式。我们把依赖关系收集好之后，用户会进行强弱标记。标记之后需要进行强弱依赖演练来验证判断：该服务是否是预想中的强依赖或者弱依赖。演练完成之后需要对问题进行分析修复。

故障演练平台的使用流程跟关机演练有些类似，都是要准备、演练进行、恢复、复盘：

① 演练准备

② 演练进行

流量来源主要分为两类：真实流量和模拟流量。我们可以通过自动化测试、人工case，也可以用流量copy，如果在线上进行演练就用线上真实的流量。同时，在演练时要做观察日志跟监控，如果影响了线上服务就需要及时终止。

③ 演练恢复

演练的恢复包括三种，一种是人工恢复，另一种是超时自动恢复，还有一种异常情就是人工触发恢复。如果发生核心告警就会触发这个应用，相当于演练的熔断，这也会自动触发恢复。恢复之后我们需要把Agent卸载掉。

④演练复盘

演练结束之后，我们需要把流水记录下来，进行问题总结，做好改进规划，同时商讨下次演练时间。

4）问题&解决思路

接下来简单介绍一下强弱依赖演练遇到的问题，主要问题都集中在Chaosblade的Java Agent上。

① 插件不足

这个Agent提供了一些开源组件的插件，比如 Java、Mysql、httpclient、dubbo等，但有很多公司的中间件都是自研的，包括一些开源的组件，那这一部分它就没法支持，可能需要自己再去按照规范进行开发。

我们在把一些开源的组件的插件开发完成之后也提交给了官方，同时，我们自己也开发了一些功能，一个是调用点支持, 在程序内部的整个调用链路上，通过调用函数签名在调用链路上进行匹配，做故障注入。也开发了基于Tracing 的context的匹配, 很多公司内部都有一个类似Skywalking的Tracing工具，Trace中可以携带一些信息，可以根据这些信息去做一些流量的筛选，这样话整个的故障注入的条件会更精细。

② 功能缺失

我们当时在测试的时候发现httpclient的没有完整支持delay场景，特别是异步的。这一点我们已经把它实现了，也已经提交到了官方。

③ Agent冲突

这一类问题不太好查。因为公司的接口自动化测试，有部分他用的是阿里开源的jvm-sandbox-repeator ，这个Agent跟Chaosblade Agent都是用jvm-sandbox作为底层，它们之间存在有命名空间冲突，导致不能同时attach成功。跟内部的tracing agent也有冲突，导致故障策略无法生效。

面对这样的情况，我们需要使用不同的命名空间。解决方案就是用3.0以上的jvm-sandbox，在启动的时候指定不同的命名空间。

还有一个问题，如果公司内部有自己研发的Java Agent，比如skywalking是全链路压测的这种Agent。如果基于ByteBuddy 开发，且两个一起使用，就有可能导致Chaosblade的Agent切不到。因为这个Agent它的主要原理就是做切面增强。故障是注入进去了，但没有生效。这是开源社区的一个issue (https://github.com/alibaba/arthas/issues/1141)，但是原理跟解决方案都是类似的，如果大家遇到这个情况可以参考一下。

还有一个问题：在java agent attach的时候，由于需要动态做字节码增强，导致cpu和load都会瞬时飙⾼。在后续的策略下发时依旧是平稳的。

对于这个问题，解决思路是：在attach之前先做流量摘除，开始之后再把流量切入进去。因为在真正的故障策略下发时，对 CPU、Load的影响很小。

之前我们遇到过一次演练完成了，而且 Agent也卸载了，但是过了一段时间却莫名挂掉的情况，至今也没有找到原因。所以如果为了保险起见，演练完成之后，我们可以做一次服务重启。

5) 容器化支持故障注入改造方案

如图所示，在进行容器化支持故障注入改造方案时，我们比对了三种不同的方式，对它们的优劣势进行分析，最后选择了一种折中的方案。

在Chaosblade-operator上就是增加了几个简单的功能，包括 Agent的安装、卸载，还有 Java进程的attach。策略下发用的还是原来的方式，在POD上起一个端口，通过 HTTP来进行交互。这样一来，只需要把以前的Salt部分用operator来代替，后面的整个交互流程还是跟原来一样，改造成本会相对较小。

我们的改造主要是实现了关机以及Java部分的故障。但是因为在POD上做网络实验需要的权限比较大，安全组那边一直没有同意，所以我们目前还没有支持。

这个是整个的一个架构图，从上到下有4层。第一层信息来源，我们这边是portal，就是一个应用管理平台，主要包含应用的信息、应用画像等；另外一个是依赖信息平台，也就是一些元数据的提供方。

接下来是故障演练系统，主要负责故障的演练编排。再往下是一些执行通道，包括Salt、Ops提供的API、Chaosblade-operator等，故障的真正注入主要是通过 HTTP接口来执行的。

下面是几种不同的资源。右边是提供一些通用能力的服务方，包括监控平台、线上巡检、权限系统以及IM。

故障演练是混沌工程的工程实践。简单地来说，故障演练是混沌工程的一部分，但是它的能力相对更加底层。

故障演练更多是以测试验证为主，但混沌工程它是通过实验去发现系统问题；混沌工程更强调在线上做随机化演练，而故障演练虽然也有在线上，但更多的还是先从测试环境验证开始；混沌工程更多强调形成文化，跟Devops流程结合，故障演练目前还是以定期组织为主。

接下来分享一下我们近期的规划，主要包括4个方向：

1）强制依赖自动标记

结合自动化接口测试平台，通过基准环境和故障环境请求结果对比，结合策略命中信息，强弱关系预判辅助用户决策。

2）线上自动化随机演练

基于故障注入能力以及强弱依赖关系，加上tracing信息，针对访问链路上的应用进行自动计算爆炸半径并生成自动化演练。

3）参与开源共建

新功能的添加以及Bug修复已经回馈给开源版本，我们组已经有2位Chaosblade的Commitor，并且和Chaosblade社区有过深度交流，保持合作关系。

4）使用体验

以上就是我分享的全部内容，大家如果有什么想法，欢迎在评论区提出~

Q1：服务依赖的故障会对业务影响很大，怎么获取服务质量的强弱关系图？

A1：这部分文章中有提到，这部分的信息主要有两个来源，一个是日志，另外一个是服务的注册中心以及DB的元信息。但通过这几个途径只能获得服务间的依赖关系，强弱目前还是依赖人工去做标记。

Q2：混沌工程直接上生产太过冒险，有没有比较温和的从线下走到生产的方式？

A2：我们的演练目前既可以支持测试环境，也能够支持仿真环境和线上环境。现在的业务也是按照一定的顺序，先从测试环境开始验证，然后到仿真，然后再到线上。而注入的流量也是如此，比如一开始是人工触发的流量，后面就是用线上拷贝流量，再后面就用真实流量。都是需要循序渐进来做的。

Q3：怎么实现全链路精准故障注入？

A3：我们对Chaosblade的Java Agent做了一个开发，根据Trace当中的信息来做流量匹配。因为我们这边C端来的流量都会有一个标识，通过这个标识我们可以知道：它是从哪一个外网入口进来的。所以，通过Trace中的信息做匹配，就相当于做了一个流量筛选，这样的话就能实现精准注入。

Q4：在故障注入后，要如何判定系统的稳态是否被改变，怎么定义稳态？采用什么手段判定？

A4：我们现在主要还是依赖于监控告警和一个基于异常检测的平台。在注入故障之后，在这两个平台如果产生了故障信息，就可以认为它不正常。我们针对故障演练做了一个分组，相当于设置了一些特殊关注的监控指标。通过这两个平台的事件，我们来判定它是不是我们看稳态，目前是这样。

Q5：我们服务在k8s集群，有状态和无状态的服务都有，也是计划使用故障演练或混沌工程，建议从那入手？

A5：我认为应该先从无状态应用入手。因为我们现在做的演练基本上还是以无状态应用为主，无状态应用它会更简单一些，你可以把整个流程串起来，同时积累一些经验。有状态服务其实我们这边做的比较少，像中间件或者是DB这些团队，他们其实并没有用我们的演练平台，而是主要依赖于自己的一些测试手段来保证高可用。

Q6：做监控和可观测性有什么不同？

A6：监控它只是一部分，像监控、日志和Tracing等，而可观测性包括的范围更广。

Q7：开发人员如何部署混沌工程实验策略？

A7：混沌工程的实现需要从上到下的支持和配合，如果只是想自己或者用一个小团队来做的话，可能会非常难实现。但比如说Chaosblade的Agent本身能力比较强，其实你只需要用它一部分功能做一些简单的自动化，也可以实现故障注入的测试验证。

获取本期PPT，请添加群秘微信号：dbachen