Uber's Failover Architecture: Reconciling Reliability and Efficiency in Hyperscale Microservice Infrastructure

Die vorgestellte Uber-Failover-Architektur (UFA) optimiert die Hyperscale-Microservice-Infrastruktur, indem sie ein einheitliches 2x-Kapazitätsmodell durch eine differenzierte Strategie ersetzt, die nicht-kritische Dienste bei Bedarf vorübergehend unterbricht, um die Auslastung von 20 % auf 30 % zu steigern, über eine Million CPU-Kerne einzusparen und gleichzeitig eine Verfügbarkeit von 99,97 % zu gewährleisten.

Das Wesentliche

🚗 Uber's "Notfall-Plan": Wie man Sicherheit spart, ohne zu riskieren

Stellen Sie sich Uber nicht nur als App vor, sondern als eine riesige, globale Fabrik, die rund um die Uhr Millionen von Fahrten organisiert. Diese Fabrik besteht aus über 6.000 kleinen Robotern (den sogenannten "Mikrodiensten"), die alle zusammenarbeiten müssen.

Das alte Problem: Die teure "Doppel-Versicherung"

Früher hatte Uber ein sehr sicheres, aber extrem teures System. Es funktionierte wie ein Flugzeug mit zwei Triebwerken, die beide immer zu 100 % laufen, auch wenn nur eines ausreicht.

• Die Idee: Wenn eine ganze Stadt (ein "Rechenzentrum") ausfällt, muss die andere Stadt sofort die gesamte Arbeit übernehmen.
• Das Problem: Um das zu garantieren, musste Uber für jede Stadt doppelt so viele Computer vorhalten, wie eigentlich nötig waren.
• Die Folge: Die Hälfte der Computer stand den ganzen Tag nur herum und tat nichts. Das war wie ein Taxi-Unternehmen, das 100 Autos besitzt, aber nur 50 Fahrer hat – die anderen 50 Autos rosten vor sich hin und kosten nur Geld. Die Auslastung lag bei nur 20 %.

Die neue Lösung: UFA (Uber's Failover Architecture)

Uber hat nun ein neues System namens UFA eingeführt. Man kann es sich wie ein intelligentes Notfall-Reservierungssystem vorstellen.

1. Die Idee der "Stufen" (Prioritäten)
Nicht alle Dienste sind gleich wichtig.

• Wichtig (T0/T1): Die eigentliche Fahrtbuchung. Wenn das ausfällt, passiert nichts.
• Weniger wichtig (T3-T5): Dinge wie Statistiken, Testläufe oder interne Tools. Wenn diese kurz ausfallen, ist das ärgerlich, aber kein Weltuntergang.

2. Das "Leere-Sofa"-Prinzip (Intelligente Überbuchung)
Stellen Sie sich vor, Sie haben ein großes Sofa (die Computer-Ressourcen).

• Früher: Sie haben zwei Sofas gekauft, damit immer Platz für alle ist, auch wenn ein Sofa kaputt geht. Das zweite Sofa stand leer.
• Jetzt (UFA): Sie haben nur ein Sofa. Aber Sie wissen: Ein Sofa-Katastrophe (ein kompletter Ausfall einer Stadt) passiert statistisch gesehen nur 20 Stunden im Jahr.
• Der Trick: In den restlichen 8.760 Stunden des Jahres nutzen die "weniger wichtigen" Gäste (die weniger kritischen Dienste) das Sofa, das eigentlich für den Notfall reserviert war. Sie sitzen dort gemütlich und nutzen den Platz.
• Der Notfall: Wenn plötzlich die "wichtigen" Gäste (die Fahrten) ankommen und das Sofa brauchen, werden die "weniger wichtigen" Gäste sofort und höflich gebeten, aufzustehen. Sie müssen kurz warten, bis sie sich woanders einrichten können (in der Cloud oder auf anderen Maschinen).

3. Die Sicherheitsnetze (Warum das nicht schiefgeht)
Das klingt riskant: Was, wenn die "weniger wichtigen" Gäste die "wichtigen" blockieren?

• Die "Fail-Open"-Regel: Uber hat geprüft, dass die wichtigen Dienste so programmiert sind, dass sie nicht zusammenbrechen, wenn die unwichtigen Dienste weg sind. Es ist wie ein Restaurant: Wenn der Kellner für die Desserts (unwichtig) ausfällt, kann der Koch trotzdem das Hauptgericht (wichtig) zubereiten. Früher war es so, dass der Koch aufhörte zu kochen, weil der Kellner fehlte. Das wurde behoben.
• Der "Notfall-Test": Bevor das System live ging, haben sie tausende Mal simuliert, was passiert, wenn man die unwichtigen Dienste einfach "abschaltet". Nur die Dienste, die das ohne Probleme überstanden haben, durften mitmachen.

Die Ergebnisse: Mehr für weniger Geld

Durch dieses System hat Uber riesige Erfolge erzielt:

• Platzsparend: Sie haben über 1 Million Computer-Kerne (die "Motoren" der Rechner) eingespart. Das ist, als würde man 100.000 Autos aus dem Fuhrpark streichen, die eh nie gefahren wurden.
• Besser genutzt: Die Auslastung der Computer ist von 20 % auf 30 % gestiegen. Das Sofa wird jetzt wirklich genutzt!
• Sicher: Trotz der Einsparungen bleibt die Zuverlässigkeit extrem hoch (99,97 %). Die Fahrten funktionieren weiterhin, auch wenn eine ganze Stadt ausfällt.

Zusammenfassung in einer Metapher

Stellen Sie sich ein Flugzeug vor.

• Alt: Das Flugzeug hatte immer zwei volle Tankfüllungen, auch wenn nur eine für den Flug reichte. Der Rest war schweres Ballastgewicht.
• Neu (UFA): Das Flugzeug hat nur einen vollen Tank. Der zweite Tank ist leer, aber er ist mit "Sitzplätzen für Passagiere" gefüllt, die nur mitfliegen, wenn der Haupttank voll ist. Wenn der Haupttank (die kritische Stadt) gebraucht wird, steigen diese Passagiere kurz aus, damit das Flugzeug sicher landen kann. Sobald es sicher ist, steigen sie wieder ein.

Das Fazit: Uber hat gelernt, dass man nicht immer "für den schlimmsten Fall" doppelt so viel Geld ausgeben muss. Wenn man genau weiß, wann der schlimmste Fall eintritt (und das ist sehr selten), kann man Ressourcen clever teilen, ohne die Sicherheit zu gefährden. Es ist eine Mischung aus kluger Planung, strengen Tests und einem guten Sicherheitsnetz.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Uber's Failover Architecture: Reconciling Reliability and Efficiency in Hyperscale Microservice Infrastructure" auf Deutsch.

1. Problemstellung

Uber betreibt eine globale Echtzeit-Plattform mit einer extremen Skalierung (Hyperscale), die auf über 6.000 Microservices in mehr als 16.000 Umgebungen verteilt ist. Das zentrale Problem bestand in einem inhärenten Zielkonflikt zwischen Zuverlässigkeit und Kosteneffizienz:

• Ineffizientes 2x-Kapazitätsmodell: Historisch sicherte Uber die Zuverlässigkeit durch ein „Active-Active"-Modell in zwei Regionen ab. Jede Region war so dimensioniert, dass sie im Fehlerfall 100 % des globalen Verkehrs allein bewältigen konnte. Dies führte dazu, dass in jedem Zustand (Steady State) die Hälfte der gesamten Rechenkapazität (CPU-Kerne) ungenutzt (idle) war. Die durchschnittliche Auslastung lag bei nur ca. 20 %.
• Homogene SLAs: Alle Dienste, von kritischen Fahrdienst-Matching-Systemen bis hin zu internen Test-Workloads, wurden mit denselben Service-Level-Agreements (SLAs) und derselben Redundanz versehen. Dies verursachte unnötige Kosten.
• Seltene Auslastungsspitzen: Eine datengestützte Analyse über vier Jahre zeigte, dass katastrophale, vollbelastete Failover-Ereignisse („Full-Peak Failovers") extrem selten sind (weniger als 20 Stunden pro Jahr). Das starre 2x-Modell war also für die allermeiste Zeit überdimensioniert.
• Abhängigkeitsprobleme (Fail-Close): Kritische Dienste hatten oft unsichere „Fail-Close"-Abhängigkeiten von weniger kritischen Diensten. Wenn ein nicht-kritischer Dienst ausfiel oder während eines Failovers entfernt wurde, konnte dies Kaskadeneffekte auslösen und kritische Geschäftsprozesse zum Stillstand bringen. Dies verhinderte eine sichere Überbuchung (Oversubscription) von Ressourcen.

2. Methodik und Architektur (UFA)

Um diese Probleme zu lösen, entwickelte Uber die Uber Failover Architecture (UFA). Der Kernansatz ist eine differenzierte Architektur, die auf geschäftskritischen Prioritäten basiert und intelligente Kapazitätsüberbuchung ermöglicht.

A. Differenzierte Dienstklassen und SLAs

UFA klassifiziert Dienste in vier Kategorien basierend auf ihrem Verhalten während eines Failovers:

1. Always-On: Kritische Dienste (z. B. T0, T1), die niemals unterbrochen werden. Sie skalieren in dedizierte Failover-Puffer.
2. Active-Migrate: Wichtige Dienste (z. B. T2), die während eines Failovers live auf andere Hosts migriert werden, ohne Unterbrechung.
3. Restore-Later: Weniger kritische Dienste (z. B. T3–T5), die sofort beendet und innerhalb eines definierten Recovery Time Objective (RTO) von bis zu 1 Stunde an anderer Stelle wiederhergestellt werden.
4. Terminate: Nicht-produktive Dienste (NP), die sofort beendet werden und erst nach dem Failback wiederhergestellt werden.

B. Intelligente Kapazitätsüberbuchung (Oversubscription)

• Steady State: Nicht-kritische Dienste (Restore-Later, Terminate) nutzen opportunistisch die ungenutzten Pufferkapazitäten der kritischen Dienste. Dies erhöht die Auslastung.
• Failover State: Bei einem regionalen Ausfall werden die nicht-kritischen Dienste schnell und priorisiert aus den Puffern verdrängt (Preemption), um Platz für die Always-On- und Active-Migrate-Dienste zu schaffen, die nun den doppelten Verkehr bewältigen müssen.
• Wiederherstellung: Verdrängte Dienste werden schnell in elastischen Cloud-Ressourcen oder auf umgewandelten Batch-Clustern wiederhergestellt.

C. Technische Komponenten

• Outage Mitigator (OMG): Ein Orchestrierungstool, das Failover-Modi (Peak vs. Non-Peak) erkennt und Workflows steuert (Verkehrsmigration, Dienstbeendigung, Kapazitätsbereitstellung).
• Up (Deployment Platform): Koordiniert die Migration von Diensten mit Strategien wie „Break-Before-Make" (für Restore-Later) und „Make-Before-Break" (für Active-Migrate).
• Compute (Kubernetes-basiert): Implementiert die Ressourcenpartitionierung auf Host-Ebene. CPU-Kapazitäten werden in stateless.cpu (für Always-On) und overcommit.cpu (für verdrängbare Workloads) unterteilt.
• Batch-to-Burst Conversion: Batch-Cluster (für Analytics/ML) werden während eines Failovers in „Burst-Cluster" umgewandelt, um verdrängte Dienste aufzunehmen.
• Cloud Bursting: Dient als letzte Sicherheitsstufe, wenn interne Kapazitäten nicht ausreichen, um Dienste innerhalb des RTO wiederherzustellen.

D. Sicherheitsmechanismen und Regression Prevention

Ein entscheidender Schritt war die Beseitigung von unsicheren Abhängigkeiten, um sicherzustellen, dass kritische Dienste auch dann funktionieren, wenn nicht-kritische Dienste fehlen („Fail-Open"-Verhalten).

• Multi-Layered Safety:
  • Runtime-Analyse: Überwachung von RPCs in Produktion, um Fail-Close-Verhalten zu erkennen.
  • Statische Analyse: Code-Analyse (Go/Java) vor dem Deployment, um Fehlerausbreitung zu identifizieren.
  • Canary Regression Gate: Automatisierte Tests in der Canary-Zone, bei denen Traffic zu nicht-kritischen Diensten blockiert wird, um neue Abhängigkeiten zu finden.
  • KI-gestützte End-to-End-Validierung: Nutzung von GenAI für mobile Tests, um komplexe Kundenpfade unter Störungen zu validieren.

3. Schlüsselbeiträge

1. Datengetriebene Architektur: Ersetzung des starren 2x-Modells durch ein differenziertes Modell, das auf der tatsächlichen Seltenheit von Full-Peak-Failovers basiert.
2. Intelligentes Oversubscription-System: Eine Architektur, die nicht-kritische Workloads in den Puffern kritischer Dienste laufen lässt und diese bei Bedarf automatisch und sicher verdrängt.
3. Sicherheitspipeline: Ein umfassendes Set an Tools (statisch, dynamisch, KI-gestützt) zur proaktiven Erkennung und Verhinderung von unsicheren „Fail-Close"-Abhängigkeiten in einer dezentralen Engineering-Kultur.
4. Großflächige Implementierung: Erfolgreicher Rollout über 6.000+ Microservices und hunderte Teams mit einem gestuften Einführungsprozess (Phased Rollout) und systematischen Drill-Übungen.

4. Ergebnisse und quantitative Auswirkungen

Die Einführung der UFA hatte signifikante messbare Ergebnisse:

• Ressourceneffizienz: Die durchschnittliche CPU-Auslastung stieg von ~20 % auf ~30 % (P99 von 30 % auf 42 %).
• Kapazitätsreduktion: Es wurden über 1 Million CPU-Kerne (ca. 25 % der Basislinie von 4 Millionen) eliminiert, ohne die Zuverlässigkeit zu beeinträchtigen.
• Verfügbarkeit: Die Verfügbarkeit kritischer Dienste blieb während eines realen 17-stündigen Failover-Ereignisses konstant bei 99,97 %, auch während der Kapazitätskonversion.
• Wiederherstellungszeiten: Kritische Dienste erlitten keine Unterbrechung. Nicht-kritische Dienste wurden innerhalb des definierten RTO (bis zu 1 Stunde) wiederhergestellt.
• Drill-Erfolge: Über 43 Produktions-Drills und 70+ Staging-Drills wurden erfolgreich durchgeführt, um die Architektur zu validieren.

5. Bedeutung und Fazit

Das Paper demonstriert, dass der Zielkonflikt zwischen Zuverlässigkeit und Effizienz in Hyperscale-Systemen durch intelligente Architektur und datengestützte Entscheidungen gelöst werden kann.

• Paradigmenwechsel: Statt Ressourcen für den Worst-Case (2x) vorzuhalten, nutzt UFA die Realität (seltene Full-Peaks) aus, um Ressourcen dynamisch zu teilen.
• Sozio-technische Herausforderung: Die größte Hürde war nicht die technische Innovation selbst, sondern die Koordination über hunderte unabhängige Teams hinweg, um Abhängigkeiten zu bereinigen und neue Sicherheitsstandards zu etablieren.
• Reproduzierbarkeit: Die vorgestellten Methoden (differenzierte SLAs, automatisierte Abhängigkeitsanalyse, gestaffelte Verdrängung) bieten einen Wegweiser für andere große Cloud-Anbieter und Plattformbetreiber, die ihre Infrastrukturkosten senken wollen, ohne die Stabilität zu gefährden.

Zukünftige Arbeiten sollen sich auf die Erweiterung dieses Modells auf zustandsbehaftete Dienste (Stateful Services) und die Entwicklung von Garantien für elastische Cloud-Kapazitäten konzentrieren.