Uber's Failover Architecture: Reconciling Reliability and Efficiency in Hyperscale Microservice Infrastructure

이 논문은 우버가 2 배 용량 모델에서 비즈니스 중요도에 따른 차등화된 'UFA(Failover Architecture)'로 전환하여, 비중요 서비스의 선제적 중단과 자동화된 안전 장치를 통해 정상 상태 자원 할당을 2 배에서 1.3 배로 줄이고 활용률을 20% 에서 30% 로 높이면서도 99.97% 의 가용성을 유지하는 성과를 거두었다고 설명합니다.

핵심

우버의 '실패 대비 시스템' (UFA): 어떻게 100 만 개의 CPU 코어를 구했을까?

우버 (Uber) 와 같은 거대 기업은 전 세계 수백만 명의 사용자를 실시간으로 연결해야 합니다. 만약 우버의 서버 하나가 고장 나면, 택시 호출이나 음식 배달이 멈출 수 있어 큰 문제가 됩니다. 그래서 우버는 항상 서버를 두 배로 준비해 두었습니다. 마치 "비상용 구명보트"를 항상 띄워 두는 것과 같죠.

하지만 이 방식은 엄청난 비용이 들었습니다. 평소에는 구명보트가 빈 채로 떠다니며 공간을 차지하고 있었기 때문입니다. 이 논문은 우버가 어떻게 이 비효율적인 시스템을 고쳐, 서버 사용량을 20% 에서 30% 로 늘리면서 100 만 개의 CPU 코어 (컴퓨터 두뇌) 를 아꼈는지 설명합니다.

이 복잡한 이야기를 비유를 통해 쉽게 풀어보겠습니다.

---

1. 문제: "무조건 두 배 준비"의 비효율성

비유: 대형 호텔의 '빈 방' 문제
우버는 과거에 모든 서비스를 위해 두 개의 거대한 호텔을 운영했습니다.

• 호텔 A (현재 사용): 손님이 들어와서 방을 씁니다.
• 호텔 B (비상용): 손님이 없어도, 호텔 A 에 문제가 생기면 모든 손님을 B 로 옮길 수 있도록 항상 비워 둡니다.

이 방식은 안전하지만, 호텔 B 의 50% 는 항상 비어 있었습니다. 마치 비행기 좌석의 절반을 항상 비워두고 '비상용'으로만 예약해 두는 것과 같습니다. 우버는 매년 20 시간 미만의 '진짜 큰 재해'만 발생한다는 데이터를 발견했습니다. 즉, 매년 365 일 중 364 일 이상은 그 비싼 '비상용 호텔'이 쓸모없이 비어 있었던 것입니다.

2. 해결책: UFA (우버 실패 아키텍처)

우버는 "모든 것을 똑같이 보호할 필요는 없다"는 사실을 깨달았습니다. 핵심 서비스 (택시 호출, 결제) 는 절대 멈추면 안 되지만, 부가적인 서비스 (앱 내 광고, 통계 분석) 는 잠시 멈춰도 괜찮습니다.

이 아이디어를 바탕으로 UFA라는 새로운 시스템을 만들었습니다.

핵심 전략 1: "빈 방을 임시로 임대하자" (지능형 과부하)

• 평소 (정상 상태): 비상용 호텔 B 의 빈 방들을 일시적으로 다른 손님들 (중요하지 않은 서비스) 에게 빌려줍니다.
• 결과: 평소에는 호텔 B 가 비어 있는 게 아니라, 다른 손님들이 그 방을 사용하며 수익을 내는 것입니다.

핵심 전략 2: "재난이 오면 먼저 내보내기" (우선순위 대피)

• 재난 발생 시 (호텔 A 고장): 호텔 B 에 임시로 있던 '중요하지 않은 손님들'을 즉시 밖으로 내보냅니다.
• 대피: 내보낸 손님들은 잠시 호텔 밖 (클라우드나 임시 공간) 에서 기다리다가, 호텔 A 가 고쳐지면 다시 들어옵니다.
• 핵심 서비스: '중요한 손님들' (택시 호출 등) 은 호텔 B 의 빈 방을 즉시 모두 차지하여 100% 서비스를 유지합니다.

이게 바로 UFA 의 핵심입니다. 평소에는 빈 공간을 활용하고, 위기가 오면 그 공간을 핵심 서비스에게 내어주는 유연한 시스템입니다.

3. 가장 큰 난관: "연쇄 폭탄"을 제거하다

이 시스템을 도입할 때 가장 큰 문제는 **'의존성'**이었습니다.

• 문제 상황: 중요한 서비스 (A) 가 비싼 식당 (B) 에 의존하고 있었습니다. 만약 식당 B 가 문을 닫으면, A 도 문을 닫아야 했습니다.
• 위험: 비상용 호텔 B 에 임시로 있던 '식당 B'가 재해 때 내쫓기면, '중요한 서비스 A'도 함께 멈추게 됩니다.

해결책: "안전망 설치"
우버는 수천 개의 서비스 관계를 분석하여, 중요한 서비스가 비중요한 서비스의 고장에 영향을 받지 않도록 코드를 고쳤습니다.

• 비유: "식당 B 가 문을 닫더라도, 중요한 손님 A 는 편의점에서 간단히 끼니를 해결할 수 있도록" 시스템을 개조한 것입니다.
• 도구: 우버는 자동화된 AI 와 분석 도구를 만들어, 개발자가 코드를 작성할 때 이런 '위험한 연결'을 미리 찾아내게 했습니다.

4. 실제 효과: 놀라운 결과

이 시스템을 실제 우버에 적용한 결과는 다음과 같습니다.

1. 비용 절감: 약 100 만 개의 CPU 코어를 줄였습니다. 이는 약 400 만 개 중 25% 를 아낀 것입니다.
2. 효율성 증가: 서버 사용률이 20% 에서 30% 로 크게 향상되었습니다. (빈 방이 사라진 셈입니다.)
3. 안정성 유지: 중요한 서비스 (택시 호출 등) 의 가동률은 **99.97%**를 유지하며, 재해 상황에서도 멈추지 않았습니다.
4. 빠른 대응: 실제 재해가 발생했을 때, 17 시간 동안 100 만 개의 코어를 순식간에 전환하여 서비스를 이어갔습니다.

5. 교훈: 기술보다 중요한 것

이 프로젝트는 단순히 기술만 바꾼 것이 아니라, 조직 문화를 바꾼 것이었습니다.

• 수천 개의 팀 협력: 우버에는 수천 개의 개발 팀이 있습니다. 모든 팀이 이 새로운 규칙에 따라 코드를 고치고, 테스트를 받아야 했습니다.
• 실전 훈련: 이론만 믿지 않고, 실제 재해 상황을 모의해 보는 '훈련 (Drill)'을 수백 번 반복하며 시스템을 다듬었습니다.

요약

우버의 UFA 는 "평소에는 빈 공간을 활용해서 돈을 아끼고, 위기가 오면 그 공간을 핵심 서비스에 내어주어 안전을 지키는" 똑똑한 시스템입니다.

이는 마치 비행기와 같습니다. 평소에는 모든 좌석을 팔아 수익을 내지만, 비상구가 필요할 때는 그 공간을 확보해 두는 방식이 아니라, 비상용 좌석 (핵심 서비스) 을 항상 확보하고, 나머지 좌석 (비중요 서비스) 은 평소엔 팔다가 비상 시에는 우선순위에 따라 내보내는 방식입니다.

이러한 혁신 덕분에 우버는 더 안전하면서도 훨씬 더 효율적으로 운영될 수 있게 되었습니다.

기술 요약

Uber 의 페일오버 아키텍처 (UFA): 초대규모 마이크로서비스 인프라에서의 신뢰성과 효율성 조화

이 논문은 Uber 가 운영하는 글로벌 실시간 플랫폼의 인프라가 직면한 **신뢰성 (Reliability)**과 비용 효율성 (Cost Efficiency) 간의 긴장 관계를 해결하기 위해 개발된 **Uber Failover Architecture (UFA)**를 소개합니다. 기존에 사용되던 비효율적인 이중화 모델을 대체하여, 비즈니스 중요도에 따라 차별화된 아키텍처를 도입함으로써 자원 활용도를 극대화하면서도 핵심 서비스의 가용성을 유지하는 방법을 상세히 설명합니다.

---

1. 문제 정의 (Problem)

Uber 는 전 세계 수백만 명의 운전자와 사용자를 위해 운영되며, 과거에는 2 배 용량 (2× Capacity) 모델을 통해 신뢰성을 보장했습니다. 이는 두 개의 리전 (Region) 각각이 전 세계 트래픽을 독립적으로 처리할 수 있도록 설계된 'Active-Active' 방식이었습니다.

• 비효율적인 자원 사용: 모든 서비스 (중요한 트립 매칭부터 내부 개발 테스트까지) 에 동일한 SLA(서비스 수준 협약) 를 적용하여, 정상 상태 (Steady State) 에서 전체 서버의 약 50% 가 유휴 상태로 방치되었습니다. 이로 인해 CPU 활용도는 약 **20%**에 불과했습니다.
• 동질적인 신뢰성 전략: 모든 서비스에 동일한 고가용성을 요구함으로써 불필요한 비용이 발생했습니다.
• 데이터 기반 통찰: 4 년간의 페일오버 (Failover) 이벤트 분석 결과, 전체 트래픽이 한 리전으로 몰리는 'Full-Peak' 페일오버는 연간 평균 **20 시간 미만 (약 0.23%)**으로 매우 드물게 발생했습니다. 이는 무조건적인 2 배 용량 유지가 불필요함을 시사했습니다.
• 종속성 문제 (Fail-Close Dependencies): 중요한 서비스 (Critical) 가 덜 중요한 서비스 (Non-critical) 에 의존하는 경우, 후자의 장애가 전자의 장애로 이어지는 'Fail-Close' 현상이 발생하여 전체 시스템의 다운을 초래했습니다.

2. 방법론 및 아키텍처 (Methodology & Architecture)

UFA 는 차별화된 가용성 모델과 **지능형 용량 과할당 (Intelligent Capacity Oversubscription)**을 핵심으로 합니다.

2.1 서비스 계층화 및 페일오버 행동 분류

서비스를 비즈니스 중요도에 따라 T0(가장 중요) 에서 T5(가장 덜 중요) 까지 계층화하고, 페일오버 발생 시의 동작을 4 가지 클래스로 분류합니다:

1. Always-On (T0, T1): 페일오버 중에도 중단되지 않으며, 전용 페일오버 버퍼를 사용하여 즉시 확장됩니다.
2. Active-Migrate (T2): 새 리전으로 실시간 마이그레이션되어 중단 없이 운영됩니다.
3. Restore-Later (T3-T5): 즉시 종료되었다가, 페일오버 중 또는 이후에 배치 (Batch) 클러스터나 클라우드에서 복구됩니다 (최대 1 시간 복구 시간 허용).
4. Terminate (NP): 페일오버 중에는 종료되며 복구되지 않습니다.

2.2 지능형 용량 과할당 (Oversubscription)

• 정상 상태: 중요도가 낮은 서비스 (Restore-Later, Terminate) 가 중요 서비스 (Always-On) 를 위해 예약된 유휴 페일오버 버퍼 (Failover Buffer) 를 기회주의적으로 (Opportunistically) 사용합니다.
• 페일오버 발생 시:
  1. 선제적 종료 (Preemption): 중요도가 낮은 서비스들이 즉시 종료되어 CPU 자원을 확보합니다.
  2. 리소스 전환: 배치 (Batch) 클러스터를 '버스트 (Burst)' 클러스터로 전환하거나, 클라우드 용량을 동적으로 할당하여 중요 서비스와 Active-Migrate 서비스를 복구합니다.
  3. 차별화된 복구: 중요 서비스는 즉시 복구되지만, 덜 중요한 서비스는 1 시간 이내의 복구 시간 목표 (RTO) 를 충족하도록 배치/클라우드에서 재시작됩니다.

2.3 안전성 보장 메커니즘

• 종속성 제거 (Fail-Close to Fail-Open): 중요한 서비스가 덜 중요한 서비스의 장애에 영향을 받지 않도록, 런타임 분석, 정적 분석 (Static Analysis), 카나리 리그레이션 게이트 등을 통해 'Fail-Close' 종속성을 탐지하고 제거합니다.
• 자동화된 워크플로우: Outage Mitigator (OMG)와 Up (배포 플랫폼), Compute (오케스트레이션) 가 협력하여 페일오버를 자동화합니다.
• 트래픽 격리: 페일오버 중 차단된 서비스에 대한 트래픽을 L7 서비스 메시와 보안 오버레이를 통해 차단하여 'Thundering Herd' 현상을 방지합니다.

3. 주요 기여 (Key Contributions)

1. 초대규모 마이크로서비스 인프라에 대한 실증 데이터: Uber 의 6,000 개 이상의 마이크로서비스와 16,000 개의 환경에서 수집된 대규모 운영 데이터와 페일오버 통계를 제시합니다.
2. 지능형 페일오버 아키텍처: 유휴 페일오버 버퍼를 비정상 상태가 아닌 정상 상태에서도 활용하고, 장애 발생 시 워크로드를 신속하게 제거/복구하는 새로운 아키텍처를 제안합니다.
3. 다층적 안전성 및 리그레이션 방지 전략: CI/CD 파이프라인에 통합된 정적 분석 도구와 AI 기반 엔드 - 투 - 엔드 테스트를 통해 안전하지 않은 종속성을 사전에 탐지하고 차단하는 시스템을 구축했습니다.
4. 대규모 배포 및 평가: 6,000 개 이상의 마이크로서비스가 운영되는 프로덕션 환경에서 UFA 를 성공적으로 배포하고 평가했습니다.

4. 결과 (Results)

UFA 의 도입은 다음과 같은 정량적, 정성적 성과를 거두었습니다:

• 용량 최적화: 정상 상태의 용량 요구량을 2 배 (2×) 에서 1.3 배 (1.3×) 로 감소시켰습니다.
• 자원 활용도 향상: 전체 CPU 활용도가 약 20% 에서 30% 로 상승했습니다.
• 비용 절감: 약 400 만 개의 CPU 코어 중 100 만 개 이상의 코어를 제거했습니다.
• 신뢰성 유지: 페일오버 중에도 핵심 서비스의 가용성을 **99.97%**로 유지하며, 17 시간 동안 지속된 실제 페일오버 이벤트에서도 서비스 품질 저하가 없음을 입증했습니다.
• 안전성 강화: 4,000 개 이상의 안전하지 않은 종속성 (Unsafe Dependencies) 을 식별하고 해결하여 시스템의 견고성을 높였습니다.

5. 의의 및 시사점 (Significance)

이 연구는 초대규모 분산 시스템에서 **신뢰성과 효율성의 상충 관계 (Trade-off)**가 필연적이지 않음을 증명했습니다.

• 데이터 기반 의사결정: 드물게 발생하는 'Full-Peak' 페일오버에 대비하기 위해 전체 자원을 과다하게 확보하는 전통적인 방식을 버리고, 실제 데이터에 기반한 차별화된 전략을 채택함으로써 막대한 비용 절감을 달성했습니다.
• 소셜 - 기술적 (Socio-technical) 변화: 기술적 아키텍처 변경뿐만 아니라, 수백 개의 팀이 독립적으로 개발하는 마이크로서비스 생태계 내에서 종속성 관리와 안전성 문화를 정착시키는 조직적 변화의 중요성을 강조했습니다.
• 클라우드 의존성 극복: 대규모 클라우드 제공업체의 온디맨드 용량 할당 한계 (Quota) 를 우회하기 위해, 내부 배치 클러스터를 페일오버 버퍼로 전환하는 하이브리드 전략을 통해 신속하고 안정적인 복구 체계를 구축했습니다.
• 미래 연구 방향: 상태 저장 (Stateful) 서비스로의 확장, 생성형 AI 를 활용한 자동화된 종속성 수정, 그리고 초대규모에서의 보장된 탄력적 용량 확보 등 향후 연구 과제를 제시합니다.

결론적으로, UFA 는 Uber 의 인프라가 비용 효율성을 높이면서도 세계 최고 수준의 가용성을 유지할 수 있게 한 핵심 혁신이며, 다른 초대규모 플랫폼에도 적용 가능한 중요한 사례를 제공합니다.