Uber's Failover Architecture: Reconciling Reliability and Efficiency in Hyperscale Microservice Infrastructure

Dit artikel beschrijft Uber's Failover Architecture (UFA), een differentieerde aanpak die de kostbare 2x-capaciteitsmodellen vervangt door een slimme, op kritikaliteit gebaseerde strategie die de steady-state provisioning verlaagt van 2x naar 1,3x en de CPU-uitbesteding met meer dan één miljoen cores reduceert, terwijl de beschikbaarheid van 99,97% wordt gehandhaafd.

De kern

Hier is een uitleg van het paper over Uber's nieuwe architectuur, vertaald naar eenvoudig Nederlands met creatieve vergelijkingen.

De Grote Dilemma: Veiligheid vs. Geld

Stel je voor dat Uber een gigantisch, wereldwijd vervoersbedrijf is. Miljoenen mensen vertrouwen erop dat hun auto er is, en miljoenen chauffeurs verdienen er hun brood mee. Als het systeem crasht, is dat een ramp.

Voor jarenlang deed Uber iets heel conserviefs: ze hadden twee keer zoveel auto's als ze eigenlijk nodig hadden.

• De oude manier: Stel, je hebt 100 chauffeurs nodig om alle ritten te doen. Uber had er 200 in dienst. Als er één stad uitviel (bijvoorbeeld door een stroomstoring), konden de andere 100 chauffeurs het werk van de 100 in de uitgevallen stad overnemen.
• Het probleem: De andere 100 chauffeurs stonden de rest van de tijd stil te wachten. Ze kostten geld (brandstof, salaris, onderhoud), maar deden niets. Dit was een enorme verspilling.

De Nieuwe Oplossing: Uber's "Failover Architectuur" (UFA)

Uber bedacht een slimme manier om die stilstaande auto's toch nuttig te maken, zonder de veiligheid te riskeren. Ze noemen dit UFA.

Stel je voor dat je een groot hotel hebt met twee verdiepingen:

1. De VIP-verdieping (Kritieke diensten): Hier slapen de belangrijkste gasten (zoals het koppelen van een rit). Deze gasten moeten altijd een kamer hebben, zelfs als het hotel vol zit.
2. De Gewone-verdieping (Niet-kritieke diensten): Hier slapen gasten die minder belangrijk zijn (zoals test-apps of interne tools).

De oude regel: De VIP-gasten hadden een eigen verdieping die altijd half leeg stond, klaar voor een noodgeval. De gewone gasten mochten daar niet bij.

De nieuwe UFA-regel:

• De VIP-gasten houden hun eigen verdieping, maar die is nu niet meer vastgebonden aan één verdieping.
• De gewone gasten mogen tijdelijk in de lege kamers van de VIP-verdieping slapen zolang er geen noodgeval is. Ze betalen een beetje extra, maar het hotel bespaart enorm veel geld.
• Het noodgeval: Als er echt iets misgaat (bijvoorbeeld een brand in de ene stad), moeten de VIP-gasten direct naar de andere stad verhuizen.
  • De actie: De gewone gasten worden direct en vriendelijk uit de VIP-kamers gevraagd. Ze krijgen een boete (een korte onderbreking), maar ze mogen niet de VIP's in de weg zitten.
  • De gewone gasten worden dan snel naar een tijdelijk tentenkamp (de "cloud" of andere datacenters) gestuurd. Ze moeten even wachten, maar de VIP-gasten hebben hun kamer weer voor zich alleen.

Hoe werkt dit in de praktijk?

Het paper beschrijft hoe Uber dit technisch heeft geregeld met drie belangrijke stappen:

1. De "Veiligheidscontrole" (Geen verrassingen)

Voordat je een gewone gast in een VIP-kamer mag zetten, moet je zeker weten dat die gast de VIP niet lastigvalt als hij ziek wordt.

• Het probleem: Soms hangen belangrijke systemen af van onbelangrijke systemen. Als de onbelangrijke service crasht, crasht ook de belangrijke service. Dit noemen ze een "fail-close" afhankelijkheid.
• De oplossing: Uber heeft slimme scanners (software) die alle code controleren. Ze zoeken naar situaties waar een belangrijke dienst afhankelijk is van een minder belangrijke. Als ze zo'n koppeling vinden, moeten de ontwikkelaars die oplossen voordat ze de nieuwe regeling mogen gebruiken. Ze hebben zo'n 4.000 van deze gevaarlijke koppelingen opgespoord en verwijderd.

2. De "Slimme Verhuizer" (Automatisering)

Als het noodgeval begint, moet alles razendsnel gaan.

• De verhuizer (OMG): Dit is een robot die het bevel geeft. Hij ziet dat er brand is in Stad A.
• De actie: Hij zegt tegen de gewone gasten: "Jullie moeten nu weg!" en tegen de VIP's: "Jullie krijgen de hele verdieping."
• De snelheid: Dit gebeurt in minuten, niet in dagen. Ze gebruiken zelfs lege computerkracht van andere projecten (zoals data-analyses die 's nachts draaien) om de gewone diensten tijdelijk op te vangen.

3. De "Oefeningen" (Drills)

Je kunt dit niet zomaar proberen zonder te oefenen. Uber heeft duizenden keren geoefend in een veilige omgeving. Ze hebben zelfs simulaties gedaan waarbij ze de "gewone" diensten volledig uitschakelden om te zien of de "VIP's" het nog steeds redden. Dit gaf hen het vertrouwen om het echt te doen.

Wat is het resultaat?

De cijfers zijn indrukwekkend:

• Minder verspilling: In plaats van 200% capaciteit (dubbel zoveel als nodig), doen ze het nu met 130%.
• Meer gebruik: De computers staan nu 30% van de tijd aan (in plaats van 20%).
• Geldbesparing: Ze hebben 1 miljoen CPU-kernen (de "hersenen" van de computers) kunnen verwijderen uit hun infrastructuur. Dat is een enorme kostenbesparing.
• Veiligheid: Ondanks dat ze minder ruimte hebben, blijft de betrouwbaarheid voor de belangrijkste diensten 99,97%. De VIP-gasten merken niets van het gedoe.

Conclusie

Uber heeft bewezen dat je niet hoeft te kiezen tussen veiligheid en efficiëntie. Door slim te plannen, te oefenen en te weten welke diensten echt belangrijk zijn en welke niet, kunnen ze hun "reserves" gebruiken voor normaal werk.

Het is alsof je een brandweerauto die normaal gesproken alleen staat te wachten, gebruikt om post te bezorgen. Als er echt brand uitbreekt, is de postbezorger er zo uit, en heeft de brandweer de auto weer voor zich alleen. Slim, veilig en goedkoper.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "Uber's Failover Architecture: Reconciling Reliability and Efficiency in Hyperscale Microservice Infrastructure", vertaald en samengevat in het Nederlands.

Titel: Uber's Failover Architectuur (UFA): Het Verzoenen van Betrouwbaarheid en Efficiëntie in Hyperschaal Microservice-infrastructuur

1. Het Probleem

Uber opereert als een wereldwijd platform met een hyperschaal microservice-architectuur (ongeveer 6.000 microservices in 16.000 omgevingen). Historisch gezien werd betrouwbaarheid gewaarborgd via een 2x capaciteitsmodel (dual-region active-active): elke regio was geprovisioneerd om 100% van het wereldwijde verkeer te kunnen opvangen bij een uitval van de andere regio.

Dit leidde tot twee fundamentele problemen:

• Lage Resource-efficiëntie: Omdat uitval van een regio extreem zeldzaam is (gemiddeld minder dan 20 uur per jaar, oftewel 0,23% van de tijd), bleef de helft van de infrastructuur (de "failover-buffer") constant inactief. De gemiddelde CPU-gebruik was slechts ongeveer 20%.
• Homogene SLA's en "Fail-Close" Afhankelijkheden: Alle services, van kritieke rit-matching tot interne testtools, kregen dezelfde Service Level Agreements (SLA's). Dit creëerde een gevaarlijke situatie waarbij kritieke services afhankelijk waren van niet-kritieke services. Als een niet-kritieke service uitviel, kon dit een "fail-close" kettingreactie veroorzaken die ook kritieke services deed crashen, ondanks de overcapaciteit.

2. Methodologie en Architectuur (UFA)

Om deze problemen op te lossen, ontwikkelde Uber de Uber Failover Architecture (UFA). De kern van UFA is een verschuiving van een uniforme benadering naar een gedifferentieerde, op zakelijke kritikaliteit gebaseerde architectuur.

A. Gedifferentieerde Serviceklassen
Services worden ingedeeld in vier klassen op basis van hun gedrag tijdens een failover:

1. Always-On (T0/T1): Kritieke services die nooit worden onderbroken. Ze schalen direct op in hun toegewezen failover-buffer.
2. Active-Migrate (T2): Services die live worden gemigreerd naar een andere locatie (bijv. van een statische cluster naar een "burst" cluster) voordat ze worden afgesloten, om onderbrekingen te voorkomen.
3. Restore-Later (T3-T5): Niet-kritieke services die direct worden gestopt tijdens een piek-failover en binnen een uur (RTO) worden hersteld via elastische cloudcapaciteit of batch-clusters.
4. Terminate (Non-Production): Services die direct worden gestopt en pas na herstel van de regio worden teruggezet.

B. Intelligente Overschrijding (Oversubscription)
In plaats van buffers leeg te laten staan, worden niet-kritieke services (Restore-Later/Terminate) opportunistisch geprogrammeerd op de idle failover-buffers van kritieke services tijdens de normale staat (steady state).

• Veiligheid: Dit is alleen veilig omdat UFA eerst alle "fail-close" afhankelijkheden tussen kritieke en niet-kritieke services heeft geëlimineerd. Kritieke services moeten nu "fail-open" gedrag vertonen (ze mogen niet crashen als een lagere prioriteit service wegvalt).
• Failover-procedure: Bij een regionale uitval worden de niet-kritieke services direct "geëvacueerd" (preempted) van de buffers. De vrijgekomen capaciteit wordt direct gebruikt door Always-On en Active-Migrate services om het dubbele verkeer op te vangen.

C. Technische Componenten

• Outage Mitigator (OMG): De orkestrator die detecteert of het een piek- of niet-piek-failover is en de workflow (stoppen, migreren, herstellen) automatiseert.
• Compute & Kubernetes: Implementeert CPU-partitionering (stateless.cpu vs. overcommit.cpu) en gebruik van Linux cgroups voor prioritering.
• Up (Deployment Platform): Regelt de migratiestrategieën: Break-Before-Make (BBM) voor niet-kritieke services en Make-Before-Break (MBB) voor kritieke services.
• Cloud Bursting: Als interne batch-capaciteit onvoldoende is, wordt automatisch cloudcapaciteit (OCI, AWS, etc.) geprovisioneerd om Restore-Later services binnen het RTO van 1 uur te herstellen.

D. Veiligheid en Validatie
Om de overschrijding veilig te maken, is een multi-layered veiligheidsstrategie ontwikkeld om "fail-close" afhankelijkheden te detecteren en te elimineren:

1. Runtime Analyse: Analyseert triljoenen RPC's per dag om te zien of fouten in lagere services omhoog cascaderen.
2. Statische Analyse: Analyseert broncode (Go/Java) om onveilige afhankelijkheden te vinden voordat code in productie gaat.
3. Canary Regression Gate: Geautomatiseerde tests in de canary-zone waarbij verkeer naar niet-kritieke services wordt geblokkeerd om te testen of kritieke services stabiel blijven.
4. AI-gedreven End-to-End Validatie: GenAI-platforms simuleren klantgebruik en injecteren fouten om de algehele resiliëntie te valideren.

3. Belangrijkste Bijdragen

• Data-gedreven Architectuur: Het bewijs dat volledige piek-failovers extreem zeldzaam zijn, wat de basis vormt voor het verlaten van het 2x model.
• Nieuwe Architectuur voor Intelligent Failure Management: Een systeem dat niet-kritieke workloads toelaat om op idle buffers te draaien, met geautomatiseerde mechanismen om deze snel te shedden en te herstellen.
• Multi-layered Safety Framework: Een combinatie van runtime monitoring, statische analyse en geautomatiseerde regressietests om de veiligheid van overschrijding te garanderen.
• Grootschalige Implementatie: Succesvolle toepassing op een productieomgeving van 6.000+ microservices, wat een uniek inzicht biedt in het beheer van hyperschaal.

4. Resultaten

De implementatie van UFA heeft aanzienlijke verbeteringen opgeleverd:

• Capaciteitsreductie: De steady-state provisionering is verlaagd van 2x naar 1,3x.
• Verbeterde Utilisatie: Het gemiddelde CPU-gebruik is gestegen van ~20% naar ~30% (P99 van 30% naar 42%).
• Kostenefficiëntie: Er zijn meer dan 1 miljoen CPU-kernen verwijderd uit een basis van ongeveer 4 miljoen kernen.
• Betrouwbaarheid: De beschikbaarheid van kritieke diensten bleef tijdens een echte 17-uur durende failover (26 januari 2026) stabiel op 99,97%, zonder degradatie voor de top 100 steden.
• Afhankelijkheidsoplossing: Meer dan 4.000 onveilige afhankelijkheden ("fail-close" edges) zijn geïdentificeerd en opgelost.

5. Significantie en Conclusie

Dit paper toont aan dat de traditionele spanning tussen betrouwbaarheid en kosten-efficiëntie in hyperschaal systemen niet onvermijdelijk is. Door een gedifferentieerde SLA-benadering te combineren met intelligente overschrijding en een rigoureuze veiligheidsstrategie, kan Uber de infrastructuurkosten drastisch verlagen zonder in te leveren op de beschikbaarheid van kritieke diensten.

De belangrijkste les is dat de technische uitdaging niet alleen lag in de architectuur, maar in de socio-technische transformatie: het coördineren van honderden teams om hun services veilig te maken voor overschrijding via systematische drills en tooling. De UFA biedt een blauwdruk voor andere hyperschaal organisaties om hun infrastructuur te optimaliseren, hoewel uitdagingen blijven bestaan rondom gegarandeerde elastische capaciteit bij cloudproviders en de uitbreiding naar stateful services (databases).