Enhancing OLAP Resilience at LinkedIn

Este artigo descreve um conjunto abrangente de mecanismos de resiliência desenvolvidos para o Apache Pinot no LinkedIn, incluindo isolamento de carga de consultas, reequilíbrio sem impacto e seleção adaptativa de servidores, que garantem baixa latência e alta disponibilidade em sistemas OLAP de grande escala sob falhas e picos de demanda.

O essencial

Imagine que o LinkedIn é uma cidade gigante e digital, onde milhões de pessoas conversam, procuram emprego e compartilham notícias todos os segundos. Para que isso funcione, eles precisam de uma biblioteca de dados imensa e super rápida, capaz de responder a perguntas como "Quem viu meu perfil?" em menos de um segundo.

Essa biblioteca é chamada de Pinot (um sistema OLAP). Mas, como em qualquer cidade grande, problemas acontecem: às vezes um servidor fica doente, o tráfego explode, ou eles precisam fazer obras na estrada (atualizações de software). Se a biblioteca não for resiliente, tudo para e os usuários ficam frustrados.

Este artigo conta como a equipe do LinkedIn construiu quatro "superpoderes" para proteger essa biblioteca, garantindo que ela nunca pare, mesmo quando as coisas dão errado. Vamos usar analogias simples para entender cada um:

1. O Guardião de Orçamento (QWI - Query Workload Isolation)

O Problema: Imagine que a biblioteca é um restaurante comunitário onde todos compartilham as mesmas panelas e fogões. De repente, um cliente (um "vizinho barulhento") pede uma sopa que leva 2 horas para cozinhar e ocupa todo o fogão. Os outros clientes, que só queriam um café rápido, ficam esperando horas e o serviço para.

A Solução: O Guardião de Orçamento é como um gerente que dá a cada grupo de clientes um "orçamento" de tempo de fogão e espaço na mesa.

• Se um grupo de clientes começa a pedir coisas que gastam demais do orçamento deles, o gerente corta o serviço na hora, antes que eles estraguem o fogão para os outros.
• Isso é feito de forma tão rápida e inteligente que o restaurante continua funcionando perfeitamente para quem está dentro do orçamento, sem quase nenhum custo extra de energia.

2. O Arquiteto à Prova de Desastres (Zone Aware Placement)

O Problema: Imagine que a biblioteca tem várias cópias dos mesmos livros espalhadas por diferentes prédios. Se todos os prédios estiverem em uma única rua e houver um incêndio nessa rua, todos os livros somem. Ou, se eles precisarem reformar uma rua inteira, a biblioteca fica vazia.

A Solução: O Arquiteto garante que as cópias dos livros estejam espalhadas por bairros diferentes (zonas de manutenção).

• Ele usa um algoritmo inteligente para garantir que, se um bairro inteiro for desligado para reforma ou se um prédio cair, a biblioteca ainda tenha cópias suficientes em outros bairros para continuar funcionando.
• Além disso, quando eles precisam mudar os livros de lugar (rebalanceamento), eles fazem isso de forma "sem impacto": tiram os livros da prateleira apenas quando ninguém está lendo, garantindo que o serviço nunca pare durante a mudança.

3. O GPS Inteligente de Tráfego (Adaptive Server Selection)

O Problema: Imagine que você é um entregador (o "Broker") que precisa pegar pacotes em vários armazéns (os "Servidores") e trazer de volta. O sistema antigo era como um GPS que mandava todos os entregadores para o mesmo armazém, apenas porque era o "próximo na fila". Se aquele armazém estivesse com o elevador quebrado ou cheio de gente, todos os entregadores ficariam presos lá, atrasando tudo.

A Solução: O GPS Inteligente olha em tempo real para cada armazém.

• Ele vê qual armazém está lento, qual está cheio e qual está rápido.
• Se um armazém começa a demorar, o GPS imediatamente manda os próximos entregadores para um armazém vizinho que está livre, sem esperar o primeiro terminar.
• Isso é feito de forma tão suave que evita que todos os entregadores corram para o mesmo lugar de uma vez só (evitando o efeito manada), mantendo o tráfego fluido.

4. O Equilíbrio Perfeito (Impact-Free Rebalancing)

O Problema: Às vezes, a biblioteca precisa crescer (adicionar mais prateleiras) ou encolher. Fazer isso enquanto as pessoas estão lendo pode causar caos, como tirar livros das mãos dos leitores para movê-los.

A Solução: Eles criaram um método de "troca suave".

• Antes de mover um livro pesado, eles garantem que ninguém esteja lendo aquele livro naquele momento.
• Eles movem os livros em pequenos passos, garantindo que sempre haja pelo menos uma cópia disponível em outro lugar antes de tirar a cópia antiga. É como trocar de pneu em um carro que está andando, mas feito de forma que o carro nem sinta que o pneu foi trocado.

Resumo Final

Esses quatro mecanismos funcionam juntos como um sistema imunológico para a infraestrutura de dados do LinkedIn:

1. Isolam os problemas para que um cliente ruim não afete os bons.
2. Espalham os dados para que um desastre local não pare tudo.
3. Desviam o tráfego de servidores lentos automaticamente.
4. Movem os dados sem interromper o serviço.

O resultado? O LinkedIn consegue lidar com petabytes de dados (bilhões de gigabytes) e milhões de perguntas por segundo, mantendo a velocidade e a estabilidade, mesmo quando a infraestrutura sofre falhas ou mudanças constantes. É a engenharia por trás de uma experiência de usuário que parece mágica, mas é, na verdade, muito resiliente.

Resumo técnico

Resumo Técnico: Aprimorando a Resiliência de OLAP no LinkedIn

1. Problema e Contexto

Os sistemas de armazenamento de dados OLAP (Processamento Analítico Online) em tempo real são infraestrutura crítica para empresas modernas, suportando análises interativas em conjuntos de dados na escala de petabytes com requisitos de latência subsegundo. No entanto, à medida que esses sistemas se tornam centrais nas arquiteturas de serviço, manter SLAs (Acordos de Nível de Serviço) estritos sob falhas, picos de carga e alterações no cluster tornou-se tão importante quanto o desempenho bruto.

O Apache Pinot (sistema OLAP distribuído usado pelo LinkedIn) enfrenta desafios específicos em ambientes de produção de grande escala:

• Problema do "Vizinho Barulhento" (Noisy Neighbor): Em clusters compartilhados, consultas complexas e pesadas podem saturar recursos (CPU e memória), degradando o desempenho de outras cargas de trabalho co-localizadas.
• Impacto de Rebalanceamento: Operações rotineiras (como upgrades, expansão de capacidade ou recuperação de falhas) exigem redistribuição de dados. Se não forem feitas com cuidado, podem causar latência elevada ou indisponibilidade de dados.
• Falhas Correlacionadas: A falta de consciência sobre zonas de manutenção (fault domains) pode levar à perda de múltiplas réplicas de um segmento simultaneamente durante manutenções planejadas.
• Seleção de Servidores Rígida: Estratégias de roteamento tradicionais (como round-robin dentro de grupos de réplicas) não conseguem evitar nós lentos ou falhos em tempo real, degradando a latência geral (P95/P99) devido ao efeito de "cauda longa".

2. Metodologia e Soluções Propostas

O artigo apresenta um conjunto de quatro mecanismos desenvolvidos para o Apache Pinot que formam um quadro holístico de resiliência:

2.1. Query Workload Isolation (QWI) - Isolamento de Carga de Consulta

O QWI introduz orçamentação de recursos (CPU e memória) ao nível da carga de trabalho, não apenas por consulta.

• Arquitetura: Modela cada carga de trabalho como uma entidade de primeira classe com orçamentos propagados entre os Brokers (entrada) e Servers (processamento).
• Contabilidade de Recursos: Utiliza uma abordagem baseada em sampling (amostragem) sem bloqueio (lock-free) para medir o consumo de CPU e memória por consulta com precisão de sub-milissegundo e sobrecarga mínima (<1%).
• Aplicação de Limites:
  • Nível de Consulta: Encerra consultas "descontroladas" que ameaçam a estabilidade do sistema (ex: uso de heap > 85%).
  • Nível de Carga de Trabalho: Rejeita novas consultas se a carga de trabalho exceder seu orçamento, garantindo isolamento justo entre tenants.
• Vantagem: Permite que cargas de trabalho heterogêneas compartilhem o mesmo cluster sem violar SLAs de latência umas das outras.

2.2. Consciência de Zona de Manutenção (Maintenance Zone Awareness)

Este mecanismo garante que as réplicas de dados sejam distribuídas de forma a resistir a falhas em zonas inteiras (ex: racks, zonas de disponibilidade).

• Algoritmo de Atribuição: Utiliza um algoritmo guloso (greedy) que realiza trocas de servidores para garantir que, em qualquer grupo de réplicas espelhadas (Mirror Server Sets), as instâncias estejam distribuídas por diferentes Zonas de Manutenção (MZs).
• Garantia: Se uma zona inteira for drenada para manutenção, o sistema continua servindo consultas sem perda de dados, pois no máximo uma réplica de cada segmento é perdida (respeitando o fator de replicação).
• Correção: O algoritmo prova convergência para um estado válido mesmo após eventos de escalonamento ou troca de nós, minimizando a movimentação de dados.

2.3. Rebalanceamento sem Impacto (Impact-Free Rebalancing)

Um procedimento para redistribuir dados durante alterações no cluster sem degradar o SLA de consultas.

• Estratégia de Drenagem: Em vez de limitar a velocidade de download de dados (o que causaria lentidão), o sistema drena o tráfego de consultas de um host antes de mover grandes volumes de segmentos para ele.
• Fluxo de Estado: O algoritmo alterna entre "Passos de Rebalanceamento" (drenar host, mover dados, reativar) e "Passos de Progresso" (mover pequenos incrementos de dados quando nenhum host pode ser drenado totalmente sem violar a disponibilidade de réplicas).
• Segurança: Garante que o número de réplicas disponíveis nunca caia abaixo de um limite configurável durante o processo.

2.4. Seleção Adaptativa de Servidores (Adaptive Server Selection - ADSS)

Substitui o roteamento estático por uma seleção dinâmica baseada em sinais de carga em tempo real.

• Mecanismo: Os Brokers mantêm pontuações locais para cada servidor dentro de um Mirror Server Set (MSS) com base em:
  1. Solicitações em andamento (in-flight).
  2. Latência média móvel exponencial (EMA).
  3. Um modelo híbrido que estima a profundidade da fila.
• Política de Seleção: Utiliza uma função de Softmax probabilística para evitar oscilações sincronizadas (quando todos os brokers escolhem o mesmo "melhor" servidor ao mesmo tempo), distribuindo o tráfego de forma inteligente.
• Objetivo: Evitar nós lentos ou falhos instantaneamente, mantendo a latência baixa mesmo durante falhas parciais.

3. Resultados e Avaliação

Os mecanismos foram implantados e avaliados em produção no LinkedIn, abrangendo ~200 clusters, mais de 10.000 pods de servidores e ~10 PB de dados.

• QWI (Isolamento):
  • Sobrecarga: Adicionou menos de 1% de CPU e ~0,5 GB de heap, sem impacto na latência P99.
  • Eficácia: Em testes de estresse, cargas de trabalho pesadas foram contidas em seus orçamentos, permitindo que cargas sensíveis à latência mantivessem latência P95 estável (~500ms), enquanto sem QWI a latência degradava para >6 segundos.
• MZ e Rebalanceamento:
  • Disponibilidade: Sustentou 99,9% de disponibilidade apesar de churn diário de nós de até 7%.
  • Impacto Zero: A migração de 10 PB de dados para infraestrutura nativa de nuvem foi concluída em 6 meses sem violação única de SLA. O drenagem de zonas de manutenção não impactou a completude ou latência das consultas.
• ADSS (Seleção Adaptativa):
  • Latência: Redução de ~9% na latência P98 em condições normais.
  • Resiliência: Em incidentes de lentidão de servidor (ex: má configuração de JVM), o sistema redirecionou o tráfego em segundos, contendo a degradação de latência para <10% (vs. 33% no roteamento padrão).
  • Operacional: Redução de 97% em alertas de servidores lentos e redução de 89% nas horas de engenharia dedicadas a investigações de lentidão.

4. Contribuições Principais

1. Orçamentação de Recursos em Tempo Real: Introdução de contabilidade de CPU/memória por carga de trabalho com enforcement sub-milissegundo e sobrecarga insignificante em um sistema OLAP distribuído.
2. Algoritmo de Colocação Tolerante a Falhas: Um algoritmo provado matematicamente que garante a distribuição de réplicas através de domínios de falha durante operações de ciclo de vida do cluster, com movimentação mínima de dados.
3. Rebalanceamento Sem Interrupção: Um protocolo de transição de estado que garante a continuidade do serviço durante a redistribuição massiva de dados, drenando tráfego antes de mover dados substanciais.
4. Roteamento Adaptativo Descentralizado: Aplicação bem-sucedida de seleção de réplicas adaptativa (inspirada em sistemas como C3) em OLAP, utilizando sinais locais para evitar nós degradados sem coordenação centralizada complexa.

5. Significado e Impacto

Este trabalho demonstra que é possível operar sistemas OLAP de alta escala com requisitos de latência subsegundo em ambientes de nuvem dinâmicos e falhos. Ao combinar isolamento de recursos, consciência de topologia de falhas e roteamento adaptativo, o LinkedIn conseguiu transformar o Apache Pinot em uma plataforma robusta capaz de suportar aplicações críticas (como "Quem viu meu perfil" e insights de talentos) com alta disponibilidade e estabilidade de latência, mesmo diante de falhas de hardware, picos de carga e operações de manutenção contínuas. As soluções apresentadas são genéricas e aplicáveis a outros sistemas OLAP modernos.