SLA (Service Level Agreement) từ lâu được xem là trụ cột trong vận hành hệ thống. Tuy nhiên, thực tế cho thấy nhiều hệ thống vẫn sụp đổ nghiêm trọng dù SLA được thiết lập rõ ràng. Vấn đề không nằm ở việc thiếu cam kết, mà ở cách chúng ta hiểu và sử dụng SLA.
SLA: Cam kết cần nhưng chưa đủ
SLA thường tập trung vào một chỉ số dễ đo lường: thời gian phục hồi. Điều này tạo ra cảm giác an toàn vì có một tiêu chuẩn rõ ràng để đánh giá hiệu suất. Tuy nhiên, SLA được xây dựng dựa trên giả định rằng các sự cố sẽ xảy ra trong phạm vi dự đoán được.
Khi hệ thống đối mặt với các sự cố bất thường – như lỗi lan truyền hoặc dữ liệu sai lệch – SLA trở nên không còn phù hợp. Nó không sai, nhưng không đủ để bao quát toàn bộ thực tế vận hành.
Khi hệ thống trở nên phức tạp
Các hệ thống hiện đại thường bao gồm nhiều dịch vụ phụ thuộc lẫn nhau. Một lỗi nhỏ ở một thành phần có thể nhanh chóng lan rộng, gây ra sự cố diện rộng.
- Phụ thuộc dịch vụ: tăng độ nhạy với lỗi
- Lỗi lan truyền: khuếch đại sự cố ban đầu
- Dữ liệu sai lệch: làm sai toàn bộ quyết định hệ thống
Trong hệ thống phức tạp, lỗi không còn là sự kiện cục bộ mà là hiện tượng lan truyền.
Khoảng trống của đo lường
SLA đo thời gian phục hồi nhưng không đo khả năng chống chịu. Đây là điểm mù nguy hiểm. Một hệ thống có thể phục hồi nhanh trong các tình huống quen thuộc nhưng sụp đổ hoàn toàn khi gặp lỗi hiếm.
Khả năng chống chịu (resilience) đòi hỏi hệ thống phải duy trì chức năng ngay cả khi một phần bị lỗi. Đây là một tiêu chí khó đo lường hơn, nhưng quan trọng hơn trong dài hạn.
Yếu tố con người: gốc rễ của vấn đề
Khi SLA trở thành KPI, đội ngũ vận hành dễ rơi vào tư duy tối ưu ngắn hạn: sửa lỗi nhanh để đạt chỉ tiêu. Điều này làm giảm động lực tìm hiểu nguyên nhân gốc rễ.
Hệ quả là các lỗi lặp lại, và tổ chức không thực sự tiến bộ dù có đầy đủ báo cáo và log.
Từ postmortem đến học tập thực sự
Postmortem là một công cụ quan trọng, nhưng chỉ có giá trị khi dẫn đến thay đổi cụ thể. Việc ghi lại sự cố mà không thay đổi hệ thống chỉ là hình thức.
- Phân tích lỗi: hiểu nguyên nhân
- Thay đổi hệ thống: hành động cụ thể
Nếu không có thay đổi, thì chưa có học tập.
Hệ thống phản giòn: bước tiến tiếp theo
Khái niệm phản giòn (anti-fragile) mô tả những hệ thống không chỉ chịu được lỗi mà còn trở nên mạnh hơn sau mỗi lần gặp lỗi.
Điều này đòi hỏi một cơ chế học bắt buộc: mỗi sự cố phải tạo ra ít nhất một cải tiến trong kiến trúc, monitoring hoặc quy trình ra quyết định.
Kết luận
SLA là cần thiết, nhưng không đủ để đảm bảo sự ổn định của hệ thống. Tổ chức cần chuyển từ tư duy phục hồi sang tư duy tiến hóa. Khi hệ thống học nhanh hơn tốc độ xảy ra lỗi, sự cố không còn là mối đe dọa mà trở thành nguồn lợi thế cạnh tranh.