Amazon est revenu aujourd’hui sur l’incident qui a touché ses Web Services dans la nuit de mardi à mercredi. Il s’agissait bien d’une erreur humaine : une instruction malencontreuse a été envoyée pendant qu’une équipe cherchait à éliminer un autre problème.
Quelques serveurs vous manquent et tout est dépeuplé. C’est la mésaventure d’Amazon et de nombreux utilisateurs de ses services, plusieurs heures durant en début de nuit mardi. Un centre de données en Virginie a provoqué une réaction en chaine, privant de connexion des sites, applications, services et nombreux objets connectés qui nécessitaient un accès à AWS.
Deux sous-systèmes arrêtés, plus d'Amazon S3
Dans un billet technique publié aujourd’hui, la firme revient sur cet incident. Elle explique que l’équipe S3 (Simple Storage Service) travaillait à la résolution d’un problème qui touchait le système de facturation mardi après-midi. Normalement, elle devait lancer une commande qui aurait dû retirer quelques serveurs « dans l’un des sous-systèmes S3 utilisés pour le processus de facturation ». C’est évidemment là que les choses ont dérapé, une erreur dans la commande modifiant le périmètre de son exécution.
Dans la foulée malheureusement, deux autres sous-systèmes ont été touchés, dont un d’indexation qui s’occupait des métadonnées et des informations de géolocalisation de tous les objets S3 dans la région de Virginie. Plus précisément, il s’occupe de l’ensemble des requêtes GET, LIST, PUT et DELETE pour ces objets, empêchant de nombreuses opérations d’être réalisées.
L’autre sous-système est celui qui aura donné le plus de fil à retordre aux équipes techniques. Il était en charge de toutes les allocations pour les nouveaux objets. Il est notamment utilisé pour allouer du stockage lors des requêtes PUT. Or, sans le sous-système d’indexation, il ne peut pas fonctionner.
À ce stade, la seule solution était de lancer un redémarrage complet des sous-systèmes concernés. Évidemment, durant cette opération, Amazon S3 était incapable de s’occuper des requêtes générées par l’ensemble des clients. Toutes les API S3 étaient inaccessibles, provoquant dans la région US-EAST-1 des blocages pour la console S3, des nouvelles instances Elastic Compute Cloud (EC2), les volumes Elastic Block Store (EBS) et AWS Lambda.
Amazon n'a pas pris en compte la masse croissantes des données
Pourtant, ce type d’infrastructure de cloud est pensé pour un uptime de 99,99 %. Que s’est-il passé pour que les opérations créent une telle coupure de plusieurs heures ? Le redémarrage aurait en fait dû prendre bien moins longtemps. Mais comme l’avoue Amazon, cette opération pour une région entière n’avait pas été refaite « depuis bien des années ».
C’est ce laps de temps qui a provoqué la pagaille. La firme explique : « S3 a bénéficié d’une large croissance pendant les dernières années et le processus redémarrant ces services et exécutant les tests nécessaires de sécurité pour valider l’intégrité des métadonnées a pris plus longtemps que prévu ». En clair, le temps prévu ne tenait pas compte de la masse imposante de données accumulées en quelques années.
En temps normal, le redémarrage n’aurait dû être que partiel, l’outil utilisé ne retirant que les parties nécessaires. Il s’est cependant montré trop zélé. Amazon indique que ce problème ne devrait plus se représenter : « Nous avons modifié cet outil pour retirer la capacité de stockage plus lentement et avons ajouté des mesures de sauvegarde pour empêcher la capacité d’être supprimée si cela devait entrainer un sous-système en-dessous du seuil de stockage requis ».
Rappel brutal qu'un objet connecté est... connecté
Il est clair que l’entreprise a appris de sa bourde, puisque l’incident a mis en lumière les faiblesses lors du processus de restauration. Durant les premières heures, elle n’était même pas capable de communiquer sur le statut de ses services, la page consacrée s’appuyant sur… Amazon S3. Le problème aura en tout eu le mérite de faire office de piqure de rappel, et pas seulement pour les équipes techniques de l’entreprise.
De très nombreux services ont besoin d’Amazon en effet, actuellement leader dans l’hébergement de type cloud, même si Microsoft comble rapidement l’écart avec Azure. Slack, Trello, Quora, Business Insider, Coursera, Time Inc, Giphy, Instagram, IMDb, American Airlines, Imgur et tous les sites créés avec la plateforme Wix étaient ainsi inaccessibles, pour ne citer qu’eux.
Parallèlement, de nombreux utilisateurs d’objets connectés ont été dans l’impossibilité d’utiliser certaines fonctions. Ce n’est peut-être pas grand-chose quand on parle d’un téléviseur, mais un four qui ne s’arrête plus, des lumières qui ne veulent pas s’allumer ou une porte d’entrée qui ne remplit pas son rôle sont des soucis autrement plus sérieux. Là encore, les utilisateurs se sont vu rappeler que ces appareils, aussi pratiques soient-ils, sont dépendants de serveurs distants, et qui peuvent donc être inaccessibles eux aussi.
Commentaires (41)
#1
root@AWS~# rm -rf /
Hé merde…..
#2
Ah le cloud, trop bien…
#3
putain de stagiaires !
#4
Ces 3 premiers commentaires…Changez pas la commu NXi, c’est pour ça que je vous adore " />
C’est une des raisons faisant que j’apprécie pas les objets connectés : j’ai l’air d’un arriéré pour certains jeunes ne mangeant que de l’appareil connecté, mais au moins sans Internet ça marche !
#5
#6
#7
Et un léger manque de calibration
Faut appeller Garrus " />
#8
99.99% d’uptime ce qui donne:
Pour une heure de panne il doit y avoir 416 jours d’uptime… On devrait donc être tranquille pour quelques années…ou pas.
#9
Ben là il y eut plusieurs heures !
#10
Voyons le côté positif, au moins les factures pourront être envoyées.
#11
#12
La panne accidentelle,n’est qu’une petite partie de l’iceberg.
En règle générale ce type de produit dépendant d’un serveur est un véritable risque sur la pérennité du produit dont on est pas vraiment propriétaire.
En plus de la panne, on peut citer le piratage du serveur (çà arrive…), la disparition du fournisseur (serveur), le changement de protocole d’accès, les modifications financières de l’accès, la revente d’informations personnelles, etc…
#13
99,99% => Seulement !!!
Je pensais sincèrement qu’ils visaient plus haut pour ce genre de service …
#14
Là encore, les utilisateurs se sont vu rappeler que ces appareils, aussi
pratiques soient-ils, sont dépendants de serveurs distants, et qui
peuvent donc être inaccessibles eux aussi.
Et donc qu’il est aussi possible de développer des modes dégradés permettant d’utiliser au minimum l’objet sans connexion, en attendant le retour du service…
#15
#16
Non mais c’est bien, je vois que je ne suis pas le seul a avoir été traumatisé…. " />
#17
#18
Et pourtant il y a eu un tweet de quelqu’un se plaignant de ne plus pouvoir éteindre son four
#19
Étonnant qu’on puisse via une simple commande péter tout ça. Que font les ingénieurs de là-bas ? Ils devraient avoir anticipé ce genre de problème quand même !
Surtout que les dépendances devaient être connus. Maintenant, moi qui me demandais tout le temps à quoi servaient les tests de reboot annuels de services, je comprends mieux. Ils auraient pu éviter que ça prenne autant de temps et l’auraient fait dans un environnement contrôlé xD
#20
#21
#22
La page de Wiki qui explique ça était sur S3 !
#23
+1
#24
C’est pensé pour un uptime de 99.99% mais Amazon n’en garanti aucun. Ce qui est marrant après ce sont les infogérants qui eux garantissent un uptime sur AWS. Certains doivent s’en mordre les doigts actuellement.
#25
#26
Aux US t’as du 110V, le 16A c’est pour le grille pain 😁
#27
Incroyable malgré tout qu’il n’y ait pas une redondance qui permette justement d’éviter ce genre de désagréments, ça fait peur quand même de la part d’un des leaders de services de cloud computing…
#28
#29
Parce qu’il y’a des objets connectés qui ne fonctionne plus s’ils ne sont pas connecté au net ?
Je veux dire un four qui ne peut plus se mettre à l’heure ou récupérer ta liste de courses, on s’en fiche mais qui ne veut même pas démarrer car il n’a plus accès au serveur…
Et c’est 100x pire pour la porte d’entrée mais qui connecte l’ouverture de sa porte à internet ?
#30
Après la suppression de la base de données chez GitLab, la fuite de données chez Cloudflare et la panne chez AWS, à qui le tour ? " />
#31
Après la mis en examen de Fillon,la probable mis en examen de Le Pen. À qui le tour?
On vit une sacrée époque,quel est l’intérêt d’avoir un four connecté ?
#32
#33
Faut pas déconner quand même ;)
#34
#35
Comme disait la grand mère de Scotty: “Plus on complique une tuyauterie plus elle se bouche facilement”.
#36
#37
Autant couper le général => reboot maison.
#38
#39
Tu l’as pas mis sur onduleur ? " />
#40
Si tu savais…
J’en ai mal au visage à force de me facepalm avec tout ce que je vois au taff.
#41