Auth0是一家認(rèn)證�、授權(quán)和SSO服務(wù)提供商����。近期,Auth0完成將自身架構(gòu)從三家云提供商(即AWS�����、Azure和Google Cloud)轉(zhuǎn)向AWS一家���,這是因為它的服務(wù)越來越依賴于AWS服務(wù)?,F(xiàn)在��,Auth0的系統(tǒng)分布在4個AWS域(Region)中�,其中服務(wù)是跨區(qū)(Zone)復(fù)制的。
Auth0在設(shè)計上支持運行在本地部署和云上����。在過去的四年中,其系統(tǒng)擴(kuò)展到每月服務(wù)超過15億次登錄操作�,所提供的服務(wù)也從10種增加到30種。同時�,服務(wù)器數(shù)量從單個AWS域中的數(shù)十臺,增長到跨四個AWS域中的一萬多臺�。其架構(gòu)中包括了一個以提供各種服務(wù)自動擴(kuò)展組為后端的路由層,以及一個使用MongoDB����、Elasticsearch、Redis和PostgreSQL的存儲層�,該存儲層支持Kinesis流處理系統(tǒng)和RabbitMQ、SNS�、SQS等消息隊列。
最初����,Auth0架構(gòu)是跨Azure和AWS的����,還有一小部分部署在Google Cloud上����。Azure在一開始是作為主域,而AWS則用于故障轉(zhuǎn)移�����。之后�,二者的角色發(fā)生了互換。由于云間的故障轉(zhuǎn)移是基于DNS的�,這意味著TTL必須非常低,以使得客戶在故障轉(zhuǎn)移發(fā)生時可以快速切換��。據(jù)Auth0產(chǎn)品經(jīng)理Dirceu Tiegs在企業(yè)技術(shù)博客上撰文介紹����,“當(dāng)我們開始使用更多的AWS資源時,例如Kinesis和SQS等��,為保持兩個云服務(wù)提供商提供對等的特性���,我們遇到了一些麻煩”�。Azure確實曾提供類似于SQS的服務(wù)�,稱為Azure Service Bus。雖然博客中并未提及哪些AWS服務(wù)在Azure中缺失對等服務(wù)�����,但是存在一些情況使得特定AWS域中缺少服務(wù)����。為此,Auth0技術(shù)團(tuán)隊曾撰文介紹他們是如何使用替代服務(wù)的���。
Auth0在2016年曾發(fā)生了一次掉線故障�,它們部署在AWS上的VPN終端開始丟棄來自于Azure和GCE的網(wǎng)絡(luò)包��。當(dāng)時�,Auth0的數(shù)據(jù)庫集群使用了所有三家云服務(wù)提供商。由于存在上述問題���,導(dǎo)致AWS的主數(shù)據(jù)庫節(jié)點不能接收到來自于Azure的心跳網(wǎng)絡(luò)包����。隨后團(tuán)隊恢復(fù)嘗試服務(wù),所有集群節(jié)點將自身標(biāo)記為后備節(jié)點���,服務(wù)因而受到了影響���。DNS配置錯誤是導(dǎo)致問題的一個原因。由此���,團(tuán)隊最終決定將AWS作為首要的云服務(wù)提供商��,最小化部署在Azure的認(rèn)證服務(wù)支持�����,只是在AWS宕機(jī)時使用�。
在Auth0的AWS架構(gòu)中���,包括數(shù)據(jù)庫在內(nèi)的所有服務(wù)運行在同一個域(Region)的三個可用區(qū)(AZ����,Availability Zone)中��。如果一個AZ發(fā)生故障�����,那么其它兩個AZ將會繼續(xù)提供服務(wù)。如果整個域發(fā)生故障�����,那么AWS的DNS服務(wù)Route53就會更新網(wǎng)絡(luò)域名去指向另一個可用的域�����。一些服務(wù)相比于其它服務(wù)需要有更高的可用性保證���。例如,盡管基于Elasticsearch的用戶搜索服務(wù)可能會使用到一些過期的數(shù)據(jù)����,但是所有核心功能并不會受此影響。數(shù)據(jù)庫層在組成上包括了跨域的MongoDB集群���、用于PostgreSQL的RDS復(fù)制以及部署在每個域中的Elasticsearch集群�。
Auth0在2017年之前運行著自己的CDN����,之后轉(zhuǎn)移到使用CloudFront。企業(yè)自開發(fā)的CDN以Amazon S3為支持,使用Varnish和nginx構(gòu)建���。轉(zhuǎn)移到CloudFront使得企業(yè)降低了維護(hù)工作����,并且更易于配置����。
Auth0的監(jiān)控最初使用Pingdom實現(xiàn),此后企業(yè)開發(fā)了自己的健康檢查系統(tǒng)����,該系統(tǒng)運行node.js腳本,并通過Slack發(fā)布通知��。企業(yè)當(dāng)前的技術(shù)棧包括了Datadog����、CloudWatch、Pingdom和Sentinel��。時序度量由Datadog采集并發(fā)送給Slack�,其中一小部分發(fā)送給PagerDuty。Slack還用于實現(xiàn)符合ChatOps協(xié)作模型的任務(wù)自動化����。日志處理流水線使用Amazon Kinesis����、Elasticsearch和Kibana收集應(yīng)用日志�����。Sumologic用于記錄審計跟蹤數(shù)據(jù)和AWS生成的日志���。
