Skip to content

SLO/SLI 与错误预算实战蓝图:把可靠性承诺变成发布决策

17 min read

SLO/SLI 与错误预算实战蓝图:把可靠性承诺变成发布决策

很多团队已经在仪表盘上写了 SLO,也能计算错误预算,但上线节奏依然时快时慢,事故后仍靠临场拍板。根因通常不是公式不对,而是治理机制没有落地:指标口径不稳定、预算状态不绑定动作、告警不映射流程、复盘不回灌策略。结果就是“有指标,没决策;有数据,没约束”。

SLO/SLI/错误预算的真正价值,不在于生成更多报表,而在于让组织在压力场景下仍能做出一致、可解释、可审计的发布与恢复决策。本文从定义、建模、策略、自动化、组织治理五个层面,给出可直接执行的工程实践。

1. 先统一术语:避免同词不同义

在跨团队协作中,术语不一致会直接造成治理失败。建议先达成最小共识:

  • SLI(Service Level Indicator):可度量的服务表现信号。
  • SLO(Service Level Objective):在窗口期内对 SLI 的目标承诺。
  • 错误预算(Error Budget):允许不达标的“失败空间”,本质是 1 - SLO

关键在于把“承诺对象”和“统计边界”写清楚。比如支付链路 SLO 的承诺对象是终端用户,不是内部 RPC;统计边界是端到端事务,而不是单服务成功率。边界不清会导致“平台看起来健康,用户仍在失败”的假象。

2. 选择关键用户旅程:从业务价值反推指标

SLO 不能覆盖所有功能,必须优先覆盖高价值旅程。可用一个三维模型筛选:

  1. 业务损失:失败会造成多大收入、口碑或合规损失。
  2. 用户频次:该旅程发生频率是否足够高。
  3. 可治理性:团队是否能通过工程手段持续改进。

典型关键旅程包括登录、搜索、下单、支付、消息投递、数据写入确认。每条旅程都应定义“成功事件”和“失败事件”,并明确异常是否可重试、是否可补偿、是否可接受延迟成功。

3. SLI 建模:稳定口径优先于复杂模型

一个可治理的 SLI 至少具备四个属性:

  • 稳定:跨版本可比,不因实现细节频繁变更。
  • 可回放:可通过日志或追踪回溯历史样本。
  • 可解释:业务与技术都能理解其含义。
  • 可自动化:可直接驱动告警和门禁。

建议按层次建模:

  1. 可用性 SLI:成功请求数 / 总请求数。
  2. 时延 SLI:满足阈值的请求占比,或分位阈值达标率。
  3. 正确性 SLI:业务语义正确事件占比。
  4. 新鲜度 SLI:数据在目标时窗内到达或更新的比例。

很多团队只做前两类,忽视正确性,容易出现“HTTP 200 但业务失败”的伪健康。对关键交易系统,正确性 SLI 通常比纯可用性更有治理价值。

4. 好坏事件定义:把灰色地带前置约定

争议最多的地方通常是“这个事件到底算成功还是失败”。建议在规则中显式写明:

  • 超时后重试成功是否计入成功。
  • 幂等冲突是否计入失败。
  • 第三方依赖失败是否纳入端到端 SLO。
  • 用户主动取消是否剔除。

没有前置约定,事故期间会陷入统计争论,既影响响应速度,也损害跨团队信任。实践中可并行维护两套视角:用户端到端视角用于真实体验评估;可控责任域视角用于内部治理改进。

5. SLO 目标设定:基于历史能力与业务代价

目标值不能拍脑袋,也不能盲目追求“全都四个九”。建议用以下步骤设定:

  1. 回看 90-180 天历史数据,识别自然波动和故障分布。
  2. 评估失败代价,确认不同旅程的业务优先级。
  3. 与研发投入能力对齐,避免承诺超出治理能力。
  4. 采用分阶段目标,从可达成值逐步提升。

例如支付确认链路可先以 99.9% 起步,稳定后再评估 99.95%;而后台报表可采用更宽松目标。SLO 的意义是引导资源投入,而不是制造形式化高目标。

6. 窗口设计:单窗口容易失真,多窗口更稳健

只使用 30 天窗口会导致“短期风险被掩盖”,只使用小时级窗口又会导致“抖动过度反应”。建议采用多窗口组合:

  • 长窗口(30 天):用于对外承诺和季度治理。
  • 中窗口(7 天):用于周度节奏和趋势判断。
  • 短窗口(24 小时或发布窗口):用于当班发布决策。

三层窗口并行后,团队可以同时看到长期健康度和短期风险变化,避免在波动中做激进决策。

7. 错误预算策略:预算状态必须绑定动作

错误预算最常见的失败是“只看不管”。建议明确三档状态及动作:

  • 绿色:预算充足,允许常规发布与常规灰度。
  • 黄色:预算消耗加速,缩小变更批次,延长观察窗口。
  • 红色:预算接近或超过阈值,冻结高风险变更,优先修复可靠性债务。

每档状态要写入审批规则、例外条件和恢复条件。例外发布必须留下风险说明、审批记录和回退方案,确保可审计。只有这样,预算才是治理工具而非装饰指标。

8. Burn Rate 告警:提前识别预算失控

Burn Rate 用来衡量“当前失败速度是否超过预算允许速度”。它能在绝对错误率尚不高时,提前发现预算风险。

实战建议采用双组窗口:

  1. 5 分钟 + 1 小时:抓突发回归和发布事故。
  2. 30 分钟 + 6 小时:抓慢性退化和依赖抖动。

短窗口提升敏感度,长窗口抑制噪声。只有两者同时触发才升级高优先级告警,能显著减少误报。告警内容应包含预算剩余、最近变更、关键面板和 runbook,确保值班可立即行动。

9. 决策闭环:从指标到动作的最短路径

flowchart TD
    A[定义关键用户旅程] --> B[建模SLI与好坏事件]
    B --> C[设定SLO与窗口策略]
    C --> D[计算错误预算状态]
    D --> E{预算状态}
    E -- 绿色 --> F[常规发布与常规观测]
    E -- 黄色 --> G[减速发布 延长灰度 加强告警]
    E -- 红色 --> H[冻结高风险变更 优先修复债务]
    F --> I[持续评估]
    G --> I
    H --> I
    I --> J[复盘回灌规则与阈值]
    J --> B

上图体现一个核心思想:SLO 治理不是线性流程,而是持续回路。每次事故、每次误报、每次门禁拦截都应回灌建模与阈值,体系才能不断贴近真实业务。

10. 与 CI/CD 集成:把策略变成系统行为

要让 SLO 真正约束发布,必须把预算策略写进流水线。推荐三道门:

  1. 预发布门:检查最近窗口 SLI 是否在安全区间。
  2. 灰度门:每次放量前验证关键 SLI 与依赖水位。
  3. 全量门:确认预算消耗速率未异常上升。

门禁失败后需要自动动作:暂停放量、建议回滚、通知值班、生成事故记录。自动动作不能替代人工判断,但可以显著降低沟通延迟和误操作概率。

11. 跨团队场景:统一规则优先于统一技术栈

在微服务和多团队环境下,SLO 落地最大的障碍常是边界不一致。建议建立“服务级别合同”机制,明确:

  • 上下游接口的可用性与时延承诺。
  • 依赖失效时的降级策略与责任边界。
  • 变更窗口与联合值班联系人。

这样做的价值是把“口头协作”变成“制度协作”。当上游预算告急时,下游团队能够及时收紧变更;当下游依赖抖动时,上游能快速切换降级路径。

12. 复盘机制:预算异常必须有解释与改进

预算异常不是单纯统计事件,而是治理信号。每次异常都应回答三个问题:

  1. 这次异常是否可被更早检测。
  2. 这次异常是否存在可自动化止血动作。
  3. 这次异常是否暴露了策略缺口(阈值、口径、门禁)。

复盘产出必须包含改进项 owner、截止时间、验收标准,并纳入可靠性看板跟踪。若预算异常长期重复而无机制变化,说明治理体系已失效。

13. 指标体系:同时衡量“结果”与“执行质量”

仅看 SLO 达标率可能掩盖执行问题。建议建立两类指标:

结果指标:

  • SLO 达标率
  • 错误预算消耗速率
  • 关键旅程失败分钟数
  • 预算红色状态时长

执行指标:

  • 门禁拦截命中率
  • 告警误报率与漏报率
  • 预算异常复盘及时率
  • 改进项按期完成率
  • 回滚自动化成功率

执行指标稳定后,结果指标通常会逐季改善。没有执行质量监控,SLO 很容易退化为展示层指标。

14. 30/60/90 天实施计划

0-30 天:建立基础模型

  • 确认关键用户旅程与服务目录。
  • 完成首版 SLI 定义和好坏事件规则。
  • 为核心服务设定首版 SLO 与预算看板。

31-60 天:打通告警与门禁

  • 上线 Burn Rate 告警策略。
  • 把预算状态接入灰度与发布门禁。
  • 建立预算异常复盘流程与模板。

61-90 天:进入治理稳定期

  • 执行至少两轮故障演练验证策略有效性。
  • 调整目标值和阈值,降低误报与漏报。
  • 建立季度评审:目标是否合理、债务是否下降、规则是否可持续。

这个路径强调“先让规则跑起来,再追求精细化建模”。过早追求全覆盖会导致复杂度高、协作成本大、落地效果差。

15. 常见反模式与纠偏

反模式一:把 SLO 当绩效考核工具,导致团队优化口径而非优化系统。
纠偏:SLO 用于治理决策,绩效评估看改进行动和协作质量。

反模式二:所有服务统一高目标值。
纠偏:按业务价值与系统能力分层设目标。

反模式三:预算告急仍照常发布。
纠偏:预算状态必须硬绑定门禁动作。

反模式四:只监控可用性,不监控正确性。
纠偏:关键交易必须补齐业务正确性 SLI。

反模式五:预算异常后不复盘。
纠偏:异常即触发复盘,改进项纳入看板并周度追踪。

16. 核查清单

  • 关键用户旅程与边界定义清晰。
  • SLI 规则稳定、可回放、可自动化。
  • SLO 目标值基于历史能力与业务代价设定。
  • 预算状态与发布动作已绑定。
  • Burn Rate 告警采用多窗口策略并具备可执行上下文。
  • CI/CD 门禁可根据预算状态自动决策。
  • 预算异常复盘机制与改进追踪已生效。

17. 结语

SLO/SLI/错误预算不是“可靠性报告模板”,而是组织在复杂系统中保持稳定交付节奏的决策系统。它要求我们把经验转成规则,把规则转成自动化,把自动化放进日常工程流程。真正成熟的团队,不是从不出错,而是在预算压力、业务压力和发布压力同时存在时,依然能够做出一致、透明、可追溯的决策。

18. 数值算例:把抽象概念变成可执行阈值

很多团队理解错误预算概念,但在日常值班中不知道“到底算不算危险”。最有效的方法是做标准算例,并把结果写进 runbook。
假设某核心交易链路 SLO 为 99.9%,统计窗口 30 天。则 30 天允许失败比例为 0.1%。若 30 天总请求量约 1 亿次,则允许失败请求总量为 10 万次。
进一步拆到日维度,平均每天允许失败约 3333 次;拆到小时级约 139 次。注意这只是平均预算,不代表每小时都可等量消费,因此还需要 Burn Rate 判断当前消耗速度是否异常。
例如过去 5 分钟失败请求达到 300 次,而这 5 分钟按平均预算只允许约 0.48 次,则短窗口 Burn Rate 已远超可接受范围,应立即触发高优先级告警。
再比如某天发生一次发布回归,30 分钟内消耗了当月预算的 20%。即使服务随后恢复,也应进入黄色或红色治理状态,限制高风险发布,直到预算消耗速率恢复到可控区间。
把这类算例固化后,值班人员无需临场心算,能直接依据规则判断是否需要减速发布、暂停放量或回滚。

19. 分层 SLO:平台级、服务级、用户旅程级协同

单一层级 SLO 往往无法解释复杂系统。实践中建议至少建立三层:
第一层是用户旅程级 SLO,直接反映终端体验;第二层是服务级 SLO,用于定位责任域和驱动技术改进;第三层是平台级 SLO,保障公共基础能力稳定。
如果只有服务级 SLO,可能出现“所有服务都达标但用户旅程不达标”的情况,因为跨服务耦合损耗被掩盖。反过来如果只有旅程级 SLO,团队定位速度会下降,难以分解治理责任。
分层策略可以这样落地:先定义 3-5 条关键旅程 SLO,再为其依赖的关键服务建立映射关系,并将平台能力(网关、缓存、消息、数据库)定义为独立基础 SLO。
当旅程告警触发时,值班先看旅程级影响,再按映射下钻服务级与平台级指标,定位路径会更清晰。
对于多租户系统,还可在旅程层追加租户分桶视角,识别“全局健康但某大客户受损”的局部问题。

20. 预算恢复策略:红色状态如何安全退出

很多组织定义了预算红色状态,却没有定义“怎样退出红色”。没有退出机制,团队要么长期冻结发布影响交付,要么在压力下提前解禁造成复发。
建议设定明确恢复条件,例如:连续 72 小时 Burn Rate 低于阈值、关键改进项完成并验证、最近两次灰度均在观察窗口内稳定。三项条件同时满足才恢复到黄色或绿色。
恢复流程应包含审批与证据:由服务 owner 提交恢复申请,附关键指标趋势、改进项验证结果、风险评估;由值班负责人和可靠性负责人共同确认。
此外,红色状态期间应执行“债务优先清单”,优先完成会显著降低复发概率的事项,例如回滚自动化、重试策略修正、关键依赖隔离、告警误报治理。
当组织把“恢复红色”视作一次小型治理项目,而不是简单切换开关,预算策略才会真正形成长期约束力。

21. 组织运行节奏:没有会议机制,规则会自然失效

SLO 体系需要稳定节奏支撑。推荐三层会议机制:
周会聚焦运行态,复核预算趋势、门禁拦截、告警质量;月会聚焦改进态,复核异常复盘、债务清单、跨团队依赖问题;季度会聚焦战略态,评估目标值是否调整、资源是否匹配、治理优先级是否变化。
每层会议都要有固定产出:

  • 周会输出行动项和责任人;
  • 月会输出策略调整建议与执行计划;
  • 季度会输出目标与资源决策。
    如果会议只汇报不决策,SLO 会很快退化成“统计活动”。
    建议为每个关键服务指定 SLO steward(可由 SRE 或资深开发担任),负责维护指标口径、推动复盘闭环、协调跨团队依赖。这个角色不是额外官僚层,而是减少协作摩擦的关键节点。

22. 迁移策略:从“无 SLO”到“可治理 SLO”分三步走

遗留系统一次性全面改造通常成本过高,建议采用渐进迁移:
第一步,识别关键旅程并建立最小 SLI,只要可计算且可回放即可;
第二步,接入预算看板与 Burn Rate 告警,把异常可见化;
第三步,把预算状态接入发布门禁与复盘流程,形成治理闭环。
每一步都要设置可验收标准。例如第一步的标准是“关键旅程每日数据完整且可追溯”;第二步是“异常 5 分钟内可告警”;第三步是“预算红色时高风险发布自动受限”。
这种迁移方式能避免“大而全项目”长期悬而未决,也能让团队在每个阶段都看到确定收益。
当第一批核心服务跑通后,再逐步复制到其他服务线,效果通常优于全量同时推进。

23. 高价值补充:把正确性与数据质量纳入预算治理

许多 SLO 项目只关注可用性与时延,忽略正确性和数据质量,导致“系统快而错”。对交易、结算、风控、数据同步场景,这种遗漏风险极高。
建议为关键业务增加正确性预算,例如订单状态一致率、账务对账通过率、数据延迟入库比例。
这类预算通常消耗慢,但一旦超阈值影响深远,应设更严格的发布限制和更长的观察窗口。
此外,正确性异常往往需要跨天修复,因此复盘必须覆盖补偿流程、数据回放策略和用户通知策略,避免只修线上接口不修历史数据。
把正确性纳入 SLO 治理后,团队的可靠性视角会从“服务活着”升级为“业务正确地活着”。

24. 落地补充:给管理层可读、给工程师可执行的双视图报表

SLO 体系长期运行后,常见矛盾是“管理层看不懂工程细节,工程师不关心管理摘要”。解决方法不是做两套互不关联的报表,而是做同源双视图。
管理层视图聚焦三件事:关键旅程是否达标、预算风险是否上升、需要的资源决策是什么;工程视图聚焦三件事:哪条链路在消耗预算、哪个变更触发异常、下一步技术动作是什么。
两类视图共享同一数据源和同一口径,避免“会议里数字打架”。实践中可约定:任何升级决策都要同时附管理摘要和工程证据,前者确保优先级一致,后者确保动作可执行。
这种双视图机制能显著降低跨层沟通成本,尤其在预算红色阶段,能够让“为什么要暂停发布”从工程判断变成组织共识,从而减少无效争论和反复拉扯。

25. 长期维护建议:每半年做一次口径重估

业务变化会让原有 SLI 逐步失真。例如接口拆分后总请求量变化、客户端重试策略调整、链路新增异步阶段,这些都会影响历史可比性。
建议每半年做一次口径重估:检查事件定义是否仍代表用户体验,检查阈值是否仍匹配业务目标,检查门禁规则是否出现“过松”或“过严”。
重估不是推翻历史,而是在可追溯前提下升级规则。只要版本管理清晰、迁移说明完整,SLO 体系就能在业务演进中保持稳定有效。