“클라우드를 위한 카오스 엔지니어링” 애저 카오스 스튜디오 공개 프리뷰

마이크로소프트 애저(Azure) CTO 마크 루시노비치는 2021년 초 애저 아키텍처에 관한 정기적인 이그나이트(Ignite) 행사를 통해 애저 플랫폼의 결함 주입 툴인 카오스 스튜디오(Chaos Studio)를 공개했다. 넷플릭스가 도입한 카오스 몽키 개념을 기반으로 확산되고 있는 카오스 엔지니어링은 클라우드 규모의 애플리케이션이 실패할 때 정확히 어떤 일이 일어나는지를 개발자가 이해하는 데 도움이 된다. 
 

이제 마이크로소프트는 더 탄력적이고 더 나은 클라우드 애플리케이션을 제공하는 것을 목표로 이번 2021년 2차 이그나이트 행사에서 카오스 스튜디오의 첫 공개 프리뷰 버전을 공개한다. 필자는 프리뷰 공개에 앞서 마크 루시노비치와 만나 카오스 엔지니어링에 대한 애저의 접근 방법과 개발자가 이런 기술을 활용하는 방법에 관해 이야기를 나눴다. 
 

애저 클라우드에 혼돈 더하기 

애저의 카오스 엔지니어링은 새로운 것은 아니다. 루시노비치는 “거의 시작부터 애저에서 자체적인 카오스 엔지니어링을 해왔다”고 말했다. 그러나 서비스가 성장하면서 한때 특정 팀에서만 사용하던 툴이 애저를 개발하는 모든 사람들에게 필요한 툴이 됐다. 루시노비치는 “지난 몇 년 동안 카오스 엔지니어링에 투입되는 노력을 서비스 전반에 적용할 수 있는 하나의 공통된 툴, 공통 프레임워크 서비스로 통합해야 한다는 것을 알고 있었다”고 말했다. 

그 공통 툴이 카오스 스튜디오의 기반이 됐다. 루시노비치는 카오스 스튜디오가 시작은 내부 툴이었지만, 항상 고객 대면 애플리케이션이 될 것이라는 점을 염두에 뒀다고 강조했다. 고객에게 필요한 것과 마이크로소프트에 필요한 것은 다를 수 있지만, 마이크로소프트가 얻은 교훈은 스스로든 고객이든 모든 사용자 관점에서 애저를 더 개선하는 데 도움이 될 수 있다. 루시노비치는 “고객을 위해 운영되는 서비스의 혜택을 누리는 것 외에, 이를 기반으로 고객과 함께 생태계를 구축할 수 있다. 이 확장성을 통해 생태계 전반, 그리고 내부적으로도 활용할 수 있는 결함 주입이 가능해진다”고 설명했다.
 

 

애저 카오스 스튜디오의 기본 구성 

카오스 스튜디오는 개발자와 테스터가 실행 중인 시스템에 결함 주입 스크립트를 넣을 수 있게 해주는 툴이다. 가상머신 장애부터 시작해 CPU, 메모리 과부하를 포함한 더 세부적인 하위 수준의 결함까지 주입할 수 있다. 

결함은 에이전트 기반이거나 서비스에서 직접 실행하는 방식인데, 전자는 VM 빌드의 일부로 카오스 스튜디오 에이전트가 필요하다(윈도우, 리눅스 모두 마찬가지). 에이전트 및 기타 필수 요소를 설치한 후 카오스 스튜디오를 사용해서 실행할 테스트 유형과 방법을 선택할 수 있다. 예를 들어 CPU 스트레스 테스트를 실행한다면 먼저 CPU에 부하를 가할 시간과 부하의 크기를 정한다. 

이와 같은 스트레스 테스트를 실행할 때는 카오스 스튜디오 외에 시스템 내부를 들여다보기 위한 애저 모니터(Azure Monitor)와 같은 툴이 필요하다. 서비스 실행 방식의 결함도 마찬가지다. 이 결함 주입 방식은 서비스를 카오스 스튜디오 인스턴스에 연결한 후 코스모스 DB와 같은 애저 리소스에 영향을 미치는 데 사용된다. 예를 들어 애플리케이션이 주요 서비스의 지역 간 페일오버(cross-region failover)에 어떻게 반응하는지 확인하기 위한 테스트를 설정할 수 있다. 
 

카오스 스튜디오와 같은 툴의 중요한 측면 중 하나는 실험적 테스트 접근 방식에 초점을 둔다는 것이다. 기반 시스템 상태를 알 수 없는 대규모 분산 시스템에 있어 이는 필수적이다. 카오스 스튜디오를 사용하면 애플리케이션 동작에 대한 가정을 검증할 수 있다. 예를 들어 애저의 여러 존 중 하나가 장애를 일으키거나 일군의 가상머신을 호스팅하는 서버에 장애가 발생할 때 어떤 일이 일어나는지를 확인하는 테스트를 작성할 수 있다. 
 

과학으로서의 카오스 실험 

카오스 엔지니어링의 핵심은 사용자에게 문제를 일으킬 수 있는 가장자리 사례를 찾아내기 위해 가설을 세운 다음 이를 입증하는 것이다. 루시노비치가 설명한 대로, 관찰 가능하고 관리 가능한 분산 시스템을 구축하는 부분은 “시스템의 동작을 검증하기 위한 플랫폼이 되는데, 이 플랫폼은 반대쪽에서의 관찰 가능성이 없으면 작동하지 않는다. 테스트에서 무엇을 하고 있는지 관찰할 수 없다면 그 테스트는 쓸모가 없다. 따라서 관찰 가능성에 대한 테스트이기도 하다. VM 몇 대가 손실되거나 일정 임계치 이상이 손실되면 경보가 울려야 하는데, 경보가 울리지 않는다면 관찰 가능성 시스템이 상황을 포착하도록 제대로 튜닝되지 않은 것”이라고 설명했다. 

카오스에 대한 실험 기반의 접근 방식에서는 카오스를 지속적인 애플리케이션 검증을 위한 툴로 간주한다. 카오스 엔지니어링이라고 하면 아무렇게나 하는 것으로 생각될 수 있지만, 그렇지 않다. 엔지니어링 중심의 접근 방식을 통해 복잡한 시스템에 지장을 초래하고 이 장애가 전체 시스템에 어떤 영향을 미치는지를 파악하는 것이다. 전자상거래 시스템이 작동을 멈출 경우 새 인스턴스로 페일오버되는 장바구니 시스템을 설계했는가? 아니면 시스템에 오류가 발생할 경우 고객이 장바구니의 내용을 모두 잃고 처음부터 다시 반복해야 하는가? 애플리케이션이 어떻게 동작할지에 관한 가정이 있을 것이다. 카오스 스튜디오는 일상적인 작업을 테스트하는 동시에 더 복잡다단한 환경에서 일어나는 일을 탐색할 수 있게 해준다. 

이것이 루시노비치가 말하는 “게임 데이” 이벤트다. 카오스 스튜디오를 사용해서 가정(what-if) 시나리오를 실험하는 것이다. 루시노비치는 프리뷰 고객의 서비스 사용에 대해 “예를 들어 고객에게 높은 가용성과 탄력성을 위해 전 세계로 분산된 전자상거래 애플리케이션이 있는데, 애저의 여러 존 중 한 곳이 접근 불가능하게 되어 그 지역의 애플리케이션이 장애를 겪는 상황을 가정해 보자. 시스템은 어떻게 동작할까? 이것을 보는 것이 일종의 게임 데이 실험”이라고 말했다. 

이를 통해 카오스 스튜디오 실험을 CI/CD 파이프라인에 구축해 넣어 코드를 프로덕션으로 전환하기 전의 스테이징 및 테스트 배포에서 부하 발생기와 함께 사용할 수 있다. 업데이트를 정식으로 내놓기 전에 배포와 배포에 연결된 가상 인프라를 검증하는 수단이 된다. 애저 프라이빗 VNet을 사용해서 카나리아 빌드를 호스팅하면 인스턴스를 신속하게 배포, 테스트, 해체하고 비용을 최소한으로 유지할 수 있다. 
 

지속적 검증: 탄력적인 클라우드 애플리케이션의 기반 

CI/CD와 함께 분산 시스템 데브옵스의 기반이 되는 삼각대의 세 다리 중 하나로서 지속적 검증(CV)의 역할에 대해 흥미로운 논점이 있다. 엔지니어들은 본질적으로 비결정적인(non-deterministic) 환경에서 탄력적인 애플리케이션을 구축해야 한다. 엔지니어가 구축하는 시스템은 동적으로 자체 확장/축소되고 오케스트레이션되는 마이크로서비스 네트워크에서 실행된다. 여기서 서비스는 다양한 애플리케이션 간에 공유되고, 동시성과 일관성으로 인해 문제를 유발하는 요소를 찾기는 어렵다. 

루시노비치는 이와 같은 시스템이 가진 가능성을 기대하면서 카오스 스튜디오 공개 프리뷰에 제공되는 기능은 훨씬 더 큰 과정의 시작을 뿐이며, “포괄적인 시스템의 첫 걸음이다. 시간이 지날수록 더 정교해질 것”이라고 강조했다. 

애플리케이션의 한쪽 측면에는 애플리케이션의 많은 출력으로부터 애플리케이션 상태를 추론할 수 있게 해주는 관찰 툴이 있다. 카오스 스튜디오가 다양한 테스트 프레임워크와 함께 제공하는 것은 인프라와 서비스의 변화가 코드에 미치는 영향을 이해하기 위해 이러한 입력을 제어하는 수단이다. 필자는 루시노비치와의 대화에서 마이크로소프트가 카오스 스튜디오를 더 발전시켜 인프라뿐만 아니라 서비스를 테스트하는 용도로도 사용할 계획임을 명확히 알 수 있었다. 

클라우드 플랫폼 서비스를 조합 가능한 인프라 요소로 다룬다면, 퍼징(fuzzying)과 같은 보안 테스트 개념을 API 테스트로 가져오는 이 접근 방법은 합리적이다. 한 요소가 실패할 때 어떤 일이 일어나는지를 봐야 하는 것만큼 시스템이 부정확한 입력을 받을 때 어떤 일이 발생하는지도 관찰할 수 있어야 한다. 루시노비치가 언급한 바와 같이 사이버 먼데이에 시스템에 장애가 발생한다면, 그 장애의 비즈니스 영향은 막대할 것이다. 루시노비치는 “시스템이 다운되어 주문을 처리할 수 없다면 한 시간에 수백, 수천만 달러의 비용이 발생하는 셈”이라고 지적했다. 

이처럼 큰 비즈니스 위험 하에서 카오스 엔지니어링은 클라우드 설계자에게 갈수록 더 중요해지고 있다. 시스템의 복잡성이 높아질수록 시스템의 실패 양상을 이해해야 할 필요성도 커진다. 그 지식이 없으면 비즈니스를 지원하기 위해 필요한 탄력적인 툴을 만들 수 없다. 마이크로소프트는 시스템에 결함을 주입하기 위한 공통된 툴을 제공함으로써 빌드 파이프라인과 CI/CD 프로세스에 지속적 검증을 더하기 위해 필요한 요소 대부분을 제공하고 있다. CI/CD/CV는 먼 미래의 이야기일지도 모르겠지만, 이제 시스템 결함이 코드에 미치는 영향을 살펴볼 수 있게 됐다. editor@itworld.co.kr