Iniciar sesión
Iniciar sesión
Comenzar gratis
Obtener demo
Iniciar sesión
Iniciar sesión
Comenzar gratis
Obtener demo
Cómo usar New Relic

Qué nos enseña la interrupción de Cloudflare sobre los límites del sistema y los errores latentes

Publicado 6 min de lectura
Retrato de Spence Taylor

Por Spence Taylor

El 18 de noviembre de 2025, un incidente operativo de gran magnitud afectó a Cloudflare, un servicio fundamental de Internet, y generó problemas de accesibilidad en todo el mundo. Si bien la causa directa fue una falla interna del sistema, el mecanismo técnico (un error latente activado por una acción rutinaria) ofrece una lección clara y valiosa para cualquier organización que administre sistemas distribuidos.

Este análisis va más allá del incidente y aborda un desafío de ingeniería de alcance general: ¿cómo identificar de manera proactiva una falla crítica de software que aún no se ha manifestado? Usaremos el incidente de Cloudflare como caso de estudio para explorar opciones avanzadas de observabilidad que ayudan a identificar los estados sutiles y anómalos que pueden anticipar un colapso del sistema.

La anatomía de una falla de error latente

Un error latente es una falla incrustada en el código que permanece inactiva y sin detectar durante las pruebas estándar, porque solo se manifiesta bajo condiciones poco frecuentes o específicas de los entornos de producción. En el incidente de Cloudflare, la falla se desencadenó cuando coincidieron varios factores poco habituales. (Los detalles técnicos de este mecanismo están documentados en el análisis post mortem de Cloudflare):

  1. El defecto latente (el límite del sistema): el sistema proxy central (FL2) contenía un límite de preasignación de memoria codificado (establecido en 200 características) dentro de su módulo de administración de bots. Este límite se diseñó como una optimización del rendimiento, no como un límite de resiliencia.
  2. El desencadenante de rutina (11:05 UTC): se desplegó un cambio estándar en el control de acceso a la base de datos. Ese cambio modificó el comportamiento de las consultas en la base de datos ClickHouse subyacente. El cambio provocó que una consulta SELECT, encargada de generar el archivo de configuración de Bot Management, devolviera metadatos de columna duplicados del esquema r0.
  3. La catástrofe: esta consulta anómala aumentó significativamente la cantidad de características, lo que provocó que el archivo de configuración duplicara su tamaño. Cuando este archivo se propagó, excedió el límite fijo de 200 características del proxy, lo que provocó que la verificación del código de Rust fallara y el sistema entrara en pánico (Result::unwrap() sobre un valor Err value), iniciando una cascada global de errores HTTP 500.

La falla no fue un error de codificación en el manejo del tráfico, sino un bloqueo de todo el sistema causado por un caso límite de configuración no probado que excedió un límite de preasignación.

Ingeniería proactiva: detección de errores latentes

Para contrarrestar errores latentes, los ingenieros tienen acceso a técnicas de observabilidad avanzadas diseñadas para detectar estados anómalos del sistema antes de que se manifiesten como errores críticos. A continuación, se presentan las opciones clave disponibles para reforzar tu estrategia de observabilidad con métricas, logs y trazas.

Aprovechamiento de métricas predictivas y comprobaciones de utilización

En lugar de esperar a que se produzcan errores, los ingenieros pueden monitorizar los límites de recursos para anticipar la activación de un error latente. Centrarse en la utilización, una de las cuatro señales doradas, constituye una medida proactiva muy eficaz.

  • Umbrales personalizados en las entradas de configuración. Para los servicios que cargan archivos de configuración con límites fijos, puedes realizar un seguimiento del tamaño de entrada en relación con el límite fijo del sistema.
    • Aplicación: configurar una alerta de umbral predictivo (p. ej., 80 % de utilización) sobre la cantidad de características que el sistema está leyendo ofrece una advertencia temprana cuando la configuración se acerca a un límite crítico y requiere intervención.
  • Monitoreo de la utilización de la memoria. Implementar un monitoreo robusto de la utilización de la memoria o del tamaño del heap del proceso. Un pico inesperado en esta métrica, especialmente justo después de una carga de configuración, indica que se está procesando una carga de trabajo anómala y repentina, lo que anticipa la activación de un error latente antes de un bloqueo formal.

Correlación estratégica entre los cambios y el comportamiento del sistema

La falla fue consecuencia directa de un despliegue. Los ingenieros pueden cerrar esta brecha correlacionando de manera precisa los eventos de cambio con los datos de tiempo de ejecución.

  • Correlación automatizada de logs con el seguimiento de cambios. Configura tu plataforma de observabilidad para correlacionar automáticamente las excepciones internas de alta gravedad (como el pánico) con el evento de cambio anterior más cercano en la pipeline (como el despliegue de base de datos de las 11:05 UTC). Este enlace inmediato reduce significativamente el tiempo medio para identificar (MTTI) la acción que desencadenó el incidente.
  • Verificaciones Canary activadas por cambios. Para cualquier despliegue que afecte una fuente de datos que genere una configuración crítica, puedes optar por ejecutar una verificación sintética que valida la estructura y el tamaño de la salida antes de que el archivo se propague globalmente.

Rastreo distribuido para dependencia y aislamiento

El rastreo distribuido proporciona la visibilidad necesaria del flujo de solicitudes, lo que permite a los equipos aislar la fuente del problema y mitigar el impacto secundario.

  • Detección de latencia en el span de la transacción. Utiliza el seguimiento para detectar un pico de latencia repentino y localizado en el span interno de la transacción responsable de leer o parsear el archivo de configuración. Esto proporciona una señal directa y de bajo nivel del esfuerzo del sistema antes de que colapse por completo.
  • Aislar el blast radius (alcance del impacto). El seguimiento mapea visualmente las dependencias entre servicios. Al identificar la fuente de la falla (el servicio proxy), los equipos obtienen la claridad necesaria para ejecutar estrategias de mitigación específicas, como implementar un bypass de proxy para sistemas dependientes como Workers KV y Cloudflare Access, lo que permite reducir el impacto general de una interrupción.

Resiliencia arquitectónica y operativa

El incidente de Cloudflare ofrece un recordatorio contundente de que los ingenieros deben diseñar sistemas capaces de tolerar la activación inevitable de errores latentes y mantener protecciones operativas adecuadas. Estas estrategias arquitectónicas crean redes de seguridad necesarias cuando el código falla.

1. Input Hardening (validación de la configuración)

Una opción efectiva para prevenir fallas desencadenadas por la configuración es el Input Hardening (endurecimiento de entradas): tratar todos los archivos de configuración (incluso los generados internamente por el sistema) con el mismo nivel de validación que los datos generados por el usuario. Esto requiere comprobaciones explícitas en tiempo de ejecución sobre el tamaño, la estructura y el contenido de la configuración antes de que sea aceptada por un proceso central.

  • Cómo funciona: en el ejemplo de Cloudflare, un paso de validación rechazaría el archivo de configuración en cuanto su cantidad de características superara las 200. Esto evita que el archivo sobredimensionado llegue al código vulnerable. Como base de fiabilidad, las mejores prácticas de Servicios de producción de ingeniería de fiabilidad del sitio (SRE) de Google recomiendan que los ingenieros "saneen y validen las entradas de configuración, y respondan a las entradas no válidas manteniendo el estado previo y alertando sobre la recepción de datos incorrectos”.

2. El patrón Bulkhead

El patrón Bulkhead es una estrategia arquitectónica eficaz para evitar que un pánico localizado se convierta en una falla global en cascada. Este patrón aísla los sistemas críticos de modo que una falla en un componente consuma únicamente los recursos asignados a ese componente, preservando el resto de la aplicación.

  • Cómo funciona: imagina una aplicación en la que asignas grupos de subprocesos independientes para manejar llamadas a distintos servicios posteriores. Si un servicio comienza a experimentar una alta latencia, el Bulkhead limita los recursos asignados a ese grupo de conexiones, lo que garantiza que los subprocesos necesarios para los componentes críticos sigan disponibles. Este diseño está ampliamente respaldado; el Centro de Arquitectura de Azure proporciona una explicación detallada que demuestra sus beneficios al aislar consumidores y servicios, con el fin de prevenir fallas en cascada.

Este incidente confirma que, en sistemas complejos, la diferencia entre un problema menor y una interrupción global suele depender de cuán eficaz sea tu estrategia de observabilidad para detectar anomalías que no forman parte de las comprobaciones previstas en el software.

¿Está listo para fortalecer tu sistema frente el próximo error latente?

Implementar las métricas predictivas mencionadas aquí requiere una plataforma unificada de observabilidad de todo el stack que pueda correlacionar despliegues de código, métricas de utilización y rastreo distribuido.

Consulta nuestra documentación sobre Excelencia en ingeniería con la plataforma de New Relic

Tags

APM Change Tracking Rastreo distribuido
Retrato de Spence Taylor

Por Spence Taylor

Spence Taylor (Él) es Lead Developer Relations Engineer de New Relic y vive en Los Ángeles, California. Antes de convertirse en ingeniero de software, formó parte de la Armada de los Estados Unidos y trabajó como jefe de cocina en restaurantes de comida gourmet. Le encanta trabajar con datos, disfrutar de la alta cocina y viajar por todo el mundo.

Las opiniones expresadas en este blog son las del autor y no reflejan necesariamente las opiniones de New Relic. Todas las soluciones ofrecidas por el autor son específicas del entorno y no forman parte de las soluciones comerciales o el soporte ofrecido por New Relic. Únase a nosotros exclusivamente en Explorers Hub ( discus.newrelic.com ) para preguntas y asistencia relacionada con esta publicación de blog. Este blog puede contener enlaces a contenido de sitios de terceros. Al proporcionar dichos enlaces, New Relic no adopta, garantiza, aprueba ni respalda la información, las vistas o los productos disponibles en dichos sitios.

In this article

Relacionado

Fondo negro
OpenTelemetry
Cómo aprovechar al máximo tus datos de OpenTelemetry con New Relic
7 min de lectura
Leer artículo
Hombre con laptop dentro de una figura geométrica con un ícono geométrico que contiene un símbolo de robot en su interior.
APM
Acelera la resolución de incidentes con Transacción 360
3 min de lectura
Leer artículo
Hombre con teclado de computadora dentro de una figura geométrica superpuesta con un gran botón de reproducción de medios.
APM
Optimiza la observabilidad del flujo de mensajes con el monitoreo de colas y flujos
5 min de lectura
Leer artículo