Entrar
Entrar
Comece grátis
Solicite demonstração
Entrar
Entrar
Comece grátis
Solicite demonstração
How to Relic

O que a falha de serviço da Cloudflare nos ensina sobre limites do sistema e bugs latentes

Publicado 6 min. de leitura
Foto de rosto do Spencer Taylor

Por Spence Taylor

Em 18 de novembro de 2025, um evento operacional significativo na Cloudflare, que é um serviço fundamental da internet, levou a problemas generalizados de acessibilidade. Embora a causa direta tenha sido uma falha interna do sistema, o mecanismo técnico — um bug latente desencadeado por uma ação rotineira — oferece uma lição poderosa e detalhada para organizações que executam sistemas complexos e distribuídos.

Esta análise muda o foco do incidente em si para o desafio universal da engenharia de software: como identificar proativamente uma falha crítica de software que nunca ocorreu antes? Usaremos o incidente da Cloudflare como um estudo de caso para detalhar as opções avançadas de observabilidade que os engenheiros podem adotar para detectar os estados anômalos sutis que precedem o colapso de um sistema.

Anatomia de um bug latente

Um bug latente é uma condição de erro incorporada no código que permanece inativa e não detectada durante os testes padrão, porque suas condições de ativação são raras ou específicas de ambientes de produção. No incidente da Cloudflare, a falha exigiu uma convergência específica de eventos. (Os detalhes técnicos desse mecanismo foram confirmados na análise post-mortem da Cloudflare):

  1. A falha latente (o limite do sistema): o sistema proxy principal (FL2) continha um limite de pré-alocação de memória fixo (definido para 200 recursos) em seu módulo de gerenciamento de bots. Esse limite foi projetado como uma otimização de desempenho, não como um limite de resiliência.
  2. Alerta de rotina (11h05 UTC): uma alteração padrão no controle de acesso ao banco de dados foi implantada. Essa alteração modificou o comportamento de consulta do banco de dados ClickHouse subjacente. A alteração fez com que uma consulta SELECT — usada para gerar o arquivo de configuração do gerenciamento de bots — retornasse metadados de coluna duplicados do esquema r0.
  3. A catástrofe: essa consulta com comportamento inesperado aumentou drasticamente o número de recursos, fazendo com que o arquivo de configuração dobrasse de tamanho. Quando esse arquivo foi propagado, ele excedeu o limite fixo de recursos de $200$ do proxy, fazendo com que a verificação do código Rust falhasse e o sistema entrasse em pânico (Result::unwrap() on an Err value), iniciando uma cascata global de erros HTTP 500.

A falha não foi um erro de programação no gerenciamento do tráfego, mas sim uma falha generalizada do sistema causada por um caso extremo de configuração não testada que ultrapassou um limite de pré-alocação.

Engenharia proativa: detecção de bugs latentes

Para combater erros latentes, engenheiros têm acesso a técnicas avançadas de observabilidade, projetadas para detectar estados anômalos do sistema antes que eles se manifestem como erros críticos. Aqui estão as principais opções disponíveis para reforçar sua estratégia de observabilidade usando métricas, logs e traces.

Aproveitando métricas preditivas e verificações de utilização

Em vez de esperar por erros, engenheiros podem monitorar os limites de recursos para prever a ativação de um bug latente. Focar na utilização (um dos quatro sinais clássicos) proporciona uma poderosa medida proativa.

  • Limites personalizados nas entradas de configuração. Para serviços que carregam arquivos de configuração com limites fixos, você pode monitorar o tamanho da entrada em relação ao limite fixo do sistema.
    • Aplicativo: definir um alerta de limite preditivo (por exemplo, 80% de utilização) na contagem de recursos que estão sendo lidos fornece um alerta antecipado quando a configuração se aproxima de um limite catastrófico e requer intervenção.
  • Monitoramento da utilização da memória. Implemente um monitoramento robusto da utilização de memória ou do tamanho do heap do processo. Um pico inesperado nessa métrica, particularmente logo após o carregamento de uma configuração, indica o processamento de um workload anômalo repentino, sinalizando a ativação de um bug latente antes de uma falha oficial.

Correlação estratégica entre alterações e comportamento do sistema

A falha foi uma consequência direta de uma implantação. Os engenheiros podem fechar essa lacuna por meio de uma correlação rigorosa entre os eventos de alteração e os dados de runtime.

  • Correlação automática de log com monitoramento de alterações. Configure sua plataforma de observabilidade para correlacionar automaticamente exceções internas de alta gravidade (como o pânico) com o evento de alteração precedente mais próximo no pipeline (como a implantação do banco de dados às 11h05 UTC). Essa ligação imediata reduz drasticamente o Tempo Médio de Identificação (MTTI) da ação desencadeadora.
  • Canários acionados por mudanças. Para qualquer implantação que afete uma fonte de dados que gere configuração crítica, você pode optar por executar uma verificação sintética que valide a estrutura e o tamanho da saída antes que o arquivo seja propagado globalmente.

Distributed tracing para dependência e isolamento

O distributed tracing proporciona a visibilidade necessária do fluxo de solicitações, permitindo que as equipes isolem a origem do problema e mitiguem o impacto secundário.

  • Identificando a latência do intervalo de transações. Utilize tracing para revelar um pico repentino e localizado de latência no intervalo de transações interno responsável pela leitura ou análise do arquivo de configuração. Isso fornece um sinal direto e de baixo nível da dificuldade antes que o sistema entre em colapso total.
  • Isolando o impacto. O rastreamento visual mapeia as dependências de serviço. Ao identificar a origem da falha (o serviço proxy), as equipes obtêm a clareza necessária para executar estratégias de mitigação direcionadas, como a implementação de um bypass de proxy para sistemas dependentes, como Workers KV e Cloudflare Access, o que reduziu com sucesso o impacto geral da interrupção.

Resiliência arquitetônica e operacional

O incidente com a Cloudflare serve como um forte lembrete de que engenheiros de software devem projetar sistemas capazes de tolerar a inevitável ativação de bugs latentes e manter salvaguardas operacionais adequadas. Essas escolhas arquitetônicas criam as redes de segurança necessárias para o caso de falhas no código.

1. Reforço de entradas (Validação de configuração)

Uma ótima opção para evitar falhas desencadeadas por configurações incorretas é o reforço da segurança de entradas: tratar todos os arquivos de configuração — mesmo os internos, gerados pelo sistema — com o mesmo rigor de validação que os dados gerados pelo usuário. Isso requer verificações explícitas em runtime sobre o tamanho, a estrutura e o conteúdo da configuração antes que ela seja aceita por um processo central.

  • Como funciona: no exemplo da Cloudflare, uma etapa de validação rejeitaria o arquivo de configuração no momento em que sua contagem de recursos excedesse $200$. Isso impede que o arquivo de tamanho excessivo chegue ao código vulnerável. Como base para a confiabilidade, as Práticas recomendadas de serviços de produção do Google SRE recomendam que engenheiros "limpem e validem as entradas de configuração e respondam a entradas implausíveis, continuando a operar no estado anterior e alertando sobre o recebimento de entradas inválidas".

2. O padrão Bulkhead

O padrão Bulkhead é uma escolha arquitetônica eficaz para evitar que um pânico localizado se transforme em uma falha global em cascata. Esse padrão isola os sistemas críticos de forma que uma falha em um componente consuma apenas os recursos alocados a esse componente específico, preservando o restante do aplicativo.

  • Como funciona: imagine um aplicativo onde você atribui thread pools separados para lidar com chamadas a diferentes serviços downstream. Se um serviço começar a apresentar alta latência, o Bulkhead limita os recursos atribuídos a esse pool de conexões, garantindo que os threads necessários para os componentes de missão crítica permaneçam disponíveis. Este design é amplamente validado; o Azure Architecture Center fornece uma explicação detalhada que confirma seus benefícios no isolamento de consumidores e serviços para evitar falhas em cascata.

Este incidente confirma que, em sistemas complexos, a diferença entre uma pequena falha e uma pane global muitas vezes reside na eficácia da sua estratégia de observabilidade em conseguir identificar uma anomalia que o próprio software nunca foi programado para verificar.

Pronto para fortalecer seu sistema contra a próxima vulnerabilidade latente?

A implementação das métricas preditivas discutidas aqui requer uma plataforma unificada de observabilidade full-stack que possa correlacionar implantações de código, métricas de utilização e distributed tracing.

Confira nossa documentação sobre Excelência em Engenharia com a Plataforma New Relic

Tags

APM Change Tracking Trace distribuído (Distributed Tracing)
Foto de rosto do Spencer Taylor

Por Spence Taylor

Spence Taylor (ele/dele) é engenheiro-chefe de relações com o desenvolvedor da New Relic em Los Angeles, Califórnia. Antes de ser engenheiro de software, ele serviu a marinha dos EUA e trabalhou como chef em restaurantes de alta gastronomia. É apaixonado por dados, comida excelente e viajar pelo mundo.

As opiniões expressas neste blog são de responsabilidade do autor e não refletem necessariamente as opiniões da New Relic. Todas as soluções oferecidas pelo autor são específicas do ambiente e não fazem parte das soluções comerciais ou do suporte oferecido pela New Relic. Junte-se a nós exclusivamente no Explorers Hub ( discuss.newrelic.com ) para perguntas e suporte relacionados a esta postagem do blog. Este blog pode conter links para conteúdo de sites de terceiros. Ao fornecer esses links, a New Relic não adota, garante, aprova ou endossa as informações, visualizações ou produtos disponíveis em tais sites.

In this article

Relacionados

Homem em um laptop dentro de uma forma geométrica com um ícone geométrico com um símbolo de robô dentro.
APM
Resolução rápida de incidentes com a Transação 360
3 min. de leitura
Ler artigo
Homem com teclado de computador dentro de uma forma geométrica sobreposta com um amplo botão de reprodução de mídia.
APM
Simplifique a observabilidade do fluxo de mensagens com monitoramento de filas e fluxos
5 min. de leitura
Ler artigo
Fundo preto
OpenTelemetry
Aproveitando melhor seus dados do OpenTelemetry com a New Relic
7 min. de leitura
Ler artigo