셀 기반 아키텍처는 서비스를 셀이라는 독립적인 인스턴스로 분할하여, 각 인스턴스가 자율적으로 트래픽의 일부를 처리할 수 있도록 합니다. 결제 플랫폼의 경우, 각 셀은 로드 밸런서, 애플리케이션 서버, 데이터베이스 및 메시지 큐로 구성된 완전한 스택으로, 여러 가용성 존에 배포되지만 네트워크와 데이터 계층에서 다른 셀과 격리됩니다. 트래픽 라우팅은 고객 식별자를 사용하는 결정적 샤딩에 의존하여, 단일 고객이 독점적으로 하나의 활성 셀에 매핑되도록 하며, 서비스 중단 없이 셀을 배수 및 회전할 수 있는 능력을 유지합니다.
셀 간 일관성은 비동기 이벤트 복제를 통해 이루어지며, 변경 데이터 캡처(CDC) 스트림을 사용하여 교차 절단 문제(예: 사기 감지, 규제 보고서)를 처리합니다. 셀 내 트랜잭션은 로컬 데이터베이스 클러스터를 통해 ACID 보장을 유지합니다. 셀 회전은 셀 경계 내에서 블루-그린 배포 패턴을 활용하며, 회로 차단기 및 건강 점검 기반 트래픽 조정을 통해 전 세계 Edge CDN 계층에서 자동으로 저하된 셀을 격리합니다.
일일 거래가 150억 달러인 1등급 결제 프로세서는 데이터베이스 인덱스 손상이 가용성 존을 넘어 퍼지는 동안 발생한 미국 동부 지역 단일체에서 치명적인 연쇄 실패를 경험했습니다. 이로 인해 4시간의 전 세계 서비스 중단이 발생하여 4000만 고객에게 영향을 미치고 PCI DSS의 가용성 요구 사항을 위반했습니다. 사후 분석 결과, 공유 인프라 구성 요소가 숨겨진 실패 의존성을 만들어 금융 시스템의 높은 가용성을 위해 요구되는 독립적인 실패 도메인 원칙을 위반했습니다.
솔루션 A: 능동-능동 다지역 복제
이 접근 방식은 Galera Cluster 또는 CockroachDB를 사용하여 여러 지역에 동일한 스택을 배포하고, 어떤 지역이든 기록을 허용하는 다중 마스터 데이터베이스 복제를 활용합니다. 주요 장점은 전체 리소스 활용과 대기 시간 감소를 위한 지리적 근접성입니다. 그러나 재정 거래의 충돌 해결 복잡성은 네트워크 파편화 중 이중 지출 또는 불일치 잔액 상태의 불가피한 위험을 초래하며, 벡터 시계 및 병합 충돌 관리의 운영 부담은 거래량에 비례하여 기하급수적으로 증가합니다.
솔루션 B: 능동-수동 핫 스탠바이
핫 스탠바이 아키텍처를 구현하면 보조 지역이 동기화 복제를 통해 지속적으로 동기화를 유지하며, 기본 장애 발생 후 몇 초 이내에 트래픽을 인수할 준비를 합니다. 이는 강력한 일관성을 보장하고 명확한 장애 전환 조정을 통해 분할 사고를 방지합니다. 중요한 단점은 정상 운영 중 50%의 리소스 낭비와 전체 전환 이벤트 없이 점진적인 회전 또는 업데이트를 수행할 수 없다는 점으로, 이는 정기 유지 관리 창을 복잡하게 하고 배포 위험을 증가시킵니다.
솔루션 C: 결정적 라우팅을 통한 셀 기반 파티셔닝
선택된 아키텍처는 고객 기반을 20개의 독립적인 셀로 나누어, 각 셀이 전 세계 트래픽의 5%를 처리하도록 하며, 고립된 Kubernetes 클러스터, 전용 PostgreSQL 기본 및 독립적인 Kafka 브로커를 갖추고 있습니다. Envoy Proxy 사이드카는 customer_id에 대한 일관된 해싱을 구현하여 요청을 특정 셀로 라우팅하며, 전 세계 제어 플레인은 셀 상태를 모니터링하고 회전 동안 트래픽 배수를 조정합니다. 이는 셀 수준의 문제 발생 시 폭발 반경을 5%의 사용자로 제한하고, 카나리아 분석 및 자동 롤백 트리거를 사용하여 새로운 셀 세대로 트래픽을 점진적으로 전환하여 무중단 회전을 가능하게 합니다.
구현 후, 플랫폼은 99.999% 가용성(연간 5분 미만의 다운타임)을 달성했고, 사건 폭발 반경을 95% 줄였으며, 전 세계 롤아웃 전에 생산 트래픽 하위 집합에 대해 변경 사항을 검증하는 셀 수준의 카나리아 배포를 통해 배포 위험을 감소시켰습니다.
여러 셀에 분산된 하위 계정이 있는 기업 계좌와 같은 엔티티에 대한 참조 무결성을 어떻게 유지합니까?
후보자들은 종종 엄격한 셀 격리가 모든 교차 셀 거래를 방지한다고 잘못 가정합니다. 솔루션은 보상 거래가 있는 사가 패턴을 구현하여 별도의 제어 플레인에서 작동하는 경량 Temporal 또는 Camunda 워크플로 엔진에 의해 조정됩니다. 교차 셀 작업을 위해 시스템은 조정 단계에서만 **2단계 커밋(2PC)**를 사용하며, 실제 변이는 셀 로컬로 유지됩니다. 멱등성 키는 분산 작업 중 부분 실패가 재시도될 수 있도록 보장하며, 금융 영향을 중복으로 초래하지 않습니다. 추가로, 물질화된 뷰가 있는 전 세계 읽기 전용 캐시가 있다면, 격리 경계를 위반하지 않고 결국에는 일관된 교차 셀 쿼리를 제공합니다.
셀을 재난 복구를 위해 지정학적 경계를 넘게 할 때 데이터 거주 법규 준수를 어떻게 처리합니까?
많은 후보자들이 셀 배치의 법적 의미를 간과합니다. 아키텍처는 기본 데이터 저장이 주권 경계 내에 유지되는 지리적으로 제한된 셀을 구현하며, 보조 셀은 암호화된 핫 스탠바이로 작동하고 암호학적 분쇄 기능을 갖추고 있습니다. 동형 암호화 기술은 사기 탐지 알고리즘이 외국 관할권에서 민감한 PII를 복호화하지 않고도 암호화된 교차 경계 데이터에서 작동할 수 있게 합니다. 셀 트래픽 라우팅에는 지리적 위치 인식 DNS(Route 53 근접성 라우팅)가 포함되어, EU 고객이 재난 복구 시 명시적으로 승인되지 않는 한 결코 미국 셀을 통과하지 않도록 보장하며, 자동 데이터 거주 감사가 셀 배치 준수를 코드로서의 인프라(IaC) 스캔을 통해 확인합니다.
실패한 셀이 복구되어 수천 명의 클라이언트가 동시에 재연결을 시도해 복원된 인스턴스를 압도하는 '천둥 무리' 문제를 방지하는 메커니즘은 무엇입니까?
이 미세한 운영 문제는 자주 간과됩니다. 솔루션은 셀 재입장 시 API 게이트웨이 레이어에 토큰 버킷 속도 제한을 적용하고, 클라이언트 SDK에서 지수적 백오프 지터를 활용합니다. 셀 복구 시 제어 평면은 p99 대기 시간 및 오류율을 모니터링하며, 선형 보간법을 사용하여 0%에서 100%까지의 라우팅 가중치를 점진적으로 증가시킵니다. 연결 풀링과 Envoy의 적응형 동시성 제한은 연결 소진을 방지하고, 워밍 요청(합성 거래)은 고객 트래픽을 수용하기 전에 셀 건강을 검증합니다. 캐시 워밍 작업은 복구 셀의 Redis 클러스터를 사전 채워 냉 저장소에서의 캐시 스탬프에 대한 문제를 방지합니다.