<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>停機 on Tarragon</title><link>https://tarrragon.github.io/blog/tags/%E5%81%9C%E6%A9%9F/</link><description>Recent content in 停機 on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Thu, 23 Apr 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/%E5%81%9C%E6%A9%9F/index.xml" rel="self" type="application/rss+xml"/><item><title>Downtime</title><link>https://tarrragon.github.io/blog/backend/knowledge-cards/downtime/</link><pubDate>Thu, 23 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/knowledge-cards/downtime/</guid><description>&lt;p>停機的核心概念是「服務承諾能力在一段時間內中斷」。停機可能來自部署、基礎設施故障、資料庫服務中斷、憑證失效、外部依賴中斷、資安事件或人為操作失誤。 可先對照 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/draining/" data-link-title="Draining" data-link-desc="說明服務如何先停止接收新流量，再讓既有工作完成">Draining&lt;/a>。&lt;/p>
&lt;h2 id="概念位置">概念位置&lt;/h2>
&lt;p>停機討論要回到產品承諾。不同服務的中斷代價不同：登入停機會阻止使用者進入系統，付款停機會直接影響收入，報表停機可能延後內部決策，通知停機可能造成延遲但可補送。 可先對照 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/draining/" data-link-title="Draining" data-link-desc="說明服務如何先停止接收新流量，再讓既有工作完成">Draining&lt;/a>。&lt;/p>
&lt;h2 id="可觀察訊號">可觀察訊號&lt;/h2>
&lt;p>系統需要停機應變設計的訊號是服務有明確 SLO、收入影響、法規要求、資料保存責任或大量使用者依賴。停機風險也會在部署頻繁、單點依賴、缺少備份、缺少演練或缺少 rollback 時上升。&lt;/p>
&lt;h2 id="接近真實網路服務的例子">接近真實網路服務的例子&lt;/h2>
&lt;p>票券平台開賣時付款服務停機。系統需要先保護訂單狀態與付款一致性，再決定是否暫停結帳、排隊等候、延長付款期限或開啟公告。若只追求快速恢復流量，可能讓使用者重複付款或訂單狀態混亂。&lt;/p>
&lt;h2 id="設計責任">設計責任&lt;/h2>
&lt;p>停機 runbook 要定義事件分級、對外溝通、負責人、rollback、備援切換、資料保護與事後復盤。關鍵系統還要預先定義 RTO、RPO、備份驗證、演練頻率與決策權限。&lt;/p></description><content:encoded><![CDATA[<p>停機的核心概念是「服務承諾能力在一段時間內中斷」。停機可能來自部署、基礎設施故障、資料庫服務中斷、憑證失效、外部依賴中斷、資安事件或人為操作失誤。 可先對照 <a href="/blog/backend/knowledge-cards/draining/" data-link-title="Draining" data-link-desc="說明服務如何先停止接收新流量，再讓既有工作完成">Draining</a>。</p>
<h2 id="概念位置">概念位置</h2>
<p>停機討論要回到產品承諾。不同服務的中斷代價不同：登入停機會阻止使用者進入系統，付款停機會直接影響收入，報表停機可能延後內部決策，通知停機可能造成延遲但可補送。 可先對照 <a href="/blog/backend/knowledge-cards/draining/" data-link-title="Draining" data-link-desc="說明服務如何先停止接收新流量，再讓既有工作完成">Draining</a>。</p>
<h2 id="可觀察訊號">可觀察訊號</h2>
<p>系統需要停機應變設計的訊號是服務有明確 SLO、收入影響、法規要求、資料保存責任或大量使用者依賴。停機風險也會在部署頻繁、單點依賴、缺少備份、缺少演練或缺少 rollback 時上升。</p>
<h2 id="接近真實網路服務的例子">接近真實網路服務的例子</h2>
<p>票券平台開賣時付款服務停機。系統需要先保護訂單狀態與付款一致性，再決定是否暫停結帳、排隊等候、延長付款期限或開啟公告。若只追求快速恢復流量，可能讓使用者重複付款或訂單狀態混亂。</p>
<h2 id="設計責任">設計責任</h2>
<p>停機 runbook 要定義事件分級、對外溝通、負責人、rollback、備援切換、資料保護與事後復盤。關鍵系統還要預先定義 RTO、RPO、備份驗證、演練頻率與決策權限。</p>
]]></content:encoded></item></channel></rss>