가시성(Observability)에서 알레트란 무엇인가요?

알림은 단순히 임계값을 초과하는 지표를 넘어, 인간 또는 자동화된 시스템이 조치해야 하는 신호입니다.

경고 피로는 어떤 원인으로 발생하는가?

경고 피로는 가치 낮은 알림의 과다 발생, 비효율적인 라우팅, 약한 중복 제거, 소유자 부재, 그리고 명확한 조치로 이어지지 않는 알림들 때문에 발생합니다.

경고(alert)는 언제 페이지ング(paging) 도구가 아닌 채팅으로 전송해야 할까요?

채팅은 협업 조사와 비긴급 결정에 적합하며, 페이지ング 도구는 호출 담당자의 즉각적인 대응이 필요한 사고에 적합합니다.

라우팅과 중복 제거는 알람을 어떻게 개선합니까?

라우팅은 경보를 올바른 팀과 채널로 전달하고, 중복 제거 및 그룹화는 동일한 장애 발생 시 반복 알림을 줄입니다.

알림 메시지에 포함되어야 할 내용은 무엇인가요?

효과적인 경보는 영향을 받은 시스템, 심각도, 증상, 예상 영향, 유용한 컨텍스트, 그리고 다음 조치 또는 런북 링크를 포함해야 합니다.

관찰 가능성 팀을 위한 현대적인 경보 시스템 설계

경보는 소음 시스템이 아닌 응답 시스템입니다.

Page content

알람 (Alerting) 은 너무 자주 모니터링 기능으로 묘사됩니다. 그런 틀을 잡는 것은 편리하지만, 실제 문제를 가립니다.

지표 (Metric) 가 누군가를 깨우지는 않습니다. 그래프가 긴급성을 만들지 않습니다. 대시보드가 소유권을 부여하지 않습니다. 알람은 그 뒤의 시스템이 잘 설계되어 있다면 세 가지 모두 수행하지만, 설계가 약하면 아무것도 수행하지 않습니다.

Alerting Systems Design

여기서 우리가 설정하는 목표는 알람을 규칙, 라우팅, 컨텍스트, 채널, 인간, 그리고 피드백 루프로 구성된 시스템으로 정의하는 것입니다.

그런 틀을 잡는 것이 중요한 이유는 현대적인 알람이 더 이상 페이지어 (pager) 에 연결된 단일 임계값이 아니기 때문입니다. Prometheus 는 알림 규칙을 Alertmanager 와 분리합니다. 여기서 라우팅, 그룹화, 억제 (inhibition), 침묵 (silences), 수신자 처리가 이루어집니다. 이러한 분리는 탐지와 전달이 서로 다른 문제이기 때문에 유용합니다. 알람 규칙은 무언가가 잘못되었다고 결정합니다. 알람 관리 시스템은 누가 신경 써야 하는지, 얼마나 자주, 그리고 어떤 채널을 통해 알려야 하는지 결정합니다.

알람이 실제로 무엇인지

알람은 흥미로워 보이는 모든 신호가 아닙니다.

알람은 조치가 필요한 신호입니다.

그 정의는 놀라운 양의 텔레메트리 (telemetry) 를 제외시킵니다. 로그는 기록입니다. 지표는 측정치입니다. 추적 (Traces) 은 실행 경로입니다. 가시성 (Observability) 시스템은 인간과 도구가 동작을 이해할 수 있도록 이러한 신호를 수집합니다. 알람은 어떤 조건이 응답을 촉발할 만큼 중요해졌을 때 시작됩니다.

이는 가시성을 건강하게 유지하는 경계입니다.

지표는 무엇이 변했는지 답합니다.
로그는 무엇이 일어났는지 답합니다.
추적은 시간과 오류가 어디에 누적되었는지 답합니다.
알람은 지금 누가 행동해야 하는지 답합니다.

모든 것이 알람이 되면, 아무것도 알람이 아닙니다. 그 결과는 커버리지 (coverage) 가 아닌 혼란입니다.

시스템으로서의 알람

실용적인 알람 수명 주기는 다음과 같습니다.

signal -> rule -> alert -> routing -> channel -> human or automation -> action -> feedback

이 수명 주기는 단순한 임계값 다이어그램보다 더 유용합니다. 왜냐하면 실제 시스템이 무엇을 하는지를 반영하기 때문입니다.

신호 (Signal)

시작점은 텔레메트리입니다. 대부분의 스택에서 이는 지표, 로그, 추적, 또는 파생된 헬스 체크를 의미합니다. OpenTelemetry 는 지표, 로그, 추적을 별도의 신호로 공식화합니다. 이는 알람이 작업에 적합한 올바른 신호에서 파생되어야 하므로 도움이 됩니다.

규칙 (Rule)

규칙은 원시 텔레메트리를 중요한 조건으로 변환합니다. 이는 임계값 기반, 속도 기반, 이상 탐지 기반, 또는 SLO 기반일 수 있습니다.

알람 (Alert)

규칙은 레이블, 주석, 그리고 컨텍스트를 가진 알람 이벤트를 생성합니다. 여기서 심각도, 서비스, 팀, 그리고 환경이 명시적으로 드러나야 합니다.

라우팅 (Routing)

라우팅은 알람이 어디로 가는지 결정합니다. Alertmanager 에서 이는 그룹화, 억제, 침묵, 그리고 알림 수신자를 포함합니다. 이것이 바로 알람이 단순히 기술적인 것이 아니라 운영적이 되는 곳입니다.

채널 (Channel)

동일한 알람도 긴급성과 대상에 따라 다른 채널에 속할 수 있습니다.

즉각적인 대응을 위한 페이지어 (Paging)
협업을 위한 채팅
낮은 긴급성 요약 정보를 위한 이메일
계획된 후속 조치를 위한 티켓 또는 워크플로우 시스템

인간 또는 자동화

일부 알람은 인간의 판단이 필요합니다. 일부는 자동화된 수정을 트리거해야 합니다. 많은 경우 둘 다 필요합니다.

조치 (Action)

알람의 목적은 가시성이 아닙니다. 그것은 조치입니다. 조치는 재시작, 롤백, 장애 조치, 조사, 또는 단순히 확인일 수 있습니다.

피드백 (Feedback)

마지막 단계가 가장 간과됩니다. 좋은 팀은 어떤 알람이 유용했는지, 소음이 많았는지, 늦었는지, 잘못된 경로로 갔는지, 또는 누락되었는지 검토합니다. 그 루프가 없으면 알람은 퇴보합니다.

가시성과 알람의 차이점

알람은 가시성 안에 속하지만, 가시성을 소비해서는 안 됩니다. 더 넓은 기초에 대해서는 Observability: Monitoring, Metrics, Prometheus & Grafana Guide를 참조하세요.

가시성은 사람들이 시스템을 탐색하도록 돕습니다. 알람은 사람들을 방해합니다. 그 구분은 불편하지만 필요합니다.

그 경계에 대해 생각할 수 있는 유용한 방법:

가시성은 폭 (breadth) 입니다.
알람은 선택성 (selectivity) 입니다.

풍부한 텔레메트리와 선택적인 방해가 필요합니다. 일반적인 실패 모드는 그 반대입니다: 얇은 텔레메트리와 공격적인 알람입니다.

이것이 알람이 이상해 보이는 모든 지표가 아니라, 신중하게 선택된 증상과 비즈니스 영향에 기반해야 하는 이유입니다. 과부하된 노드, 느린 종속성, 또는 높은 오류율은 모두 중요할 수 있지만, 영향이 있거나 개입이 필요한 경우에만 해당됩니다.

좋은 알람 설계의 핵심 원칙

실행 가능성 (Actionability)

모든 알람은 한 가지 질문을 명확히 답해야 합니다:

다음에 무엇을 해야 합니까?

명확한 다음 조치가 없다면, 그 알람은 중단 채널 대신 대시보드, 보고서, 또는 이슈 백로그에 속합니다.

실행 가능성은 보통 알람에 다음이 포함되어 있음을 의미합니다:

무엇이 고장났는지
얼마나 심각한지
어디서 일어나고 있는지
다음에 무엇을 확인할 것인지
런북 (runbook) 또는 조사 컨텍스트 링크

소유권 (Ownership)

소유권이 없는 알람은 통제 메커니즘이 아니라 불만입니다.

모든 알람은 사고 발생 시가 아니라 설계 시에 명확한 소유자가 있어야 합니다. 소유권은 팀, 교대, 또는 서비스 그룹일 수 있지만, 반드시 명시적이어야 합니다.

컨텍스트 (Context)

알람은 단순히 알림까지의 시간이 아닌, 이해까지의 시간을 줄여야 합니다.

유용한 컨텍스트에는 종종 다음이 포함됩니다:

서비스 이름
환경
지역 또는 클러스터
현재 값과 임계값
최근 추세
예상되는 폭발 반경 (blast radius)
관련 대시보드 또는 추적
런북 링크

선택성 (Selectivity)

가장 좋은 알람은 보통 가능한 가장 이른 것이 아닙니다. 신뢰할 수 있는 가장 이른 알람입니다.

이것이 장기적으로 고품질 신호를 가진 알람이 성급하지만 소음이 많은 임계값보다 종종 더 나은 성과를 내는 이유입니다.

노이즈 저항성 (Noise resistance)

노이즈는 단순히 양에 관한 것이 아닙니다. 반복과 모호성에도 관한 것입니다.

잘 설계된 알람 시스템은 더 큰 근본 원인이 이미 알려진 경우 중복된 증상을 억제하고, 관련 알람을 그룹화하며, 가능한 가장 적은 수의 채널을 통해 라우팅합니다.

실제로 도움이 되는 알람 분류 체계

간단한 분류 체계가 교묘한 것보다 보통 더 좋습니다.

Critical (치명적)

즉각적인 인간 대응이 필요합니다. 이는 페이지어 영역입니다. Critical 알람은 드물고, 소유권이 강하며, 사용자 또는 비즈니스 영향과 밀접하게 연결되어야 합니다.

High (높음)

긴급하지만, 반드시 누군가를 지금 깨울 필요는 없습니다. 이는 종종 근무 시간 동안 팀 채팅과 사고 채널에 속하거나, 초기 분류 (triage) 로 시작하는 호출 (on call) 워크플로우에 속합니다.

Informational (정보 제공)

인식, 추세 모니터링, 또는 계획된 후속 조치에 유용합니다. 이는 긴급한 사고와 같은 경로에 속하지 않습니다.

흔한 실수는 심각도를 너무 많이 도입하는 것입니다. 실제로는 팀이 응답 기대와 채널에 깔끔하게 매핑되는 작은 모델로 운영하는 경우가 더 많습니다.

알람 피로는 설계 문제입니다

알람 피로는 종종 사람의 문제로 묘사됩니다. 그렇지 않습니다. 이는 대부분 시스템 문제입니다.

사람들은 중요하지 않거나, 서로 반복되거나, 명확한 조치가 없는 알림을 너무 많이 받을 때 둔감해집니다. 나쁜 알람 시스템은 나쁜 인간 행동을 만듭니다.

전형적인 원인:

모든 증상이 알람이 됨
대규모 장애 동안 그룹화 부재
억제 규칙 누락
소유권 부재
긴급도에 따라 채널이 혼재됨
사용자 영향과 단절된 알람 임계값
사고 후 검토 루프 부재

이것은 더 좋은 벨소리로는 해결되지 않습니다. 설계로 해결해야 합니다.

중요한 규칙 전략

임계값 기반 알람

이것들은 가장 간단하며 여전히 유용합니다.

예시:

CPU 가 지속적인 임계값 이상일 때
큐 깊이가 한도 이상일 때
오류율이 임계값 이상일 때

다음과 같은 경우 가장 잘 작동합니다:

신호가 안정적일 때
임계값이 의미 있을 때
팀이 정상 범위를 이해할 때

다음과 같은 경우 잘 작동하지 않습니다:

기준선이 매우 변동적일 때
지표가 영향과 약하게 연결될 때

속도 기반 알람

이것들은 절대 값보다 시간에 따른 변화에 초점을 맞춥니다.

예시:

오류율이 10 분 내에 급격히 증가함
백로그 성장이 정상 추세를 초과함

이것들은 동적 시스템에서 정적 임계값보다 종종 더 좋습니다.

증상 기반 알람

이것들은 사용자가 경험하는 것에 초점을 맞춥니다.

예시:

엣지에서의 요청 지연 시간 증가
결제 실패 증가
로그인 성공률 하락

이 스타일은 실제 서비스 건강 상태와 일치하기 때문에 더 견고한 경향이 있습니다.

SLO 기반 알람

SLO 기반 알람은 노이즈를 줄이는 가장 실용적인 방법 중 하나입니다. 나쁜 분마다 알람을 울리는 대신, 오류 예산 소모와 지속적인 사용자 영향에 집중합니다. 임계값보다 설계하기 어렵지만, 일반적으로 현실과 더 잘 정렬됩니다.

주관적인 의견: 많은 팀은 안정적인 서비스 소유권이나 기본적인 라우팅 규율이 없어도 바로 SLO 알람으로 진입하려고 시도합니다. 그 순서는 보통 실망을 줍니다. 강력한 기본이 유행의 수학보다 낫습니다.

라우팅이 알람을 현실로 만드는 곳

라우팅은 구현 세부 사항이 아닙니다. 그것은 운영적 알람의 중심입니다.

Prometheus Alertmanager 는 이를 명시적으로 만듭니다. 이는 그룹화, 중복 제거, 라우팅, 침묵, 억제를 처리한 후 이메일, PagerDuty, OpsGenie, 그리고 채팅 플랫폼과 같은 수신자에게 알림을 전달합니다. 이것이 바로 올바른 분리입니다. 라우팅 없이 탐지는 원시 신호일 뿐입니다. 라우팅은 신호를 응답으로 만듭니다.

실용적인 라우팅 모델은 다음을 기반으로 할 수 있습니다:

심각도
서비스 소유권
환경
시간대
유지보수 창
사고 상태
폭발 반경

그룹화 (Grouping)

그룹화는 유사한 알람을 더 적은 수의 알림으로 결합합니다. 이는 하나의 근본 문제가 수백 개의 증상을 만드는 연쇄 장애 동안 중요합니다.

그룹화는 세부 사항을 숨기는 것이 아닙니다. 그것은 인간의 주의를 보호하는 것입니다.

억제 (Inhibition)

억제는 더 높은 수준의 근본 원인이 이미 활성화된 경우 2 차 알람을 억제합니다.

전체 클러스터에 도달할 수 없는 경우, 담당자는 모두 간접적으로 같은 것을 말하는 서비스별 알림의 홍수를 필요로 하지 않습니다.

침묵 (Silences)

침묵은 명확한 범위와 시간 경계를 가진 일시적인 음소거입니다. 이는 유지보수, 마이그레이션, 그리고 알려진 사고 동안 유용합니다.

침묵은 수정이 아닙니다. 그것은 일시적인 운영적 제어입니다.

올바른 알람 채널 선택

채널은 응답 형태와 일치해야 합니다.

페이지어 시스템

페이지어는 긴급한 대응을 위한 것입니다. 알람이 누군가를 깨워야 한다면, 채팅방에서 시작해서는 안 됩니다.

채팅 플랫폼

채팅은 협업, 분류, 그리고 인간이 개입하는 워크플로우에 강점이 있습니다. 이것이 바로 Slack integration patterns for alerts and workflows 와 Discord integration patterns for alerts and control loops 가 단순한 메시지 싱크가 아니라 유용한 시스템 인터페이스가 되는 곳입니다.

다음과 같은 경우 채팅을 사용하세요:

팀이 공유 컨텍스트가 필요할 때
대응이 협업을 필요로 할 때
버튼, 명령, 또는 반응이 제어된 동작을 트리거할 수 있을 때
긴급성은 높지만 반드시 페이지어할 필요는 없을 때

이메일

이메일은 본질적으로 낮은 긴급성입니다. 요약, 추세, 그리고 후속 조치에는 적합합니다. 사고 대응에는 약합니다.

대시보드

대시보드는 탐색을 위한 것이지 중단을 위한 것이 아닙니다. 이는 알람을 보완합니다. 대체하지 않습니다.

인간이 개입하는 알람

좋은 알람은 항상 확인으로 끝나지 않습니다. 때로는 워크플로우를 시작합니다.

그것이 채팅 플랫폼이 흥미로워지는 곳입니다. 알람은 컨텍스트와 상호작용 표면과 함께 Slack 또는 Discord 로 들어갈 수 있습니다. 인간은 확인, 승인, 억제, 에스컬레이션, 또는 안전한 동작을 트리거할 수 있습니다. 이는 알람을 방송에서 제어된 상호작용으로 바꿉니다.

그 패턴은 가시성과 통합 패턴의 교차점에 속합니다:

가시성은 무엇을 표면화할 가치가 있는지 결정합니다.
통합 패턴은 인간이 도구를 통해 어떻게 응답할지 결정합니다.

따라서 이 페이지는 채팅 플랫폼 기사를 흡수하기보다 그쪽으로 링크해야 합니다.

알람 메시지에 포함되어야 할 것

놀랍게도 많은 알람 문제는 메시지 설계 문제입니다.

유용한 알람 메시지는 보통 다음을 포함합니다:

짧은 문제 진술
서비스 및 환경
심각도
증상 및 값
사용자 또는 시스템 영향
첫 번째 조사 단계
런북 또는 대시보드 링크

약한 알람은 다음과 같이 말합니다:

high latency detected

더 강력한 알람은 다음과 같이 말합니다:

checkout latency p95 above 1.8s for 15m in prod-eu
impact: user checkout is degraded
next step: inspect upstream payment dependency and error budget panel
runbook: [[siteurl]]/runbooks/checkout-latency

그 차이는 미적이지 않습니다. 그것은 운영적입니다.

반복되는 반패턴 (Anti patterns)

측정 가능한 모든 것에 알람을 울리기

이는 노이즈로 가는 가장 빠른 길입니다. 가시성은 폭에서 번성합니다. 알람은 그렇지 않습니다.

하나의 채널에서 긴급도 수준을 섞기

치명적 페이지, 정보 제공 알람, 그리고 일상적인 논의가 같은 경로를 공유한다면, 대응자는 잘못된 습관을 배웁니다.

레이블 또는 라우팅에 소유권 부재

알람은 인간에게 도달하지만, 올바른 인간에게 도달하지 않습니다.

중복 제거 또는 그룹화 부재

동일한 사고가 수십 개의 알림을 생성합니다. 사람들은 시스템을 신뢰하지 않게 됩니다.

피드백 검토가 없는 알람

시스템은 아무도 설계 루프를 닫지 않기 때문에 계속 같은 나쁜 알람을 보냅니다.

이해하려면 코드를 읽어야 하는 알람

직무 담당자는 다음 단계가 필요하지, 퍼즐이 아닙니다.

실용적인 아키텍처 관점

최소한적이지만 현실적인 모델:

metrics logs traces
        |
        v
   detection rules
        |
        v
   alert manager
   - grouping
   - deduplication
   - inhibition
   - silences
   - routing
        |
        v
receivers and channels
- pager
- chat
- email
- workflow
        |
        v
human or automation
        |
        v
remediation and review

이 모델은 관심사를 분리하기 때문에 확장 가능합니다. 또한 현대적인 알람 스택이 실제로 구축되는 방식과 일치합니다.

결론

알람은 모니터링의 부수적인 효과가 아닙니다. 그것은 가시성 위에 구축된 응답 시스템입니다.

강력한 버전의 알람은 선택적이며, 라우팅되고, 컨텍스트를 가지며, 검토 가능합니다. 그것은 인간의 주의를 범람시키지 않고 조치까지의 시간을 줄입니다. 그것은 신뢰를 보존하기 위해 그룹화, 억제, 침묵, 그리고 적절한 채널 선택을 사용합니다. 그리고 그것은 채팅 플랫폼을 전략의 대용품이 아니라 응답 인터페이스로 취급합니다.