解读

面试官真正想考察的是：

1. 你是否理解“右移”意味着把验证动作推迟到真实生产环境；
2. 你是否能在真实流量、真实数据、真实配置的前提下，既拿到可信容量基线，又不污染线上业务、不泄露用户数据、不触发资损；
3. 你是否能把“影子流量”从“录制→隔离→放大→监控→止血→恢复”做成一条可灰度、可回滚、可审计的闭环。

一句话：既要压出真瓶颈，又不能让生产“翻车”。

知识点

1. 影子流量定义：复制真实入口流量（或用户请求镜像），去掉写副作用（下单、支付、库存扣减等），只保留读或“可回滚写”路径。
2. 安全三原则：数据安全（脱敏、采样、加密）、业务安全（写操作幂等或回滚）、系统安全（资源隔离、熔断、限流）。
3. 国内合规：必须满足《个人信息保护法》《数据安全法》要求，影子库/表若含PII，需动态脱敏或哈希化处理，且要获得用户授权或走“最小可用”豁免流程。
4. 技术栈：
   • 流量镜像：Envoy、Istio、Nginx-mirror、阿里MSE、腾讯TSF、字节Amesh；
   • 写流量隔离：影子库、影子表、影子MQ Topic、TCC/Seata事务回滚；
   • 资源隔离：独立K8s Namespace+NodePool、独立数据库实例、独立缓存集群、独立网关集群；
   • 监控与熔断：Prometheus+Grafana+Alertmanager、阿里SLS、腾讯CLS、字节Volcano，配合自定义规则：CPU>70%、RT>P99基线*1.5、错误率>1%立即熔断；
   • 数据校验：影子链路返回结果与生产实时diff，差异率>0.1%自动终止压测；
   • 灰度与回滚：按“集群→AZ→Region”三级灰度，支持一键kill流量镜像开关和影子数据源路由。
5. 流程：
   ① 评估：梳理写接口清单，标记“可回滚/只读”等级；
   ② 脱敏：PII字段走哈希或掩码，敏感业务走采样（如只复制5%用户）；
   ③ 隔离：影子环境独立预算、独立配额、独立配额告警；
   ④ 预热：低并发（5%峰值）跑30min，观察diff、资源、日志；
   ⑤ 加压：阶梯式提升并发，每级停留10min，记录RT、TPS、错误率、CPU、内存、线程、GC、DB慢SQL；
   ⑥ 定位：结合eBPF、Arthas、阿里云PTS洞察、腾讯蓝盾APM，定位到代码方法、SQL、线程、网络；
   ⑦ 止血：任一SLA突破即触发熔断，流量镜像开关0秒下线；
   ⑧ 复盘：输出《影子压测报告》，含风险清单、优化建议、下次压测范围。

答案

示范回答（可直接背诵，面试时按要点展开）：

“影子流量压测的核心是‘镜像流量、隔离写风险、可灰度、可熔断’。我的做法分五步：

第一步，流量镜像与脱敏。用Istio的VirtualService把入口流量实时复制一份到影子网关，同时用Lua脚本把手机号、身份证等PII字段做SHA256哈希，确保合规。

第二步，写操作隔离。对订单、支付等写接口，统一走影子库和影子表，并在业务代码里用‘@ShadowDataSource’切换数据源；对必须落生产日志的埋点，采用异步MQ，影子Topic消费后直接丢弃，避免脏数据。

第三步，资源与配额隔离。影子服务单独部署在K8s的shadow-nodepool，数据库用只读实例+延迟复制，缓存单独开一套Redis-cluster，并配置独立的CPU、内存、连接池上限，防止把生产资源挤爆。

第四步，灰度压测与熔断。先复制5%流量预热30分钟，确认RT差异<5%、错误率=0后，再按20%、50%、100%三级递增加压；同时配置Prometheus规则，CPU>70%或RT>P99基线*1.5或错误率>1%立即触发Alertmanager，通过Webhook秒级关闭Istio镜像开关，实现0秒止血。

第五步，结果校验与复盘。用Diffy对影子接口返回值与生产实时对比，差异率超过0.1%自动终止；压测结束后输出报告，包括峰值TPS、P99 RT、瓶颈SQL、GC次数、优化建议，并同步给架构、DBA、SRE，排期优化。

通过这套闭环，我们曾在双11前用影子流量压出会员中心接口在2.5万TPS时P99 RT突增到1.2s的问题，最终把缓存热Key打散+异步批处理，RT降到280ms，且全程零资损、零客诉。”

拓展思考

1. 如果公司暂时不具备完整影子环境，能否用“采样+只读”方式做轻量级右移？如何权衡覆盖率与风险？
2. 对金融支付类系统，写操作无法避免，能否用“记账+冲正”模式实现可回滚影子写？冲正时效与一致性如何保障？
3. 影子流量压测与混沌工程如何结合？在注入故障（网络延迟、节点宕机）时，如何确保熔断策略优先于故障爆炸半径？
4. 国内多云场景下，跨云流量镜像带来额外出流量费用，如何通过边缘网关或云厂商内部VPC免流方案降低成本？
5. 未来ServiceMesh全面落地后，影子流量规则可下沉至Sidecar，业务代码零侵入，此时性能测试工程师的角色将如何演变？是否需要更深入eBPF内核追踪与可观测性建设？