解读

在国内互联网企业的真实面试场景里，这道题表面问的是“AI 预测索引”，实则考察候选人对 Cloud SQL 自治索引建议（Auto-index AI） 在灰度发布链路中的风险闭环理解。面试官希望听到：

1. 索引建议如何产生；
2. 灰度发布如何隔离；
3. 一旦建议有误，如何快速回滚且 零数据损失；
4. 整个机制怎样与 国内合规（等保、关保、数据跨境）对齐。
   答不出“灰度隔离粒度”“回滚时间窗”“合规审计”这三点，基本会被判定为“只背过白皮书”。

知识点

1. AI 预测索引：Cloud SQL 内置的 Auto-index AI 引擎，基于 Query Plan Cache + 贝叶斯回归 预测缺失索引，给出 置信度分数（0–100）。
2. 灰度发布：在国内通常按 “可用区→地域→客户标签”三级灰度，与 阿里云灰度、腾讯云灰度同构；Cloud SQL 通过 Feature Flag + Experiment ID 实现同等效果。
3. 风险评估三件套：
   • 性能回退阈值：p99 延迟上升 >5 % 或 CPU 利用率>80 % 持续 5 min 即触发自动回滚；
   • 数据正确性校验：通过 checksum 任务 对比灰度实例与基线实例的 逻辑复制槽位点，确保 零数据漂移；
   • 合规审计：所有索引变更写入 Cloud Audit Logs，并 自动转存至国内三方日志仓库（如 腾讯云日志服务 CLS 或 阿里云 SLS），满足 等保 2.0 审计留存 180 天要求。
4. 回滚机制：采用 Online DROP INDEX + Instant DDL，MySQL 8.0 引擎可在 1 s 内完成回滚，不锁表；同时 Cloud SQL Auth Proxy 会 自动摘除灰度实例的流量标签，实现 秒级切流。

答案

“AI 预测索引”在 Cloud SQL 的灰度发布中，风险评估机制可拆解为 “生成—隔离—验证—回滚—审计”五段闭环：

1. 生成阶段：Auto-index AI 每日 02:00–04:00 低峰窗口运行，对前一日 慢查询日志 + execution plan 做离线训练，输出 Top-N 索引建议及 置信度；只有 置信度 ≥ 85 且 预计收益 ≥ 30 % 的建议才会进入灰度队列。
2. 隔离阶段：灰度按 “可用区→地域→客户标签”三级策略推进；每个灰度批次最多 5 % 实例，且 同一客户只能命中一个批次，防止 跨地域级联故障；灰度实例通过 Experiment ID 打上 染色标签，Proxy 层根据标签 1 % 流量旁路验证。
3. 验证阶段：
   • 性能维度：Cloud SQL 内置 Agent 每 10 s 上报 p99 延迟、CPU、IO 等待 至 Cloud Monitoring；若任一指标 连续 3 个点超出基线 5 %，立即 熔断该批次。
   • 正确性维度：通过 logical replication slot 把灰度实例 WAL 事件实时回流到 基线实例，做 row checksum；发现 checksum 不一致或 复制延迟 >1 s，立即阻塞索引生效。
4. 回滚阶段：一旦触发阈值，Cloud SQL 控制面在 10 s 内下发 Online DROP INDEX 指令，Instant DDL 保证 不锁表；同时 Auth Proxy 摘除 Experiment ID，流量 0 中断；整个回滚 RTO ≤ 30 s。
5. 审计阶段：所有 索引建议、灰度批次、回滚事件 以 结构化日志 形式写入 Cloud Audit Logs，并 通过 VPC 专线转存至国内合规日志仓库，保留 180 天，支持 等保测评与 关保审计抽查。

通过上述五段闭环，AI 预测索引在灰度发布中的 最大可接受风险（MAR） 被压缩到 “5 % 流量 × 30 s” 以内，数据零损失，合规零触碰红线，满足国内大型金融、政企客户上线要求。

拓展思考

1. 如果业务是 跨境双活，Cloud SQL 跨地域只读实例 的 AI 预测索引 如何与 国内数据出境审查 冲突？
   → 需要把 AI 训练数据 在 境内完成脱敏 后，再 通过 Google 跨境数据专线 同步到 海外控制面；否则 索引建议日志 可能含 用户字段，触发 数据出境评估。
2. 当 MySQL 8.0 Instant DDL 与 PostgreSQL 15 同时存在时，回滚时间窗 差异如何统一？
   → Cloud SQL 内部维护 引擎差异表，PostgreSQL 采用 CONCURRENTLY DROP INDEX 仍可能 锁表 200 ms；因此 PostgreSQL 灰度批次 的 流量上限 被强制降到 1 %，RTO 容忍度 上调到 60 s。
3. 国内 “双录”（录音录像）合规要求下，索引变更 是否需要 人工复核？
   → 对于 金融核心库，置信度 ≥ 95 的建议仍需 DBA 双人复核 并在 “运维审计系统” 做 录屏+录签；Cloud SQL 提供 “人工闸门”API，复核通过 后才真正 ALTER TABLE；该流程已在中国 某头部券商 落地，灰度周期 从 3 天 拉长到 7 天，但 风险责任 完全转移到 甲方 DBA，云厂商免责。

掌握以上 跨境合规、引擎差异、人工闸门 三点，可在面试中反向提问面试官，展示 “云厂商 + 国内合规”双视角，瞬间拉开与普通候选人的差距。