Được thiết kế để tiếp tục hoạt động khi có sự cố.

Những gì chúng tôi đã thiết kế

Sự cố ngừng hoạt động của đám mây siêu quy mô

Các nhà cung cấp đám mây lớn gặp sự cố ngừng hoạt động. Không thường xuyên, nhưng ảnh hưởng rõ rệt, và khi điều đó xảy ra, chúng kéo theo sự cố trên phần lớn mạng internet. Chúng tôi thiết kế dựa trên giả định rằng bất kỳ nhà cung cấp đám mây siêu quy mô nào cuối cùng cũng sẽ có một ngày tồi tệ trên phạm vi toàn cầu. Clavitor tiếp tục cung cấp thông tin xác thực khi điều đó xảy ra.

Thảm họa khu vực và các sự kiện tấn công vật lý

Một sự cố khu vực — một cuộc tấn công bằng máy bay không người lái vào trung tâm dữ liệu, một vụ đứt cáp ngầm dưới biển, một thảm họa thiên tai, một cuộc chiến tranh khu vực — có thể làm ngoại tuyến toàn bộ một vùng đám mây. Vào ngày 1 tháng 3 năm 2026, cả hai vùng AWS Trung Đông đã ngừng hoạt động trong cùng một sự cố. Chúng tôi coi đó là một bài học, không phải là một giả thuyết. Kiến trúc xem sự cố khu vực như một trạng thái lỗi thông thường mà khách hàng không hề nhận thấy.

Sự cố ngừng hoạt động của nhà cung cấp DNS

Nếu công ty lưu trữ DNS của bạn gặp sự cố, dịch vụ của bạn sẽ ngừng hoạt động ngay cả khi mọi thành phần khác trong hệ thống vẫn hoạt động bình thường. Điều này đúng với Cloudflare, Route 53 và mọi nhà cung cấp DNS lớn. Chúng tôi đã cân nhắc điều gì sẽ xảy ra khi nhà cung cấp DNS của chúng tôi gặp sự cố.

Sự cố ngừng hoạt động của tổ chức cấp chứng chỉ

Nếu tổ chức cấp chứng chỉ của bạn không thể truy cập được khi chứng chỉ cần gia hạn, kết nối TLS của bạn sẽ bị gián đoạn. Nếu một tổ chức cấp chứng chỉ bị xâm phạm, mọi chứng chỉ mà họ đã cấp sẽ trở nên không hợp lệ. Chúng tôi đã cân nhắc điều gì xảy ra với TLS khi cơ sở hạ tầng CA hoạt động sai lệch.

Sự cố của nhà đăng ký tên miền

Nếu nhà đăng ký tạm khóa tài khoản của bạn hoặc bị xâm phạm, tên miền của bạn sẽ biến mất hoặc bị chuyển hướng bất kể DNS được lưu trữ ở đâu. Chúng tôi đã cân nhắc điều gì xảy ra nếu nhà đăng ký của chúng tôi gặp sự cố.

Sự cố của nhà điều hành TLD

Tổ chức điều hành một tên miền cấp cao (.com, .ai, .io) tự nó là một điểm lỗi đơn. Các TLD nhỏ hơn được điều hành bởi các tổ chức nhỏ hơn với năng lực vận hành hạn chế hơn. Chúng tôi đã cân nhắc điều gì xảy ra nếu nhà điều hành TLD có một tuần tồi tệ.

Sự cố ngừng hoạt động của nhà cung cấp email

Nếu nhà cung cấp email của bạn gặp sự cố, mã khôi phục tài khoản sẽ không được gửi đến, email xác nhận đăng ký không đến, và hộp thư hỗ trợ khách hàng bị tê liệt. Chúng tôi đã cân nhắc điều gì xảy ra với quá trình xác thực và khôi phục khi nhà cung cấp email của chúng tôi không thể truy cập được — và quan trọng hơn, điều gì xảy ra với phần còn lại của sản phẩm khi email bị gián đoạn.

Sự phụ thuộc vào SMS / số điện thoại

Nhiều dịch vụ chuyển sang xác minh bằng SMS khi email gặp sự cố. Chúng tôi đã cân nhắc điều này và quyết định không làm vậy. Việc yêu cầu số điện thoại sẽ thu thập thêm một loại dữ liệu cá nhân mà chúng tôi không muốn, khiến khách hàng dễ bị tấn công đánh tráo SIM và tạo thêm sự phụ thuộc vào nhà cung cấp. Chúng tôi đã chọn một hướng đi tốt hơn.

Sự cố ngừng hoạt động của mặt phẳng điều khiển vận hành

Các công cụ chúng tôi sử dụng để quản lý cơ sở hạ tầng của chính mình cũng có thể gặp sự cố: mạng lưới điều phối, lớp phối hợp, quy trình triển khai. Mỗi công cụ là một mối quan hệ với nhà cung cấp và có thể gặp sự cố. Chúng tôi đã cân nhắc hậu quả của từng trường hợp và dần dần giảm sự phụ thuộc vào các mặt phẳng điều khiển do nhà cung cấp vận hành.

Lỗi phần mềm

Nguyên nhân có khả năng cao nhất gây ra sự cố ngừng hoạt động trên diện rộng là lỗi trong chính phần mềm của chúng tôi, được triển khai đồng loạt ở mọi nơi. Không một sự phân bổ địa lý nào có thể giúp ích khi mọi bản sao đang chạy đều gặp sự cố theo cùng một cách. Chúng tôi đã cân nhắc điều này và thiết kế các phương thức triển khai của mình — triển khai canary, khôi phục nhanh, nút ngắt khẩn cấp — cho phù hợp.

Hành động của nhà cung cấp ở cấp độ tài khoản

Việc tạm khóa tài khoản, tranh chấp thanh toán, lệnh tạm giữ theo quy định và việc thực thi Điều khoản dịch vụ có thể vô hiệu hóa bất kỳ mối quan hệ với nhà cung cấp nào ngay lập tức. Chúng tôi đã cân nhắc hậu quả của việc mọi mối quan hệ với nhà cung cấp quan trọng bị chấm dứt đơn phương, và thiết kế để tránh sự phụ thuộc vào một nhà cung cấp duy nhất ở mọi lớp.

Sự cố tương quan

Một số sự cố làm gián đoạn nhiều thành phần cùng một lúc — một vụ đứt cáp lớn ảnh hưởng đến nhiều tuyến đường, một cuộc tấn công phối hợp trên nhiều dịch vụ, một thảm họa thiên tai ảnh hưởng đến cả hệ thống chính và hệ thống dự phòng của nó. Chúng tôi đã cân nhắc cụ thể các kiểu sự cố tương quan: sự cố của "hệ thống dự phòng" ngay khi hệ thống chính cũng bị gián đoạn. Kiến trúc được thiết kế sao cho không một sự cố đơn lẻ nào có thể làm gián đoạn cả hệ thống chính và hệ thống dự phòng của nó.

Sự phụ thuộc nghiêm trọng vào dữ liệu cá nhân

Khách hàng sử dụng két an toàn không nên phải lựa chọn giữa bảo mật và khả năng khôi phục dữ liệu của chính họ. Chúng tôi đã rà soát mọi điểm mà két an toàn của người dùng phụ thuộc vào một yếu tố khác mà họ có thể đánh mất: số điện thoại, tài khoản email, một thiết bị duy nhất, một mật khẩu duy nhất. Mỗi yếu tố đó hoặc đã bị loại bỏ hoặc được thiết kế lại để không còn phụ thuộc.

Khả năng liên lạc với đội ngũ vận hành

Một nhà cung cấp két an toàn cần đảm bảo đội ngũ của mình có thể liên lạc được với nhau trong suốt sự cố. Chúng tôi đã cân nhắc điều gì xảy ra với khả năng phản ứng của mình khi kết nối internet của chính các nhân viên vận hành bị gián đoạn.

Tầm nhìn mật mã

Mật mã không bất biến. Chúng tôi đã cân nhắc lộ trình chuyển đổi dài hạn cho mọi nguyên thủy mật mã mà chúng tôi phụ thuộc, bao gồm cả mật mã hậu lượng tử.

Những gì chúng tôi không cam kết bảo vệ

Chúng tôi minh bạch về những giới hạn mà kỹ thuật cơ sở hạ tầng có thể đạt được.

Chúng tôi minh bạch về những điều này — và chúng tôi thiết kế mọi thứ khác để đảm bảo khả năng phục hồi dựa trên giả định rằng chúng sẽ không xảy ra.