2025年6月12日,谷歌云平台(GCP)的全球身份与访问管理服务出现故障,短短几分钟内引发了广泛的连锁反应,令全球无数依赖谷歌云底层服务的企业和用户措手不及。此次故障不仅影响了谷歌云内部的众多产品,还波及到了包括Cloudflare和Anthropic在内的多家知名互联网公司的核心业务,凸显出现代云计算基础设施中一个小小“打喷嚏”就能引起的巨大“感冒”效应。本篇深入解析此次事件背后的技术细节、客户影响以及行业启示,探讨如何通过设计优化和应急准备减少类似灾难性故障对业务的冲击。谷歌云身份与访问管理(IAM)作为谷歌云APIs和服务调用的“前门”,承担着身份验证和授权的核心职责。当该系统出现错误时,所有需要身份认证的请求都无法顺畅通过,导致整个生态体系陷入瘫痪。根据谷歌官方和相关公司发布的时间线,故障初现于上午10点50分太平洋时间,由于IAM后端的一次常规更新引入了配置错误,尚未通过金丝雀检测的版本迅速在全球范围内传播。
最先发现异常的是谷歌云SRE团队,他们注意到IAM端点返回的5xx错误激增,紧接着用户在DownDetector和社交平台疯狂报告Gmail、Google Drive、Google Meet等核心应用出现大量503和403错误。作为云计算巨头,谷歌云本应具备高可靠性和冗余机制,但本次事件暴露出控制平面故障的巨大潜在破坏力。控制平面负责管理授权、配置和管理指令,一旦失效,即使数据本身复制完整、安全,服务依然无法正常运行。此时,谷歌工程师紧急回滚有问题的二进制版本,清理错误配置,并强制刷新区域间的令牌缓存,但位于美国中部数据中心的us-central1区域因其承载IAM元数据的仲裁分片,恢复进度显著滞后。与此同时,事件开始引发更深远的连锁反应。Cloudflare作为全球顶级内容交付网络和安全代理服务商,其Workers KV存储系统在持久存储端依赖谷歌云多区域数据库。
这次IAM认证失败导致Cloudflare无法生成新的访问令牌,写入和读取请求全部超时。严重影响了Cloudflare Access的授权过程,导致用户登录循环,WARP零信任网络的设备状态无法同步,Durable Objects的元数据丢失,甚至AI Gateway等高阶产品也因缺失模型清单而启动异常。Cloudflare当即启动最高级别紧急响应,与谷歌工程师建立跨团队指挥桥,最终在下午1点半左右恢复了全球服务。Anthropic作为人工智能领域的创新公司,其旗舰AI助理Claude托管在谷歌云上,也因谷歌云存储上传失败遭遇冲击。文件和图像上传功能暂时被关闭,虽然文本查询得益于缓存令牌仍能继续运作,但错误率明显抬升。Anthropic选择通过限流保持服务可用性,直至谷歌IAM系统恢复稳定,之后逐步恢复所有服务。
此次故障教给云计算行业和开发者许多深刻的经验。首先,控制平面故障的影响远比数据平面故障更难以缓解,客户的业务连续性极易因身份认证和授权的失效而陷入瘫痪。其次,依赖单一供应商的深层次隐形链路风险不容忽视,即使在多云架构或边缘服务设计下,底层核心组件的单点脆弱依然威胁整个生态系统的稳定。快速、真实的状态通告对于用户排查问题尤为关键,谷歌在事件初期近一小时内未能及时升格通知,导致部分客户和合作方耗费大量时间“追踪幽灵故障”。此外,应急绕过设计和故障演练的重要性被重新提上日程,面对复杂跨供应商事件,团队间沟通协调和多方联合响应必须高效无阻。谷歌官方发布的后续调查报告预计将详述故障注入的缺陷、传播机制以及未来防范措施。
Cloudflare计划以技术博客形式解读Workers KV的架构特性和新增冗余方案,为业界提供借鉴。整个事件中最具戏剧性的,还属谷歌us-central1区域表现出的“长尾效应”。在核心基础设施区域的恢复延迟,导致几个复杂服务模块如Dataflow和Vertex AI在线预测功能持续出错,直到傍晚才最终重回正常状态。这种多阶段恢复过程提示网络和云服务运营团队应对系统依赖有更全面的认识及分层应对策略。最终,这起传染效应般的谷歌云IAM故障彰显了互联网基础设施的深刻复杂性和生态互依的现实。它不仅是一次技术故障,更是对全球数字经济稳定性的严峻考验。
面对此类跨域、多方参与的复杂事故,只有持续强化混沌工程演习、重视供应链管理及优化云服务设计,才能让云端更加安全和韧性。技术人员应进一步审视并更新自己的应急预案,确保能够敏捷响应多供应商、多层次的危机。用户亦需认知多云、多边缘环境潜藏的风险,提前做好业务冗余和灾备准备。展望未来,预计云厂商间将加强合作与透明度,更严密地监控和管理基础设施更新,引入更智能的自动化检测与回滚机制,以防止类似大规模连锁故障重演。谷歌这次的“打喷嚏”虽已得到控制,但它种下的警示依然回响在每个依赖现代云计算的企业和开发者耳畔。在全球数字化步伐不断加快的今天,构筑更坚固的云安全防线比以往任何时候都更为紧迫和重要。
。
