В начале марта 2026 года иранские дроны нанесли удар по трём объектам AWS на Ближнем Востоке. Два в ОАЭ были поражены напрямую. Один в Бахрейне получил повреждения от взрыва поблизости. Пожар, структурные повреждения, ущерб от воды при тушении, перебои с электричеством. Полный набор.
AWS порекомендовал клиентам сделать резервные копии данных, рассмотреть перенос рабочих нагрузок в другие регионы и перенаправить трафик из Бахрейна и ОАЭ. Это AWS, крупнейший облачный провайдер на планете, который говорит вам прямым текстом: мы не можем гарантировать ваш аптайм здесь.
Это первый подтверждённый военный удар по гиперскейл облачному провайдеру. Он не будет последним.
У облака есть адрес
Индустрия стриминга провела десятилетие, делая вид, что «облако» — это какой-то абстрактный, бесконечно отказоустойчивый слой, который просто работает. Это не так. Облако работает на физических серверах, в физических зданиях, с физическими источниками питания. И у этих зданий есть координаты, которые можно ввести в навигационную систему дрона.
Банковские приложения, платёжные сервисы, платформы доставки, корпоративное ПО: всё отключилось в регионе Персидского залива, когда дроны нанесли удар. Стриминговые сервисы, использующие origin-серверы или конвейеры упаковки в me-central-1 или me-south-1, не стали исключением.
Если ваш HLS origin находится в одном регионе AWS, ваш поток ровно настолько устойчив, насколько прочны бетонные стены этого дата-центра. Это больше не метафора.
Почему стриминг особенно уязвим
Когда веб-сайт падает на 30 минут — это болезненно. Когда прямой эфир падает на 30 секунд — это катастрофа. Зрители уходят. Они не возвращаются до конца мероприятия. Рекламные доходы испаряются. Штрафные санкции по контрактам вступают в силу.
У стриминга есть уникальные точки хрупкости, которые обычные рекомендации по отказоустойчивости облака не покрывают:
Непрерывность манифестов. Когда CDN отказывает во время потока, плеер должен получить следующий сегмент из другого источника, не нарушая ABR-сессию. Если ваши манифесты не спроектированы для multi-CDN доставки, переключение при сбое означает полный перезапуск плеера для каждого зрителя.
Зависимость от origin shielding. Большинство архитектур используют единственный origin shield между упаковщиком и CDN edge. Если этот щит находится в регионе, который отключается, ваши граничные узлы не могут ничего получить. Кеш в итоге истекает, и на этом всё.
DRM лицензионные серверы. Получение лицензий Widevine и PlayReady происходит при запуске потока и при интервалах ротации ключей. Если ваш лицензионный сервер работает в одном регионе и этот регион отключается, новые зрители не могут начать воспроизведение. Существующие зрители теряют доступ при следующей ротации ключей.
Инфраструктура вставки рекламы. Серверы принятия решений SSAI, маяки отслеживания рекламы, API сопутствующей рекламы: у всего этого свои инфраструктурные зависимости. Поток может технически продолжать работать, пока рекламный конвейер рушится, превращая ваш монетизированный контент в бесплатный.
Что делать
Хорошие новости: ничто из этого не является нерешаемым. Плохие новости: большинство стриминговых операторов никогда ничего из этого не тестировали.
1. Знайте свою реальную цепочку зависимостей
Прежде чем что-то исправлять, нужно увидеть проблему. У большинства инженеров стриминга есть примерная ментальная модель своей архитектуры, но они никогда не составляли реальную карту каждого origin, каждого CDN, каждого DRM-эндпоинта, каждого рекламного сервера и каждой DNS-зависимости.
Пропустите URL вашего потока через качественный анализатор. Посмотрите на полное дерево манифестов. Проверьте, откуда реально раздаётся каждый сегмент. Определите, какой CDN несёт основную нагрузку. Проверьте, является ли ваше резервирование реальным или это просто строчка в презентации.
Проверьте отказоустойчивость вашего потока прямо сейчас на iReplay.TV Stream Analyser →
Анализатор покажет вам CDN, раздающий ваши сегменты, цепочку origin за вашими манифестами, длительность сегментов (которая напрямую влияет на время переключения при сбое) и то, сможет ли ваш поток пережить региональный сбой. Пять минут анализа могут спасти вас от обнаружения единичных точек отказа во время прямого эфира.
2. Внедрите настоящий multi-CDN, а не формальный multi-CDN
Наличие двух контрактов с CDN — это не multi-CDN стратегия. Настоящая multi-CDN конфигурация означает:
- Ваши манифесты содержат URL сегментов, которые могут разрешаться на несколько CDN-эндпоинтов
- Ваш плеер или уровень манипуляции манифестами может переключать CDN посреди сессии без прерывания воспроизведения
- Вы протестировали переключение при сбое под реальной нагрузкой, а не только на доске
- Ваш origin способен выдержать лавину запросов, когда весь трафик внезапно перемещается на выживший CDN
Большинство стриминговых операторов обнаруживают во время первого реального сбоя, что их «multi-CDN» на самом деле — это два CDN с ручным переключением DNS и 30-минутным TTL. Это не отказоустойчивость. Это надежда.
3. Распределите origin и упаковку
Если ваш live-упаковщик работает в одном облачном регионе, у вас единственная точка отказа. Точка. Запускайте резервную упаковку минимум в двух географически разнесённых регионах. Используйте разных облачных провайдеров, если можете справиться с операционной сложностью.
Для VOD убедитесь, что ваше origin-хранилище реплицируется между регионами с автоматическим переключением при сбое. Кросс-региональная репликация S3 — очевидный ответ AWS, но после марта 2026 более умный вопрос: а должен ли ваш резервный origin вообще быть на AWS?
4. Проведите аудит DRM и рекламной инфраструктуры
DRM лицензионные серверы и движки принятия решений SSAI — это скрытые единичные точки отказа в большинстве стриминговых архитектур. Они часто размещены в одном регионе, у одного провайдера, без плана переключения при сбое, кроме «он никогда не падал».
Пока дрон не попал в здание.
Проверьте, где работает ваш прокси Widevine/PlayReady. Проверьте, где находится ваш сервер принятия решений SSAI. Проверьте, могут ли ваши рекламные маяки пережить региональный сбой. Анализатор потоков поможет вам обнаружить часть этих зависимостей.
5. Проектируйте для деградированного режима, а не только для полного аптайма
Отказоустойчивость инфраструктуры — это о том, чтобы поток продолжал работать. Но реальная отказоустойчивость также означает наличие плана на случай, когда поток не может продолжать работать. Лучшие новостные и спортивные приложения не просто гаснут, когда CDN падает. Они деградируют плавно.
Офлайн-воспроизведение для короткого контента. Короткие новостные клипы, хайлайты, предзаписанные выпуски: их можно предзагрузить на устройство и воспроизводить локально, когда связь ухудшается или бэкенд-инфраструктура отказывает. HLS нативно поддерживает офлайн-воспроизведение на платформах Apple, и большинство современных плееров справляются с этим на Android тоже. Если ваше приложение доставляет новости или короткий контент, нет оправдания тому, что последняя порция клипов не кеширована на устройстве. Когда дата-центр в Бахрейне уходит в темноту, у ваших пользователей всё ещё есть что смотреть. Ключ в том, чтобы агрессивно обновлять офлайн-кеш при нормальной работе, чтобы контент оставался актуальным.
Push-уведомления как альтернативный канал доставки. Когда ваша стриминговая инфраструктура частично недоступна, push-уведомления становятся вашей системой экстренного вещания. Хорошо продуманная стратегия уведомлений может перенаправить пользователей на работающие зеркала, доставить текстовые сводки новостей или просто подтвердить сбой и задать ожидания. Push-инфраструктура (APNs, FCM) работает на собственных системах Apple и Google, полностью независимо от вашего стримингового бэкенда. Если ваш CDN падает, но конвейер уведомлений ещё работает, вы можете держать аудиторию в курсе и вовлечённой, вместо того чтобы позволить ей молча уйти к конкуренту.
Резервный режим только аудио. Полный видеопоток на 4 Мбит/с — это много инфраструктуры для поддержания в условиях стресса. Аудиопоток на 64 кбит/с примерно в 60 раз дешевле в доставке и может работать на малой доле полосы пропускания и серверных мощностей. Особенно для новостного контента режим только аудио — вполне приемлемый деградированный режим. Многие зрители и так слушают новостные потоки в дороге или при многозадачности. Встраивание явной аудио-рендиции в вашу ABR-лестницу означает, что ваш сервис продолжает работать даже при компрометации видеодоставки. Это также открывает дверь к доставке по протоколам, более устойчивым к потере пакетов, или даже через обычную подкаст-инфраструктуру как последний вариант.
Вот в чём проблема: удивительно много потоков всё ещё работают на устаревшей упаковке MPEG-2 Transport Stream, где аудио и видео мультиплексированы вместе. Невозможно запросить только аудио. Невозможно деградировать плавно. Плеер скачивает полный мультиплексированный сегмент или ничего. Если ваш поток всё ещё на MPEG-2 TS без отдельной аудио-рендиции, вы упускаете самый дешёвый рычаг отказоустойчивости. Переход на fMP4/CMAF с отдельным аудио-вариантом в мастер-плейлисте — это решение. iReplay.TV Stream Analyser покажет вам за секунды, есть ли у вашего потока аудио-рендиция или вы всё ещё застряли в территории TS.
Это не утешительные призы. Это разница между «приложение сломалось» и «приложение всё ещё работает, просто по-другому прямо сейчас». Пользователи прощают временную деградацию. Они не прощают тишину.
Новая реальность
Иранский конфликт вынудил начать разговор, к которому индустрия стриминга не была готова. Облачная инфраструктура не непобедима. Географическая диверсификация не опциональна. И «с нами это, наверное, не случится» — это не стратегия отказоустойчивости.
КСИР открыто назвал американские технологические компании законными военными целями. Google, Microsoft и Oracle — все эксплуатируют дата-центры в том же регионе. Следующий удар может прийтись по другому провайдеру, другому региону или точке выхода подводного кабеля. Оптоволоконные маршруты в Персидский залив и из него ограничены, и менее уязвимыми они не становятся.
Если ваши потоки зависят от инфраструктуры на Ближнем Востоке, или если ваша глобальная архитектура имеет скрытые зависимости от одного облачного провайдера, сейчас самое время это выяснить. Не во время следующего удара.
Проанализируйте отказоустойчивость вашего потока → ireplay.tv/tools/stream-analyser