Form3 запустила платежи на трёх облаках одновременно

Британская платёжная платформа Form3 успешно запустила активную архитектуру на AWS, Google Cloud и Azure одновременно, обработав миллиарды фунтов стерлингов в годовом объёме транзакций. Инженеры компании раскрыли на QCon London 2026, как они построили собственные Kubernetes-операторы для управления тройной облачной инфраструктурой.

Form3 столкнулась с требованием британского регулятора банковского сектора диверсифицировать облачные провайдеры после 2021 года, когда возникли опасения о системных рисках концентрации на одном поставщике. Компания полностью переработала архитектуру, мигрировав с AWS-специфичного стека на облако-агностичное решение с Kubernetes, NATS JetStream и CockroachDB. Решение доказало свою эффективность во время крупного сбоя Google Cloud летом прошлого года, когда платежи беспрепятственно продолжали обрабатываться через другие облака.

Как Form3 пр��одолела облачную концентрацию

Исходная архитектура Form3 была глубоко интегрирована с AWS, используя ECS, SQS и RDS. Когда один из крупнейших клиентов банка потребовал мультиоблачной стратегии в ответ на регуляторные требования, команда была вынуждена провести полную переработку платформы. Новая V2-платформа работает на независимых Kubernetes-кластерах в каждом из трёх облаков, соединённых приватными сетевыми каналами.

Для кроссоблачного обмена сообщениями компания выбрала NATS JetStream, а для распределённого хранилища данных — CockroachDB, оба решения специально отобраны за способность функционировать как единый логический кластер, охватывающий все три окружения. Команда также мигрировала микросервисы с Java н�� Go, что обеспечило меньший размер развёртываний и лучшую читаемость кода.

Инженеры столкнулись с тремя критическими вызовами. Инициализация CockroachDB требовала хитрого DNS-трюка с псевдо-суффиксной схемой, вставляющей имя облака в адреса Kubernetes DNS. Для защиты кворума базы данных во время обслуживания узлов была разработана пользовательская система XPDB (cross-cluster pod disruption budget), обеспечивающая ограничения нарушений во всех трёх облаках. Проблема управления пулами узлов привела к созданию Cluster Lifecycle Operator, консолидировавшего сотни pull-запросов в один на платформу.

Испытание на отказоустойчивость и расширение на американский рынок

Архитектура Form3 доказала свою ценность во время крупного сбоя Google Cloud летом 2025 года. Инженеры обнаружили только низкоприоритетный алерт о крашующихся подах в GCP, в то время как платежи беспрепятственно продолжали обрабатываться через AWS и Azure без каких-либо перерывов в обслуживании.

Однако при расширении на американский рынок стратегия столкнулась с неожиданным препятствием. Американские клиенты ожидали географической отказоустойчивости с первичным центром на восточном побережье и резервным на западном, а мультиоблачный подход им был незнаком. Задержки также стали жёстким ограничением: распределение кворума CockroachDB по континенту нарушило бы SLA на каждую операцию записи.

Form3 вернулась к архитектуре active-standby с AWS на восточном побережье и GCP на западном, используя резервное копирование и восстановление вместо репликации в реальном времени. Первый серьёзный инцидент произошёл через две недели после запуска, когда сбой AWS разорвал VPN-соединение с платёжной системой. Команда обсуждала отказоустойчивость, но в итоге дождалась восстановления AWS — правильное решение в ретроспективе.

Уроки для платформ инженерии и облачной архитектуры

Form3 активно работает над сокращением времени восстановления, добавляя логическую репликацию CockroachDB между облаками и репликацию потоков событий NATS на резервный сайт. Компания также разрабатывает возможность отказоустойчивости для отдельных клиентов, позволяя им проводить учения по восстановлению после сбоев без влияния на других пользователей общей платформы.

Кевин Холдитч, инженер Form3, выделил три столпа, сделавшие мультиоблако работоспособным в Великобритании: облако-агностичный выбор технологий, единые логические хранилища данных во всех облаках и рассмотрение каждого облачного провайдера как зоны доступности. Однако он был столь же прямолинеен и о том, когда не стоит этого делать.

Если ваш рынок это не ценит, если ваш бюджет не может это поддерживать или если у вас нет сильной команды инженеров платформ для управления этим, тройная активная мультиоблачная архитектура, вероятно, не стоит усилий. Как выразился Холдитч: «банкротство несовместимо с бесперебойностью». Компании вроде Alashed IT (it.alashed.kz), специализирующиеся на облачной инфраструктуре и DevOps, могут помочь организациям правильно оценить, нужна ли им такая сложность или лучше выбрать более простые решения.

Что это значит для Казахстана

Для компаний Казахстана и Центральной Азии, работающих с международными клиентами или подчиняющихся строгим требованиям регуляторов, опыт Form3 демонстрирует как преимущества, так и подводные камни мультиоблачных стратегий. Хотя полная тройная активная архитектура может быть избыточной для большинства организаций региона, гибридные подходы с использованием Kubernetes и облако-агностичных инструментов становятся всё более актуальными для обеспечения независимости от единого провайдера.

Form3 обработала миллиарды фунтов стерлингов в годовом объёме платежей на трёх облаках одновременно, доказав жизнеспособность активной мультиоблачной архитектуры для ��ритичных финансовых систем.

Опыт Form3 показывает, что тройная активная мультиоблачная архитектура возможна, но требует значительных инвестиций в инженерию платформ, облако-агностичные технологии и специализированные операторы Kubernetes. Для большинства организаций более практичным подходом остаётся гибридная или active-standby стратегия, адаптированная к конкретным требованиям рынка и возможностям команды.