就像我们假设Google的底层系统经常出问题那样，SRE同样假设任何一个数据保护机制都可能在最不适合的时间出现问题。在所依赖的软件系统不停改变的情况下保障大规模数据的完整性，需要很多特定选择的、相互独立的手段来各自提供高度保障。由于数据丢失类型很多（如上文所述），没有任何一种银弹可以同时保护所有事故类型，我们需要分级进行。分级防护会引入多个层级，随着层级增加，所保护的数据丢失场景也更为罕见。图26-2显示了某个对象从软删除到彻底摧毁的过程，以及对应的分级数据恢复策略。第一层是软删除（softdeletion）（或者是某些API提供的“懒删除”机制）。这种类型的保护在实