MK
摩柯社区 - 一个极简的技术知识社区
AI 面试

业务高峰期的微服务熔断与降级协同

2022-05-204.6k 阅读

微服务架构下业务高峰期面临的挑战

在微服务架构盛行的当下,众多企业将业务拆分为一个个独立的微服务,以实现敏捷开发、灵活部署和高效运维。然而,当业务高峰期来临,这种架构也暴露出一些严峻的挑战。

首先,服务调用链变长。在复杂的业务场景中,一个前端请求可能会触发多个微服务之间的链式调用。例如,一个电商平台的下单操作,可能涉及用户服务验证用户信息、库存服务检查商品库存、支付服务处理支付流程等。在业务高峰期,大量的请求涌入,这条调用链上的每个微服务都可能面临高负载压力,任何一个环节出现延迟或故障,都可能导致整个请求响应缓慢甚至失败。

其次,资源竞争加剧。每个微服务都有自己独立的资源需求,包括 CPU、内存、网络带宽等。在业务高峰期,各个微服务对资源的争夺会愈发激烈。比如,多个微服务同时需要处理大量请求,可能导致服务器 CPU 使用率飙升,进而影响所有微服务的性能。

再者,级联故障风险增大。由于微服务之间相互依赖,如果一个微服务出现故障,可能会将这种故障传递给依赖它的其他微服务,像多米诺骨牌一样引发连锁反应,最终导致整个系统瘫痪。例如,订单服务依赖库存服务,若库存服务因高并发而崩溃,订单服务也会因无法获取库存信息而无法正常处理订单,进而影响到依赖订单服务的其他业务流程。

熔断机制

  1. 熔断机制的原理 熔断机制借鉴了电路保险丝的原理。当电路中电流过大时,保险丝会熔断,从而切断电路,防止电器设备因过载而损坏。在微服务架构中,熔断机制用于监控微服务之间的调用。当对某个下游微服务的调用出现一定比例的失败(如连续多次调用超时或返回错误)时,熔断开关会打开。此时,后续对该下游微服务的调用不再实际执行,而是直接返回一个预设的 fallback 响应,这个响应可以是一个简单的错误提示,也可以是缓存中的数据,避免了因等待下游服务响应而浪费资源,从而快速失败并释放资源给其他正常的业务调用。

  2. 熔断状态的转换

    • 关闭(Closed)状态:这是熔断机制的初始状态。在这个状态下,微服务之间的调用正常进行,熔断器会统计调用的成功率、失败率等指标。例如,通过记录一段时间内成功调用的次数和失败调用的次数来计算失败率。
    • 打开(Open)状态:当失败率达到预先设定的阈值时,熔断开关会从关闭状态切换到打开状态。一旦进入打开状态,所有对该下游微服务的调用都会立即返回 fallback 响应,不再实际调用下游服务。例如,假设设定失败率阈值为 50%,当连续 100 次调用中有 50 次失败时,熔断开关打开。
    • 半开(Half - Open)状态:为了给下游微服务恢复的机会,熔断开关在打开一段时间后(这个时间可配置,称为熔断超时时间),会进入半开状态。在半开状态下,熔断器会允许少量的调用实际发送到下游微服务。如果这些调用中的大部分(如超过一定比例,可配置)成功,说明下游服务可能已经恢复,熔断开关会切换回关闭状态;如果这些调用仍然失败较多,熔断开关会再次切换回打开状态。

  3. 代码示例(以 Java 和 Hystrix 框架为例) 首先,引入 Hystrix 依赖:

<dependency>
    <groupId>com.netflix.hystrix</groupId>
    <artifactId>hystrix - core</artifactId>
    <version>1.5.18</version>
</dependency>

定义一个服务类:

import com.netflix.hystrix.HystrixCommand;
import com.netflix.hystrix.HystrixCommandGroupKey;

public class ExampleService {
    public String callRemoteService() {
        // 实际调用远程微服务的逻辑
        // 这里模拟远程调用可能失败的情况
        if (Math.random() > 0.5) {
            throw new RuntimeException("Remote service error");
        }
        return "Success response from remote service";
    }
}

使用 Hystrix 实现熔断:

public class ExampleHystrixCommand extends HystrixCommand<String> {
    private ExampleService exampleService;

    public ExampleHystrixCommand(ExampleService exampleService) {
        super(HystrixCommandGroupKey.Factory.asKey("ExampleGroup"));
        this.exampleService = exampleService;
    }

    @Override
    protected String run() throws Exception {
        return exampleService.callRemoteService();
    }

    @Override
    protected String getFallback() {
        return "Fallback response, remote service is unavailable";
    }
}

在调用端使用:

public class Main {
    public static void main(String[] args) {
        ExampleService exampleService = new ExampleService();
        ExampleHystrixCommand command = new ExampleHystrixCommand(exampleService);
        String result = command.execute();
        System.out.println(result);
    }
}

降级策略

  1. 降级的概念 降级是指当系统资源紧张或某个微服务出现故障时,为了保证核心业务的正常运行,主动降低某些非核心业务的服务质量或暂时停止某些非核心功能的使用。例如,在电商大促期间,为了确保订单处理、支付等核心业务的顺畅,可能会暂时关闭一些诸如用户个性化推荐、商品评论展示等相对非核心的功能。

  2. 自动降级与手动降级

    • 自动降级:通过监控系统实时的资源指标(如 CPU 使用率、内存使用率、请求响应时间等)和业务指标(如错误率、吞吐量等),当这些指标达到预先设定的阈值时,系统自动触发降级策略。例如,当 CPU 使用率超过 80%时,自动停止一些非核心微服务的调用。
    • 手动降级:在某些情况下,运维人员或开发人员根据业务经验和实际情况,手动触发降级操作。比如,在发现某个微服务出现潜在故障风险,但尚未达到自动降级的阈值时,为了避免故障扩大,手动执行降级操作。

  3. 实现方式

    • 基于配置中心:将降级规则存储在配置中心,如 Apollo、Nacos 等。各个微服务通过配置中心获取最新的降级配置。当需要进行降级时,只需在配置中心修改相应的配置参数,微服务会实时感知并执行降级操作。例如,在配置中心设置一个开关,控制是否启用某个微服务的降级功能,以及降级时返回的具体响应内容。
    • 代码埋点:在代码中通过条件判断实现降级逻辑。在关键业务代码处,根据系统的运行状态或特定的标志位来决定是否执行降级操作。例如:
public class UserService {
    private boolean isDegraded;
    private DegradedResponseProvider degradedResponseProvider;

    public UserService(boolean isDegraded, DegradedResponseProvider degradedResponseProvider) {
        this.isDegraded = isDegraded;
        this.degradedResponseProvider = degradedResponseProvider;
    }

    public User getUserById(int id) {
        if (isDegraded) {
            return degradedResponseProvider.getDegradedUser();
        }
        // 正常获取用户信息的逻辑
        return realGetUserById(id);
    }

    private User realGetUserById(int id) {
        // 实际查询数据库或调用其他服务获取用户信息
        return new User();
    }
}

熔断与降级的协同

  1. 协同的必要性 熔断和降级虽然都是应对业务高峰期和微服务故障的有效手段,但它们各自有不同的侧重点。熔断主要针对微服务之间的调用故障,通过快速失败来防止故障蔓延;而降级则侧重于在系统资源紧张或故障时,保证核心业务的可用性。在实际场景中,两者协同工作可以更全面地保障系统的稳定性和可靠性。例如,当一个微服务因高负载出现故障,熔断机制会迅速打开,避免大量无效调用;同时,为了进一步保障系统核心功能,降级策略可以对一些非核心功能进行处理,释放更多资源给核心业务。

  2. 协同工作流程

    • 故障触发:当业务高峰期到来,某个下游微服务可能由于负载过高出现故障,导致调用失败率上升。
    • 熔断启动:熔断器检测到失败率达到阈值,打开熔断开关,后续对该微服务的调用直接返回 fallback 响应,防止故障进一步扩散到其他依赖它的微服务。
    • 资源评估与降级触发:与此同时,系统监控模块实时监测系统整体资源状况,如发现资源紧张(如 CPU 使用率持续过高),结合业务优先级,触发降级策略。例如,关闭一些非核心业务功能,如商品详情页的图片高清展示功能,只提供普通清晰度图片,以减少带宽消耗和图像处理的资源开销。
    • 故障恢复与协同调整:当下游微服务经过修复或负载降低恢复正常后,熔断开关进入半开状态进行试探性调用。如果调用成功,熔断开关关闭,恢复正常调用。同时,随着系统资源压力的缓解,降级策略也可以逐步调整,恢复一些之前被降级的非核心功能,使系统恢复到正常的服务水平。

  3. 案例分析 以一个在线教育平台为例,在考试高峰期,用户登录、课程学习等核心业务请求量剧增。假设视频播放微服务由于高并发出现故障,导致大量视频播放请求失败。此时,熔断机制会迅速启动,对于后续的视频播放请求直接返回“视频服务暂不可用”的 fallback 响应,避免大量无效请求积压。同时,系统检测到服务器资源紧张,CPU 使用率达到 90%,触发降级策略。平台暂时关闭了一些非核心功能,如课程评论的实时显示和用户社区的动态推送,将更多的资源用于保障用户登录和课程学习的流畅性。当视频播放微服务经过优化,负载降低恢复正常后,熔断开关关闭,视频播放功能恢复正常。随着系统资源压力的缓解,课程评论和社区动态推送功能也逐步恢复,系统回到正常运行状态。

监控与调优

  1. 监控指标

    • 熔断相关指标
      • 熔断开关状态:实时监控熔断开关是处于关闭、打开还是半开状态,了解微服务之间调用的健康状况。例如,通过可视化监控界面,运维人员可以直观看到哪些微服务的熔断开关处于打开状态,及时定位问题。
      • 失败率:统计对下游微服务调用的失败率,这是熔断机制触发的关键指标。通过分析失败率的变化趋势,可以提前发现潜在的故障风险。比如,失败率持续上升可能意味着下游微服务出现性能问题或故障。
      • fallback 调用次数:记录通过 fallback 机制返回响应的次数,了解因熔断而采用 fallback 处理的请求规模,评估熔断机制对业务的影响程度。
    • 降级相关指标
      • 降级开关状态:监控各个降级开关的状态,确认哪些功能处于降级状态。例如,通过配置中心的监控功能,可以实时查看哪些业务功能的降级开关被打开。
      • 资源指标:包括 CPU 使用率、内存使用率、网络带宽等。这些指标可以反映系统资源的紧张程度,是触发自动降级的重要依据。例如,当内存使用率超过 80%时,可能触发某些对内存消耗较大的非核心功能的降级。
      • 业务指标:如吞吐量、错误率等。吞吐量可以衡量系统在降级前后的业务处理能力变化,错误率则可以评估降级策略对业务的影响。如果在降级后,核心业务的错误率没有明显上升,而系统整体资源压力得到缓解,说明降级策略有效。

  2. 调优策略

    • 熔断参数调优
      • 失败率阈值:根据业务场景和微服务的稳定性,合理调整失败率阈值。如果阈值设置过低,可能导致熔断开关频繁打开,影响业务正常运行;如果阈值设置过高,可能无法及时触发熔断,导致故障蔓延。例如,对于一些稳定性较高的微服务,可以适当提高失败率阈值;对于容易出现故障的微服务,降低失败率阈值。
      • 熔断超时时间:优化熔断超时时间,确保在下游微服务故障时,熔断开关打开的时间既不会过长导致业务长时间无法正常调用,也不会过短使得微服务没有足够时间恢复。比如,对于恢复时间较长的微服务,可以适当延长熔断超时时间。
    • 降级策略调优
      • 业务优先级评估:定期对业务功能进行优先级评估,确保在降级时能够准确关闭或降低非核心业务的服务质量,优先保障核心业务。例如,随着业务的发展,某些原本被认为是核心的功能可能逐渐变为非核心,需要及时调整降级策略。
      • 资源分配优化:根据监控的资源指标,动态调整降级策略,优化资源分配。比如,当发现 CPU 使用率过高主要是由于某个非核心微服务的复杂计算导致时,可以针对性地对该微服务进行降级,如简化计算逻辑,以降低 CPU 使用率,释放更多资源给核心业务。

实践中的注意事项

  1. 熔断与降级的粒度控制 在实施熔断和降级策略时,需要精确控制粒度。如果粒度太粗,可能会对整个业务模块产生较大影响,导致用户体验大幅下降。例如,在一个电商 APP 中,如果对整个商品模块进行熔断或降级,用户将无法查看任何商品信息,这显然是不可接受的。相反,如果粒度太细,可能会增加系统的复杂度和维护成本。因此,需要根据业务场景和用户体验,合理划分熔断和降级的粒度。比如,可以将商品模块细分为商品列表展示、商品详情查看等子功能,只对出现故障或资源紧张的子功能进行熔断或降级。

  2. 数据一致性问题 在熔断和降级过程中,可能会出现数据一致性问题。例如,当使用缓存数据作为 fallback 响应时,缓存数据可能不是最新的。在电商场景中,如果库存服务出现故障,熔断后返回的缓存库存数据可能与实际库存不一致,导致用户看到的库存信息有误。为了解决这个问题,可以采用一些数据同步机制,如定时刷新缓存,或者在库存数据发生变化时,及时通知相关微服务更新缓存。另外,在业务允许的情况下,可以对关键数据的操作进行记录,待故障恢复后进行数据核对和修复。

  3. 与其他系统的兼容性 在实际项目中,微服务架构可能会与其他系统(如第三方支付系统、物流系统等)进行集成。在实施熔断和降级策略时,需要考虑与这些外部系统的兼容性。例如,在与第三方支付系统交互时,如果因为业务高峰期对支付微服务进行熔断或降级,可能会影响支付流程的正常进行。此时,需要与第三方系统提供商沟通,制定合理的应对方案,如采用备用支付渠道,或者在熔断时返回特定的提示信息,引导用户进行后续操作。

  4. 测试与演练 在生产环境部署熔断和降级策略之前,必须进行充分的测试和演练。通过模拟业务高峰期的高并发场景,测试熔断和降级机制是否能够正常触发,以及触发后的系统表现是否符合预期。同时,演练还可以帮助运维和开发人员熟悉故障处理流程,提高应对实际故障的能力。例如,可以使用工具如 JMeter 对微服务进行压力测试,在测试过程中故意制造微服务故障,观察熔断和降级机制的运行情况,及时发现并解决潜在问题。

  5. 日志与报警 完善的日志记录和报警机制对于熔断和降级策略的有效实施至关重要。日志应详细记录熔断和降级的触发时间、原因、涉及的微服务等信息,以便在出现问题时能够快速定位和分析。同时,设置合理的报警规则,当熔断开关打开、降级策略触发或系统资源指标超出阈值等情况发生时,及时通知相关人员。例如,通过邮件、短信或即时通讯工具向运维人员发送报警信息,确保问题能够得到及时处理。