MK
摩柯社区 - 一个极简的技术知识社区
AI 面试

深入理解熔断与降级在微服务里的关键作用

2024-11-265.0k 阅读

微服务架构中的故障问题背景

在微服务架构盛行的当下,系统被拆分成众多相互独立的微小服务,每个服务专注于特定业务功能。这种架构带来了诸如易于维护、可独立扩展等诸多优势,但同时也引入了新的挑战,尤其是在处理服务间依赖关系时的故障问题。

在传统单体架构中,应用作为一个整体运行,虽然存在牵一发而动全身的风险,但故障范围相对集中。而微服务架构下,各个微服务通过网络进行通信,一个服务的故障可能会在整个系统中产生连锁反应,进而影响到其他服务的正常运行。例如,服务 A 依赖服务 B,当服务 B 出现性能下降或故障时,服务 A 对服务 B 的请求可能会长时间等待,占用服务 A 的资源,如线程、连接等。若大量请求同时到达服务 A,这些资源可能会被耗尽,导致服务 A 自身也无法正常响应其他请求,甚至崩溃。更糟糕的是,这种故障可能会沿着服务调用链扩散,影响到更多的服务,最终导致整个微服务系统的瘫痪,这就是所谓的“雪崩效应”。

熔断机制的概念与原理

熔断器的状态模型

熔断机制借鉴了电路熔断器的原理。在电路中,当电流过大时,熔断器会自动断开,以保护电路设备不受损坏。在微服务中,熔断器监控服务间的调用情况,当失败次数或失败率达到一定阈值时,熔断器就会“熔断”,阻止后续请求继续调用故障服务。

一般来说,熔断器有三种状态:

  1. 关闭(Closed)状态:这是熔断器的初始状态。在这个状态下,服务调用正常进行,熔断器会统计服务调用的成功和失败次数。例如,使用滑动窗口算法来记录一段时间内的调用情况。假设滑动窗口大小为 100 次调用,每一次调用都会更新窗口内的成功和失败计数。如果在这个窗口内,失败率低于设定的阈值(如 50%),熔断器保持关闭状态。
  2. 打开(Open)状态:当失败率超过设定阈值时,熔断器进入打开状态。此时,后续对该服务的请求不再实际调用故障服务,而是立即返回一个预设的错误响应,这被称为“快速失败”。这样可以避免大量无效请求等待故障服务响应,从而节省资源,防止故障扩散。例如,服务 A 调用服务 B,在最近的 100 次调用中有 60 次失败,超过了 50%的阈值,熔断器打开,之后服务 A 对服务 B 的请求不再发起真正的网络调用,而是直接返回一个类似“服务暂时不可用”的错误信息。
  3. 半打开(Half - Open)状态:熔断器在打开状态一段时间后(这个时间称为熔断超时时间),会进入半打开状态。在半打开状态下,熔断器会允许少量请求通过并实际调用故障服务。如果这些调用大部分成功,说明故障服务可能已经恢复,熔断器会切换回关闭状态;如果调用再次失败,熔断器会重新回到打开状态。例如,熔断器打开 10 秒后进入半打开状态,允许 10 个请求尝试调用服务 B。如果这 10 个请求中有 8 个成功,那么熔断器认为服务 B 已恢复,切换回关闭状态;若只有 3 个成功,熔断器则重新回到打开状态。

熔断机制的实现要点

  1. 失败统计:要准确判断是否需要熔断,就需要精确统计服务调用的失败情况。常见的统计方式有基于计数器和基于时间窗口的方式。基于计数器的方式简单直接,记录成功和失败的次数,但它可能无法很好地适应流量变化较大的场景。而基于时间窗口的方式则更为灵活,它将时间划分为多个窗口,统计每个窗口内的成功和失败次数,能够根据流量动态调整对失败情况的判断。例如,在高流量时段,时间窗口可以适当增大,以更全面地统计调用情况。
  2. 阈值设定:阈值的设定至关重要,它直接决定了熔断器何时熔断。如果阈值设置过低,可能会导致服务稍有波动就熔断,影响系统正常运行;如果阈值设置过高,又可能无法及时阻止故障扩散。阈值的设定需要根据服务的实际情况,通过大量的测试和监控数据来确定。例如,对于一个对可用性要求极高且很少出现故障的核心服务,可以将失败率阈值设置得相对较高;而对于一个不太稳定的边缘服务,阈值可以设置得低一些。
  3. 熔断超时:熔断超时时间决定了熔断器在打开状态下保持多久进入半打开状态。这个时间不宜过长也不宜过短。过长会导致服务恢复后长时间无法正常调用,影响业务;过短则可能服务还未真正恢复就再次尝试调用,导致再次失败。通常可以根据服务故障恢复的平均时间来设定熔断超时时间,比如通过历史数据统计发现某个服务故障恢复平均需要 1 分钟,那么熔断超时时间可以设置为 1 - 2 分钟。

降级机制的概念与原理

什么是降级

降级是指当系统资源紧张或某个服务出现故障时,为了保证核心业务的正常运行,主动降低一些非核心业务的服务质量或暂时停止这些业务的服务。与熔断机制不同,熔断主要是为了防止故障扩散,而降级更多是从资源分配和业务优先级的角度出发,确保系统整体的可用性。

例如,在一个电商系统中,商品详情页面的展示是核心业务,而商品评论区的实时推荐功能属于非核心业务。当系统遇到高并发,资源紧张时,为了保证商品详情页面能正常展示给用户,就可以暂时关闭商品评论区的实时推荐功能,这就是一种降级策略。

降级的类型

  1. 主动降级:根据系统的负载情况、业务规则或监控指标,主动触发降级操作。例如,通过监控系统实时监测服务器的 CPU 使用率、内存使用率等指标。当 CPU 使用率超过 80%时,系统自动触发降级策略,关闭一些非核心的服务接口。又比如,在电商大促期间,提前根据业务规划,主动对一些非核心业务进行降级,如关闭商品图片的高清展示功能,只提供普通清晰度图片,以节省带宽资源,保证商品下单等核心业务的流畅运行。
  2. 被动降级:当某个服务出现故障时,依赖该服务的其他服务自动进行降级。例如,服务 A 依赖服务 B 获取用户的详细信息用于个性化推荐。当服务 B 出现故障时,服务 A 无法获取完整的用户信息,此时服务 A 可以采用降级策略,改为提供通用的推荐内容,而不是个性化推荐内容,以保证服务 A 自身仍能为用户提供一定程度的服务。

降级的实现方式

  1. 代码层面的实现:在代码中通过条件判断来实现降级逻辑。例如,在 Java 中可以使用 if - else 语句。假设存在一个获取商品详细信息的方法,该方法依赖另一个服务获取商品的额外描述信息。当获取额外描述信息的服务出现故障时,可以这样实现降级:
public String getProductDetails(Product product) {
    String extraDescription = null;
    try {
        extraDescription = extraDescriptionService.getExtraDescription(product.getId());
    } catch (Exception e) {
        // 服务故障,进行降级
        extraDescription = "暂无额外描述";
    }
    return "商品名称:" + product.getName() + ", 价格:" + product.getPrice() + ", " + extraDescription;
}
  1. 配置中心实现:通过配置中心来管理降级策略。将降级规则配置在配置中心,各个微服务从配置中心获取配置信息。这样可以在不修改代码的情况下,动态调整降级策略。例如,使用 Apollo 配置中心,在配置文件中定义:
降级策略:
  服务A:
    触发条件: 服务B故障
    降级操作: 返回默认数据

微服务启动时从 Apollo 配置中心拉取配置信息,当满足触发条件时执行相应的降级操作。

熔断与降级的关系

相同点

  1. 目标一致:熔断和降级的最终目标都是保障微服务系统的可用性和稳定性,避免因局部故障导致整个系统的崩溃。无论是熔断阻止故障扩散,还是降级合理分配资源,都是为了确保系统能持续为用户提供服务。
  2. 都是应对故障的策略:它们都是在微服务架构面临服务故障、性能下降等问题时采取的应对措施。在面对复杂的服务依赖关系和可能出现的各种故障场景下,熔断和降级作为保障机制发挥着重要作用。

不同点

  1. 触发条件不同:熔断主要基于服务调用的失败情况,如失败率、连续失败次数等。当这些指标达到设定阈值时触发熔断。而降级的触发条件更为多样化,可以基于系统资源(如 CPU、内存、带宽等)的使用情况,也可以基于业务规则,或者是依赖服务的故障情况。例如,当系统内存使用率过高时触发降级,这与熔断基于服务调用失败触发是不同的。
  2. 处理方式不同:熔断是在熔断器打开时,直接阻止对故障服务的调用,返回预设的错误响应。而降级则是通过降低服务质量或停止非核心业务来保证核心业务的运行。例如,熔断时请求根本不会到达故障服务,而降级可能是服务仍在运行,但提供的是简化或默认的服务内容。
  3. 应用场景不同:熔断更侧重于防止故障在服务间的连锁反应,适用于服务间依赖关系中的故障处理。比如在一个多层级的微服务调用链中,当某个中间层服务出现故障时,熔断可以快速切断故障传播。而降级更多应用于系统整体资源紧张或需要优先保障核心业务的场景。例如,在电商大促期间,为了保证订单处理等核心业务,对一些非核心的营销活动页面进行降级。

实际应用案例

电商系统中的熔断与降级

  1. 熔断案例:在一个电商系统中,订单服务依赖库存服务来检查商品库存是否充足。库存服务由于数据库临时故障,出现大量请求失败。订单服务中的熔断器监测到对库存服务的调用失败率超过了 60%(预设阈值),于是熔断器打开。此后,订单服务对库存服务的请求不再实际发送,而是立即返回一个“库存服务暂不可用,请稍后重试”的错误响应。这使得订单服务自身不会因为等待库存服务响应而耗尽资源,避免了订单服务因库存服务故障而崩溃,从而保证了系统中其他与订单相关的功能(如订单查询、支付等)仍能正常运行。
  2. 降级案例:在电商大促期间,系统流量激增,服务器资源紧张。商品详情页原本提供了商品的 360 度全景展示、高清视频介绍等功能。为了保证商品详情页的基本信息(如商品名称、价格、基本描述等)能快速展示给用户,系统采取降级策略。关闭商品的 360 度全景展示和高清视频介绍功能,只保留普通图片展示。这样在资源有限的情况下,优先保障了核心业务(商品详情页基本信息展示)的可用性,提高了用户体验。

社交媒体系统中的熔断与降级

  1. 熔断案例:社交媒体系统中,用户动态展示服务依赖图片服务来获取用户发布的图片。若图片服务因为网络问题出现大量图片加载失败,用户动态展示服务的熔断器检测到对图片服务的调用连续失败次数超过 50 次(预设值),熔断器打开。后续用户动态展示服务不再尝试获取图片,而是在用户动态中显示“图片加载失败”的提示,保证用户仍能正常浏览动态文本内容,不至于因为等待图片加载而出现页面卡顿或无响应的情况。
  2. 降级案例:在社交媒体平台举办大型线上活动时,用户活跃度大幅提升,系统资源压力增大。原本实时更新的用户粉丝数量排行榜功能,由于计算量较大,对系统资源消耗较多。为了保证用户发布动态、点赞、评论等核心功能的正常运行,系统对粉丝数量排行榜功能进行降级。将实时更新改为每 10 分钟更新一次,降低了资源消耗,确保了核心业务的稳定性。

熔断与降级的最佳实践

合理设置参数

  1. 熔断参数:对于熔断的失败率阈值、连续失败次数、熔断超时时间等参数,要根据服务的历史运行数据和业务需求进行合理设置。可以通过模拟不同的故障场景进行压测,观察系统在不同参数下的表现。例如,对一个金融交易服务,由于其对准确性和可用性要求极高,失败率阈值可以设置得相对较低,如 30%;而对于一个内容推荐服务,失败率阈值可以适当提高到 50%。熔断超时时间也需要根据服务恢复的实际情况来调整,通过长期监控服务故障恢复时间的分布,选择一个合适的时间值,确保既能及时检测服务恢复,又不会频繁尝试调用未真正恢复的服务。
  2. 降级参数:在降级方面,要明确不同业务的优先级,以此来确定降级的触发条件和具体操作。例如,在一个在线教育平台中,课程播放是核心业务,而课程相关的论坛讨论属于非核心业务。当系统资源紧张时,设置 CPU 使用率达到 85%时触发对课程论坛讨论功能的降级,如限制用户发帖频率、关闭实时消息提醒等,以保证课程播放的流畅性。

监控与预警

  1. 建立监控体系:通过监控系统实时收集微服务的运行指标,包括服务调用的成功率、失败率、响应时间、资源使用率等。例如,使用 Prometheus 和 Grafana 搭建监控系统,Prometheus 负责采集数据,Grafana 用于数据可视化展示。在 Grafana 中可以创建各种仪表盘,直观地查看各个微服务的运行状态。对于熔断和降级相关指标,如熔断器的状态变化、降级策略的触发次数等,要进行重点监控。
  2. 设置预警机制:基于监控数据设置合理的预警规则。当服务的失败率接近熔断阈值,或者系统资源使用率接近降级触发条件时,及时发出预警。可以通过邮件、短信、即时通讯工具等方式通知运维和开发人员。例如,当某个微服务的失败率达到熔断阈值的 80%时,发送短信通知相关人员,以便他们提前介入,分析原因,采取措施避免熔断或降级的发生,如检查服务健康状态、调整服务配置等。

自动化与灰度发布

  1. 自动化实现:将熔断和降级机制自动化,减少人工干预。在微服务框架中集成熔断和降级的实现组件,如在 Spring Cloud 中使用 Hystrix 实现熔断,通过配置文件自动管理熔断和降级的参数。这样当满足触发条件时,系统能够自动执行相应的熔断或降级操作,提高系统的响应速度和稳定性。
  2. 灰度发布:在对熔断和降级策略进行调整或新功能上线时,采用灰度发布的方式。先将新的策略或功能发布给一小部分用户或一小部分实例进行测试,观察其运行效果。如果没有出现问题,再逐步扩大发布范围。例如,对一个电商 APP 的商品推荐服务进行降级策略调整,先在 1%的用户中进行灰度发布,收集这部分用户的反馈和系统运行数据,确认无误后再推广到 10%、50%,直至全部用户。这样可以降低新策略或功能对整个系统造成负面影响的风险。

熔断与降级框架介绍

Hystrix

  1. 简介:Hystrix 是 Netflix 开源的一个用于处理分布式系统的延迟和容错的库。它通过添加延迟容忍和容错逻辑,帮助控制这些分布式系统中相互依赖的节点出现的故障,避免级联故障,从而提高系统的整体弹性。
  2. 功能特点
    • 熔断机制:Hystrix 实现了熔断器模式,能自动统计服务调用的失败次数、失败率等指标。当失败率超过设定阈值时,熔断器打开,后续请求快速失败,并提供 fallback 机制,即返回预设的响应。例如,在一个 Spring Boot 应用中使用 Hystrix,通过简单的注解配置就能启用熔断功能:
@Service
public class ExampleService {
    @HystrixCommand(fallbackMethod = "fallbackMethod")
    public String callRemoteService() {
        // 调用远程服务的代码
    }

    public String fallbackMethod() {
        return "远程服务不可用,返回默认值";
    }
}

- **资源隔离**:Hystrix 使用线程池或信号量对每个依赖服务进行资源隔离。通过线程池隔离,每个依赖服务都有独立的线程池来处理请求,当某个依赖服务出现故障时,不会影响其他依赖服务的线程池资源,避免了因一个服务故障耗尽所有资源导致整个应用崩溃。信号量隔离则适用于高并发且响应时间较短的场景,通过限制并发请求数来防止资源耗尽。
- **监控与仪表盘**:Hystrix 提供了实时监控功能,通过 Hystrix Dashboard 可以直观地查看熔断器的状态、服务调用的成功率、失败率、线程池使用情况等指标。开发人员和运维人员可以根据这些指标及时调整熔断策略和服务配置。

Sentinel

  1. 简介:Sentinel 是阿里开源的一款面向云原生微服务的流量控制、熔断降级组件。它以流量为切入点,从流量控制、熔断降级、系统负载保护等多个维度保护服务的稳定性。
  2. 功能特点
    • 熔断降级:Sentinel 支持基于多种指标的熔断策略,如平均响应时间、异常比例、异常数等。例如,当服务的平均响应时间超过 200ms,且在 10 秒内的请求数超过 50 次时,可以触发熔断。熔断后同样提供 fallback 机制,确保服务在故障时仍能返回合适的响应。
// 使用 Sentinel 实现熔断降级示例
Entry entry = null;
try {
    entry = SphU.entry("exampleResource");
    // 调用实际业务逻辑
} catch (BlockException e1) {
    // 熔断或限流触发,执行降级逻辑
    return "服务降级,返回默认值";
} finally {
    if (entry != null) {
        entry.exit();
    }
}

- **流量控制**:与熔断降级紧密结合,Sentinel 可以根据预设的规则对流量进行控制,防止因流量过大导致服务故障,从而间接减少熔断的触发。它支持多种流量控制策略,如直接拒绝、匀速排队等。例如,当某个接口的 QPS 超过 1000 时,直接拒绝后续请求,避免服务因过载而出现大量失败,进而触发熔断。
- **动态规则配置**:Sentinel 支持通过多种数据源动态配置规则,如 Nacos、Zookeeper 等。这使得在不重启服务的情况下,能够实时调整熔断降级、流量控制等策略。例如,在电商大促期间,可以通过 Nacos 动态调整商品详情页服务的熔断阈值和流量控制规则,以适应高并发的流量变化。