雪崩效应
现如今SOA、微服务风愈演愈烈,越来越多的业务和资源被以服务的形式包装和发布,服务间又可能会依赖其他各种服务。由此而来不可避免的会产生很多问题。
比如一个服务,其依赖了另外30个服务。假设每个服务的可用率都有三个9(99.9%),那么我们计算一下:
99.99%^30 = 99.7%
现实很残酷,这个服务的实际可用性只能是99.7%,也就是说每个月这个服务都要好宕机8000+秒~~~
正常用户请求时,服务内部依次请求A\P\H\I服务,兵返回响应结果。
非常不幸,我们的I服务出了某些问题,此时我们的用户请求就被堵塞在I服务处。
更加悲剧的是,后续越来越多的请求都被堵塞在I服务处,而这些被堵塞的请求会占用线程、IO、网络等系统资源,随着资源被占用的越来越多,本来不存在的性能问题也会随之而来,造成系统中的其他服务出现问题,甚至导致系统奔溃。
这也就是我们常说的雪崩效应
服务容灾
为了避免出现服务的雪崩,我们需要对服务做容灾处理。
常规的服务容灾处理思路有:
- 资源隔离
- 超时设定
- 服务降级
- 服务限流
其中每种思路又可以有不同的解决方案。
比如资源隔离可以通过将不同的服务发布在独立的docker容器或服务器中,这样即使一个服务出现问题,也不会殃及池鱼。
服务降级和服务限流可以通过前端nginx+lua来实现,当服务处理延迟或宕机时,nginx可以直接返回固定的降级/失败响应,已快速跳过问题服务。
Hystrix
Hystrix,是Netflix的一个开源熔断器,通过Hystrix,我们可以很方便的实现资源隔离、限流、超时设计、服务降级等服务容灾措施,并且还提供了强大的监控,可以查看各个熔断器的允许情况。
通过上图,可以看出,Hystrix提供了一个HystrixCommand用来包装调用请求。HystrixCommand的执行流程大概如下:
1.首先检查缓存中是否有结果。如果有则直接返回缓存结果。
2.判断断路器是否开启,如果断路器闭合,执行降级业务逻辑并返回降级结果。
3.判断信号量/线程池资源是否饱和,如饱和则执行降级业务逻辑并返回降级结果。
4.调用实际服务,如发生异常,执行降级业务逻辑并返回降级结果,并调整断路器阈值。
5.判断实际业务是否超时,超时则返回超时响应结果,并调整断路器阈值。
了解了流程,来看下如何使用Hystrix。首先我们需要定义一个命令类来包装我们的业务调用:
//继承HystrixCommand public class CommandHelloFailure extends HystrixCommand<String> { private final String name; public CommandHelloFailure(String name) { //设置分组key,分组key可以用在报表、监控中,默认的线程池隔离也基于分组key super(Setter.withGroupKey(HystrixCommandGroupKey.Factory.asKey("ExampleGroup")) //指定命令key,可 .andCommandKey(HystrixCommandKey.Factory.asKey("HelloWorld")) //指定线程池key,取代默认的分组key .andThreadPoolKey(HystrixThreadPoolKey.Factory.asKey("HelloWorldPool"))); /* //线程池隔离模式,不写默认是线程池隔离模式 HystrixCommandProperties.Setter() .withExecutionIsolationStrategy(ExecutionIsolationStrategy.THREAD) //信号量隔离模式 HystrixCommandProperties.Setter() .withExecutionIsolationStrategy(ExecutionIsolationStrategy.SEMAPHORE) //超时时间,默认1秒 HystrixCommandProperties.Setter() .withExecutionTimeoutInMilliseconds(int value) //信号量模式下,最大并发请求限流,默认值10 HystrixCommandProperties.Setter() .withFallbackIsolationSemaphoreMaxConcurrentRequests(int value) //熔断器阈值,默认20 HystrixCommandProperties.Setter() .withCircuitBreakerRequestVolumeThreshold(int value) //熔断器关闭时间,默认5秒 HystrixCommandProperties.Setter() .withCircuitBreakerSleepWindowInMilliseconds(int value) */ this.name = name; } @Override //执行实际服务,这里模拟全部返回异常 protected String run() { throw new RuntimeException("this command always fails"); } @Override //执行降级业务 protected String getFallback() { return "Hello Failure " + name + "!"; } @Override //从缓存中获取 protected String getCacheKey() { ... } } 使用这个命令类也非常简单:
//同步执行 String s = new CommandHelloWorld("Bob").execute(); //异步执行 Future<String> s = new CommandHelloWorld("Bob").queue(); //响应式 Observable<String> s = new CommandHelloWorld("Bob").observe();通过Hystrix提供的监控界面,我们可以观察到各个熔断器的执行情况:
更多说明和例子可以查看Hystrix的wiki。
Hystrix和Spring boot
想在spring boot中使用Hystrix就更加简单了,只需要引入spring-cloud-starter-hystrix,
<dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-hystrix</artifactId> </dependency> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-hystrix-dashboard</artifactId> </dependency>然后添加注解使用Hystrix
@EnableCircuitBreaker
@EnableHystrixDashboard
最后在需要使用熔断器的地方标记注解即可。
@HystrixCommand(groupKey = "xxx", fallbackMethod = "yyy") public String doSomething() 遥想2015年9月7日,上交所、深交所、中金所宣布,拟在保留现有个股涨跌幅制度前提下,引入指数熔断机制。随后A股联系两天下跌熔断,提前收 盘。其中这里的熔断机制和我们今天讨论的熔断器思路一致,但是反而导致了A股暴跌,这也说明了我们还是得从根源产出高可用的服务,而不是依赖某些外部措施 帮助我们提高可用性。同时说明了A股比咱写的垃圾服务更加不可靠,还是安心当个码农吧。
最后,就问各位童鞋,敢不敢点个赞~~~~
参考资料:
https://github.com/Netflix/Hystrix
http://www.cnblogs.com/jesse2013/p/things-architect-must-know.html
