服务容错及解决方案

最新推荐文章于 2023-05-14 18:39:25 发布
VIP文章 最新推荐文章于 2023-05-14 18:39:25 发布
阅读量740 收藏 1
点赞数
分类专栏: 分布式系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GY4396/article/details/116291126
版权

背景

随着美团点评服务框架和服务治理体系的逐步成熟,服务化已成为公司内部系统设计的趋势。本着大系统小做、职责单一的原则,我们度假技术团队对业务系统进行了不少服务化拆分工作。随着业务复杂度的增加,依赖的服务也逐步增加,出现了不少由于服务调用出现异常问题而导致的重大事故,如:

1)系统依赖的某个服务发生延迟或者故障,数秒内导致所有应用资源(线程,队列等)被耗尽,造成所谓的雪崩效应 (Cascading Failure),导致整个系统拒绝对外提供服务。

2)系统遭受恶意爬虫袭击,在放大效应下没有对下游依赖服务做好限速处理,最终导致下游服务崩溃。

容错是一个很大的话题,受篇幅所限,本文将介绍仅限定在服务调用间常用的一些容错模式。

设计原则

服务容错的设计有个基本原则,就是“Design for Failure”。为了避免出现“千里之堤溃于蚁穴”这种情况,在设计上需要考虑到各种边界场景和对于服务间调用出现的异常或延迟情况,同时在设计和编程时也要考虑周到。这一切都是为了达到以下目标:

1)一个依赖服务的故障不会严重破坏用户的体验。

2)系统能自动或半自动处理故障,具备自我恢复能力。

基于这个原则和目标,衍生出下文将要介绍的一些模式,能够解决分布式服务调用中的一些问题,提高系统在故障发生时的存活能力。

一些经典的容错模式
所谓模式,其实就是某种场景下一类问题及其解决方案的总结归纳,往往可以重用。模式可以指导我们完成任务,作出合理的系统设计方案,达到事半功倍的效果。而在服务容错这个方向,行业内已经有了不少实践总结出来的解决方案。

超时与重试

(Timeout and Retry)
超时模式,是一种最常见的容错模式,在美团点评的工程实践中大量存在。常见的有设置网络连接超时时间,一次RPC的响应超时时间等。在分布式服务调用的场景中,它主要解决了当依赖服务出现建立网络连接或响应延迟,不用无限等待的问题,调用方可以根据事先设计的超时时间中断调用,及时释放关键资源,如Web容器的连接数,数据库连接数等,避免整个系统资源耗尽出现拒绝对外提供服务这种情况。

重试模式

,一般和超时模式结合使用,适用于对于下游服务的数据强依赖的场景(不强依赖的场景不建议使用!),通过重试来保证数据的可靠性或一致性,常用于因网络抖动等导致服务调用出现超时的场景。与超时时间设置结合使用后,需要考虑接口的响应时间分布情况,超时时间可以设置为依赖服务接口99.5%响应时间的值,重试次数一般1-2次为宜,否则会导致请求响应时间延长,拖累到整个系统。

服务雪崩

而此时,Service A的流量波动很大,流量经常会突然性增加!那么在这种情况下,就算Service A能扛得住请求,Service B和Service C未必能扛得住这突发的请求。
此时,如果Service C因为抗不住请求,变得不可用。那么Service B的请求也会阻塞,慢慢耗尽Service B的线程资源,Service B就会变得不可用。紧接着,Service A也会不可用,这一过程如下图所示

如上图所示,一个服务失败,导致整条链路的服务都失败的情形,我们称之为服务雪崩。

ps:谁发明的这个词,真是面试装13必备!

那么,服务熔断和服务降级就可以视为解决服务雪崩的手段之一。

服务熔断
那么,什么是服务熔断呢?
服务熔断:当下游的服务因为某种原因突然变得不可用或响应过慢,上游服务为了保证自己整体服务的可用性,不再继续调用目标服务,直接返回,快速释放资源。如果目标服务情况好转则恢复调用。
需要说明的是熔断其实是一个框架级的处理,那么这套熔断机制的设计,基本上业内用的是断路器模式,如Martin Fowler提供的状态转换图如下所示

最开始处于closed状态,一旦检测到错误到达一定阈值,便转为open状态;
这时候会有个 reset timeout,到了这个时间了,会转移到half open状态;
尝试放行一部分请求到后端,一旦检测成功便回归到closed状态,即恢复服务;
业内目前流行的熔断器很多,例如阿里出的Sentinel,以及最多人使用的Hystrix
在Hystrix中,对应配置如下

//滑动窗口的大小,默认为20
circuitBreaker.requestVolumeThreshold 
//过多长时间,熔断器再次检测是否开启,默认为5000,即5s钟
circuitBreaker.sleepWindowInMilliseconds 
//错误率,默认50%
circuitBreaker.errorThresholdPercentage

每当20个请求中,有50%失败时,熔断器就会打开,此时再调用此服务,将会直接返回失败,不再调远程服务。直到5s钟之后,重新检测该触发条件,判断是否把熔断器关闭,或者继续打开。

这些属于框架层级的实现,我们只要实现对应接口就好!

服务降级
那么,什么是服务降级呢?
这里有两种场景:

当下游的服务因为某种原因响应过慢,下游服务主动停掉一些不太重要的业务,释放出服务器资源,增加响应速度!
当下游的服务因为某种原因不可用,上游主动调用本地的一些降级逻辑,避免卡顿,迅速返回给用户!
其实乍看之下,很多人还是不懂熔断和降级的区别!

其实应该要这么理解:

服务降级有很多种降级方式!如开关降级、限流降级、熔断降级!
服务熔断属于降级方式的一种!
可能有的人不服,觉得熔断是熔断、降级是降级,分明是两回事啊!其实不然,因为从实现上来说,熔断和降级必定是一起出现。因为当发生下游服务不可用的情况,这个时候为了对最终用户负责,就需要进入上游的降级逻辑了。因此,将熔断降级视为降级方式的一种,也是可以说的通的!</

最低0.47元/天 解锁文章
肥宅32
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springcloud 服务治理 和用到的软件
nnnnnnnnnnii的博客
08-25 281
1.Nacos 把微服务注册到注册中心 1.引入相关的jar文件 <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-alibaba-nacos-discovery</artifactId> </dependency> 2.再配置文件中配置nacos服务器的地址 # 配置nacos服务器的地址 spring: cloud:
NEC容错服务器电力行业SIS系统解决方案
03-03
作为专门为国内发电企业量身设计的一款容错服务器产品。NEC Express5800/320Lb2-R 配备了Intel处理器3.06GHz。可提供最高 6GB SDRAM 内存,带ECC校验功能;冗余热插拔硬盘驱动器子系统可支持最高311.1GB 镜像存储容量...
服务雪崩及容错方案
jsxllht的博客
08-08 647
一、服务雪崩是什么? 定义   服务雪崩效应是一种因“服务提供者的不可用”(原因)导致“服务调用者不可用”(结果),并将不可用逐渐放大的现象。    形成原因 服务雪崩的过程可以分为三个阶段: 服务提供者不可用; 重试加大请求流量; 服务调用者不可用; 服务雪崩的每个阶段都可能由不同的原因造成,总结如下: 应对策略 二、演示服务雪崩 1.修改 tomcat 的连接池 线程数量 server: port: 8090 # 服务
浅谈服务容错及其实现方案
color_CGL的博客
11-05 275
1.什么是服务雪崩 在微服务架构中,根据业务来拆分成一个个的服务服务服务之间可以相互调用(RPC),在Spring Cloud可以用RestTemplate+Ribbon和Feign来调用。为了保证其高可用,单个服务通常会集群部署。由于网络原因或者自身的原因,服务并不能保证100%可用,如果单个服务出现问题,调用这个服务就会出现线程阻塞,此时若有大量的请求涌入,Servlet容器的线程资源会被消耗完毕,导致服务瘫痪。服务服务之间的依赖性,故障会传播,会对整个微服务系统造成灾难性的严重后果,这就是服务
[JD] 五、服务容错方案
Juwenzhe_HEBUT的博客
11-13 551
[JD] 五、服务容错方案 一、服务容错应用场景分析与设计 二、熔断组件Hystrix分析 三、Hystrix服务熔断降级应用 一、服务容错应用场景分析与设计 1.服务容错的意义及容错要解决的问题 单个节点故障可能被无限向上放大 同一个分组下的接口被一个调用方压垮、影响到其他调用方,即多租户相互影响 瞬时流量激增,系统压力大 2.解决方案 1> 资源隔离 可以针对线程资源隔离,比如将请求的接口设置单独的线程池 可以使用信号量...
服务容错
CXgeng的博客
02-18 560
服务容错 文章目录微服务容错前言一、隔离二、熔断三.降级四.限流 前言 在高并发访问下,比如天猫双11,流量持续不断的涌入,服务之间的相互调用突然增加,引发系统负载过高,这时系统所依赖的服务的稳定性对系统的影响非常大,而且还有很多不确定因素引起雪崩,如网络连接中断,服务宕机等。一般微服务容错组件提供了限流、隔离、降级、熔断等手段,可以有效保护我们的微服务系统 一、隔离 微服务系统 A调用B,而B 调用C,这是如果C 出现故障,则此时调用B的大量线程资源阻塞,慢慢的B的线程数量持续增加直到CPU耗尽到
TSeer是一套服务注册发现容错解决方案,是对Tars名字服务功能的轻量化
最新发布
12-18
TSeer 是腾讯高性能 RPC 开发框架 Tars 团队开源的一套服务注册发现容错解决方案,是对 Tars 名字服务功能的轻量化。在腾讯浏览器、应用宝、管家、手机书城、腾讯文学、广点通等众多业务中广泛采用,目前日均承载...
解析WSN的芯片技术及解决方案
01-19
各厂商也推出不同传输技术与解决方案,供客户选择与部署…  解决方案多而杂 WSN推广门槛大  WSN(无线感测网路)近几年来陆续应用在各种领域,如军事国防、科学领域、环境监测、交通运输、仓储物流、医疗照护、...
容错测试2-hsfmock方案
03-23
容错测试2-hsfmock方案.前文中描述了基于aop的容错测试解决方法,我们可以结合具体的业务,使用场景来编写脚本进行测试.但是实际工作中,随着业务复杂度的不断提高,系统间...我们需要一个更”自动化”的解决方案. 再仔细
服务服务容错架构设计.docx
10-11
服务服务容错架构设计.docx
服务容错设计:流量控制、服务熔断、服务降级
张维鹏的博客
10-18 9882
单体应用的故障影响面很大,而分布式系统中由于故障的影响面可以被隔离,所以影响面较小,但是因为服务多,出故障的频率也很多。不过我们需要明白:出现故障不可怕,故障影响面过大才可怕;出现故障不可怕,故障恢复时间过长才可怕。所谓 “防火胜于救火”,所以我们更要考虑如何进行防火,这就要求我们在设计或者运维时都要为可能发生的故障考虑,即所谓 “Design for Failure”,面向失败设计,在设计时要考虑如何减轻故障。而容错设计就是面向失败设计一个非常重要的环节,常见容错设计有:流量控制、服务熔断、服务降级
服务容错
weixin_46582710的博客
04-29 171
服务容错的背景 在微服务架构中,我们将业务拆分为一个个服务服务服务之间可以互相调用,但是由于网络原因或者自身的原因,服务并不能保证服务的100%可用,如果单个服务出现问题,调用这个服务就会出现网络延迟,此时若有大量网络涌入,会形成任务堆积,最终导致服务瘫痪。 经典案例:服务雪崩 当单个实例出现故障时,导致上层调用其服务实例也变缓慢,导致请求堆积,负载升高,形同出现故障一般。进一步导致下一层掉用方也出现这种情况,最终导致整个架构出现服务器实例故障,形同雪崩,突然全线崩溃。这种由单个服务引发的级联故
服务容错概述
weixin_41605969的博客
11-04 297
背景: 在分布式系统中,由于服务数量的增加,网络原因,高并发的依赖失败等等原因,服务无法保证100%可用性。一旦某个服务发生故障,借由服务服务之间的依赖关系,故障会进行传播,从而使整个系统故障,瘫痪,例如服务雪崩(单个实例故障时,处理请求缓慢或者没有响应,导致上层调用它的服务实例也变慢,请求堆积,负载升高。进一步导致更广泛的服务实例故障。最后整个架构大面积出现服务实例故障)。因此需要进行服务容错,保证单个服务故障时,不会影响其他服务的正常运行。 服务容错方案: 超时:上游服务调用下游...
理解服务容错
skh2015java的博客
10-06 287
服务容错为了防止出现服务雪崩效应,降低服务消费者受已失败的服务提供者的影响,服务容错常见实现模式包括集群容错服务隔离、服务熔断和服务回退等。 集群容错 集群容错的基本要素就是要做到冗余,即某一个服务应该构建多个实例,这样当一个服务实例出现问题时可以重试其他实例。一个集群中的服务本身就是冗余的。而针对不同的重试方式就诞生了一批集群容错策略,常见的包括 Failover(失效转移)、Failback(失败通知)、Failsafe(失败安全)和 Failfas...
服务服务容错
a_ittle_pan的博客
05-14 1226
Share a sentence that I think is very reasonable, as long as you can know the underlying logic of anything, you can hold it without fear 参考书籍:“凤凰架构”在 Martin Fowler 与 James Lewis合写的文章《Microservices: A Definition of This New Architectural Term》中列举了微服务的九个核心的
SpringCloud-服务容错Sentinel的简单配置以及使用
lmd770013209的博客
01-08 1076
什么是SentinelSentinel (分布式系统的流量防卫兵)是阿里开源的一套用于服务容错的综合性解决方案。它以流量为切入点从流量控制、熔断降级、系统负载保护等多个维度来保护服务的稳定性。丰富的应用场景: Sentinel 承接了阿里巴巴近10年的双十一大促流量的核心场景,例如秒杀(即突发流量控制在系统容量可以承受的范围)、消息削峰填谷、集群流量控制、实时熔断下游不可用应用等。完备的实时监控: Sentinel提供了实时的监控功能。
分布式架构-流量治理-服务容错
博客园搬家测试账号
03-08 190
系列目录 分布式架构-流量治理-服务容错 分布式架构-流量治理-流量控制 引子 容错性设计(Design for Failure)是微服务的一个核心原则。随着拆分出的服务越来越多,随之而来会面临以下两个问题的困扰: 由于某一个服务的崩溃,导致所有用到这个服务的其他服务都无法正常工作,这便是雪崩效应。如何防止雪崩效应便是微服务架构容错性设计原则的具体实践。 服务虽然没有崩溃,但由于处理能力有限,...
软件测试中服务器稳定性测试方法
LT870996959的博客
06-17 955
服务器稳定性是最重要的,如果在稳定性方面不能够保证业务运行的需要,再高的性能也是无用的。正规的服务器厂商都会对产品进行不同温度和湿度下的运行稳定性测试。重点要考虑的是冗余功能,如:数据冗余、网卡冗余、电源冗余、风扇冗余等。 一些服务器稳定性测试方法主要为以下几种: 压力测试: 已知系统高峰期使用人数,验证各事务在最大并发数(通过高峰期人数换算)下事务响应时间能否达到客户要求。系统各性能指标在这种压...
sparkstreaming使用checkpoint存在的问题及解决方案
04-11
问题:b'sparkstreaming使用checkpoint存储的问题及解决方案' 解答:在使用Spark Streaming处理流数据时,为了保证数据的容错性,可以使用checkpoint机制将checkpoint数据存储在可靠的存储系统中(如HDFS),但是在实际使用中可能会遇到以下问题: 1. checkpoint数据太大,导致存储成本过高或者性能下降; 2. checkpoint存储对于一些实时性要求较高的应用来说可能会造成延时。 针对以上问题,可以采取以下解决方案: 1. 社区中已经有很多已经使用的checkpoint机制,可以根据实际需求进行选择。如,可以选择定期清理checkpoint数据和压缩checkpoint文件的方式; 2. 对于实时性要求较高的应用程序,可以选择不存储checkpoint数据,而采用ZooKeeper等系统的leader选举机制来维持应用程序的容错性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值