高可用实践之熔断降级和故障演练(二)

最新推荐文章于 2024-06-15 22:40:20 发布
最新推荐文章于 2024-06-15 22:40:20 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwe6112071/article/details/88212818
版权
本文详细介绍了服务降级和熔断的概念及其触发机制,特别是基于Pigeon的熔断降级策略,包括强制降级、失败降级和自动降级。此外,还探讨了故障演练的重要性,强调了在核心业务链路中实施容错能力和故障恢复方案的必要性。
摘要由CSDN通过智能技术生成

熔断降级

服务降级

当服务负载过高时,为保证核心链路服务质量,对一些非核心的页面或服务进行降级处理,如返回默认值,以此缓解服务压力。或者当核心服务不可用时,返回降级处理方案,保证基本的用户体验。

服务熔断

当服务因为异常原因导致部分服务频繁失败或不可用,为防止故障蔓延影响整个系统,采取特定的保护措施,及时降低影响面。

常见服务降级熔断触发机制

  1. 超时降级:基于特定超时时长和重试次数配置,多次请求服务重试超时后触发熔断降级,可以通过异步或部分放量嗅探接口是否恢复。
  2. 失败降级:在由于非业务异常请求失败后(如网络异常,服务不可用异常等),直接走降级逻辑
  3. 故障降级:可以基于人工开关,在发现故障后手动开启降级,在恢复后手动关闭降级,也可以基于自动恢复,在故障后定时请求接口,当请求次数满足特定阈值,且失败率低于指定阈值,即可逐渐放量恢复。
  4. 限流降级:当流量过大时,为了避免超过系统负载,压垮服务,可以对部分流量请求进行降级处理。

基于Pigeon的熔断降级实现示例

降级策略分析

基于Pigeon有三种降级策略:

  1. 强制降级策略:在远程服务大量超时或其他不可用情况时,紧急时候进行设置,开启后,调用端会根据上述降级策略直接返回默认值或抛出降级异常,当远程服务恢复后,再关闭此开关。
  2. 失败降级策略:失败降级开关便于客户端在服务端出现非业务异常(比如网络失败,超时,无可用节点等)时进行降级容错,而在出现业务异常(比如登录用户名密码错误)时不需要降级。
  3. 自动降级策略:自动降级开关是在调用端设置,开启自动降级后,调用端如果调用某个服务出现连续的超时或不可用,当一段时间内(10秒内)失败率超过一定阀值(默认1%)会触发自动降级,调用端会根据上述降级策略直接返回默认值或抛出降级异常;当服务端恢复后,调用端会自动解除降级模式,再次发起请求到远程服务。

其中第一种强制降级策略可以理解为一种人工降级,可以实时根据监控情况来调控服务,这里还有一种常见的应用场景是作灰度开关,如需上线新功能时,在过渡阶段,先开启降级开关,走旧逻辑,等过渡阶段完成,开启开关,走新逻辑。

而对于失败降级策略,更多可以理解为一种兜底处理,在因为不可抗因素导致请求失败后,走降级处理策略,以此提升用户体验。

相对与人工降级,实际中使用更多的是自动降级策略,可以实时根据请求健康状况来调控请求策略,避免在复杂的分布式链路中出现请求雪崩现象。

自动降级策略

下面重点分析下自动降级策略的实现逻辑。具体可分为以下几部分:

  1. 降级参数配置:配置一些相关的降级参数,结合第二部分数据,来供第三步操作来判定是否进行降级操作
  2. 请求数据统计:实时统计请求的调用状况,进行必要的聚合分析,来辅助第三步判定是否进行降级操作
  3. 降级触发判定和恢复:判定是否实施降级操作,在判定需要实施降级后,会启动熔断开关,后续的大部分流量都会走降级策略,只有少部分用户试探恢复。在试探过程,如果达到恢复标准,会尝试对降级进行恢复

1. 降级参数配置

常见的一些配置示例如下:

  1. degradeAutoSwitch:类型为boolean,配置是否开启自动降级策略
  2. degradeTotalThreshold:窗口时间内最少请求总数阈值
  3. degradeInvokeThreshold:降级恢复阈值,当非降级请求量达到指定阈值后,开始尝试恢复。
  4. degradeRecoverPercent:失败率阈值百分比,非降级请求中,成功率超过这个比率阈值会触发恢复。
  5. degradeRecoverInterval: 起始恢复比率,如为10%则表示会从降级请求的比率中恢复10%尝试进行正常请求。
  6. degradePercentMax: 最大降级百分比如99%,表示失败率达到特定阈值后,会有99%的请求直接走降级,其余1%走正常请求用于试探恢复。

2. 请求数据统计

具体统计数据包含往往包含以下指标:

  1. failCnt:统计失败流量,包括返回异常、捕获异常,降级调用异常等情况会走到
  2. degradeCnt:统计降级流量,在降级调用处理里,如果不是一个失败降级,则会走到当前统计。
  3. normalCnt:统计正常(成功)流量

上述指标在实际使用中,是通过滑动时间窗口长度大小的聚合的。

在实际统计实现中,可以初始化一个长度为60的循环数组,存放当前时刻秒的请求量(这个也可用于统计QPS),用一个定时器,每隔一秒执行,汇总过去窗口长度=10s的三个请求量作为窗口内的请求,同时清除过去10~20s的数组数据,注意如果当前时间-10<0,需要加60,这可以想象成一个循环数组,方便下次循环到相应时刻时,上一分钟的请求量已被清理。

具体汇总流程,可以参考以下函数实现:

private void checkRequestSecondCount() {
   
    Map<String, Count> countMap = new ConcurrentHashMap<String, Count>();
    // 最近需要统计的秒数数据,默认为10,可以理解位一个滑动的统计窗口
    final int recentSeconds = degradeCheckSeconds;
    final int currentSecond = Calendar.getInstance().get(Calendar.SECOND);
    // 遍历每隔服务方法
    for (String url : requestSecondCountMap
最低0.47元/天 解锁文章
jeanheo
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
可用演练中堆叠切换失败分析
BUG_zhentan的博客
03-17 493
背景描述 **办公网是通过堆叠技术和端口聚合技术规划设计的可用办公网络,为检验可用实际效果,在网络项目实施后按照计划对其进行可用测试,结果发现21层的堆叠可用在切换的过程中,出现无法可用负载用户流量的情况,具体原因请阅读后续分析。 组网介绍 交换机设备级别可用采用堆叠; 交换机链路级别可用采用LACP动态聚合; AC可用采用MM集群双主模式负载; 出口Gateway设备级别可用采用Keepalived; 出口Gateway链路级别可用..
让你的系统“坚挺不倒”的最后一个大招——「降级
weixin_33739523的博客
12-18 199
如果这是第二次看到我的文章,欢迎点击文末链接关注我的公众号哟~本文长度为4069字,建议阅读11分钟。 也许你对降级已经有了一些认识,认真看完,我想这篇文章可能会给你带来一些新的收获~ 前面两篇我们已经聊过了「熔断」(如何在到处是“雷”的系统中「明哲保身」?这是第一招)和「限流」(想通关「限流」?只要这一篇),这次我们聊的就是「可用三剑客」中剩下的「降级」。 不知道这里有多少小伙伴接触过阿里的...
什么是熔断降级?说 4 种解决方案
最新发布
qq_45228323的博客
06-15 987
在复杂的微服务架构中,一个服务的故障可能会导致整个系统的崩溃,从而造成连锁反应。通过实施熔断降级机制,系统可以在服务发生故障时将故障隔离,防止它扩散到其他服务或组件,从而保护整个系统的稳定性。
SpringCloud实战八:Spring Cloud Hystrix隔离、熔断降级实践
热门推荐
zhuyu19911016520
12-29 1万+
1.说到隔离、熔断降级,最出名的就是 Netflix 开源的 Hystrix 组件,Hystix官方对它描述为:Hystrix是一个延迟和容错库,旨在隔离远程系统、服务和第三方库,阻止级联故障,在复杂系统中实现恢复能力。 2.下图应用从单块到微服务,系统被拆分为多个,那么产生了个问题,就是微服务的可用性,假设单块应用的可用性是 99.99%,如果被拆分为30个微服务后,总体的可用性是多少,答案是...
可用之——降级
冰河的专栏
09-19 1313
降级的最终目的是保证核心服务可用,即使是有损的。有些服务器无法降级(加入购物车、结算等)。降级也需要根据系统的吞吐量、响应时间、可用率等条件进行手工降级或自动降级降级预案 降级可以参考日志级别设置降级预案,如下: 一般:有些服务偶尔因为网络抖动或服务正在上线而超时,可以自动降级。 警告:有些服务在一段时间内成功率有波动(比如在95%~100%之间),可以自动降级或人工降级,并发送告警。...
可用原则当中的降级
weixin_37632716的博客
01-10 495
对于一个可用服务,很重要的一个设计就是降级开关,在设计降级开关时,依据如下思路 1.开关集中化管理 通过推送机制把开关推送到各个应用 2.可降级的多级读服务 比如服务调用降级为只读本地缓存、只读分布式缓存,只读默认降级数据(如库存状态默认有货) 3.开关前置化 如果架构师tomcat+nginx,可以将开关前置到Nginx接入层,在Nginx层做开关,请求流量不回源后端Tomcat应用或者是一小部分流量回源 4.业务降级并发流量来袭,在电商系统大促设计时,保障用户能下单、能支付是核心要求,并保障数据
可用降级熔断有什么区别?
03-18
在构建可用系统时,降级熔断是两种重要的策略,它们都是为了在系统压力过大或出现故障时,确保服务仍然能够以一种有限但稳定的方式运行。理解这两种策略的区别对于构建可扩展和可靠的分布式系统至关重要。 ### ...
降级预案在同程艺龙的工程实践【tool.lu】.pdf
10-03
在同程艺龙的工程实践中,降级预案是确保系统可用性和稳定性的关键策略。降级预案是指在系统面临压力或故障时,通过牺牲部分非核心功能来保证核心服务的正常运行,从而防止系统整体崩溃。这涉及到对系统中的强依赖...
云上应用可用防护体系介绍.pdf
10-10
【云上应用可用防护体系】是现代云计算环境中保障服务稳定性的重要策略,它涉及到容量规划、流量控制、故障隔离、熔断降级等多个层面。在阿里巴巴的实践中,尤其是在每年的双十一这种大规模线上活动面前,可用...
云上应用可用防护体系介绍.pptx
10-10
- **可用防护体系架构**:包括演练域、运行域、同城容灾和异地多活,通过功能开关、熔断降级策略,以及业务预案来确保系统的弹性。 - **容量规划与故障演练**:通过定期的演练和容量规划,提升系统的抗压能力...
基于Dubbo分布式系统架构视频教程,
11-08
9. **服务治理**:包括服务的监控、限流、熔断降级级特性,帮助优化系统性能和稳定性。 在可用篇中,吴水成老师可能会进一步探讨以下主题: 1. **集群与分组**:如何通过集群部署提服务的可用性,以及...
可用之限流降级
小熊猫的博客
08-30 465
可用之限流降级 1、前言 在大规模微服务架构的场景下,为了避免服务出现雪崩,要减少停机时间,尽可能的提服务可用性。提服务可用性,可以从很多方向入手,比如缓存、池化、异步化、负载均衡、队列和降级熔断等手段。 缓存以及队列等手段,增加系统的容量 限流和降级则是关心在到达系统瓶颈时系统的响应,更看重稳定性 缓存和异步等关注提系统战力,而限流降级则关注增强系统防御,具体实施方法可以归纳为八字箴言,限流、降级熔断、隔离。 2、限流&降级 2.1、限流 限流,顾名思义,即提前对各个类型的请求设
并发系统设计三十(熔断降级
qq_36341209的博客
11-08 404
到目前为止,你的电商系统已经搭建了完善的服务端和客户端监控系统,并且完成了全链路压测。现在呢,你们已经发现和解决了垂直电商系统中很多的性能问题和隐患。但是千算万算,还是出现了纰漏。 本来,你们对于应对“双十一”的考验信心满满,但因为欠缺了一些面对巨大流量的经验,在促销过程中出现了几次短暂的服务不可用,这给部分用户造成了不好的使用体验。事后,你们进行了细致的复盘,追查出现故障的根本原因,你发现,原因主要可以归结为两大类。 第一类原因是由于依赖的资源或者服务不可用,最终导致整体服务宕机。举例来说,在你的电商系统
SpringCloud(6)---熔断降级理解、Hystrix实战
a8892117的博客
09-03 577
SpringCloud(6)---熔断降级理解、Hystrix实战 一、概念 1、为什么需要熔断降级 (1)需求背景 它是系统负载过,突发流量或者网络等各种异常情况介绍,常用的解决方案。 在一个分布式系统里,一个服务依赖多个服务,可能存在某个服务调用失败,比如超时、异常等,如何能够保证在一个依赖出问题的情况下,不会导致整体服务失败。 比如:某微...
从稳定性保障角度看故障演练
我的E家
11-04 1227
目录 一、稳定性保障的三个层面 二、故障演练目的 三、如何选择故障演练场景 1、分析历史年限上的故障 2、系统强弱依赖分析 3、核心中间件异常分析 四、故障演练的环境 五、演练的风险控制 感悟 一、稳定性保障的三个层面 稳定性保障有三个层面: 1、常态下的稳定性(功能稳定性,通常功能测试覆盖); 2、压下的稳定性(通过性能测试覆盖); 3、异常时的稳定性(通过故障演练...
谈谈故障降级止损
weixin_48558260的博客
09-01 659
前言:止损的必要性谁都不愿意让出故障,但出故障了也不能自暴自弃。我们有时要通过放弃部分业务体验,保住核心业务,这就是故障止损。粗俗点说,止损就是看到你裤子着火了帮你踩灭,你还要跟我说谢谢...
美团点评酒店后台故障演练系统
美团技术团队
06-23 4795
背景介绍 随着海量请求、节假日峰值流量和与日俱增的系统复杂度出现的,很有可能是各种故障。在分析以往案例时我们发现,如果预案充分,即使出现故障,也能及时应对。它能最大程度降低故障的平均恢复时间(MTTR),进而让系统可用程度(SLA)维持在相对较的水平,将故障损失保持在可控范围内。但是,经过对2016全年酒店后台研发组所有面向C端系统的线上事故分析后发现,在许多情况下,由于事故处理...
熔断降级Hystrix
liang63487458的博客
09-27 633
1、概述 系统负载过,突发流量或者网络等各种异常情况介绍,常用的解决方案。 熔断:保险丝,熔断服务,为了防止整个系统故障,包含子和下游服务 ​ 下单服务 --> 商品服务 --> 用户服务 (出现异常-》熔断降级:抛弃一些非核心的接口和数据 相同点: 1)从可用性和可靠性触发,为了防止系统崩溃 2)最终让用户体验到的是某些功能暂时不能用 不同点: 1)服务熔断一般是下游服务故障导致的,而服务降级一般是从整体系统负荷考虑,由调用方控制 2、Spring Cloud Ne
什么是熔断降级?说说几种解决方案
2401_84419325的博客
06-12 605
引言:本文将深入探讨熔断降级的概念及其在微服务架构中的应用。我们将详细介绍熔断降级的定义,解释其在分布式系统中的重要性,并探讨几种常见的解决方案。通过阅读本文,读者将能够全面了解熔断降级机制,并掌握如何在实际项目中应用这一重要的容错策略。
sentinel限流和熔断降级
08-23
Sentinel是阿里巴巴开源的一款流量控制、熔断降级的工具。它提供了实时的流量监控、规则配置、熔断降级...总之,Sentinel是一个强大的流量控制、熔断降级工具,可以保护分布式系统的稳定性,提系统的可靠性和可用性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值