大型分布式网站技术架构笔记(三) 高可用架构

本文仅供自己学习使用，本文参考自《大型网站技术架构：核心原理与案例分析》https://book.douban.com/subject/25723064/

一、可用性度量与考核

网站不可用时间=故障修复时间点-故障发现时间点
网站年度可用性指标=（1-网站不可用时间/年度总时间）*100%

有几个9，就代表了你的可用性。例如QQ可用性达到了4个9：99.99%
①2个9=基本可用　　②3个9=较高可用　　③4个9=具有自动恢复能力的高可用　　④5个9=极高可用->理想状态

二、高可用的架构

设计的目的：
保证服务器硬件故障服务依然可用，数据依然保存并能够被访问。
主要的手段：
数据和服务的①冗余备份以及②失效转移：
对于服务而言，一旦某个服务器宕机，就将服务切换到其他可用的服务器上；
对于数据而言，如果某个磁盘损坏，就从备份的磁盘（事先就做好了数据的同步复制）读取数据。

三、高可用的应用

应用层处理网站应用的业务逻辑，应用的一个最显著的特点是：应用的无状态性。

所谓无状态的应用是指应用服务器不保存业务的上下文信息，而仅根据每次请求提交的数据进行相应的业务逻辑处理，多个服务实例（服务器）之间完全对等，请求提交到任意服务器，处理结果都是完全一样的。

1 通过负载均衡进行无状态服务的失效转移

2 应用服务器集群的Session管理

在使用了负载均衡的集群环境中，由于请求的分发是随机的，所以保证每次请求依然能够获得正确的Session比单机时要复杂得多。
①Session复制：该方案简单易行，集群中的几台服务器之间同步Session对象，任何一台服务器宕机都不会导致Session对象的丢失，服务器也只需要从本机获取即可。但是，该方案只适合集群规模较小的情况下。当规模较大时，大量的Session复制操作会占用服务器和网络的大量资源，系统不堪重负。

②Session绑定：利用负载均衡的源地址Hash算法，总是将源于同一IP地址的请求分发到同一台服务器上。这样的话，在整个会话期间，用户所有的请求都在同一台服务器上进行处理，即Session绑定在某台特定服务器上，保证Session总能在这台服务器上获取。（这种方案又叫做会话粘滞）。

但是，这种方案不符合高可用的需求。因为一旦某台服务器宕机，那么该机器上得Session也就不复存在了，用户请求切换到其他机器后因为没有Session而无法完成业务处理。因此，很少有网站采用此方案进行Session管理。

③Cookie记录Session：利用浏览器支持的Cookie记录Session简单易行，可用性高，并且支持服务器的线性伸缩，因此，许多网站都或多或少地使用了Cookie来记录Session。但是Cookie记录Session有缺点：比如受Cookie大小限制、每次请求响应都要传输Cookie影响性能、用户关闭了Cookie会造成访问不正常等。

④Session服务器：利用独立部署的Session服务器（集群）统一管理Session，应用服务器每次读写Session时，都访问Session服务器。这种方案实际上是将应用服务器的状态分离，分为无状态的应用服务器和有状态的Session服务器。

　对于，有状态的Session服务器，一种较简单的方法是利用分布式缓存（如Redis等）、数据库等，在这些产品的基础上进行封装，使其符合Session的存储和访问要求。

四、高可用的服务

高可用的服务模块为业务产品提供基础公共服务，在大型站点中这些服务通常都独立分布式部署，被具体应用远程调用。
在具体实践中，有以下几点高可用的服务策略可以参考：
①分级管理：核心应用和服务具有更高的优先级，比如用户及时付款比能否评价商品更重要；
②超时设置：设置服务调用的超时时间，一旦超时后，通信框架抛出异常，应用程序则根据服务调度策略选择重试or请求转移到其他服务器上；
③异步调用：通过消息队列等异步方式完成，避免一个服务失败导致整个应用请求失败的情况。
PS：不是所有服务都可以异步调用，对于获取用户信息这类调用，采用异步方式会延长响应时间，得不偿失。对于那些必须确认服务调用成功后才能继续进行下一步的操作的应用也不适合异步调用。
④服务降级：网站访问高峰期间，为了保证核心应用的正常运行，需要对服务降级。
降级有两种手段：一是拒绝服务，拒绝较低优先级的应用的调用，减少服务调用并发数，确保核心应用的正常运行；二是关闭功能，关闭部分不重要的服务，或者服务内部关闭部分不重要的功能，以节约系统开销，为核心应用服务让出资源；
⑤幂等性设计：保证服务重复调用和调用一次产生的结果相同；

五、高可用的数据

保证数据高可用的主要手段有两种：一是数据备份，二是失效转移机制；

1 数据备份

又分为冷备份和热备份，冷备份是定期复制，不能保证数据可用性。热备份又分为异步热备和同步热备，异步热备是指多份数据副本的写入操作异步完成，而同步方式则是指多份数据副本的写入操作同时完成。

异步热备份

关系数据库的热备机制就是通常所说的主从同步机制，实践中通常使用读写分离的方法来访问Master和Slave数据库，也就是说写操作只访问Master库，读操作均访问Slave库。

同步热备份

2 失效转移

若数据服务器集群中任何一台服务器宕机，那么应用程序针对这台服务器的所有读写操作都要重新路由到其他服务器，保证数据访问不会失败。
失效转移操作分三步：失效确认、访问转移、数据恢复。

失效确认
判断服务器宕机是系统进行失效转移的第一步。一般有两种手段：心跳检测和应用程序访问失败。

对于应用程序访问失败，还要由控制中心进行一次心跳检测，以免发生误判。

访问转移
对于完全对等的服务器（存储数据完全一样，比如主从服务器），根据配置，直接切换。不对等的服务器，需要重新计算路由，选择存储服务器。

数据恢复
由于某台服务器宕机，副本减少，必须将副本数目恢复到指定值。否则，可能会出现，数据无法转移（所有副本都挂了），数据永久丢失的情况。所以需要从健康的服务器上复制数据，将副本恢复到指定值。

六、监控

1 监控数据采集

①用户行为日志收集：服务器端的日志收集和客户端的日志收集；
②服务器性能监控：收集服务器性能指标，如内存占用、磁盘IO等，及时判断，防患于未然；
③运行数据报告：采集并报告，汇总后统一显示，应用程序需要在代码中处理运行数据采集的逻辑；

2 监控管理

①系统报警：配置报警阀值和值守人员联系方式，系统发生报警时，即使工程师在千里之外，也可以被及时通知；
②失效转移：监控系统在发现故障时，主动通知应用进行失效转移；
③自动优雅降级：为了应付网站访问高峰，主动关闭部分功能，释放部分系统资源，保证核心应用服务的正常运行；—>网站柔性架构的理想状态