前言:本篇主要介绍服务容错与Sentinel进行限流。
高并发带来的问题
在微服务架构中,我们将业务拆分为一个个的服务,服务与服务之间都可以相互调用,但是由于网络或者说服务器本身的问题,服务不能保证100%可用,如果某个服务中途出现问题,其他服务调用该服务时机会出现网络延迟,此时如果有大量网络请求涌入,就会形成任务堆积,最终导致服务瘫痪。
模拟高并发场景
1.修改Controller
核心在于在方法中添加线程休眠,还要添加一个测试接口
@RestController
@RequestMapping("/order")
public class OrderController {
@Autowired
OrderService orderService;
@Autowired
DiscoveryClient discoveryClient;
@Autowired
RestTemplate restTemplate;
@Autowired
ProductService productService;
@RequestMapping("/create/{pid}/{uid}/{num}")
public Order createOrder(@PathVariable("pid") int pid, @PathVariable("uid")int uid, @PathVariable("num") int num){
Product p = productService.findProductById(pid);
User u = restTemplate.getForObject( "http://service-user/user/get/" + uid, User.class);
try {
Thread.sleep(5000);
} catch (InterruptedException e) {
e.printStackTrace();
}
Order order= null;
if(p!=null){
if(p.getStock()>=num){
if(u!=null){
order = orderService.saveorder(pid,uid,num);
}
}
}
System.out.println(order);
return order;
}
//测试接口
@GetMapping(path = "/message")
public String message(){
return "测试高并发";
}
}2.修改配置文件
添加tomcat最大连接数
server:
port: 8071
tomcat:
max-threads: 10 #指定 tomcat 最大连接数量3.使用Jmeter进行压力测试
这里我不做过多叙述,直接说结论:
create方法囤积大量访问请求,导致message方法的访问出现问题(具体就是访问速度很慢),这就是服务雪崩的雏形。
服务雪崩效应
在分布式系统中,由于网路原因或者自身的原因,服务无法保证100%可用。如果一个服务出现问题,调用这个服务就会出现线程阻塞的情况,此时若有大量的请求涌入,就会出现多条线程阻塞等待,进而导致整个服务瘫痪。
由于服务之间存在调用依赖关系,故障就会传播,对整个微服务系统造成灾难级的后果,这就是服务故障的“雪崩效应”。
雪崩发生的原因多种多样,有不合理的容量设计,或者是高并发下某一个方法响应慢,也可能是某台机器资源耗尽。
总之,我们无法完全避免雪崩的发生,但是我们可以做好足够的容错,来保证在一个服务发生问题时,不会影响到其他服务的正常运行,秉承“雪落而不雪崩”的原则。
常用的容错方案
为了防止服务雪崩的扩散,服务容错是必不可少的,下面是一些常见的服务容错思路。
容错思路:隔离、超时、限流、熔断、降级
隔离
将系统按照一定原则划分为若干个模块,各个模块之间相对独立,无强依赖关系。当发生故障时,能将问题和影响隔离在某个模块内部,而不扩散风险,不波及其他模块,不影响整体的系统服务。常见的隔离方式有:线程池隔离与信号量隔离。
概括:通过物理或逻辑手段将系统资源或服务划分成独立单元,避免单个故障点影响整体系统。
线程池隔离:为不同服务分配独立线程池,防止某个服务耗尽所有线程资源(如Hystrix线程池隔离)。
进程/容器隔离:通过Docker、Kubernetes等将服务部署到独立容器中,故障时不影响其他容器。
资源分组(舱壁模式):类似船舱隔板设计,将系统划分为多个资源组,每组独立运行(如数据库连接池分组)。
超时
在上游服务调用下游服务时,设置一个最大响应时间,日过超过这个响应时间下游服务还没有做出响应,就会自动断开请求,释放线程。
概括:为服务调用设置最大等待时间,超时后立即释放资源,避免级联阻塞。
固定超时:所有请求统一设置超时时间(如HTTP请求设置3秒)。
动态超时:根据历史响应时间动态调整(如P99响应时间+20%作为阈值)。
重试策略:超时后结合有限重试(如最多重试2次),避免无限等待。
限流
限流就是限制系统的输入和输出流量已达到保护系统的目的。为了保证系统的稳固运行,一旦达到的需要限制的阈值,就需要限制流量并采取少量措施以完成限制流量的目的。
概括:控制单位时间内的请求量,确保系统在最大负载范围内运行。
漏桶算法:以恒定速率处理请求,超出容量的请求被拒绝。
分布式限流:通过Redis或Sentinel实现集群级别的流量控制。
熔断
在互联网系统中,当下游服务因访问压力过大而响应变慢或失败,上游服务为了保护系统整体的可用性,可以暂时切断对下游服务的调用。这种牺牲局部,保全整体的措施就叫做熔断。
概括:当服务失败率达到阈值时,熔断器自动打开,后续请求直接拒绝,并定期探测恢复情况。
降级
降级其实就是为服务提供一个托底方案,一旦服务无法正常调用,就使用托底方案。
在系统压力过大或部分服务不可用时,暂时关闭非核心功能,确保核心流程可用。
| 容错策略 | 常用工具 | 特点 |
|---|---|---|
| 隔离 | Hystrix、Resilience4j、Sentinel | 线程池隔离、信号量隔离 |
| 超时 | Feign Client、OkHttp、gRPC | 支持动态超时配置 |
| 限流 | Sentinel、Nginx、Redis + Lua | 支持集群限流、多种算法 |
| 熔断 | Hystrix、Sentinel、Istio | 自动状态切换、半开探测 |
| 降级 | Apollo、Nacos、Spring Cloud Config | 动态配置开关、支持灰度发布 |
常见的容错组件
Hystrix
Hystrix 是由 Netflflix 开源的一个延迟和容错库,用于隔离访问远程系统、服务或者第三方库,防止级联失败,从而提升系统的可用性与容错性。
Resilience4J
一款非常轻量、简单,并且文档非常清晰、丰富的熔断工具,这也是 Hystrix 官方推荐的替代产品。不仅如此,Resilicence4j 还原生支持SpringBoot,而且监控也支持和 prometheus 等多款主流产品进行整合。
Sentinel
Sentinel 是阿里巴巴开源的一款断路器实现,本身在阿里内部已经被大规模采用,非常稳定。
下一章节着重介绍。
Sentinel
Sentinel是什么
Sentinel 是阿里巴巴开源的面向分布式服务架构的流量控制与容错组件,专注于保障微服务的稳定性。它不仅支持流量控制(限流、削峰填谷)、熔断降级,还提供了系统自适应保护、实时监控等功能。
Sentinel分为两个部分:
核心库(Java客户端):不依赖任何框架/库,能够运行于所有 Java 运行时环境,同时对 Dubbo / Spring Cloud 等框架也有较好的支持。
控制台(Dashboard):基于 Spring Boot 开发,打包后可以直接运行,不需要额外的 Tomcat 等应用容器。
Sentinel中的概念名词
资源:
定义:需要保护的逻辑单元(如一个接口、一个方法)。
示例:
/api/order/create接口可定义为一个资源。
规则:
定义:用来定义如何进行保护资源的
类型:流量控制规则、熔断规则、系统保护规则、热点参数规则等。
核心功能
| 功能 | 描述 |
|---|---|
| 流量控制 | 支持 QPS、线程数、冷启动等多种限流策略,防止系统被突发流量击垮。 |
| 熔断降级 | 基于响应时间、异常比例、异常数等指标自动熔断不可用服务,避免级联故障。 |
| 系统自适应保护 | 根据系统的 CPU 负载、入口 QPS 等指标动态调整流量阈值,保护系统处于安全水位。 |
流量控制
流量控制用于调整网络包的数据。任意时间到来的请求往往是随机不可控的,而系统的处理能力是有限的。我们需要根据系统的处理能力对流量进行控制。
熔断降级
当检测到调用链路中某个资源出现不稳定的表现,例如请求响应时间长或异常比例升高的时候,则对这个资源的调用进行限制,让请求快速失败,避免影响到其它的资源而导致级联故障。
实现方法 :
通过并发线程数进行限制
Sentinel 通过限制资源并发线程的数量,来减少不稳定资源对其它资源的影响。当某个资源出现不稳定的情况下,例如响应时间变长,对资源的直接影响就是会造成线程数的逐步堆积。当线程数在特定资源上堆积到一定的数量之后,对该资源的新请求就会被拒绝。堆积的 线程完成任务后才开始继续接收请求。
通过响应时间对资源进行降级
除了对并发线程数进行控制以外,Sentinel 还可以通过响应时间来快速降级不稳定的资源。当依赖的资源出现响应时间过长后,所有对该资源的访问都会被直接拒绝,直到过了指定的时间窗口之后才重新恢复。
系统负载保护
当系统负载较高的时候,如果还持续让请求进入可能会导致系统崩溃,无法响应。在集群环境下,会把本应这台机器承载的流量转发到其它的机器上去。如果这个时候其它的机器也处在一个边缘状态的时候,Sentinel 提供了对应的保护机制,让系统的入口流量和系统的负载达到一个平衡,保证系统在能力范围之内处理最多的请求。
微服务集成Sentinel
1.添加依赖
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-sentinel</artifactId>
</dependency>2. 编写测试接口
@RestController
@RequestMapping(path = "/order")
public class MessageController {
@GetMapping(path = "/message")
public String message(){
return "测试高并发";
}
}3.配置Sentinel
spring:
cloud:
sentinel:
transport:
port: 9966 #随便定义一个不重复端口即可
dashboard: 127.0.0.1:99994.下载客户端
网址:https://github.com/alibaba/Sentinel/releases
5.启动服务
进入sentinel目录
自定义端口启动(以9999端口,sentinel-dashboard-1.8.5.jar为例)
java -Dserver.port=9999 -Dcsp.sentinel.dashboard.server=localhost:9999 -Dproject.name=sentinel-dashboard -jar sentinel-dashboard-1.8.5.jar6.访问测试
访问地址: http://127.0.0.1:9999
到此Sentinel已完全集成
Sentinel实现接口限流
前面准备工作已经就绪,现在我们使用Sentinel来完成限流,本次使用控制台操作。
1.选择需要限流的接口
2.添加流控规则
3.当我们超过单机阈值访问时,就会触发限流。
之所以这次没有使用代码去做限流,这也是为后面Gateway做的铺垫,敬请期待GateWay服务网关 。