一,微服务保护

1.1 雪崩问题

在微服务远程调用的过程中,还存在几个问题需要解决。

  • 首先是业务健壮性问题:

    例如在之前的查询购物车列表业务中,购物车服务需要查询最新的商品信息,与购物车数据做对比,提醒用户。大家设想一下,如果商品服务查询时发生故障,查询购物车列表在调用商品服 务时,是不是也会异常?从而导致购物车查询失败。但从业务角度来说,为了提升用户体验,即便是商品查询失败,购物车列表也应该正确展示出来,哪怕是不包含最新的商品信息。

  • 还有级联失败问题:

    还是查询购物车的业务,假如商品服务业务并发较高,占用过多 Tomcat 连接。可能会导致商品服务的所有接口响应时间增加,延迟变高,甚至是长时间阻塞直至查询失败。

    此时查询购物车业务需要查询并等待商品查询结果,从而导致查询购物车列表业务的响应时间也变长,甚至也阻塞直至无法访问。而此时如果查询购物车的请求较多,可能导致购物车服务的 Tomcat 连接占用较多,所有接口的响应时间都会增加,整个服务性能很差, 甚至不可用。
    2953321-20250425135704671-1764020691.png

    依次类推,整个微服务群中与购物车服务、商品服务等有调用关系的服务可能都会出现问题,最终导致整个集群不可用。

    2953321-20250425135722687-296047293.png

    这就是级联失败问题,或者叫雪崩问题。

    1.2 跨服务事务问题

    跨服务的事务问题:

    比如昨天讲到过的下单业务,下单的过程中需要调用多个微服务:

    • 商品服务:扣减库存
    • 订单服务:保存订单
    • 购物车服务:清理购物车

    这些业务全部都是数据库的写操作,我们必须确保所有操作的同时成功或失败。但是这些操作在不同微服务,也就是不同的 Tomcat,这样的情况如何确保事务特性呢?

1.3 服务保护方案

微服务保护的方案有很多,比如:

  • 请求限流
  • 线程隔离
  • 服务熔断

这些方案或多或少都会导致服务的体验上略有下降,比如请求限流,降低了并发上限;线程隔离,降低了可用资源数量;服务熔断,降低了服务的完整度,部分服务变的不可用或弱可用。因此这些方案都属于服务降级的方案。但通过这些方案,服务的健壮性得到了提升,

1.3.1 请求限流

服务故障最重要原因,就是并发太高!解决了这个问题,就能避免大部分故障。当然,接口的并发不是一直很高,而是突发的。因此请求限流,就是限制或控制接口访问的并发流量,避免服务因流量激增而出现故障。

请求限流往往会有一个限流器,数量高低起伏的并发请求曲线,经过限流器就变的非常平稳。这就像是水电站的大坝,起到蓄水的作用,可以通过开关控制水流出的大小,让下游水流始终维持在一个平稳的量。

2953321-20250425140908790-2080300809.png

1.3.2 线程隔离

当一个业务接口响应时间长,而且并发高时,就可能耗尽服务器的线程资源,导致服务内的其它接口受到影响。所以我们必须把这种影响降低,或者缩减影响的范围。线程隔离正是解决这个问题的好办法。

线程隔离的思想来自轮船的舱壁模式:

2953321-20250425140927029-1469897165.png

轮船的船舱会被隔板分割为 N 个相互隔离的密闭舱,假如轮船触礁进水,只有损坏的部分密闭舱会进水,而其他舱由于相互隔离,并不会进水。这样就把进水控制在部分船体,避免了整个船舱进水而沉没。

为了避免某个接口故障或压力过大导致整个服务不可用,我们可以限定每个接口可以使用的资源范围,也就是将其“隔离”起来。

2953321-20250425140945325-1293593595.png

如图所示,我们给查询购物车业务限定可用线程数量上限为 20,这样即便查询购物车的请求因为查询商品服务而出现故障,也不会导致服务器的线程资源被耗尽,不会影响到其它接口。

1.3.3 服务熔断

线程隔离虽然避免了雪崩问题,但故障服务(商品服务)依然会拖慢购物车服务(服务调用方)的接口响应速度。而且商品查询的故障依然会导致查询购物车功能出现故障,购物车业务也变的不可用了。

所以,我们要做两件事情:

  • 编写服务降级逻辑:就是服务调用失败后的处理逻辑,根据业务场景,可以抛出异常,也可以返回友好提示或默认数据。
  • 异常统计和熔断:统计服务提供方的异常比例,当比例过高表明该接口会影响到其它服务,应该拒绝调用该接口,而是直接走降级逻辑。

2953321-20250425141035485-38411108.png

服务熔断:将异常比例过高的接口断开,拒绝所有请求,直接走 fallback
失败处理:定义 fallback 逻辑,让业务失败时不再抛出异常,而是返回默认数据或友好提示

1.4 Sentinel

介绍和安装

Sentinel 是阿里巴巴开源的一款服务保护框架,目前已经加入 SpringCloudAlibaba 中。官方网站home | Sentinel

Sentinel 的使用可以分为两个部分:

  • 核心库(Jar包):不依赖任何框架/库,能够运行于 Java 8 及以上的版本的运行时环境,同时对 Dubbo / Spring Cloud 等框架也有较好的支持。在项目中引入依赖即可实现服务限流、隔离、熔断等功能。
  • 控制台(Dashboard):Dashboard 主要负责管理推送规则、监控、管理机器信息等。

为了方便监控微服务,我们先把 Sentinel 的控制台搭建出来。

  1. 下载 jar 包

    github.com

  2. 运行

    将 jar 包放在任意非中文、不包含特殊字符的目录下,重命名为sentinel-dashboard.jar
    然后运行如下命令启动控制台:

    java -Dserver.port=8090 -Dcsp.sentinel.dashboard.server=localhost:8090 -Dproject.name=sentinel-dashboard -jar sentinel-dashboard.jar

    其它启动时可配置参数可参考官方文档:github.com

  3. 访问

    访问http://localhost:8090页面,就可以看到 sentinel 的控制台了:

    需要输入账号和密码,默认都是:sentinel

    登录后,即可看到控制台,默认会监控 sentinel-dashboard 服务本身

微服务整合

  1. 引入 sentinel 依赖

    <!--sentinel-->
<dependency>
    <groupId>com.alibaba.cloud</groupId> 
    <artifactId>spring-cloud-starter-alibaba-sentinel</artifactId>
</dependency>

  2. 配置控制台

    修改 application.yaml 文件,添加下面内容:

    spring:
  cloud: 
    sentinel:
      transport:
        dashboard: localhost:8090

  3. 访问cart-service的任意端点

    重启cart-service,然后访问查询购物车接口,sentinel 的客户端就会将服务访问的信息提交到sentinel-dashboard控制台。并展示出统计信息:
    2953321-20250425142245328-1586502614.png

    点击簇点链路菜单,会看到下面的页面:
    2953321-20250425142241856-113043853.png
    所谓簇点链路,就是单机调用链路,是一次请求进入服务后经过的每一个被Sentinel监控的资源。默认情况下,Sentinel会监控SpringMVC的每一个Endpoint(接口)。

    因此,我们看到/carts这个接口路径就是其中一个簇点,我们可以对其进行限流、熔断、隔离等保护措施。

    不过,需要注意的是,我们的 SpringMVC 接口是按照 Restful 风格设计,因此购物车的查询、删除、修改等接口全部都是/carts路径:
    2953321-20250425142328117-1929194794.png
    默认情况下 Sentinel 会把路径作为簇点资源的名称,无法区分路径相同但请求方式不同的接口,查询、删除、修改等都被识别为一个簇点资源,这显然是不合适的。
    所以我们可以选择打开 Sentinel 的请求方式前缀,把请求方式 + 请求路径作为簇点资源名:
    首先,在cart-serviceapplication.yml中添加下面的配置:

    spring:
  cloud:
    sentinel:
      transport:
        dashboard: localhost:8090
      http-method-specify: true # 开启请求方式前缀

    然后,重启服务,通过页面访问购物车的相关接口,可以看到 sentinel 控制台的簇点链路发生了变化:

2953321-20250425142404256-263226753.png

1.5 请求限流

在簇点链路后面点击流控按钮,即可对其做限流配置:

2953321-20250425143219276-249147739.png

在弹出的菜单中这样填写

2953321-20250425143232393-1618022635.png

1.6 线程隔离

限流可以降低服务器压力,尽量减少因并发流量引起的服务故障的概率,但并不能完全避免服务故障。一旦某个服务出现故障,我们必须隔离对这个服务的调用,避免发生雪崩。

比如,查询购物车的时候需要查询商品,为了避免因商品服务出现故障导致购物车服务级联失败,我们可以把购物车业务中查询商品的部分隔离起来,限制可用的线程资源:

2953321-20250425144733394-746242874.png

这样,即便商品服务出现故障,最多导致查询购物车业务故障,并且可用的线程资源也被限定在一定范围,不会导致整个购物车服务崩溃。

所以,我们要对查询商品的FeignClient接口做线程隔离。

1.6.1 OpenFeign整合Sentinel

修改 cart-service 模块的 application.yml 文件,开启 Feign 的 sentinel 功能:

feign:
  sentinel:
    enabled: true # 开启feign对sentinel的支持

需要注意的是,默认情况下 SpringBoot 项目的 tomcat 最大线程数是 200,允许的最大连接是 8492,单机测试很难打满。

所以我们需要配置一下 cart-service 模块的 application.yml 文件,修改 tomcat 连接:

server:
  port: 8082
  tomcat:
    threads:
      max: 50 # 允许的最大线程数
    accept-count: 50 # 最大排队等待数量
    max-connections: 100 # 允许的最大连接

然后重启 cart-service 服务,可以看到查询商品的 FeignClient 自动变成了一个簇点资源:

2953321-20250425145033253-554099166.png

1.6.2 配置线程隔离

接下来,点击查询商品的 FeignClient 对应的簇点资源后面的流控按钮:

2953321-20250425145047794-1873469087.png

在弹出的表单中填写下面内容:

2953321-20250426105102165-1066036951.png

注意,这里勾选的是并发线程数限制,也就是说这个查询功能最多使用 5 个线程,而不是 5QPS。如果查询商品的接口每秒处理 2 个请求,则 5 个线程的实际 QPS 在 10 左右,而超出的请求自然会被拒绝。

2953321-20250425145134204-2136387809.png

1.7 服务熔断

利用线程隔离对查询购物车业务进行隔离,保护了购物车服务的其它接口。由于查询商品的功能耗时较高(我们模拟了 500 毫秒延时),再加上线程隔离限定了线程数为 5,导致接口吞吐能力有限,最终 QPS 只有 10 左右。这就导致了几个问题:

  1. 超出的QPS上限的请求就只能抛出异常,从而导致购物车的查询失败。但从业务角度来说,即便没有查询到最新的商品信息,购物车也应该展示给用户,用户体验更好。也就是给查询失败设置一个降级处理逻辑。
  2. 由于查询商品的延迟较高(模拟的500ms),从而导致查询购物车的响应时间也变的很长。这样不仅拖慢了购物车服务,消耗了购物车服务的更多资源,而且用户体验也很差。对于商品服务这种不太健康的接口,我们应该直接停止调用,直接走降级逻辑,避免影响到当前服务。也就是将商品查询接口熔断

1.7.1 编写降级处理逻辑

触发限流或熔断后的请求不一定要直接报错,也可以返回一些默认数据或者友好提示,用户体验会更好。

FeignClient编写失败后的降级逻辑有两种方式:

  • FallbackClass,无法对远程调用的异常做处理
  • FallbackFactory,可以对远程调用的异常做处理,我们一般选择这种方式。

使用方法二

  1. 在 hm-api 模块中给ItemClient定义降级处理类,实现FallbackFactory
    2953321-20250425145439389-876435917.png
    代码如下

    package com.hmall.api.client.fallback;

import com.hmall.api.client.ItemClient;
import com.hmall.api.dto.ItemDTO;
import com.hmall.api.dto.OrderDetailDTO;
import com.hmall.common.exception.BizIllegalException;
import com.hmall.common.utils.CollUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.cloud.openfeign.FallbackFactory;

import java.util.Collection;
import java.util.List;

@Slf4j
public class ItemClientFallback implements FallbackFactory<ItemClient> {
    @Override
    public ItemClient create(Throwable cause) {
        return new ItemClient() {
            @Override
            public List<ItemDTO> queryItemByIds(Collection<Long> ids) {
                log.error("远程调用ItemClient#queryItemByIds方法出现异常,参数:{}", ids, cause);
                // 查询购物车允许失败,查询失败,返回空集合
                return CollUtils.emptyList();
            }

            @Override
            public void deductStock(List<OrderDetailDTO> items) {
                // 库存扣减业务需要触发事务回滚,查询失败,抛出异常
                throw new BizIllegalException(cause);
            }
        };
    }
}

  2. hm-api模块中的com.hmall.api.config.DefaultFeignConfig类中将ItemClientFallback注册为一个Bean
    2953321-20250425145548878-227351284.png

  3. hm-api模块中的ItemClient接口中使用ItemClientFallbackFactory
    2953321-20250425145609629-1180778323.png

1.7.2 服务熔断

查询商品的 RT 较高(模拟的 500ms),从而导致查询购物车的 RT 也变的很长。这样不仅拖慢了购物车服务,消耗了购物车服务的更多资源,而且用户体验也很差。

对于商品服务这种不太健康的接口,我们应该停止调用,直接走降级逻辑,避免影响到当前服务。也就是将商品查询接口熔断。当商品服务接口恢复正常后,再允许调用。这其实就是断路器的工作模式了。

Sentinel 中的断路器不仅可以统计某个接口的慢请求比例,还可以统计异常请求比例。当这些比例超出阈值时,就会熔断该接口,即拦截访问该接口的一切请求,降级处理;当该接口恢复正常时,再放行对于该接口的请求。

断路器的工作状态切换有一个状态机来控制:

2953321-20250425145856564-1698188704.png

状态机包括三个状态:

  • closed:关闭状态,断路器放行所有请求,并开始统计异常比例、慢请求比例。超过阈值则切换到 open 状态

  • open:打开状态,服务调用被熔断,访问被熔断服务的请求会被拒绝,快速失败,直接走降级逻辑。Open 状态持续一段时间后会进入 half-open 状态

  • half-open:半开状态,放行一次请求,根据执行结果来判断接下来的操作。

    • 请求成功:则切换到closed状态
    • 请求失败:则切换到open状态

我们可以在控制台通过点击簇点后的 **熔断** 按钮来配置熔断策略:

2953321-20250425145959431-1235097482.png
在弹出的表格中这样填写:

2953321-20250425150014712-1062034689.png

这种是按照慢调用比例来做熔断,上述配置的含义是:

  • RT超过200毫秒的请求调用就是慢调用
  • 统计最近1000ms内的最少5次请求,如果慢调用比例不低于0.5,则触发熔断
  • 熔断持续时长20s