在微服务的服务保护上,存在几个问题需要解决:
- 级联失败:单个微服务的不可用会导致其他调用者的相关功能页不可以,从而 Tomcat 连接占用较多,所有接口的响应时间都会增加,整个服务性能很差, 甚至无关的功能也全部不可用。
- 请求激增:即使某个微服务是可用的,某一时间高并发的请求会导致资源争夺严重,一样可能导致不可用,甚至级联失败、雪崩
保证服务运行的健壮性,避免级联失败导致的雪崩问题,就属于微服务保护。
微服务保护方案
微服务保护的方案有很多,比如:
- 请求限流
- 线程隔离
- 服务熔断
这些方案或多或少都会导致服务的体验上略有下降,比如请求限流,降低了并发上限;线程隔离,降低了可用资源数量;服务熔断,降低了服务的完整度,部分服务变的不可用或弱可用。因此这些方案都属于服务降级的方案。但通过这些方案,服务的健壮性得到了提升,
请求限流
请求限流往往会有一个限流器,数量高低起伏的并发请求曲线,经过限流器就变的非常平稳。
线程隔离
当一个业务接口响应时间长,而且并发高时,就可能耗尽服务器的线程资源,导致服务内的其它接口受到影响。所以我们必须把这种影响降低,或者缩减影响的范围。
为了避免某个接口故障或压力过大导致整个服务不可用,我们可以限定每个接口可以使用的资源范围,也就是将其“隔离”起来。
服务熔断
线程隔离虽然避免了雪崩问题,但故障的商品服务依然会拖慢整个购物车服务(服务调用方)的接口响应速度。而且商品查询的故障依然会导致查询购物车功能出现故障,购物车业务也变的不可用了。
所以要做两件事情:
- 编写服务降级逻辑:就是服务调用失败后的处理逻辑,根据业务场景,可以抛出异常,也可以返回友好提示或默认数据。
- 异常统计和熔断:统计服务提供方的异常比例,当比例过高表明该接口会影响到其它服务,应该拒绝调用该接口,而是直接走降级逻辑。
Spring Cloud 技术栈中对应有 Sentinel 实现了这些保护方案。
快速开始
Sentinel 的使用可以分为两个部分:
- 核心库(Jar包):不依赖任何框架/库,能够运行于 Java 8 及以上的版本的运行时环境,同时对 Dubbo / Spring Cloud 等框架也有较好的支持。在项目中引入依赖即可实现服务限流、隔离、熔断等功能。
- 控制台(Dashboard):Dashboard 主要负责管理推送规则、监控、管理机器信息等。
为了方便监控微服务,我们先把 Sentinel 的控制台搭建出来。
下载并运行:
java -Dserver.port=8090 -Dcsp.sentinel.dashboard.server=localhost:8090 -Dproject.name=sentinel-dashboard -jar sentinel-dashboard.jar
访问http://localhost:8090页面,就可以看到 sentinel 控制台,账号和密码,默认都是:
sentinel
在
cart-service模块中整合 sentinel,连接sentinel-dashboard控制台,步骤如下:<!--sentinel--> <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-sentinel</artifactId> </dependency>
spring: cloud: sentinel: transport: dashboard: localhost:8090
application.yaml重启
cart-service,然后访问查询购物车接口,sentinel 客户端就会将服务访问的信息提交到sentinel-dashboard控制台。并展示出统计信息:
点击簇点链路菜单,会看到下面的页面:
所谓簇点链路,就是单机调用链路,是一次请求进入服务后经过的每一个被
Sentinel监控的资源。默认情况下,Sentinel会监控SpringMVC的每一个Endpoint(接口)。因此,我们看到
/carts这个接口路径就是其中一个簇点,我们可以对其进行限流、熔断、隔离等保护措施。不过,需要注意的是,我们的SpringMVC接口是按照Restful风格设计,因此购物车的查询、删除、修改等接口全部都是
/carts路径:
默认情况下Sentinel会把路径作为簇点资源的名称,无法区分路径相同但请求方式不同的接口,查询、删除、修改等都被识别为一个簇点资源,这显然是不合适的。
所以我们可以选择打开Sentinel的请求方式前缀,把
请求方式 + 请求路径作为簇点资源名:首先,在
cart-service的application.yml中添加下面的配置:spring: cloud: sentinel: transport: dashboard: localhost:8090 http-method-specify: true # 开启请求方式前缀
请求限流
在簇点链路后面点击流控按钮,即可对其做限流配置:
这样就把查询购物车列表这个簇点资源的流量限制在了每秒6个,也就是最大QPS为6.
利用Jemeter做限流测试,我们每秒发出10个请求,监控结果如下:
线程隔离
限流可以降低服务器压力,尽量减少因并发流量引起的服务故障的概率,但并不能完全避免服务故障。一旦某个服务出现故障,我们必须隔离对这个服务的调用,避免发生雪崩。
比如,查询购物车的时候需要查询商品,为了避免因商品服务出现故障导致购物车服务级联失败,我们可以把购物车业务中查询商品的部分隔离起来,限制可用的线程资源:
这样,即便商品服务出现故障,最多导致查询购物车业务故障,并且可用的线程资源也被限定在一定范围,不会导致整个购物车服务崩溃。
由于sentinel是根据mvc框架上的
Endpoint进行监控的,目前我们只能对查询购物车这个接口进行线程隔离操作,也就是控制台上的流控,而对接口内的远程调用目前是无法监控的,为了更细粒度的做服务保护,我们要对查询商品的FeignClient远程调用做线程隔离👇。OpenFeign整合Sentinel
修改
cart-service模块的application.yml文件,开启Feign的sentinel功能:feign: sentinel: enabled: true # 开启feign对sentinel的支持
默认情况下SpringBoot项目的tomcat最大线程数是200,允许的最大连接是8492,单机测试很难打满。
所以我们需要配置一下cart-service模块的application.yml文件,修改tomcat连接:
server: port: 8082 tomcat: threads: max: 50 # 允许的最大线程数 accept-count: 50 # 最大排队等待数量 max-connections: 100 # 允许的最大连接
重启cart-service服务,可以看到查询商品的FeignClient自动变成了一个簇点资源:
配置线程隔离
点击查询商品的FeignClient对应的簇点资源后面的流控按钮:
勾选的是并发线程数限制,也就是说这个查询功能最多使用5个线程,而不是5QPS。如果查询商品的接口每秒处理2个请求,则5个线程的实际QPS在10左右,而超出的请求自然会被拒绝。
利用Jemeter测试,每秒发送100个请求:
进入查询购物车的请求每秒大概在100,而在查询商品时却只剩下每秒10左右,符合我们的预期。
此时如果我们通过页面访问购物车的其它接口,例如添加购物车、修改购物车商品数量,发现不受影响,响应时间非常短,这就证明线程隔离起到了作用,尽管查询购物车这个接口并发很高,但是它能使用的线程资源被限制了,因此不会影响到其它接口。
此外,我们还能在FeignClient上进行Fallback配置,用于远程调用失败(限流或熔断)时的处理。
服务熔断
对于不可用的接口,我们应该直接停止调用,直接走降级逻辑(Fallback),避免影响到当前服务。也就是将商品查询接口熔断。当调用的接口恢复正常后再允许调用。这就是断路器的工作模式。
断路器的工作状态切换有一个状态机来控制:
状态机包括三个状态:
- closed:关闭状态,断路器放行所有请求,并开始统计异常比例、慢请求比例。超过阈值则切换到open状态
- open:打开状态,服务调用被熔断,访问被熔断服务的请求会被拒绝,快速失败,直接走降级逻辑。Open状态持续一段时间后会进入half-open状态
- half-open:半开状态,放行一次请求,根据执行结果来判断接下来的操作。
- 请求成功:则切换到closed状态
- 请求失败:则切换到open状态
我们可以在控制台通过点击簇点后的
熔断按钮来配置熔断策略:
- RT超过200毫秒的请求调用就是慢调用
- 统计最近1000ms内的最少5次请求,如果慢调用比例不低于0.5,则触发熔断
- 熔断持续时长20s
配置完成后,再次利用Jemeter测试,可以发现:
在一开始一段时间是允许访问的,后来触发熔断后,查询商品服务的接口通过QPS直接为0,所有请求都被熔断了。