双 11 的狂欢,干了这碗「流量防控」汤

网络 通信技术
临近双十一,从 2009 年第一届双十一开始,成交量只有 5000 万,到去年 2019 年,成交量达到了 2684 亿。今年迎来了第十二届双十一,想想都挺激动。

[[350322]]

临近双十一,从 2009 年第一届双十一开始,成交量只有 5000 万,到去年 2019 年,成交量达到了 2684 亿。今年迎来了第十二届双十一,想想都挺激动。

阿里人喜欢将双十一视为 Team Building(团队建设),广为流传的一句话:打仗是最好的团建,没有参加过双十一的叫同事,参加过双十一的叫战友。

上一篇我通过三国故事讲解了服务雪崩和熔断的机制,而且自己造了一个轮子:熔断器。而这一篇会讲解被一线大厂使用的两款流量防控组件:Sentinel 和 Hystrix,以及对它们的横向对比,以及该如何选型。

本篇主要内容如下:

 

本文已收录到我的 Github: https://github.com/Jackson0714/PassJava-Learning

一、熔断&降级&限流&隔离

面对高并发的流量,我们通常会使用四种方式(熔断&降级&限流&隔离)来防止瞬时大流量对系统的冲击。而今天要介绍的这两款流量防卫兵,是专门用在这方面的。下面我先给同学扫个小盲。

什么是熔断 ?

熔断场景图@悟空聊架构

 

关键字:断路保护。比如 A 服务调用 B 服务,由于网络问题或 B 服务宕机了或 B 服务的处理时间长,导致请求的时间超长,如果在一定时间内多次出现这种情况,就可以直接将 B 断路了(A 不再请求B)。而调用 B 服务的请求直接返回降级数据,不必等待 B 服务的执行。因此 B 服务的问题,不会级联影响到 A 服务。

什么是降级 ?

降级场景图@悟空聊架构

 

关键字:返回降级数据。网站处于流量高峰期,服务器压力剧增,根据当前业务情况及流量,对一些服务和页面进行有策略的降级(停止服务,所有的调用直接返回降级数据)。以此缓解服务器资源的压力,保证核心业务的正常运行,保持了客户和大部分客户得到正确的响应。降级数据可以简单理解为快速返回了一个 false,前端页面告诉用户“服务器当前正忙,请稍后再试。”

什么是限流?

限流场景图@悟空聊架构

 

对请求的流量进行控制, 只放行部分请求,使服务能够承担不超过自己能力的流量压力。

熔断和降级的相同点?

  • 熔断和限流都是为了保证集群大部分服务的可用性和可靠性。防止核心服务崩溃。
  • 给终端用户的感受就是某个功能不可用。

熔断和降级的不同点?

  • 熔断是被调用方出现了故障,主动触发的操作。
  • 降级是基于全局考虑,停止某些正常服务,释放资源。

什么是隔离?

  • 每个服务看作一个独立运行的系统,即使某一个系统有问题,也不会影响其他服务。

二、Hystrix

Hystrix 是什么

Hystrix:高可用性保障的一个框架。由 Netflix 出品(Netflix可以理解为国内的爱奇艺等视频网站)。

Hystrix 的历史

  • 2011 年,其中的 API 团队为了提升系统的可用性和稳定性,发展出了 Hystrix 框架。
  • 2012 年,Hystrix 区域比较成熟稳定。其他团队也开始使用 Hystrix。
  • 2018 年 11 月,Hystrix在其 Github 主页宣布,不再开放新功能,推荐开发者使用其他仍然活跃的开源项目。但是 Hystrix 价值依旧很大,功能强大,国内很多一线互联网公司在使用。

Hystrix 设计理念

  • 阻止服务的雪崩效应。
  • 快速失败和快速恢复。
  • 优雅降级。
  • 使用资源隔离技术,如 bulkhead(舱壁隔离技术)、swimlane(泳道技术)、circuit breaker(断路技术)。
  • 近实时的监控、报警及运维操作。

Hystrix 线程池隔离技术

使用线程池隔离,比如说有 3 个服务 A、B、C,每个服务的线程池分配 10,20,30个线程,当 A 服务线程池中的 10 个线程都拿出来使用后,如果调用服务 A 的请求量增加,还想再增加线程是不行的,因为 A 服务分配的线程已经用完了,不会拿其他的服务的线程,这样就不会影响其他服务了。Hystrix 默认使用线程池隔离模式。

线程池隔离技术

 

线程池隔离技术优点

  • 依赖的服务都有隔离的线程池,即使自己的线程池满了,也不会影响任何其他其他的服务调用。
  • 线程池的健康状态会上报,可以近实时修改依赖服务的调用配置。
  • 线程池具有异步特性,可以构建一层异步调用层。
  • 具有超时检测的机制,尤其在服务间调用特别有用。

线程池隔离技术缺点

  • 线程池本身就会带来一些问题,比如线程切换,线程管理,无疑增加了 CPU 的开销。
  • 如果线程池中的线程利用率很低,则无疑是一种浪费。

Hystrix 信号量隔离技术

如下图所示:简单来说就是一个池子里面放着一定数量的信号量,服务 A 每次调用服务 B 之前,需要从池子里面申请信号量,申请到了,才能去调用 B 服务。

获取信号量

 

线程池隔离和信号量的场景对比

  • 线程池隔离技术 ,适合大部分场景,但需要设置服务的超时时间。
  • 信号量隔离技术 ,适合内部比较复杂的业务,不涉及网络请求问题。

三、Sentinel

3.1、Sentinel 是什么

Sentinel:面向分布式服务架构的流量控制组件,主要以流量为切入点,从限流、流量整形、熔断降级、系统负载保护、热点防护等多个维度来帮助开发者保障微服务的稳定性。

3.2、Sentinel 的历史

  • 2012 年,Sentinel 诞生,主要功能为入口流量控制。
  • 2013-2017 年,Sentinel 在阿里巴巴集团内部迅速发展,成为基础技术模块,覆盖了所有的核心场景。Sentinel 也因此积累了大量的流量归整场景以及生产实践。
  • 2018 年,Sentinel 开源,并持续演进。
  • 2019 年,Sentinel 朝着多语言扩展的方向不断探索,推出 C++ 原生版本,同时针对 Service Mesh 场景也推出了 Envoy 集群流量控制支持,以解决 Service Mesh 架构下多语言限流的问题。
  • 2020 年,推出 Sentinel Go 版本,继续朝着云原生方向演进。

3.3、Sentinel 的特征

  • 丰富的应用场景。 支撑阿里的双十一核心场景,如秒杀、消息削峰填谷、集群流量控制、实时熔断下游不可用。
  • 完备的实时监控。 可以看到接入应用的单台机器秒级数据,以及集群的汇总情况。
  • 广泛的开源生态。 Spring Cloud、Dubbo、gRPC 都可以接入 Sentinel。
  • 完善的 SPI 扩展点。 实现扩展接口来快速定制逻辑。

用一张图来总结:

Sentilel 的主要特性

 

3.4、Sentinel 的组成

  • 核心库(Java 客户端)不依赖任何框架/库,能在所有的 Java 运行时环境运行,且对 Spring Cloud、Dubbo 等框架有较好的支持。
  • 控制台(Dashboard)基于 Spring Boot 开发,打包后可以直接运行,不需要额外的 Tomcat 等应用容器。

3.5、Sentinel 的资源

Sentinel 中的资源是核心概念,可以是 Java 应用程序中的任何内容,可以是提供的服务,甚至是一段代码。

可以通过 Sentinel API 定义的代码,就是资源,能够被 Sentinel保护起来。可以如下几种方式来标识资源:

  • 方法签名。
  • URL。
  • 服务名称等。

3.6、Sentinel 的设计理念

Sentinel 作为一个流量控制器,可以根据需要把随机的请求调整成合适的形状,如下图所示:

流量整形

 

四、对比

4.1、隔离设计上对比

Hystrix

Hystrix 提供两种隔离策略,线程池隔离和信号量隔离。

Hystrix 中最推荐的也是最常用的是线程池隔离。线程池隔离的好处是隔离度很高,不会影响其他资源,但是线程本身也有自己的问题,线程上下文切换时比较耗 CPU 资源的,如果对低延时要求比较高,影响还是挺大的,而且创建线程是需要分配内存的,创建的线程越多,需要分配的内存也会更多。而且如果对每个资源都创建一个线程池,那线程切换会带来更大的损耗。

而 Hystrix 的信号量隔离,可以对某个资源调用的并发数进行限制,轻量级的,不用显式创建线程池,但缺点是不能对慢调用进行自动降级,只能等客户端那边超时,还是有可能出现级联阻塞的情形。

Sentinel

Sentinel 可以通过并发线程数模式的流量控制来提供信号量隔离的功能,而且它还具备响应时间的熔断降级模式,防止过多的慢调用占满并发数而影响整个系统。

4.2、熔断降级的对比

Sentinel 和 Hystrix 都是基于熔断器模式。都支持基于异常比率来进行熔断,但 Sentinel 更强大,可以基于响应时间、异常比率和异常数来进行熔断降级。

4.3、实时统计的对比

Sentinel 和 Hystrix 都是基于滑动窗口进行实时统计,但 Hystrix 是基于 RxJava 的事件驱动模型,在服务调用成功/失败/超时的时候发布响应的事件,通过一系列的变换和聚合最终得到实时的指标统计数据流,可以被熔断器或 Dashboard 消费。而 Sentinel 是基于 LeapArray 的滑动窗口。

五、Sentinel 的突出特性

除了上面提到的 三大对比外,Sentinel 还有一些 Hystrix 不具备的功能。

5.1、流量控制

流量控制: 其原理是监控应用流量的 QPS 或并发线程数等指标,当达到指定的阈值时对流量进行控制,以避免被瞬时的流量高峰冲垮,从而保障应用的高可用性。

Sentinel 可以基于QPS/并发数进行流量控制,也可以基于调用关系进行流量控制。

基于 QPS 进行流量控制有以下几种方式:

  • 直接拒绝: 当QPS 超过一定阈值时,直接拒绝。适用于对系统处理能力确切已知的情况。
  • 慢启动预热: 当系统长期处于低水位的情况下,当流量突然增加时,直接把系统拉升到高水位可能瞬间把系统压垮。通过"冷启动",让通过的流量缓慢增加,在一定时间内逐渐增加到阈值上限,给冷系统一个预热的时间,避免冷系统被压垮。

慢启动预热模式原理图

 

  • 匀速排队: 请求以均匀的速度通过,对应的是漏桶算法。

匀速排队模式原理图

 

  • 基于调用关系的流量控制:
  • 根据调用方限流。
  • 根据调用链路入口限流:链路限流。

根据具有关系的资源流量限流:关联流量限流。

5.2、系统自适应限流

Sentinel 系统自适应限流从整体维度对应用入口流量进行控制,借助 TCP BBR 思想,结合应用的 Load、CPU 使用率、总体平均 RT、入口 QPS 和并发线程数等几个维度的监控指标,通过自适应的流控策略,让系统的入口流量和系统的负载达到一个平衡,让系统尽可能跑在最大吞吐量的同时保证系统整体的稳定性。

自适应限流原理图

 

我们把系统处理请求的过程想象为一个水管,到来的请求是往这个水管灌水,当系统处理顺畅的时候,请求不需要排队,直接从水管中穿过,这个请求的RT是最短的;反之,当请求堆积的时候,那么处理请求的时间则会变为:排队时间 + 最短处理时间。

推论一: 如果我们能够保证水管里的水量,能够让水顺畅的流动,则不会增加排队的请求;也就是说,这个时候的系统负载不会进一步恶化。

推论二: 当保持入口的流量是水管出来的流量的最大的值的时候,可以最大利用水管的处理能力。

5.3、 实时监控和控制面板

Sentinel 提供一个轻量级的开源控制台,它提供机器发现以及健康情况管理、监控(单机和集群),规则管理和推送的功能。

Sentinel 控制台

 

5.4、 发展及生态

Sentinel 针对 Spring Cloud、Dubbo、gRPC 都进行了适配,引入依赖和简单的配置即可快速接入 Sentinel,相信 Sentinel 将是未来流量防控的一大利器。我比较看好 Sentinel。

5.5、 Sentinel 和 Hystrix 对比总结

Hystix 和 Sentinel 对比总结

 

写在最后

有读者问我秒杀系统该怎么设计,在之前的文章中,我已经揭秘了秒杀系统的架构设计,下面我还是总结下秒杀系统关注的八大点:

 

 

  • 服务单一职责、独立部署
  • 库存预热、快速扣减
  • 秒杀链接加密
  • 动静分离
  • 恶意请求拦截
  • 流量错峰
  • 限流&熔断&降级
  • 队列削峰

本文转载自微信公众号「悟空聊架构」,可以通过以下二维码关注。转载本文请联系悟空聊架构公众号。

 

责任编辑:武晓燕 来源: 悟空聊架构
相关推荐

2013-03-21 11:12:05

2015-11-02 18:18:24

盛大云

2013-11-12 09:50:55

阿里双11数据

2020-11-24 17:17:30

流量/双十一/Akam

2015-12-25 09:58:59

阿里云汤子楠双11

2013-11-12 12:22:38

2021-11-16 19:24:06

数字化

2015-11-09 17:00:45

清华同方

2015-11-12 19:44:13

TalkingData

2015-11-09 13:37:10

阿里云双11

2017-11-02 10:04:09

天猫

2014-02-26 11:22:38

2017-10-23 17:30:02

双十一

2015-10-29 09:16:34

寒冬创业投资

2018-09-27 10:26:12

物联网

2015-11-09 16:41:44

BlueHost

2018-11-12 00:16:21

云计算行业科技

2020-11-16 08:50:24

断网断电阿里

2020-02-10 18:37:25

微软
点赞
收藏

51CTO技术栈公众号