序言
当微服务调用链路中的某个服务出现故障,最终将可能引起整个链路中的所有微服务都不可用,这便是雪崩问题。
解决雪崩问题,通常存在以下四种方案:
- 超时处理:设定超时时间,请求超过一定时间没有响应就返回错误信息,不会无休止等待,但高并发下无法从根本上解决问题
- 舱壁模式(线程隔离):限定每个业务能使用的线程数,避免耗尽整个 Tomcat 的资源
- 熔断降级:由断路器统计业务执行的异常比例,若超出阈值则会熔断该业务,则拦截访问该业务的一切请求
- 流量控制:限制业务访问的 QPS,避免服务因流量的突增而故障。
前面三种是为了避免出错业务扩散造成雪崩效应,而最后一种是为了预防出现雪崩问题。
本文要谈的 Sentinel 使用后面三种方式来处理雪崩问题。
简介
随着微服务的流行,服务和服务之间的稳定性变得越来越重要。Sentinel 是面向分布式、多语言异构化服务架构的流量治理组件,主要以流量为切入点,从流量路由、流量控制、流量整形、熔断降级、系统自适应过载保护、热点流量防护等多个维度来帮助开发者保障微服务的稳定性。
基本概念
资源
资源是 Sentinel 的关键概念。它可以是 Java 应用程序中的任何内容,例如,由应用程序提供的服务,或由应用程序调用的其它应用提供的服务,甚至可以是一段代码。
只要通过 Sentinel API 定义的代码,就是资源,能够被 Sentinel 保护起来。大部分情况下,可以使用方法签名,URL,甚至服务名称作为资源名来标示资源。
规则
围绕资源的实时状态设定的规则,可以包括流量控制规则、熔断降级规则以及系统保护规则。所有规则可以动态实时调整。
功能和设计理念
流量控制
流量控制在网络传输中是一个常用的概念,它用于调整网络包的发送数据。然而,从系统稳定性角度考虑,在处理请求的速度上,也有非常多的讲究。任意时间到来的请求往往是随机不可控的,而系统的处理能力是有限的,因此,我们需要根据系统的处理能力对流量进行控制。
Sentinel 作为一个调配器,可以根据需要把随机的请求调整成合适的形状,如下图所示:
流量控制有以下几个角度:
- 资源的调用关系,例如资源的调用链路,资源和资源之间的关系;
- 运行指标,例如 QPS、线程池、系统负载等;
- 控制的效果,例如直接限流、冷启动、排队等。
Sentinel 的设计理念是让您自由选择控制的角度,并进行灵活组合,从而达到想要的效果。
熔断降级
什么是熔断降级
除了流量控制以外,降低调用链路中的不稳定资源也是 Sentinel 的使命之一。
由于调用关系的复杂性,如果调用链路中的某个资源出现了不稳定,最终会导致请求发生堆积。这个问题和 Hystrix 里面描述的问题是一样的。
Sentinel 和 Hystrix 的原则是一致的: 当调用链路中某个资源出现不稳定,例如,表现为 timeout,异常比例升高的时候,则对这个资源的调用进行限制,并让请求快速失败,避免影响到其它的资源,最终产生雪崩的效果。
熔断降级设计理念
在限制的手段上,Sentinel 和 Hystrix 采取了完全不一样的方法。
Hystrix 通过线程池的方式,来对依赖(在我们的概念中对应资源)进行了隔离。这样做的好处是资源和资源之间做到了最彻底的隔离。缺点是除了增加了线程切换的成本,还需要预先给各个资源做线程池大小的分配。
Sentinel 对这个问题采取了两种手段:
- 通过并发线程数进行限制:资源池隔离的方法不同,Sentinel 通过限制资源并发线程的数量,来减少不稳定资源对其它资源的影响。这样不但没有线程切换的损耗,也不需要您预先分配线程池的大小。当某个资源出现不稳定的情况下,例如响应时间变长,对资源的直接影响就是会造成线程数的逐步堆积。当线程数在特定资源上堆积到一定的数量之后,对该资源的新请求就会被拒绝。堆积的线程完成任务后才开始继续接收请求
- 通过响应时间对资源进行降级:除了对并发线程数进行控制以外,Sentinel 还可以通过响应时间来快速降级不稳定的资源。当依赖的资源出现响应时间过长后,所有对该资源的访问都会被直接拒绝,直到过了指定的时间窗口之后才重新恢复。
系统负载保护
Sentinel 同时提供系统维度的自适应保护能力。防止雪崩,是系统防护中重要的一环。当系统负载较高的时候,如果还持续让请求进入,可能会导致系统崩溃,无法响应。在集群环境下,网络负载均衡会把本应这台机器承载的流量转发到其它的机器上去。如果这个时候其它的机器也处在一个边缘状态的时候,这个增加的流量就会导致这台机器也崩溃,最后导致整个集群不可用。
针对这个情况,Sentinel 提供了对应的保护机制,让系统的入口流量和系统的负载达到一个平衡,保证系统在能力范围之内处理最多的请求。
为什么选择 Sentinel?
| Sentinel | Hystrix | |
|---|---|---|
| 隔离策略 | 信号量隔离 | 线程池隔离/信号量隔离 |
| 熔断降级策略 | 基于慢调用比例或异常比例 | 基于失败比率 |
| 实时指标实现 | 滑动窗口 | 滑动窗口(基于 RxJava) |
| 规则配置 | 支持多种数据源 | 支持多种数据源 |
| 扩展性 | 多个扩展点 | 插件的形式 |
| 基于注解的支持 | 支持 | 支持 |
| 限流 | 基于 QPS,支持基于调用关系的限流 | 有限的支持 |
| 流量整形 | 支持慢启动、匀速排队模式 | 不支持 |
| 系统自适应保护 | 支持 | 不支持 |
| 控制台 | 开箱即用、可配置规则、查看秒级监控、机器发现等 | 不完善 |
| 常见框架的适配 | Servlet、 Spring Ctoud、 Dubbo、gRPC 等 | Servlet、 Spring Ctoud NetfLix |
从上述对比图可发现,Sentinel 支持功能更多更强。
工作原理
Sentinel 的主要工作机制如下:
- 对主流框架提供适配或者显示的 API,来定义需要保护的资源,并提供设施对资源进行实时统计和调用链路分析
- 根据预设的规则,结合对资源的实时统计信息,对流量进行控制。同时,Sentinel 提供开放的接口,方便您定义及改变规则
- Sentinel 提供实时的监控系统,方便您快速了解目前系统的状态
环境搭建
下载
Sentinel 官方提供了 UI 控制台,方便我们对系统做限流设置,可以在 GitHub下载。
启动
1 | java -jar sentinel-dashboard-1.8.6.jar |
测试
访问localhost:8080即可看到控制台页面,默认的账户和密码都是sentinel
配置
如果要修改Sentinel的默认端口、账户、密码,在 jar 包同级目录新建config/application.yml,配置如下参数:1
2
3
4
5
6
7server:
port: 8030
sentinel:
dashboard:
auth:
username: sentinel
password: sentinel
微服务集成
SpringBoot 微服务项目若想集成 Sentinel,可通过以下三步集成并测试:
① 引入 Sentinel 依赖:
1
2
3
4<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-sentinel</artifactId>
</dependency>② 微服务配置文件:
1
2
3
4
5spring
cloud:
sentinel:
transport:
dashboard: localhost:8030③ 访问微服务的任意端点,则触发 Sentinel 监控
限流规则
基本概念
簇点链路
簇点链路即项目内的调用链路,链路中被监控的每个接口就是一个资源。默认情况下 sentinel 会监控 SpringMVC 的每一个端点(Endpoint),因此 SpringMVC 的每一个端点(Endpoint)就是调用链路中的一个资源。
流控、熔断等都是针对簇点链路中的资源来设置的, 因此我们可以点击对应资源后面的按钮来设置规则:
快速入门
点击资源/sys/bifrost/perm/menuTree后面的流控按钮,就可以弹出表单。表单中可以添加流控规则,如下图所示:
其含义是限制/sys/bifrost/perm/menuTree这个资源的单机 QPS 为 5, 即每秒只允许 1 次请求, 超出的请求会被拦截并报错。
如何验证呢?
可以使用用 jemeter 测试对应的接口。
流控模式
在添加限流规则时,点击高级选项,可以选择三种流控模式:
- 直接:统计当前资源的请求,触发阈值时对当前资源直接限流,也是默认的模式
- 关联:统计与当前资源相关的另一个资源,触发阈值时,对当前资源限流
- 链路:统计从指定链路访问到本资源的请求,触发阈值时,对指定链路限流
流控模式-直接(常用)
直接模式:统计当前资源的请求,触发阈值时对当前资源直接限流,也是默认的模式。
使用场景:无特殊需要时直接选此模式即可。
流控模式-关联
关联模式: 统计与当前资源相关的另一个资源, 触发阈值时,对当前资源限流。
使用场景: 比如用户支付时需要修改订单状态, 同时用户要查询订单。 查询和修改操作会争抢数据库锁, 产生竞争。业务需求是有限支付和更新订单的业务, 因此当修改订单业务触发阈值时, 需要对查询订单业务限流。
当/write资源访问量触发阈值时,就会对/read资源限流,避免影响/write资源。
满足下面条件可以使用关联模式:
- 两个有竞争关系的资源
- 一个优先级较高,一个优先级较低
流控模式-链路
链路模式:只针对从指定链路访问到本资源的请求做统计,判断是否超过阈值。例如有两条请求链路:
/test1→/common/test2→/common
如果只希望统计从/test2进入到/common的请求,则可以这样配置:
需求:有查询订单和创建订单业务,两者都需要查询商品。针对从查询订单进入到查询商品的请求统计,并设置限流。
步骤:
1.在OrderService中添加一个queryGoods方法,不用实现业务
2.在OrderController中,改造/order/query端点,调用OrderService中的queryGoods方法
3.在OrderController中添加一个/order/save的端点,调用OrderService的queryGoods方法
4.给queryGoods设置限流规则,从/order/query进入queryGoods的方法限制 QPS 必须小于 2
注意
Sentinel 默认只标记Controller中的方法为资源,如果要标记其它方法,需要利用@SentinelResource注解, 示例:1
2
3
4("goods")
public void queryGoods() {
...
}
Sentinel 默认会将Controller方法做context整合,导致链路模式的流控失效,需要修改application.yml,添加配置:1
2
3
4
5
6
7spring
cloud:
sentinel:
# 关闭 context 整合
web-context-unify: false
transport:
dashboard: localhost:8030
流控效果
流控效果是指请求达到流控阈值时应该采取的措施,包括三种:
- 快速失败:达到阈值后,新的请求会被立即拒绝并抛出FlowException异常。是默认的处理方式。
warm up:预热模式,对超出阈值的请求同样是拒绝并抛出异常。但这种模式阈值会动态变化,从一个较小值逐渐增加到最大阈值。- 排队等待:让所有的请求按照先后次序排队执行,两个请求的间隔不能小于指定时长
流控效果-warm up
warm up,即预热模式, 是应对服务冷启动的一种方案,可以避免服务刚启动时高并发请求过多将服务打垮的问题出现。
请求阈值初始值是threshold/coldFactor, 持续指定时长后,逐渐提高到threshold值,而coldFactor的默认值是 3。
例如,设置 QPS 的 threshold 为 10,预热时间为 5 秒,那么初始阈值就是 10/3,也就是 3,然后在 5 秒后逐渐增长到 10.
流控效果-排队等待
当请求超过 QPS 阈值时,快速失败和 warmup 会拒绝新的请求并抛出异常。而排队等待则是让所有请求进入一个队列中,然后按照阈值允许的时间间隔依次执行。后来的请求必须等待前面执行完成,如果请求预期的等待时间超出最大时长,则会被拒绝。
例如: QPS = 5,意味着每 200ms 处理一个队列中的请求; timeout = 2000,意味着预期等待超过 2000ms 的请求会被拒绝。
热点规则
热点参数限流
之前的限流是统计访问某个资源的所有请求 ,判断是否超过 QPS 阈值。 而热点参数限流是分别统计参数值相同的请求,判断是否超过 QPS 阈值。
隔离和降级
虽然限流可以尽量避免因高并发而引起的服务故障,但服务还会因为其它原因而故障。而要将这些故障控制在一定范围,避免雪崩,就要靠线程隔离(舱壁模式)和熔断降级手段了。
不管是线程隔离还是熔断降级,都是对客户端(调用方)的保护。
FeignClient 集成 Sentinel
SpringCloud 中,微服务调用都是通过 Feign 来实现的,因此做客户端保护必须整合 Feign 和 Sentinel,下面是集成步骤:
修改微服务的
application.yml文件,开启Feign的Sentinel功能1
2
3
4feign:
# 开启 Feign 的 Sentinel 功能
sentinel:
enabled: true给
FeignClient编写失败后的降级逻辑,可选以下两方案:- ① FallbackClass,此方案无法对远程调用的异常做处理
- ② FallbackFactory,此方案可以对远程调用的异常做处理,推荐此方案
代码实现步骤
① 在feing-api项目中定义类,实现FallbackFactory接口:1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
174j
public class UserClientFallbackFactory implements FallbackFactory<UserGlient> {
public UserClient create(Throwable throwable) {
// 创建 Userclient 接口实现类,实现其中的方法,编写失败降级的处理逻辑
return new UserClient() {
public User findById(Long id) {
// 记录异常信息
log.error("查询用户失败",throwable);
// 根据业务需求返回默认的数据,这里是空用户
return new User();
};
}
}
}
② 在feing-api项目中的DefaultFeignConfiguration类中将UserClientFallbackFactory注册为一个Bean:1
2
3
4
public UserClientFallbackFactory userClientFallback(){
return new UserClientFallbackFactory();
}
③ 在feing-api项目中的UserClient接口中使用UserClientFallbackFactory:1
2
3
4
5(value = "userservice", fallbackFactory = UserClientFallbackFactory.class)
public interface UserClient {
("/user/{id}")
User findById (@PathVariable("id") Long id) ;
}
线程隔离(舱壁模式)
线程隔离有两种方式实现:
- 线程池隔离
- 优点:支持主动超时,支持异步调用
- 缺点:线程的额外开销比较大
- 使用场景:低扇出
- 信号量隔离(Sentinel 默认采用)
- 优点:轻量级,无额外开销
- 缺点:不支持主动超时,不支持异步调用
- 使用场景:高频调用,高扇出
使用
在添加限流规则时,可以选择两种阈值类型:
- QPS:就是每秒的请求数, 在快速入门中已经演示过
- 线程数:指该资源能使用用的 tomcat 线程数的最大值。 也就是通过限制线程数量, 实现舱壁模式。
熔断降级
熔断降级是解决雪崩问题的重要手段。
熔断的处理是由断路器统计服务调用的异常比例、慢请求比例,如果超出阈值则会熔断该服务,即拦截访问该服务的一切请求;而当服务恢复时,断路器会放行访问该服务的请求。
熔断工作原理的如下图:
断路器熔断策略有三种:慢调用、异常比例、异常数。
熔断策略-慢调用(常用)
对于慢调用熔断策略而言:若在指定时间内,请求数量超过设定的最小数量,其中这些请求的百分比中,慢调用比例大于设定的阈值,则触发熔断。
注:慢调用指的是,若业务接口请求的响应时间(RT)大于设置的时间,此接口情况会被认定为慢调用请求。
举个示例说明:
上图中:对 RT 超过 500ms 的请求将被视为慢调用请求,在熔断器统计最近 10000ms 内的请求中,如果请求量超过 10 次,并且发送慢调用请求的比例不低于 0.5,则触发熔断机制,具体熔断时长为 5 秒;然后进入 half-open 状态,放行一次请求做测试。
生产中,慢调用策略建议设置如下:
- 最大 RT:600ms
- 比例阈值:0.75
- 熔断时长:2s
- 最小请求数:1000
- 统计时长:10000 ms
异常比例或异常数
异常比例或异常数:统计指定时间内的调用,如果调用次数超过指定请求数,并且出现异常的比例达到设定的比例阈值(或超过指定异常数),则触发熔断。例如:
解读:统计最近1000ms内的请求,如果请求量超过10次,并且异常比例不低于0.5,则触发熔断,熔断时长为5秒。然后进入half-open状态,放行一次请求做测试。
授权规则
授权规则
授权规则可以对调用方的来源做控制,有白名单和黑名单两种方式。
- 白名单:来源(origin)在白名单内的调用者允许访问
- 黑名单:来源(origin)在黑名单内的调用者不允许访问
例如,我们限定只允许从网关来的请求访问user-service,那么流控应用中就填写网关的名称。
自定义异常结果
默认情况下,发生限流、降级、 授权拦截时,都会抛出异常到调用方。
如果要自定义异常时的返回结果, 需要实现BlockExceptionHandler接口:1
2
3
4
5
6
7
8public interface BlockExceptionHandler {
/**
* 处理请求被限流、降级、授权拦截时会抛出 BlockException 异常
*/
void handle(HttpServletRequest request, HttpServletResponse response, BlockException e) throws Exception;
}
BlockException包含很多个子类,分别对应不同的场景:
| 异常 | 说明 |
|---|---|
| FlowException | 限流异常 |
| ParamFlowException | 热点参数限流的异常 |
| DegradeException | 降级异常 |
| AuthorityException | 授权规则异常 |
| SystemBlockException | 系统规则异常 |
我们可以根据业务需要自定义不同的返回结果,下面是一个代码实现的例子:1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
public class SentinelBlockHandler implements BlockExceptionHandler {
public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, BlockException e) throws Exception {
String msg = "未知异常";
int status = 429;
if (e instanceof FlowException) {
msg = "请求被限流";
} else if (e instanceof ParamFlowException) {
msg = "热点参数限流!";
} else if (e instanceof DegradeException) {
msg = "请求被降级";
} else if (e instanceof SystemBlockException) {
msg = "请求系统服务器暂时不提供访问!";
} else if (e instanceof AuthorityException) {
msg = "请求没有权限!";
status = 401;
}
httpServletResponse.setContentType("application/json; charset=utf-8");
httpServletResponse.setStatus(status);
httpServletResponse.getWriter().println("{\"message\": \"" + msg + "\", \"status\": " + status + "}";
}
}
规则管理
Sentinel 的控制台规则管理存在三种模式:
- ① 原始模式: 默认模式,将规则保存在内存,重启服务规则将丢失
- ② pull 模式:保存在本地文件或数据库,定时去读取
- ③ push 模式:保存在配置中心,监听变更实时更新
pull 模式
此模式下控制台将配置的规则推送到 Sentinel 客户端, 而客户端会将配置规则保存在本地文件或数据库中,之后 Sentinel 会定时去本地文件或数据库中查询更新本地规则。
push 模式
此模式下控制台将配置规则推送到远程配置中心,例如 Nacos。Sentinel 客户端监听 Nacos,获取配置变更的推送消息,完成本地配置更新。
使用(待补充)
push 模式实现最为复杂,依赖于 Nacos,并且需要修改 Sentinel 控制台源码。
参考
文章信息
| 时间 | 说明 |
|---|---|
| 2022-11-21 | 初版 |