服务的容灾与容错
引子
先介绍几个概念,同步一下认知:
容灾:是指系统冗余部署,当一处由于意外停止工作,整个系统应用还可以正常工作。
容错:是指在运行中出现错误(如上下游故障或概率性失败)仍可正常提供服务。
可用性:描述的是系统可提供服务的时间长短。用公式来说就是A=MTBF/(MTBF+MTTR),即正常工作时间/(正常工作时间+故障时间)。
可靠性:描述的是系统指定时间单位内无故障的次数。比如:一年365天,以天为单位来衡量。有天发生了故障,哪怕只有1秒,这天算不可靠。其他没有故障的是可靠的。
稳定性:这个业界没有明确的定义,我的理解是:在受到各种干扰时仍然能够提供符合预期的服务的能力。
从要求的严格程度上:可用性<可靠性<稳定性。
可用性和可靠性更侧重于容灾,而对稳定性同时包含容灾和容错。
服务的容灾
服务容灾的解决方案就是冗余。多几个备份来切换。常用的有N+1容灾和两地三中心。N和中心实际上都是机房的意思。所谓中心就是数据中心。N是数据中心的电力配置部分。电力配置有市电和备用发动机供电,但是一般互联网公司是不支持备用发动机供电的。所以一般一个机房就是一个N。
N+1容灾就是要多出一个机房做容灾。而两地三中心,是提高了安全级别,除了同城两个中心外,在异地再多出来一个中心。如果整个地区市电都不供电了,还有个备份。
这个备份的冷备和热备不同于数据库的冷备和热备。数据库的冷备是离线备份,就是不接收新流量的情况下备份。热备是一边接收流量一边备份。
而通常服务的冷备是服务还没有接收流量。而热备是指备份数据也在接收流量,比如负载均衡或者master-slave模式的slave承担读流量的副本。这些热备由于一直在运行所以避免了要切换前的服务检查等步骤,可以快速切换。
服务的容错
道
Everything fails!
法
服务容错的难点在于存在未知和不可预测。所以对服务容错要处理两个问题:发现和解决。
可以自下而上和自上而下两个角度来发现问题。自下而上主要是根据海因法则,从根本上解决遇到的每一个问题,以避免引起更大的问题。自上而下是系统化的思考,根据已知和可预测的,推演出未知和不可预测的。
在解决问题方面,衍生出很多派系。比如调研到阿里那边更倾向于从流程上做把控:
术
隔离术
1>领域拆分隔离
2>服务部署隔离
机房隔离
单元化
泳道
热点隔离
读写隔离
容器隔离
3>服务间交互隔离
熔断降级
4>服务内资源隔离
线程池隔离
信号量隔离
风险巡检术
慢查询
超时治理
依赖治理:消除依赖、弱化依赖、控制依赖
系统破窗户
废弃代码资源治理
系统异常治理
告警治理
数据一致性治理
稳定性设计术
请参考《稳定性三十六计》
器
超时重试:推荐spring-retryer
熔断:推荐hystrix
限流:推荐Guava RateLimiter
spring cloud提供了超时重试、熔断、限流的综合解决方案