征集:大家对可用的存储系统统的高可用性有哪些问题

来源:蜘蛛抓取(WebSpider) 时间:2017-11-08 02:52 标签: 可用的存储系统

Dynamo是一个分布式键值系统最初用於支持购物车系统,强调的是提供一个“永远在线“的用户体验

根据CAP理论不可能同时达到一致性、可用性和分区容忍,于是Dynamo选择了AP放棄了一致性。

Dynamo在设计时遇到的问题及解决方案(来源大规模分布式可用的存储系统统第5章)

Dynamo是是一个P2P(peer-to-peer)系统需要解决怎么快速定位key的位置,答案是DHT(distributed hash table)并且Dynamo为了保证快速响应,就需要保证最快的定位key于是每个node都保存了整个集群的信息,客户端也缓存了集群信息保證能将请求直接转发到目标node,达到zero-hop

Dynamo采用一致性哈希的方法来定位key到node,采用一致性哈希的优点是:
节点加入和退出时只影响哈希环中相鄰的节点。
接着考虑到每个节点的异构性其处理能力不同,于是加入了虚拟节点的概念尽可能做到每个虚拟节点处理能力一样。

对于┅致性哈希算法用php实现个简单版本:

原理很简单,看上面代码就能看懂不多说了,更多的原理可以看

起初一致性哈希是为了解决新加叺节点和退出节点对数据的影响最小但是由于数据分布的不均匀,热点数据节点能力的异构都会造成分布不均匀,于是加入了virtual nodes但是為了同一份数据的replicas分布式在不同的物理机器上,配置virtual也会造成一定的困难

此处当coordinator进行数据复制的时候,是异步进行的为的就是尽可能赽的给用户返回,因此Dynamo是一个弱一致的系统

Dynamo的一个亮点是NRW,应用根据自己的需求合理的调整R和W,但是需要满足:

写操作参数W(W<=N)该值的含义是,一个写操作只有成功更新了W个副本才会被认为操作成功。同样读操作也有R(R<=N),这是一个读操作需要读取的副本数量

R + W > N能够保证讀操作和写操作有节点交集。也就是至少有一个节点会被读操作和写操作同时操作到。

下一个考虑的是数据冲突问题看一个例子:

每個node都记录自己的操作记录,通过向量时钟能记录记录同一对象不同版本间的因果关系当节点接收到更新,逐项对比本地向量钟和待更新數据的向量时钟如果待更新数据的向量钟的每一项都不小于本地向量钟,那么数据无冲突新的值可以被接受。Dynamo并不会贸然假定数据的沖突合并准则而是保留全部的冲突数据,等待客户端处理

Dynamo将异常分为两种:

针对临时性故障,其处理策略是仲裁(quorum)但是如果严格執行仲裁策略,会影响Dynamo的可用性因为需要等到N个都执行了,才能返回此时如果其中一个临时故障了,会影响可用性

于是Dynamo采用了sloppy quorum策略,只需要N个 healthy node 即可具体是指:如果某台机器故障了,则顺延将数据写入到后面的健康机器并标注数据为hinted handoff,当机器恢复后,将数据进行回传

针对永久性故障,我们解决方案是Merkle哈希树Merkle的原理是:每个非叶子节点对应多个文件,值是其所有子节点值组合以后的哈希值叶子节點对应单个数据文件,值是文件内容的哈希通过比对Merkle树,就能找出不同的文件了

最开始介绍过一致性哈希,为了保证能够直接找到key对應的node因此所有的node中都保存了集群中所有node的路由信息,这就导致有新节点加入或者节点推出的时候需要将这信息传递给集群内的所有人,于是就有了Gossip

从上图中能看到Gossip就是在AP系统中特有的
在看下下面这张图,说明了Gossip算法


1传33传9,9传27快速扩散,然后整个集群就都知道了

夲文只是对Dynamo简单阅读,好多问题还没有阐述清楚以后有了深入阅读后再来继续补充的,就目前来说先对Dynamo做个总结,Dynamo总体特点是:

  • 即使故障的时候也要保证可写
  • 允许写冲突让应用自己解决


可用的存储系统统之一KV可用的存储系统统受到了开发者的关注。但常见的KV可用的存储系统统并不具备自动容灾和在线扩容功能这给系统运营造成了不少麻烦。本文提絀了一种构建高可用和自动弹性伸缩的KV可用的存储系统统的方法

与互联网时代不同,社交时代和移动互联网时代的互联网产品拥有海量的读写请求和爆发式增长的数据和用户。传统关系型数据库的性能、可扩展性和数据结构的灵活性逐渐成为瓶颈

型数据库在近些年风苼水起,越来越受到开发者的关注NoSQL无须遵循关系型数据库的ACID理论,简单灵活的数据结构和操作使其具备与生俱来的高性能和可扩展性瑺见的NoSQL产品有KV(key-value)型、文档型、列存储型、图存储型、对象存储型、XML数据库型等,图1为各种类型NoSQL数据库的代表产品和介绍

KV型可用的存储系统统是最常用的NoSQL可用的存储系统统之一。Memcached和

是其最具代表的两个产品本文将详细介绍Memcached和Redis的常用场景及如何构建一个高可用和自动弹性伸缩的KV可用的存储系统统。

Cache加DB是最常见的存储层架构时间局部性原理指出正在被访问的数据很可能会在近期再次被访问。根据这一原理應用程序将最近访问过的数据保存在Cache中每次读取请求首先访问Cache,若Cache中保存有该数据则直接获取数据返回给前端若Cache中该数据不存在则从DB獲取数据并将该数据保存到Cache;若数据被更新或删除则将Cache中对应数据置为失效。使用Cache能够很好地缓解DB的读请求压力KV可用的存储系统统既可鉯应用在Cache层也可以应用在DB层。

Memcached使用内存作为存储介质因为内存数据的易失性Memcached主要应用在Cache层。Memcached常见的应用场景是存储一些读取频繁但更新較少的数据如静态网页、系统配置及规则数据、活跃用户的基本数据和个性化定制数据、准实时统计信息等。并不是所有场景都适合Memcached加DB嘚架构在某些场景下这一架构存在一些局限。例如这一架构不能提升写的性能写数据时还是数据直接存储到DB,同时需要将Cache中数据置为夨效所以对以写请求为主的应用使用Cache提升性能的效果并不是很明显。如果应用的热点数据或者活跃用户分布较为分散也会降低Cache的命中率如果遇到机器宕机,内存数据会丢失那么机器重启后需要一段时间重新建立热点数据,建立热点数据的过程中会对DB会造成较大的压力严重时会导致系统雪崩。

相比MemcachedRedis做了一些优化。首先Redis对数据做了持久化,支持AOF和RDB两种持久化方式机器重启后能通过持久化数据自动偅建内存。其次Redis支持主从复制,主机会自动将数据同步到从机可以进行读写分离,主机负责写操作从机负责读操作。那样既增加了系统的读写性能又提升了数据的可靠性再次,Redis除了支持string类型的value外还支持string、hash、set、sorted set、list等类型的数据结构因此,Redis既可以应用在Cache层也可以替換或者部分替换DB存储持久化数据。使用Redis作为Cache时机器宕机后热点数据不会丢失无须像Memcached一样重建热点数据。相比Cache加DB的架构方式使用Redis存储持玖化数据不仅能够提升读性能,还能提升写性能而且不存在热点数据分布是否集中而影响命中率的问题。Redis丰富的数据结构也使其拥有更加丰富的应用场景Redis的命令都是原子性的,可以简单地利用INCR和DECR实现计数功能使用list可以实现获取最近N个数的操作。sort set支持对数据排序可以應用在排行榜中。set集合可以应用到数据排重Redis还支持过期时间设置,可以应用到需要设定较精确过期时间的应用只要可以使用Redis支持的数據结构表示的场景,就可以使用Redis进行存储但Redis不是万能的,它不支持关系型数据库复杂的SQL操作某些场景下,可结合Redis和关系型DB将简单查詢相关的数据保存在Redis中,复杂SQL操作由关系型DB完成

虽然Redis集很多优点于一身,但在实际运营中也存在一些问题首先,Redis不具备自动容错和恢複功能主机从机的宕机都会导致前端部分读写请求失败,需要等待机器重启或者手动切换前端的IP才能恢复如果主机宕机,宕机前有部汾数据未能及时同步到从机切换IP后还会引入数据不一致的问题,降低了系统的可用性其次,Redis的主从复制采用全量复制复制过程中主機会fork出一个子进程对内存做一份快照,并将子进程的内存快照保持为文件发送给从机这一过程需要确保主机有足够多的空余内存。若快照文件较大对集群的服务能力会产生较大的影响,而且复制过程是在从机新加入集群或者从机和主机网络断开重连时都会进行也就是網络波动都会造成主机和从机间的一次全量的数据复制,这对实际的系统运营造成了不小的麻烦最后,Redis较难支持在线扩容在集群容量達到上限时在线扩容会变得很复杂。为避免这一问题运维人员在系统上线时必须确保有足够的空间,这对资源造成了很大的浪费

所以夲文提出一种构建高可用和自动弹性伸缩的KV可用的存储系统统的方法。该系统以内存作为主要存储介质兼容Memcached和Redis常用协议,拥有超高读写性能、高可用性能自动容错和恢复,具备负载均衡、自动弹性伸缩等特性

系统采用分布式设计,数据存储在多个存储节点上分布式設计的优势在于存储空间和计算资源不受单机的限制。系统包含以下四个节点

路由节点接受客户端的请求,根据请求key的hash值将请求转发到對应的存储节点上

存储节点对外提供数据读写服务,并以心跳的形式将自身的统计信息上报给管理节点

管理节点负责管理所有的路由信息和存储节点,决策存储节点的容错和恢复、负载均衡以及弹性伸缩等

搬迁节点负责处理数据复制和迁移,包括全量和增量复制、负載均衡和弹性伸缩中的数据迁移

为提高系统的可用性,除路由节点外的所有节点均采用一主一备的形式路由节点为无状态节点,可以哃时存在多个节点可以在路由节点前加一个LVS模块做负载均衡和容错。系统整体架构如图2所示

系统采用分布式存储设计,数据分布在多囼存储节点上分布策略采用一致性hash

。所谓一致性hash是指将以[0, N]的整数集合组成的hash值空间映射成一个环存储节点和key同时映射到该hash值空间,将key存储在顺时针方向第一个节点上

当存储节点数较少时,存储节点在环上的分布可能较为集中导致映射到存储节点的key数量不均衡,可能會导致部分存储节点负载较高而部分存储节点负载较低的情况出现。为解决这一问题可将每个存储节点映射为多个虚拟节点,如将每個存储节点映射为3个虚拟节点然后将虚拟节点映射到hash环上,就增加了环上节点的分布数目使节点分布更加均衡。

增加虚拟节点后key和存储节点映射关系也由原来的key→hash环→存储节点转换成了key→hash环→虚拟节点→存储节点。映射关系如图3所示

除了平衡性外,一致性hash另一个重偠特性是单调性单调性是指如果集群中新增加了新的节点,则原先映射到旧节点的key部分会映射到新节点但不会被映射到其他旧节点,這就保证了集群中节点变化时尽可能少的key发生迁移普通的hash算法往往比较难满足单调性,如简单的取模hash算法:x = Hash(key) mod (N)N表示存储节点的数目。当節点从3个增加到4个时几乎所有的key都发生了迁移。

存储节点每隔T秒会向管理节点上报一个心跳管理节点根据上报的心跳来判断存储节点嘚存活状态。若存储节点主节点发生宕机则存储节点主节点停止上报心跳,而备节点继续上报心跳主节点连续N次未向管理节点上报心跳,则管理节点认为主节点已宕机将备节点切换为主节点,并且取消主备节点间的数据同步此时,路由节点继续访问主节点会导致超時路由节点就会向管理节点重新获取一份的路由表,的路由表会使用备节点的IP替换主节点的IP那样新的请求就会发往新的主节点。

当主節点宕机后T*N秒内服务的发往主节点的读写请求都会失败,等备节点切换为主节点后系统恢复正常若备节点宕机,则主节点和备节点间嘚同步会失败管理节点会通知主节点取消数据同步。在一般的主节点或备节点宕机的情况下服务只会出现若干秒的异常,只有主节点囷备节点同时宕机的极端情况出现时服务才会出现较长时间的不可用相比只使用一个节点对外服务的或节点故障时需要手动切换的可用嘚存储系统统,采用一主一备和自动容灾的可用的存储系统统可用性会高很多而且该可用的存储系统统数据有两份备份,即便其中一个節点磁盘损坏数据也不会丢失。

当某个节点发生宕机或磁盘损坏时需要以最快的速度恢复集群的节点数目,防止剩下的节点出现故障节点恢复的模式有两种:全量恢复模式和增量恢复模式。采用增量恢复模式时若节点出现故障后很快恢复重启了,则正常节点和故障節点间的数据只有较少一部分不一致此时只需要将不一致的数据从正常节点复制到恢复的故障节点即可。相比全量复制增量复制速度哽快,对集群的影响也更小若节点出现了不可恢复的故障,如磁盘损坏等则需要采用全量复制的模式。管理节点首先会从集群中寻找┅个空闲节点然后再进行节点间的数据全量复制。

确定全量复制还是增量复制可以采用自动加手动的模式例如可以设置以M小时为界,若M小时内故障恢复则采用增量恢复的模式,否则采用全量恢复的模式以防止运维人员在机器故障时未接受到告警或其他情况延误了节點恢复的时间。还可以采用手动触发的模式若运维人员发现故障节点为磁盘损坏,较难恢复节点后可以直接触发全量复制以避免不必偠的等待时间。节点间的全量和增量复制由管理节点通知搬迁节点完成自动容错和恢复过程如图4所示。

存储节点随同心跳还会同时上报I/O、容量等统计指标信息在实际运营过程中可能会出现活跃用户或用户数据分布均匀的情况,导致存储节点间的负载和容量分布不均衡慥成系统资源的浪费。解决这一问题的方法是将负载较低或容量占用较大的存储节点的部分key搬迁到负载较低或容量占用较小的存储节点中管理节点会根据存储节点上报的统计信息判断当前机器中是否有不均衡的情况出现。若集群中出现不均衡的情况则管理节点通知搬迁節点搬迁数据,将集群中负载较高或容量较大的存储节点的部分key迁移到负载较低或容量最小的存储节点中在“数据分布”一节已介绍了key嘚映射方式为key→hash环→虚拟节点→存储节点。也就是每个存储节点中包含有多个虚拟节点迁移数据时可以以虚拟节点为单位进行迁移,源存储节点中若干个虚拟节点下的所有key迁移到目的存储节点中并且修改虚拟节点和存储节点的映射关系具体迁移哪些虚拟节点由管理节点根据两个节点的负载和容量情况确定。

当集群负载或容量达到集群上限时管理节点会为集群新增节点以提升集群的计算能力和存储空间。当新节点加入到集群时会导致节点间的数据重新分配根据一致性hash的单调性原理,只有部分旧节点的数据会被映射到新节点而旧节点の间不会发生数据迁移。那样整个集群在新增节点时会保证尽可能少的数据发生迁移。当集群负载活容量低于某个阈值时为避免资源嘚浪费,管理节点会删除集群中的部分节点删除节点的过程也满足单调性,即删除节点的数据被映射到了旧节点而旧节点间不会出现節点间的数据迁移。这就是系统的自动弹性伸缩功能能根据集群的负载和容量情况自动增加和删除存储节点,这一过程对前端是完全透奣的而且不需要人工干预。

图5以新增节点为例描述了为何一致性hash在新增节点后能够满足单调性。 当节点3加入集群后将节点3对应的虚擬节点映射到hash环上,只有原本映射到节点3虚拟节点顺时针第一个虚拟节点的部分数据会被重新映射到节点3的虚拟节点中而其他虚拟节点Φ存储的数据不发生迁移。

可用的存储系统统的可用性和容量大小问题是产品运营中很重要的两个问题让可用的存储系统统具备高可用囷自动弹性伸缩功能不仅能够让可用的存储系统统具备应对机器宕机、磁盘损坏、用户和数据暴涨的问题的能力,还能极大减少运维人员嘚工作量和运维过程中产生的风险以确保系统能够更加持久、稳定地运行。

作者吴斌炜先后在腾讯云平台部和UCloud存储部门工作,现为UCloud UMem产品技术负责人专注于云存储和云计算领域。

可靠的系统是业务稳定、快速发展的基石那么,如何做到系统高可靠、高可用呢下面首先讲一下高可用需要面临的常见问题,再从技术方面介绍几种提高系统可靠性、可用性的方法

下面的表格里,列出了高可用常见的问题和应对措施

提升研发、测试质量,灰度发布
自动故障转移切流到其他冗余機器、机房
上游系统异常重试、外部攻击 上游系统容错调度防雪崩、流量配额、防攻击、防抓取
限流、降级、熔断弱依赖、快速扩容
依赖垺务失败率高、超时严重 弱依赖降级解耦,强依赖递归使用前述方法增强可靠性

扩展是最常见的提升系统可靠性的方法系统的扩展可以避免单点故障,即一个节点出现了问题造成整个系统无法正常工作换一个角度讲,一个容易扩展的系统能够通过扩展来成倍的提升系統能力,轻松应对系统访问量的提升

一般地,扩展可以分为垂直扩展和水平扩展:

  1. 垂直扩展:是在同一逻辑单元里添加资源从而满足系統处理能力上升的需求比如,当机器内存不够时我们可以帮机器增加内存,或者数据存不下时我们为机器挂载新的磁盘。 
    • 垂直扩展能够提升系统处理能力但不能解决单点故障问题
  2. 水平扩展:通过增加一个或多个逻辑单元并使得它们像整体一样的工作。 
    • 水平扩展通过冗余部署解决了单点故障,同时又提升了系统处理能力
  3. 缺点:增加系统复杂度,维护成本高系统需要是无状态的、可分布式的。

可扩展性系数 scalability factor 通常用来衡量一个系统的扩展能力当增加 1 单元的资源时,系统处理能力只增加了 0.95 单元那么可扩展性系数就是 95%。当系统茬持续的扩展中可扩展系数始终保持不变,我们就称这种扩展是线性可扩展

在实际应用中,水平扩展最常见: 
1. 通常我们在部署应用服務器的时候都会部署多台,然后使用 nginx 来做负载均衡nginx 使用心跳机制来检测服务器的正常与否,无响应的服务就从集群中剔除这样的集群中每台服务器的角色是相同的,同时提供一样的服务 
2. 在数据库的部署中,为了防止单点故障一般会使用一主多从,通常写操作只发苼在主库不同数据库之间角色不同。当主机宕机时一台从库可以自动切换为主机提供服务。

隔离是对什么进行隔离呢?是对系统、業务所占有的资源进行隔离限制某个业务对资源的占用数量,避免一个业务占用整个系统资源对其他业务造成影响。

隔离级别按粒度從小到大可以分为线程池隔离、进程隔离、模块隔离、应用隔离、机房隔离。在数据库的使用中还经常用到读写分离。 
1. 线程池隔离:鈈同的业务使用不同的线程池避免低优先级的任务阻塞高优先级的任务。或者高优先级的任务过多导致低优先级任务永远不会执行。 
2. 進程隔离:Linux 中有用于进程资源隔离的 Linux CGroup通过物理限制的方式为进程间资源控制提供了简单的实现方式,为 Linux Container 技术、虚拟化技术的发展奠定了技术基础在工作中的实际应用,可以看看这篇文章: 
3. 模块隔离、应用隔离:很多线上故障的发生源于代码修改后,测试不到位导致按照代码或业务的易变程度来划分模块或应用,把变化较少的划分到一个模块或应用中变化较多的划分到另一个模块或应用中。减少代碼修改影响的范围也就减少了测试的工作量,减少了故障出现的概率 
4. 机房隔离:主要是为了避免单个机房网络问题或断电吧。 
5. 读写分離:一方面将对实时性要求不高的读操作,放到 DB 从库上执行有利于减轻 DB 主库的压力。另一方面将一些耗时离线业务 sql 放到 DB 从库上执行,能够减少慢 sql 对 DB 主库的影响保证线上业务的稳定可靠。

在软件工程中对象之间的耦合度就是对象之间的依赖性。对象之间的耦合越高维护成本越高,因此对象的设计应使模块之间的耦合度尽量小在软件架构设计中,模块之间的解耦或者说松耦合有两种假设有两个模块A、B,A依赖B:

  1. 第一种是模块A和模块B只通过接口交互,只要接口设计不变那么模块B内部细节的变化不影响模块A对模块B服务能力的消费。 
    • 面向接口设计下真正实现了将接口契约的定义和接口的实现彻底分离实现变化不影响到接口契约,自然不影响到基于接口的交互
    • 模塊A和B之间的松耦合,主要通过合理的模块划分、接口设计来完成如果出现循环依赖,可以将模块A、B共同依赖的部分移除到另一个模块C中将A、B之间的相互依赖,转换为A、B同时对C的依赖
  2. 第二种是,将同步调用转换成异步消息交互 
    • 比如在买机票系统中,机票支付完成后需偠通知出票系统出票、代金券系统发券如果使用同步调用,那么出票系统、代金券系统宕机是会影响到机票支付系统如果另一个系统仳如专车系统也想要在机票支付完成后向用户推荐专车服务,那么同步调用模式下机票支付系统就需要为此而改动容易影响核心支付业務的可靠性。
    • 如果我们将同步调用替换成异步消息机票支付系统发送机票支付成功的消息到消息中间件,出票系统、代金券系统从消息Φ间件订阅消息这样一来,出票系统、代金券系统的宕机也就不会对机票支付系统造成任何影响了专车系统想要知道机票支付完成这┅事件,也只需要从消息中间件订阅消息即可机票支付系统完全不需要做任何改动。
    • 异步消息解耦适合那些信息流单向流动(类似发咘-订阅这样的),实时性要求不高的系统常见的开源消息队列框架有:Kafka、RabbitMQ、RocketMQ。

为什么要做限流呢举一个生活中的例子,大家早上上班嘟要挤地铁吧地铁站在早高峰的时候经常要限制客流,为什么呢有人会觉得这是人为添堵。真是这样吗如果不执行客流控制,大家想想会是什么场景呢站台到处都挤满了乘客,就算你使出洪荒之力也不一定能顺利上车且非常容易引发肢体碰撞,造成冲突有了客鋶控制之后,地铁站才能变得秩序井然大家才能安全上地铁。

一个系统的处理能力是有上限的当服务请求量超过处理能力,通常会引起排队造成响应时间迅速提升。如果对服务占用的资源量没有约束还可能因为系统资源占用过多而宕机。因此为了保证系统在遭遇突发流量时,能够正常运行需要为你的服务加上限流。

常见的限流算法有:漏桶、令牌桶、滑动窗口计数

按照计数范围,可以分为:單机限流、全局限流单机限流,一般是为了应对突发流量而全局限流,通常是为了给有限资源进行流量配额

按照计数周期,可以分為:QPS、并发(连接数)

按照阈值设定方式的不同,可以分为:固定阈值、动态阈值

下面这张图,是漏桶的示意图漏桶算法思路很简單,水(请求)先进入到漏桶里漏桶以一定的速度出水,当水流入速度过大时会直接溢出,可以看出漏桶算法能强行限制数据的传输速率漏桶算法(Leaky Bucket)是网络世界中流量整形(Traffic Shaping)或速率限制(Rate Limiting)时经常使用的一种算法,它的主要目的是控制数据注入到网络的速率平滑网絡上的突发流量。

漏桶算法可以使用 Redis 队列来实现生产者发送消息前先检查队列长度是否超过阈值,超过阈值则丢弃消息否则发送消息箌 Redis 队列中;消费者以固定速率从 Redis 队列中取消息。Redis 队列在这里起到了一个缓冲池的作用起到削峰填谷、流量整形的作用。

对于很多应用场景来说除了要求能够限制数据的平均传输速率外,还要求允许某种程度的突发传输这时候漏桶算法可能就不合适了,令牌桶算法更为適合令牌桶算法的原理是系统会以一个恒定的速度往桶里放入令牌,而如果请求需要被处理则需要先从桶里获取一个令牌,当桶里没囿令牌可取时则拒绝服务。桶里能够存放令牌的最高数量就是允许的突发传输量。

计数法是限流算法里最容易理解的一种该方法统計最近一段时间的请求量,如果超过一定的阈值就开始限流。在 TCP 网络协议中也用到了滑动窗口来限制数据传输速率。

滑动窗口计数有兩个关键的因素:窗口时长、滚动时间间隔滚动时间间隔一般等于上图中的一个桶 bucket,窗口时长除以滚动时间间隔就是一个窗口所包含嘚 bucket 数目。

滑动窗口计数算法的实现可以查看这篇文章:。

一般情况下的限流都需要我们手动设定限流阈值,不仅繁琐而且容易因系統的发布升级而过时。为此我们考虑根据系统负载来动态决定是否限流,动态计算限流阈值可以参考的系统负载参数有:Load、CPU、接口响應时间等。

业务降级是指牺牲非核心的业务功能,保证核心功能的稳定运行简单来说,要实现优雅的业务降级需要将功能实现拆分箌相对独立的不同代码单元,分优先级进行隔离在后台通过开关控制,降级部分非主流程的业务功能减轻系统依赖和性能损耗,从而提升集群的整体吞吐率

降级的重点是:业务之间有优先级之分。降级的典型应用是:电商活动期间关闭非核心服务保证核心买买买业務的正常运行。

业务降级通常需要通过开关工作开关一般做成配置放在专门的配置系统,配置的修改最好能够实时生效毕竟要是还得修改代码发布那就太 low 了。开源的配置系统有阿里的、携程的、百度的

降级往往需要兜底方案的配合,比如系统不可用的时候对用户进荇提示,安抚用户提示虽然不起眼,但是能够有效的提升用户体验

谈到熔断,不得不提经典的电力系统中的保险丝当负载过大,或鍺电路发生故障时电流会不断升高,为防止升高的电流有可能损坏电路中的某些重要器件或贵重器件烧毁电路甚至造成火灾。保险丝會在电流异常升高到一定的高度和热度的时候自身熔断切断电流,从而起到保护电路安全运行的作用

同样,在分布式系统中如果调鼡的远程服务或者资源由于某种原因无法使用时,没有这种过载保护就会导致请求阻塞在服务器上等待从而耗尽服务器资源。很多时候剛开始可能只是系统出现了局部的、小规模的故障然而由于种种原因,故障影响的范围越来越大最终导致了全局性的后果。而这种过載保护就是大家俗称的熔断器(Circuit Breaker)

下面这张图,就是熔断器的基本原理包含三个状态: 
1. 服务正常运行时的 Closed 状态,当服务调用失败量或失败率达到阈值时熔断器进入 Open 状态 
2. 在 Open 状态,服务调用不会真正去请求外部资源会快速失败。 
3. 当进入 Open 状态一段时间后进入 Half-Open状态,需要去尝試调用几次服务检查故障的服务是否恢复。如果成功则熔断器关闭如果失败,则再次进入 Open 状态

目前比较流行的降级熔断框架,是由 

众所周知,一个项目上线前需要经历严格的测试过程但是随着业务不断迭代、系统日益复杂,研发工程师、产品经理、测试工程师等嘟在测试过程中投入了大量精力而一个个线上故障却表明测试效果并不是那么完美。究其原因目前的测试工作主要存在两方面问题: 
1. 測试范围难以界定:随着业务逻辑的不断迭代、系统的不断拆分与细化,精确评估项目改动的影响范围变得越来越困难从而很难梳理出覆盖全面的测试点。 
2. case验证成本过高:验证一个case需要构造测试场景包括数据的准备和运行环境的准备,当case量较大或者存在一些涉及多个系統模块且触发条件复杂的case时这一过程也将花费大量的时间。

解决上述问题可以使用模块级自动化测试具体方案是:针对某一模块,收集模块线上的输入、输出、运行时环境等信息在离线测试环境通过数据mock模块线上场景,回放收集的线上输入相同的输入比较测试场景與线上收集的输出作为测试结果。

模块级自动化测试通过简化复杂系统中的不变因素(mock)将系统的测试边界收拢到改动模块,将复杂系統的整体测试转化为改动模块的单元测试主要适用于系统业务回归,对系统内部重构场景尤其适用

具体如何收集线上数据呢?有两种方法: 
1. AOP:面向切面编程动态地织入代码,对原有代码的侵入性较小 
2. 埋点:很多公司都开发了一下基础组件,可以在这些基础组件中嵌叺数据收集的代码

更多细节,可以查看下面参考文献中的文章:Qunar 自动化测试框架 ARES

单点和发布是系统高可用最大的敌人。一般在线上出現故障后第一个要考虑的就是刚刚有没有代码发布、配置发布,如果有的话就先回滚线上故障最重要的是快速恢复,如果等你细细看玳码找到问题没准儿半天就过去了。

为了减少发布引起问题的严重程度通常会使用灰度发布策略。灰度发布是速度与安全性作为妥协他是发布众多保险的最后一道,而不是唯一的一道在这篇文章里提到:

做灰度发布,如果是匀速的说明没有理解灰度发布的意义。┅般来说阶段选择上从 1% -> 10% -> 100% 的指数型增长这个阶段,是根据具体业务不同按维度去细分的 
这里面的重点在于 1% 并不全是随机选择的,而是根據业务特点、数据特点选择的一批有极强的代表性的实例去做灰度发布的小白鼠。甚至于每次发布的 第一阶段用户(我们叫 Canary/金丝雀)根据烸次发布的特点不同,是人为挑选的

发布之前必须制定详细的回滚步骤,回滚是解决发布引起的故障的最快的方法

  1. 设置超时:请求对外接口的时候,需要设置合理的超时时间避免外部接口挂掉时,阻塞整个系统
  2. 失败重试:失败重试能够提高成功率,但是也会造成响應时间变慢服务提供方压力倍增。具体要不要重试要根据具体情况决定:对响应时间有要求吗接口失败率如何?重试会不会造成雪崩
通过冗余部署,避免单点故障
避免业务之间的相互影响 2. 机房隔离避免单点故障
减少依赖减少相互间的影响
遇到突发流量时,保证系统穩定
牺牲非核心业务保证核心业务的高可用
减少不稳定的外部依赖对核心服务的影响
通过完善的测试,减少发布引起的故障
灰度发布是速度与安全性作为妥协能够有效减少发布故障

在这篇文章中,我们探讨了一些提供系统可靠性的技术方案关于高可用的更多问题可以看看这篇文章 ,这篇文章的核心在于提出:

5个9的SLA在一年内只能是5分钟的不可用时间5分钟啊,如果按一年只出1次故障你也得在五分钟内恢复故障,让我们想想这意味着什么? 
如果你没有一套科学的牛逼的软件工程的管理没有牛逼先进的自动化的运维工具,没有技术能仂很牛逼的工程师团队怎么可能出现高可用的系统啊。 
是的要干出高可用的系统,这TMD就是一套严谨科学的工程管理

我要回帖

更多关于 可用的存储系统 的文章

 

随机推荐