持续创作,加速成长!这是我参与「掘金日新计划 · 10 月更文挑战」的第1天,点击查看活动详情
Sentinel-微服务保护框架
1.初始Sentinel
1.1雪崩问题及解决方案
1.1.1雪崩问题
微服务中 服务间调用关系错综复杂 一个微服务往往依赖于多个其它微服务
- 超时处理:设定超时时间 请求超过一定时间没有响应就返回错误信息 不会无休止等待(缓解问题未解决)
- 舱壁模式:限定每个业务能使用的线程数 避免耗尽整个tomcat的资源 因此也叫线程隔离(服务浪费)
- 熔断降级:由断路器统计业务执行的异常比例 如果超出阈值则会熔断该业务即拦截访问该业务的一切请求
- 流量控制:限制业务访问的QPS 避免服务因流量的突增而故障(避免出现雪崩问题)
1.1.2总结
雪崩问题
- 微服务之间相互调用 因为调用链中的一个服务故障 引起整个链路都无法访问的情况
可以认为:
限流是对服务的保护 避免因瞬间高并发流量而导致服务故障 进而避免雪崩 是一种预防措施。
超时处理、线程隔离、降级熔断是在部分服务故障时 将故障控制在一定范围 避免雪崩 是一种补救措施。
1.2服务保护技术对比
| Sentinel | Hystrix | |
|---|---|---|
| 隔离策略 | 信号量隔离 | 线程池隔离/信号量隔离 |
| 熔断降级策略 | 基于慢调用比例或异常比例 | 基于失败比率 |
| 实时指标实现 | 滑动窗口 | 滑动窗口(基于 RxJava) |
| 规则配置 | 支持多种数据源 | 支持多种数据源 |
| 扩展性 | 多个扩展点 | 插件的形式 |
| 基于注解的支持 | 支持 | 支持 |
| 限流 | 基于 QPS,支持基于调用关系的限流 | 有限的支持 |
| 流量整形 | 支持慢启动、匀速排队模式 | 不支持 |
| 系统自适应保护 | 支持 | 不支持 |
| 控制台 | 开箱即用,可配置规则、查看秒级监控、机器发现等 | 不完善 |
| 常见框架的适配 | Servlet、Spring Cloud、Dubbo、gRPC 等 | Servlet、Spring Cloud Netflix |
1.3Sentinel介绍和安装
1.3.1初始Sentinel
Sentinel是阿里巴巴开源的一款微服务流量控制组件
Sentinel 具有以下特征:
- 丰富的应用场景:Sentinel 承接了核心场景 例如秒杀(即突发流量控制在系统容量可以承受的范围)、消息削峰填谷、集群流量控制、实时熔断下游不可用应用等
- 完备的实时监控:Sentinel 同时提供实时的监控功能 可以在控制台中看到接入应用的单台机器秒级数据 甚至 500 台以下规模的集群的汇总运行情况
- 广泛的开源生态:Sentinel 提供开箱即用的与其它开源框架/库的整合模块 例如与 Spring Cloud、Dubbo、gRPC 的整合。只需要引入相应的依赖并进行简单的配置即可快速地接入 Sentinel
- 完善的 SPI 扩展点:Sentinel 提供简单易用 完善的 SPI 扩展接口 可以通过实现扩展接口来快速地定制逻辑 例如定制规则管理、适配动态数据源等
1.3.2安装Sentinel
将资料提供的jar包放到非中文目录下执行:
java -jar sentinel-dashboard-1.8.1.jar
如果要修改Sentinel的默认端口、账户、密码,可以通过下列配置:
| 配置项 | 默认值 | 说明 |
|---|---|---|
| server.port | 8080 | 服务端口 |
| sentinel.dashboard.auth.username | sentinel | 默认用户名 |
| sentinel.dashboard.auth.password | sentinel | 默认密码 |
例如 修改端口:
java -Dserver.port=8090 -jar sentinel-dashboard-1.8.1.jar
1.4微服务整合Sentinel
使用Sentinel肯定要结合微服务 这边使用实用篇中cloud-demo工程
项目结构如下:
在order-service中整合sentinel,并连接sentinel的控制台
1.4.1引入Sentinel依赖
在order-service中引入Sentinel依赖
<!--sentinel-->
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-sentinel</artifactId>
</dependency>
1.4.2配置控制台
修改application.yaml文件 并添加内容
server:
port: 8088
spring:
cloud:
sentinel:
transport:
dashboard: localhost:8080
1.4.3访问order-service的任意端点 触发Sentinel监控
访问http://localhost:8088/order/101 这样才能触发sentinel的监控 然后再访问sentinel的控制台 查看效果
2.流量控制
2.1簇点链路
当请求进入微服务时 首先会访问DispatcherServlet 然后进入Controller 其调用Service、Service调用Mapper
这样的一个调用链就叫做簇点链路 簇点链路中被监控的每一个接口就是一个资源
默认情况下sentinel会监控SpringMVC的每一个端点(Endpoint 也就是Controller中的方法)
因此SpringMVC的每一个端点(Endpoint)就是调用链路中的一个资源
例如 刚才访问的order-service中的OrderController中的端点:/order/{orderId}
流控、熔断等都是针对簇点链路中的资源来设置的 因此我们可以点击对应资源后面的按钮来设置规则:
- 流控:流量控制
- 降级:降级熔断
- 热点:热点参数限流,是限流的一种
- 授权:请求的权限控制
2.2快速入门
点击资源/order/{orderId}后面的流控按钮 可以弹出表单 表单中可以填写限流规则 具体如下:
其含义是限制 /order/{orderId}这个资源任何来源的单机QPS为1 即每秒只允许1次请求 超出的请求会被拦截并报错
2.3流控模式
在添加限流规则时,点击高级选项,可以选择三种流控模式:
- 直接:统计当前资源的请求 触发阈值时对当前资源直接限流 也是默认的模式
- 关联:统计与当前资源相关的另一个资源 触发阈值时 对当前资源限流
- 链路:统计从指定链路访问到本资源的请求 触发阈值时 对指定链路限流
2.3.1关联模式
关联模式:统计与当前资源相关的另一个资源 触发阈值时 对当前资源限流
配置规则:
语法说明:当/write资源访问量触发阈值时 就会对/read资源限流 避免影响/write资源
使用场景:比如用户支付时需要修改订单状态 同时用户要查询订单 查询和修改操作会争抢数据库锁 产生竞争
业务需求是优先支付和更新订单的业务 因此当修改订单业务触发阈值时 需要对查询订单业务限流
2.3.2链路模式
链路模式:只针对从指定链路访问到本资源的请求做统计 判断是否超过阈值
配置示例:
例如有两条请求链路:
- /test1 --> /common
- /test2 --> /common
如果只希望统计从/test2进入到/common的请求 则可以这样配置:
给Service层中的方法添加@SentinelResource注解以达到Sentinel添加资源:
@SentinelResource("goods")
public void queryGoods(){
System.err.println("查询商品");
}
链路模式中 是对不同来源的两个链路做监控
但是sentinel默认会给进入SpringMVC的所有请求设置同一个root资源 会导致链路模式失效。
需要关闭这种对SpringMVC的资源聚合 修改消费者服务的application.yml文件:
spring:
cloud:
sentinel:
web-context-unify: false # 关闭context整合
2.3.3总结
流控模式
- 直接:对当前资源限流
- 关联:高优先级资源触发阈值 对低优先级资源限流
- 链路:阈值统计时 只统计从指定资源进入当前资源的请求 是对请求来源的限流
2.4流控效果
在流控的高级选项中,还有一个流控效果选项:
流控效果是指请求达到流控阈值时应该采取的措施,包括三种:
- 快速失败:达到阈值后,新的请求会被立即拒绝并抛出FlowException异常。是默认的处理方式。
- warm up:预热模式 对超出阈值的请求同样是拒绝并抛出异常 但这种模式阈值会动态变化 从一个较小值逐渐增加到最大阈值
- 排队等待:让所有的请求按照先后次序排队执行 两个请求的间隔不能小于指定时长
2.4.1流控效果-warm up
阈值一般是一个微服务能承担的最大QPS 但是一个服务刚刚启动时 一切资源尚未初始化(冷启动)
如果直接将QPS跑到最大值 可能导致服务瞬间宕机
因此出现warm up也叫预热模式 是应对服务冷启动的一种方案 请求阈值初始值是 maxThreshold / coldFactor
持续指定时长后 逐渐提高到maxThreshold值 而coldFactor的默认值是3
例如 我设置QPS的maxThreshold为10 预热时间为5秒
那么初始阈值就是10/3 也就是3 然后在5秒后逐渐增长到10
2.4.2流控效果-排队等待
当请求超过QPS阈值时 快速失败和warm up 会拒绝新的请求并抛出异常
而排队等待则是让所有请求进入一个队列中 然后按照阈值允许的时间间隔依次执行
后来的请求必须等待前面执行完成 如果请求预期的等待时间超出最大时长 则会被拒绝
工作原理:
例如:QPS = 5 意味着每200ms处理一个队列中的请求
timeout = 2000意味着预期等待时长超过2000ms的请求会被拒绝并抛出异常。
2.4.3总结
流控效果
- 快速失败:QPS超过阈值时,拒绝新的请求
- warm up: QPS超过阈值时 拒绝新的请求 QPS阈值是逐渐提升的 可以避免冷启动时高并发导致服务宕机
- 排队等待:请求会进入队列 按照阈值允许的时间间隔依次执行请求
如果请求预期等待时长大于超时时间 直接拒绝
2.5热点参数限流
限流是统计访问某个资源的所有请求 判断是否超过QPS阈值
而热点参数限流是分别统计参数值相同的请求 判断是否超过QPS阈值
2.5.1全局参数限流
例如,一个根据id查询商品的接口:
访问/goods/{id}的请求中 id参数值会有变化 热点参数限流会根据参数值分别统计QPS 统计结果:
当id=1的请求触发阈值被限流时 id值不为1的请求不受影响
配置示例:
代表的含义是:对hot这个资源的0号参数(第一个参数)做统计 每1秒相同参数值的请求数不能超过5
2.5.2热点参数限流
刚才的配置中,对查询商品这个接口的所有商品一视同仁,QPS都限定为5.
而在实际开发中 可能部分商品是热点商品 例如秒杀商品 希望这部分商品的QPS限制与其它商品不一样 高一些
那就需要配置热点参数限流的高级选项了:
结合上一个配置 这里的含义是对0号的long类型参数限流 每1秒相同参数的QPS不能超过5 有两个例外:
- 如果参数值是100,则每1秒允许的QPS为10
- 如果参数值是101,则每1秒允许的QPS为15
3.隔离和降级
限流是一种预防措施 虽然限流可以尽量避免因高并发而引起的服务故障 但服务还会因为其它原因而故障
而要将这些故障控制在一定范围 避免雪崩 就要靠线程隔离(舱壁模式)和熔断降级手段了
线程隔离之前讲到过:调用者在调用服务提供者时 给每个调用的请求分配独立线程池 出现故障时 最多消耗这个线程池内资源 避免把调用者的所有资源耗尽
熔断降级:是在调用方这边加入断路器 统计对服务提供者的调用 如果调用的失败比例过高 则熔断该业务 不允许访问该服务的提供者了
不管是线程隔离还是熔断降级 都是对客户端( 调用方)的保护
需要在调用方发起远程调用时做线程隔离、或者服务熔断
而我们的微服务远程调用都是基于Feign来完成的 因此我们需要将Feign与Sentinel整合
在Feign里面实现线程隔离和服务熔断
3.1FeignClient整合Sentinel
SpringCloud中 微服务调用都是通过Feign来实现的 因此做客户端保护必须整合Feign和Sentinel
3.1.1修改配置 开启Sentinel功能
修改OrderService的application.yml文件 开启Feign的Sentinel功能:
feign:
sentinel:
enabled: true # 开启feign对sentinel的支持
3.1.2编写失败降级逻辑
业务失败后 不能直接报错 而应该返回用户一个友好提示或者默认结果 这个就是失败降级逻辑
给FeignClient编写失败后的降级逻辑
- 方式一:FallbackClass 无法对远程调用的异常做处理
- 方式二:FallbackFactory 可以对远程调用的异常做处理
通过方式二进行失败降级处理:
步骤一: 在feing-api项目中定义类,实现FallbackFactory
package cn.itcast.feign.clients.fallback;
import cn.itcast.feign.clients.UserClient;
import cn.itcast.feign.pojo.User;
import feign.hystrix.FallbackFactory;
import lombok.extern.slf4j.Slf4j;
/**
* @author bobochang
* @description
* @created 2022/5/26-09:17
**/
@Slf4j
public class UserClientFallBackFactory implements FallbackFactory<UserClient> {
@Override
public UserClient create(Throwable throwable) {
return new UserClient() {
@Override
public User findById(Long id) {
// 日志记录异常信息
log.error("查询结果异常",throwable);
// 返回默认数据 空对象
return new User();
}
};
}
}
步骤二: 在feing-api项目中的DefaultFeignConfiguration类中将UserClientFallbackFactory注册为一个Bean
@Bean
public UserClientFallbackFactory userClientFallbackFactory(){
return new UserClientFallbackFactory();
}
步骤三: :在feing-api项目中的UserClient接口中使用UserClientFallbackFactory
@FeignClient(value = "userservice", fallbackFactory = UserClientFallbackFactory.class)
public interface UserClient {}
重启后,访问一次订单查询业务,然后查看sentinel控制台,可以看到新的簇点链路:
3.1.3总结
Sentinel支持的雪崩解决方案:
- 线程隔离(仓壁模式)
- 降级熔断
Feign整合Sentinel的步骤:
- 在application.yml中配置:feign.sentienl.enable=true
- 给FeignClient编写FallbackFactory并注册为Bean
- 将FallbackFactory配置到FeignClient
3.2线程隔离(舱壁模式)
3.2.1线程隔离方式
线程隔离有两种方式实现:
- 线程池隔离
- 信号量隔离(Sentinel默认采用)
线程池隔离:给每个服务调用业务分配一个线程池 利用线程池本身实现隔离效果
信号量隔离:不创建线程池 而是计数器模式 记录业务使用的线程数量 达到信号量上限时 禁止新的请求
3.2.2Sentinel的线程隔离
用法说明:
在添加限流规则时,可以选择两种阈值类型:
- QPS:就是每秒的请求数
- 线程数:是该资源能使用用的tomcat线程数的最大值即通过限制线程数量 实现线程隔离( 舱壁模式)
3.2.3总结
线程隔离的两种手段
- 信号量隔离
- 线程池隔离
信号量隔离的特点
- 基于计数器模式 简单 开销小
线程池隔离的特点
- 基于线程池模式 有额外开销 但隔离控制更强
3.3熔断隔离
熔断降级是解决雪崩问题的重要手段
其思路是由断路器统计服务调用的异常比例、慢请求比例 若超出阈值则会熔断该服务 即拦截访问该服务的一切请求
而当服务恢复时 断路器会放行访问该服务的请求 断路器控制熔断和放行是通过状态机来完成的:
状态机包括三个状态:
- closed:关闭状态 断路器放行所有请求 并开始统计异常比例、慢请求比例 超过阈值则切换到open状态
- open:打开状态 服务调用被熔断 访问被熔断服务的请求会被拒绝 快速失败 直接走降级逻辑
Open状态将会在设定的熔断时间结束后会进入half-open状态
-
half-open:半开状态 放行一次请求 根据执行结果来判断接下来的操作
- 请求成功:则切换到closed状态
- 请求失败:则切换到open状态
断路器熔断策略有三种:慢调用、异常比例、异常数
3.3.1熔断策略-慢调用
慢调用:业务的响应时长(ReponseTime)大于指定时长的请求认定为慢调用请求
在指定时间内 如果请求数量超过设定的最小数量 慢调用比例大于设定的阈值 则触发熔断
解读:RT超过500ms的调用是慢调用 统计最近10000ms(10s)内的请求
如果请求量超过10次 并且慢调用比例大于0.5 则触发熔断 熔断时长为5秒
然后进入half-open状态 5秒后再放行一次请求做测试 若扔失败则进入open状态 反之切换到closed状态
3.3.2熔断策略-异常比例、异常数
异常比例或异常数:统计指定时间内的调用 如果调用次数超过指定请求数
并且出现异常的比例达到设定的比例阈值(或超过指定异常数)则触发熔断
例如 一个异常比例设置:
解读:统计最近1000ms内的请求 如果请求量超过10次 并且异常比例不低于0.4 则触发熔断。
一个异常数设置:
解读:统计最近1000ms内的请求 如果请求量超过10次 并且异常比例不低于2次 则触发熔断
4.授权规则
授权规则可以对请求方来源做判断和控制
4.1授权规则
4.1.1基本规则
授权规则可以对调用方的来源做控制 有白名单和黑名单两种方式
- 白名单:来源(origin)在白名单内的调用者允许访问
- 黑名单:来源(origin)在黑名单内的调用者不允许访问
点击左侧菜单的授权,可以看到授权规则:
-
资源名:就是受保护的资源 例如/order/{orderId}
-
流控应用:是来源者的名单,
- 如果是勾选白名单,则名单中的来源被许可访问。
- 如果是勾选黑名单 则名单中的来源被禁止访问。
允许请求从gateway到order-service 不允许浏览器直接访问order-service
那么白名单中就要填写网关的来源名称(origin)
4.1.2获取网关来源名称(origin)
允许请求从gateway到order-service,不允许浏览器访问order-service,那么白名单中就要填写网关的来源名称(origin) 。
4.1.2.如何获取origin
Sentinel是通过RequestOriginParser这个接口的parseOrigin来获取请求的来源的。
public interface RequestOriginParser {
/**
* 从请求request对象中获取origin,获取方式自定义
*/
String parseOrigin(HttpServletRequest request);
}
这个方法的作用就是从request对象中 获取请求者的origin值并返回。
默认情况下 sentinel不管请求者从哪里来 返回值永远是default 即一切请求的来源都被认为是一样的值default
因此 需要自定义这个接口的实现 让不同的请求 返回不同的origin
package cn.itcast.order.sentinel;
import com.alibaba.csp.sentinel.adapter.spring.webmvc.callback.RequestOriginParser;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import javax.servlet.http.HttpServletRequest;
@Component
public class HeaderOriginParser implements RequestOriginParser {
@Override
public String parseOrigin(HttpServletRequest request) {
// 1.获取请求头
String origin = request.getHeader("origin");
// 2.非空判断
if (StringUtils.isEmpty(origin)) {
origin = "blank";
}
// 3.返回请求头中的值
return origin;
}
}
4.1.3为网关添加请求头
让所有从gateway路由到微服务的请求都带上origin头
利用之前学习的一个GatewayFilter来实现 AddRequestHeaderGatewayFilter
修改gateway服务中的application.yml 添加一个defaultFilter:
spring:
cloud:
gateway:
default-filters:
- AddRequestHeader=origin,gateway
routes:
# ...略
这样 从gateway路由的所有请求都会带上origin头 值为gateway 而从其它地方到达微服务的请求则没有这个头
4.2自定义异常结果
默认情况下 发生限流、降级、授权拦截时 都会抛出异常到调用方
异常结果都是flow limmiting(限流) 这样不够友好 无法得知是限流还是降级还是授权拦截 故出现自定义异常
4.2.1异常类型
如果要自定义异常时的返回结果,需要实现BlockExceptionHandler接口:
public interface BlockExceptionHandler {
/**
* 处理请求被限流、降级、授权拦截时抛出的异常:BlockException
*/
void handle(HttpServletRequest request, HttpServletResponse response, BlockException e) throws Exception;
}
这个方法有三个参数:
- HttpServletRequest request:request对象
- HttpServletResponse response:response对象
- BlockException e:被sentinel拦截时抛出的异常
这里的BlockException包含多个不同的子类:
| 异常 | 说明 |
|---|---|
| FlowException | 限流异常 |
| ParamFlowException | 热点参数限流的异常 |
| DegradeException | 降级异常 |
| AuthorityException | 授权规则异常 |
| SystemBlockException | 系统规则异常 |
4.2.2自定义异常处理
在order-service中定义自定义异常处理类SentinelExceptionHandler:
package cn.itcast.order.sentinel;
import com.alibaba.csp.sentinel.adapter.spring.webmvc.callback.BlockExceptionHandler;
import com.alibaba.csp.sentinel.slots.block.BlockException;
import com.alibaba.csp.sentinel.slots.block.authority.AuthorityException;
import com.alibaba.csp.sentinel.slots.block.degrade.DegradeException;
import com.alibaba.csp.sentinel.slots.block.flow.FlowException;
import com.alibaba.csp.sentinel.slots.block.flow.param.ParamFlowException;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@Component
public class SentinelExceptionHandler implements BlockExceptionHandler {
@Override
public void handle(HttpServletRequest request, HttpServletResponse response, BlockException e) throws Exception {
String msg = "未知异常";
int status = 429;
if (e instanceof FlowException) {
msg = "请求被限流了";
} else if (e instanceof ParamFlowException) {
msg = "请求被热点参数限流";
} else if (e instanceof DegradeException) {
msg = "请求被降级了";
} else if (e instanceof AuthorityException) {
msg = "没有权限访问";
status = 401;
}
response.setContentType("application/json;charset=utf-8");
response.setStatus(status);
response.getWriter().println("{"msg": " + msg + ", "status": " + status + "}");
}
}
5.规则持久化
当前sentinel的所有规则都是内存存储 重启后所有规则都会丢失
在生产环境下 必须确保这些规则的持久化 避免丢失
5.1规则管理模式
规则是否能持久化 取决于规则管理模式 sentinel支持三种规则管理模式:
- 原始模式:Sentinel的默认模式 将规则保存在内存 重启服务会丢失 (不支持数据持久化)
- pull模式:保存在本地或数据库中 定时去读取 (数据一致性的时效性较差)
- push模式:保存在nacos 监听变更实时更新
5.1.1规则管理模式-pull模式
pull模式:控制台将配置的规则推送到Sentinel客户端 而客户端会将配置规则保存在本地文件或数据库中
以后会定时去本地文件或数据库中查询(轮询) 更新本地规则
5.1.2规则管理模式-push模式
push模式:控制台将配置规则推送到远程配置中心 例如Nacos。Sentinel客户端监听Nacos
获取配置变更的推送消息 完成本地配置更新
5.2实现push模式
修改OrderService 让其监听Nacos中的sentinel规则配置
5.2.1引入依赖
在order-service中引入sentinel监听nacos的依赖:
<dependency>
<groupId>com.alibaba.csp</groupId>
<artifactId>sentinel-datasource-nacos</artifactId>
</dependency>
5.2.2配置nacos地址
在order-service中的application.yml文件配置nacos地址及监听的配置信息:
spring:
cloud:
sentinel:
datasource:
flow:
nacos:
server-addr: localhost:8848 # nacos地址
dataId: orderservice-flow-rules
groupId: SENTINEL_GROUP
rule-type: flow # 还可以是:degrade、authority、param-flow
