——不仅要撑得住,还得优雅得像没事人一样
1. 引子:网站崩溃,只需一瞬间
想象一下:
- 你的公司搞了场秒杀活动,几百万用户同时涌进网站。
- 页面打不开,支付卡住,用户骂街,老板暴跳如雷。
系统高可用性(High Availability,简称HA) ,
在这一刻,
不是“做得好”加分项,而是“做不好”直接出局项。
2. 什么是高可用系统?
一句话解释:
即使有部分服务或硬件宕机,整个系统依然能稳定运行,用户无感知。
更专业一点,高可用的两个关键词:
- 容错(Fault Tolerance) :某部分挂了,别波及其他。
- 冗余(Redundancy) :备胎永不嫌多。
目标只有一个:
系统永远在线。
高可用系统整体架构图
[用户请求]
↓
[CDN加速]
↓
[负载均衡 (SLB)]
↓
[API网关 (限流+鉴权)]
↓
[微服务集群(弹性伸缩)]
↓
[消息队列(异步削峰)]
↓
[缓存 (Redis) ←→ 数据库 (读写分离)]
3. 如何设计百万级并发的高可用系统?
别担心,这不是玄学,
高可用设计其实有一套标准套路,拆开来看就是下面这些板块:
🔵 流量层(拦住第一波洪水)
| 技术 | 作用 |
|---|---|
| CDN加速 | 静态资源下沉,减轻源站压力 |
| 负载均衡(如SLB) | 请求分发,防止单点挂掉 |
| 网关限流 | 防止恶意刷流,保护后端 |
小幽默: “没限流的系统,就像超市开门就被抢空。”
🔵 应用层(撑住业务逻辑)
| 技术 | 作用 |
|---|---|
| 微服务拆分 | 单一业务,单独扩容 |
| 服务降级 | 非核心功能临时关闭保大局 |
| 熔断机制 | 发现故障快速切断,防止扩散 |
| 灰度发布 | 小范围上线,减少大面积事故风险 |
小提醒: “一棵树倒了,不代表整个森林塌了。”
🔵 数据层(抗住数据压力)
| 技术 | 作用 |
|---|---|
| 缓存(Redis、Memcached) | 降低数据库读负载 |
| 数据库读写分离 | 写请求单独走主库,读请求走从库 |
| 分库分表 | 拆小表,加快查询,避免大表爆炸 |
| 数据同步/容灾备份 | 挂一台还能迅速切主,数据不丢 |
一句话: “缓存是救命稻草,分库是提前预防脑溢血。”
🔵 安全层(别让人捅破锅底)
| 技术 | 作用 |
|---|---|
| 防DDoS攻击 | 识别和清洗恶意流量 |
| IP黑白名单 | 拦截高危请求 |
| 权限认证 | 保证接口安全 |
小插曲: “不是所有来敲门的,都是客人。”
4. 架构进阶:抗住秒杀洪峰
秒杀这种极端场景下,还要加上:
| 技术 | 作用 |
|---|---|
| 秒杀专用库存系统 | 单独缓存+原子扣减,减少数据库写 |
| 异步削峰(消息队列) | RabbitMQ、Kafka缓冲流量,慢慢处理 |
| 接入限流(令牌桶/漏桶算法) | 控制每秒处理的最大请求数 |
秒杀本质上是:
一场精准的限流+排队+慢处理的艺术。
秒杀系统防洪峰流量
高并发请求
↓
网关限流(令牌桶/漏桶算法)
↓
排队处理(消息队列:Kafka/RabbitMQ)
↓
库存扣减(原子操作)
↓
异步订单生成
5. 经典高可用架构图
[客户端]
↓
[CDN加速]
↓
[负载均衡 SLB]
↓
[网关(限流、鉴权)]
↓
[微服务集群]
↓
[消息队列(异步处理)]
↓
[数据库(读写分离 + 缓存)]
👉 关键:每一层都要能抗一波爆破。
数据库 分库分表 + 缓存优化
[查询请求]
↓
【Redis缓存】
↓ 命中 → 返回数据
↓ 未命中
【数据库】
- 按用户ID分库
- 按订单时间分表
流量控制三件套(限流、熔断、降级)
请求进入
↓
限流检查(QPS是否超标?)
↓ Yes → 拒绝访问
↓ No
熔断检查(下游服务是否异常?)
↓ Yes → 直接快速失败
↓ No
业务处理
↓
降级处理(超时/错误兜底返回)
6. 高频面试题(必备)
| 面试官提问 | 最佳答题思路 |
|---|---|
| 如何设计一个抗百万并发的系统? | 从流量层-应用层-数据层整体拆解 |
| 系统挂了怎么快速恢复? | 容灾切换+健康检查+自动拉起 |
| 秒杀系统怎么保证库存正确? | 原子扣减+限流+排队异步处理 |
| 服务降级怎么设计? | 非核心服务熔断、返回兜底方案 |
7. 小结
百万级并发高可用系统,本质上就是:
用拆分、冗余、限流、熔断、缓存、异步,一步步构建出的抗压堡垒。
不是靠一个“大招”,
而是靠层层防御,环环保护,细节打磨。
记住:
稳定性,就是生产力。
8. 彩蛋:一句话记住高可用套路
送你一句口诀:
分而治之(拆分微服务),有备无患(冗余备份),能抗能挡(限流熔断),优雅降级(灰度发布)。
