互联网业务的核心竞争力,很大程度上取决于系统的服务连续性。用户不会容忍一个频繁宕机、响应超时的系统,业务也无法承受故障带来的营收损失与口碑崩塌。高可用架构的核心目标,就是最大化系统服务的可用时长,最小化故障带来的影响。
在行业内,通常用SLA(服务等级协议)来量化系统的高可用能力:
- 99.9%可用性:年度允许不可用时长不超过8.76小时
- 99.99%可用性:年度允许不可用时长不超过52.56分钟
- 99.999%可用性:年度允许不可用时长不超过5.26分钟
想要达到4个9及以上的高可用标准,仅靠单点的性能优化、人工运维是完全无法实现的。必须依赖体系化的架构设计,而冗余、故障隔离、自动恢复,正是支撑高可用架构的三大核心支柱。
一、冗余:消除单点故障的核心基础
1.1 冗余的底层逻辑
单点故障是高可用系统的头号敌人。任何一个单一节点,无论硬件配置多高、代码写得多好,都存在不可用的风险:硬件损坏、系统崩溃、网络中断、版本发布异常,都可能导致这个节点彻底失效。
冗余的本质,就是通过多副本的部署方式,彻底消除系统中的单点依赖。当一个副本失效时,其他副本可以立刻接管流量,保证服务的连续性。冗余设计的核心原则是:系统中每一个可能出现故障的环节,都必须有对应的备用副本。
1.2 冗余设计的核心分层与落地实践
高可用系统的冗余设计,需要覆盖从硬件到应用、从计算到存储的全链路,核心分为四个层级。
1.2.1 硬件层冗余
硬件层冗余是整个系统高可用的物理基础,核心是消除物理设备的单点风险,常见方案包括:
- 服务器多电源、多网卡配置,避免单电源、单网卡故障导致服务器离线
- RAID磁盘阵列,通过多磁盘数据冗余,避免单磁盘损坏导致的数据丢失
- 交换机、路由器双设备堆叠,避免网络设备单点故障导致整个机房网络中断
硬件层冗余是IDC机房的基础配置,无需业务开发介入,但架构设计时必须确认底层硬件是否满足冗余要求,避免上层架构做得再好,底层硬件出现单点故障。
1.2.2 应用层冗余
应用层是业务逻辑的载体,也是冗余设计最核心的环节。应用层冗余的核心前提是无状态化设计。
无状态化的核心原理
所谓无状态,就是应用节点不存储任何与请求相关的业务状态,所有的状态数据都统一存储在分布式缓存、数据库等共享存储组件中。每个请求可以发送到任意一个应用节点处理,处理结果完全一致。
只有实现了无状态化,应用节点才能做到水平扩展,冗余副本才有意义。如果应用是有状态的,请求必须绑定到特定节点处理,那么这个节点就变成了新的单点,冗余副本无法发挥作用。
应用层冗余的落地实现
应用层冗余的核心是集群化部署,配合负载均衡组件实现流量的分发与故障节点的自动摘除。这里我们基于SpringBoot 3.2.x实现无状态的应用服务,配合负载均衡实现应用层冗余。
首先是maven的pom.xml核心依赖:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>3.2.4</version>
<relativePath/>
</parent>
<groupId>com.jam.demo</groupId>
<artifactId>high-availability-demo</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>high-availability-demo</name>
<properties>
<java.version>17</java.version>
<resilience4j.version>2.2.0</resilience4j.version>
<mybatis-plus.version>3.5.6</mybatis-plus.version>
<fastjson2.version>2.0.52</fastjson2.version>
<guava.version>33.1.0-jre</guava.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-validation</artifactId>
</dependency>
<dependency>
<groupId>org.springdoc</groupId>
<artifactId>springdoc-openapi-starter-webmvc-ui</artifactId>
<version>2.5.0</version>
</dependency>
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>${mybatis-plus.version}</version>
</dependency>
<dependency>
<groupId>com.mysql</groupId>
<artifactId>mysql-connector-j</artifactId>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
<groupId>io.github.resilience4j</groupId>
<artifactId>resilience4j-spring-boot3</artifactId>
<version>${resilience4j.version}</version>
</dependency>
<dependency>
<groupId>io.github.resilience4j</groupId>
<artifactId>resilience4j-bulkhead</artifactId>
<version>${resilience4j.version}</version>
</dependency>
<dependency>
<groupId>com.alibaba.fastjson2</groupId>
<artifactId>fastjson2</artifactId>
<version>${fastjson2.version}</version>
</dependency>
<dependency>
<groupId>com.google.guava</groupId>
<artifactId>guava</artifactId>
<version>${guava.version}</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.30</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<configuration>
<excludes>
<exclude>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</exclude>
</excludes>
</configuration>
</plugin>
</plugins>
</build>
</project>
然后是无状态的用户服务Controller实现,所有用户状态都存在Redis和MySQL中,应用节点不存储任何本地状态:
package com.jam.demo.controller;
import com.jam.demo.common.Result;
import com.jam.demo.entity.User;
import com.jam.demo.service.UserService;
import io.swagger.v3.oas.annotations.Operation;
import io.swagger.v3.oas.annotations.Parameter;
import io.swagger.v3.oas.annotations.tags.Tag;
import jakarta.annotation.Resource;
import jakarta.validation.constraints.NotNull;
import org.springframework.web.bind.annotation.*;
/**
* 用户服务接口
* 无状态化设计,所有业务状态均存储在共享存储组件中
* @author ken
*/
@RestController
@RequestMapping("/api/user")
@Tag(name = "用户管理", description = "用户相关操作接口")
public class UserController {
@Resource
private UserService userService;
/**
* 根据用户ID查询用户信息
* @param userId 用户ID
* @return 用户信息
*/
@GetMapping("/{userId}")
@Operation(summary = "查询用户信息", description = "根据用户ID查询用户详情")
public Result<User> getUserById(
@Parameter(description = "用户ID", required = true)
@PathVariable @NotNull Long userId) {
User user = userService.getUserById(userId);
return Result.success(user);
}
/**
* 新增用户信息
* @param user 用户实体
* @return 新增结果
*/
@PostMapping
@Operation(summary = "新增用户", description = "创建新的用户信息")
public Result<Boolean> addUser(@RequestBody @NotNull User user) {
boolean saved = userService.addUser(user);
return Result.success(saved);
}
}
对应的Service实现,所有状态数据都存储在MySQL和Redis中,无本地状态:
package com.jam.demo.service.impl;
import com.jam.demo.entity.User;
import com.jam.demo.mapper.UserMapper;
import com.jam.demo.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;
import org.springframework.util.ObjectUtils;
import com.alibaba.fastjson2.JSON;
import jakarta.annotation.Resource;
import java.util.concurrent.TimeUnit;
/**
* 用户服务实现类
* @author ken
*/
@Service
@Slf4j
public class UserServiceImpl implements UserService {
private static final String USER_CACHE_PREFIX = "user:info:";
private static final long CACHE_EXPIRE_TIME = 30L;
@Resource
private UserMapper userMapper;
@Resource
private RedisTemplate<String, String> redisTemplate;
/**
* 根据用户ID查询用户信息
* 先查缓存,缓存未命中查数据库,结果回写缓存
* @param userId 用户ID
* @return 用户实体
*/
@Override
public User getUserById(Long userId) {
String cacheKey = USER_CACHE_PREFIX + userId;
String cacheValue = redisTemplate.opsForValue().get(cacheKey);
if (ObjectUtils.isEmpty(cacheValue)) {
User user = userMapper.selectById(userId);
if (!ObjectUtils.isEmpty(user)) {
redisTemplate.opsForValue().set(cacheKey, JSON.toJSONString(user), CACHE_EXPIRE_TIME, TimeUnit.MINUTES);
}
return user;
}
return JSON.parseObject(cacheValue, User.class);
}
/**
* 新增用户信息
* 先写数据库,成功后删除缓存,保证数据一致性
* @param user 用户实体
* @return 新增是否成功
*/
@Override
public boolean addUser(User user) {
int insert = userMapper.insert(user);
if (insert > 0) {
redisTemplate.delete(USER_CACHE_PREFIX + user.getId());
return true;
}
return false;
}
}
通过这种无状态化的设计,我们可以将这个应用服务部署N个副本,前端通过Nginx或者云厂商的负载均衡CLB,将流量均匀分发到各个副本节点。当其中一个节点出现故障时,负载均衡会自动将故障节点摘除,流量全部转发到健康的节点,用户完全无感知,实现了应用层的冗余高可用。
1.2.3 数据层冗余
数据是业务的核心,数据层的冗余设计不仅要保证服务的连续性,还要保证数据不丢失、不损坏。数据层冗余的核心方案分为主从复制与多副本机制。
MySQL主从复制冗余
MySQL主从复制是最常用的关系型数据库冗余方案,核心原理是:
- 主库(Master)负责处理写请求,将数据变更记录写入二进制日志(binlog)
- 从库(Slave)通过IO线程读取主库的binlog,写入本地的中继日志(relay log)
- 从库的SQL线程读取中继日志,重放数据变更,保证与主库的数据一致性
通过主从复制,我们实现了数据的多副本冗余,当主库出现故障时,可以将从库提升为主库,继续提供服务;同时从库可以承接读请求,实现读写分离,提升系统性能。
MySQL8.0主从复制的核心配置示例: 主库my.cnf配置:
[mysqld]
server-id=1
log-bin=mysql-bin
binlog-format=ROW
expire-logs-days=7
gtid-mode=on
enforce-gtid-consistency=1
binlog-ignore-db=mysql
binlog-ignore-db=information_schema
binlog-ignore-db=performance_schema
binlog-ignore-db=sys
从库my.cnf配置:
[mysqld]
server-id=2
relay-log=relay-bin
read_only=1
gtid-mode=on
enforce-gtid-consistency=1
log-slave-updates=1
replicate-ignore-db=mysql
replicate-ignore-db=information_schema
replicate-ignore-db=performance_schema
replicate-ignore-db=sys
从库配置主从同步的SQL语句:
CHANGE MASTER TO
MASTER_HOST='主库IP地址',
MASTER_PORT=3306,
MASTER_USER='replica',
MASTER_PASSWORD='同步账号密码',
MASTER_AUTO_POSITION=1;
START SLAVE;
执行完成后,通过SHOW SLAVE STATUS\G查看同步状态,当Slave_IO_Running和Slave_SQL_Running均为Yes时,主从同步配置成功。
Redis多副本冗余
Redis作为常用的分布式缓存,其冗余方案采用主从+哨兵(Sentinel)模式,核心原理是:
- 主节点负责处理写请求,从节点同步主节点的数据,承接读请求
- 哨兵节点负责监控主从节点的健康状态,当主节点故障时,自动执行故障转移,将从节点提升为主节点
- 客户端通过哨兵获取当前可用的主节点地址,实现自动切换
Redis7.x哨兵模式的核心配置示例: 主节点redis.conf配置:
bind 0.0.0.0
port 6379
daemonize yes
pidfile /var/run/redis_6379.pid
logfile /var/log/redis/redis_6379.log
dbfilename dump.rdb
dir /var/lib/redis/6379
requirepass 密码
masterauth 密码
从节点redis.conf配置:
bind 0.0.0.0
port 6379
daemonize yes
pidfile /var/run/redis_6379.pid
logfile /var/log/redis/redis_6379.log
dbfilename dump.rdb
dir /var/lib/redis/6379
requirepass 密码
masterauth 密码
replicaof 主节点IP 6379
哨兵节点sentinel.conf配置:
port 26379
daemonize yes
pidfile /var/run/redis-sentinel.pid
logfile /var/log/redis/sentinel.log
dir /tmp
sentinel monitor mymaster 主节点IP 6379 2
sentinel auth-pass mymaster 密码
sentinel down-after-milliseconds mymaster 30000
sentinel failover-timeout mymaster 180000
sentinel parallel-syncs mymaster 1
通过哨兵模式,我们实现了Redis的多副本冗余,当主节点故障时,哨兵会在30秒内完成故障检测与主从切换,保证缓存服务的连续性。
1.2.4 地域级冗余
当出现机房级故障,比如机房断电、光纤中断、自然灾害时,单机房的冗余方案就会完全失效。这时候就需要地域级的冗余设计,常见方案包括同城双活、异地多活。
同城双活:在同一个城市的两个不同机房部署两套完全一致的系统,两个机房同时承接业务流量,数据实时同步。当一个机房出现故障时,流量可以全部切换到另一个机房,RTO(恢复时间目标)可以控制在分钟级。
异地多活:在多个不同城市的机房部署系统,每个机房都可以承接写请求,数据通过分布式一致性协议同步。异地多活可以抵御城市级的灾难,RTO可以控制在分钟级,RPO(恢复点目标)可以控制在秒级。
1.3 冗余设计的核心误区
- 副本越多,可用性越高:副本数量的增加会带来数据一致性成本的提升,分布式系统中,副本越多,数据同步的延迟越高,出现数据不一致的概率也越大。通常业务系统中,3副本是兼顾可用性与一致性的最优选择。
- 冷备等于冗余:冷备是将数据定期备份到离线存储中,只能应对数据丢失的场景,无法实时接管业务,不属于高可用冗余的范畴。高可用冗余要求副本必须是在线的,能够实时接管流量。
- 只做应用层冗余,忽略数据层冗余:很多系统只部署了多个应用节点,但数据库还是单点,一旦数据库故障,整个系统依然会完全不可用。冗余设计必须覆盖全链路,不能存在任何单点环节。
二、故障隔离:阻止故障扩散的关键防线
2.1 故障隔离的底层逻辑
在分布式系统中,一个服务的故障很容易通过调用链向上扩散,最终导致整个系统雪崩。比如一个下游的支付服务响应变慢,会导致上游订单服务的线程被大量占用,订单服务无法处理新的请求,进而导致更上游的用户服务也出现故障,最终整个系统全线崩溃。
故障隔离的本质,就是将系统拆分成多个相互独立的故障域,每个故障域都有独立的资源,故障只会被限制在单个故障域内,不会扩散到其他域,从而保证系统的核心功能依然可用。故障隔离的核心原则是:不要把所有鸡蛋放在同一个篮子里。
2.2 故障隔离的核心方案与落地实践
故障隔离的方案覆盖从架构设计到代码实现、从部署到资源的全链路,核心分为六大类。
2.2.1 服务拆分隔离
服务拆分是故障隔离的顶层设计,核心是通过微服务架构,将一个庞大的单体系统,按照业务域拆分成多个独立的微服务,每个微服务就是一个独立的故障域。
服务拆分的核心依据是DDD(领域驱动设计)的限界上下文,每个限界上下文对应一个独立的微服务,每个微服务有独立的数据库、独立的部署节点、独立的资源配额,服务之间通过标准化的接口通信。
比如一个电商系统,可以拆分为用户服务、商品服务、订单服务、支付服务、物流服务等多个独立的微服务。当支付服务出现故障时,只会影响支付相关的功能,用户依然可以浏览商品、查看订单、加入购物车,不会导致整个电商系统完全不可用。
微服务拆分的架构图如下:
2.2.2 线程池隔离
线程池隔离是代码层面最常用的故障隔离方案,核心原理是:为不同的业务接口、不同的下游依赖分配独立的线程池,避免一个慢接口、一个故障的下游依赖,把整个服务的所有线程都占满,导致其他正常的业务也无法处理。
比如一个电商系统的商品详情接口,需要调用商品基础信息接口、库存接口、营销活动接口、评论接口。如果我们把所有调用都放在Tomcat的主线程池中,当营销活动接口出现故障,响应超时,会导致大量线程被阻塞在营销活动接口的调用上,Tomcat的线程池很快被占满,新的请求无法处理,即使是不需要调用营销活动接口的服务健康检查请求,也会被拒绝,最终导致整个服务节点被判定为不可用。
通过线程池隔离,我们为商品基础信息、库存、营销、评论分别分配独立的线程池,当营销接口出现故障时,只会耗尽营销接口对应的线程池,其他接口的线程池不受影响,商品详情接口依然可以返回基础的商品信息,保证核心功能可用。
这里我们基于Resilience4j的舱壁模式(Bulkhead)实现线程池隔离,Resilience4j是目前Spring生态中最主流的容错组件,替代了已经停更的Hystrix。
首先是Resilience4j的配置文件application.yml:
spring:
application:
name: high-availability-demo
resilience4j:
bulkhead:
instances:
product-base:
max-concurrent-calls: 20
max-wait-duration: 10ms
product-stock:
max-concurrent-calls: 10
max-wait-duration: 10ms
product-marketing:
max-concurrent-calls: 5
max-wait-duration: 10ms
product-comment:
max-concurrent-calls: 10
max-wait-duration: 10ms
thread-pool-bulkhead:
instances:
product-base-pool:
max-thread-pool-size: 20
core-thread-pool-size: 10
queue-capacity: 20
keep-alive-duration: 1000ms
product-stock-pool:
max-thread-pool-size: 10
core-thread-pool-size: 5
queue-capacity: 10
keep-alive-duration: 1000ms
product-marketing-pool:
max-thread-pool-size: 5
core-thread-pool-size: 2
queue-capacity: 5
keep-alive-duration: 1000ms
product-comment-pool:
max-thread-pool-size: 10
core-thread-pool-size: 5
queue-capacity: 10
keep-alive-duration: 1000ms
然后是商品服务的实现,通过Resilience4j的线程池舱壁实现隔离:
package com.jam.demo.service.impl;
import com.jam.demo.entity.Product;
import com.jam.demo.service.ProductService;
import io.github.resilience4j.bulkhead.annotation.Bulkhead;
import io.github.resilience4j.timelimiter.annotation.TimeLimiter;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Service;
import com.google.common.util.concurrent.ThreadFactoryBuilder;
import java.util.concurrent.CompletableFuture;
import java.util.concurrent.LinkedBlockingQueue;
import java.util.concurrent.ThreadPoolExecutor;
import java.util.concurrent.TimeUnit;
/**
* 商品服务实现类
* 基于线程池隔离实现故障隔离
* @author ken
*/
@Service
@Slf4j
public class ProductServiceImpl implements ProductService {
/**
* 自定义线程池,用于商品基础信息查询
*/
private final ThreadPoolExecutor productBaseExecutor = new ThreadPoolExecutor(
10,
20,
1000L,
TimeUnit.MILLISECONDS,
new LinkedBlockingQueue<>(20),
new ThreadFactoryBuilder().setNameFormat("product-base-pool-%d").build(),
new ThreadPoolExecutor.CallerRunsPolicy()
);
/**
* 自定义线程池,用于库存信息查询
*/
private final ThreadPoolExecutor productStockExecutor = new ThreadPoolExecutor(
5,
10,
1000L,
TimeUnit.MILLISECONDS,
new LinkedBlockingQueue<>(10),
new ThreadFactoryBuilder().setNameFormat("product-stock-pool-%d").build(),
new ThreadPoolExecutor.CallerRunsPolicy()
);
/**
* 自定义线程池,用于营销活动查询
*/
private final ThreadPoolExecutor productMarketingExecutor = new ThreadPoolExecutor(
2,
5,
1000L,
TimeUnit.MILLISECONDS,
new LinkedBlockingQueue<>(5),
new ThreadFactoryBuilder().setNameFormat("product-marketing-pool-%d").build(),
new ThreadPoolExecutor.CallerRunsPolicy()
);
/**
* 自定义线程池,用于评论信息查询
*/
private final ThreadPoolExecutor productCommentExecutor = new ThreadPoolExecutor(
5,
10,
1000L,
TimeUnit.MILLISECONDS,
new LinkedBlockingQueue<>(10),
new ThreadFactoryBuilder().setNameFormat("product-comment-pool-%d").build(),
new ThreadPoolExecutor.CallerRunsPolicy()
);
/**
* 查询商品详情信息
* 并行调用多个依赖服务,每个服务使用独立的线程池,实现故障隔离
* @param productId 商品ID
* @return 商品详情实体
*/
@Override
public Product getProductDetail(Long productId) {
Product product = new Product();
// 并行调用各个依赖服务,每个服务使用独立的线程池
CompletableFuture<Void> baseFuture = CompletableFuture.runAsync(
() -> product.setBaseInfo(getProductBaseInfo(productId)),
productBaseExecutor
);
CompletableFuture<Void> stockFuture = CompletableFuture.runAsync(
() -> product.setStockInfo(getProductStockInfo(productId)),
productStockExecutor
);
CompletableFuture<Void> marketingFuture = CompletableFuture.runAsync(
() -> product.setMarketingInfo(getProductMarketingInfo(productId)),
productMarketingExecutor
);
CompletableFuture<Void> commentFuture = CompletableFuture.runAsync(
() -> product.setCommentInfo(getProductCommentInfo(productId)),
productCommentExecutor
);
// 等待所有调用完成
CompletableFuture.allOf(baseFuture, stockFuture, marketingFuture, commentFuture).join();
return product;
}
/**
* 查询商品基础信息
* @param productId 商品ID
* @return 商品基础信息
*/
@Bulkhead(name = "product-base", type = Bulkhead.Type.THREADPOOL)
@TimeLimiter(name = "product-base")
public String getProductBaseInfo(Long productId) {
// 模拟调用商品基础信息服务
return "商品基础信息-" + productId;
}
/**
* 查询商品库存信息
* @param productId 商品ID
* @return 商品库存信息
*/
@Bulkhead(name = "product-stock", type = Bulkhead.Type.THREADPOOL)
@TimeLimiter(name = "product-stock")
public String getProductStockInfo(Long productId) {
// 模拟调用库存服务
return "商品库存信息-" + productId;
}
/**
* 查询商品营销活动信息
* @param productId 商品ID
* @return 营销活动信息
*/
@Bulkhead(name = "product-marketing", type = Bulkhead.Type.THREADPOOL)
@TimeLimiter(name = "product-marketing")
public String getProductMarketingInfo(Long productId) {
// 模拟调用营销服务,故障场景下会超时
return "商品营销活动信息-" + productId;
}
/**
* 查询商品评论信息
* @param productId 商品ID
* @return 评论信息
*/
@Bulkhead(name = "product-comment", type = Bulkhead.Type.THREADPOOL)
@TimeLimiter(name = "product-comment")
public String getProductCommentInfo(Long productId) {
// 模拟调用评论服务
return "商品评论信息-" + productId;
}
}
通过这种线程池隔离的设计,即使营销服务出现故障,也只会耗尽营销服务对应的线程池,其他三个线程池不受影响,商品详情依然可以返回基础信息、库存信息、评论信息,保证核心功能可用,避免了故障的扩散。
2.2.3 进程隔离
进程隔离是部署层面的故障隔离方案,核心原理是:将不同的服务部署在独立的进程中,每个进程有独立的CPU、内存、磁盘等资源配额,避免一个服务出现内存泄漏、CPU占满等问题,影响同一台服务器上的其他服务。
最常用的进程隔离方案是容器化部署,基于Docker和Kubernetes实现。每个服务打包成独立的Docker镜像,运行在独立的Docker容器中,Kubernetes为每个容器设置独立的CPU和内存资源限制,比如订单服务的容器限制2核4G内存,支付服务的容器限制1核2G内存。当订单服务出现内存泄漏,最多只会耗尽自己容器的4G内存,不会影响支付服务的运行,实现了进程级的故障隔离。
2.2.4 读写隔离
读写隔离是数据层面的故障隔离方案,核心原理是:将读请求和写请求分开处理,避免写操作的性能波动、锁竞争影响读请求的响应速度,同时避免读请求过多占用数据库资源,影响写请求的处理。
读写隔离最常用的方案是数据库的读写分离,基于MySQL的主从复制,写请求全部路由到主库,读请求全部路由到从库,主库和从库是独立的数据库实例,有独立的服务器资源,主库的性能波动不会影响从库的读请求。
这里我们基于MyBatisPlus实现MySQL的读写分离,通过动态数据源实现读请求自动路由到从库,写请求路由到主库。
首先是动态数据源的配置:
package com.jam.demo.config;
import com.baomidou.dynamic.datasource.DynamicRoutingDataSource;
import com.baomidou.dynamic.datasource.spring.boot.autoconfigure.DynamicDataSourceProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Primary;
import javax.sql.DataSource;
/**
* 动态数据源配置,实现读写分离
* @author ken
*/
@Configuration
public class DynamicDataSourceConfig {
private final DynamicDataSourceProperties properties;
public DynamicDataSourceConfig(DynamicDataSourceProperties properties) {
this.properties = properties;
}
/**
* 动态数据源
* @return 数据源实例
*/
@Bean
@Primary
public DataSource dynamicDataSource() {
DynamicRoutingDataSource dataSource = new DynamicRoutingDataSource();
dataSource.setPrimary(properties.getPrimary());
dataSource.setStrict(properties.getStrict());
dataSource.setStrategy(properties.getStrategy());
dataSource.setP6spy(properties.getP6spy());
dataSource.setSeata(properties.getSeata());
return dataSource;
}
}
然后是application.yml中的数据源配置:
spring:
datasource:
dynamic:
primary: master
strict: false
datasource:
master:
url: jdbc:mysql://主库IP:3306/demo_db?useUnicode=true&characterEncoding=utf8&useSSL=false&serverTimezone=Asia/Shanghai&allowPublicKeyRetrieval=true
username: 主库用户名
password: 主库密码
driver-class-name: com.mysql.cj.jdbc.Driver
slave:
url: jdbc:mysql://从库IP:3306/demo_db?useUnicode=true&characterEncoding=utf8&useSSL=false&serverTimezone=Asia/Shanghai&allowPublicKeyRetrieval=true
username: 从库用户名
password: 从库密码
driver-class-name: com.mysql.cj.jdbc.Driver
然后在Service层通过@DS注解指定数据源,实现读写分离:
package com.jam.demo.service.impl;
import com.baomidou.dynamic.datasource.annotation.DS;
import com.jam.demo.entity.User;
import com.jam.demo.mapper.UserMapper;
import com.jam.demo.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Service;
/**
* 读写分离的用户服务实现类
* @author ken
*/
@Service
@Slf4j
public class ReadWriteSeparationUserServiceImpl implements UserService {
private final UserMapper userMapper;
public ReadWriteSeparationUserServiceImpl(UserMapper userMapper) {
this.userMapper = userMapper;
}
/**
* 查询用户信息,路由到从库
* @param userId 用户ID
* @return 用户实体
*/
@Override
@DS("slave")
public User getUserById(Long userId) {
return userMapper.selectById(userId);
}
/**
* 新增用户信息,路由到主库
* @param user 用户实体
* @return 新增是否成功
*/
@Override
@DS("master")
public boolean addUser(User user) {
return userMapper.insert(user) > 0;
}
}
通过这种配置,所有的读请求都会自动路由到从库,写请求路由到主库,实现了读写隔离,避免了读写之间的相互影响。
2.2.5 机房/地域隔离
机房/地域隔离是基础设施层面的故障隔离方案,核心原理是:将系统的不同副本部署在不同的机房、不同的可用区、不同的地域,每个机房/地域都是一个独立的故障域,当一个机房出现断电、光纤中断等故障时,其他机房的系统依然可以正常运行。
比如在阿里云上部署系统,我们可以将应用节点分别部署在华东1的可用区A、可用区B、可用区C,三个可用区之间电力、网络都是相互独立的,当可用区A出现故障时,可用区B和C的节点依然可以正常承接流量,实现了机房级的故障隔离。
2.2.6 功能降级隔离
功能降级隔离是业务层面的故障隔离方案,核心原理是:将系统的功能分为核心功能和非核心功能,当系统出现故障、负载过高时,自动关闭非核心功能,释放系统资源,保证核心功能的正常运行。
比如电商大促时,当系统负载过高,我们可以关闭商品评论、商品推荐、历史订单查询等非核心功能,释放CPU、内存、数据库资源,保证商品浏览、下单、支付等核心功能的正常运行。
2.3 故障隔离的核心误区
- 拆分越细,隔离效果越好:服务拆分的粒度越细,系统的复杂度越高,服务之间的调用链越长,出现故障的概率也越大,同时运维成本也会大幅提升。服务拆分需要在可用性和复杂度之间找到平衡,不能为了隔离而过度拆分。
- 只做服务间隔离,忽略服务内隔离:很多系统只做了服务之间的拆分隔离,但服务内部还是共用同一个线程池、同一个数据源,一个接口出现故障,依然会导致整个服务不可用。故障隔离需要覆盖从服务间到服务内的全链路。
- 隔离不设置降级策略:故障隔离的同时,必须配套对应的降级策略,当某个故障域的服务不可用时,需要有对应的降级处理,比如返回默认值、缓存数据、提示用户功能暂不可用,而不是直接抛出异常,影响用户体验。
三、自动恢复:缩短故障时长的闭环保障
3.1 自动恢复的底层逻辑
即使我们做了完善的冗余和故障隔离,故障依然会发生。传统的故障处理方式是:监控告警触发,运维人员收到告警,登录服务器排查问题,手动执行恢复操作,整个过程的MTTR(平均恢复时间)通常在几十分钟甚至几个小时,完全无法满足高可用系统的要求。
自动恢复的本质,就是通过自动化的机制,实现故障的自动检测、自动决策、自动恢复,将MTTR降到秒级甚至毫秒级,实现用户无感知的故障处理。自动恢复的核心原则是:能自动恢复的故障,绝对不要人工干预。
3.2 自动恢复的核心环节与落地实践
自动恢复是一个完整的闭环流程,核心分为三个环节:故障检测、故障决策、故障恢复,三个环节环环相扣,缺一不可。
3.2.1 故障检测:自动恢复的前提
故障检测是自动恢复的第一步,只有准确、快速地检测到故障,才能触发后续的恢复操作。故障检测需要覆盖从硬件到应用、从基础设施到业务的全链路,核心分为四个层级。
基础设施层故障检测
基础设施层故障检测主要针对服务器、网络、存储等硬件设备,常见的检测指标包括:
- 服务器:CPU使用率、内存使用率、磁盘使用率、磁盘IO、网络带宽
- 网络:端口连通性、网络延迟、丢包率
- 存储:磁盘可用空间、IOPS、读写延迟
基础设施层的故障检测通常由监控系统实现,比如Prometheus+Grafana、Zabbix等,当指标超过预设的阈值时,触发告警。
应用层故障检测
应用层故障检测主要针对应用服务的健康状态,最常用的方案是健康检查。健康检查分为三个层级:
- 端口健康检查:检测应用的服务端口是否能正常连通,只能判断应用进程是否存活,无法判断应用是否能正常处理业务请求。
- HTTP健康检查:应用提供一个健康检查接口,负载均衡或监控系统定期调用这个接口,根据返回的HTTP状态码判断应用是否健康。比如SpringBoot Actuator提供的
/actuator/health接口,当应用健康时返回200状态码,不健康时返回503状态码。 - 业务健康检查:在健康检查接口中,加入对下游依赖的检测,比如数据库、Redis、消息队列等,只有当应用自身和所有核心依赖都正常时,才返回健康状态,能最准确地反映应用的业务可用性。
SpringBoot Actuator健康检查的配置示例: 首先在pom.xml中加入依赖:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
然后在application.yml中配置健康检查:
management:
endpoints:
web:
exposure:
include: health,info
endpoint:
health:
show-details: always
probes:
enabled: true
health:
livenessState:
enabled: true
readinessState:
enabled: true
db:
enabled: true
redis:
enabled: true
配置完成后,应用会提供/actuator/health/liveness(存活状态)和/actuator/health/readiness(就绪状态)两个接口,分别用于检测应用是否存活、是否能正常处理业务请求。
业务层故障检测
业务层故障检测主要针对业务接口的可用性,常见的检测指标包括:
- 接口响应时间
- 接口成功率
- 接口QPS
- 业务异常率
业务层故障检测通常通过APM(应用性能监控)系统实现,比如SkyWalking、Pinpoint等,当接口成功率低于阈值、响应时间超过阈值时,触发故障告警。
数据层故障检测
数据层故障检测主要针对数据库、缓存、消息队列等存储组件,常见的检测指标包括:
- 数据库:连接数、慢查询数量、主从同步延迟、表空间使用率
- Redis:内存使用率、命中率、主从同步延迟、QPS
- 消息队列:消息堆积量、生产/消费速度、延迟
3.2.2 故障决策:自动恢复的核心
故障决策是自动恢复的核心环节,当检测到故障后,需要通过决策机制,判断故障的类型、严重程度,选择对应的恢复策略,避免误判导致的错误恢复操作。
故障决策的核心方案分为两种:
-
基于规则的决策:预设明确的故障判定规则,当故障满足规则时,触发对应的恢复操作。比如:
- 连续3次HTTP健康检查失败,判定应用节点不可用,触发流量摘除操作
- 应用节点的CPU使用率持续5分钟超过90%,触发自动扩容操作
- MySQL主库连续3次端口检测失败,触发主从切换操作 基于规则的决策逻辑简单、可控性强,是业务系统中最常用的决策方案。
-
基于AI的异常检测:通过机器学习算法,学习系统正常运行时的指标基线,当指标出现异常波动时,自动识别故障,触发恢复操作。基于AI的异常检测能发现传统规则无法覆盖的隐性故障,但可控性较差,通常用于辅助决策。
故障决策的核心原则是:故障判定必须有足够的依据,避免单次异常就触发恢复操作,导致系统震荡。比如健康检查必须连续多次失败,才判定节点不可用,而不是单次失败就触发摘除。
3.2.3 故障恢复:自动恢复的落地
故障恢复是自动恢复的最终环节,根据故障的类型和严重程度,执行对应的恢复操作,让系统快速恢复正常。故障恢复的方案覆盖从基础设施到应用、从数据到业务的全链路,核心分为六大类。
流量自动摘除与恢复
流量自动摘除是应用层最常用的故障恢复方案,核心原理是:当负载均衡检测到某个应用节点健康检查失败时,自动将这个节点从负载均衡的节点列表中摘除,流量不再转发到这个节点;当节点恢复健康后,自动将节点重新加入负载均衡的节点列表,恢复流量转发。
流量自动摘除的流程如下:
目前主流的负载均衡组件,比如Nginx、云厂商的CLB,都自带流量自动摘除的功能,只需要配置健康检查的规则,就能自动实现流量的摘除与恢复。
Nginx健康检查的配置示例:
http {
upstream user_service {
server 192.168.1.1:8080 max_fails=3 fail_timeout=30s;
server 192.168.1.2:8080 max_fails=3 fail_timeout=30s;
server 192.168.1.3:8080 max_fails=3 fail_timeout=30s;
}
server {
listen 80;
location /api/user {
proxy_pass http://user_service;
proxy_next_upstream error timeout http_500 http_502 http_503 http_504;
}
}
}
配置说明:
max_fails=3:连续3次请求失败,判定节点不可用fail_timeout=30s:节点被判定为不可用后,30秒内不再转发流量到这个节点,30秒后会重新尝试转发请求,检测节点是否恢复proxy_next_upstream:当请求出现错误、超时、5xx状态码时,自动将请求转发到下一个可用节点,实现请求的自动重试,用户无感知
自动重启恢复
自动重启是最基础的故障恢复方案,核心原理是:当应用进程崩溃、出现死锁、OOM等故障时,自动重启应用进程,让应用恢复正常。
自动重启的实现方案分为两种:
- 操作系统级的自动重启:通过systemd配置应用的自动重启,当应用进程退出时,systemd会自动重启进程。 systemd配置示例:
[Unit]
Description=High Availability Demo Service
After=network.target
[Service]
Type=simple
User=root
WorkingDirectory=/opt/app
ExecStart=/usr/bin/java -jar high-availability-demo.jar
Restart=always
RestartSec=5
LimitNOFILE=65535
[Install]
WantedBy=multi-user.target
配置说明:Restart=always表示无论进程因为什么原因退出,都会自动重启,RestartSec=5表示进程退出后5秒重启。
- 容器化的自动重启:Kubernetes提供了存活探针(Liveness Probe),当存活探针检测到应用不健康时,会自动重启容器。 Kubernetes存活探针配置示例:
apiVersion: apps/v1
kind: Deployment
metadata:
name: high-availability-demo
spec:
replicas: 3
selector:
matchLabels:
app: high-availability-demo
template:
metadata:
labels:
app: high-availability-demo
spec:
containers:
- name: high-availability-demo
image: high-availability-demo:latest
ports:
- containerPort: 8080
livenessProbe:
httpGet:
path: /actuator/health/liveness
port: 8080
initialDelaySeconds: 30
periodSeconds: 10
failureThreshold: 3
readinessProbe:
httpGet:
path: /actuator/health/readiness
port: 8080
initialDelaySeconds: 10
periodSeconds: 5
failureThreshold: 1
配置说明:
livenessProbe:存活探针,每10秒检测一次,连续3次失败,就重启容器readinessProbe:就绪探针,每5秒检测一次,失败就将容器从Service的端点列表中摘除,停止转发流量
自动扩容与缩容
自动扩容是应对流量突增、负载过高导致的故障的核心方案,核心原理是:当应用的CPU使用率、内存使用率、QPS等指标超过阈值时,自动增加应用的副本数量,提升系统的处理能力;当指标低于阈值时,自动减少副本数量,节省资源。
Kubernetes的HPA(Horizontal Pod Autoscaler)是最常用的自动扩缩容方案,配置示例:
apiVersion: autoscaling/v2
kind: HorizontalPodAutoscaler
metadata:
name: high-availability-demo-hpa
spec:
scaleTargetRef:
apiVersion: apps/v1
kind: Deployment
name: high-availability-demo
minReplicas: 3
maxReplicas: 10
metrics:
- type: Resource
resource:
name: cpu
target:
type: Utilization
averageUtilization: 70
- type: Resource
resource:
name: memory
target:
type: Utilization
averageUtilization: 80
配置说明:
- 最小副本数3,最大副本数10
- 当CPU平均使用率超过70%,或者内存平均使用率超过80%时,自动扩容
- 当CPU和内存使用率低于阈值时,自动缩容
熔断降级恢复
熔断降级是应对下游服务故障的核心恢复方案,核心原理是:当下游服务的故障率超过阈值时,熔断器自动打开,后续的请求不再调用故障的下游服务,直接执行降级逻辑,避免故障的下游服务拖垮当前服务;当下游服务恢复正常后,熔断器自动关闭,恢复正常调用。
这里我们基于Resilience4j实现熔断降级,配置示例: 首先在application.yml中配置熔断器:
resilience4j:
circuitbreaker:
instances:
payment-service:
sliding-window-size: 100
minimum-number-of-calls: 10
failure-rate-threshold: 50
wait-duration-in-open-state: 10000
permitted-number-of-calls-in-half-open-state: 5
sliding-window-type: COUNT_BASED
retry:
instances:
payment-service:
max-retry-attempts: 3
wait-duration: 1000ms
enable-exponential-backoff: true
exponential-backoff-multiplier: 2
配置说明:
- 滑动窗口大小100,最少调用10次才会触发熔断
- 故障率超过50%时,熔断器打开,10秒后进入半开状态
- 半开状态下允许5次调用,若成功率达标,熔断器关闭,否则重新打开
- 最大重试次数3次,重试间隔指数级增长
然后是支付服务的调用实现,带熔断降级:
package com.jam.demo.service.impl;
import com.jam.demo.service.PaymentService;
import io.github.resilience4j.circuitbreaker.annotation.CircuitBreaker;
import io.github.resilience4j.retry.annotation.Retry;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Service;
/**
* 支付服务调用实现类
* 基于熔断器实现故障自动恢复
* @author ken
*/
@Service
@Slf4j
public class PaymentServiceImpl implements PaymentService {
/**
* 调用支付服务创建支付订单
* 当支付服务故障时,自动触发熔断,执行降级逻辑
* @param orderId 订单ID
* @param amount 支付金额
* @return 支付订单号
*/
@Override
@CircuitBreaker(name = "payment-service", fallbackMethod = "createPaymentFallback")
@Retry(name = "payment-service")
public String createPayment(String orderId, Long amount) {
// 模拟调用支付服务
log.info("调用支付服务创建支付订单,订单号:{},金额:{}", orderId, amount);
// 实际业务中这里是远程调用支付服务的接口
return "PAY" + System.currentTimeMillis();
}
/**
* 熔断降级方法
* @param orderId 订单ID
* @param amount 支付金额
* @param e 异常信息
* @return 降级结果
*/
public String createPaymentFallback(String orderId, Long amount, Exception e) {
log.error("调用支付服务失败,触发降级,订单号:{},异常信息:", orderId, e);
return "降级:支付服务暂不可用,请稍后重试";
}
}
通过熔断器的实现,当支付服务出现故障时,会自动触发重试,重试失败后打开熔断器,直接执行降级逻辑,避免大量请求阻塞在故障的支付服务上,导致当前服务的线程池被占满,实现了故障的自动恢复。
数据层自动主从切换
数据层的自动主从切换,是应对数据库、缓存主节点故障的核心恢复方案。
对于MySQL,最常用的自动主从切换方案是MGR(MySQL Group Replication),基于Paxos一致性协议,实现数据库节点的集群化部署,当主节点故障时,集群会自动选举新的主节点,实现秒级的主从切换,业务无感知。
对于Redis,哨兵模式自带自动故障转移功能,当哨兵检测到主节点故障时,会自动从从节点中选举一个新的主节点,其他从节点自动同步新的主节点的数据,客户端通过哨兵自动获取新的主节点地址,实现自动切换。
地域级自动切流
地域级自动切流,是应对机房级、地域级故障的核心恢复方案。当一个机房出现故障时,通过DNS解析、全局负载均衡(GSLB),自动将流量切换到其他正常的机房,实现地域级的故障自动恢复。
比如我们在上海和北京两个地域部署了系统,当上海地域的机房出现故障时,GSLB会自动将上海地域的用户流量切换到北京地域的机房,用户完全无感知,实现了地域级的故障自动恢复。
3.3 自动恢复的核心误区
- 自动恢复可以解决所有故障:自动恢复只能解决已知的、可复现的故障,对于未知的、逻辑层面的故障,自动恢复是无法解决的,比如业务代码的bug导致的资金损失,自动重启、扩容都无法解决。自动恢复需要和人工运维配合,不能完全依赖自动化。
- 恢复操作没有幂等性:自动恢复的操作,比如重试、重启、主从切换,都必须保证幂等性,否则会出现重复下单、重复支付、数据不一致等问题。比如重试接口必须保证接口是幂等的,否则多次重试会导致数据重复。
- 没有设置恢复的上限:自动恢复必须设置恢复次数的上限,避免无限重试、无限重启导致的系统震荡。比如容器重启,必须设置CrashLoopBackOff机制,当重启次数过多时,停止自动重启,避免耗尽节点资源。
- 忽略故障根因排查:自动恢复只是解决了故障的表象,没有解决故障的根因。每次自动恢复触发后,必须记录故障信息,后续排查故障的根因,彻底解决问题,避免同样的故障反复发生。
四、三大核心能力的协同与落地避坑
4.1 三大核心能力的协同关系
冗余、故障隔离、自动恢复,三者不是孤立的,而是相辅相成、缺一不可的,共同构成了高可用架构的完整闭环。
- 冗余是基础:没有冗余,故障隔离和自动恢复都无从谈起。如果系统是单点部署的,即使检测到故障,也没有备用节点可以接管流量,故障隔离也没有意义。
- 故障隔离是防线:没有故障隔离,冗余的副本会被扩散的故障全部拖垮,自动恢复也来不及处理。比如一个下游服务故障,导致所有应用节点的线程池都被占满,即使部署了再多的副本,也会全部不可用,自动恢复也无法解决。
- 自动恢复是闭环:没有自动恢复,冗余和故障隔离只能降低故障的影响,无法快速恢复系统。当故障发生时,只能依靠人工干预,MTTR无法满足高可用的要求。
完整的高可用故障处理流程如下:
4.2 高可用架构落地的核心避坑指南
- 高可用架构不是一蹴而就的:高可用架构是一个持续迭代优化的过程,不是一次性设计完成就一劳永逸的。需要根据业务的发展、系统的变化,持续优化冗余、隔离、恢复的方案,定期进行故障演练,验证方案的有效性。
- 不要过度设计:高可用架构的设计需要匹配业务的可用性需求,不要为了追求99.999%的可用性,过度设计复杂的架构,导致系统复杂度大幅提升,运维成本过高。比如内部管理系统,99.9%的可用性就足够了,不需要做异地多活。
- 必须进行故障演练:所有的高可用方案,都必须通过故障演练来验证有效性。比如通过混沌工程,主动注入故障,比如杀死应用节点、断开数据库连接、模拟网络延迟,验证冗余、隔离、恢复方案是否能正常工作,避免故障真正发生时,方案失效。
- 数据一致性优先于可用性:高可用架构的设计,必须在数据一致性的前提下提升可用性,不能为了可用性牺牲数据一致性。比如主从复制,不能为了提升性能,关闭同步确认,导致主库故障时数据丢失。
- 全链路覆盖:高可用架构的设计必须覆盖全链路,不能存在短板。比如应用层做了完善的冗余和隔离,但数据库还是单点,整个系统的可用性依然由单点的数据库决定。
五、总结
高可用架构的本质,是通过体系化的设计,应对系统中各种不可避免的故障,最大化服务的连续性。冗余、故障隔离、自动恢复,是支撑高可用架构的三大核心支柱。
冗余通过多副本消除单点故障,为系统提供了最基础的容错能力;故障隔离将故障限制在最小的范围内,避免故障扩散导致的系统雪崩,为系统构建了坚实的防线;自动恢复通过自动化的机制,实现故障的快速闭环处理,将故障的影响降到最低。
想要构建真正稳定可靠的高可用系统,不能只依赖单一的技术方案,需要将三大核心能力深度融合,覆盖从硬件到应用、从基础设施到业务的全链路,同时持续迭代优化,通过故障演练验证方案的有效性,才能真正实现系统的持续稳定运行。
