【恩墨學院】京東618大促閘道器承載十億呼叫量背後的架構實踐

恩墨學院發表於2018-04-04

京東618大促閘道器承載十億呼叫量背後的架構實踐


王棟

京東618大促,其閘道器承載了幾十億的流量和呼叫,在這種情況下,閘道器係統必須保證整個系統的穩定性和高可用,保證高效能和可靠,以支撐業務。他們面臨的是一個非常複雜的問題,基於這種複雜問題,怎樣做到很好地提高它的效能和穩定性、複雜技術之間怎麼整合保證整體閘道器的高可用,是本文的重點。


閘道器涵蓋技術


閘道器係統


閘道器係統主要有兩種:


·         第一種叫客戶端閘道器主要用來接收一些客戶端的請求,也就是APP的服務端;

·         第二種叫開放閘道器,主要是公司(比如京東)對於第三方合作伙伴提供介面。


這兩種不同閘道器所使用的技術非常類似。



流量比較大的閘道器面臨的難點


 第一 :閘道器係統需要扛幾十億的流量呼叫,介面的平穩執行、每一個介面在後端服務之後的效能耗損都非常重要。比如我們使用了一個Redis叢集,然後構建了兩個機房,每一個機房都搭建了一個Redis叢集,這樣的話就能夠很好地保證高可用。在面對一個瞬間流量的時候,我們採用了一些快取技術,或者更前置的Nginx+lua+Redis技術,讓這種大流量應用能夠脫離開JVM的依賴。還有我們需要梳理各個介面,透過降級的策略把一些弱依賴的介面進行降級,從而保證核心應用的可用。


 第二 :閘道器係統其實就是一個把Http請求擴充到後端服務的過程。我們的閘道器承接了一千以上的後端服務介面,面對這種情況,怎樣做到服務與服務之間相互不影響?架構層面怎樣能夠杜絕蝴蝶效應、防止雪崩?就是說當一個介面出現問題的時候,不至於影響到其他介面的健康執行。這個說起來簡單,但實際卻不然。

一千個以上的介面,每個介面效能都不一致,而且每個介面所依賴的外部資源、資料庫快取等都不一樣,幾乎每天都會出現各種各樣的問題,我們怎樣透過一些隔離技術、治理技術等,保證當這些介面出現問題的時候,不會影響到全域性?


 第三 :我們對外暴露了一千個服務介面,所有介面的後面意味著幾十個甚至上百個團隊每天在不停地開發,每天都可能上線新的需求。面對這麼複雜的情況,我們不可能每次後端伺服器有任何修改,都需要有閘道器的修改或上線,這樣閘道器會變得非常脆弱,穩定性極低。


我們採用了一個動態接入的技術,讓後端的閘道器能夠透過一種接入的協議進行無縫接入,之後透過一些動態代理的方式,直接讓後端的介面,不管做任何修改或上線,都可以透過後端管理平臺從閘道器上對外進行透傳發布,很好地解決了我們閘道器所面臨的依賴於後端介面服務的上線問題。


閘道器涵蓋技術


Oracle 實戰


閘道器的四個技術方向:


統一接入:就是前端(包括APP或其他來源)的流量,能夠都在統一網路層進行接入。這一層所面臨的問題是:高效能透傳、高併發接入、高可效性,以及當前端流量來了之後,怎樣能夠進行一個負載的往後端的轉發。


流量管控:主要指流量治理部分。面對海量流量,我們怎樣透過一些防刷技術,保障閘道器不被大流量沖垮;以及怎樣透過一些像限流、降級、熔斷等技術,對閘道器進行全方位保護。


協議適配:就是前文提到的,閘道器會透傳後端上千個服務,而這些服務一定不是每一個都需要閘道器去開發配置的。我們透過一個協議適配的轉換,讓後端的各種服務透過我們指定的協議、透過http的方式從閘道器開放出去,當然閘道器不單單是http協議,還有一些TCP的。京東內部的協議相對比較統一,有Http的restful的協議,也有JSF的介面,JSF是京東內部自研的一個框架,一個RPC呼叫框架,和dubbo是類似的,然後基於註冊發現的一個rpc框架。


安全防護:這一部分對於網路來說非常重要,因為閘道器是整個公司對外的一個出口,在這一層我們要做一些防刷,比如防清洗一些惡意流量、做一些黑名單,當有一些惡意流量的話,透過限制IP等限制手段把它拒絕在整個閘道器之外,防止這些惡意流量把閘道器沖垮。


自研閘道器架構


Oracle 實戰


自研閘道器架構


我們的自研閘道器架構主要分為三層。


第一層:接入層


主要負責一些長短連結的接入、限流、黑白名單、路由、負載均衡、容災切換等。這一層所採用的技術是Nginx+lua的方式。


第二層:分發層(或者叫:閘道器的業務層)


它更多的是NIO+Servlet3非同步的技術。在這一層中又分為幾個部分。


● 最上層部分是資料校驗,在這一層會做一些簽名的校驗、時間的校驗、和版本、方法等。


● 下面一層叫泛化呼叫層,主要是把閘道器對外暴露的restful請求轉換成京東內部的協議,進行一個動態適配呼叫的過程。這一塊我們更多使用的是一些快取的技術,執行緒隔離、熔斷等技術也都是在這一層實現的。因為有大量資料和協議的轉換,所以這一層用了多使用快取的技術,我們閘道器層所有的資料都不會直接穿透到DB,而是採用一個叫異構資料的方式直接用快取去做的。


泛化層中間有兩塊:


主動通知。主動通知很好理解,就是我們會透過這種TCP的下行通道及時通知到客戶端,發一些像京東賬戶優惠券或提醒等;


沙箱測試。沙箱測試主要是說我們在一些介面釋出上線之前,進行一個外部的測試。


如圖,最右側部分是服務降級、日誌記錄、監控告警,這三個都是我們整個閘道器的支撐系統。服務降級是說當有些服務出現問題,第一時間把它降調;日誌是給我們排查問題用的;監控告警在下文會重點介紹,因為一個閘道器的可用性很大方面是透過監控系統來完善的,沒有監控系統、沒有告警,就像沒有眼睛一樣,沒辦法知道任何事。


第三層:後端各種各樣的業務API(業務介面)


這些介面透過閘道器對外進行暴露。


整個閘道器大體上分為以上三層,最上面的接入層、中間是閘道器的分發層,以及業務校驗、業務邏輯層,然後透過閘道器透傳請求到後端服務。除了這三層之外,我們再看兩邊的系統,都是我們整個閘道器比較核心和重要的支撐。


● 閘道器注冊中心。後端各種各樣的介面可以透過閘道器注冊中心對外進行釋出,這個系統有一個類似管理介面,只要後端的API服務按照固有的協議進行一個編寫,如果格式OK的話上傳到管理後臺,一鍵就可以釋出到線上。當然介面釋出之前會有一個測試。


● OA鑑權中心。這一塊主要是做鑑權用的,像資料校驗層的很多簽名的校驗等安全校驗都是在這一層統一做的。


技術棧


我們的閘道器係統所涉及到的一些技術棧:


第一是接入層Nginx+lua技術

第二是NIO+Servlet3非同步的技術

第三是分離技術

第四是降級限流

第五是熔斷技術

第六是快取,哪些地方該加快取,哪些地方可以直接讀庫;

第七是異構資料

第八是快速失敗

最後是監控統計,這是整個高可用閘道器係統裡非常重要的一部分。


下文會針對這些技術所適用的場景進行深入探討和分析,包括我們用這些技術解決什麼問題。


基本思路及過程改進點


實踐 1  Nginx層統一接入


Oracle 實戰

先看閘道器整個線上的部署架構,先透過一個軟負載LVS進入到整個京東的閘道器,第一層是核心Nginx,經過核心Nginx之後就是後面的業務Nginx,然後透過業務Nginx把我們的請求透傳到後端的伺服器。


核心Nginx主要是前端流量的分配,比如限流、防刷都是在這層去做。下層是業務Nginx,主要的Nginx+lua的邏輯在這一層實現。這一層還有能減輕核心Nginx壓力、CPU壓力的作用,而且一些lua的應用邏輯,比如限流、防刷、鑑權、降級都是在這一層做的。


為什麼要加上Nginx+lua這一層?


相較於Tomcat等,Nginx其實是一個能扛特別大併發流量的伺服器。基於這種狀況我們之前出現過問題,當這種併發流量特別大的時候,一旦後面出現單個機有問題,哪怕你針對這個介面做了降級,但其實真正流量還是到了Tomcat層的JVM裡,當流量很大的時候,很難透過JVM去消化掉這塊東西。


這樣導致的結果是:當你的Tomcat出現問題了,你很難透過重啟去解決這個問題,因為流量會一直存在,這臺Tomcat出問題了, 重啟完之後是把所有行動都釋放了,但是它們就像病毒一樣,會來回傳染,你重啟了一批,這批馬上又被傳染到。


Nginx天然就是這種NIO非同步的方式,能夠非常好地支援大併發的業務需求。所以我們把一些核心的,比如降級、流控等,都放在這一層,讓它替我們在最前端把流量防住。


實踐 2 引入NIO、利用Servlet3非同步化


Oracle 實戰

第二個實踐是在Tomcat層引入了NIO,用了一個JDK7+TOMCAT7+Servlet3的配置,讓同步請求變得非同步化,然後利用NIO的多路複用處理技術,讓我們能夠同時處理更高的併發數。


Oracle 實戰


利用Servlet3非同步化之後可以提升吞吐量,但單個請求的響應時間會略微變長,不過這種損耗是可以忍受的,因為這會帶來整個應用吞吐量的增加和靈活性的增強。還是非常值得我們使用的。


具體採用策略:業務方法開啟非同步化上下文AsynContext;釋放tomcat當前處理執行緒;tomcat該執行緒被釋放,然後用於下次請求的處理,提高其吞吐量;在AsynContext環境中完成業務方法的處理,呼叫其complete方法,將響應寫回響應流。這樣可以提高tomcat業務邏輯的可能性,讓我們在這一層非常少的執行緒數就能處理更多的請求,而不至於當流量非常大的時候會被壓垮。


實踐 3 分離之術



本節將在所有分離技術中挑兩個比較重點的進行分享。


請求解析和業務處理分離


第一個是透過NIO的方式,把請求解析的執行緒和後面處理的業務執行緒進行分離。


Oracle 實戰


請求由tomcat單執行緒處理,在NIO模式下可以用非常少量執行緒處理大量連結情況。業務邏輯處理和生成響應都是由另外的tomcat執行緒池處理,從而跟請求執行緒隔離。這裡的業務執行緒池還可以進一步隔離,不同業務設定不同的執行緒池。


業務執行緒池分離


Oracle 實戰


第二個是業務執行緒池分離,就是透過一個執行緒的隔離技術,把不同的介面或不同型別的介面進行隔離。比如訂單相關的介面,拿20個單獨執行緒去處理;商品相關的介面,拿10個單獨的執行緒去處理,這樣的話就可以讓不同的介面之間互不影響,如果訂單這塊有一個出了問題,最多消耗它自己,不會影響到其他介面的執行緒的呼叫。


具體的執行緒隔離可以根據業務來指定一組執行緒的數量,這幾個執行緒是為固定介面準備的,當這個介面出現問題,它就把自己的執行緒數用掉了,不會去佔用其他介面的執行緒,這樣起到了執行緒隔離的作用,讓單個API出問題的時候不會影響到其他。


實踐 4 降級



降級主要是說當有某個介面出現問題,我們能夠把這個介面直接降調,讓它呼叫直接返回,不會用到其他應用。還有就是如果某一塊弱一點的業務邏輯出現問題,我們直接把這塊邏輯降調,不至於影響到其他的黃金邏輯。


降級怎麼做?

Oracle 實戰


首先,降級開關要集中化管理,比如透過zookeeper推送到各個應用服務。這樣才能在出現問題的第一時間找到對應開關做降級處理。


一個基於開發降級的統一配置本身這個系統要是高可用的、支援多維度的快取,比如我們如果用zookeeper實現,首先zookeeper會有資料庫儲存,再上面會有一個本地快取。再就是我們會有一個快照,如果zookeeper讀不到快取,會透過快照去載入進來一些託底的資料,以保證開發一旦觸發之後能夠在第一時間響應。而我們的開關也不至於會成為其他系統的問題,它是非常弱化、非常薄的一層。


精細化流量控制


Oracle 實戰


說完開關、流量控制和降級之後,我們來看透過多維度的流量控制和降級的策略,比如按照單個API或API+地域、運營商等維度進行控制。一旦出問題了,我們會把多種組合方式進行降級,還可以根據秒/分鐘級等不同維度進行流量控制,從而達到精細化流量管理。


優雅降級


Oracle 實戰


說到降級,前面說的更多的是技術層面的,在業務層面的話,我們也要講究優雅降級。我們不能說這個邏輯一旦建立之後就直接返回前端502,這肯定是不友好的。我們肯定會跟前端進行溝通,比如降級之後反饋給前端一個對應的錯誤碼,或者給使用者反饋一個提示等操作指令,這樣能夠讓使用者體驗更好一些。


實踐 5 限流


Oracle 實戰


惡意請求、惡意攻擊,惡意的請求流量可以只訪問cache,惡意的IP可以使用nginx層的 deny進行屛蔽;


防止流程超出系統的承載能力,雖然會預估但總有意外,如果沒有限流,當超過系統承載峰值的時候,整個系統就會打垮。


實踐 6 熔斷


Oracle 實戰


當我們的後端機構出現問題了,達到某個閥值了,系統就能夠自動進行關閉降級,這是熔斷的大體思路。我們會有更靈活的配置:比如當某個介面接連三次訪問超時或返回錯誤的話就自動熔斷;也可以是配置一些超時間,比如連續三次這種方法呼叫的效能都超過了50毫秒,就會自動對這個方法進行熔斷,熔斷之後就相當於降級了,再次呼叫的話會返回失敗,就是直接拒絕返回了。


熔斷之後還可以有一個設定:比如5秒或一分鐘之後出來一個半開啟狀態,再次醒來之後,它會去試探一下當天這個服務是否已經OK了,如果沒有問題了,它就會去把你之前熔斷的API業務再次開啟,能夠正常對外提供服務。現在有一些開源的實踐,透過這些實踐可以很好的做熔斷,當然根據這裡邊的思路,自己也可以實現,這不是特別複雜的事情。


實踐 7 快速失敗-鏈路中的超時


Oracle 實戰


快速失敗是非常重要的一個實踐,不光是做閘道器係統,做其他系統也要記住,特別是呼叫量大的系統,比如注意到整個鏈條中的超時設定。這是我們每年在做雙11和618備戰的時候,都需要重點去review的一塊東西,包括我們平時在做開發的時候、每一次新模組上線之前,我們都要重點去監控這一塊。我們會梳理所有系統對外的依賴,比如閘道器依賴於我們自己的一些業務的快取、資料庫,更多的是依賴於後端數千個不同的服務。


這種涉及到網路的,我們必須要設定超時間,因為像閘道器這種呼叫量比較大的系統,如果不設超時間,有可能它預設時間就是幾分鐘,這麼長時間,一旦有一個機構出問題了,有可能瞬間整個閘道器係統會全部雪崩掉,任何一個介面都不能對外使用,因為資料量很大,有可能你都來不及降級就已經被沖垮了。


Oracle 實戰


實踐 8 監控統計-應用層


Oracle 實戰


監控統計是閘道器係統裡非常核心的一部分,只有有了監控,有了報警,才能讓我們實時瞭解所有的運營情況、每一個API呼叫的情況。


監控目標


第一:保證7*24小時守護系統


第二:能夠實時監控系統的運營狀況,比如哪個API是不是呼叫時間過長了?哪個API已經熔斷了?等等;


第三:統計資料,分析指標。比如一天過去了,每一個API呼叫情況有沒有超時?有沒有訪問的效能降低等;


第四:實時報警。因為監控是一部分,發現問題之後能夠第一時間通知到我們,讓我們能夠馬上處理也是讓系統更加健康的一個方面。


監控範圍


Oracle 實戰


監控的維度


Oracle 實戰


·         第一層:硬體監控。比如系統的CPU記憶體、網路卡等。

·         第二層:自定義監控。比如直接報警。

·         第三層:效能監控。比如每個介面的TP指標,TP999 TP99 TP90 TP50四種效能指標作為SLA的參考標準,還有可用率等,這個對於閘道器來說至關重要。

·         第四層:心跳監控。閘道器係統線上有很多機器,每個機器現在的情況怎樣?有沒有存貨等。

·         第五層:業務層監控。比如我們會有一些JVM監控,監控Nginx連線數等。


在京東內部有一個很完善的監控體系,叫UMP系統,能夠幫助我們做各個層級的監控。它主要是提供給我們一些類似於配置的檔案,我們配置好之後就可以進行系統的監控,我們在做的時候會透過一些AOP代理的方式,對所有的方法進行監控。因為我們是閘道器,需要大量的後端透傳,閘道器因為是動態地生成這些介面,根本不知道有哪些介面,所以在動態生成介面的時候自動地AOP給它注入一個個監控,這樣的話就是每一個介面都能夠有一個監控。


說到監控不得不提的是,我們做閘道器係統就是做透傳的,後面有各種各樣不同的介面、業務邏輯,每個業務邏輯和介面的效能都需要去監控,然後告知對方讓對方去整改的,所以我們除了把這些監控加完之後,有了問題要能夠通知到對應的負責人,包括我們自己。所以我們每一天每一週都會有郵件以報表形式發出,讓所有系統負責人都知道對應的機構的情況,比如效能是否有問題、是否需要整改等。



轉載自:壹佰案例

原文:http://mp.weixin.qq.com/s/cN_crJE0V0-Jilz0EgXjwQ


恩墨學院隸屬於雲和恩墨(北京)資訊科技有限公司,致力於提供專業高水準的與大資料培訓服務,挖掘培養大資料與資料庫人才。恩墨學院提供包括個人實戰技能培訓、個人認證培訓、企業內訓在內的全方位大資料和資料庫技術培訓。ACE級別超強師資,配備專業實驗室,沉浸式學習與訓練,專業實驗室、配備專業助教指導訓練。能迅速融入專家圈子,業內資源豐富,迅速積累職場人脈。課程包括:班、Oracle 、Oracle OCP考試等。



來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/28530558/viewspace-2152604/,如需轉載,請註明出處,否則將追究法律責任。

相關文章