482
京東618大促網關承載十億調用量背後的架構實踐
京東618大促,其網關承載了幾十億的流量和調用,在這種情況下,網關係統必須保證整個係統的穩定性和高可用,保證高性能和可靠,以支撐業務。他們麵臨的是一個非常複雜的問題,基於這種複雜問題,怎樣做到很好地提高它的性能和穩定性、複雜技術之間怎麼整合保證整體網關的高可用,是本文的重點。
網關涵蓋技術
網關係統
網關係統主要有兩種:
- 第一種叫客戶端網關主要用來接收一些客戶端的請求,也就是APP的服務端;
- 第二種叫開放網關,主要是公司(比如京東)對於第三方合作夥伴提供接口。
這兩種不同網關所使用的技術非常類似。
流量比較大的網關麵臨的難點
第一 :網關係統需要扛幾十億的流量調用,接口的平穩運行、每一個接口在後端服務之後的性能耗損都非常重要。比如我們使用了一個Redis集群,然後構建了兩個機房,每一個機房都搭建了一個Redis集群,這樣的話就能夠很好地保證高可用。在麵對一個瞬間流量的時候,我們采用了一些緩存技術,或者更前置的Nginx+lua+Redis技術,讓這種大流量應用能夠脫離開JVM的依賴。還有我們需要梳理各個接口,通過降級的策略把一些弱依賴的接口進行降級,從而保證核心應用的可用。
第二 :網關係統其實就是一個把Http請求拓展到後端服務的過程。我們的網關承接了一千以上的後端服務接口,麵對這種情況,怎樣做到服務與服務之間相互不影響?架構層麵怎樣能夠杜絕蝴蝶效應、防止雪崩?就是說當一個接口出現問題的時候,不至於影響到其他接口的健康運行。這個說起來簡單,但實際卻不然。
一千個以上的接口,每個接口性能都不一致,而且每個接口所依賴的外部資源、數據庫緩存等都不一樣,幾乎每天都會出現各種各樣的問題,我們怎樣通過一些隔離技術、治理技術等,保證當這些接口出現問題的時候,不會影響到全局?
第三 :我們對外暴露了一千個服務接口,所有接口的後麵意味著幾十個甚至上百個團隊每天在不停地開發,每天都可能上線新的需求。麵對這麼複雜的情況,我們不可能每次後端服務器有任何修改,都需要有網關的修改或上線,這樣網關會變得非常脆弱,穩定性極低。
我們采用了一個動態接入的技術,讓後端的網關能夠通過一種接入的協議進行無縫接入,之後通過一些動態代理的方式,直接讓後端的接口,不管做任何修改或上線,都可以通過後端管理平台從網關上對外進行透傳發布,很好地解決了我們網關所麵臨的依賴於後端接口服務的上線問題。
網關的四個技術方向:
統一接入:就是前端(包括APP或其他來源)的流量,能夠都在統一網絡層進行接入。這一層所麵臨的問題是:高性能透傳、高並發接入、高可效性,以及當前端流量來了之後,怎樣能夠進行一個負載的往後端的轉發。
流量管控:主要指流量治理部分。麵對海量流量,我們怎樣通過一些防刷技術,保障網關不被大流量衝垮;以及怎樣通過一些像限流、降級、熔斷等技術,對網關進行全方位保護。
協議適配:就是前文提到的,網關會透傳後端上千個服務,而這些服務一定不是每一個都需要網關去開發配置的。我們通過一個協議適配的轉換,讓後端的各種服務通過我們指定的協議、通過http的方式從網關開放出去,當然網關不單單是http協議,還有一些TCP的。京東內部的協議相對比較統一,有Http的restful的協議,也有JSF的接口,JSF是京東內部自研的一個框架,一個RPC調用框架,和dubbo是類似的,然後基於注冊發現的一個rpc框架。
安全防護:這一部分對於網絡來說非常重要,因為網關是整個公司對外的一個出口,在這一層我們要做一些防刷,比如防清洗一些惡意流量、做一些黑名單,當有一些惡意流量的話,通過限製IP等限製手段把它拒絕在整個網關之外,防止這些惡意流量把網關衝垮。
自研網關架構
我們的自研網關架構主要分為三層。
第一層:接入層
主要負責一些長短鏈接的接入、限流、黑白名單、路由、負載均衡、容災切換等。這一層所采用的技術是Nginx+lua的方式。
第二層:分發層(或者叫:網關的業務層)
它更多的是NIO+Servlet3異步的技術。在這一層中又分為幾個部分。
- 最上層部分是數據校驗,在這一層會做一些簽名的校驗、時間的校驗、和版本、方法等。
-
下麵一層叫泛化調用層,主要是把網關對外暴露的restful請求轉換成京東內部的協議,進行一個動態適配調用的過程。這一塊我們更多使用的是一些緩存的技術,線程隔離、熔斷等技術也都是在這一層實現的。因為有大量數據和協議的轉換,所以這一層用了多使用緩存的技術,我們網關層所有的數據都不會直接穿透到DB,而是采用一個叫異構數據的方式直接用緩存去做的。
泛化層中間有兩塊:
主動通知。主動通知很好理解,就是我們會通過這種TCP的下行通道及時通知到客戶端,發一些像京東賬戶優惠券或提醒等;
沙箱測試。沙箱測試主要是說我們在一些接口發布上線之前,進行一個外部的測試。
如圖,最右側部分是服務降級、日誌記錄、監控告警,這三個都是我們整個網關的支撐係統。服務降級是說當有些服務出現問題,第一時間把它降調;日誌是給我們排查問題用的;監控告警在下文會重點介紹,因為一個網關的可用性很大方麵是通過監控係統來完善的,沒有監控係統、沒有告警,就像沒有眼睛一樣,沒辦法知道任何事。
第三層:後端各種各樣的業務API(業務接口)
這些接口通過網關對外進行暴露。
整個網關大體上分為以上三層,最上麵的接入層、中間是網關的分發層,以及業務校驗、業務邏輯層,然後通過網關透傳請求到後端服務。除了這三層之外,我們再看兩邊的係統,都是我們整個網關比較核心和重要的支撐。
-
網關注冊中心。後端各種各樣的接口可以通過網關注冊中心對外進行發布,這個係統有一個類似管理界麵,隻要後端的API服務按照固有的協議進行一個編寫,如果格式OK的話上傳到管理後台,一鍵就可以發布到線上。當然接口發布之前會有一個測試。
-
OA鑒權中心。這一塊主要是做鑒權用的,像數據校驗層的很多簽名的校驗等安全校驗都是在這一層統一做的。
技術棧
我們的網關係統所涉及到的一些技術棧:
第一是接入層Nginx+lua技術;
第二是NIO+Servlet3異步的技術;
第三是分離技術;
第四是降級限流;
第五是熔斷技術;
第六是緩存,哪些地方該加緩存,哪些地方可以直接讀庫;
第七是異構數據;
第八是快速失敗;
最後是監控統計,這是整個高可用網關係統裏非常重要的一部分。
下文會針對這些技術所適用的場景進行深入探討和分析,包括我們用這些技術解決什麼問題。
先看網關整個線上的部署架構,先通過一個軟負載LVS進入到整個京東的網關,第一層是核心Nginx,經過核心Nginx之後就是後麵的業務Nginx,然後通過業務Nginx把我們的請求透傳到後端的服務器。
核心Nginx主要是前端流量的分配,比如限流、防刷都是在這層去做。下層是業務Nginx,主要的Nginx+lua的邏輯在這一層實現。這一層還有能減輕核心Nginx壓力、CPU壓力的作用,而且一些lua的應用邏輯,比如限流、防刷、鑒權、降級都是在這一層做的。
為什麼要加上Nginx+lua這一層?
相較於Tomcat等,Nginx其實是一個能扛特別大並發流量的服務器。基於這種狀況我們之前出現過問題,當這種並發流量特別大的時候,一旦後麵出現單個機有問題,哪怕你針對這個接口做了降級,但其實真正流量還是到了Tomcat層的JVM裏,當流量很大的時候,很難通過JVM去消化掉這塊東西。
這樣導致的結果是:當你的Tomcat出現問題了,你很難通過重啟去解決這個問題,因為流量會一直存在,這台Tomcat出問題了, 重啟完之後是把所有行動都釋放了,但是它們就像病毒一樣,會來回傳染,你重啟了一批,這批馬上又被傳染到。
Nginx天然就是這種NIO異步的方式,能夠非常好地支持大並發的業務需求。所以我們把一些核心的,比如降級、流控等,都放在這一層,讓它替我們在最前端把流量防住。
實踐 2 引入NIO、利用Servlet3異步化
第二個實踐是在Tomcat層引入了NIO,用了一個JDK7+TOMCAT7+Servlet3的配置,讓同步請求變得異步化,然後利用NIO的多路複用處理技術,讓我們能夠同時處理更高的並發數。
利用Servlet3異步化之後可以提升吞吐量,但單個請求的響應時間會略微變長,不過這種損耗是可以忍受的,因為這會帶來整個應用吞吐量的增加和靈活性的增強。還是非常值得我們使用的。
具體采用策略:業務方法開啟異步化上下文AsynContext;釋放tomcat當前處理線程;tomcat該線程被釋放,然後用於下次請求的處理,提高其吞吐量;在AsynContext環境中完成業務方法的處理,調用其complete方法,將響應寫回響應流。這樣可以提高tomcat業務邏輯的可能性,讓我們在這一層非常少的線程數就能處理更多的請求,而不至於當流量非常大的時候會被壓垮。
實踐 3 分離之術本節將在所有分離技術中挑兩個比較重點的進行分享。
請求解析和業務處理分離
第一個是通過NIO的方式,把請求解析的線程和後麵處理的業務線程進行分離。
請求由tomcat單線程處理,在NIO模式下可以用非常少量線程處理大量鏈接情況。業務邏輯處理和生成響應都是由另外的tomcat線程池處理,從而跟請求線程隔離。這裏的業務線程池還可以進一步隔離,不同業務設置不同的線程池。
業務線程池分離
第二個是業務線程池分離,就是通過一個線程的隔離技術,把不同的接口或不同類型的接口進行隔離。比如訂單相關的接口,拿20個單獨線程去處理;商品相關的接口,拿10個單獨的線程去處理,這樣的話就可以讓不同的接口之間互不影響,如果訂單這塊有一個出了問題,最多消耗它自己,不會影響到其他接口的線程的調用。
具體的線程隔離可以根據業務來指定一組線程的數量,這幾個線程是為固定接口準備的,當這個接口出現問題,它就把自己的線程數用掉了,不會去占用其他接口的線程,這樣起到了線程隔離的作用,讓單個API出問題的時候不會影響到其他。
實踐 4 降級降級主要是說當有某個接口出現問題,我們能夠把這個接口直接降調,讓它調用直接返回,不會用到其他應用。還有就是如果某一塊弱一點的業務邏輯出現問題,我們直接把這塊邏輯降調,不至於影響到其他的黃金邏輯。
降級怎麼做?
首先,降級開關要集中化管理,比如通過zookeeper推送到各個應用服務。這樣才能在出現問題的第一時間找到對應開關做降級處理。
一個基於開發降級的統一配置本身這個係統要是高可用的、支持多維度的緩存,比如我們如果用zookeeper實現,首先zookeeper會有數據庫存儲,再上麵會有一個本地緩存。再就是我們會有一個快照,如果zookeeper讀不到緩存,會通過快照去加載進來一些托底的數據,以保證開發一旦觸發之後能夠在第一時間響應。而我們的開關也不至於會成為其他係統的問題,它是非常弱化、非常薄的一層。
精細化流量控製
說完開關、流量控製和降級之後,我們來看通過多維度的流量控製和降級的策略,比如按照單個API或API+地域、運營商等維度進行控製。一旦出問題了,我們會把多種組合方式進行降級,還可以根據秒/分鍾級等不同維度進行流量控製,從而達到精細化流量管理。
優雅降級
說到降級,前麵說的更多的是技術層麵的,在業務層麵的話,我們也要講究優雅降級。我們不能說這個邏輯一旦建立之後就直接返回前端502,這肯定是不友好的。我們肯定會跟前端進行溝通,比如降級之後反饋給前端一個對應的錯誤碼,或者給用戶反饋一個提示等操作指令,這樣能夠讓用戶體驗更好一些。
惡意請求、惡意攻擊,惡意的請求流量可以隻訪問cache,惡意的IP可以使用nginx層的 deny進行屛蔽;
防止流程超出係統的承載能力,雖然會預估但總有意外,如果沒有限流,當超過係統承載峰值的時候,整個係統就會打垮。
實踐 6 熔斷
當我們的後端機構出現問題了,達到某個閥值了,係統就能夠自動進行關閉降級,這是熔斷的大體思路。我們會有更靈活的配置:比如當某個接口接連三次訪問超時或返回錯誤的話就自動熔斷;也可以是配置一些超時間,比如連續三次這種方法調用的性能都超過了50毫秒,就會自動對這個方法進行熔斷,熔斷之後就相當於降級了,再次調用的話會返回失敗,就是直接拒絕返回了。
熔斷之後還可以有一個設置:比如5秒或一分鍾之後出來一個半打開狀態,再次醒來之後,它會去試探一下當天這個服務是否已經OK了,如果沒有問題了,它就會去把你之前熔斷的API業務再次打開,能夠正常對外提供服務。現在有一些開源的實踐,通過這些實踐可以很好的做熔斷,當然根據這裏邊的思路,自己也可以實現,這不是特別複雜的事情。
實踐 7 快速失敗-鏈路中的超時
快速失敗是非常重要的一個實踐,不光是做網關係統,做其他係統也要記住,特別是調用量大的係統,比如注意到整個鏈條中的超時設置。這是我們每年在做雙11和618備戰的時候,都需要重點去review的一塊東西,包括我們平時在做開發的時候、每一次新模塊上線之前,我們都要重點去監控這一塊。我們會梳理所有係統對外的依賴,比如網關依賴於我們自己的一些業務的緩存、數據庫,更多的是依賴於後端數千個不同的服務。
這種涉及到網絡的,我們必須要設置超時間,因為像網關這種調用量比較大的係統,如果不設超時間,有可能它默認時間就是幾分鍾,這麼長時間,一旦有一個機構出問題了,有可能瞬間整個網關係統會全部雪崩掉,任何一個接口都不能對外使用,因為數據量很大,有可能你都來不及降級就已經被衝垮了。
監控統計是網關係統裏非常核心的一部分,隻有有了監控,有了報警,才能讓我們實時了解所有的運營情況、每一個API調用的情況。
監控目標
第一:保證7*24小時守護係統;
第二:能夠實時監控係統的運營狀況,比如哪個API是不是調用時間過長了?哪個API已經熔斷了?等等;
第三:統計數據,分析指標。比如一天過去了,每一個API調用情況有沒有超時?有沒有訪問的性能降低等;
第四:實時報警。因為監控是一部分,發現問題之後能夠第一時間通知到我們,讓我們能夠馬上處理也是讓係統更加健康的一個方麵。
監控範圍
監控的維度
-
第一層:硬件監控。比如係統的CPU內存、網卡等。
-
第二層:自定義監控。比如直接報警。
-
第三層:性能監控。比如每個接口的TP指標,TP999 TP99 TP90 TP50四種性能指標作為SLA的參考標準,還有可用率等,這個對於網關來說至關重要。
-
第四層:心跳監控。網關係統線上有很多機器,每個機器現在的情況怎樣?有沒有存貨等。
-
第五層:業務層監控。比如我們會有一些JVM監控,監控Nginx連接數等。
在京東內部有一個很完善的監控體係,叫UMP係統,能夠幫助我們做各個層級的監控。它主要是提供給我們一些類似於配置的文件,我們配置好之後就可以進行係統的監控,我們在做的時候會通過一些AOP代理的方式,對所有的方法進行監控。因為我們是網關,需要大量的後端透傳,網關因為是動態地生成這些接口,根本不知道有哪些接口,所以在動態生成接口的時候自動地AOP給它注入一個個監控,這樣的話就是每一個接口都能夠有一個監控。
說到監控不得不提的是,我們做網關係統就是做透傳的,後麵有各種各樣不同的接口、業務邏輯,每個業務邏輯和接口的性能都需要去監控,然後告知對方讓對方去整改的,所以我們除了把這些監控加完之後,有了問題要能夠通知到對應的負責人,包括我們自己。所以我們每一天每一周都會有郵件以報表形式發出,讓所有係統負責人都知道對應的機構的情況,比如性能是否有問題、是否需要整改等。
原文發布時間為:2017-11-9
本文作者:王棟
本文來自雲棲社區合作夥伴“數據和雲”,了解相關信息可以關注“數據和雲”微信公眾號
最後更新:2017-11-09 14:04:14