Spring Cloud Alibaba | Sentinel: 服务限流高级篇
spring cloud alibaba | sentinel: 服务限流高级篇
springboot: 2.1.6.release
springcloud: greenwich.sr1
如无特殊说明,本系列文章全采用以上版本
上一篇《spring cloud alibaba | sentinel: 服务限流基础篇》我们介绍了资源和规则,几种主流框架的默认适配,我们接着聊一下熔断降级和几种其他的限流方式。
1. 熔断降级
除了流量控制以外,对调用链路中不稳定的资源进行熔断降级也是保障高可用的重要措施之一。由于调用关系的复杂性,如果调用链路中的某个资源不稳定,最终会导致请求发生堆积。sentinel 熔断降级会在调用链路中某个资源出现不稳定状态时(例如调用超时或异常比例升高),对这个资源的调用进行限制,让请求快速失败,避免影响到其它的资源而导致级联错误。当资源被降级后,在接下来的降级时间窗口之内,对该资源的调用都自动熔断(默认行为是抛出 degradeexception)。
1.1 降级策略
我们通常用以下几种方式来衡量资源是否处于稳定的状态:
平均响应时间 (
degrade_grade_rt
):当 1s 内持续进入 5 个请求,对应时刻的平均响应时间(秒级)均超过阈值(count
,以 ms 为单位),那么在接下的时间窗口(degraderule
中的timewindow
,以 s 为单位)之内,对这个方法的调用都会自动地熔断(抛出degradeexception
)。注意sentinel
默认统计的 rt 上限是 4900 ms,超出此阈值的都会算作 4900 ms,若需要变更此上限可以通过启动配置项-dcsp.sentinel.statistic.max.rt=xxx
来配置。异常比例 (
degrade_grade_exception_ratio
):当资源的每秒请求量 >= 5,并且每秒异常总数占通过量的比值超过阈值(degraderule
中的count
)之后,资源进入降级状态,即在接下的时间窗口(degraderule
中的timewindow
,以 s 为单位)之内,对这个方法的调用都会自动地返回。异常比率的阈值范围是 [0.0, 1.0],代表 0% - 100%。异常数 (
degrade_grade_exception_count
):当资源近 1 分钟的异常数目超过阈值之后会进行熔断。注意由于统计时间窗口是分钟级别的,若timewindow
小于 60s,则结束熔断状态后仍可能再进入熔断状态。
注意:异常降级仅针对业务异常,对 sentinel
限流降级本身的异常(blockexception
)不生效。为了统计异常比例或异常数,需要通过 tracer.trace(ex)
记录业务异常。示例:
entry entry = null; try { entry = sphu.entry(key, entrytype.in, key); // write your biz code here. // <<biz code>> } catch (throwable t) { if (!blockexception.isblockexception(t)) { tracer.trace(t); } } finally { if (entry != null) { entry.exit(); } }
开源整合模块,如 sentinel dubbo adapter, sentinel web servlet filter 或 @sentinelresource
注解会自动统计业务异常,无需手动调用。
2. 热点参数限流
何为热点?热点即经常访问的数据。很多时候我们希望统计某个热点数据中访问频次最高的 top k 数据,并对其访问进行限制。比如:
- 商品 id 为参数,统计一段时间内最常购买的商品 id 并进行限制
- 用户 id 为参数,针对一段时间内频繁访问的用户 id 进行限制
热点参数限流会统计传入参数中的热点参数,并根据配置的限流阈值与模式,对包含热点参数的资源调用进行限流。热点参数限流可以看做是一种特殊的流量控制,仅对包含热点参数的资源调用生效。
sentinel 利用 lru 策略统计最近最常访问的热点参数,结合令牌桶算法来进行参数级别的流控。
2.1 项目依赖
<dependency> <groupid>com.alibaba.csp</groupid> <artifactid>sentinel-parameter-flow-control</artifactid> <version>x.y.z</version> </dependency>
然后为对应的资源配置热点参数限流规则,并在 entry 的时候传入相应的参数,即可使热点参数限流生效。
注:若自行扩展并注册了自己实现的
slotchainbuilder
,并希望使用热点参数限流功能,则可以在 chain 里面合适的地方插入paramflowslot
。
那么如何传入对应的参数以便 sentinel 统计呢?我们可以通过 sphu 类里面几个 entry 重载方法来传入:
public static entry entry(string name, entrytype type, int count, object... args) throws blockexception public static entry entry(method method, entrytype type, int count, object... args) throws blockexception
其中最后的一串 args
就是要传入的参数,有多个就按照次序依次传入。比如要传入两个参数 parama
和 paramb
,则可以:
// parama in index 0, paramb in index 1. // 若需要配置例外项或者使用集群维度流控,则传入的参数只支持基本类型。 sphu.entry(resourcename, entrytype.in, 1, parama, paramb);
注意 :若 entry 的时候传入了热点参数,那么 exit 的时候也一定要带上对应的参数(exit(count, args)),否则可能会有统计错误。正确的示例:
entry entry = null; try { entry = sphu.entry(resourcename, entrytype.in, 1, parama, paramb); // your logic here. } catch (blockexception ex) { // handle request rejection. } finally { if (entry != null) { entry.exit(1, parama, paramb); } }
对于 @sentinelresource
注解方式定义的资源,若注解作用的方法上有参数,sentinel 会将它们作为参数传入 sphu.entry(res, args)
。比如以下的方法里面 uid
和 type
会分别作为第一个和第二个参数传入 sentinel api,从而可以用于热点规则判断:
@sentinelresource("mymethod") public result dosomething(string uid, int type) { // some logic here... }
2.2 热点参数规则
热点参数规则(paramflowrule
)类似于流量控制规则(flowrule
):
属性 | 说明 | 默认值 |
---|---|---|
resource | 资源名,必填 | |
count | 限流阈值,必填 | |
grade | 限流模式 | qps 模式 |
durationinsec | 统计窗口时间长度(单位为秒),1.6.0 版本开始支持 | 1s |
controlbehavior | 流控效果(支持快速失败和匀速排队模式),1.6.0 版本开始支持 | 快速失败 |
maxqueueingtimems | 最大排队等待时长(仅在匀速排队模式生效),1.6.0 版本开始支持 | 0ms |
paramidx | 热点参数的索引,必填,对应 sphu.entry(xxx, args) 中的参数索引位置 | |
paramflowitemlist | 参数例外项,可以针对指定的参数值单独设置限流阈值,不受前面 count 阈值的限制。仅支持基本类型 | |
clustermode | 是否是集群参数流控规则 | false |
clusterconfig | 集群流控相关配置 |
我们可以通过 paramflowrulemanager
的 loadrules
方法更新热点参数规则,下面是一个示例:
paramflowrule rule = new paramflowrule(resourcename) .setparamidx(0) .setcount(5); // 针对 int 类型的参数 param_b,单独设置限流 qps 阈值为 10,而不是全局的阈值 5. paramflowitem item = new paramflowitem().setobject(string.valueof(param_b)) .setclasstype(int.class.getname()) .setcount(10); rule.setparamflowitemlist(collections.singletonlist(item)); paramflowrulemanager.loadrules(collections.singletonlist(rule));
3. 系统自适应限流
sentinel 系统自适应限流从整体维度对应用入口流量进行控制,结合应用的 load、总体平均 rt、入口 qps 和线程数等几个维度的监控指标,让系统的入口流量和系统的负载达到一个平衡,让系统尽可能跑在最大吞吐量的同时保证系统整体的稳定性。
在开始之前,先回顾一下 sentinel 做系统自适应限流的目的:
保证系统不被拖垮
在系统稳定的前提下,保持系统的吞吐量
3.1 背景
长期以来,系统自适应保护的思路是根据硬指标,即系统的负载 (load1) 来做系统过载保护。当系统负载高于某个阈值,就禁止或者减少流量的进入;当 load 开始好转,则恢复流量的进入。这个思路给我们带来了不可避免的两个问题:
load 是一个“果”,如果根据 load 的情况来调节流量的通过率,那么就始终有延迟性。也就意味着通过率的任何调整,都会过一段时间才能看到效果。当前通过率是使 load 恶化的一个动作,那么也至少要过 1 秒之后才能观测到;同理,如果当前通过率调整是让 load 好转的一个动作,也需要 1 秒之后才能继续调整,这样就浪费了系统的处理能力。所以我们看到的曲线,总是会有抖动。
恢复慢。想象一下这样的一个场景(真实),出现了这样一个问题,下游应用不可靠,导致应用 rt 很高,从而 load 到了一个很高的点。过了一段时间之后下游应用恢复了,应用 rt 也相应减少。这个时候,其实应该大幅度增大流量的通过率;但是由于这个时候 load 仍然很高,通过率的恢复仍然不高。
tcp bbr 的思想给了我们一个很大的启发。我们应该根据系统能够处理的请求,和允许进来的请求,来做平衡,而不是根据一个间接的指标(系统 load)来做限流。最终我们追求的目标是 在系统不被拖垮的情况下,提高系统的吞吐率,而不是 load 一定要到低于某个阈值。如果我们还是按照固有的思维,超过特定的 load 就禁止流量进入,系统 load 恢复就放开流量,这样做的结果是无论我们怎么调参数,调比例,都是按照果来调节因,都无法取得良好的效果。
sentinel 在系统自适应保护的做法是,用 load1 作为启动控制流量的值,而允许通过的流量由处理请求的能力,即请求的响应时间以及当前系统正在处理的请求速率来决定。
3.2 系统规则
系统保护规则是从应用级别的入口流量进行控制,从单台机器的总体 load、rt、入口 qps 和线程数四个维度监控应用数据,让系统尽可能跑在最大吞吐量的同时保证系统整体的稳定性。
系统保护规则是应用整体维度的,而不是资源维度的,并且仅对入口流量生效。入口流量指的是进入应用的流量(entrytype.in),比如 web 服务或 dubbo 服务端接收的请求,都属于入口流量。
系统规则支持四种阈值类型:
load(仅对 linux/unix-like 机器生效):当系统 load1 超过阈值,且系统当前的并发线程数超过系统容量时才会触发系统保护。系统容量由系统的 maxqps * minrt 计算得出。设定参考值一般是 cpu cores * 2.5。
rt:当单台机器上所有入口流量的平均 rt 达到阈值即触发系统保护,单位是毫秒。
线程数:当单台机器上所有入口流量的并发线程数达到阈值即触发系统保护。
入口 qps:当单台机器上所有入口流量的 qps 达到阈值即触发系统保护。
3.3 原理
先用经典图来镇楼:
我们把系统处理请求的过程想象为一个水管,到来的请求是往这个水管灌水,当系统处理顺畅的时候,请求不需要排队,直接从水管中穿过,这个请求的rt是最短的;反之,当请求堆积的时候,那么处理请求的时间则会变为:排队时间 + 最短处理时间。
- 推论一: 如果我们能够保证水管里的水量,能够让水顺畅的流动,则不会增加排队的请求;也就是说,这个时候的系统负载不会进一步恶化。
我们用 t 来表示(水管内部的水量),用rt来表示请求的处理时间,用p来表示进来的请求数,那么一个请求从进入水管道到从水管出来,这个水管会存在 p * rt 个请求。换一句话来说,当 t ≈ qps * avg(rt) 的时候,我们可以认为系统的处理能力和允许进入的请求个数达到了平衡,系统的负载不会进一步恶化。
接下来的问题是,水管的水位是可以达到了一个平衡点,但是这个平衡点只能保证水管的水位不再继续增高,但是还面临一个问题,就是在达到平衡点之前,这个水管里已经堆积了多少水。如果之前水管的水已经在一个量级了,那么这个时候系统允许通过的水量可能只能缓慢通过,rt会大,之前堆积在水管里的水会滞留;反之,如果之前的水管水位偏低,那么又会浪费了系统的处理能力。
- 推论二: 当保持入口的流量是水管出来的流量的最大的值的时候,可以最大利用水管的处理能力。
然而,和 tcp bbr 的不一样的地方在于,还需要用一个系统负载的值(load1)来激发这套机制启动。
注:这种系统自适应算法对于低 load 的请求,它的效果是一个“兜底”的角色。对于不是应用本身造成的 load 高的情况(如其它进程导致的不稳定的情况),效果不明显。
3.4 示例
public class systemguarddemo { private static atomicinteger pass = new atomicinteger(); private static atomicinteger block = new atomicinteger(); private static atomicinteger total = new atomicinteger(); private static volatile boolean stop = false; private static final int threadcount = 100; private static int seconds = 60 + 40; public static void main(string[] args) throws exception { tick(); initsystemrule(); for (int i = 0; i < threadcount; i++) { thread entrythread = new thread(new runnable() { @override public void run() { while (true) { entry entry = null; try { entry = sphu.entry("methoda", entrytype.in); pass.incrementandget(); try { timeunit.milliseconds.sleep(20); } catch (interruptedexception e) { // ignore } } catch (blockexception e1) { block.incrementandget(); try { timeunit.milliseconds.sleep(20); } catch (interruptedexception e) { // ignore } } catch (exception e2) { // biz exception } finally { total.incrementandget(); if (entry != null) { entry.exit(); } } } } }); entrythread.setname("working-thread"); entrythread.start(); } } private static void initsystemrule() { list<systemrule> rules = new arraylist<systemrule>(); systemrule rule = new systemrule(); // max load is 3 rule.sethighestsystemload(3.0); // max cpu usage is 60% rule.sethighestcpuusage(0.6); // max avg rt of all request is 10 ms rule.setavgrt(10); // max total qps is 20 rule.setqps(20); // max parallel working thread is 10 rule.setmaxthread(10); rules.add(rule); systemrulemanager.loadrules(collections.singletonlist(rule)); } private static void tick() { thread timer = new thread(new timertask()); timer.setname("sentinel-timer-task"); timer.start(); } static class timertask implements runnable { @override public void run() { system.out.println("begin to statistic!!!"); long oldtotal = 0; long oldpass = 0; long oldblock = 0; while (!stop) { try { timeunit.seconds.sleep(1); } catch (interruptedexception e) { } long globaltotal = total.get(); long onesecondtotal = globaltotal - oldtotal; oldtotal = globaltotal; long globalpass = pass.get(); long onesecondpass = globalpass - oldpass; oldpass = globalpass; long globalblock = block.get(); long onesecondblock = globalblock - oldblock; oldblock = globalblock; system.out.println(seconds + ", " + timeutil.currenttimemillis() + ", total:" + onesecondtotal + ", pass:" + onesecondpass + ", block:" + onesecondblock); if (seconds-- <= 0) { stop = true; } } system.exit(0); } } }
4. 黑白名单控制
很多时候,我们需要根据调用方来限制资源是否通过,这时候可以使用 sentinel 的黑白名单控制的功能。黑白名单根据资源的请求来源(origin)限制资源是否通过,若配置白名单则只有请求来源位于白名单内时才可通过;若配置黑名单则请求来源位于黑名单时不通过,其余的请求通过。
调用方信息通过 contextutil.enter(resourcename, origin) 方法中的 origin 参数传入。
4.1 规则配置
黑白名单规则(authorityrule)非常简单,主要有以下配置项:
resource:资源名,即限流规则的作用对象
limitapp:对应的黑名单/白名单,不同 origin 用 , 分隔,如 appa,appb
strategy:限制模式,authority_white 为白名单模式,authority_black 为黑名单模式,默认为白名单模式
4.2 示例
比如我们希望控制对资源 test 的访问设置白名单,只有来源为 appa 和 appb 的请求才可通过,则可以配置如下白名单规则:
authorityrule rule = new authorityrule(); rule.setresource("test"); rule.setstrategy(ruleconstant.authority_white); rule.setlimitapp("appa,appb"); authorityrulemanager.loadrules(collections.singletonlist(rule));
下一篇: 人生中第一次懂得了‘人心险恶’