美团外卖系统架构演进与稳定性的探索

相信大部分人都用过美团外卖,尤其是在每天的两个吃饭的高峰期。美团外卖从创业到现在经历了数次的迭代,不断的适应需求,提供更好的体验。ArchSummit深圳2016邀请美团外卖的架构师曹振团,分享他从美团外卖一开始加入至今经历的数次的架构核心的演变。

曹振团:非常高兴在这样美好周末的上午跟大家分享一下技术的事情,今天给大家分享一下美团外卖业务发展的历程、我们架构的演进和我们碰到的稳定性挑战以及在这些过程中我们的一些实践经验。

简单先自我介绍一下:我大概06年出来工作,那时候我们在做移动增值的方向,那个时候也是一个风口,当06年大家在用短信拜年的时候我们做彩信,我们的拜年短信是可以鞠躬的;之后就转战到网易,在网易的时候也是在争抢移动互联网的入口——做应用市场,那时候也打的一片火热;13年时加入了美团,也就是现在的新美大,进入美团的前半年时间里面一直在摸索一些新的事情和新的方向:我们到底要做什么?大概在2013年的10月份我们决定做外卖这个事情。

下面简单介绍一下外卖现在的情况:我们从2013年10月份做外卖的事情,是从餐饮外卖开始的。经过两年多的发展,我们不光可以提供餐饮外卖,也可以提供水果、鲜花、蛋糕、下午茶甚至是超市和便利店一些外送的服务。我们做外卖过程中,我们发现用户对外送的体验有两个关注点:

第一个是品质,用户对品质要求非常高,送过来的饭不能凉了,不能不好看,送餐员身上脏兮兮也不行会影响食欲的;

另外一个关注点要准时,一定要按时间送到,比如我要求按12点送到就一定要按12点送到,不能早也不能晚,如果早为什么不好呢?11点40送到不行,我们正在跟老板开会,一会一个电话太烦了;12点20送来也不行,太饿了,我都饿晕了,中午也有很多的安排,吃完饭可能要睡一会,中午不睡下午崩溃呀。

我们发现如果要把用户体验做到极致的话,做得足够好能保证用户得到足够好的体验,我们就要做专送的服务。所以我们正在做的是美团外卖的平台和我们自己的配送服务。

我们从2013年10月份确立做这个事情,到11月份正式上线,到14年底11月份时突破日订单一百万单,15年的5月份大概突破了每天两百万单,然后大概15年12月份做到每天三百万单,今年5月份的时候我们做到了四百万单每天。我们希望在响应国家大的号召下,我们做供给侧改革。我们希望给大家提供更多的、优质的、可选的外送服务,希望未来的某一天做到每天1000万单。

介绍一下我们的业务,也介绍一下在做这个业务过程中技术架构的演进的历程。我们在开始做外卖的时候发现,那时候都是通过电话来点外卖的,小餐馆的老板发传单,我们用传单上的电话给老板打电话下单。我们在思考我们是不是可以把电话点餐的事情变成网络点餐,让用户只需要在网络上点点点就行了,不用打电话。

于是我们在公司周围的商家摸索这个事情,我们早上下了地铁在地铁口发传单。我们怎么能够最快地去验证这个事情是否可行?我们提供了一个非常简单的Web版本和Android的App,对于商家那一边我们没有提供任何软件的服务,用户在我们平台里下单以后,我们再打电话给商家下单,有时候我们是发传单的,有时候我们是接线员,用户在我们平台上下单,我们再打电话给商家下单,然后再去写代码。那时候基本上没有太多架构考虑,就是怎么快怎么来,以最快的速度去把我们的功能给变上去。

这个事情我们验证之后发现确实可行,我们发现“懒”是极大的需求。因为懒得去换台,所以发明了遥控器,懒得爬楼梯就发明了电梯,人都是很懒的,因为懒得打电话订餐,所以在网上点点点就好了。我们发现这是极强的需求,于是我们就考虑规模化,因为只有规模化之后边际的成本才可以变低,这套软件在一个区域可以用,在一个城市可以用、在全国也可以用,我们的开发成本就是这么多,所以我们在尝试在做规模化。

这个过程爆发性产生了非常多系统,我们在用户这边提供各种APP,商家这一边我们也开始提供服务。我们给商家提供PC的版本、App版本,还给商家提供打印机。打印机是跟我们后台是联网的,如果用户在我们平台上下单,我们会直接推送到这个打印机上,这个打印机可以直接打出单子,同时可以用林志玲或者郭德纲的声音告诉你:“你有美团外卖的订单请及时处理”,这是对商家非常好的效率提升;同时我们给自身运营的系统加了很多功能,我们有上单、审核等各种各样的系统等爆发性地产生了。

在这个阶段我们业务发展特别快导致我们堆了特别多的系统,这个时候也并没有做非常清晰的架构,就是想把这个系统尽快地提供上线。这时候所有的表都在一个数据库里,大家都对这件事情非常熟悉,我可以做订单,也可以做管理系统。

但是这个事情在规模化、用户量迅速上升之后给我们带来非常大的困扰,因为之前我们是有很多技术欠债的,在这个阶段里面我们就做了重大的架构调整,在这个调整里主要说两点:

第一点就是拆

我们把很多耦合在一起的服务做服务化拆分,服务与服务之间通过接口来调用和访问,服务自己保护自己的库:不能访问别人的库,否则叫出轨;你的数据库也不能被别人访问,否则叫绿帽子。

第二点是中间件

我们在这个阶段引进了很多中间件,包括了在开源基础上自研的KV系统,我们也引用了搜索Elasticsearch,我们通过Databus抓取数据库的变更,把数据库的实时变更刷到缓存和索引里,让这个中间件做到稳定可靠的服务。

总结一下的话,我们的演进大概分了这样一个阶段:整体上有一个多逻辑耦合在一起的情况按服务化拆分出来,每一个服务独立专注地做一个事情,然后我们再做应用级的容错,到现在我们在做多机房的容错。

在缓存上,我们早期使用了Redis,在Redis Cluster还没发布之前我们用了他们的Alpha版本,当然也踩了很多坑。后来我们用了自研的KV系统,最早的时候我们把所有业务的KV都是共用的,这个也有很大的问题:如果所有的业务共用的KV集群,其中某一个业务导致这个KV集群有问题的话,所有的业务都受影响。后来我们也做了每一个业务拆分自己专用的KV集群。

在数据库这一层上,基本上是把一些大表的查询、对数据库有较大伤害的查询变成了高级的搜索,在数据库和应用层之间加了中间件。在360开源的Atlas基础上做了我们自己的定制,这个中间件有个好处:我们对数据库的变更对于业务层是透明的,比如说觉得能力不够要扩容,我们加几台从库,业务方是无感知的,而且我们会做SQL的分组,即数据库的分组,哪些SQL到哪个数据库上,到主库还是从库上去,我们业务是不用关心的。

下面介绍一下做外卖这个事情上遇到的挑战:

第一个挑战,外卖这个事情具有一个典型的特点,就是聚集在中午和晚上两个吃饭的高峰期,这天然就是非常集中的秒杀的场景,因为大家会集中在11点10分到11点半去下单。我们在高峰期的时候,有一分钟接进2万单的巨大流量;

第二个挑战,大家理解送外卖是一个很简单的事情,我点了餐,送过来,我愉快的把它吃掉就结束了,但是做外卖的事情上我们发现确实蛮复杂的,因为我们发现用户要下单,要支付,我们还要调度一个配送员,我们找一个最快最合理的骑手,让他到时间取餐送过去,同时还要给这个骑手最好的路径规划,告诉他走这条路是最快的。所以整个是一个非常复杂的过程,有非常非常多的服务。下面中图是我们服务治理的情况,是服务之间错综复杂的调用情况;

另外,外卖还是快速发展的阶段,对我们的挑战是迭代太快了,你可能要频繁的发版,就有稳定性的风险,可能有Bug,可能有测试不全的情况。另外是项目周期短,业务发展很快有很多业务需求正在排队,架构优化的工作可能排不上去,甚至做技术架构设计的时候可能有一些折中,这是极大的隐患,我们把它叫技术欠债。我们有一个列表记录下来这些技术欠债,会记清楚说这是一个什么样的条件下做的方案,它在什么情况下可能会有哪些问题,需要在什么时候必须去做哪些事情;另外一块在监控的压力也很大,因为业务变化非常快,你今天是这样设置监控规则,明天业务又变了。

介绍一下我们对于稳定性的定义,我们也是拿四个“9”来衡量稳定性,但是我们分别用于两个指标:系统可用性和订单的可用性。

系统可用性四个"9"意味着全年的宕机时间不超过52分钟,我们是按季度考核的,相当于一个季度系统宕机时间不超过13分钟;

另外一个维度订单可用性也是四个"9",意味着我们一个季度是一亿单的话,这个季度的订单损失不能超过1万单,而我们高峰期一分钟就接近两万单,因此只要这个系统有问题,我们这个KPI就无法完成。

我们还是要保证四个"9"的可靠性,而我们怎么去做:我们从四个阶段来扎实地做这些事情:一个是日常运行,二是事前预警,三是事故处理,四是事后总结,我会详细地介绍这四个环节:

一、日常运行

首先在日常运行里面,我们要做好稳定性的架构设计,这里有几个原则:

第一个是大系统小做

我们不希望做一个非常大的系统,它什么都能做,我们希望做小的系统,非常专注,功能相对独立。我们先把功能相对独立的系统拆开,在早期发展过程中,你们看我们有一个系统它什么都能干,它其实是一个Web项目,还提供了Web的服务,同时还提供了App的API服务,它还消费消息队列,还是Job的执行者,这就带来一个问题:你消费消息的逻辑发生变化了,你就要去发版,其实别的功能是没有变化的,发版就会影响到其他的功能。当我们把几个系统拆开,它就是四个独立的系统;

第二个原则是依赖稳定性原则,你提供的服务一定是稳定可靠的

这里希望是将易变的和不变的地方拆开。举个例子,对于商家的服务,对于C端的用户和服务来说,用到最大的场景就是GetById,就是知道这个商家的信息就好了,但是我们还有很多对商家管理的服务需求,比如说商家符合什么条件才能上线,需要什么过程才能改他的菜品,这些管理的功能是经常变化的,对于读取的信息是不变的,于是我们把这它拆开,把它变为读的服务和管理的服务。管理的服务可以随时发版,没有关系,读的服务是非常稳定的,基本不发版;

最后一个原则是设计这个稳定性的时候需要考虑用户的体验

需要考虑在系统出现问题的时候用户怎么办?相信很多同学都有这个体验:可能APP上突然有提示失败、服务器异常、空,不知道什么情况。我相信用户遇到这种情况一定会不停刷新的,这时候如果后台已经有问题的话其实是糟糕的事情,所以设计的时候要考虑到在异常情况下用户的体验和用户如何引导。

日常运行里面,另外一个工作是做例行的稳定性巡检

比如说我们做专项的巡检

对DB来讲,我们每个月要做DB容量的Review,我们看哪些表是大表、读写的QPS以及它的容量,以及未来某一天它能不能支持业务的发展;

我们会做静态的梳理

我们按场景梳理,例如首页、Banner、列表页,这些场景用到哪些服务,这些服务又用到了哪些服务,这些过程中,它们对下游的调用是否存在放大的情况。有一些情况是假的高并发。比如说有一个服务是说告诉商家今天有几个新订单,这个功能很简单,就是在前端页面去做轮询,这个过程其实80%-90%的查询是无效的,因为一旦有新订单我们就会推送到商家,商家就会及时地处理掉,查这个请求其实是无效的,这么多无效的请求去查订单的服务,最终还要落到数据库上,这是假的高并发,这里我们在前面加一层缓存,把到数据库的这一层假的高并发给干掉;

另外一个例行的工作是对指标的巡检

我们有许多的监控指标,尤其是关注它的尖刺,这些尖刺也不会放过。

对于平时来讲,给我们增强稳定性最可靠的信心就是在线压测,我们和其他大厂差不多,我们也在做在线压测这个东西,我们有一个在线压测的平台。我们希望通过压测来发现什么呢?首先发现系统里面的性能瓶颈,到底哪个系统是里面最弱的,以及我们要知道系统服务的上限和能力。

另外更关键的是,我们需要通过压测来验证我们的监控和报警机制是否生效的,可能很多时候大家都说我们配置了非常完整的监控方案,但是它可能不生效,一旦不生效就惨了。另外,我们要通过压测指导我们报警的警戒线是怎么设置,到底CPU是设置是30%还是70%,什么时候该报警,我们就通过压测来确立。

这个压测告诉我们指导意见,警戒线设置到哪个位置是给你留有充足时间的,如果你的报警发生之后马上挂了,其实报警是没有用的。我们可以通过压测来要设置警戒行动线,到这个时候我们要考虑和关注这个问题,留给稳定性处理有足够的时间。

我们怎么做呢?我们把线上的流量经过日志录取下来,把录取的流量放到我们的压测平台里,这是对于读请求的。对于写请求的,我们做一些事务的模拟,我们有一些模拟的脚本伪造一些根据我们场景做的数据。这些数据再经过一次染色,把真实数据和测试数据隔离开,经过我们异步阶梯加压的模块,我们先通过异步的方式把它迅速打起来,我们可以把量打地非常高;另外我们是通过阶梯性地打,我们不是一次打到2万,我们可能先到5000,然后再到9000,然后打到15000,然后再持续10分钟,我们对这个监控的流量施压过程和跟我们监控指标关联起来,我们做压测之前先看和哪几个指标关联,哪几个指标到了什么阈值就自动中止压测,毕竟我们是在线上做这些事情,不能对真实线上的情况产生影响。对于其他依赖的服务,比如说支付,这些真的不能压到银行去,外部的服务我们做了一些Mock。

二、事前预警

对于事前预警阶段,如果真的有事故发生我们希望更早曝露出来,触发报警,然后有充足的时间去应对这些事情,我们在这个地方在事前预警阶段我们有一些监控心得:

首先是有分层的监控:有系统级的监控,例如性能指标的监控,还有业务监控,我们还有平时健康度的分析,我们的应用是不是健康的。

我们分享一下在业务监控的想法,业务监控其实是最让你放心的,你有一个业务大盘,这个大盘如果有一个波动你就立马发现了,说明现在可能会有影响,你可能会收到报警,例如什么CPU的报警,你去看大盘,大盘可能说没有什么影响,这样你不会那么慌。

另外,我们系统里面把订单相关的所有信息和重要节点做了日志的输出,日志通过flume收集到Kafka再到Storm里,我们在Storm里对这些日志进行汇聚,汇聚的结果放在HBase里,在这些结果里我们有几个非常好的应用:

例如首先只要告诉我一个订单号或者手机号,我可以查到这个订单走到了哪个环节,到了哪个服务的哪个服务器挂掉了,解决这类问题非常的方便;

另外我们还可以把这些指标做成监控曲线,比如说你要下单,下单量是这么高,到了接单的环节它出现了下降,接单这个服务可能关联的ABC三个服务:可能有商家、PC、打印机的接单,到底是哪个服务出了问题导致了大盘的下降,我们的曲线可以非常方便地看出来。

三、事故处理

还有可能有一些意想不到的事情发生,真的出现了事故怎么办?第一原则就是及时止损。我们知道发版是导致稳定性变化的第一因素,如果立马确定是由发版引起的这次事故,最快速最有效的方法就是回滚。另外可能还有一些流量异常,对于流量异常我们有限流的模块,我们提供了三种限流的策略:

第一种是防刷的,防止用户频繁刷新导致后台的流量继续放大;

另外一个策略是等待+限时的服务,用户其实在用我们平台的时候,用户确实是需要选的,可能要选来选去才能下单,对于这些服务,我们希望说你愿意等一段时间我们可以提供,比如说你愿意等10秒钟,我给你提供20分钟的服务,这段时间应该是可以下完单的;

还有一种策略是对单机的QPS保护:我们压测验证的时候这个服务单机能达到500QPS是稳定可靠的,再往高有问题的话,我可以启动这样一个保护,确保你能够以最大的服务能力提供服务而不至于挂掉。另外在单机QPS保护中我们需要把关键的路径去放过,你真的不希望用户在下单、支付的这些路径把它干掉或流空掉,这些服务我们就用白名单的方式放过。

四、事故总结

事故发生之后,我们需要对事故做一个非常深刻的总结。这里面有几个非常强的要求,第一是必须找到根源,根源我们采用5whys的分析方法,一定要追踪到最根本的原因,从现象开始追踪。另外去要核算清楚这次造成多少损失,因为我们要算我们的稳定性。还有一个方面,你要对这次系统出现问题的过程、你处理的过程和中间的流程进行总结,看哪些地方可以优化。

我建议的做法是:我们需要把这次事故处理的过程详细记录下来,它可能是需要精确到分钟的,比如说某一分钟谁跟谁做了什么动作,这对我们总结很有帮助。因为有可能事故处理过程本身是有问题的,比如说你去扩容花了30分钟时间,这是有问题的;比说你在处理过程中做了错误的决定也是有问题的,所以我们把过程中做了详细的记录。我们对于这个事故的总结和Review,我们希望能看到什么?在这个总结里面,我们希望看到到底哪里出了问题,我们能不能更快的发现它,将来如果再发现,能不能比现在处理的更快一点。

讲完这些处理原则,再介绍一下我们做这个事情的实践。我们对稳定性的要求是极高的,每一个订单的损失我们非常敏感,我们就有一个实践的动作:就是力保关键路径不挂,我们要保住订单,那要保住和订单交易相关的所有路径不能挂,所以平时我们就梳理出了和订单交易的关键路径,从用户下单、从用户开始选门店,然后开始选菜,然后下单,然后到配送完成,这个过程里边每一个环节关联了哪些服务,这些服务都应该具备有降级的功能。

比如说Rank服务,用户首先打开我们App的时候,我们就会给他最附近的、可以配送到的一些商家,这些服务会给用户之前的购买记录来做推荐,我们会给他更好的排序。如果我们Rank的服务出现问题了,我们可以迅速地将这个Rank的服务给降级掉,改成默认按销量去排序,这样用户也是可以选餐的。所以这个环节里面的每一步我们都可以降级的,从而保证在下单这个关键路径上服务都OK,其他服务可以接受它的挂掉。

另外,预案的建设,你永远需要想一下你将来可能发生什么,如果发生这些事情的话,我们该怎么办?所以你在做这个事情之前就要去考虑,我们认为性能是功能的一部分,稳定也是功能的一部分,而不是大家做这一次技术方案设计,做完之后再来优化性能和稳定性,我们需要在做这个架构设计的时候考虑到性能和稳定,它们是产品功能的一部分,同时也要考虑到如果性能稳定性出现问题,用户体验是怎样的,用户不希望看到很傻的提示。

所以我们在功能设计的时候,就考虑到了出现这样的情况我们可能要降级,这个降级的方案可能是一个开关,就会有非常多降级开关,有些情况下是更复杂的场景:如果这个情况发生了,我们可能把这个开关和那个开关给关掉,这是我们的降级管理平台,我们真的把一个降级开关给做成了一个开关,就是开启和关闭,同时我告诉你开启意味着什么、影响着什么。

再介绍一下这个平台里面我们有对灰度的管理,有对压测的管理,有对健康度的分析,另外有一块我们称为核按钮,即如果事情发生之后你要保住的底线,如果我们的系统出现问题,商家不能接单或者配送无法送出的话,用户下的这些单子都会被取消掉,这个体验是很糟的。我下了单,然后5分钟你告诉我商家不能接单这个订单被取消掉了,我忍了我换了一家,结果又被取消了,这会骂人的。如果商家不能接单,就不要让用户下单,如果这些情况发生,我们就迅速启动核按钮,把我们筛选的这些不能接单的商家迅速变为休息,可以保证用户向可以服务的商家去下单。

在整个实践的过程中,与稳定性斗智斗勇的过程中,我们总结了非常多的流程,我们叫做标准操作流程SOP,这些流程涵盖了从需求、开发、测试、上线、监控、故障处理的每个环节,每一个环节都是标准的、非常严格的、经过认真思考的流程来供大家参考的,一定要按照流程来操作。为什么这样做?

给大家举个例子,按照这个步骤走是值得信赖的,每一步都有非常好的预案与系统的配合。比如说出现事故,大家是很慌的,因为那么多人在投诉、那么多人在等着说不能点餐了,为什么,美团外卖怎么了?然后我们处理事故的同学说:你不要慌。怎么可能呢?那么多用户在投诉,老板还在后面问你怎么样了,什么时候才能处理好,怎么可能不慌呢,臣妾做不到呀。这个时候你肯定很慌的,这个时候你还要把很多问题考虑清楚几乎是不可能的,有些同学说我这里需要这么做、我需要写条SQL,结果忘了Where的语句,所以你在非常紧张的情况下根本想不全这件事情的,那怎么办?我们只能提前想好,如果会出现这种情况我们就执行这条SQL,然后放在那里经过无数人的Review和实验,它是可靠和可以被执行的。所以,我们在整个过程里面收集了非常非常多的操作流程,每一步都有非常严格的要求。

我们梳理完了这些流程,希望把这些流程变成自动化的,否则人工操作的话,我们是可以要求大家严格执行,但是毕竟也是效率低下的,我们需要把很多的操作变成自动化。举个例子,下图是我们发版的流程,看上去还蛮复杂的,一共有10步,我们有非常多的要求,你在发版之前需要验证哪些事情,发完版之后要验证哪些功能,最重要的是你要去评估,你要去评估有什么影响,你对下游有什么影响。更重要的是,我们对每次发版都一定要有回滚措施,就是应急预案,你要回滚到哪个版本,如果是一个大的项目,大家一起联合发布的,是怎样的回滚过程,谁先操作谁后操作。对于每一次发版,没有预案是不允许发布的。

大家可能会说,我要改库、我要改表,我已经把表结构变了,还要写数据,这时候无法回滚,回不去了。那不行,那是不可能的,你一定有办法把它回退过去。另外,我们有每一次的降级方案和灰度的策略,如果是这一次发版引发的故障的,发版之后整个过程做一次非常详细的整理,到底哪些地方出了什么问题。

在处理的过程中有几句总结的话跟大家分享:

第一句话:你要想稳定性做的非常可靠,灰度、灰度、还是灰度,没有别的方法 ;

你不要把所有的量去验证这个事情。我们对于灰度,可以做到按照城市、按某个功能、按URL某个参数来进行灰度,也可以按照一定流量的比例,比如说先灰度1%,然后到50%,然后到100%。

另外我们对于发版是有很强要求的,我们有一个发版的时间窗,周一到周四的下午两点到四点,其他时间是不允许发版的,如果你要发版你要提申请和审批。为什么这么做呢?因为我们外卖特点就是中午流量非常高,晚上流量偏低。我们之前发现其实兄弟们很辛苦,非常辛苦的写代码,写到晚上八点,终于写完了开始发版,然后测试,到十点多又有十几台服务器要发布上去,还要回归这些功能,到11点终于发完了,一身疲惫终于可以回家了,然后回去休息。第二天早上十点钟一个电话打过来,出问题了,怎么办?到底去公司还是不去呢?别去了,赶紧在家看吧。因为第二天中午是非常高的高峰,我们不希望用中午这么大的量来验证,我们希望晚上来验证,晚高峰虽然比中午的高峰低很多,但是也是一个非常大的高峰,我们用这个流量来验证,所以我们把发版的时间调到下午,不要在晚上发版,这样很累可能想不清楚,和你关联的其他同事都不在,很多事情也无法处理,所以我们下午来发版,这样会很稳妥,大家都在,通过晚上的高峰来验证,如果没有问题,第二天也很稳妥很安心的,如果有问题则晚上进行压测;

第二句话:慢查询往往闯大祸

慢查询是非常讨厌的事情,而且它的出现可能会有非常大的危害,慢查询把一个库打挂的话,我们负载均衡会跑到其他库也继续打挂,然后所有都挂了,解决数据库挂了的问题是非常耗时的,所以对SQL有极高的要求,在我们的实践里面我们不允许写join,不允许写like,每一次SQL都有Review,上线的流程里面会记录这次上线这次SQL是谁Review的;

第三句话:防御式编程,不要相信任何人和服务

别相信你的下游说,我就调你三次,你放心吧,没事的。别信,肯定有鬼,你要做好对自身的保护,也不要相信下游说别人的提供的服务放心地使,哥向你保证五个9的可靠性,没有一个服务能做到100%的可靠的,这是必然的,即使是5个9,也有损失的时候,别相信他,要做好对下游的依赖和熔断;

第四句话:SOP保平安

我们把所有的流程都变成标准化流程,这比拜大仙还管用,有时候开玩笑说发版之前没有拜一拜所以挂了,其实不是,而是因为你没有按照标准流程来操作所以挂了,如果每一步都严格按照标准流程来做,它是可信赖的,是不遗不漏的,保证做到方方面面;

最后一句话:你所担心的事一定会发生,而且可能马上会发生

最近上了一些功能,你说好像这个地方可能会有问题,你最好赶紧看,也许马上就会有问题。所以我们建议做例行的巡检,定期地对你的服务、服务的指标、依赖的情况,有一天你去看发现突然多了一个服务,可能你还不知道。另外对DB、KV这样一些中间件做例行的巡检,及时的发现这些里面可能存在的问题。

Q&A

提问:老师您好,我想问一下,因为之前您也说您在Cache的处理上有自研的自己的KV的中间件,是由于业务的考虑还是Redis本身有什么瓶颈?

曹振团:我们最早用的也是Redis,有Redis Master-Slave也有Cluster版本,最后用了我们自研的KV系统。首先大家知道Redis有一个单线程的问题,我们认为一个开源系统需要在大量业务的验证下才可以被正确的使用。还有我们对于业务的考虑,Redis是没有支持多机房的,我们对多机房还要做处理,例如在这些组件里加上容错的方案,如果这个集群挂了,备用的集群怎么切过来,这是我们考虑的主要因素。

提问:您好,我问两个问题。第一个问题是刚才听你讨论系统稳定性的时候一直强调“灰度”,我想请教一下,美团在灰度的方面能具体谈一下吗?比如说按城市和各种维度处理流量,这具体是怎么实现的。第二个问题,美团自研的KV系统,我想了解自研这样的系统大致的投入是多少,比如说多少人、多少时间,谢谢。

曹振团:先回答第一个问题。灰度方面,我们首先从入口开始灰度,我们的Web服务用的Nginx,在Nginx上用了Lua的模块做了路径的解析,比如说是Cookies或者参数里面含有某些值,我们就可以去灰度。首先Nginx可以做upstream分组,如果包含这个关键值的或者在Cookies有这个值的我们就到这个灰度的分组里去,这样就可以做到按城市、功能或者流量百分比做灰度。另外,我们Web服务的灰度,我们对其他的RPC服务,例如大家熟悉的阿里的Dubbo,我们也有自己基于Thrift研发的自研RPC调用的框架,这些框架里面提供了分组的功能,这样可以和前端的流量进行配合,在Nginx区分出来的这些流量这个灰度里面这些流量也可以打到后面RPC的灰度里面,整体可以做到从上游到下游一直的灰度,在DB上我们加了Atlas这个组件,它是支持分组的,所以可以整体灰度下去。这是第一个问题。

第二个问题,对于KV的开发投入了多少精力。首先,这是复用我们美团集团里面的技术组件,我们有专门技术工程部做技术组件的研发,大概投入三四个人做这个事情。时间的话,因为它一直在迭代,到现在我们还在加一些新的功能。

提问:我这边有一个问题,你刚才提到SQL慢查询的问题,所有的SQL都没有Join,如果业务比较复杂,有一些冗余数据,你怎么做到所有SQL都没有Join的?

曹振团:首先大家一致地认为,大的查询对性能有极大的危害,还有一些服务确实要做到分库分表,分库分表完了也没法join,表已经到另外一个库里了,对于这个问题怎么解决呢?首先从业务上考虑,从业务上就需要把这个功能给拆开,不要用复杂的查询去做到,可能你的业务上会稍微复杂一点,需要用几次RPC组合出来的。另外一个做法,我们会用异构数据库的索引,最终的解决方案是做到Search里面,用搜索引擎去做。

提问:您好,你们交易的稳定性目前是否有类似多数据中心异地多活的这种,还有现在移动网络很不稳定,即使是4G情况下,网络层怎么保证交易稳定性呢?比如说机房网络断了或者专线挂了。

曹振团:对于多中心异地多活这种情况我们正在建设,其中多中心异地多活最大的挑战,首先如果是异地机房的话时延是很大问题,而且从业务到DB都得做好分组,比如这个分组要打到杭州的机房去,北京这个分组打到北京这个机房去,然后这两边数据通过异步方式对齐,这个事情我们正在做。

另外你说的网络问题,如果你用4G,很多时候会碰到被运营商劫持等乱七八糟的事情,可能得不到正确的节点。对于这个情况我们在尝试自己的HTTP DNS,以及一些直连的服务,类似腾讯的维纳斯,这是一个TCP直连过来的,不存在要解析这个域名再被运营商劫持的情况。

提问:我想请问一下,美团现在做派单,因为派单需要合理及时的骑手,美团现在怎么做到的?另外还有线路规划的合理性的问题。

曹振团:骑手调度是非常复杂的过程,因为是实时动态变化的,骑手可能走到这个位置,而且手上可能有别的单子,可能要先去送那个地方,这是非常复杂的过程。这里简单介绍一下,我们有自己的路径规划的服务,首先知道他在什么位置、走哪条路更方便,因为我们是骑手,不能走车的路,而且也不能像行人一样走天桥。另外我们有一个仿真的试验平台,我们会把每天派单的情况放到仿真平台去跑,我们去比对说这个调度是不是最优的方案,有一个仿真的平台去做这样一个事情。

另外性能方面的问题讲起来就比较多了,首先你得定义一个标准,你对性能的要求是什么,我们的标准是平均响应时间不能超过50毫秒,到 TP95的响应时间不能超过300毫秒,我们从上到下一致按这个时间来设置,如果你的服务不能在300毫秒返回我就不要了。

提问:曹老师你好,按我理解咱们这种互联网整个行业其实一切追求效率优先,无论是版本发布还是后续整个开发的流程,我听您说美团更多强调按照SOP标准操作流程,这就会产生在整个开发、上线和应用过程中会有很多流程,我个人认为会大幅降低它的效率,虽然稳定性、安全性有很大提升,在这一块是不是咱们已经可以实现把绝大部分工具化和平台化呢?

曹振团:确实给大家介绍了我们非常庞杂的SOP,大家这么理解:一些小团队照着这么做确实会效率低下,但是我们自己的服务现在很多时候没有办法自己独立完成一个功能,很难自己完成一次版本开发,必然要涉及到用户端怎么做、商家端怎么做、运营端怎么做,整个项目中还要考虑到配送端怎么做,这是非常复杂有很多部门沟通和协调的事情,如果这个时候没有一个流程就会很乱,这个流程是对稳定性极大的保证,这是我们坚持的原因。

但是我们也考虑到了对效率的影响,要按那么多步骤去做,还需要在表里面填那么多项,还要Check一下,确实对效率有影响,但是我们把这些事情做成自动化的,比如说我们有发布系统,在发版的时候只要打勾就行了,并不是说你要在Wiki上去记录,这个事情例如这个SQL要求谁来Review,这次发版的Pull Request代码谁来Review,这个过程谁来验证,你只要选择下一步它们就会到对应的同事那边去。

提问:这里面是自动化或者监控这种是很容易搞自动化的,但是像代码的具体的Review数据库的一些自动检查等等实施起来成本特别高或者完全实现不了,我们这一块主要是依赖人工还是自动化的工具?

曹振团:现在是人工加半自动化,对于SQL的Review我们要看你用了哪一些SQL,这里会有系统会直接提交到DBA那边去。

你可能感兴趣的:(美团外卖系统架构演进与稳定性的探索)