拉钩教育高薪训练营学习笔记——分布式理论与分布式架构设计理论

1. 分布式架构介绍

分布式系统是一个硬件或软件组件分布在不同的网络计算机上，彼此之间仅仅通过消息传递进行通

信和协调的系统。

通俗的理解，所谓分布式系统，就是一个业务拆分成多个子业务，分布在不同的服务器节点，共同

构成的系统称为分布式系统，同一个分布式系统中的服务器节点在空间部署上是可以随意分布的，这些服务器可能放在不同的机柜中，也可能在不同的机房中，甚至分布在不同的城市。

1.1 分布式与集群的区别

集群: 多个服务器做同一个事情

分布式: 多个服务器做不同的事情 

1.2 分布式系统特性 

1. 分布性：空间中随机分布。这些计算机可以分布在不同的机房，不同的城市，甚至不同的国家。

2. 对等性：分布式系统中的计算机没有主/从之分，组成分布式系统的所有节点都是对等的。

3. 并发性：同一个分布式系统的多个节点，可能会并发地操作一些共享的资源，诸如数据库或分布式存储。

4. 缺乏全局时钟：既然各个计算机之间是依赖于交换信息来进行相互通信，很难定义两件事件的先后顺序，缺乏全局时终控制序列

5. 故障总会发生：组成分布式的计算机，都有可能在某一时刻突然间崩掉。分的计算机越多，可能崩掉一个的几率就越大。如果再考虑到设计程序时的异常故障，也会加大故障的概率。

6. 处理单点故障单点SPoF（Single Point of Failure）：某个角色或者功能只有某一台计算机在支撑，在这台计算机上出现的故障是单点故障。

1.3 分布式系统面临的问题

通信异常

网络本身的不可靠性，因此每次网络通信都会伴随着网络不可用的风险（光纤、路由、DNS等硬件

设备或系统的不可用），都会导致最终分布式系统无法顺利进行一次网络通信，另外，即使分布式

系统各节点之间的网络通信能够正常执行，其延时也会大于单机操作，存在巨大的延时差别，也会

影响消息的收发过程，因此消息丢失和消息延迟变的非常普遍。

 

网络分区

网络之间出现了网络不连通，但各个子网络的内部网络是正常的，从而导致整个系统的网络环境被

切分成了若干个孤立的区域，分布式系统就会出现局部小集群，在极端情况下，这些小集群会独立

完成原本需要整个分布式系统才能完成的功能，包括数据的事务处理，这就对分布式一致性提出非

常大的挑战。

 

节点故障

节点故障是分布式系统下另一个比较常见的问题，指的是组成分布式系统的服务器节点出现的宕机或"僵死"现象，根据经验来说，每个节点都有可能出现故障，并且经常发生.

三态

分布式系统每一次请求与响应存在特有的“三态”概念，即成功、失败和超时。

 

 重发

分布式系统在发生调用的时候可能会出现 失败 超时 的情况. 这个时候需要重新发起调用.

幂等

一次和多次请求某一个资源对于资源本身应该具有同样的结果（网络超时等问题除外）。也就是说，其任意多次执行对资源本身所产生的影响均与一次执行的影响相同

场景1：

 

场景2： 

 

场景3：

 

---

2. 分布式理论

 2.1 数据一致性

 什么是分布式数据一致性

分布式数据一致性，指的是数据在多份副本中存储时，各副本中的数据是一致的。

副本一致性

分布式系统当中，数据往往会有多个 副本 。多个副本就需要保证数据的一致性。这就带来了同步的

问题，因为网络延迟等因素 , 我们几乎没有办法保证可以同时更新所有机器当中的包括备份所有数据 . 就会有数据不一致的情况

总得来说，我们无法找到一种能够满足分布式系统中数据一致性解决方案。因此，如何既保证数据的一致性，同时又不影响系统运行的性能，是每一个分布式系统都需要重点考虑和权衡的。于是，一致性级别由此诞生.

一致性分类

强一致性： 这种一致性级别是最符合用户直觉的，它要求系统写入什么，读出来的也会是什么，用户体验好， 但实现起来往往对系统的性能影响大。但是强一致性很难实现。

弱一致性： 这种一致性级别约束了系统在写入成功后，不承诺立即可以读到写入的值，也不承诺多久之后数据 能够达到一致，但会尽可能地保证到某个时间级别（比如秒级别）后，数据能够达到一致状态。

最终一致性： 最终一致性也是弱一致性的一种 ，它无法保证数据更新后，所有后续的访问都能看到最新数值，而 是需要一个时间，在这个时间之后可以保证这一点（ 就是在一段时间后，节点间的数据会最终达到 一致状态 ），而在这个时间内，数据也许是不一致的，这个系统无法保证强一致性的时间片段被称 为「不一致窗口」。不一致窗口的时间长短取决于很多因素，比如备份数据的个数、网络传输延迟 速度、系统负载等。

最终一致性在实际应用中又有多种变种：

因果一致性： 如果进程 A 通知进程 B 它已更新了一个数据项，那么进程 B 的后续访问将返回更新后的值。与进 程 A 无因果关系的进程 C 的访问遵守一般的最终一致性规则
 

读己之所写一致性： 当进程 A 自己更新一个数据项之后，它总是访问到更新过的值，绝不会看到旧值。这是因果一 致性模型的一个特例。

会话一致性： 它把访问存储系统的进程放到会话的上下文中。只要会话还存在，系统就保证 “ 读己之所写 ” 一 致性。如果由于某些失败情形令会话终止，就要建立新的会话，而且系统的保证不会延续到新 的会话。

单调读一致性：如果一个进程已经读取到一个特定值，那么该进程不会读取到该值以前的任何值。

单调写一致性： 系统保证对同一个进程的写操作串行化。

一致性模型图：

 

---

2.2 CAP定理

CAP定理介绍

CAP 定理（ CAP theorem ），又被称作布鲁尔定理（ Brewer's theorem），它指出对于一个分布式计算系统来说， 不可能同时满足以下三点

 

一致性（C-Consistency)

在写操作完成后开始的任何读操作都必须返回该值，或者后续写操作的结果 . 也就是说，在一致性系统中，一旦客户端将值写入任何一台服务器并获得响应，那么之后client 从其他任何服务器读取的都是刚写入的数据

1. 客户端向 G1 写入数据 v1 ，并等待响应

2. 此时， G1 服务器的数据为 v1 ，而 G2 服务器的数据为 v0 ，两者不一致

3. 接着，在返回响应给客户端之前， G2 服务器会自动同步 G1 服务器的数据，使得 G2 服务器的数

据也是 v1

4. 一致性保证了不管向哪台服务器（比如这边向 G1 ）写入数据，其他的服务器（ G2 ）能实时同

步数据

5. G2 已经同步了 G1 的数据，会告诉 G1 ，我已经同步了

6. G1 接收了所有同步服务器的已同步的报告，才将 “ 写入成功 ” 信息响应给 client

7. client 再发起请求，读取 G2 的数据

8. 此时得到的响应是 v1 ，即使 client 读取数据到 G2

可用性（A-Availability) 

系统中非故障节点收到的每个请求都必须有响应 . 在可用系统中，如果我们的客户端向服务器发送请求，并且服务器未崩溃，则服务器必须最终响应客户端，不允许服务器忽略客户的请求

分区容错性（P-Partition tolerance）

允许网络丢失从一个节点发送到另一个节点的任意多条消息，即不同步. 也就是说，G1和G2发送给对方的任何消息都是可以放弃的，也就是说G1和G2可能因为各种意外情况，导致无法成功进行同步，分布式系统要能容忍这种情况。

CAP 三者不可能同时满足论证

假设确实存在三者能同时满足的系统

那么我们要做的第一件事就是分区我们的系统，由于满足 分区容错性 ，也就是说可能因为通信不佳等情况，G1 和 G2 之间是没有同步

接下来，我们的客户端将 v1 写入 G1 ，但 G1 和 G2 之间是不同步的，所以如下 G1 是 v1 数据， G2 是 v0

数据。

由于要满足可用性，即一定要返回数据，所以 G1 必须在数据没有同步给 G2 的前提下返回数据给

client ，如下

 

接下去，client请求的是G2服务器，由于G2服务器的数据是v0，所以client得到的数据是v0

结论: 很明显，G1返回的是v1数据，G2返回的是v0数据，两者不一致。其余情况也有类似推导，也就是说CAP三者不能同时出现。

CAP三者如何权衡

三选二利弊如何

CA (Consistency + Availability) ：关注一致性和可用性，它需要非常严格的全体一致的协议。 CA系统不能容忍网络错误或节点错误，一旦出现这样的问题，整个系统就会拒绝写请求，因为它并不知道对面的那个结点是否挂掉了，还是只是网络问题。唯一安全的做法就是把自己变成只读的。

CP (consistency + partition tolerance) ：关注一致性和分区容忍性。它关注的是系统里大多数人的一致性协议。这样的系统只需要保证大多数结点数据一致，而少数的结点会在没有同步到最新版本的数据时变成不可用的状态。这样能够提供一部分的可用性。

 

AP (availability + partition tolerance) ：这样的系统关心可用性和分区容忍性。因此，这样的系统不能达成一致性，需要给出数据冲突，给出数据冲突就需要维护数据版本。

 

---

2.3 BASE理论  

CAP 不可能同时满足，而分区容错性是对于分布式系统而言，是必须的。最后，我们

说，如果系统能够同时实现 CAP 是再好不过的了，所以出现了 BASE 理论，

BASE ：全称： Basically Available( 基本可用 ) ， Soft state （软状态） , 和 Eventually consistent （最终一 致性）三个短语的缩写 ,Base 理论是对 CAP 中一致性和可用性权衡的结果，其来源于对大型互联网分布式实践的总结，是基于 CAP 定理逐步演化而来的。其核心思想是： 既是无法做到强一致性（ Strongconsistency），但每个应用都可以根据自身的业务特点，采用适当的方式来使系统达到最终一致性（ Eventual consistency）。

1. Basically Available(基本可用)

什么是基本可用呢？假设系统，出现了不可预知的故障，但还是能用，相比较正常的系统而言：

响应时间上的损失：正常情况下的搜索引擎 0.5 秒即返回给用户结果，而 基本可用 的搜索引擎可以在 1 秒返回结果。

功能上的损失：在一个电商网站上，正常情况下，用户可以顺利完成每一笔订单，但是到了大促期间，为了保护购物系统的稳定性，部分消费者可能会被引导到一个降级页面

2. Soft state（软状态）

什么是软状态呢？相对于原子性而言，要求多个节点的数据副本都是一致的，这是一种 “ 硬状态 ” 。

软状态指的是：允许系统中的数据存在中间状态，并认为该状态不会影响系统的整体可用性，即允

许系统在多个不同节点的数据副本存在数据延时。

3. Eventually consistent（最终一致性）

上面说软状态，然后不可能一直是软状态，必须有个时间期限。在期限过后，应当保证所有副本保持数据一致性。从而达到数据的最终一致性。这个时间期限取决于网络延时，系统负载，数据复制 方案设计等等因素。

---

3.分布式一致性协议

3.1 两阶段提交协议(2PC)

两阶段提交协议

两阶段提交协议，简称 2PC(2 Prepare Commit) ，是比较常用的解决分布式事务问题的方式，要么所有参与进程都提交事务，要么都取消事务，即实现ACID 中的原子性 (A) 的常用手段。

2PC执行流程

成功执行事务事务提交流程

阶段一:

事务询问： 协调者向所有的参与者发送事务内容，询问是否可以执行事务提交操作，并开始等待各参与者 的响应。

执行事务 ( 写本地的 Undo/Redo 日志 )

各参与者向协调者反馈事务询问的响应

阶段二:

发送提交请求：协调者向所有参与者发出 commit 请求。

事务提交：参与者收到 commit 请求后，会正式执行事务提交操作，并在完成提交之后释放整个事务执行期间占用的事务资源。

反馈事务提交结果：参与者在完成事务提交之后，向协调者发送 Ack 信息。

完成事务：协调者接收到所有参与者反馈的 Ack 信息后，完成事务。

中断事务流程

假如任何一个参与者向协调者反馈了 No 响应，或者在等待超时之后，协调者尚无法接收到所有参与者的反馈响应，那么就会中断事务

阶段一:

事务询问：协调者向所有的参与者发送事务内容，询问是否可以执行事务提交操作，并开始等待各参与者的响应。

执行事务 ( 写本地的 Undo/Redo 日志)

各参与者向协调者反馈事务询问的响应

阶段二:

发送回滚请求：协调者向所有参与者发出 Rollback 请求。

事务回滚：参与者接收到 Rollback 请求后，会利用其在阶段一中记录的 Undo 信息来执行事务回滚操作，并在完成回滚之后释放在整个事务执行期间占用的资源。

反馈事务回滚结果：参与者在完成事务回滚之后，向协调者发送 Ack 信息。

中断事务：协调者接收到所有参与者反馈的 Ack 信息后，完成事务中断。

2PC 优点缺点

优点： 原理简单

缺点：

同步阻塞：在二阶段提交的执行过程中，所有参与该事务操作的逻辑都处于阻塞状态，即当参与者占有公共资源时，其他节点访问公共资源会处于阻塞状态

单点问题：若协调器出现问题，那么整个二阶段提交流程将无法运转，若协调者是在阶段二中出现问题时，那么其他参与者将会一直处于锁定事务资源的状态中，而无法继续完成事务操作

数据不一致：在阶段二中，执行事务提交的时候，当协调者向所有的参与者发送Commit 请求之后，发生了局部网络异常或者是协调者在尚未发送完Commit 请求之前自身发生了崩溃，导致最终只有部分参与者收到了Commit 请求，于是会出现数据不一致的现象。

太过保守：在进行事务提交询问的过程中，参与者出现故障而导致协调者始终无法获取到所有参与者的响 应信息的话，此时协调者只能依靠自身的超时机制来判断是否需要中断事务，这样的策略过于保守，即没有完善的容错机制，任意一个结点的失败都会导致整个事务的失败 。

---

3.2 三阶段提交协议(3PC)

三阶段提交协议出现背景：一致性协议中设计出了二阶段提交协议（ 2PC ），但是 2PC 设计中还存

在缺陷，于是就有了三阶段提交协议，这便是 3PC 的诞生背景。

三阶段提交协议

3PC ，全称 “three phase commit” ，是 2PC 的改进版，将 2PC 的 “ 提交事务请求 ” 过程一分为二，共形成了由CanCommit 、 PreCommit 和 doCommit 三个阶段组成的事务处理协议。

三阶段提交升级点（基于二阶段）：

1. 三阶段提交协议引入了超时机制。

2. 在第一阶段和第二阶段中，引入了一个准备阶段。保证了在最后提交阶段之前各参与节点的状态是

一致的。

简单讲：就是除了引入超时机制之外， 3PC 把 2PC 的准备阶段再次一分为二，这样三阶段提交就有

CanCommit 、 PreCommit 、 DoCommit 三个阶段。

三个阶段详解

第一阶段（CanCommit 阶段）

类似于 2PC 的准备（第一）阶段。协调者向参与者发送 commit 请求，参与者如果可以提交就返回

Yes 响应，否则返回 No 响应。

事务询问：协调者向参与者发送CanCommit 请求。询问是否可以执行事务提交操作。然后开始等待参与者的响应。

响应反馈：参与者接到CanCommit 请求之后，正常情况下， 如果其自身认为可以顺利执行事务，则返回Yes响应，并进入预备状态。 否则 反馈 No

第二阶段（PreCommit 阶段)

协调者根据参与者的反应情况来决定是否可以执行事务的 PreCommit 操作。根据响应情况，有以下

两种可能。

Yes：

(1). 发送预提交请求： 协调者向参与者发送 PreCommit 请求，并进入 Prepared 阶段。

(2). 事务预提交 : 参与者接收到 PreCommit 请求后，会执行事务操作，并将 undo 和 redo 信息记录

到事务日志中。

(3). 响应反馈 : 如果参与者成功的执行了事务操作，则返回 ACK 响应，同时开始等待最终指令。

No：

假如有任何一个参与者向协调者发送了 No 响应，或者等待超时之后，协调者都没有接到参与者的响应，那么就执行事务的中断。则有：

(1). 发送中断请求： 协调者向所有参与者发送 abort 请求。

(2). 中断事务 : 参与者收到来自协调者的 abort 请求之后（或超时之后，仍未收到协调者的请

求），执行事务的中断

第三阶段（doCommit 阶段）

该阶段进行真正的事务提交，也可以分为执行提交和中断事务两种情况。

执行成功

(1). 发送提交请求 : 协调者接收到参与者发送的 ACK 响应，那么它将从预提交状态进入到提交状态。 并向所有参与者发送doCommit 请求。

(2). 事务提交 : 参与者接收到 doCommit 请求之后，执行正式的事务提交。 并在完成事务提交之后释放所有事务资源

(3). 响应反馈 : 事务提交完之后，向协调者发送 ACK 响应。

(4). 完成事务 : 协调者接收到所有参与者的 ACK 响应之后，完成事务。

中断事务

(1). 发送中断请求 : 协调者向所有参与者发送 abort 请求

(2). 事务回滚 : 参与者接收到 abort 请求之后，利用其在阶段二记录的 undo 信息来执行事务的回滚操作， 并在完成回滚之后释放所有的事务资源。

(3). 反馈结果 : 参与者完成事务回滚之后，向协调者发送 ACK 消息

(4). 中断事务 : 协调者接收到所有参与者反馈的 ACK 消息之后，执行事务的中断。

注意：一旦进入阶段三，可能会出现 2 种故障：

1. 协调者出现问题

2. 协调者和参与者之间的网络故障

如果出现了任一一种情况，最终都会导致参与者无法收到 doCommit 请求或者 abort 请求，针对这种情况，参与者都会在等待超时之后，继续进行事务提交

 2PC对比3PC

1. 首先对于协调者和参与者都设置了超时机制（在 2PC 中，只有协调者拥有超时机制，即如果在一定时间内没有收到参与者的消息则默认失败）, 主要是避免了参与者在长时间无法与协调者节点通讯（协调者挂掉了）的情况下，无法释放资源的问题，因为参与者自身拥有超时机制会在超时后，自动进行本地commit 从而进行释放资源。而这种机制也侧面降低了整个事务的阻塞时间和范围。

2. 通过 CanCommit 、 PreCommit 、 DoCommit 三个阶段的设计，相较于 2PC 而言，多设置了一个 缓冲阶段 保证了在最后提交阶段之前各参与节点的状态是一致的 。

3. PreCommit 是一个缓冲，保证了在最后提交阶段之前各参与节点的状态是一致的。

问题： 3PC 协议并没有完全解决数据一致问题。

---

3.3 NWR协议

什么是NWR协议

NWR 是一种在分布式存储系统中用于控制一致性级别的一种策略。在亚马逊的云存储系统中，就应用NWR来控制一致性。

N ：在分布式存储系统中，有多少份备份数据

W ：代表一次成功的更新操作要求至少有 w 份数据写入成功

R ： 代表一次成功的读数据操作要求至少有 R 份数据成功读取

原理

NWR 值的不同组合会产生不同的一致性效果，当 W+R>N 的时候，整个系统对于客户端来讲能保证强一致性。

以常见的 N=3 、 W=2 、 R=2 为例 :

N=3 ，表示，任何一个对象都必须有三个副本

W=2 表示，对数据的修改操作只需要在 3 个副本中的 2 个上面完成就返回

R=2 表示，从三个对象中要读取到 2 个数据对象，才能返回

在分布式系统中，数据的单点是不允许存在的。即线上正常存在的备份数量N设置1的情况是非常危险的，因为一旦这个备份发生错误，就 可能发生数据的永久性错误。假如我们把N设置成为2，那么，只要有一个存储节点发生损坏，就会有单点的存在。所以N必须大于2。N越高，系统的维护和整体 成本就越高。工业界通常把N设置为3。

当 W 是 2 、 R 是 2 的时候， W+R>N ，这种情况对于客户端就是强一致性的。

在上图中，如果 R+W>N, 则读取操作和写入操作成功的数据一定会有交集（如图中的Node2），这样就可以保证一定能够读取到最新版本的更新数据，数据的强一致性得到了保证。在满足数据一致性协议的前提下，R 或者 W 设置的越大，则系统延迟越大，因为这取决于最慢的那份备份数据的响应时间。

当 R+W<=N ，无法保证数据的强一致性

因为成功写和成功读集合可能不存在交集，这样读操作无法读取到最新的更新数值，也就无法保证数据的强一致性。

---

3.4 Gossip 协议

什么是Gossip 协议

Gossip 协议也叫 Epidemic 协议 （流行病协议）。原本用于分布式数据库中节点同步数据使用，后被广泛用于数据库复制、信息扩散、集群成员身份确认、故障探测等。

从 gossip 单词就可以看到，其中文意思是八卦、流言等意思，我们可以想象下绯闻的传播（或者流行病的传播）；gossip 协议的工作原理就类似于这个。 gossip 协议利用一种随机的方式将信息传播到整个网络中，并在一定时间内使得系统内的所有节点数据一致。Gossip 其实是一种去中心化思路的分布式协议，解决状态在集群中的传播和状态一致性的保证两个问题。

Gossip原理

Gossip 协议的消息传播方式有两种：反熵传播 和 谣言传播

1. 反熵传播

是以固定的概率传播所有的数据。所有参与节点只有两种状态： Suspective( 病原 ) 、Infective(感染 ) 。过程是种子节点会把所有的数据都跟其他节点共享，以便消除节点之间数据的任何不一致，它可以保证最终、完全的一致。缺点是消息数量非常庞大，且无限制；通常只用于新加入节点的数据初始化。

2. 谣言传播

是以固定的概率仅传播新到达的数据。所有参与节点有三种状态： Suspective( 病原 ) 、Infective(感染 ) 、 Removed( 愈除 ) 。过程是消息只包含最新 update ，谣言消息在某个时间点之后会被标记为 removed ，并且不再被传播。缺点是系统有一定的概率会不一致，通常用于节点间数据增量同步

通信方式

Gossip 协议最终目的是将数据分发到网络中的每一个节点。 根据不同的具体应用场景，网络中两个节 点之间存在三种通信方式：推送模式、拉取模式、推 / 拉模式

1. Push

节点 A 将数据 (key,value,version) 及对应的版本号推送给 B 节点， B 节点更新 A 中比自己新的数据

2. Pull

A 仅将数据 key, version 推送给 B ， B 将本地比 A 新的数据（ Key, value, version ）推送给 A ， A 更 新本地

3. Push/Pull

与 Pull 类似，只是多了一步，A 再将本地比 B 新的数据推送给 B，B 则更新本地

优缺点

综上所述，我们可以得出 Gossip 是一种去中心化的分布式协议，数据通过节点像病毒一样逐个传 播 。因为是指数级传播，整体传播速度非常快。

优点：

扩展性：允许节点的任意增加和减少，新增节点的状态 最终会与其他节点一致

容错：任意节点的宕机和重启都不会影响 Gossip 消息的传播，具有天然的分布式系统容错特性

去中心化：无需中心节点，所有节点都是对等的，任意节点无需知道整个网络状况，只要网络连通，任意节点可把消息散播到全网

最终一致性： Gossip 协议实现信息指数级的快速传播，因此在有新信息需要传播时，消息可以快速地发送到全局节点，在有限的时间内能够做到所有节点都拥有最新的数据。

缺点：

消息延迟 : 节点随机向少数几个节点发送消息，消息最终是通过多个轮次的散播而到达全网；不可避免的造成消息延迟。

消息冗余 : 节点定期随机选择周围节点发送消息，而收到消息的节点也会重复该步骤；不可避免的引起同一节点消息多次接收，增加消息处理压力

Gossip 协议由于以上的优缺点，所以 适合于 AP 场景的数据一致性处理 ，常见应用有： P2P 网络通信、 Redis Cluster、 Consul 。

---

3.5 Paxos协议

什么是Paxos

Paxos 协议其实说的就是 Paxos 算法 , Paxos 算法是基于 消息传递 且具有 高度容错特性 的 一致性算

法 ，是目前公认的解决 分布式一致性 问题 最有效 的算法之一。

Paxos 解决了什么问题

在常见的分布式系统中，总会发生诸如机器宕机或网络异常（包括消息的延迟、丢失、重复、乱序，还有网络分区）等情况。Paxos算法需要解决的问题就是如何在一个可能发生上述异常的分布式系统中，快速且正确地在集群内部对某个数据的值达成一致，并且保证不论发生以上任何异常，都不会破坏整个系统的一致性。

2PC 和 3PC， 在一定程度上是可以解决数据一致性问题的 . 但是并没有完全解决就是协调者宕机的情况.

如何解决2PC和3PC的存在的问题呢?

1. 步骤 1- 引入多个协调者

2. 步骤-引入主协调者,以他的命令为基准

其实在引入多个协调者之后又引入主协调者 . 那么这个就是最简单的一种 Paxos 算法 .

Paxos 的版本有 : Basic Paxos , Multi Paxos, Fast-Paxos , 具体落地有 Raft 和 zk 的 ZAB 协议

 

Basic Paxos相关概念  

角色介绍

Client: 客户端

客户端向分布式系统发出请求，并等待响应。例如，对分布式文件服务器中文件的写请求。

Proposer ：提案发起者

提案者提倡客户端请求，试图说服 Acceptor 对此达成一致，并在发生冲突时充当协调者以推动协议向前发展

Acceptor: 决策者，可以批准提案

Acceptor 可以接受（ accept ）提案；并进行投票 , 投票结果是否通过以多数派为准 , 以如果某个提案被选定，那么该提案里的value 就被选定了

Learner: 最终决策的学习者

学习者充当该协议的复制因素 ( 不参与投票 )

决策模型

basic paxos流程 

basic paxos 流程一共分为 4 个步骤 :

1. Prepare：Proposer提出一个提案 , 编号为 N, 此 N 大于这个 Proposer 之前提出所有提出的编号 , 请求 Accpetor 的多数人接受这个提案

2. Promise： 如果编号N 大于此 Accpetor 之前接收的任提案编号则接收 , 否则拒绝

3. Accept：如果达到多数派, Proposer 会发出 accept 请求 , 此请求包含提案编号和对应的内容

4. Accepted： 如果此Accpetor 在此期间没有接受到任何大于 N 的提案 , 则接收此提案内容 , 否则忽略

Basic Paxos流程图

无故障的basic Paxos

Acceptor失败时的basic Paxos  

在下图中，多数派中的一个 Acceptor 发生故障，因此多数派大小变为 2 。在这种情况下， Basic Paxos协议仍然成功。

Proposer失败时的basic Paxos 

Proposer 在提出提案之后但在达成协议之前失败。具体来说，传递到 Acceptor 的时候失败了 , 这个时候需要选出新的Proposer （提案人） , 那么 Basic Paxos 协议仍然成功

当多个提议者发生冲突时的basic Paxos

最复杂的情况是多个 Proposer 都进行提案 , 导致 Paxos 的活锁问题 .

 

针对活锁问题解决起来非常简单: 只需要在每个Proposer再去提案的时候随机加上一个等待时间即可

Multi-Paxos流程图

针对 basic Paxos 是存在一定得问题 , 首先就是流程复杂 , 实现及其困难 , 其次效率低 ( 达成一致性需要 2 轮RPC调用 ), 针对 basic Paxos 流程进行拆分为选举和复制的过程 .

1. 第一次流程-确定Leader

2. 第二次流程-直接由Leader确认

Multi-Paxos角色重叠流程图 

Multi-Paxos 在实施的时候会将 Proposer ， Acceptor 和 Learner 的角色合并统称为 “ 服务器 ” 。因此，最后只有“ 客户端 ” 和 “ 服务器 ” 。

---

3.6 Raft协议  

什么是Raft协议

Paxos 是论证了一致性协议的可行性，但是论证的过程据说晦涩难懂，缺少必要的实现细节，而且工程实现难度比较高, 广为人知实现只有 zk 的实现 zab 协议。

Paxos 协议的出现为分布式强一致性提供了很好的理论基础，但是 Paxos 协议理解起来较为困难，实现比较复杂。

然后斯坦福大学 RamCloud 项目中提出了易实现，易理解的分布式一致性复制协议 Raft 。 Java， C++， Go 等都有其对应的实现之后出现的 Raft 相对要简洁很多。 引入主节点，通过竞选确定主节点。节 点类型： Follower 、 Candidate 和 Leader

Leader 会周期性的发送心跳包给 Follower 。每个 Follower 都设置了一个随机的竞选超时时间，一般为 150ms~300ms ，如果在这个时间内没有收到 Leader 的心跳包，就会变成 Candidate ，进入竞选阶段, 通过竞选阶段的投票多的人成为 Leader

Raft相关概念  

1. 节点状态

Leader（主节点）：接受 client 更新请求，写入本地后，然后同步到其他副本中

Follower （从节点）：从 Leader 中接受更新请求，然后写入本地日志文件。对客户端提供读请求Candidate （候选节点）：如果 follower 在一段时间内未收到 leader 心跳。则判断 leader可能故障，发起选主提议。节点状态从 Follower 变为 Candidate 状态，直到选主结束

2. termId ：任期号，时间被划分成一个个任期，每次选举后都会产生一个新的 termId ，一个任期内只有一个 leader 。

3. RequestVote ：请求投票， candidate 在选举过程中发起，收到多数派响应后，成为 leader 。

竞选阶段流程

Raft 完整版 http://thesecretlivesofdata.com/raft/ 动画演示

github 提供 https://raft.github.io/ 动画演示地址

---

3.7 Lease机制

什么是Lease机制

Lease 机制，翻译过来即是租约机制，是一种在分布式系统常用的协议，是维护分布式系统数据一致性的一种常用工具。

Lease 机制有以下几个特点：

Lease是颁发者对一段时间内数据一致性的承诺；

颁发者发出 Lease 后，不管是否被接收，只要 Lease 不过期，颁发者都会按照协议遵守承诺；Lease的持有者只能在 Lease 的有效期内使用承诺，一旦 Lease 超时，持有者需要放弃执行，重新申请Lease 。

 

Lease 机制解决了什么问题

分布式系统中，如何确认一个节点是否工作正常？如果有5副本1-5。其中1号为主副本

在分布式中最直观的处理方法是在每个副本与主副本维护一个心跳，期望通过心跳是否存在而判断对方是否依旧存活。

心跳方法其实根本无法解决分布式下节点是否正常的这个的这个问题。考虑如下场景：

1. 在某个时刻 Node1 主节点突然出现网络抖动或者网络中断情况 ( 注意 : 不是宕机 ) , 导致从节点无法接受到心跳.

 

2. 会在剩下的副节点中选取一当主节点

主要解决思路有四种：

设计能容忍双主的分布式协议

Raft 协议 - 通过 Term 版本高的同步低的 .

用 lease 机制

涉及去中心化 -Gossip 协议

 

Lease 的原理

1. 引入中心节点负责下发 Lease

2. 出现网络问题 

在 01:05 期间如果出现网络抖动导致其他节点申请 Lease 会申请失败 , 因为中心节点在 01:10 之前都会承认有主节点, 不允许其他节点在申请 Lease

3. 如果网络恢复

 

4. 如果到01:10时间,主节点会进行续约操作,然后在下发新的Lease

5. 如果主节点宕机,其他节点申请Lease也会失败,承认主节点存在 

6. 副节点申请Lease,申请成功. 因为Lease过期  

lease的容错  

1. 主节点宕机：lease机制天生即可容忍网络、 lease 接收方的出错 , 时间即 Lease 剩余过期时长

2. 中心节点异常：颁发者宕机可能使得全部节点没有lease ，系统处于不可用状态，解决的方法就是使用一个小集群而不是单一节点作为颁发者。

3. 时差问题：中心节点与主节点之间的时钟可能也存在误差，只需要中心节点考虑时钟误差即可。

lease 时间长短一般取经验值 1-10 秒即可。太短网络压力大，太长则收回承诺时间过长影响可用性。

应用：

1. GFS(Google 文件系统 ) 中， Master 通过 lease 机制决定哪个是主副本， lease 在给各节点的心跳响应消息中携带。收不到心跳时，则等待lease 过期，再颁发给其他节点。

2. chubby 中， paxos 选主后，从节点会给主颁发 lease ，在期限内不选其他节点为主。另一方面，主节点给每个client 节点发送 lease ，用于判断 client 死活。

---

4.分布式系统设计策略

4.1 心跳检测

在分布式环境中，我们提及过存在非常多的节点（ Node ）。那么就有一个非常重要的问题，如何检测一个节点出现了故障乃至无法工作了？

通常解决这一问题是采用心跳检测的手段，如同通过仪器对病人进行一些检测诊断一样。

心跳顾名思义，就是以 固定的频率 向其他节点汇报当前节点状态的方式。收到心跳，一般可以认为一个节点和现在的网络是良好的。当然，心跳汇报时，一般也会携带一些附加的状态、元数据信息，以便管理

 

若 Server 没有收到 Node3 的心跳时， Server 认为 Node3 失联。但是失联是失去联系，并不确定是否

是 Node3 故障，有可能是 Node3 处于繁忙状态，导致调用检测超时；也有可能是 Server 与 Node3 之间链路出现故障或闪断。所以心跳不是万能的，收到心跳可以确认节点正常，但是收不到心跳也不能认为该节点就已经宣告“ 死亡 ” 。此时，可以通过一些方法帮助 Server 做决定： 周期检测心跳机制 、 累计失效检 测机制 。

周期检测心跳机制

Server 端每间隔 t 秒向 Node 集群发起监测请求，设定超时时间，如果超过超时时间，则判断 “死 亡” 。可以把该节点踢出集群

累计失效检测机制 

在周期检测心跳机制的基础上，统计一定周期内节点的返回情况（包括超时及正确返回），以此计算节点的“ 死亡 ” 概率。另外，对于宣告 “ 濒临死亡 ” 的节点可以发起有限次数的重试，以作进一步判断。如果超过次数则可以把该节点踢出集群

---

4.2 高可用 

高可用 HA设计

高可用 (High Availability) 是系统架构设计中必须考虑的因素之一 , 通常是指 , 经过设计来减少系统不能提供服务的时间

系统高可用性的常用设计模式包括三种：主备（ Master-SLave ）、互备（ Active-Active ）和集群（Cluster ）模式。

1. 主备模式

主备模式就是 Active-Standby 模式，当主机宕机时，备机接管主机的一切工作，待主机恢复正常后，按使用者的设定以自动（热备）或手动（冷备）方式将服务切换到主机上运行。在数据库部分，习惯称之为MS 模式。 MS 模式即 Master/Slave 模式，这在数据库高可用性方案中比较常用，如MySQL、 Redis 等就采用 MS 模式实现主从复制。保证高可用，如图所示。

2. 互备模式  

 互备模式指两台主机同时运行各自的服务工作且相互监测情况。在数据库高可用部分，常见的互备是MM模式。MM模式即Multi-Master模式，指一个系统存在多个master，每个master都具有read-write能力，会根据时间戳或业务逻辑合并版本

3. 集群模式

集群模式是指有多个节点在运行，同时可以通过主控节点分担服务请求。集群模式需要解决主控节点本身的高可用问题，一般采用主备模式。

高可用HA下"脑裂问题"

1. 什么是脑裂.

在高可用（ HA ）系统中，当联系两个节点的 " 心跳线 " 断开时 ( 即两个节点断开联系时 ) ，本来为一个整体、动作协调的HA 系统，就分裂成为两个独立的节点 ( 即两个独立的个体 ) 。由于相互失去了联系，都以为是对方出了故障，两个节点上的HA 软件像 " 裂脑人 " 一样， " 本能 " 地争抢 " 共享资源 " 、争起" 应用服务 " 。就会发生严重后果：

共享资源被瓜分、两边" 服务 " 都起不来了；

两边 " 服务 " 都起来了，但同时读写 " 共享存储 " ，导致数据损坏（常见如数据库轮询着的联机日志出错）。

两个节点相互争抢共享资源，结果会导致系统混乱，数据损坏。对于无状态服务的 HA ，无所谓脑裂不脑裂，但对有状态服务( 比如 MySQL) 的 HA ，必须要严格防止脑裂

2. 脑裂出现的原因

一般来说，裂脑的发生，有以下几种原因：

高可用服务器各节点之间心跳线链路发生故障，导致无法正常通信。

因网卡及相关驱动坏了， ip 配置及冲突问题（网卡直连）。

因心跳线间连接的设备故障（网卡及交换机）。

因仲裁的机器出问题（采用仲裁的方案）。

高可用服务器上开启了 iptables 防火墙阻挡了心跳消息传输。

高可用服务器上心跳网卡地址等信息配置不正确，导致发送心跳失败。

其他服务配置不当等原因，如心跳方式不同，心跳广插冲突、软件 Bug 等。

3. 脑裂预防方案

1. 添加冗余的心跳线 [ 即冗余通信的方法 ]

同时用两条心跳线路 ( 即心跳线也 HA) ，这样一条线路坏了，另一个还是好的，依然能传送心跳消息，尽量减少" 脑裂 " 现象的发生几率。

2. 仲裁机制

当两个节点出现分歧时，由第 3 方的仲裁者决定听谁的。这个仲裁者，可能是一个锁服务，一个共享盘或者其它什么东西

3. Lease 机制

4. 隔离 (Fencing) 机制

共享存储 fencing ：确保只有一个 Master 往共享存储中写数据。

客户端 fencing ：确保只有一个 Master 可以响应客户端的请求。

Slave fencing ：确保只有一个 Master 可以向 Slave 下发命令

---

4.3 容错性

容错顾名思义就是 IT 系统对于错误包容的能力

容错的处理是保障分布式环境下相应系统的高可用或者健壮性，一个典型的案例就是对于缓存穿透 问题的解决方案。我们来具体看一下这个例子，如图所示

问题描述：

我们在项目中使用缓存通常都是先检查缓存中是否存在，如果存在直接返回缓存内容，如果不存在就直接查询数据库然后再缓存查询结果返回。这个时候如果我们查询的某一个数据在缓存中一直不存在，就会造成每一次请求都查询DB ，这样缓存就失去了意义，在流量大时，或者有人恶意攻击

如频繁发起为id 为 “-1” 的条件进行查询，可能 DB 就挂掉了。

那这种问题有什么好办法解决呢？  

1. 临时存放 null 值

2. 使用布隆过滤器

---

4.4 负载均衡 

负载均衡：其关键在于使用多台集群服务器共同分担计算任务，把网络请求及计算分配到集群可用的不同服务器节点上，从而达到高可用性及较好的用户操作体验。

负载均衡器有硬件解决方案，也有软件解决方案。硬件解决方案有著名的 F5 ，软件有 LVS、 HAProxy 、Nginx等。

以 Nginx 为例，负载均衡有以下 6 种策略：

---

5. 分布式架构服务调用

5.1 服务调用

和传统的单体架构相比，分布式多了一个远程服务之间的通信，不管是 soa 还是微服务，他们本质上都是对于业务服务的提炼和复用。那么远程服务之间的调用才是实现分布式的关键因素

---

5.2 实现方式

1. HttpURLConnection

java 原生 HttpURLConnection 是基于 http 协议的，支持 get ， post ， put ， delete 等各种请求方式，最常用的就是get 和 post

2. Apache Common HttpClient

HttpClient 是 Apache Common 下的子项目，可以用来提供高效的、最新的、功能丰富的支持

HTTP 协议的客户端编程工具包，并且它支持 HTTP 协议最新的版本。

实现了所有 HTTP 的方法（ GET,POST,PUT,HEAD 等）

支持 HTTPS 协议

支持代理服务器等

3. OKhttp3

OKHttp 是一个当前主流的网络请求的开源框架 , 用于替代 HttpUrlConnection 和 Apache HttpClient

支持 http2.0 ，对一台机器的请求共享一个 socket 。

采用连接池技术，可以有效的减少 Http 连接数量。

无缝集成 GZIP 压缩技术。

支持 Response Cache ，避免重复请求

域名多 IP 支持

4. RestTemplate

Spring RestTemplate 是 Spring 提供的用于访问 Rest 服务的客户端， RestTemplate 提供了多种便捷访问远程Http 服务的方法，能够大大提高客户端的编写效率，所以很多客户端比如 Android或第三方服务商都是使用 RestTemplate 请求 restful 服务。

面向 URL 组件，必须依赖于主机 + 端口 + URI

RestTemplate 不依赖于服务接口，仅关注 REST 响应内容

Spring Cloud Feign

RPC 框架

RPC 全称为 remote procedure call ，即远程过程调用。借助 RPC 可以做到像本地调用一样调用远程服务，是一种进程间的通信方式. 。常见的 RPC 框架有一下几种 .

1. Java RMI

Java RMI （ Romote Method Invocation ）是一种基于 Java 的远程方法调用技术，是 Java 特有的一种RPC 实现。

2. Hessian

Hessian 是一个轻量级的 remoting onhttp 工具，使用简单的方法提供了 RMI 的功能 . 相比WebService， Hessian 更简单、快捷。采用的是二进制 RPC 协议，因为采用的是二进制协议，所以它很适合于发送二进制数据。

3. Dubbo 

Dubbo 是阿里巴巴公司开源的一个高性能优秀的服务框架，使得应用可通过高性能的 RPC 实现服务的输出和输入功能，可以和Spring 框架无缝集成。 Dubbo 是一款高性能、轻量级的开源 Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

4. gRPC

gRPC 是由 Google 公司开源的一款高性能的远程过程调用 (RPC) 框架，可以在任何环境下运行。该框架提供了负载均衡，跟踪，智能监控，身份验证等功能，可以实现系统间的高效连接。

---

5.3 跨域调用 

跨域

在分布式系统中 , 会有调用其他业务系统 , 导致出现跨域问题 ，跨域实质上是浏览器的一种保护处理。如果产生了跨域，服务器在返回结果时就会被浏览器拦截( 注意：此时请求是可以正常发起的，只是浏览器对其进行了拦截) ，导致响应的内容不可用 . 产生跨域的几种情况有一下 :

常见的解决方案 

1. 使用 jsonp 解决网站跨域

缺点：不支持 post 请求，代码书写比较复杂

2. 使用 HttpClient 内部转发

3. 使用设置响应头允许跨域

response.setHeader(“Access-Control-Allow-Origin”, “*”); 设置响应头允许跨域 .

4. 基于 Nginx 搭建企业级 API 接口网关

5. 使用 Zuul 搭建微服务 API 接口网关

Zuul 是 spring cloud 中的微服务网关。网关： 是一个网络整体系统中的前置门户入口。请求首先通过网关，进行路径的路由，定位到具体的服务节点上。可以使用zuul 的过滤器的请求转发去解决跨域问题

---

6.分布式服务治理

6.1 服务协调

分布式协调技术主要用来解决分布式环境当中多个进程之间的同步控制，让他们有序的去访问某种临界资源，防止造成" 脏数据 " 的后果。

分布式锁也就是我们 分布式协调技术 实现的核心内容。

分布式锁两种实现方式：

1. 基于缓存（ Redis 等）实现分布式锁

获取锁的时候，使用 setnx 加锁，并使用 expire 命令为锁添加一个超时时间，超过该时间则自动释放锁，锁的value 值为一个随机生成的 UUID, 释放锁的时候进行判断。

获取锁的时候还设置一个获取的超时时间，若超过这个时间则放弃获取锁。

释放锁的时候，通过 UUID 判断是不是该锁，若是该锁，则执行 delete 进行锁释放。

SETNX ： set 一个 key 为 value 的字符串，返回 1 ；若 key 存在，则什么都不做，返回 0。

expire: 为 key 设置一个超时时间，单位为 second ，超过这个时间锁会自动释放，避免死锁。

delete ：删除 key

2. ZooKeeper 是一个为分布式应用提供一致性服务的开源组件，它内部是一个分层的文件系统目录树结构，规定同一个目录下只能有一个唯一文件名, 基于 ZooKeeper 实现分布式锁的步骤如下：

创建一个目录 mylock

线程 A 想获取锁就在 mylock 目录下创建临时顺序节点

获取 mylock 目录下所有的子节点，然后获取比自己小的兄弟节点，如果不存在，则说明当前线程顺序号最小，获得锁

线程 B 获取所有节点，判断自己不是最小节点，设置监听比自己次小的节点

线程 A 处理完，删除自己的节点，线程 B 监听到变更事件，判断自己是不是最小的节点，如果是则获得锁

---

6.2 服务削峰

为什么要削峰

主要是还是来自于互联网的业务场景，例如，春节火车票抢购，大量的用户需要同一时间去抢购；以及大家熟知的阿里双11 秒杀， 短时间上亿的用户涌入，瞬间流量巨大（高并发）

流量削峰方案

削峰从本质上来说就是更多地延缓用户请求，以及层层过滤用户的访问需求，遵从“最后落地到数据库的请求数要尽量少”的原则。

1. 消息队列解决削峰

要对流量进行削峰，最容易想到的解决方案就是用消息队列来缓冲瞬时流量，把同步的直接调用转换成异步的间接推送，中间通过一个队列在一端承接瞬时的流量洪峰，在另一端平滑地将消息推送出去。

消息队列中间件主要解决应用耦合，异步消息， 流量削锋等问题。常用消息队列系统：目前在生产环境，使用较多的消息队列有 ActiveMQ 、 RabbitMQ 、 ZeroMQ 、 Kafka 、 RocketMQ 等。

在这里，消息队列就像“水库”一样，拦截上游的洪水，削减进入下游河道的洪峰流量，从而达到减免洪水灾害的目的。

2. 流量削峰漏斗：层层削峰

分层过滤其实就是采用 “ 漏斗 ” 式设计来处理请求的，这样就像漏斗一样，尽量把数据量和请求量一层一层地过滤和减少了。如下图所示：

分层过滤的核心思想 

通过在不同的层次尽可能地过滤掉无效请求。

通过 CDN 过滤掉大量的图片，静态资源的请求。

再通过类似 Redis 这样的分布式缓存过滤请求

分层过滤的基本原则

对写数据进行基于时间的合理分片，过滤掉过期的失效请求。

对写请求做限流保护，将超出系统承载能力的请求过滤掉。

涉及到的读数据不做强一致性校验，减少因为一致性校验产生瓶颈的问题。

对写数据进行强一致性校验，只保留最后有效的数据。

---

6.3 服务降级

什么是服务降级

当服务器压力剧增的情况下，根据实际业务情况及流量，对一些服务和页面有策略的不处理或换种简单的方式处理，从而释放服务器资源以保证核心服务正常运作或高效运作

整个架构整体的负载超出了预设的上限阈值或即将到来的流量预计将会超过预设的阈值时，为了保证重要或基本的服务能正常运行，我们可以将一些 不重要 或 不紧急 的服务或任务进行服务的延迟使用 或 暂停使用

降级策略

当触发服务降级后，新的交易再次到达时，我们该如何来处理这些请求呢？从分布式 , 微服务架构全局的视角来看，降级处理方案：

页面降级 —— 可视化界面禁用点击按钮、调整静态页面

延迟服务 —— 如定时任务延迟处理、消息入 MQ 后延迟处理

写降级 —— 直接禁止相关写操作的服务请求

读降级 —— 直接禁止相关读的服务请求

缓存降级 —— 使用缓存方式来降级部分读频繁的服务接口

针对后端代码层面的降级处理策略，则我们通常使用以下几种处理措施进行降级处理：

抛异常

返回 NULL

调用 Mock 数据

调用 Fallback 处理逻辑

分级降级

结合服务能否降级的优先原则，并根据台风预警（都属于风暴预警）的等级进行参考设计，可将分布式服务架构的所有服务进行故障风暴等级划分为以下四种：

---

6.4 服务限流

什么是服务限流

限流的目的是通过对并发访问请求进行限速或者一个时间窗口内的的请求数量进行限速来保护系统，一旦达到限制速率则可以拒绝服务、排队或等待

多维度限流

在请求到达目标服务接口的时候 , 可以使用多维度的限流策略 , 这样就可以让系统平稳度过瞬间来临的并发

限流算法 

限流算法 - 计数器 ( 固定窗口 )

计数器限制每一分钟或者每一秒钟内请求不能超过一定的次数，在下一秒钟计数器清零重新计算

存在问题:  

客户端在第一分钟的 59 秒请求 100 次，在第二分钟的第 1 秒又请求了 100 次 , 2 秒内后端会受到 200次请求的压力，形成了流量突刺

2. 限流算法 - 计数器 ( 滑动窗口 )

滑动窗口其实是细分后的计数器，它将每个时间窗口又细分成若干个时间片段，每过一个时间片段，整个时间窗口就会往右移动一格

时间窗口向右滑动一格，这时这个时间窗口其实已经打满了 100 次，客户端将被拒绝访问 , 时间窗口 划分的越细，滑动窗口的滚动就越平滑，限流的效果就会越精确

3. 限流算法-漏桶

漏桶算法类似一个限制出水速度的水桶，通过一个固定大小 FIFO 队列 + 定时取队列元素的方式实现，请求进入队列后会被匀速的取出处理（桶底部开口匀速出水），当队列被占满后后来的请求会直接拒绝（水倒的太快从桶中溢出来）

优点是可以削峰填谷，不论请求多大多快，都只会匀速发给后端，不会出现突刺现象，保证下游服务正常运行 , 缺点就是在桶队列中的请求会排队，响应时间拉长

4. 限流算法-令牌桶

令牌桶算法是以一个 恒定的速度往桶里放置令牌（如果桶里的令牌满了就废弃），每进来一个请求 去桶里找令牌，有的话就拿走令牌继续处理，没有就拒绝请求

令牌桶的优点是可以应对突发流量，当桶里有令牌时请求可以快速的响应，也不会产生漏桶队列中的等待时间, 缺点就是相对漏桶一定程度上减小了对下游服务的保护

---

6.5 服务熔断

什么是服务熔断

【熔断】 , 熔断这一概念来源于电子工程中的断路器（ Circuit Breaker ）。在互联网系统中，当下游服务因访问压力过大而响应变慢或失败，上游服务为了保护系统整体的可用性，可以暂时切断对下游服务的调用。这种牺牲局部，保全整体的措施就叫做熔断。

如果不采取熔断措施，我们的系统会怎样呢？

举例说明:  

当前系统中有 A ， B ， C 三个服务，服务 A 是上游，服务 B 是中游，服务 C 是下游 . 它们的调用链如下：

一旦下游服务 C 因某些原因变得不可用，积压了大量请求，服务 B 的请求线程也随之阻塞。线程资源逐渐耗尽，使得服务B 也变得不可用。紧接着，服务 A 也变为不可用，整个调用链路被拖垮。

 

像这种调用链路的连锁故障，叫做雪崩。

熔断机制

在这种时候，就需要我们的熔断机制来挽救整个系统。

1. 开启熔断

在固定时间窗口内，接口调用超时比率达到一个阈值，会开启熔断。

进入熔断状态后，后续对该服务接口的调用不再经过网络，直接执行本地的默认方法，达到服务降级的效果。

2. 熔断恢复

熔断不可能是永久的。当经过了规定时间之后，服务将从熔断状态回复过来，再次接受调用方的远程调用。

熔断机制实现

1. Spring Cloud Hystrix

Spring Cloud Hystrix 是基于 Netflix 的开源框架 Hystrix 实现，该框架实现了服务熔断、线程隔离等一系列服务保护功能。

对于熔断机制的实现， Hystrix 设计了三种状态：

熔断关闭状态（Closed ）：服务没有故障时，熔断器所处的状态，对调用方的调用不做任何限制。

熔断开启状态（Open）： 在固定时间内（Hystrix 默认是 10 秒），接口调用出错比率达到一个阈值（ Hystrix 默认为50%），会进入熔断开启状态。进入熔断状态后， 后续对该服务接口的调用不再经过网络，直接执行本地的fallback 方法。

半熔断状态（Half-Open）： 在进入熔断开启状态一段时间之后（Hystrix 默认是 5 秒），熔断器会进入半熔断状态。所谓半熔断就是尝试恢复服务调用，允许有限的流量调用该服务，并监控调用成功率。如果成功率达到预期，则说明服务已恢复，进入熔断关闭状态；如果成功率仍旧很低，则重新进入熔断开启状态。

三个状态的转化关系如下图：

2. Sentinel

Sentinel 和 Hystrix 的原则是一致的 : 当调用链路中某个资源出现不稳定，例如，表现为timeout，异常比例升高的时候，则对这个资源的调用进行限制，并让请求快速失败，防止避免影响到其它的资源，最终产生雪崩的效果。

Sentinel 熔断手段:

通过并发线程数进行限制

通过响应时间对资源进行降级

系统负载保护

---

6.6 服务链路追踪

什么是链路追踪

分布式微服务架构上通过业务来划分服务的，通过 REST 调用对外暴露的一个接口，可能需要很多个服务协同才能完成这个接口功能，如果链路上任何一个服务出现问题或者网络超时，都会形成导致接口调用失败。随着业务的不断扩张，服务之间互相调用会越来越复杂。

随着服务的越来越多，对调用链的分析会越来越复杂。它们之间的调用关系也许如下： 

分布式链路追踪（ Distributed Tracing ），也叫 分布式链路跟踪，分布式跟踪，分布式追踪 等等。 其实就是将一次分布式请求还原成调用链路。显示的在后端查看一次分布式请求的调用情况，比如各个节点上的耗时、请求具体打到了哪台机器上、每个服务节点的请求状态等等。

 

链路跟踪具备的功能

1. 故障快速定位

通过调用链跟踪，一次请求的逻辑轨迹可以用完整清晰的展示出来。开发中可以在业务日志中添加调用链ID ，可以通过调用链结合业务日志快速定位错误信息。

2. 各个调用环节的性能分析 

在调用链的各个环节分别添加调用时延，可以分析系统的性能瓶颈，可以进行针对性的优化。通过分析各个环节的平均时延，QPS 等信息，可以找到系统的薄弱环节，对一些模块做调整。

3. 数据分析

调用链绑定业务后查看具体每条业务数据对应的链路问题，可以得到用户的行为路径，经过了哪些服务器上的哪个服务，汇总分析应用在很多业务场景。

4. 生成服务调用拓扑图

通过可视化分布式系统的模块和他们之间的相互联系来理解系统拓扑。点击某个节点会展示这个模块的详情，比如它当前的状态和请求数量。

链路跟踪设计原则

1. 设计目标

低侵入性，应用透明

低损耗

大范围部署，扩展性

2. 埋点和生成日志

埋点即系统在当前节点的上下文信息，可以分为客户端埋点、服务端埋点，以及客户端和服务端双向型埋点。埋点日志通常要包含以下内容：

TraceId 、 RPCId 、调用的开始时间，调用类型，协议类型，调用方 ip 和端口，请求的服务名等信息；调用耗时，调用结果，异常信息，消息报文等

3. 抓取和存储日志

日志的采集和存储有许多开源的工具可以选择，一般来说，会使用离线 + 实时的方式去存储日志，主要是分布式日志采集的方式。典型的解决方案如Flume 结合 Kafka 。

4. 分析和统计调用链数据

一条调用链的日志散落在调用经过的各个服务器上，首先需要按 TraceId 汇总日志，然后按照RpcId 对调用链进行顺序整理。调用链数据不要求百分之百准确，可以允许中间的部分日志丢失。

5. 计算和展示

汇总得到各个应用节点的调用链日志后，可以针对性的对各个业务线进行分析。需要对具体日志进行整理，进一步储存在HBase 或者关系型数据库中，可以进行可视化的查询。

链路跟踪Trace模型

Trace 调用模型，主要有以下概念：

Client && Server ：对于跨服务的一次调用，请求发起方为 client ，服务提供方为 Server 各术语在一次分布式调用中，关系如下图所示

 

链路跟踪系统实现: 

大的互联网公司都有自己的分布式跟踪系统，比如 Google 的 Dapper ， Twitter 的 zipkin ，淘宝的鹰眼，新浪的Watchman ，京东的 Hydra 等等

---

7.架构设计基本原则

架构最重要的就是编程思想：

1. 利于开发者

2. 利于公司

3. 利于客户

7.1 开闭原则

开闭原则的定义

开闭原则：软件实体应当对扩展开放，对修改关闭，这就是开闭原则的经典定义。

这里的软件实体包括以下几个部分：

1. 项目中划分出的模块

2. 类与接口

3. 方法

开闭原则的含义是：当应用的需求改变时，在不修改软件实体的源代码或者二进制代码的前提下，可以扩展模块的功能，使其满足新的需求。

开闭原则的作用

开闭原则是面向对象程序设计的终极目标，它使软件实体拥有一定的适应性和灵活性的同时具备稳定性和延续性。具体来说，其作用如下。

1. 对软件测试的影响

2. 可以提高代码的可复用性

3. 可以提高软件的可维护性

开闭原则的实现方法

可以通过 “ 抽象约束、封装变化 ” 来实现开闭原则，即通过接口或者抽象类为软件实体定义一个相对稳定的抽象层，而将相同的可变因素封装在相同的具体实现类中。

---

7.2 单一职责原则

单一职责原则的定义

单一职责原则又称单一功能原则，这里的职责是指类变化的原因，单一职责原则规定一个类应该有且仅有一个引起它变化的原因，否则类应该被拆分。

该原则提出对象不应该承担太多职责，如果一个对象承担了太多的职责，至少存在以下两个缺点：

1. 一个职责的变化可能会削弱或者抑制这个类实现其他职责的能力；

2. 当客户端需要该对象的某一个职责时，不得不将其他不需要的职责全都包含进来，从而造成冗余代码或代码的浪费。

单一职责原则的优点

单一职责原则的核心就是控制类的粒度大小、将对象解耦、提高其内聚性。如果遵循单一职责原则将有以下优点。

1. 降低类的复杂度

2. 提高类的可读性

3. 提高系统的可维护性

4. 变更引起的风险降低

---

7.3 接口隔离原则

接口隔离原则的定义

接口隔离原则要求程序员尽量将臃肿庞大的接口拆分成更小的和更具体的接口，让接口中只包含客户感兴趣的方法。

接口隔离原则和单一职责都是为了提高类的内聚性、降低它们之间的耦合性，体现了封装的思想，但两者是不同的：

1. 单一职责原则注重的是职责，而接口隔离原则注重的是对接口依赖的隔离。

2. 单一职责原则主要是约束类，它针对的是程序中的实现和细节；接口隔离原则主要约束接口，主要针对抽象和程序整体框架的构建。

接口隔离原则的优点

接口隔离原则是为了约束接口、降低类对接口的依赖性，遵循接口隔离原则有以下 5 个优点。

1. 提高系统的灵活性和可维护性

2. 降低系统的耦合性。

3. 保证系统的稳定性

4. 使用多个专门的接口还能够体现对象的层次，因为可以通过接口的继承，实现对总接口的定义。

5. 能减少项目工程中的代码冗余

接口隔离原则的实现方法

在具体应用接口隔离原则时，应该根据以下几个规则来衡量。

1. 接口尽量小，但是要有限度。一个接口只服务于一个子模块或业务逻辑。

2. 为依赖接口的类定制服务。只提供调用者需要的方法，屏蔽不需要的方法。

3. 了解环境，拒绝盲从。每个项目或产品都有选定的环境因素，环境不同，接口拆分的标准就不同深入了解业务逻辑。

4. 提高内聚，减少对外交互。使接口用最少的方法去完成最多的事情。

---

7.4 里氏替换原则 

里氏替换原则的定义

里氏替换原则主要阐述了有关继承的一些原则。里氏替换原则是继承复用的基础，它反映了基类与子类之间的关系，是对开闭原则的补充，是对实现抽象化的具体步骤的规范。总结: 子类可以扩展父类的 功能，但不能改变父类原有的功能

里氏替换原则的作用

里氏替换原则的主要作用如下。

1. 里氏替换原则是实现开闭原则的重要方式之一。

2. 它克服了继承中重写父类造成的可复用性变差的缺点。

3. 它是动作正确性的保证。即类的扩展不会给已有的系统引入新的错误，降低了代码出错的可能性。

4. 加强程序的健壮性，同时变更时可以做到非常好的兼容性，提高程序的维护性、可扩展性，降低需求变更时引入的风险。

里氏替换原则的实现方法

根据上述理解，对里氏替换原则的定义可以总结如下：

1. 子类可以实现父类的抽象方法，但不能覆盖父类的非抽象方法

2. 子类中可以增加自己特有的方法

---

7.5 依赖倒置原则

依赖倒置原则定义

依赖倒置原则的原始定义为：高层模块不应该依赖低层模块，两者都应该依赖其抽象；抽象不应该依赖细节，细节应该依赖抽象。其核心思想是：要面向接口编程，不要面向实现编程 。

依赖倒置原则的作用

依赖倒置原则的主要作用如下。

1. 可以降低类间的耦合性。

2. 可以提高系统的稳定性。

3. 可以减少并行开发引起的风险。

4. 可以提高代码的可读性和可维护性。

---

7.6 迪米特法则

迪米特法则的定义

迪米特法则又叫作最少知识原则 , 迪米特法则的定义是：只与你的直接朋友交谈，不跟 “ 陌生人 ”说 话。其含义是：如果两个软件实体无须直接通信，那么就不应当发生直接的相互调用，可以通过第三方转发该调用。其目的是降低类之间的耦合度，提高模块的相对独立性。

迪米特法则的优点

迪米特法则要求限制软件实体之间通信的宽度和深度，正确使用迪米特法则将有以下两个优点。

1. 降低了类之间的耦合度，提高了模块的相对独立性。

2. 由于亲合度降低，从而提高了类的可复用性和系统的扩展性。

迪米特法则的实现方法

从迪米特法则的定义和特点可知，它强调以下两点：

1. 从依赖者的角度来说，只依赖应该依赖的对象。

2. 从被依赖者的角度说，只暴露应该暴露的方法。

---

7.7 合成复用原则

合成复用原则的定义

合成复用原则（ Composite Reuse Principle ， CRP ）又叫组合 / 聚合复用原则（Composition/Aggregate Reuse Principle ， CARP ）。它要求在软件复用时，要尽量先使用组合或者聚合等关联关系来实现，其次才考虑使用继承关系来实现。

如果要使用继承关系，则必须严格遵循里氏替换原则。合成复用原则同里氏替换原则相辅相成的，两者都是开闭原则的具体实现规范。

合成复用原则的重要性

通常类的复用分为继承复用和合成复用两种，继承复用虽然有简单和易实现的优点，但它也存在以下缺点。

1. 继承复用破坏了类的封装性

2. 子类与父类的耦合度高

3. 它限制了复用的灵活性

采用合成复用原则时，他可以将已有对象纳入新对象中，使之成为新对象的一部分，新对象可以调用已有对象的功能，它有以下优点。

1. 它维持了类的封装性

2. 新旧类之间的耦合度低

3. 复用的灵活性高

合成复用原则的实现方法

合成复用原则是通过将已有的对象纳入新对象中，作为新对象的成员对象来实现的，新对象可以调用已有对象的功能，从而达到复用。