跳闸了啊！ 服务容灾：熔断器简介

雪崩效应

现如今SOA、微服务风愈演愈烈，越来越多的业务和资源被以服务的形式包装和发布，服务间又可能会依赖其他各种服务。由此而来不可避免的会产生很多问题。

比如一个服务，其依赖了另外30个服务。假设每个服务的可用率都有三个9（99.9%），那么我们计算一下：

99.99%^30 = 99.7%

现实很残酷，这个服务的实际可用性只能是99.7%，也就是说每个月这个服务都要好宕机8000+秒~~~

正常用户请求时，服务内部依次请求A\P\H\I服务，兵返回响应结果。

非常不幸，我们的I服务出了某些问题，此时我们的用户请求就被堵塞在I服务处。

更加悲剧的是，后续越来越多的请求都被堵塞在I服务处，而这些被堵塞的请求会占用线程、IO、网络等系统资源，随着资源被占用的越来越多，本来不存在的性能问题也会随之而来，造成系统中的其他服务出现问题，甚至导致系统奔溃。

这也就是我们常说的雪崩效应

---

服务容灾

为了避免出现服务的雪崩，我们需要对服务做容灾处理。

常规的服务容灾处理思路有：

• 资源隔离
• 超时设定
• 服务降级
• 服务限流

其中每种思路又可以有不同的解决方案。

比如资源隔离可以通过将不同的服务发布在独立的docker容器或服务器中，这样即使一个服务出现问题，也不会殃及池鱼。

服务降级和服务限流可以通过前端nginx+lua来实现，当服务处理延迟或宕机时，nginx可以直接返回固定的降级/失败响应，已快速跳过问题服务。

---

Hystrix

Hystrix，是Netflix的一个开源熔断器，通过Hystrix，我们可以很方便的实现资源隔离、限流、超时设计、服务降级等服务容灾措施，并且还提供了强大的监控，可以查看各个熔断器的允许情况。

通过上图，可以看出，Hystrix提供了一个HystrixCommand用来包装调用请求。HystrixCommand的执行流程大概如下：
1.首先检查缓存中是否有结果。如果有则直接返回缓存结果。
2.判断断路器是否开启，如果断路器闭合，执行降级业务逻辑并返回降级结果。
3.判断信号量/线程池资源是否饱和，如饱和则执行降级业务逻辑并返回降级结果。
4.调用实际服务，如发生异常，执行降级业务逻辑并返回降级结果，并调整断路器阈值。
5.判断实际业务是否超时，超时则返回超时响应结果，并调整断路器阈值。

了解了流程，来看下如何使用Hystrix。首先我们需要定义一个命令类来包装我们的业务调用:

//继承HystrixCommand
public class CommandHelloFailure extends HystrixCommand<String> {

    private final String name;

    public CommandHelloFailure(String name) {
		//设置分组key，分组key可以用在报表、监控中，默认的线程池隔离也基于分组key
         super(Setter.withGroupKey(HystrixCommandGroupKey.Factory.asKey("ExampleGroup"))
			//指定命令key，可
            .andCommandKey(HystrixCommandKey.Factory.asKey("HelloWorld"))
			//指定线程池key，取代默认的分组key
            .andThreadPoolKey(HystrixThreadPoolKey.Factory.asKey("HelloWorldPool")));
		/*
		//线程池隔离模式，不写默认是线程池隔离模式
		HystrixCommandProperties.Setter()
		   .withExecutionIsolationStrategy(ExecutionIsolationStrategy.THREAD)
		//信号量隔离模式
		HystrixCommandProperties.Setter()
		   .withExecutionIsolationStrategy(ExecutionIsolationStrategy.SEMAPHORE)
		//超时时间，默认1秒
		HystrixCommandProperties.Setter()
		   .withExecutionTimeoutInMilliseconds(int value)  
		//信号量模式下，最大并发请求限流，默认值10
		HystrixCommandProperties.Setter()
		   .withFallbackIsolationSemaphoreMaxConcurrentRequests(int value)  
		//熔断器阈值，默认20
		HystrixCommandProperties.Setter()
			.withCircuitBreakerRequestVolumeThreshold(int value)
		//熔断器关闭时间，默认5秒
		HystrixCommandProperties.Setter()
			.withCircuitBreakerSleepWindowInMilliseconds(int value)
		*/
        this.name = name;
    }

    @Override
	//执行实际服务，这里模拟全部返回异常
    protected String run() {
        throw new RuntimeException("this command always fails");
    }

    @Override
	//执行降级业务
    protected String getFallback() {
        return "Hello Failure " + name + "!";
    }

	@Override
	//从缓存中获取
    protected String getCacheKey() {
        ...
    }
} 

使用这个命令类也非常简单：

//同步执行
String s = new CommandHelloWorld("Bob").execute();
//异步执行
Future<String> s = new CommandHelloWorld("Bob").queue();
//响应式
Observable<String> s = new CommandHelloWorld("Bob").observe();

通过Hystrix提供的监控界面，我们可以观察到各个熔断器的执行情况：

更多说明和例子可以查看Hystrix的wiki。

---

Hystrix和Spring boot

想在spring boot中使用Hystrix就更加简单了，只需要引入spring-cloud-starter-hystrix，

<dependency>
		<groupId>org.springframework.cloud</groupId>
		<artifactId>spring-cloud-starter-hystrix</artifactId>
</dependency>
<dependency>
		<groupId>org.springframework.cloud</groupId>
		<artifactId>spring-cloud-starter-hystrix-dashboard</artifactId>
</dependency>

然后添加注解使用Hystrix
@EnableCircuitBreaker
@EnableHystrixDashboard

最后在需要使用熔断器的地方标记注解即可。

@HystrixCommand(groupKey = "xxx", fallbackMethod = "yyy")
public String doSomething() 

---

遥想2015年9月7日，上交所、深交所、中金所宣布，拟在保留现有个股涨跌幅制度前提下，引入指数熔断机制。随后A股联系两天下跌熔断，提前收盘。其中这里的熔断机制和我们今天讨论的熔断器思路一致，但是反而导致了A股暴跌，这也说明了我们还是得从根源产出高可用的服务，而不是依赖某些外部措施帮助我们提高可用性。同时说明了A股比咱写的垃圾服务更加不可靠，还是安心当个码农吧。

最后，就问各位童鞋，敢不敢点个赞~~~~

参考资料：
https://github.com/Netflix/Hystrix
http://www.cnblogs.com/jesse2013/p/things-architect-must-know.html