服务注册与发现-Eureka （高可用设计）

什么是高可用

部署需要考虑的是什么：

1、系统遇到单点失效问题，如何能够快速切换到其他节点完成任务

2、如何应对网络故障，即系统如何设计成“故障开放型”（expecting failure）的

典型的问题包括：

1、意外故障（box failure）

2、高延迟

3、网络分割问题（注：由于交换机故障导致交换机底下的子网间不能互访）

高可用的表现

1、对于Service发现服务而言，宁可返回某服务5分钟之前在哪几个服务器上可用的信息，也不能因为暂时的网络故障而找不到可用的服务器

2、如果出现类似网络分割的问题，网络中的各个节点也能被访问到，没有丢失，确保健康的服务任然有效

说一说CAP定理

C- 数据一致性；

A-服务可用性；

P-服务对网络分区故障的容错性

 

EUREKA的解决方案

Eureka客户端是一个java客户端，用来简化与服务器的交互、作为轮询负载均衡器，并提供服务的故障切换支持。Eureka一开始就被设计成高可用与可伸缩的Service发现服务，这两个特点也是Netflix公司开发所有平台的两个特色。Eureka就是为发现服务所设计的，它有独立的客户端程序库，同时提供心 跳服务、服务健康监测、自动发布服务与自动刷新缓存的功能。

具体表现如下：

1、在Eureka平台中，如果某台服务器宕机，客户端请求会自动切换到新的Eureka节点；当宕机的服务器重新恢复后，Eureka会再次将其纳入到服务器集群管理之中；而对于它来说，所有要做的无非是同步一些新的服务注册信息而已

2、Eureka内置了心跳服务，用于淘汰一些“濒死”的服务器，但是当网络分割故障发生时， 这也是非常危险的，会杀死原本健康的服务，幸运的是，Netflix考虑到了这个缺陷。如果Eureka服务节点在短时间里丢失了大量的心跳连接（注：可能发生了网络故障），那么这个 Eureka节点会进入”自我保护模式“，同时保留那些“心跳死亡“的服务注册信息不过期。此时，这个Eureka节点对于新的服务还能提供注册服务，对 于”死亡“的仍然保留，以防还有客户端向其发起请求。当网络故障恢复后，这个Eureka节点会退出”自我保护模式“。所以Eureka的哲学是，同时保 留”好数据“与”坏数据“总比丢掉任何”好数据“要更好，所以这种模式在实践中非常有效。

3、Eureka还有客户端缓存功能（注：Eureka分为客户端程序与服务器端程序两个部分，客户端程序负责向外提供注册与发现服务接口）。 所以即便Eureka集群中所有节点都失效，或者发生网络分割故障导致客户端不能访问任何一台Eureka服务器，Eureka服务的消费者仍然可以通过 Eureka客户端缓存来获取现有的服务注册信息。

 

补充：Eureka的自我保护机制

在默认配置中，Eureka Server在默认90s没有得到客户端的心跳，则注销该实例，但是往往因为微服务跨进程调用，网络通信往往会面临着各种问题，比如微服务状态正常，但是因为网络分区故障时，Eureka Server注销服务实例则会让大部分微服务不可用，这很危险，因为服务明明没有问题。

为了解决这个问题，Eureka 有自我保护机制，通过在Eureka Server配置如下参数，可启动保护机制

eureka.server.enable-self-preservation=true

它的原理是，当Eureka Server节点在短时间内丢失过多的客户端时（可能发送了网络故障），那么这个节点将进入自我保护模式，不再注销任何微服务，当网络故障回复后，该节点会自动退出自我保护模式。