软件架构解构高可用

一、何谓系统稳定性？

控制系统理论认为：

系统受到某种干扰而偏离正常状态，当干扰消除，如果系统的扰动能逐渐收敛并最终恢复正常状态，则系统是稳定的，反之，系统偏离正常越来越大，则是不稳定的。所以，稳定性是系统抗干扰和返回平衡状态的能力。

对于经典的传递函数的软件系统，一般我们讲的稳定指的是**“BIBO稳定”，即有界输入有界输出稳定**。一个系统如果对任意有界输入得到有界输出，它就是BIBO稳定的。一句话，稳定的系统对于各种有效输入需要有符合预期的输出，它应该像不倒翁一样。

随着服务规模越来越大，稳定性的重要性越来越高，随着软件复杂性越来越高，稳定性保障越来越难。阿里云CEO行癫把稳定性比喻成木桶的底板，如果稳定性出问题，则一滴水也装不下，所以，工程师在设计和开发软件的时候，要坚持底板思维。

我们的软件需求和计划很少考虑非功能部分，然而软件的结构和实现却有非常大的比重服务于此，这也许是软件项目计划经常延期的重要原因。

二、如何保障稳定性？

虽然理论上没有绝对稳定的系统，但我们依然可以有所作为，使我们设计和开发的系统在生产环境接近稳定运行。

从大的方面讲，稳定性保障，可以分成3个部分：

制度纪律

• 编码规范、代码提交门禁
• Code Review（人肉）
• 静态代码扫描，动态代码分析（工具）
• Unit Test、压测
• 灰度发布、Rollback、应急预案
• 监控
• 复盘、故障树分析

思想之道

• 保持简单
• 不（零）信任（面向失败）设计

实践之术

• 冗余设计（数据、计算、带宽冗余）
• 无状态设计（快速恢复）
• 容错、灾备
• 隔离（防止雪崩）
• 过载保护（限流、熔断、有损服务）
• 失败重试策略，避免流量风暴
• 去关键路径、去中心化、避免单点故障
• 负载均衡（Load Balance）
• 降级
• 看门狗设计
• 安全编码

三、制度纪律

通过制度去规范操作和行为，通过纪律去约束大家在框架内活动，被证明是保障稳定的第一道防线，也是减少出错行之有效的方式。

纪律是关键，只有持之以恒的遵守制度，才能避免方法和规定沦为空谈。

但制度和纪律只是划出质量底线，只能解决大多数稳定性问题，难以发现一些隐匿的问题，需要配合思想之道和实践之术，持续改进软件质量，才能全面保障稳定性。

四、思想之道

道是大的层面，它具有全局性的指导意义，我从众多的指导思想里，挑选最重要的两点：保持简单和不信任（面向失败）设计，重点展开。

1. 保持简单

复杂是稳定性的天敌，保持简单即保持稳定。单一职责，功能清晰即是践行保持简单。

把简单的东西搞复杂很容易，而化繁为简则堪称化腐朽为神奇。所以保持简单并不是低要求，它需要你透过表象洞悉事物本质，用最直接最土味的方式解决问题，做技术的同学有一个奇怪的癖好，喜欢把自己最近琢磨的东西用到项目中，不然总有锦衣夜行的感觉。

我的建议是“学深用浅”。引入复杂性，一方面要权衡收益，另一方面要警惕危害，要理解项目开发很多时候是团队合作，任何复杂性的引入都会对合作者提出更高要求，严以律人是危险的，低门槛才是符合人性的。

2. 不信任设计、面向失败设计

不信任设计又叫零信任设计，和面向失败的设计有相似之处，其本质都是防御性编程思想。

不信任设计思想假设依赖的上下游都不靠谱，假设周围都是坏人，假设攻击无处不在。

内部不可信，外部不可信。

措施：边界控制 + 身份认证 + 核查校验

网络服务需要对客户端请求参数做严格验证，不仅检查合法性，也要验证NaN。游戏开发有一句名言：假设客户端的数据都是假的。

进程内的函数调用大多时候很安全，会有可预期的结果，但如果跨进程调用（RPC）的可靠性则会低很多，可能超时，可能丢包，也可能失败，调用者必须意识并处理好各种异常情况，是重试？如果重试的话重试多少次？重试之间的间隔应该怎么确定？请求的上下文怎么保存和恢复？

我们要正确理解不信任设计的内涵，避免用力过猛，警惕借面向失败设计之名行无效编程之实，比如已经对客户端请求数据做了严格校验，在服务器处理过程中，重复检验，比如已经对接口入参判空，在内部调用过程中重复判断。这会混入无效代码，降低代码浓度，损伤可读性和执行效率，除了一点心理安慰并不起实际作用，本质上是违背“保持简单”原则的。

plus：谷歌的零信任架构的本质是以身份为基石的动态可信访问控制。

五、实践之术

术是局部层面，它是实践经验，牵扯方方面面，难以尽数枚举。

如果以文章写作类比软件开发，谋篇布局相当于设计层面，设计层面要致广远，遣词造句相当于实现层面，实现层面要尽精微。

所谓千里之堤溃于蚁穴，防微杜渐需要一以贯之的执行。

1. 冗余设计

冗余设计指留出安全余量，不满负荷跑，冗余包括数据冗余、计算冗余、带宽冗余。

数据冗余指一份数据多个副本，一主多备。

计算冗余，比如服务实例的QPS极限是10K，但实际上我们会按5K跑，这样，即使出现请求超速增长，依然有反应时间。

2. 无状态设计（快速恢复设计）

互联网服务很多都是无状态设计，服务实例只是逻辑的盒子，后面跟着分布式一致性数据库，这样能极大简化设计，即使实例挂了，客户可以很容易迁移到其他服务实例执行，而有状态设计则要复杂难搞得多。

游戏服务器经常有共享存储的设计，把玩家需要存盘的数据放在SHM，这样即使游戏服务器crash，也能快速恢复，不丢数据。

3. 容错、灾备

容错指我们的系统要有一定的错误容忍能力，这意味错误发生，我们要能查错、检错、避错、甚至改错，只要可能，我们就要吞咽错误，而不传播错误。

灾备这个大家耳熟能详，主从设计，异地备灾，目标都是为了应对各种极限情况，实现服务高可用。

4. 隔离

隔离就是说如果故障发生了，而又不能吞咽，那应该隔离避免错误传播扩散，避免雪崩，千方百计缩小影响范围，提高系统整体可用率，就像感染新冠要被隔离起来一个道理。

隔离设计并非软件行业独创，它是借鉴于造船行业的船舱设计。

隔离又分两种：

• 按功能/服务隔离，缺点：代码跨多个模块会变复杂，会异步，会影响性能。
• 按用户隔离，多租户架构（VIP，用户等级，用户IP），独立性越高，资源利用率越低。

功能隔离和用户隔离并非互斥，可结合起来使用，实施隔离需要兼顾安全性、效率、资源利用率，模块颗粒度。

另外，容器化等技术为隔离提供良好能力支撑。

5. 过载保护

系统过载 = 系统处理能力 < 服务请求量。通常可以用QPS、请求处理的平均时延等去评估系统处理，系统瓶颈指系统中最先接近极限的资源，一般系统资源包括CPU，内存，IO。

过载保护方案分为发生前的过载预防，发生时的过载处置，发生后的过载恢复。

过载预防包括压测，监控，LB，前端预防等，过载恢复一般指假死，宕机后的服务重启，状态恢复等，而过载处置包括：

• 弹性扩容（架构上支持水平扩容时优先考虑的措施）

• 熔断
  熔断机制不止软件设计独有，股市也有，我甚至怀疑软件的熔断机制是从股市学来的。

• 限流
  系统设计要做好资源耗尽、资源不够用的情况，如果服务请求超过服务能力，那就应该限流，这应该作为一种配置，或者自动执行的策略。这个跟地铁限流差不多，处理不了，那就排队。

常见的限流算法有：计数器、漏桶和令牌桶算法。

• 有损服务
  有损服务，我印象中最先是腾讯前CTO张志东提出来的，指如果出现服务能力不够，不能为所有客户所有业务提供服务的异常情况，那系统该有所取舍，保大弃小，尽可能保重要业务，减少损失。有损的意义就是有损失，有损伤的意思，它是一种思维方式，是退而求其次，是不得已而为之。

  • 比如在微信服务器在处理能力有限的情况下，可以优先保消息发送，而关闭朋友圈服务能力。

  • 比如直播业务在带宽有限的情况下，应该降低码率减少清晰度，而不应该拒绝服务。

• 1. Tengine
       Tengine的sysguard模块提供了系统过载保护功能：当系统的内存、CPU、负载或RT等指标达到设定的阈值时，请求会被跳转到指定URL，具体配置参考官网；
• 2. Sentinel
       Sentinel提供了限流、熔断、降级和系统过载保护等功能，而且在阿里内部经历了多处大促活动，稳定性和性能是有保障的，是应用稳定性保障的利器之一；

6. 失败重试策略，避免流量风暴

如果设计一个ToC服务，在客户大规模断连的情况下，客户会重连，重连失败再连，如果重连尝试的频率不控制好，正常客户端重连有可能演变成对服务器的大规模攻击，打爆一台服务器，又去灭另一台，这太吓人了。

重试退避功能用于计算延迟的算法，在退避阶段，从第一次到最后一次重试的延迟时间计算方法（1）线性的（2）算术的（3）几何的（4）指数的：

可以用指数回退方式重试，也可以参考kernel TCP的重连策略，有最大尝试次数，而且重试间隔是逐渐拉大的，避免流量风暴。

7. 去关键路径、去中心化、避免单点故障

企业不要关键先生，关键先生会成为瓶颈，软件也不能把宝压到一个地方，去中心化去集中式，就是降低风险。

去中心化在某种程度上来说，可谓是的互联网世界的共产主义化，区块链即是去中心化思想的最好体现。

8. 负载均衡

load balance其实就是分担压力，LB要避免倾斜，比如对username做负载均衡，可能c开头的用户远比v开头的用户多，从而导致倾斜。

有多种LB算法，比如RR，比如一致性hash，各有利弊，有兴趣可以研究下。

LB不仅限于服务，进程内的多线程可能也会需要考虑这个问题。

9. 降级

降级可以是自动降级或人工降级，可以是读服务降级或写服务降级。

• 降级处理方案：
  • 返回默认值：比如库存调用超时，返回默认现货
  • 返回兜底数据：通常是异常或错误发生时最后适用的数据，比如预备的静态页面、默认的数据
  • 返回缓存数据
  • 返回空值
  • 放弃调用

降级发生场景：

• 读降级：多级缓存模式下，如接入层缓存–>应用层缓存–>分布式缓存(Redis Clusters)–>RPC / DB，可由远及近的顺序降级读缓存，这种方式适用于对读一致性要求不高的场景。另外，也可走静态页，或屏蔽读
• 写降级：只更新Cache，之后异步扣减库存到DB，保证最终一致性即可。

10. 看门狗和心跳机制

可以参考kernel的watch dog，其实就是看护机制，检测错误并努力掰过来。

11. 安全编码

安全编码是一个职业程序员的基本要求，安全编码规则很多，很细节的一些规矩。这个可能跟语言相关，如果是C++相关的可以参考：C++的门门道道

C相关的规则要少一些，我顺手列举一些。

• 比如要注意初始化。
• 比如全局变量不要有构造顺序的依赖。
• 比如慎用强转，强转等于接管了编译帮你做的类型检查。
• 比如理解线程安全函数，理解可重入的概念，理解信号机制。
• 比如要避免死锁，理解ABBA锁理解自死锁。
• 比如要谨防资源泄漏。
• 比如处理好内存分配失败的情况，理解野/悬垂指针。
• 比如要处理好边界，防止越界，溢出。
• 比如内存拷贝要避免内存重叠，理解memmove的用途。
• 比如理解递归的低效和栈的大小限制，避免爆栈。
• 比如建议使用STD安全版本函数(_s+n)版本。
• 比如了解unsigned < 0导致死循环的情况。
• 比如了解浮点数跟0比较的问题。
• 比如理解整型数据溢出和反转。
• 比如不要返回临时变量的引用或者指针，理解栈帧动态伸缩的原理。
• 比如理解做好把关检查的必要性，包括系统把关和模块把关。

六、小结

最后来读段经典：

《系统化思维导论》一书中引用冯诺依曼的话写道：如果你观察一些自动装置，不论它们是人类设计的还是自然界本来就存在的，你通常会发现，它们的结构很大程度上受控于它们可能失效的方式，以及针对失效所采取的防御性措施（多少有些效果），说它们能预防失效有点夸张，它们不是能预防失效的，只是被设计成试图达到这种状态，这样至少大部分失效都不会是毁灭性的。所以，根本谈不上消除失效，或完全消除失效带来的影响。我们能尝试的只是设计一种自动装置，在大部分失效发生时仍能继续工作，这种装置减轻了失效的后果，而不是治愈失效，大部分人造的和自然界存在的自动装置，其内部原理都是如此。