亿级流量系统高可用架构:从限流降级到容灾切换的工程实践
一、高并发场景的系统性风险:从单点故障到雪崩效应
亿级流量系统的可用性挑战不是单一故障点的问题,而是级联失效的风险。一个下游服务的超时可能导致上游服务的线程池耗尽,进而影响更多依赖该上游服务的系统,形成雪崩效应。更危险的是"慢请求"——比超时更难检测,却同样会逐步吞噬系统资源。
高可用架构的核心不是"不出故障",而是"故障发生时系统仍能提供有保障的服务"。这需要从限流、熔断、降级、容灾四个维度构建防御体系,每一层都有明确的触发条件和恢复策略。
二、高可用架构的防御层次与容灾机制
高可用架构采用纵深防御策略,从入口到服务层逐级过滤异常流量和请求。
flowchart TB subgraph 接入层防御 A[CDN 边缘节点] --> B[WAF 规则过滤] B --> C[API Gateway 限流<br/>全局限流 + 用户级限流] end subgraph 服务层防御 C --> D[线程池隔离<br/>不同业务独立线程池] D --> E[熔断器<br/>Sentinel / Resilience4j] E --> F[服务降级<br/>返回兜底数据] end subgraph 数据层防御 F --> G[读写分离<br/>主库故障切换到从库] G --> H[缓存降级<br/>Redis 不可用时切本地缓存] H --> I[数据兜底<br/>静态化页面 / 离线数据] end subgraph 容灾切换 J[健康检查探针] --> K{主集群健康?} K -->|是| L[正常服务] K -->|否| M[DNS 切换<br/>流量导向备集群] M --> N[备集群接管<br/>只读模式或降级服务] end style C fill:#f9f,stroke:#333 style E fill:#9ff,stroke:#333限流是第一道防线,在入口处控制流量水位。全局限流保护系统整体容量,用户级限流防止单个用户占用过多资源。熔断器是第二道防线,当下游服务的错误率或延迟超过阈值时,自动切断调用链路,避免资源持续消耗。降级是第三道防线,在系统压力过大时主动关闭非核心功能,将资源集中保障核心链路。
三、高可用核心模块的生产级实现
// RateLimiterManager.java —— 多级限流管理器 @Component public class RateLimiterManager { private final RedisTemplate<String, String> redisTemplate; // 限流配置 private static final int GLOBAL_QPS_LIMIT = 50000; // 全局 QPS 上限 private static final int USER_QPS_LIMIT = 100; // 单用户 QPS 上限 private static final int API_QPS_LIMIT = 5000; // 单 API QPS 上限 /** * 滑动窗口限流:基于 Redis ZSET 实现 * 精度高于固定窗口,避免窗口边界处的突发流量 */ public boolean allowRequest(String key, int maxQps, int windowSeconds) { long now = System.currentTimeMillis(); String redisKey = "rate_limit:" + key; String memberId = String.valueOf(now); // Lua 脚本保证原子性 String luaScript = """ local key = KEYS[1] local now = tonumber(ARGV[1]) local window = tonumber(ARGV[2]) * 1000 local limit = tonumber(ARGV[3]) local member = ARGV[4] -- 移除窗口外的旧记录 redis.call('ZREMRANGEBYSCORE', key, 0, now - window) -- 获取当前窗口内的请求数 local count = redis.call('ZCARD', key) if count < limit then -- 未超限,添加当前请求 redis.call('ZADD', key, now, member) redis.call('EXPIRE', key, window / 1000 + 1) return 1 else return 0 end """; DefaultRedisScript<Long> script = new DefaultRedisScript<>(luaScript, Long.class); Long result = redisTemplate.execute( script, Collections.singletonList(redisKey), String.valueOf(now), String.valueOf(windowSeconds), String.valueOf(maxQps), memberId ); return result != null && result == 1; } /** * 多级限流检查:全局 → API → 用户 * 任一级别超限即拒绝 */ public RateLimitResult check(HttpServletRequest request) { String userId = request.getHeader("X-User-Id"); String apiPath = request.getRequestURI(); // 第一级:全局限流 if (!allowRequest("global", GLOBAL_QPS_LIMIT, 1)) { return RateLimitResult.rejected("全局限流", GLOBAL_QPS_LIMIT); } // 第二级:API 级限流 if (!allowRequest("api:" + apiPath, API_QPS_LIMIT, 1)) { return RateLimitResult.rejected("API 限流: " + apiPath, API_QPS_LIMIT); } // 第三级:用户级限流 if (userId != null && !allowRequest("user:" + userId, USER_QPS_LIMIT, 1)) { return RateLimitResult.rejected("用户限流: " + userId, USER_QPS_LIMIT); } return RateLimitResult.allowed(); } } // CircuitBreakerManager.java —— 熔断器管理 @Component @Slf4j public class CircuitBreakerManager { private final Map<String, CircuitBreaker> breakers = new ConcurrentHashMap<>(); /** * 获取或创建熔断器实例 * 每个下游服务一个独立的熔断器 */ public CircuitBreaker getOrCreate(String serviceName, CircuitBreakerConfig config) { return breakers.computeIfAbsent(serviceName, name -> CircuitBreaker.of(name, config) ); } /** * 带熔断保护的远程调用 * 熔断触发时执行降级逻辑 */ public <T> T executeWithBreaker( String serviceName, Supplier<T> action, Supplier<T> fallback) { CircuitBreaker breaker = breakers.get(serviceName); if (breaker == null) { // 未配置熔断器,直接执行 return action.get(); } // 检查熔断器状态 if (breaker.getState() == CircuitBreaker.State.OPEN) { log.warn("熔断器开启,执行降级: service={}", serviceName); return fallback.get(); } try { T result = action.get(); breaker.onSuccess(); return result; } catch (Exception e) { breaker.onError(e); log.warn("远程调用失败,熔断器记录错误: service={}, error={}", serviceName, e.getMessage()); // 半开状态下失败直接降级 if (breaker.getState() == CircuitBreaker.State.OPEN) { return fallback.get(); } throw e; } } } // DegradationManager.java —— 降级策略管理器 @Component @Slf4j public class DegradationManager { private final Map<String, DegradationRule> rules = new ConcurrentHashMap<>(); private final Map<String, Boolean> degradationStatus = new ConcurrentHashMap<>(); /** * 注册降级规则 */ public void registerRule(DegradationRule rule) { rules.put(rule.getFeatureName(), rule); degradationStatus.put(rule.getFeatureName(), false); } /** * 检查功能是否已降级 */ public boolean isDegraded(String featureName) { return degradationStatus.getOrDefault(featureName, false); } /** * 手动触发降级 */ public void degrade(String featureName, String reason) { DegradationRule rule = rules.get(featureName); if (rule == null) { log.warn("未注册的降级规则: {}", featureName); return; } degradationStatus.put(featureName, true); log.warn("功能降级: feature={}, reason={}, fallback={}", featureName, reason, rule.getFallbackDescription()); } /** * 恢复已降级的功能 */ public void recover(String featureName) { degradationStatus.put(featureName, false); log.info("功能恢复: feature={}", featureName); } /** * 获取降级状态下的兜底数据 */ @SuppressWarnings("unchecked") public <T> T getFallbackData(String featureName, T defaultValue) { DegradationRule rule = rules.get(featureName); if (rule != null && rule.getFallbackData() != null) { return (T) rule.getFallbackData(); } return defaultValue; } }四、高可用架构的代价与适用边界
限流的代价:限流在保护系统的同时,也拒绝了部分合法请求。全局限流阈值设置过低会导致正常流量被误杀,过高则无法有效保护系统。建议基于历史流量数据(P99 QPS 的 1.2 倍)设置阈值,并配置动态调整能力——大促期间临时提升阈值。
熔断的误判风险:熔断器基于统计窗口内的错误率做决策,窗口过小容易因瞬时抖动误触发,窗口过大则响应迟缓。建议设置最小请求数阈值(如 10 次请求后才计算错误率),避免低流量场景下的误判。
降级的用户体验:降级后的功能体验必然劣于正常状态,需要向用户明确提示当前服务状态。更关键的是降级后的数据一致性——降级期间产生的数据需要在恢复后做补偿,否则会导致数据丢失或不一致。
五、总结
亿级流量系统的高可用架构采用纵深防御策略,从限流、熔断、降级到容灾逐级构建防御体系。限流控制流量水位,熔断切断故障链路,降级保障核心功能,容灾实现跨集群切换。每一层防御都有代价——限流拒绝合法请求,熔断可能误判,降级损害体验。高可用架构的设计核心不是消除故障,而是在故障发生时仍能提供有保障的服务,这需要在保护力度和用户体验之间做出有依据的取舍。