Sentinel 隔离与降级

文章目录

隔离和降级

限流是一种预防措施，虽然限流可以尽量避免因高并发而引起的服务故障，但服务还会因为其它原因而故障。

而要将这些故障控制在一定范围，避免雪崩，就要靠线程隔离（舱壁模式）和熔断降级手段了。

线程隔离

线程隔离：调用者在调用服务提供者时，给每个调用的请求分配独立线程池，出现故障时，最多消耗这个线程池内资源，避免把调用者的所有资源耗尽。

例如下图流程所示：

调用者分配了两个单独的线程池：业务1和业务2，业务1对接服务B，业务2对接服务C，当服务C宕机了，只有业务2线程池受影响；业务1与服务B的对接不受影响。

熔断降级

熔断降级：是在调用方这边加入断路器，统计对服务提供者的调用，如果调用的失败比例过高，则熔断该业务，不允许访问该服务的提供者了。

例如下图流程所示：

服务A若是有几条线程对接服务D失败了，那么就熔断该条业务，不让其余新来的业务在于服务D进行对接。

可以看到，不管是线程隔离还是熔断降级，都是对客户端（调用方）的保护。需要在调用方 发起远程调用时做线程隔离、或者服务熔断。

而我们的微服务远程调用都是基于Feign来完成的，因此我们需要将Feign与Sentinel整合，在Feign里面实现线程隔离和服务熔断。

下面我们来介绍下Feign结合Sentinel的应用

1.FeignClient整合Sentinel

SpringCloud中，微服务调用是通过Feign来实现的，因此做客户端保护必须整合Feign和Sentinel。

1.1.修改配置，开启sentinel功能

修改OrderService的application.yml文件，开启Feign的Sentinel功能：

feign:
  sentinel:
    enabled: true # 开启feign对sentinel的支持

1.2.编写失败降级逻辑

业务失败后，不能直接报错，而应该返回用户一个友好提示或者默认结果，这个就是失败降级逻辑。

那么我们就要先给FeignClient编写失败后的降级逻辑：

我们使用 FallbackFactory，对远程调用的异常做处理

具体步骤如下：

步骤一：在feing-api项目中定义类，实现FallbackFactory：

代码如下：

package cn.itcast.feign.clients.fallback;

import cn.itcast.feign.clients.UserClient;
import cn.itcast.feign.pojo.User;
import feign.hystrix.FallbackFactory;
import lombok.extern.slf4j.Slf4j;

@Slf4j
public class UserClientFallbackFactory implements FallbackFactory<UserClient> {
    
    
    @Override
    public UserClient create(Throwable throwable) {
    
    
        return new UserClient() {
    
    
            @Override
            public User findById(Long id) {
    
    
                log.error("查询用户异常", throwable);
                return new User();
            }
        };
    }
}

步骤二：在feing-api项目中的DefaultFeignConfiguration类中将UserClientFallbackFactory注册为一个Bean：

@Bean
public UserClientFallbackFactory userClientFallbackFactory(){
    
    
    return new UserClientFallbackFactory();
}

步骤三：在feing-api项目中的UserClient接口中使用UserClientFallbackFactory：

import cn.itcast.feign.clients.fallback.UserClientFallbackFactory;
import cn.itcast.feign.pojo.User;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;

@FeignClient(value = "userservice", fallbackFactory = UserClientFallbackFactory.class)
public interface UserClient {
    
    

    @GetMapping("/user/{id}")
    User findById(@PathVariable("id") Long id);
}

重启后，访问一次订单查询业务，然后查看sentinel控制台，可以看到新的簇点链路：

Feign整合Sentinel的步骤总结：

在application.yml中配置：feign.sentienl.enable=true
给FeignClient编写FallbackFactory并注册为Bean
将FallbackFactory配置到FeignClient

2.线程隔离（舱壁模式）

2.1.线程隔离的实现方式

线程隔离有两种方式实现：

线程池隔离：给每个服务调用业务分配一个线程池，利用线程池本身实现隔离效果
信号量隔离：不创建线程池，而是计数器模式，记录业务使用的线程数量，达到信号量上限时，禁止新的请求。

隔离原理如下图所示：

2.1.1.两者的特点：

信号量隔离的特点：

基于计数器模式，简单，开销小

线程池隔离的特点：

基于线程池模式，有额外开销，但隔离控制更强

2.1.2.两者的优缺点：

线程池隔离：

优点：支持主动超市、支持异步调用
缺点：线程的额外开销比较大
所以适用于低扇出的场景（也就是控制和协调下级模块较少的情况）

信号量隔离：

优点：轻量级、无需额外开销
缺点：不支持主动超时、不支持异步调用
所以适用于高频调用、高扇出的场景（也就是控制和协调下级模块较多的情况）

ps：扇入扇出知识回顾：软件工程中的概念

扇入：是指直接调用该模块的上级模块的个数。扇入大表示模块的复用程序高。

扇出：是指该模块直接调用的下级模块的个数。扇出大表示模块的复杂度高，需要控制和协调过多的下级模块；

2.2.sentinel的线程隔离

Sentinel的隔离策略是信号量隔离

用法说明：

在添加限流规则时，可以选择两种阈值类型：

QPS：就是每秒的请求数
线程数：是该资源能使用用的tomcat线程数的最大值。也就是通过限制线程数量，实现线程隔离（舱壁模式）。

案例需求：给 order-service服务中的UserClient的查询用户接口设置流控规则，线程数不能超过 2。然后利用jemeter测试。

1）配置隔离规则

选择feign接口后面的流控按钮：

填写表单：

2）Jmeter测试

我们设置是个线程进行请求

一次发生10个请求，有较大概率并发线程数超过2，而超出的请求会走之前定义的失败降级逻辑。

此时如果发生失败降级，那么那些请求将不能到达业务

查看运行结果：

有时候可能是结果通过了，不过请求得到的响应是降级返回的null信息。

3.熔断降级

熔断降级是解决雪崩问题的重要手段。其思路是由断路器统计服务调用的异常比例、慢请求比例，如果超出阈值则会熔断该服务。即拦截访问该服务的一切请求；而当服务恢复时，断路器会放行访问该服务的请求。

断路器控制熔断和放行是通过状态机来完成的：

状态机包括三个状态：

closed：关闭状态，断路器放行所有请求，并开始统计异常比例、慢请求比例。超过阈值则切换到open状态
open：打开状态，服务调用被熔断，访问被熔断服务的请求会被拒绝，服务会快速失败，直接走降级逻辑。Open状态5秒后会进入half-open状态
half-open：半开状态，放行一次请求，根据执行结果来判断接下来的操作。
- 请求成功：则切换到closed状态（状态机的closed状态）
- 请求失败：则切换到open状态（继续熔断服务）