前言:进入到第五天的服务保护和分布式,这一节的内容很重要,关于分布式,事务的处理,好好理解强一致性和最终一致性,也许现在无法深入体会,但是,我们永远不可能说自己的数据百分之百强一致性,更多时候,我们允许出现短暂不一致,追求最终一致性,性能和强一致性是不可兼得的.

级联失败问题,跨微服务事务问题

级联失败，在某个微服务中通过feign去同步阻塞地调用其他服务暴露的接口，当被调用的微服务性能下降/宕机，那么调用的微服务也会因此而阻塞，那么该微服务也会因此占住耗费服务的资源（线程池、连接池），从而宕机，这种因微服务链中一个微服务性能下降/宕机而导致整个微服务链逐渐不可用户的过程就是级联失败,也叫做雪崩问题.

比如:

还是查询购物车的业务，假如商品服务业务并发较高，占用过多Tomcat连接。可能会导致商品服务的所有接口响应时间增加，延迟变高，甚至是长时间阻塞直至查询失败。

此时查询购物车业务需要查询并等待商品查询结果，从而导致查询购物车列表业务的响应时间也变长，甚至也阻塞直至无法访问。而此时如果查询购物车的请求较多，可能导致购物车服务的Tomcat连接占用较多，所有接口的响应时间都会增加，整个服务性能很差， 甚至不可用。

还有跨服务的事务问题：

比如下单业务，下单的过程中需要调用多个微服务：

• 商品服务：扣减库存

• 订单服务：保存订单

• 购物车服务：清理购物车

这些业务全部都是数据库的写操作，我们必须确保所有操作的同时成功或失败。但是这些操作在不同微服务，也就是不同的Tomcat，这样的情况如何确保事务特性呢？

1.微服务保护

保证服务运行的健壮性，避免级联失败导致的雪崩问题，就属于微服务保护。这章我们就一起来学习一下微服务保护的常见方案以及对应的技术。

服务保护方案

微服务保护的方案有很多，比如：

• 请求限流

• 线程隔离

• 服务熔断

这些方案或多或少都会导致服务的体验上略有下降，比如请求限流，降低了并发上限；线程隔离，降低了可用资源数量；服务熔断，降低了服务的完整度，部分服务变的不可用或弱可用。因此这些方案都属于服务降级的方案。但通过这些方案，服务的健壮性得到了提升，

接下来，我们就逐一了解这些方案的原理。

请求限流

服务故障最重要原因，就是并发太高！解决了这个问题，就能避免大部分故障。当然，接口的并发不是一直很高，而是突发的。因此请求限流，就是限制或控制接口访问的并发流量，避免服务因流量激增而出现故障。

 

请求限流往往会有一个限流器，数量高低起伏的并发请求曲线，经过限流器就变的非常平稳。这就像是水电站的大坝，起到蓄水的作用，可以通过开关控制水流出的大小，让下游水流始终维持在一个平稳的量。

 

线程隔离

当一个业务接口响应时间长，而且并发高时，就可能耗尽服务器的线程资源，导致服务内的其它接口受到影响。所以我们必须把这种影响降低，或者缩减影响的范围。线程隔离正是解决这个问题的好办法。

线程隔离的思想来自轮船的舱壁模式：

轮船的船舱会被隔板分割为N个相互隔离的密闭舱，假如轮船触礁进水，只有损坏的部分密闭舱会进水，而其他舱由于相互隔离，并不会进水。这样就把进水控制在部分船体，避免了整个船舱进水而沉没。

为了避免某个接口故障或压力过大导致整个服务不可用，我们可以限定每个接口可以使用的资源范围，也就是将其“隔离”起来。

如图所示，我们给查询购物车业务限定可用线程数量上限为20，这样即便查询购物车的请求因为查询商品服务而出现故障，也不会导致服务器的线程资源被耗尽，不会影响到其它接口。

服务熔断

线程隔离虽然避免了雪崩问题，但故障服务（商品服务）依然会拖慢购物车服务（服务调用方）的接口响应速度。而且商品查询的故障依然会导致查询购物车功能出现故障，购物车业务也变的不可用了。

所以，我们要做两件事情：

• 编写服务降级逻辑：就是服务调用失败后的处理逻辑，根据业务场景，可以抛出异常，也可以返回友好提示或默认数据。

• 异常统计和熔断：统计服务提供方的异常比例，当比例过高表明该接口会影响到其它服务，应该拒绝调用该接口，而是直接走降级逻辑。

Sentinel

cart-service模块中整合sentinel，连接sentinel-dashboard控制台，步骤如下：

1.引入依赖

<!--sentinel-->
<dependency>
    <groupId>com.alibaba.cloud</groupId> 
    <artifactId>spring-cloud-starter-alibaba-sentinel</artifactId>
</dependency>

2.配置控制台

spring:
  cloud: 
    sentinel:
      transport:
        dashboard: localhost:8090

3.访问cart-service的任意端点

1.请求限流

重启cart-service，然后访问查询购物车接口，sentinel的客户端就会将服务访问的信息提交到sentinel-dashboard控制台。并展示出统计信息,点击簇点链路菜单,看到/cartsQPS等信息

所谓簇点链路，就是单机调用链路，是一次请求进入服务后经过的每一个被Sentinel监控的资源。默认情况下，Sentinel会监控SpringMVC的每一个Endpoint（接口）。

因此，我们看到/carts这个接口路径就是其中一个簇点，我们可以对其进行限流、熔断、隔离等保护措施。

不过，需要注意的是，我们的SpringMVC接口是按照Restful风格设计，因此购物车的查询、删除、修改等接口全部都是/carts路径

默认情况下Sentinel会把路径作为簇点资源的名称，无法区分路径相同但请求方式不同的接口，查询、删除、修改等都被识别为一个簇点资源，这显然是不合适的。(因为都是以/cart开头的,分不出更细的路径了),添加以下配置

spring:
  cloud:
    sentinel:
      transport:
        dashboard: localhost:8090
      http-method-specify: true # 开启请求方式前缀

可以看到每一个具体的接口了

可以看出GET:/carts这个接口的通过QPS稳定在6附近，而拒绝的QPS在4附近，符合我们的预期。

2.线程隔离

请求限流是限制某个接口的qps量,线程隔离是对某个出现了故障的微服务进行隔离,避免将整个tomcat的资源消耗殆尽,或者,给微服务之间限制线程数,防止某个微服务挂了之后引发雪崩反应.

即便商品服务出现故障，最多导致查询购物车业务故障，并且可用的线程资源也被限定在一定范围，不会导致整个购物车服务崩溃。

所以，我们要对查询商品的FeignClient接口做线程隔离。

OpenFeign整合Sentinel,Jemeter测试

feign:
  sentinel:
    enabled: true # 开启feign对sentinel的支持

虽然查询购物车的并发很高,但是添加购物车,删除购物车等和购物车相关的业务却不会因此受到影响.这就证明线程隔离起到了作用，尽管查询购物车这个接口并发很高，但是它能使用的线程资源被限制了，因此不会影响到其它接口.

3.服务熔断

 

在上节课，我们利用线程隔离对查询购物车业务进行隔离，保护了购物车服务的其它接口。由于查询商品的功能耗时较高（我们模拟了500毫秒延时），再加上线程隔离限定了线程数为5，导致接口吞吐能力有限，最终QPS只有10左右。这就导致了几个问题：

第一，超出的QPS上限的请求就只能抛出异常，从而导致购物车的查询失败。但从业务角度来说，即便没有查询到最新的商品信息，购物车也应该展示给用户，用户体验更好。也就是给查询失败设置一个降级处理逻辑。

第二，由于查询商品的延迟较高（模拟的500ms），从而导致查询购物车的响应时间也变的很长。这样不仅拖慢了购物车服务，消耗了购物车服务的更多资源，而且用户体验也很差。对于商品服务这种不太健康的接口，我们应该直接停止调用，直接走降级逻辑，避免影响到当前服务。也就是将商品查询接口熔断。

理解降级:服务降级，则是不致命的服务暂时不可用，或者是在高并发场景下，主动放弃边缘业务，为核心业务进行释放资源，降级返回默认数据（缓存数据/静态页面）。(用户查询购物车,就算看不到最大的商品数据,至少也要返回之前的数据或者进行诸如"当前查询人数太多稍后再试,而不是直接返回异常,降低用户体验")

理解熔断:熔断则是服务保护，避免整个服务链路因为单个服务而产生级联失败。

FallbackFactory.作降级处理

当你在 Feign 客户端接口里配置了 fallback 属性，那么在请求被熔断时就会调用 fallback 指定的类中的方法,就不必返回的异常界面!

在hm-api模块中给ItemClient定义降级处理类，实现FallbackFactory

package com.hmall.api.client.fallback;

import com.hmall.api.client.ItemClient;
import com.hmall.api.dto.ItemDTO;
import com.hmall.api.dto.OrderDetailDTO;
import com.hmall.common.exception.BizIllegalException;
import com.hmall.common.utils.CollUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.cloud.openfeign.FallbackFactory;

import java.util.Collection;
import java.util.List;

@Slf4j
public class ItemClientFallback implements FallbackFactory<ItemClient> {
    @Override
    public ItemClient create(Throwable cause) {
        return new ItemClient() {
            @Override
            public List<ItemDTO> queryItemByIds(Collection<Long> ids) {
                log.error("远程调用ItemClient#queryItemByIds方法出现异常，参数：{}", ids, cause);
                // 查询购物车允许失败，查询失败，返回空集合
                return CollUtils.emptyList();
            }

            @Override
            public void deductStock(List<OrderDetailDTO> items) {
                // 库存扣减业务需要触发事务回滚，查询失败，抛出异常
                throw new BizIllegalException(cause);
            }
        };
    }
}

让我们好好理解这个降级逻辑:

首先,如果我们远程调用的itemClient因为限流,熔断被挂了,那么就会直接进入到我们的fallback逻辑之中

第一,如果是查询购物车的远程调用挂了,进入到方法create()之中,也会创建一个ItemClient，去返回一些提示信息,最后返回了一个购物车空集合,查不到商品,至少不是直接抛异常.

第二.第二个fallback直接抛出异常,如果远程调用涉及分布式事务，为保证事务一致性：降级逻辑应当抛异常，让上游立刻进入异常分支，从而触发事务回滚。仅在非强一致性场景才会返回默认值。(后面马上说分布式)

服务熔断

Sentinel中的断路器不仅可以统计某个接口的慢请求比例，还可以统计异常请求比例。当这些比例超出阈值时，就会熔断该接口，即拦截访问该接口的一切请求，降级处理；当该接口恢复正常时，再放行对于该接口的请求。

这种是按照慢调用比例来做熔断，上述配置的含义是：

• RT超过200毫秒的请求调用就是慢调用

• 统计最近1000ms内的最少5次请求，如果慢调用比例不低于0.5，则触发熔断

• 熔断持续时长20s

sentinel远不止在控制台点几个按钮这些功能,后面会进一步说明sentinel功能,由于黑马商城没有再深入讲解,这篇博客就不说了.

2.分布式

由于订单、购物车、商品分别在三个不同的微服务，而每个微服务都有自己独立的数据库，因此下单过程中就会跨多个数据库完成业务。而每个微服务都会执行自己的本地事务：

• 交易服务：下单事务

• 购物车服务：清理购物车事务

• 库存服务：扣减库存事务

整个业务中，各个本地事务是有关联的。因此每个微服务的本地事务，也可以称为分支事务。多个有关联的分支事务一起就组成了全局事务。我们必须保证整个全局事务同时成功或失败。

我们知道每一个分支事务就是传统的单体事务，都可以满足ACID特性，但全局事务跨越多个服务、多个数据库.不能满足.

事务并未遵循ACID的原则，归其原因就是参与事务的多个子业务在不同的微服务，跨越了不同的数据库。虽然每个单独的业务都能在本地遵循ACID，但是它们互相之间没有感知，不知道有人失败了，无法保证最终结果的统一，也就无法遵循ACID的事务特性了。

这就是分布式事务问题，出现以下情况之一就可能产生分布式事务问题：

• 业务跨多个服务实现

• 业务跨多个数据源实现

其实要保证分布式事务的一致性是很困难的,在相当一段时间内,都无法实现,尽管现在新技术出现,但是,永远无法保证数据不会出现不一致性

seata

 

其实分布式事务产生的一个重要原因，就是参与事务的多个分支事务互相无感知，不知道彼此的执行状态。因此解决分布式事务的思想非常简单：

就是找一个统一的事务协调者，与多个分支事务通信，检测每个分支事务的执行状态，保证全局事务下的每一个分支事务同时成功或失败即可。大多数的分布式事务框架都是基于这个理论来实现的。

Seata也不例外，在Seata的事务管理中有三个重要的角色：

• TC (Transaction Coordinator) - 事务协调者：维护全局和分支事务的状态，协调全局事务提交或回滚。

• TM (Transaction Manager) - 事务管理器：定义全局事务的范围、开始全局事务、提交或回滚全局事务。

• RM (Resource Manager) - 资源管理器：管理分支事务，与TC交谈以注册分支事务和报告分支事务的状态，并驱动分支事务提交或回滚。

参与分布式的每一个事务都要集成seata,以trade-service为例子

2.配置文件

3.添加数据库表

seata的客户端在解决分布式事务的时候需要记录一些中间数据，保存在数据库中。因此我们要先准备一个这样的表。

XA模式和AT模式

XA 模式 —— 强一致，硬扛

• 机制：完全依赖数据库的 XA 协议，一阶段预提交，锁死不放；二阶段由协调器统一 COM MIT 或 ROLLBACK。

• 回滚方式：数据库原生回滚，数据从来没真正“提交”过。

• 核心代价：长锁，性能极差，并发一高就死锁。

• 优点：强一致，不会读到未确认的数据。

• 必备组件：数据库必须支持 XA，不需要 undo_log 表。

AT 模式 —— 最终一致，先斩后奏

• 机制：Seata 自己管理，一阶段直接提交并释放本地锁，同时记录 undo_log 快照；二阶段如果成功，异步删日志；如果失败，根据快照反向补偿 SQL 进行回滚。

• 回滚方式：补偿操作（再执行一段反向 SQL 把数据改回去），是应用层的“反悔”。

• 核心代价：存在中间状态（脏读可能），需全局锁防脏写，需维护 undo_log 表。

• 优点：性能高，锁时间极短，吞吐量远超 XA。

• 必备组件：必须建 undo_log 表，对数据库无特殊要求。

---

选型指南

• 高并发、长事务、互联网业务 → 无脑选 AT(基本都是)

• 对一致性要求极严、能忍受极低并发（如金融核心账务系统） → 考虑 XA

保证数据尽可能一致,或者万一不一致在极短时间内恢复很复杂,商城讲的浅显,大部分公司根本没有达到那么高的并发量,这时候微服务分布式纯粹是增加复杂度,单体架构ACID足以,不可能百分之一百保持数据一致,更加复杂的技术,商业,金融,人工客服,赔钱hhhh都是解决方案.微服务学习，黑马商城仅仅是开头，这里的分布式也远不止于此，课程讲到了这里，其他的不说了。