导读:适合正在用 Spring Cloud Alibaba 的 Java 开发者,或者对微服务稳定性治理感兴趣的后端同学。读完能直接上手 Sentinel 配置,理解每种策略在什么场景下用。
用户请求 → 用户服务 → Feign调用 → 计数服务(响应超时)
↓ 线程阻塞
用户服务也开始超时 → 线程池耗尽 → 级联扩散 → 全链路崩溃

打个比方:一条高速公路,最右车道有一辆车抛锚了,后面跟着的车全都堵住了,然后堵塞蔓延到出口匝道,最后整条路瘫痪。服务雪崩就是"分布式系统里的高速公路连环堵车"。
要防止雪崩,需要在调用链上设四道防线。
一、四道防线:熔断、降级、隔离、限流
熔断(Circuit Breaking) 是分布式系统中最重要的故障隔离机制——当依赖服务出问题时,主动切断调用,避免故障扩散。它和家里电闸的保险丝逻辑一模一样:电流过载,保险丝熔断,保护电器不被烧毁。
熔断器的工作模式是三个状态的循环:

降级(Degradation) 是熔断的搭档。熔断是"不调了",降级是"调不通时给个兜底"。比如计数服务熔断了,给用户返回缓存的计数数据或者默认值 0,而不是直接报错"小哥正在修复中"。我把它叫做"壮士断腕"——牺牲次要功能,保住核心体验。
可能有人会问:熔断和降级不是一回事吗?
不是。熔断是开关——决定"调不调";降级是策略——决定"调不通时怎么办"。两者配合使用:熔断触发后执行降级逻辑,熔断恢复后恢复正常调用。
资源隔离(Bulkhead) 来自船舶设计的水密舱壁概念——把船体分成多个独立隔舱,一个舱进水不会沉船。在代码里,就是给不同下游服务分配独立的线程池或信号量,让慢服务只拖垮自己,不连累其他接口。

限流(Rate Limiting) 是下游服务自己的防线——"宁可拒绝,不可打垮"。地铁入口的刷卡闸机就是限流,游客再多,放行速度恒定,站台不会发生踩踏。
二、Sentinel 登场:阿里开源的流量卫士
Sentinel 是阿里巴巴开源的流量控制与系统保护组件,专为微服务高可用设计。它和 Spring Cloud Alibaba 深度整合,提供流控、熔断降级、系统自适应保护、热点参数限流等能力,是目前国内 Java 微服务流量治理的事实标准。

Sentinel 的核心概念是资源(Resource)——需要被保护的代码逻辑。通过 @SentinelResource 注解声明资源后,就可以在控制台或配置中心为其设置规则。
引入 Sentinel 只需两步:加依赖、配控制台地址。然后在方法上加注解即可:
@SentinelResource(value = "findUserCountData", blockHandler = "handleFlowLimit")
public Response<?> findUserCountData(ReqDTO req) {
// 业务逻辑
}
三、流控实战:三种效果怎么选
Sentinel 流控规则有三个核心选项——流控效果(2026 年 7 月实测,适用于 Sentinel 1.8.6+):

快速失败(默认):基于令牌桶算法,请求拿不到令牌直接拒绝,返回 BlockException。适合对响应时间敏感、宁可失败也不等待的场景。
Warm Up(预热):服务刚启动时,令牌生成速率从低到高渐进增长(冷启动因子默认为 3)。比如 QPS 阈值设为 15,预热期内仅放行 5,10 秒预热后达到满额。这对缓存未加载、JIT 未优化的冷启动窗口特别有用。
排队等待:基于漏桶算法,请求超出阈值时不立即拒绝,而是排队等待一段时间(如 500ms)。适合对延迟不那么敏感但希望尽量处理请求的场景——"用时间换空间"。
四、熔断与降级:慢调用、异常比例、异常数
Sentinel 支持三种熔断策略:
| 策略 | 触发条件 | 适用场景 |
|---|---|---|
| 慢调用比例 | 响应时间超过最大 RT 的请求占比超阈值 | 下游服务性能退化 |
| 异常比例 | 指定时间窗内异常占比超阈值 | 下游服务偶发报错 |
| 异常数 | 指定时间窗内异常个数超阈值 | 低流量场景精确控制 |
触发熔断后,通过 @FeignClient(fallback = XxxFallback.class) 指定降级类,返回兜底数据。关键细节:全局异常捕获器会"吞掉" Runtime 异常导致 Sentinel 无法感知,所以需要在异常处理器中把 Runtime 异常原样抛出。
有个坑我踩过:Sentinel 默认不监控 Feign 调用,需要在配置里手动开启
feign.sentinel.enabled: true,否则"簇点链路"里看不到 Feign 接口资源,熔断规则写了也不生效。
五、Sentinel vs Hystrix:该选谁
| 对比维度 | Sentinel | Hystrix |
|---|---|---|
| 维护状态 | 活跃维护(阿里 + 社区) | 已停维(进入维护模式) |
| 熔断策略 | 慢调用/异常比例/异常数 3 种 | 仅基于失败率 |
| 流控效果 | 快速失败/预热/排队等待 | 仅线程池隔离 |
| 规则持久化 | 支持 Nacos/Apollo/ZK | 需自建 |
| 线程隔离 | 基于信号量(轻量) | 线程池 + 信号量 |
| 控制台 | Dashboard 功能完善 | 较简单 |
可能有人会问:老项目用的还是 Hystrix,需要迁移吗?
如果运行稳定,不必急着迁。但新项目或正在做技术改造的项目,Sentinel 是更好的选择——官方停维意味着安全漏洞没人修,这是底线问题。迁移成本不高,API 层面用
@SentinelResource替换@HystrixCommand即可。
Hystrix 是 Netflix 开山之作,线程池隔离做得更成熟——支持主动超时和异步调用。但官方已停维,Sentinel 流量治理在规则丰富度、持久化支持、控制台体验上都更优。如果你是 Spring Cloud Alibaba 技术栈,Sentinel 是不二之选。
六、规则不能丢:Nacos 持久化方案
Sentinel 默认的"原始模式"有一个致命问题:规则通过 API 推送到客户端内存,服务重启后规则全部丢失。生产环境必须用 Push 模式。

正确的链路是:Nacos 控制台编辑规则 → Nacos 配置中心 → Sentinel 客户端 → 规则管理器。
具体步骤:
- 引入
sentinel-datasource-nacos依赖 - 在
bootstrap.yml中配置数据源:
spring:
cloud:
sentinel:
datasource:
flow:
nacos:
serverAddr: http://127.0.0.1:8848
namespace: your-namespace
groupId: DEFAULT_GROUP
dataId: sentinel-flow-rules
ruleType: flow
- 在 Nacos 中创建配置,用 JSON 数组定义规则:
[{
"resource": "findUserCountData",
"grade": 1,
"count": 10,
"strategy": 0,
"controlBehavior": 0,
"clusterMode": false
}]
配置发布后,Sentinel 控制台刷新即可看到规则;重启服务规则依然存在。在 Nacos 中修改阈值,客户端实时生效。
七、底层算法:滑动窗口与漏桶
限流、熔断的判断都依赖计数——"1 秒内有多少次失败"、"QPS 是否超过阈值"。计数不准,规则就形同虚设。
固定窗口计数是最朴素的方案——把时间切成 1 秒窗口,每来一个请求计数器 +1,到阈值就拒绝。但它有一个致命缺陷:在窗口边界处,0.5s~1.5s 区间内的实际 QPS 可能是阈值的 2 倍,这就是"临界突刺"问题。
滑动窗口解决了这个问题:窗口不再与时间轴绑定,而是随着请求时间移动。窗口内划分 N 个时区(N 越大越精确),统计的是"当前时间前 Interval 内"的总请求数。

漏桶算法则更进一步,不管进来的水流多大,出去的水速恒定。Sentinel 的"排队等待"就是基于漏桶实现的——业务波动再大,经过漏桶整形的请求始终是一条平滑曲线。
![漏桶算法:突发请求进入队列,固定速率流出,溢出丢弃]
八、延伸:分布式事务与 Seata
服务保护和事务保障是微服务稳定性的两面——前者防雪崩,后者保数据一致。
Seata(Simple Extensible Autonomous Transaction Architecture) 是阿里 2019 年开源的分布式事务框架,核心思想是引入一个 TC(事务协调者) 统一管理各分支事务的提交与回滚。Seata 支持 AT、TCC、XA、SAGA 四种模式,其中 AT 模式在 90% 的场景下够用:一阶段直接提交(不锁资源)+ 记录 undo log 快照,二阶段成功则删快照、失败则回写快照,兼顾性能与一致性。
Seata 同样深度整合 Nacos,TC 注册到 Nacos,客户端通过 Nacos 发现 TC 地址,配置全部集中在 Nacos 共享配置中管理——和 Sentinel 的持久化思路一脉相承。