一、分布式容错的本质:故障是常态,容错是核心能力
分布式系统的核心矛盾,是业务对高可用的极致要求与分布式环境天然的不可靠性之间的矛盾。Sun公司提出的分布式系统8大谬误,道破了所有分布式故障的根源:我们默认网络可靠、延迟为零、带宽无限、拓扑固定,但现实中,网络抖动、机器宕机、依赖服务超时、资源耗尽、数据不一致等故障,是分布式系统的常态,而非例外。
分布式容错的核心目标,是在故障发生时,将故障锁定在最小范围内,避免雪崩扩散,保障核心业务的持续可用,最终实现系统的“自愈能力”。一套完整的分布式容错体系,必须覆盖故障检测、故障隔离、故障恢复三大核心环节,三者形成闭环,缺一不可。
二、故障检测:容错体系的前置前提
故障检测是容错的第一道关口——无法精准识别故障,后续的隔离、恢复便无从谈起。故障检测的核心挑战,是在漏判(故障未被识别,流量持续打入故障节点)和误判(正常节点被判定为故障,引发不必要的流量摘除、主从切换)之间找到最优平衡。
2.1 故障的分级定义与检测维度
我们需要建立多层级的故障检测体系,覆盖从底层资源到上层业务的全维度,避免单一检测维度的盲区:
- 资源级故障:CPU使用率持续飙高、内存/磁盘耗尽、网络IO阻塞、线程池队列满、JVM Full GC STW超时等系统资源异常,这类故障会直接导致业务处理能力下降甚至丧失。
- 进程级故障:应用进程崩溃、JVM退出、进程死锁/活锁,此时TCP连接可能仍存活,但业务已完全无法处理。
- 实例级故障:服务实例无法响应健康检查请求、实例注册信息从注册中心摘除,实例整体不可用。
- 接口级故障:具体业务接口的异常率、超时率、响应时间超过阈值,实例整体存活,但部分业务能力丧失,这是最细粒度也是最容易被忽略的故障场景。
2.2 核心检测机制的底层逻辑与易混淆点区分
2.2.1 TCP Keepalive vs 应用层心跳
这是生产环境最常见的认知误区,二者的核心能力边界完全不同:
- TCP Keepalive:传输层的保活机制,默认2小时发送一次探测包,仅能验证TCP连接的网络链路是否通畅,无法感知应用层的状态。比如应用进程发生死锁,TCP连接仍处于ESTABLISHED状态,但业务已完全无法处理请求,此时TCP Keepalive会判定连接正常,出现严重的漏判。
- 应用层心跳:业务层面的存活探测,客户端与服务端通过约定的心跳接口,周期性交换业务层的存活状态、负载信息。它不仅能验证网络连通性,还能验证应用进程、业务线程池、核心依赖的健康状态,是分布式系统故障检测的核心基础。
2.2.2 固定超时检测 vs 自适应故障检测
固定超时检测是最简单的检测方式:超过预设时间未收到心跳响应,即判定节点故障。但分布式网络存在天然的抖动,固定超时无法适配动态的网络环境:超时设置过短,会引发大量误判;超时设置过长,会导致故障发现不及时,扩大业务影响。
自适应故障检测的行业标准方案,是Phi Accrual Failure Detector,已在Akka、Cassandra、Gossip协议等主流分布式组件中大规模落地。其核心逻辑是:基于历史心跳的延迟分布,计算出phi值——代表节点故障的置信度,phi值越高,节点故障的概率越大。例如phi=5时,节点故障的概率为99.999%,此时即可判定节点故障。
该算法完全自适应网络环境的变化,网络抖动时,会自动调整故障判定的阈值,从根本上解决了固定超时的误判与漏判问题。
2.3 故障检测生产级实现
2.3.1 项目基础依赖配置
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>3.2.4</version>
<relativePath/>
</parent>
<groupId>com.jam.demo</groupId>
<artifactId>distributed-fault-tolerance-demo</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>distributed-fault-tolerance-demo</name>
<properties>
<java.version>17</java.version>
<resilience4j.version>2.2.0</resilience4j.version>
<mybatis-plus.version>3.5.6</mybatis-plus.version>
<fastjson2.version>2.0.52</fastjson2.version>
<guava.version>33.1.0-jre</guava.version>
<lombok.version>1.18.30</lombok.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
<groupId>io.github.resilience4j</groupId>
<artifactId>resilience4j-spring-boot3</artifactId>
<version>${resilience4j.version}</version>
</dependency>
<dependency>
<groupId>org.springdoc</groupId>
<artifactId>springdoc-openapi-starter-webmvc-ui</artifactId>
<version>2.5.0</version>
</dependency>
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>${mybatis-plus.version}</version>
</dependency>
<dependency>
<groupId>com.mysql</groupId>
<artifactId>mysql-connector-j</artifactId>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>com.alibaba.fastjson2</groupId>
<artifactId>fastjson2</artifactId>
<version>${fastjson2.version}</version>
</dependency>
<dependency>
<groupId>com.google.guava</groupId>
<artifactId>guava</artifactId>
<version>${guava.version}</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>${lombok.version}</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<configuration>
<excludes>
<exclude>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</exclude>
</excludes>
</configuration>
</plugin>
</plugins>
</build>
</project>
2.3.2 全维度健康检测接口实现
package com.jam.demo.controller;
import com.baomidou.mybatisplus.core.toolkit.Wrappers;
import com.jam.demo.entity.IdempotentRecord;
import com.jam.demo.mapper.IdempotentRecordMapper;
import io.swagger.v3.oas.annotations.Operation;
import io.swagger.v3.oas.annotations.tags.Tag;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.jdbc.core.JdbcTemplate;
import org.springframework.util.CollectionUtils;
import org.springframework.util.ObjectUtils;
import org.springframework.util.StringUtils;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.List;
import java.util.Map;
/**
* 服务健康检测控制器
*
* @author ken
*/
@Slf4j
@RestController
@RequestMapping("/health")
@Tag(name = "健康检测接口", description = "全维度服务健康状态检测")
public class HealthCheckController {
@Autowired
private JdbcTemplate jdbcTemplate;
@Autowired
private StringRedisTemplate stringRedisTemplate;
@Autowired
private IdempotentRecordMapper idempotentRecordMapper;
/**
* 实例级基础健康检测
*
* @return 服务基础状态
*/
@GetMapping("/base")
@Operation(summary = "基础健康检测", description = "验证服务实例基础存活状态")
public Map<String, Object> baseHealth() {
return Map.of("status", "UP", "timestamp", System.currentTimeMillis());
}
/**
* 全维度深度健康检测
* 覆盖核心依赖:数据库、缓存、核心业务表
*
* @return 全维度健康状态
*/
@GetMapping("/deep")
@Operation(summary = "深度健康检测", description = "验证服务核心依赖与业务能力健康状态")
public Map<String, Object> deepHealth() {
long startTime = System.currentTimeMillis();
Map<String, Object> result = Maps.newHashMap();
result.put("baseStatus", "UP");
result.put("timestamp", startTime);
try {
// 数据库连通性检测
jdbcTemplate.queryForObject("SELECT 1", Integer.class);
result.put("dbStatus", "UP");
// 核心业务表可用性检测
List<IdempotentRecord> records = idempotentRecordMapper.selectList(
Wrappers.lambdaQuery(IdempotentRecord.class).last("LIMIT 1")
);
result.put("bizTableStatus", "UP");
// 缓存连通性检测
String redisKey = "health:check:ping";
stringRedisTemplate.opsForValue().set(redisKey, "pong");
String redisValue = stringRedisTemplate.opsForValue().get(redisKey);
if (StringUtils.hasText(redisValue) && "pong".equals(redisValue)) {
result.put("redisStatus", "UP");
} else {
result.put("redisStatus", "DOWN");
result.put("status", "DOWN");
}
// 整体状态判定
if (!result.containsValue("DOWN")) {
result.put("status", "UP");
}
} catch (Exception e) {
log.error("深度健康检测失败", e);
result.put("status", "DOWN");
result.put("errorMsg", e.getMessage());
}
result.put("checkCost", System.currentTimeMillis() - startTime);
return result;
}
}
2.3.3 Phi Accrual自适应故障检测器实现
package com.jam.demo.detector;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.CollectionUtils;
import java.util.LinkedList;
import java.util.List;
/**
* Phi Accrual自适应故障检测器
* 基于历史心跳延迟分布,自适应判定节点故障状态
*
* @author ken
*/
@Slf4j
public class PhiAccrualFailureDetector {
private static final int MAX_SAMPLE_SIZE = 1000;
private static final double PHI_THRESHOLD = 5.0;
private static final long MIN_STANDARD_DEVIATION_MILLIS = 10L;
private final LinkedList<Long> heartbeatIntervals = new LinkedList<>();
private long lastHeartbeatTime = 0L;
private double meanInterval = 0L;
private double variance = 0L;
/**
* 接收心跳,更新统计数据
*
* @param heartbeatTime 心跳时间戳
*/
public synchronized void heartbeat(long heartbeatTime) {
if (lastHeartbeatTime > 0) {
long interval = heartbeatTime - lastHeartbeatTime;
addIntervalSample(interval);
recalculateStatistics();
}
this.lastHeartbeatTime = heartbeatTime;
}
/**
* 计算当前phi值,判定节点是否故障
*
* @param currentTime 当前时间戳
* @return true-节点故障,false-节点正常
*/
public synchronized boolean isFailure(long currentTime) {
if (lastHeartbeatTime == 0) {
return false;
}
long elapsedTime = currentTime - lastHeartbeatTime;
double phi = calculatePhi(elapsedTime);
return phi >= PHI_THRESHOLD;
}
/**
* 添加心跳间隔样本
*
* @param interval 心跳间隔毫秒数
*/
private void addIntervalSample(long interval) {
if (heartbeatIntervals.size() >= MAX_SAMPLE_SIZE) {
heartbeatIntervals.removeFirst();
}
heartbeatIntervals.add(interval);
}
/**
* 重新计算均值与方差
*/
private void recalculateStatistics() {
if (CollectionUtils.isEmpty(heartbeatIntervals)) {
meanInterval = 0;
variance = 0;
return;
}
// 计算均值
double sum = 0;
for (Long interval : heartbeatIntervals) {
sum += interval;
}
this.meanInterval = sum / heartbeatIntervals.size();
// 计算方差
double varianceSum = 0;
for (Long interval : heartbeatIntervals) {
double diff = interval - meanInterval;
varianceSum += diff * diff;
}
this.variance = varianceSum / heartbeatIntervals.size();
}
/**
* 计算phi值
* phi = -log10(存活概率)
*
* @param elapsedTime 距离上次心跳的时间
* @return phi值
*/
private double calculatePhi(long elapsedTime) {
double standardDeviation = Math.max(Math.sqrt(variance), MIN_STANDARD_DEVIATION_MILLIS);
double normalizedDiff = (elapsedTime - meanInterval) / standardDeviation;
double survivalProbability = calculateNormalDistributionCDF(normalizedDiff);
return -Math.log10(survivalProbability);
}
/**
* 计算正态分布累积分布函数
* 使用Hastings近似算法
*
* @param x 标准化变量
* @return 累积概率
*/
private double calculateNormalDistributionCDF(double x) {
if (x < 0) {
return 1 - calculateNormalDistributionCDF(-x);
}
double t = 1.0 / (1.0 + 0.2316419 * x);
double b1 = 0.319381530;
double b2 = -0.356563782;
double b3 = 1.781477937;
double b4 = -1.821255978;
double b5 = 1.330274429;
double probability = 1.0 - Math.exp(-x * x / 2.0) * t
* (b1 + t * (b2 + t * (b3 + t * (b4 + t * b5)))) / Math.sqrt(2 * Math.PI);
return Math.max(probability, 1e-15);
}
}
三、故障隔离:防止雪崩的核心防线
故障隔离是容错体系的核心,其底层逻辑来自《Release It!》提出的舱壁模式:如同邮轮的水密舱,将系统的资源与业务域划分为独立的故障域,单个故障域的故障只会耗尽自身的资源,不会扩散到整个系统,从根本上避免分布式雪崩。
3.1 故障隔离的核心维度
- 资源隔离:为不同的业务、依赖服务分配独立的资源池(线程池、连接池、内存),避免单个依赖故障耗尽整个服务的资源。
- 业务隔离:核心业务与非核心业务拆分,使用独立的集群、数据库实例,非核心业务故障不会影响核心交易链路。
- 部署隔离:服务实例跨机房、跨可用区部署,单个机房/可用区故障不会导致服务整体不可用。
- 数据隔离:核心数据与非核心数据分库分表存储,避免单表故障影响整个数据库的可用性。
3.2 核心隔离模式的底层逻辑与区分
3.2.1 线程池隔离 vs 信号量隔离
这是服务间调用最常用的两种隔离模式,二者的适用场景与能力边界完全不同,必须根据业务场景精准选型:
| 特性 | 线程池隔离 | 信号量隔离 |
| 隔离方式 | 为每个依赖分配独立的线程池,业务线程与执行线程分离 | 为每个依赖分配独立的信号量计数器,与业务线程共用同一线程 |
| 线程切换 | 存在线程上下文切换,有固定性能开销 | 无线程切换,性能开销极低 |
| 超时控制 | 原生支持独立的超时时间配置,可主动中断超时请求 | 无原生超时控制,仅能依赖调用方的超时机制 |
| 异步支持 | 原生支持异步调用 | 不支持异步调用 |
| 适用场景 | 外部服务依赖、IO密集型调用、需要精准超时控制的场景 | 内部服务依赖、CPU密集型调用、高并发低延迟的核心链路 |
3.2.2 隔离 vs 熔断:易混淆点明确区分
很多开发者会将隔离与熔断混为一谈,二者是互补但完全不同的容错机制:
- 隔离是事前静态防御:在架构设计阶段,通过划分资源池、拆分故障域,提前限制每个依赖的资源上限,从根源上避免故障扩散,是主动的、预防性的设计。
- 熔断是事后动态止损:当依赖的故障指标(异常率、超时率)达到预设阈值时,主动切断对该依赖的流量调用,避免故障持续放大,是被动的、补救性的控制。
生产环境中,二者必须结合使用:隔离是基础,熔断是隔离的补充,形成完整的故障防护体系。
3.2.3 熔断模式的状态机原理
熔断模式的核心是状态机流转,包含三个核心状态,完整的流转流程如下:
- 关闭状态:流量正常调用,熔断器持续统计请求指标,未达到阈值时保持关闭。
- 打开状态:错误率达到阈值,熔断器打开,直接拒绝所有请求,执行降级逻辑。
- 半开状态:熔断等待时间结束后,熔断器进入半开状态,放行少量探测请求,验证依赖服务是否恢复。若探测请求全部成功,切换回关闭状态;若出现失败,重新切换回打开状态。
3.3 故障隔离生产级实现
3.3.1 Resilience4j隔离与熔断配置
resilience4j:
bulkhead:
configs:
default:
max-concurrent-calls: 50
max-wait-duration: 10ms
instances:
payment-service:
base-config: default
max-concurrent-calls: 30
user-service:
base-config: default
max-concurrent-calls: 100
thread-pool-bulkhead:
configs:
default:
core-thread-pool-size: 10
max-thread-pool-size: 20
queue-capacity: 50
keep-alive-duration: 1000ms
instances:
third-party-pay:
core-thread-pool-size: 5
max-thread-pool-size: 10
queue-capacity: 20
circuitbreaker:
configs:
default:
sliding-window-size: 100
sliding-window-type: COUNT_BASED
failure-rate-threshold: 50
minimum-number-of-calls: 10
wait-duration-in-open-state: 5000ms
permitted-number-of-calls-in-half-open-state: 5
record-exceptions:
- java.lang.Exception
instances:
payment-service:
base-config: default
failure-rate-threshold: 30
wait-duration-in-open-state: 3000ms
retry:
configs:
default:
max-retry-attempts: 3
wait-duration: 500ms
enable-exponential-backoff: true
exponential-backoff-multiplier: 2
retry-exceptions:
- java.net.SocketTimeoutException
- java.net.ConnectException
instances:
user-service:
base-config: default
max-retry-attempts: 2
3.3.2 线程池隔离与熔断业务实现
package com.jam.demo.service;
import com.jam.demo.entity.PaymentRequest;
import com.jam.demo.entity.PaymentResult;
import io.github.resilience4j.circuitbreaker.annotation.CircuitBreaker;
import io.github.resilience4j.retry.annotation.Retry;
import io.github.resilience4j.threadpoolbulkhead.annotation.ThreadPoolBulkhead;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Service;
import java.util.concurrent.CompletableFuture;
/**
* 支付服务-故障隔离与熔断实现
*
* @author ken
*/
@Slf4j
@Service
public class PaymentService {
/**
* 第三方支付调用
* 整合线程池隔离、熔断、重试机制
*
* @param request 支付请求参数
* @return 支付结果异步回调
*/
@ThreadPoolBulkhead(name = "third-party-pay")
@CircuitBreaker(name = "payment-service", fallbackMethod = "paymentFallback")
@Retry(name = "payment-service")
public CompletableFuture<PaymentResult> doPayment(PaymentRequest request) {
log.info("开始处理支付请求,订单号:{}", request.getOrderNo());
// 第三方支付接口调用逻辑
PaymentResult result = callThirdPartyPay(request);
return CompletableFuture.completedFuture(result);
}
/**
* 支付失败降级方法
*
* @param request 支付请求参数
* @param e 异常信息
* @return 降级支付结果
*/
private CompletableFuture<PaymentResult> paymentFallback(PaymentRequest request, Exception e) {
log.error("支付服务触发降级,订单号:{},异常信息:", request.getOrderNo(), e);
PaymentResult fallbackResult = new PaymentResult();
fallbackResult.setOrderNo(request.getOrderNo());
fallbackResult.setSuccess(false);
fallbackResult.setMessage("支付通道暂时不可用,请稍后重试");
return CompletableFuture.completedFuture(fallbackResult);
}
/**
* 第三方支付接口调用
*
* @param request 支付请求
* @return 支付结果
*/
private PaymentResult callThirdPartyPay(PaymentRequest request) {
// 第三方支付接口调用实现
PaymentResult result = new PaymentResult();
result.setOrderNo(request.getOrderNo());
result.setSuccess(true);
result.setMessage("支付成功");
result.setPayNo("PAY" + System.currentTimeMillis());
return result;
}
}
3.3.3 信号量隔离业务实现
package com.jam.demo.service;
import com.jam.demo.entity.UserInfo;
import io.github.resilience4j.bulkhead.annotation.Bulkhead;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Service;
/**
* 用户服务-信号量隔离实现
*
* @author ken
*/
@Slf4j
@Service
public class UserService {
/**
* 查询用户信息
* 采用信号量隔离,适配高并发低延迟的内部调用场景
*
* @param userId 用户ID
* @return 用户信息
*/
@Bulkhead(name = "user-service", fallbackMethod = "userInfoFallback")
public UserInfo getUserInfo(Long userId) {
log.info("查询用户信息,用户ID:{}", userId);
// 用户信息查询逻辑
UserInfo userInfo = new UserInfo();
userInfo.setUserId(userId);
userInfo.setUserName("testUser");
userInfo.setUserPhone("13800138000");
return userInfo;
}
/**
* 用户信息查询降级方法
*
* @param userId 用户ID
* @param e 异常信息
* @return 降级用户信息
*/
private UserInfo userInfoFallback(Long userId, Exception e) {
log.error("用户服务触发降级,用户ID:{},异常信息:", userId, e);
UserInfo fallbackUser = new UserInfo();
fallbackUser.setUserId(userId);
fallbackUser.setUserName("未知用户");
return fallbackUser;
}
}
四、故障恢复:容错体系的闭环能力
故障恢复是容错体系的最后一环,核心目标是让系统在无人干预的情况下,自动从故障中恢复,回到正常的服务状态,形成完整的容错闭环。故障恢复的核心前提是无状态设计:无状态的服务实例可以随时重启、扩缩容,不会丢失业务数据,是自动恢复的基础。
4.1 故障恢复的核心模式
4.1.1 自动重试:瞬时故障的最优解决方案
自动重试针对网络抖动、超时等瞬时故障,通过重新发起调用恢复业务正常执行,是成本最低、最常用的恢复手段。但重试必须遵循严格的规范,否则会引发重试风暴,彻底打崩下游服务,造成更大范围的故障。
重试的核心规范:
- 仅针对瞬时故障重试:仅对超时、网络异常等可恢复的故障重试,参数错误、权限不足等业务异常重试无效,绝对不能重试。
- 必须保证幂等性:所有可重试的接口,必须实现严格的幂等性,避免重试导致数据重复、资损等问题。
- 必须设置退避策略:采用固定间隔、指数退避等退避策略,避免重试请求集中爆发,引发重试风暴。
- 必须设置上限:严格限制最大重试次数、最大重试总时长,避免无限重试。
4.1.2 幂等设计:重试与重复请求的基础保障
幂等性的核心定义:同一个请求,执行一次与执行多次的业务结果完全一致。它是所有分布式系统的基础能力,不仅是重试的前提,也是重复提交、异步消息、分布式事务的核心保障。
生产环境主流的幂等实现方案,按适用场景可分为:
- 唯一索引:数据库层面的终极幂等保障,通过业务唯一键(如订单号、请求流水号)建立唯一索引,重复插入会触发唯一键冲突,避免数据重复。
- 幂等表:专门的幂等记录表,记录请求的唯一标识,业务执行前先查询记录是否存在,存在则直接返回结果,不存在则执行业务,执行完成后插入幂等记录。
- 乐观锁:基于版本号机制,通过
UPDATE table SET xxx=xxx, version=version+1 WHERE id=? AND version=?实现,仅当版本号匹配时更新成功,避免并发更新导致的数据不一致。 - 状态机约束:基于业务状态流转,比如订单只有待支付状态才能执行支付操作,已支付的订单无法再次支付,通过业务状态的不可逆性实现幂等。
4.1.3 其他核心恢复模式
- 数据回滚:针对持久化数据的故障,通过本地事务回滚、Saga补偿事务,恢复数据的一致性。
- 主从切换:针对有状态的中间件(数据库、缓存、消息队列),主节点故障时,自动切换到从节点,保障服务持续可用。
- 流量调度:故障实例被摘除后,负载均衡自动将流量调度到健康实例;单机房故障时,自动将流量切换到同城备用机房。
- 自愈扩缩容:基于监控指标,实例故障时自动重启、重建;负载过高时自动扩容实例,负载过低时自动缩容,实现资源的动态适配。
4.2 故障恢复生产级实现
4.2.1 幂等表MySQL建表语句
CREATE TABLE `idempotent_record` (
`id` bigint NOT NULL AUTO_INCREMENT COMMENT '主键ID',
`request_id` varchar(64) NOT NULL COMMENT '请求唯一标识',
`biz_type` varchar(32) NOT NULL COMMENT '业务类型',
`biz_data` json DEFAULT NULL COMMENT '业务执行结果',
`create_time` datetime NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
`expire_time` datetime NOT NULL COMMENT '过期时间',
PRIMARY KEY (`id`),
UNIQUE KEY `uk_request_biz` (`request_id`,`biz_type`),
KEY `idx_expire_time` (`expire_time`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='幂等记录表';
4.2.2 幂等处理核心实现
package com.jam.demo.service;
import com.baomidou.mybatisplus.core.toolkit.Wrappers;
import com.jam.demo.entity.IdempotentRecord;
import com.jam.demo.mapper.IdempotentRecordMapper;
import com.alibaba.fastjson2.JSON;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.transaction.TransactionStatus;
import org.springframework.transaction.support.TransactionCallback;
import org.springframework.transaction.support.TransactionTemplate;
import org.springframework.stereotype.Service;
import org.springframework.util.ObjectUtils;
import org.springframework.util.StringUtils;
import java.time.LocalDateTime;
import java.util.function.Supplier;
/**
* 幂等处理服务
*
* @author ken
*/
@Slf4j
@Service
public class IdempotentService {
@Autowired
private IdempotentRecordMapper idempotentRecordMapper;
@Autowired
private TransactionTemplate transactionTemplate;
/**
* 幂等执行业务逻辑
*
* @param requestId 请求唯一标识
* @param bizType 业务类型
* @param expireTime 幂等记录过期时间
* @param bizSupplier 业务执行逻辑
* @return 业务执行结果
*/
public <T> T executeWithIdempotent(String requestId, String bizType, LocalDateTime expireTime, Supplier<T> bizSupplier) {
if (!StringUtils.hasText(requestId) || !StringUtils.hasText(bizType)) {
throw new IllegalArgumentException("请求唯一标识与业务类型不能为空");
}
if (ObjectUtils.isEmpty(expireTime)) {
throw new IllegalArgumentException("幂等记录过期时间不能为空");
}
// 1. 查询幂等记录是否存在
IdempotentRecord existRecord = idempotentRecordMapper.selectOne(
Wrappers.lambdaQuery(IdempotentRecord.class)
.eq(IdempotentRecord::getRequestId, requestId)
.eq(IdempotentRecord::getBizType, bizType)
);
if (!ObjectUtils.isEmpty(existRecord)) {
log.info("请求已处理,直接返回结果,requestId:{},bizType:{}", requestId, bizType);
return JSON.parseObject(existRecord.getBizData(), Object.class);
}
// 2. 编程式事务执行幂等记录插入与业务逻辑
return transactionTemplate.execute(new TransactionCallback<T>() {
@Override
public T doInTransaction(TransactionStatus status) {
try {
// 插入幂等记录,利用唯一索引防重
IdempotentRecord newRecord = new IdempotentRecord();
newRecord.setRequestId(requestId);
newRecord.setBizType(bizType);
newRecord.setExpireTime(expireTime);
idempotentRecordMapper.insert(newRecord);
// 执行业务逻辑
T result = bizSupplier.get();
// 更新业务执行结果
newRecord.setBizData(JSON.toJSONString(result));
idempotentRecordMapper.updateById(newRecord);
return result;
} catch (Exception e) {
status.setRollbackOnly();
// 唯一键冲突,说明并发请求已处理,查询已存在的记录返回
if (e.getMessage().contains("Duplicate entry") && e.getMessage().contains("uk_request_biz")) {
IdempotentRecord concurrentRecord = idempotentRecordMapper.selectOne(
Wrappers.lambdaQuery(IdempotentRecord.class)
.eq(IdempotentRecord::getRequestId, requestId)
.eq(IdempotentRecord::getBizType, bizType)
);
if (!ObjectUtils.isEmpty(concurrentRecord)) {
return JSON.parseObject(concurrentRecord.getBizData(), Object.class);
}
}
log.error("幂等业务执行失败,requestId:{},bizType:{}", requestId, bizType, e);
throw new RuntimeException("业务执行失败", e);
}
}
});
}
}
4.2.3 带幂等保障的重试业务实现
package com.jam.demo.controller;
import com.jam.demo.entity.OrderRequest;
import com.jam.demo.entity.OrderResult;
import com.jam.demo.service.IdempotentService;
import com.jam.demo.service.OrderService;
import io.swagger.v3.oas.annotations.Operation;
import io.swagger.v3.oas.annotations.Parameter;
import io.swagger.v3.oas.annotations.tags.Tag;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;
import java.time.LocalDateTime;
/**
* 订单控制器-带幂等保障的重试实现
*
* @author ken
*/
@Slf4j
@RestController
@RequestMapping("/order")
@Tag(name = "订单接口", description = "带幂等保障的订单业务处理")
public class OrderController {
@Autowired
private OrderService orderService;
@Autowired
private IdempotentService idempotentService;
/**
* 创建订单接口
* 基于幂等表实现严格幂等,支持重试
*
* @param requestId 请求唯一标识
* @param request 订单创建请求
* @return 订单创建结果
*/
@PostMapping("/create")
@Operation(summary = "创建订单", description = "带幂等保障的订单创建接口,支持重试")
public OrderResult createOrder(
@Parameter(description = "请求唯一标识", required = true) @RequestHeader("Request-Id") String requestId,
@RequestBody OrderRequest request) {
log.info("收到订单创建请求,requestId:{},订单号:{}", requestId, request.getOrderNo());
// 幂等执行订单创建逻辑,幂等记录24小时后过期
return idempotentService.executeWithIdempotent(
requestId,
"ORDER_CREATE",
LocalDateTime.now().plusHours(24),
() -> orderService.createOrder(request)
);
}
}
五、分布式容错全链路架构设计
一套完整的分布式容错体系,必须覆盖从流量入口到数据存储的全链路,形成事前预防、事中检测、事后止损、自动恢复的完整闭环。全链路容错架构如下:
全链路容错的核心设计原则:
- 分层容错:每一层都具备独立的容错能力,不会将故障传递到下一层。
- 故障域最小化:将故障锁定在最小的范围内,避免跨层、跨服务扩散。
- 端到端的可观测:全链路的故障指标、调用链路、日志都可观测,为故障检测、定位、恢复提供数据支撑。
- 默认降级:所有非核心依赖都必须设置降级逻辑,故障发生时,优先保障核心业务可用。
六、生产级最佳实践与踩坑指南
6.1 故障检测最佳实践
- 必须采用多层级检测结合的方案,资源级+进程级+实例级+接口级,避免单一检测维度的盲区。
- 应用层心跳必须与业务逻辑复用同一个线程池,否则无法检测到线程池满的故障,出现心跳正常但业务完全不可用的情况。
- 故障判定必须设置连续失败次数,不能单次失败就判定为故障,避免网络抖动导致的误判。
- 深度健康检查必须覆盖核心依赖,不能仅返回200状态码,必须验证数据库、缓存、核心业务表的可用性。
6.2 故障隔离最佳实践
- 核心业务与非核心业务必须彻底隔离,使用独立的线程池、集群、数据库实例,非核心业务故障绝对不能影响核心交易链路。
- 强依赖与弱依赖必须明确区分,弱依赖必须设置降级逻辑,故障时直接跳过,不影响主流程。
- 线程池隔离的参数必须基于压测结果设置,不能拍脑袋,队列长度不宜过长,避免请求排队时间超过业务超时时间。
- 熔断阈值必须基于线上真实数据设置,同时设置最小请求数,避免少量请求就触发误熔断。
6.3 故障恢复最佳实践
- 所有可重试的接口,必须实现幂等性,没有例外。
- 重试必须设置退避策略、最大重试次数、最大重试时长,绝对不能使用无退避的无限重试。
- 所有故障场景都必须设置回退降级策略,优先返回托底数据,而不是直接抛出异常给用户。
- 故障恢复后必须设置验证机制,比如熔断的半开状态,先放行少量流量验证服务恢复情况,正常后再全量放开,避免二次故障。
6.4 高频踩坑避坑指南
- 坑1:用TCP Keepalive替代应用层心跳,导致应用进程死锁,TCP连接正常但业务完全不可用,流量持续打入引发雪崩。
- 坑2:非幂等接口设置重试,导致重复下单、重复支付等资损问题。
- 坑3:线程池队列设置过长,请求排队时间远超业务超时时间,即使线程池正常,业务也全部超时失败。
- 坑4:无退避策略的重试,引发重试风暴,下游故障时,重试流量将下游服务彻底打崩,故障范围扩大。
- 坑5:健康检查接口无核心依赖验证,实例被判定为健康,但数据库已宕机,业务请求全部失败。
- 坑6:熔断阈值设置过低,少量瞬时错误就触发熔断,导致服务不必要的不可用。
- 坑7:无状态设计不到位,实例重启后数据丢失,无法正常恢复,只能人工介入处理。
七、总结
分布式容错不是一个单点的技术组件,而是一套体系化的架构设计思想。它的核心不是让系统不出故障,而是承认故障是分布式系统的常态,通过全链路的检测、隔离、恢复机制,让系统在故障发生时,能够从容应对,将影响降到最低,保障核心业务的持续可用。
真正的高可用分布式系统,是把容错能力刻进架构的骨子里,而不是靠事后的人工救火。从架构设计的第一天起,就假设每一个依赖都会故障,每一个节点都会宕机,每一次网络调用都会超时,基于这个前提,设计出完整的容错闭环,这才是分布式高可用的核心本质。
