同程旅行基于 RocketMQ 高可用架构实践
?简介: 我们在几年前决定引入 MQ 时,市场上已经有不少成熟的解决方案,比如 RabbitMQ , ActiveMQ,NSQ,Kafka 等。考虑到稳定性、维护成本、公司技术栈等因素,我们选择了 RocketMQ。
?
背景介绍
?
为何选择 RocketMQ
?
我们在几年前决定引入 MQ 时,市场上已经有不少成熟的解决方案,比如 RabbitMQ , ActiveMQ,NSQ,Kafka 等。考虑到稳定性、维护成本、公司技术栈等因素,我们选择了 RocketMQ :
?
- 纯 Java 开发,无依赖,使用简单,出现问题能 hold ;
- 经过阿里双十一考验,性能、稳定性可以保障;
- 功能实用,发送端:同步、异步、单边、延时发送;消费端:消息重置,重试队列,死信队列;
- 社区活跃,出问题能及时沟通解决。
?
使用情况
?
- 主要用于削峰、解耦、异步处理;
- 已在火车票、机票、酒店等核心业务广泛使用,扛住巨大的微信入口流量;
- 在支付、订单、出票、数据同步等核心流程广泛使用;
- 每天 1000+ 亿条消息周转。
?
下图是 MQ 接入框架图
?
由于公司技术栈原因,client sdk 我们提供了 java sdk ;对于其他语言,收敛到 http proxy ,屏蔽语言细节,节约维护成本。按照各大业务线,对后端存储节点进行了隔离,相互不影响。
?
??
MQ 双中心改造
?
之前单机房出现过网络故障,对业务影响较大。为保障业务高可用,同城双中心改造提上了日程。
?
为何做双中心
?
- 单机房故障业务可用;?
- 保证数据可靠:若所有数据都在一个机房,一旦机房故障,数据有丢失风险;
- 横向扩容:单机房容量有限,多机房可分担流量。
?
双中心方案
?
做双中心之前,对同城双中心方案作了些调研,主要有冷(热)备份、双活两种。(当时社区 Dledger 版本还没出现,Dledger 版本完全可做为双中心的一种可选方案。)
?
1)同城冷(热)备份
?
两个独立的 MQ 集群, 用户流量写到一个主集群,数据实时同步到备用集群,社区有成熟的 RocketMQ Replicator 方案,需要定期同步元数据,比如主题,消费组,消费进度等。
?
?
2)同城双活
?
两个独立 MQ 集群,用户流量写到各自机房的 MQ 集群,数据相互不同步。
?
平时业务写入各自机房的 MQ 集群,若一个机房挂了,可以将用户请求流量全部切到另一个机房,消息也会生产到另一个机房。
??
对于双活方案,需要解决 MQ 集群域名。
1)若两个集群用一个域名,域名可以动态解析到各自机房。此方式要求生产、消费必须在同一个机房。假如生产在 idc1 ,消费在 idc2 ,这样生产、消费各自连接一个集群,没法消费数据。
2)若一个集群一个域名,业务方改动较大,我们之前对外服务的集群是单中心部署的,业务方已经大量接入,此方案推广较困难。
为尽可能减少业务方改动,域名只能继续使用之前的域名,最终我们采用一个 Global MQ 集群,跨双机房,无论业务是单中心部署还是双中心部署都不影响;而且只要升级客户端即可,无需改动任何代码。
双中心诉求
?
- 就近原则:生产者在 A 机房,生产的消息存于 A 机房 broker ; 消费者在 A 机房,消费的消息来自 A 机房 broker 。
- 单机房故障:生产正常,消息不丢。
- broker 主节点故障:自动选主。
就近原则
?
简单说,就是确定两件事:
- 节点(客户端节点,服务端节点)如何判断自己在哪个 idc;
- 客户端节点如何判断服务端节点在哪个 idc。
如何判断自己在哪个 idc?
?
1) ip 查询
节点启动时可以获取自身 ip ,通过公司内部的组件查询所在的机房。
?
2)环境感知
需要与运维同学一起配合,在节点装机时,将自身的一些元数据,比如机房信息等写入本地配置文件,启动时直接读写配置文件即可。
我们采用了第二个方案,无组件依赖,配置文件中 logicIdcUK 的值为机房标志。
??
客户端节点如何识别在同一个机房的服务端节点?
?
?
客户端节点可以拿到服务端节点的 ip 以及 broker 名称的,因此:
?
- ip 查询:通过公司内部组件查询 ip 所在机房信息;
- broker 名称增加机房信息:在配置文件中,将机房信息添加到 broker 名称上;
- 协议层增加机房标识:服务端节点向元数据系统注册时,将自身的机房信息一起注册。
相对于前两者,实现起来略复杂,改动了协议层, 我们采用了第二种与第三种结合的方式。
就近生产
?
基于上述分析,就近生产思路很清晰,默认优先本机房就近生产;
?
若本机房的服务节点不可用,可以尝试扩机房生产,业务可以根据实际需要具体配置。
??
就近消费
?
优先本机房消费,默认情况下又要保证所有消息能被消费。
?
队列分配算法采用按机房分配队列
?
- 每个机房消息平均分给此机房消费端;
- 此机房没消费端,平分给其他机房消费端。
?
伪代码如下:
?
Map<String, Set> mqs = classifyMQByIdc(mqAll);
Map<String, Set> cids = classifyCidByIdc(cidAll);
Set<> result = new HashSet<>;
for(element in mqs){
result.add(allocateMQAveragely(element, cids, cid)); //cid为当前客户端
}?
消费场景主要是消费端单边部署与双边部署。
?
单边部署时,消费端默认会拉取每个机房的所有消息。
?
双边部署时,消费端只会消费自己所在机房的消息,要注意每个机房的实际生产量与消费端的数量,防止出现某一个机房消费端过少。
??
单机房故障
?
- 每组 broker 配置
一主两从,一主一从在一机房,一从在另一机房;某一从同步完消息,消息即发送成功。
?
- 单机房故障
消息生产跨机房;未消费消息在另一机房继续被消费。
故障切主
?
在某一组 broker 主节点出现故障时,为保障整个集群的可用性,需要在 slave 中选主并切换。要做到这一点,首先得有个broker 主故障的仲裁系统,即 nameserver(以下简称 ns )元数据系统(类似于 redis 中的哨兵)。
?
ns 元数据系统中的节点位于三个机房(有一个第三方的云机房,在云上部署 ns 节点,元数据量不大,延时可以接受),三个机房的 ns 节点通过 raft 协议选一个leader,broker 节点会将元数据同步给 leader, leader 在将元数据同步给 follower 。
?
客户端节点获取元数据时, 从 leader,follower 中均可读取数据。
?
??
切主流程
?
- 若 nameserver leader 监控到 broker 主节点异常, 并要求其他 follower 确认;半数 follower 认为 broker 节点异常,则 leader 通知在 broker 从节点中选主,同步进度大的从节点选为主;
- 新选举的 broker 主节点执行切换动作并注册到元数据系统;
- 生产端无法向旧 broker 主节点发送消息。
?
流程图如下
?
切中心演练
?
用户请求负载到双中心,下面的操作先将流量切到二中心---回归双中心---切到一中心。确保每个中心均可承担全量用户请求。
先将用户流量全部切到二中心
?
流量回归双中心,并切到一中心
?
?
回顾
?
- 全局 Global 集群
- 就近原则
- 一主二从,写过半消息即及写入成功
- 元数据系统 raft 选主
- broker 主节点故障,自动选主
?
MQ 平台治理
?
即使系统高性能、高可用,倘若随便使用或使用不规范,也会带来各种各样的问题,增加了不必要的维护成本,因此必要的治理手段不可或缺。
?
目的
?让系统更稳定
- 及时告警
- 快速定位、止损
?
治理哪些方面
?
主题/消费组治理
?
- 申请使用
生产环境 MQ 集群,我们关闭了自动创建主题与消费组,使用前需要先申请并记录主题与消费组的项目标识与使用人。一旦出现问题,我们能够立即找到主题与消费组的负责人,了解相关情况。若存在测试,灰度,生产等多套环境,可以一次申请多个集群同时生效的方式,避免逐个集群申请的麻烦。
?
- 生产速度
为避免业务疏忽发送大量无用的消息,有必要在服务端对主题生产速度进行流控,避免这个主题挤占其他主题的处理资源。
?
- 消息积压
对消息堆积敏感的消费组,使用方可设置消息堆积数量的阈值以及报警方式,超过这个阈值,立即通知使用方;亦可设置消息堆积时间的阈值,超过一段时间没被消费,立即通知使用方。
?
- 消费节点掉线
消费节点下线或一段时间无响应,需要通知给使用方。
客户端治理
?
- 发送、消费耗时检测
监控发送/消费一条消息的耗时,检测出性能过低的应用,通知使用方着手改造以提升性能;同时监控消息体大小,对消息体大小平均超过 10 KB 的项目,推动项目启用压缩或消息重构,将消息体控制在 10 KB 以内。
?
- 消息链路追踪
一条消息由哪个 ip 、在哪个时间点发送,又由哪些 ip 、在哪个时间点消费,再加上服务端统计的消息接收、消息推送的信息,构成了一条简单的消息链路追踪,将消息的生命周期串联起来,使用方可通过查询msgId或事先设置的 key 查看消息、排查问题。
?
- 过低或有隐患版本检测
随着功能的不断迭代,sdk 版本也会升级并可能引入风险。定时上报 sdk 版本,推动使用方升级有问题或过低的版本。
服务端治理
?
- 集群健康巡检
如何判断一个集群是健康的?定时检测集群中节点数量、集群写入 tps 、消费 tps ,并模拟用户生产、消费消息。
?
- 集群性能巡检
性能指标最终反映在处理消息生产与消费的时间上。服务端统计处理每个生产、消费请求的时间,一个统计周期内,若存在一定比例的消息处理时间过长,则认为这个节点性能有问题;引起性能问题的原因主要是系统物理瓶颈,比如磁盘 io util 使用率过高,cpu load 高等,这些硬件指标通过夜鹰监控系统自动报警。
?
- 集群高可用
高可用主要针对 broker 中 master 节点由于软硬件故障无法正常工作,slave 节点自动被切换为 master ,适合消息顺序、集群完整性有要求的场景。
?
部分后台操作展示
主题与消费组申请
?
生产,消费,堆积实时统计
?
?
集群监控
?
踩过的坑
?
社区对 MQ 系统经历了长时间的改进与沉淀,我们在使用过程中也到过一些问题,要求我们能从深入了解源码,做到出现问题心不慌,快速止损。
?
- 新老消费端并存时,我们实现的队列分配算法不兼容,做到兼容即可;
- 主题、消费组数量多,注册耗时过长,内存 oom ,通过压缩缩短注册时间,社区已修复;
- topic 长度判断不一致,导致重启丢消息,社区已修复;
- centos 6.6 版本中,broker 进程假死,升级 os 版本即可。
MQ 未来展望
?
目前消息保留时间较短,不方便对问题排查以及数据预测,我们接下来将对历史消息进行归档以及基于此的数据预测。
?
- 历史数据归档
- 底层存储剥离,计算与存储分离
- 基于历史数据,完成更多数据预测
- 服务端升级到 Dledger ,确保消息的严格一致
原文链接
本文为阿里云原创内容,未经允许不得转载。
?