-
降级
对于一个高可用服务,很重要的一个设计就是降级开关。在设计降级开关时,主要有以下思路:
1.开关集中化管理:通过推送机制把开关推送到各个应用。
2.可降级的多级服务:比如服务调用降级为只读本地缓存,只读分布式缓存,只读默认降级数据(如库存状态默认有货)
3.开关前置化:如架构是nginx --> tomcat,可以将开关前置到nginx接入层,在nginx层做开关,请求流量不回源后端tomcat应用或者只是一小部分流量回源。
4.业务降级:当高并发流量来袭,在电商系统大促设计时保障用户能下单,能支付是核心要求,并保障数据最终一致性即可。这样就可以把一些同步调用改为异步调用,优先处理高优先级数据或特殊特征的数据,合理分配进入系统的流量,以保证系统可用。
-
限流
限流的目的是防止恶意请求流量、恶意攻击,或者防止流量超出系统峰值。可以考虑以下思路:
1.恶意请求流量只访问到cache。
2.对于穿透到后端应用的流量可以考虑使用nginx的limit模块处理。
3.对于恶意IP可以使用nginx deny进行屏蔽。
这些操作的原则是限制流量穿透到后端薄弱的应用层。
-
可回滚
版本化的目的是实现可审计可追溯,并且可回滚。当程序或者数据出错时,如果有版本化机制,那么就可以通过回滚恢复到最近一个正确的版本,比如事务回滚、代码库回滚、部署版本回滚、数据版本回滚、静态资源版本回滚等。通过回滚机制可保证系统某些场景下实现高可用。