一、核心概念
**容错机制(Fault Tolerance)**是指当服务调用失败时,系统能够自动采取补救措施,保证系统的可用性和稳定性。
1. 容错 vs 重试
|----------|---------|---------|
| 特性 | 重试机制 | 容错机制 |
| 执行时机 | 第一层防护 | 第二层防护 |
| 作用对象 | 同一个节点 | 多个节点或降级 |
| 目的 | 解决暂时性故障 | 解决持久性故障 |
| 执行顺序 | 先执行 | 后执行 |
执行流程:
RPC 调用
↓
重试机制(同节点重试3次)
↓ 失败
容错机制(切换节点或降级)
↓
返回结果或异常2. 项目中的容错机制架构
核心组件:
TolerantStrategy (接口)
├── FailFastTolerantStrategy (快速失败)
├── FailSafeTolerantStrategy (静默处理)
├── FailOverTolerantStrategy (故障转移)
└── FailBackTolerantStrategy (故障恢复/降级)
TolerantStrategyFactory (工厂类)
└── 通过 SPI 加载和获取容错策略实例
TolerantStrategyKeys (常量类)
└── 定义策略的键名3. 接口定义
java
public interface TolerantStrategy {
/**
* 容错处理
*
* @param context 上下文,用于传递数据
* @param e 异常
* @return RPC 响应
*/
RpcResponse doTolerant(Map<String, Object> context, Exception e);
}参数说明:
-
context:上下文信息,包含服务节点列表、当前节点、RPC请求等;
-
e:重试失败后的异常;
-
返回值:容错处理后的响应。
二、FailFast(快速失败)
1. 实现代码
java
public class FailFastTolerantStrategy implements TolerantStrategy {
@Override
public RpcResponse doTolerant(Map<String, Object> context, Exception e) {
throw new RuntimeException("服务报错", e);
}
}2. 特点与适用场景
-
特点:立即抛出异常,不做任何处理;保留原始异常信息;让调用方感知到错误。
-
适用场景 :开发调试阶段;关键业务(不允许失败);需要快速发现问题。
执行流程:
RPC 调用失败 → 重试3次都失败 → 触发 FailFast 容错 → 直接抛出异常 → 用户收到异常
三、FailSafe(静默处理)
1. 实现代码
java
@Slf4j
public class FailSafeTolerantStrategy implements TolerantStrategy {
@Override
public RpcResponse doTolerant(Map<String, Object> context, Exception e) {
log.info("静默处理异常", e);
return new RpcResponse();
}
}2. 特点与适用场景
-
特点:静默处理异常,不抛出;记录日志;返回空响应(data 为 null)。
-
适用场景 :非关键业务;允许失败但不影响主流程;例如:日志上报、埋点统计。
-
注意事项:用户需要判断返回值是否为 null;可能隐藏问题,需要监控日志。
执行流程:
RPC 调用失败 → 重试3次都失败 → 触发 FailSafe 容错 → 记录日志 → 返回空响应 → 用户收到 null
四、FailOver(故障转移)
1. 实现代码
java
@Slf4j
public class FailOverTolerantStrategy implements TolerantStrategy {
@Override
public RpcResponse doTolerant(Map<String, Object> context, Exception e) {
log.warn("服务调用失败,尝试故障转移到其他节点", e);
// 从上下文获取信息
List<ServiceMetaInfo> serviceMetaInfoList =
(List<ServiceMetaInfo>) context.get("serviceMetaInfoList");
ServiceMetaInfo currentServiceMetaInfo =
(ServiceMetaInfo) context.get("currentServiceMetaInfo");
RpcRequest rpcRequest =
(RpcRequest) context.get("rpcRequest");
// 检查是否有其他节点
if (CollUtil.isEmpty(serviceMetaInfoList) || serviceMetaInfoList.size() <= 1) {
throw new RuntimeException("故障转移失败:没有其他可用节点", e);
}
// 遍历其他节点尝试调用
for (ServiceMetaInfo serviceMetaInfo : serviceMetaInfoList) {
// 跳过当前失败的节点
if (serviceMetaInfo.equals(currentServiceMetaInfo)) {
continue;
}
try {
log.info("尝试转移到节点: {}:{}",
serviceMetaInfo.getServiceHost(),
serviceMetaInfo.getServicePort());
RpcResponse rpcResponse = VertxTcpClient.doRequest(rpcRequest, serviceMetaInfo);
log.info("故障转移成功");
return rpcResponse;
} catch (Exception ex) {
log.warn("节点调用失败,继续尝试下一个节点");
}
}
// 所有节点都失败
throw new RuntimeException("故障转移失败:所有节点都不可用", e);
}
}2. 特点与工作原理
-
特点:自动切换到其他节点;遍历所有可用节点;任何一个成功就返回;全部失败才抛出异常。
-
适用场景 :有多个服务提供者节点;需要高可用性保障。
-
工作原理 :FailOver 是最复杂的容错策略,核心思想是一个节点失败,自动切换到其他节点。
3. FailOver vs 负载均衡
|----------|------|----------------|
| 特性 | 负载均衡 | FailOver(故障转移) |
| 执行时机 | 调用前 | 调用失败后 |
| 目的 | 分散流量 | 故障转移 |
| 选择方式 | 算法选择 | 遍历尝试 |
| 是否重试 | 否 | 是 |
五、FailBack(故障恢复/降级)
1. 实现代码
java
@Slf4j
public class FailBackTolerantStrategy implements TolerantStrategy {
@Override
public RpcResponse doTolerant(Map<String, Object> context, Exception e) {
log.warn("服务调用失败,执行降级策略", e);
// 创建降级响应
RpcResponse rpcResponse = new RpcResponse();
rpcResponse.setData(null);
rpcResponse.setDataType(null);
rpcResponse.setMessage("服务降级:" + e.getMessage());
log.info("返回降级响应");
return rpcResponse;
}
}2. 特点与适用场景
-
特点:返回降级响应;不抛出异常;返回默认值或空值。
-
适用场景 :服务不可用但不希望影响主流程;可以接受返回默认值;需要优雅降级。
3. 降级的概念
降级(Degradation)是指当服务不可用时,返回一个预设的默认值或调用备用服务。
完整服务(最优)
↓ 服务不可用
降级服务(次优)
↓ 降级服务也不可用
默认值(保底)(附:扩展实现------调用降级服务)
java
public RpcResponse doTolerant(Map<String, Object> context, Exception e) {
log.warn("服务调用失败,调用降级服务", e);
RpcRequest rpcRequest = (RpcRequest) context.get("rpcRequest");
String backupServiceName = rpcRequest.getServiceName() + "Backup";
// 构造降级服务的请求并调用备用服务...
// (如果降级服务也失败,则返回兜底默认值)
}六、容错机制在项目中的集成
1. ServiceProxy 中的实现
java
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
// 1. 构造请求与服务发现
RpcRequest rpcRequest = ...;
List<ServiceMetaInfo> serviceMetaInfoList = registry.serviceDiscovery(...);
// 2. 负载均衡选择节点
ServiceMetaInfo selectedServiceMetaInfo = loadBalancer.select(...);
RpcResponse rpcResponse;
try {
// 3. 重试机制(第一层防护)
RetryStrategy retryStrategy = RetryStrategyFactory.getInstance(...);
rpcResponse = retryStrategy.doRetry(() ->
VertxTcpClient.doRequest(rpcRequest, selectedServiceMetaInfo)
);
} catch (Exception e) {
// 4. 容错机制(第二层防护)
Map<String, Object> tolerantContext = new HashMap<>();
tolerantContext.put("serviceMetaInfoList", serviceMetaInfoList);
tolerantContext.put("currentServiceMetaInfo", selectedServiceMetaInfo);
tolerantContext.put("rpcRequest", rpcRequest);
// 执行容错策略
TolerantStrategy tolerantStrategy = TolerantStrategyFactory.getInstance(...);
rpcResponse = tolerantStrategy.doTolerant(tolerantContext, e);
}
return rpcResponse.getData();
}2. 上下文信息说明
|------------------------|-------------------------|-------------|
| 键名 | 类型 | 说明 |
| serviceMetaInfoList | List<ServiceMetaInfo> | 所有可用的服务节点列表 |
| currentServiceMetaInfo | ServiceMetaInfo | 当前失败的服务节点 |
| rpcRequest | RpcRequest | RPC 请求对象 |
为什么需要上下文? FailOver 需要知道其他可用节点;FailBack 可能需要调用降级服务;便于未来的灵活扩展。
七、四种容错策略对比
1. 功能对比表
|--------------|------|------|-------|-------|
| 策略 | 行为 | 返回值 | 是否抛异常 | 需要多节点 |
| FailFast | 立即失败 | - | 是 | 否 |
| FailSafe | 静默处理 | 空响应 | 否 | 否 |
| FailOver | 切换节点 | 正常响应 | 可能 | 是 |
| FailBack | 服务降级 | 降级响应 | 否 | 否 |
2. 适用场景与执行时间(假设单次耗时 100ms)
|--------------|-------------|--------------------------|
| 策略 | 适用场景 | 执行时间 |
| FailFast | 关键业务,不允许失败 | 立即 (直接抛异常) |
| FailSafe | 非关键业务,埋点/日志 | 立即 (返回空响应) |
| FailOver | 多节点高可用要求 | 100ms * N (N为尝试节点数) |
| FailBack | 需要优雅降级 | 立即 (返回降级响应) |
八、容错策略的选择
1. 决策树
服务调用失败
↓
是否允许失败?
├─ 否 → FailFast(快速失败)
└─ 是 ↓
是否有多个节点?
├─ 是 → FailOver(故障转移)
└─ 否 ↓
是否有降级方案?
├─ 是 → FailBack(故障恢复)
└─ 否 → FailSafe(静默处理)2. 实际案例
-
案例1:用户登录服务 → 选择 FailFast(登录是关键业务,不允许失败)
-
案例2:推荐服务 → 选择 FailBack(推荐失败可返回默认推荐列表)
-
案例3:订单服务 → 选择 FailOver(多节点部署,需保障高可用)
-
案例4:埋点上报 → 选择 FailSafe(失败不影响主流程,无需抛异常)
九、重试与容错的配合
1. 两层防护机制的完整流程
用户调用 userService.getUser()
↓
ServiceProxy.invoke()
↓
负载均衡选择节点A
↓
┌─────────────────────────────┐
│ 重试机制(第一层防护) │
│ │
│ 第1次:节点A调用 → 超时 │
│ 等待3秒 │
│ 第2次:节点A调用 → 超时 │
│ 等待3秒 │
│ 第3次:节点A调用 → 超时 │
│ │
│ 重试失败,抛出异常 │
└─────────────────────────────┘
↓
┌─────────────────────────────┐
│ 容错机制(第二层防护) │
│ │
│ FailOver 故障转移: │
│ 尝试节点B → 成功 │
│ │
│ 返回结果 │
└─────────────────────────────┘
↓
返回给用户2. 配置示例
# 重试策略:指数退避
rpc.retryStrategy=exponentialBackoff
# 容错策略:故障转移
rpc.tolerantStrategy=failOver效果: 在节点A上使用指数退避重试;重试失败后,FailOver 切换到节点B调用,最大化保证系统的可用性。
十、SPI 机制的应用
1. SPI 配置文件
路径:META-INF/rpc/system/com.szj.example.szjrpceasy.fault.tolerant.TolerantStrategy(你的接口路径)
java
failFast=com.szj.example.szjrpceasy.fault.tolerant.FailFastTolerantStrategy(你的实现类路径)
failSafe=com.szj.example.szjrpceasy.fault.tolerant.FailSafeTolerantStrategy
failOver=com.szj.example.szjrpceasy.fault.tolerant.FailOverTolerantStrategy
failBack=com.szj.example.szjrpceasy.fault.tolerant.FailBackTolerantStrategy2. 动态加载与切换
java
// 从配置读取策略键名并动态获取实例
String strategyKey = rpcConfig.getTolerantStrategy();
TolerantStrategy strategy = TolerantStrategyFactory.getInstance(strategyKey);十一、实战示例
示例1:FailOver 故障转移
场景:有3个订单服务节点,节点A宕机。
// 执行过程
1. 负载均衡选择节点A (localhost:8080)
2. 重试机制在节点A上重试3次 → 全部失败
3. 触发 FailOver 容错
4. 获取节点列表:[A:8080, B:8081, C:8082]
5. 跳过节点A,尝试节点B → 调用成功并返回结果示例2:FailBack 服务降级
场景:推荐服务不可用,返回默认推荐列表。
java
// 用户端调用的业务代码感知
List<Product> recommendations = recommendService.getRecommendations();
if (recommendations == null) {
// 触发了 FailBack 降级,返回了 null,业务侧启用默认推荐列表
recommendations = getDefaultRecommendations();
}十二、核心知识点总结
-
容错机制的本质:是系统的第二层防护;在重试失败后执行;提供多种故障处理方式。
-
四种策略区别:FailFast直接报错;FailSafe不报错但返回空;FailOver换节点重试;FailBack执行降级逻辑。
-
上下文的作用:传递必要信息(如所有节点列表),支持复杂的扩展容错逻辑。
-
与重试的配合 :重试解决暂时性故障(如网络抖动),容错解决持久性故障(如节点宕机),两者配合是高可用的基石。
十三、最佳实践
-
策略选择原则:关键业务用 FailFast(尽早暴露问题);多节点用 FailOver;非关键或有备用方案的用 FailSafe/FailBack。
-
监控和告警:务必监控容错触发次数;如果频繁触发 FailOver 或 FailBack,说明上游服务极其不稳定,需及时介入排查。
-
降级方案设计:提前设计好兜底逻辑;准备默认值或备用缓存,确保降级后整体链路依然可用。
十四、常见问题解答
Q1: 容错机制会影响性能吗?
A: FailFast 和 FailSafe 几乎无影响(立即返回);FailOver 会增加调用时间(需尝试其他节点);FailBack 取决于你的降级逻辑复杂度。
Q2: FailOver 会不会导致重复调用(非幂等问题)?
A: 框架层面 FailOver 只在重试彻底失败后执行,并且在新节点上只尝试 1 次(不再重复重试)。但需要注意,如果前置节点的超时是因为业务执行慢导致的,切换节点可能导致重复执行,因此写操作(非幂等)应慎用 FailOver,建议用 FailFast。
Q3: 为什么 FailOver 不在新节点上继续重试?
A: 为了避免过长的同步阻塞调用时间。如果每个新节点都重试3次,总耗时会引发雪崩。
Q4: 容错策略可以组合使用吗?
A: 当前设计为单选(SPI加载单例)。若需组合,可利用责任链模式(Strategy Chain)进行改造扩展。
十五、扩展方向
-
熔断器(Circuit Breaker):当服务持续失败达到阈值,自动触发熔断,后续请求直接 FailFast,避免资源枯竭。
-
限流(Rate Limiting):限制调用频率,防患于未然。
-
超时控制:设置全局链路总超时时间。
-
降级服务池:维护多个降级备用服务。
十六、总结
容错机制是分布式系统中保证高可用性的最后一道防线。
通过合理选择和配置容错策略,我们可以:
-
提高系统可用性(故障时自动切换或降级);
-
提升用户体验(避免白屏或直接报 500 错误);
-
保证业务连续性(关键流程不中断);
-
便于问题排查(通过统一的容错入口记录详细日志)。
核心思想:让系统在面对故障时,能够优雅地处理和应对,而不是全盘崩溃。