Sentinel 以流量为切入点,通过流量控制、熔断降级、系统保护、热点防护四大核心能力,为微服务构建起坚不可摧的稳定性防线,历经多年双11极端场景验证,是当前微服务流量治理的首选方案。
由于Sentinel 是由阿里巴巴开发的框架,可以根据官网进行学习。Sentinel
https://sentinelguard.io/zh-cn/docs/introduction.html
一、Sentinel 核心认知:
1.1 基本定义
Sentinel 是阿里巴巴开源的轻量级、高性能分布式流量治理组件 ,2018年正式开源,核心定位为「流量控制、熔断降级、系统负载保护」,以「一切皆资源」为核心设计理念,通过对资源的实时监控与规则控制,保障微服务稳定性。
官方 slogan:分布式系统的流量防卫兵。
1.2 核心解决的三大痛点
-
流量峰值击穿:秒杀、大促等突发流量导致服务QPS过载,响应变慢甚至宕机,无法承载超出自身能力的请求;
-
服务雪崩效应:下游服务超时/异常,上游服务持续发起调用,导致线程池耗尽,引发级联故障,最终整个微服务体系崩溃;
-
资源耗尽与热点过载:数据库、缓存连接池被占满,热点接口/热点数据被高频访问,导致非核心服务抢占核心服务资源,核心业务不可用。
1.3 Sentinel 与 Hystrix 的核心区别
| 对比维度 | Hystrix | Sentinel |
|---|---|---|
| 维护状态 | 2018年停更,仅维护严重bug | 持续更新,阿里官方维护,适配最新Spring Cloud版本 |
| 核心能力 | 主要支持熔断降级,流量控制能力薄弱 | 流量控制、熔断降级、系统保护、热点防护、网关限流(全能) |
| 性能表现 | 基于线程池隔离,资源占用高,吞吐一般 | 基于滑动窗口+Netty,资源占用低,吞吐比Hystrix高65%+ |
| 配置方式 | 注解配置为主,规则修改需重启服务 | 支持控制台、API、配置中心(Nacos/Apollo)动态配置,无需重启 |
| 可视化能力 | 监控简陋,需集成第三方组件 | 自带控制台,支持实时监控、规则配置、流量统计、链路追踪 |
| 生态适配 | 适配性差,不支持Spring Cloud最新版本 | 完美适配Spring Cloud、Spring Boot、Gateway、Dubbo等主流组件 |
1.4 Sentinel 核心架构(3大核心模块)
Sentinel 架构分为三大模块,各司其职、协同工作,无需复杂部署,接入成本极低:
-
核心库(Core):轻量级jar包,嵌入应用内部,负责实时采集流量数据、执行规则(限流、熔断等),无侵入式接入,不依赖外部服务;
-
控制台(Dashboard):单独部署的可视化管理平台,负责规则配置、实时监控、流量统计、告警通知,支持集群管理;
-
数据源(DataSource):负责规则的持久化与动态更新,支持Nacos、Apollo、ZooKeeper、本地文件等,避免控制台重启后规则丢失。
二、Sentinel 核心概念
2.1 资源(Resource)
Sentinel 的核心思想是「一切皆资源」,所谓资源,就是需要被保护的对象,常见的资源类型:
-
接口资源:HTTP接口(如Spring Boot接口)、Dubbo接口;
-
方法资源:Java方法(如Service层方法);
-
其他资源:数据库操作、缓存操作、外部API调用(如第三方接口)。
Sentinel 对资源的保护,本质是对资源的调用进行拦截、监控,并执行预设规则,常用的资源标记方式有两种(无侵入式优先):
-
注解标记(@SentinelResource):最常用,直接标注在方法/接口上,指定资源名和兜底方法;
-
代码包裹(SphU.entry()/exit()):手动用代码包裹需要保护的资源,灵活性高,适合非Spring环境。
2.2 规则(Rule)
规则是 Sentinel 执行流量控制、熔断降级的依据,所有规则都可以通过控制台动态配置,无需重启应用。核心规则分为5类,覆盖所有流量治理场景:
-
流量控制规则(FlowRule):控制资源的请求流量,防止流量过载;
-
熔断降级规则(DegradeRule):当资源出现异常时,断开调用,避免故障扩散;
-
系统保护规则(SystemRule):从系统整体负载出发,保护系统不被压垮;
-
热点参数规则(ParamFlowRule):控制热点参数的高频访问,避免热点击穿;
-
授权规则(AuthorityRule):控制资源的访问权限,防止非法调用。
2.3 插槽(Slot Chain)
Sentinel 的核心工作流程依赖「插槽链」,所有资源的调用都会经过一系列插槽,每个插槽负责特定的功能,执行顺序固定:
默认插槽链顺序:NodeSelectorSlot → ClusterBuilderSlot → LogSlot → StatisticSlot → AuthoritySlot → SystemSlot → FlowSlot → DegradeSlot
关键插槽说明:
-
StatisticSlot:核心统计插槽,负责采集流量数据(QPS、响应时间、异常率等);
-
FlowSlot:流量控制插槽,执行流量控制规则;
-
DegradeSlot:熔断降级插槽,执行熔断降级规则;
-
SystemSlot:系统保护插槽,执行系统负载保护规则。
三、核心功能一:流量控制(最常用,防流量峰值)
流量控制,本质是「限制资源的请求流量,使其不超过自身承载能力」,避免因流量过载导致服务宕机。Sentinel 支持多种流量控制方式,覆盖不同场景,且支持动态调整阈值。
3.1 流量控制核心原理
Sentinel 流量控制基于「令牌桶算法 」和「漏桶算法」优化实现,核心是通过统计单位时间内的请求量(QPS)或并发线程数,与预设阈值对比,超过阈值则执行限流策略。
核心统计维度:QPS(每秒请求数)、并发线程数。
3.2 3种核心流量控制策略(必掌握)
(1)直接限流(默认)
当资源的请求量超过阈值时,直接拦截请求,返回限流提示。适用于单个接口的流量控制,是最常用的策略。
示例:限制某个商品详情接口的QPS为100,当每秒请求数超过100时,后续请求被拦截。
(2)关联限流
当「关联资源」的请求量超过阈值时,限制当前资源的请求。适用于「上下游接口」的流量联动控制。
示例:下单接口(当前资源)关联支付接口(关联资源),当支付接口QPS超过50时,限制下单接口的请求,避免支付接口被压垮后,下单接口仍持续发起请求。
(3)链路限流
针对「特定调用链路」的流量控制,只限制某条链路对资源的调用,不影响其他链路。适用于多链路调用同一个资源的场景。
示例:商品详情接口(资源)可被首页链路和详情页链路调用,限制首页链路对该接口的QPS为50,详情页链路不受限制。
3.3 2种流量控制效果
-
快速失败(默认):超过阈值后,直接拒绝请求,返回异常(BlockException),适用于对响应速度要求高的场景(如秒杀接口);
-
排队等待:超过阈值后,请求进入队列等待,直到有空闲资源,适用于对响应速度要求不高,但不允许拒绝请求的场景(如普通查询接口)。
3.4 流量控制实操(Spring Cloud Alibaba 集成)
步骤1:标记资源(@SentinelResource)
java
@RestController
@RequestMapping("/product")
public class ProductController {
// 标记资源:resourceName为product_detail,兜底方法为detailFallback
@SentinelResource(value = "product_detail", fallback = "detailFallback")
@GetMapping("/detail/{id}")
public Result<Product> getDetail(@PathVariable Long id) {
// 模拟查询商品详情
Product product = productService.getById(id);
return Result.success(product);
}
// 兜底方法:限流/熔断时执行,参数、返回值需与原方法一致
public Result<Product> detailFallback(Long id) {
return Result.fail("当前请求人数过多,请稍后再试");
}
}步骤2:控制台配置流量控制规则
-
访问 Sentinel 控制台(默认地址:http://localhost:8080,账号密码:sentinel/sentinel);
-
找到当前应用,点击「流量控制规则」→「新增」;
-
配置核心参数:
-
资源名:product_detail(与@SentinelResource的value一致);
-
阈值类型:QPS(或并发线程数);
-
阈值:100(每秒最多100次请求);
-
流控模式:直接;
-
流控效果:快速失败。
-
-
保存后,规则立即生效,无需重启应用。
四、核心功能二:熔断降级(防服务雪崩)
熔断降级,本质是「当资源出现异常(超时、异常率过高)时,暂时断开该资源的调用,执行兜底逻辑,待资源恢复正常后,再重新允许调用」,核心目的是防止故障扩散,保护上游服务。
类比:家庭电路的保险丝,当电流过大时,保险丝熔断,保护电器不被烧坏;故障排除后,更换保险丝即可恢复供电。
4.1 熔断降级核心原理(3个状态切换)
Sentinel 熔断降级基于「熔断器模式」,熔断器有3种状态,自动切换,无需手动干预:
-
闭合状态(Closed):正常状态,允许请求调用资源,同时统计异常率、超时率;
-
打开状态(Open):当异常指标超过阈值时,熔断器打开,拒绝所有请求,执行兜底逻辑,持续一段时间(熔断时长);
-
半打开状态(Half-Open):熔断时长结束后,进入半打开状态,允许少量请求尝试调用资源;
-
若请求成功:熔断器切换为闭合状态,恢复正常调用;
-
若请求失败:熔断器重新切换为打开状态,继续熔断。
-
4.2 3种熔断降级策略
(1)异常率熔断(最常用)
当资源的「异常请求数占比」超过阈值,且请求数达到最小请求数时,触发熔断。
核心参数: - 异常率阈值:如50%(异常请求占比超过50%); - 最小请求数:如10(10个请求中超过5个异常,才触发熔断); - 熔断时长:如5秒(熔断后,5秒内拒绝请求)。
适用场景:下游服务不稳定,导致大量异常请求(如数据库连接失败、接口超时)。
(2)超时熔断
当资源的请求响应时间超过「超时阈值」,且请求数达到最小请求数时,触发熔断。
核心参数: - 超时阈值:如1000ms(请求响应时间超过1秒); - 最小请求数:如5; - 熔断时长:如5秒。
适用场景:下游服务响应变慢,导致上游线程池阻塞(如第三方接口超时)。
(3)异常数熔断
当资源的「异常请求数」超过阈值,且请求数达到最小请求数时,触发熔断。
核心参数: - 异常数阈值:如10(10个异常请求); - 最小请求数:如20; - 熔断时长:如5秒。
适用场景:异常请求数量可控,需要精准控制异常次数的场景。
4.3 熔断降级与流量控制的区别
-
流量控制:针对「正常请求」,防止流量过载,核心是「限制请求量」;
-
熔断降级:针对「异常请求」,防止故障扩散,核心是「断开异常资源调用」。
类比:流量控制是「交通管制」,限制车流量;熔断降级是「道路封闭」,当道路出现事故时,暂时封闭,避免更多事故。
4.4 熔断降级实操
步骤1:复用上述ProductController的资源标记(已配置@SentinelResource和兜底方法)
步骤2:控制台配置熔断降级规则
-
进入 Sentinel 控制台,点击「熔断降级规则」→「新增」;
-
配置核心参数:
-
资源名:product_detail;
-
降级策略:异常率;
-
异常率阈值:50%;
-
最小请求数:10;
-
熔断时长:5秒。
-
-
保存后,模拟异常请求(如让productService.getById(id)抛出异常),当10个请求中超过5个异常时,触发熔断,后续5秒内请求会执行兜底方法。
五、进阶功能:系统保护、热点防护与授权控制
除了核心的流量控制和熔断降级,Sentinel 还提供3个进阶功能,覆盖更全面的流量治理场景,也是企业实战中常用的功能。
5.1 系统保护规则(全局负载保护)
系统保护规则是从「系统整体负载」出发,不针对单个资源,而是监控系统的CPU、内存、磁盘IO、线程数等指标,当系统负载过高时,触发保护,避免系统崩溃。
核心监控指标(选1-2个即可):
-
CPU使用率:如超过80%,触发保护;
-
系统负载(load1):如超过10(根据服务器配置调整);
-
线程数:如超过200(JVM线程数阈值)。
适用场景:系统整体过载(如大促期间,所有接口流量都暴涨),需要全局限流,保护系统不宕机。
5.2 热点参数规则(防热点击穿)
热点参数,指的是「被高频访问的参数值」(如商品ID=1001的商品,被疯狂查询),热点参数规则就是针对这些高频参数,限制其请求量,避免热点击穿缓存/数据库。
核心特性:支持对单个参数值限流,也支持对参数值分组限流。
示例:商品详情接口(参数id),限制id=1001的QPS为50,其他id的QPS为100,避免热门商品被高频访问压垮。
5.3 授权规则(访问权限控制)
授权规则用于控制「资源的访问权限」,通过设置允许/拒绝的调用来源(如服务名、IP地址),防止非法调用。
核心参数: - 资源名:需要控制权限的资源; - 授权类型:允许(whitelist)/拒绝(blacklist); - 调用来源:如serviceA(允许serviceA调用该资源)、192.168.1.100(拒绝该IP调用)。
适用场景:内部接口,只允许特定服务/IP访问,防止外部非法调用。
六、Sentinel 持久化配置
默认情况下,Sentinel 控制台配置的规则,会保存在内存中,当控制台重启或应用重启后,规则会丢失。因此,企业实战中,必须配置规则持久化,将规则保存到配置中心(如Nacos)。
6.1 持久化方案(主流:Sentinel + Nacos)
- 添加依赖(Spring Cloud Alibaba 环境):
XML
<!-- Sentinel 整合 Nacos 持久化 -->
<dependency>
<groupId>com.alibaba.csp</groupId>
<artifactId>sentinel-datasource-nacos</artifactId>
</dependency>- 配置application.yml:
XML
spring:
cloud:
sentinel:
datasource:
# 流量控制规则持久化
flow:
nacos:
server-addr: localhost:8848 # Nacos地址
data-id: ${spring.application.name}-flow-rules
group-id: SENTINEL_GROUP
data-type: json
rule-type: flow
# 熔断降级规则持久化(同理可配置其他规则)
degrade:
nacos:
server-addr: localhost:8848
data-id: ${spring.application.name}-degrade-rules
group-id: SENTINEL_GROUP
data-type: json
rule-type: degrade- Nacos 中添加规则配置: 在Nacos控制台,创建data-id为「应用名-flow-rules」、group-id为「SENTINEL_GROUP」的配置,格式为JSON,示例(流量控制规则):
rust
[
{
"resource": "product_detail",
"limitApp": "default",
"grade": 1, // 1=QPS,0=并发线程数
"count": 100, // 阈值
"strategy": 0, // 0=直接,1=关联,2=链路
"controlBehavior": 0, // 0=快速失败,1=排队等待
"clusterMode": false
}
]配置完成后,Sentinel 会自动从Nacos读取规则,且控制台修改规则后,会同步到Nacos,实现规则持久化。
七、Sentinel 实战避坑指南
7.1 常见坑点及解决方案
- 坑点1:规则配置后不生效
解决方案:1. 检查资源名是否与@SentinelResource的value一致(大小写敏感);2. 检查Nacos配置是否正确(data-id、group-id、JSON格式);3. 重启应用,确保依赖引入正确。
- 坑点2:兜底方法不执行
解决方案:1. 兜底方法的参数、返回值必须与原方法完全一致;2. 若需要捕获BlockException(限流/熔断异常),需在@SentinelResource中添加blockHandler参数,单独指定限流/熔断的兜底方法。
- 坑点3:控制台看不到应用实例
解决方案:1. 检查应用是否配置了sentinel.dashboard地址;2. 应用必须有请求进入(触发资源监控),控制台才会显示实例;3. 检查端口是否被占用,防火墙是否开放。
- 坑点4:高并发场景下性能下降
解决方案:1. 关闭Sentinel的实时监控(生产环境可关闭);2. 采用无侵入式接入(@SentinelResource),避免手动代码包裹;3. 调整Sentinel的统计窗口参数,减少资源占用。
7.2 生产环境最佳实践
-
规则持久化:必须使用Nacos/Apollo,避免规则丢失;
-
兜底策略:核心接口的兜底方法,需返回有意义的提示,避免返回空值;非核心接口可直接拒绝请求;
-
阈值设置:根据服务的实际承载能力,通过压测确定阈值,避免设置过高(失去保护作用)或过低(影响正常请求);
-
监控告警:结合Sentinel控制台的告警功能,当触发限流/熔断时,及时通知开发人员排查问题;
-
版本选择:使用稳定版本(如Sentinel 2.x),避免使用测试版本,确保兼容性。
核心总结
Sentinel 的核心价值的是「以流量为核心,守护微服务稳定性」,通过流量控制防峰值、熔断降级防雪崩、系统保护防过载、热点防护防击穿,为微服务构建全链路的稳定性防线。