闲鱼异地多活架构设计与实现

280次阅读  |  发布于3年以前

背景

首页和搜索一直以来都是闲鱼导购的主阵地,为了保证高可用业务上做了很多保护方案。但是随着原有地域的IDC日渐趋于饱和,一些更深层次的问题开始暴露出来:

a)架构不具备扩展性。当服务量增大,单个IDC由于服务器部署、电力等物理因素无法满足诉求,不能简单的通过IDC部署来应对新增的流量。以算法为例,算法在现有IDC资源饱和的情况下,其上新模型之前不得不等老模型下线,严重制约业务的迭代效率。

b)容灾问题。当现有IDC出现故障时,如何保证导购主链路依然高可用。

常用高可用架构

•同城双活:系统从接入层以下在同城两个机房做部署,这样可以应对断电,断网等单机房故障。由于同城机房距离足够近,可以近似看成一个机房,因此在部署上和单机房相比没有特殊要求。但是遇到同区域灾害时,服务就会受到影响,而且扩展性较差。

•异地灾备:系统从接入层以下除了在同城两个机房做部署之外,在其他区域部署异地备份,底层数据根据实际要求做热备/冷备,但是不承担任何流量。当区域挂掉时,服务切至备份区域保证服务可用性。但异地灾备的问题是:a)另一个区域不跑流量,出了问题不敢切。b)备份全站,资源利用率低。c)存在跨地域访问。

•异地多活:异地多活从接入层开始做多区域多机房部署,各个区域之间没有主备的概念,均承担相应的流量。它的优势在于资源利用率高,扩展性较好。

前面提到闲鱼除了要解决容灾问题之外还需要解决算法同学的资源利用问题,因此异地多活很自然成为我们的不二选择。

多地部署带来的变化

当我们的系统从单地部署升级成多地域部署时,它并不是简单将整个系统搬到各个地域去做部署。当你的系统部署过去之后,需要考虑非常多的因素,比如

还有很多其他因素,这里不一一列举。可以预想到当我们的系统升级成多地域部署架构之后,给整个系统带来了很大的变化,同时也带来了相当大的挑战。

多地域部署方案

面临的挑战

异地部署最大的特点是网络时延较高:一般来说同地域延时2~3ms,同机房延时小于1ms,而跨地域延时一般大于20ms。所以我们首先要解决的问题便是如何降低跨地域对导购链路的影响,这也是我们做异地容灾的一个大原则,这面临着几个难点

用户数据是否做拆分

在介绍部署架构之前先讲一下闲鱼导购链路的一个大前提,后面的很多方案都是基于这个大前提之下做抉择的,那就是存储层的数据是否要做拆分。

异地部署之后数据会存在多个区域中,区域之间的数据同步存在一定的延时,因此数据是否要做拆分取决于对数据一致性的要求。如果可以容忍对数据短时间不一致那么则不需要做数据拆分。但是在电商某些场景下,比如买家加入购物车操作,如果数据写在区域A,购物车列表读的却是区域B,那么很有可能就会导致买家看不到刚加入购物车的商品,这是非常糟糕的体验。因此在这种场景下就需要保证数据的读写都在相同的维度,这种情况下就需要对数据做拆分。

但是前面提到闲鱼导购链路特点是:a)可以容忍短时间的数据不一致。b)不涉及到数据库的写操作。显而易见数据拆分显得并没有那么必要,因此我们决定不做数据拆分。

部署架构

整体部署方案中,物理上各个区域是对等的,不存在主备的概念,但是逻辑上还是区分出了中心区域和其他可用区域,这是因为:a)总有部分长尾依赖没法做多区域部署。b)并不是所有场景(非核心链路)都适合做多地域部署。我们把这些长尾依赖统一放在中心区域,做兜底部署。

流量路由方案

流量路由方案这里面包含了两个问题:

如前面数据拆分部分提到,流量分发理论上需要和数据拆分逻辑保持一致。由于闲鱼底层没有做数据拆分,因此流量分发原则相对较为灵活。

在我们导购场景下1和2都不适合,因为都有可能导致用户两次请求看到的数据不一致,最终我们选择按照用户进行切分,这也是公司内部成熟的路由方案。确定了流量分发原则,接下来需要决定流量在哪一层做分发。这点我们考虑了三个可选的方案

方案一的跨地域问题是我们需要避免的,方案三虽然比较适合,但是成本太高,而且没有成熟的经验借鉴,权衡之下我们最终决定采用方案二。

全链路升级改造

全链路改造的目的在于使我们的系统适应从单地部署到多地域部署的转变,改造涉及到的点非常多,主要包括

  1. 应用代码改造。导购链路所有的依赖是否都能做多地部署,如果没法多地部署跨地域时延是否会被放大。
  2. 服务之间的流量路由策略。导购链路涉及到很多异构的子系统,这些异构系统之间的流量是否遵循同地域优先,当某个地域服务挂了之后流量是否允许自动切到其余地域。
  3. 流量强纠偏。导购的请求链路较为复杂,会依赖众多异构的子系统。虽然域名解析时流量会路由至对应的区域,但是在后续链路仍然有可能发生流量窜到其余地域的情况,这种情况下理论上会对用户体验造成影响,所以在导购链路的每一跳节点都应该有纠偏策略。
  4. 外部流量由于分发策略我们没法管控,会导致预期之外的流量流入。为了避免这种情况,我们也需要有一个流量纠偏的策略。

改造点3在数据强一致场景是必不可少的,但是对本次导购链路,由于改造成本和时间的关系,最终我们放弃了改造点3。因为改造点2保证了正常情况下流量路径是符合预期的,只有异常情况才有可能发生流量窜到其他区域,但是这种情况我们认为:a)低频且持续时间不长。b)短时间的不一致对业务影响可控。

应用代码改造主要包括

这种情况下我们需要:a)强制写中心主节点。b)开通主节点到其他地域的数据同步。总的来说缓存改造两大原则

导购链路涉及到很多异构系统,包括各个子领域应用构成的微服务集群,以及众多搜索&推荐服务。异构主要体现在:a)编写语言以及部署&运维平台的差异。b)服务注册发现机制不一样,主要包括configserver/vipserver/zookeeper。因此主要改造内容在于规范对这些组件的使用,调整流量路由策略保证流量区域内自闭环。

为了防止外部流量对闲鱼导购流量的影响,我们在统一接入层加了一条流量纠偏策略:对于外部非导购链路的流量,强制切回中心区域。这一点非常重要,因为对于部署范围之外的服务,如果因为这个原因导致流量到了其他可用区域,其返回数据的正确性我们没法做保证。

服务集群部署方案

微服务集群整体采用对等部署。微服务集群按照服务发现&注册机制的不同划分成三类:

导购链路使用缓存的地方很多,大致分成两种用法

数据库部署

按照分布式系统的CAP定理:Consistency(一致性)、 Availability(可用性)、Partition tolerance(分区容错性),三者不可得兼。所以严格意义上来说,数据库的异地部署只能三选二。但是在分布式系统中必然是分区的,而且分区之间的网络我们没法控制,也就是说P是一个事实,我们只能从C和A中二选一,这分别对应着数据库的两种数据复制方式。

一方面根据导购链路的特点(绝大部分都是数据读取操作,可以容忍短时间内的不一致)。另一方面原有的数据存储采用MySql,考虑到成本,最终选择主从复制模式MySql。

总结

异地部署给系统带来的最大挑战是物理距离带来的网络延时,整个系统设计都围绕着这个展开。总的来说在解决跨地域延时过程中我们遵循两个大的原则:a)流量地域内自闭环。b)坚持可用性优先。在这两个大原则之下从接入层,服务层以及数据存储层做了相应的改造&部署。

目前闲鱼部分链路已经实现了两地三机房部署,并且已经承接线上流量,具备了异地容灾的能力。同时经过本次改造,导购链路具备了较好的扩展性,能够以极低的成本快速部署至更多机房。

但是一方面由于导购链路大部分都是只读场景,对数据要求弱一致性即可。对于数据强一致性场景带给系统的挑战会更大。另一方面业务是一个不停演进的过程,如何保证在演进过程中仍然能保证异地多活的部署架构,这是急需解决的问题。

Copyright© 2013-2020

All Rights Reserved 京ICP备2023019179号-8