Sentinel入门

初始Sentinel

雪崩问题

微服务调用链路中的某个服务故障，引起整个链路中的所有微服务都不可用，这就是雪崩

解决雪崩问题的常见方式有四种：

• 超时处理：设定超时时间，请求超过一定时间没有响应就返回错误信息，不会无休止等待
  
• 舱壁模式：限定每个业务能使用的线程数，避免耗尽整个Tomcat的资源，因此也叫线程隔离
  
• 熔断降级：由断路器统计业务执行的异常比例，如果超出阈值则会熔断该业务，拦截访问该业务的一切请求
  
• 流量控制：限制业务访问的QPS，避免服务因流量的突增而故障
  

服务保护技术对比

认识Sentinel

Sentinel是阿里巴巴开源的一款微服务流量控制组件。官网地址

Sentinel 具有以下特征:

• 丰富的应用场景：Sentinel 承接了阿里巴巴近 10 年的双十一大促流量的核心场景，例如秒杀（即突发流量控制在系统容量可以承受的范围）、消息削峰填谷、集群流量控制、实时熔断下游不可用应用等
• 完备的实时监控：Sentinel 同时提供实时的监控功能。您可以在控制台中看到接入应用的单台机器秒级数据，甚至 500 台以下规模的集群的汇总运行情况
• 广泛的开源生态：Sentinel 提供开箱即用的与其它开源框架/库的整合模块，例如与 Spring Cloud、Dubbo、gRPC 的整合。您只需要引入相应的依赖并进行简单的配置即可快速地接入 Sentinel
• 完善的 SPI 扩展点：Sentinel 提供简单易用、完善的 SPI 扩展接口。您可以通过实现扩展接口来快速地定制逻辑。例如定制规则管理、适配动态数据源等

---

安装Sentinel

• 下载：sentinel官方提供了UI控制台，方便我们对系统做限流设置。大家可以在GitHub下载
• 将jar包放到任意非中文目录，执行命令：java -jar sentinel-dashboard-1.8.1.jar
• 然后访问：localhost:8080即可看到控制台页面，默认的账户和密码都是sentinel
  
  登录后，发现一片空白，什么都没有：这是因为我们还没有与微服务整合
  

如果要修改Sentinel的默认端口、账户、密码、可以通过下列配置：
例如：java -Dserver.port=8088 -jar sentinel-dashboard-1.8.6.jar

微服务整合Sentinel

导入项目工程项目结构如下：

---

我们在order-service中整合sentinel，并连接sentinel的控制台，步骤如下：

• 引入sentinel依赖

  <!--sentinel-->
  <dependency>
      <groupId>com.alibaba.cloud</groupId> 
      <artifactId>spring-cloud-starter-alibaba-sentinel</artifactId>
  </dependency>
  1
  2
  3
  4
  5

• 配置控制台：修改application.yaml文件，添加下面内容：

  server:
    port: 8088
  spring:
    cloud: 
      sentinel:
        transport:
          dashboard: localhost:8080
  1
  2
  3
  4
  5
  6
  7

• 访问order-service的任意端点，触发sentinel监控

  • 打开浏览器，访问http://localhost:8088/order/101，这样才能触发sentinel的监控
  • 然后再访问sentinel的控制台，查看效果：
    

限流规则

快速入门

簇点链路
簇点链路：就是项目内的调用链路，链路中被监控的每个接口就是一个资源。默认情况下sentinel会监控SpringMVC的每一个端点（Endpoint），因此SpringMVC的每一个端点（Endpoint）就是调用链路中的一个资源

流控、熔断等都是针对簇点链路中的资源来设置的，因此我们可以点击对应资源后面的按钮来设置规则：

点击资源/order/{orderId}后面的流控按钮，就可以弹出表单。表单中可以添加流控规则，如下图所示：其含义是限制 /order/{orderId}这个资源的单机QPS为1，即每秒只允许1次请求，超出的请求会被拦截并报错

流控模式

在添加限流规则时，点击高级选项，可以选择三种流控模式：

• 直接：统计当前资源的请求，触发阈值时对当前资源直接限流，也是默认的模式
• 关联：统计与当前资源相关的另一个资源，触发阈值时，对当前资源限流
• 链路：统计从指定链路访问到本资源的请求，触发阈值时，对指定链路限流
  

---

关联模式

• 关联模式：统计与当前资源相关的另一个资源，触发阈值时，对当前资源限流
• 使用场景：比如用户支付时需要修改订单状态，同时用户要查询订单。查询和修改操作会争抢数据库锁，产生竞争。业务需求是优先支付和更新订单的业务，因此当修改订单业务触发阈值时，需要对查询订单业务限流
• 满足下面条件可以使用关联模式
  • 两个有竞争关系的资源
  • 一个优先级较高，一个优先级较低
    
    语法说明：当/write资源访问量触发阈值时，就会对/read资源限流，避免影响/write资源

---

链路模式

链路模式：只针对从指定链路访问到本资源的请求做统计，判断是否超过阈值

例如有两条请求链路：

• /test1 --> /common
• /test2 --> /common

如果只希望统计从/test2进入到/common的请求，则可以这样配置：

流控效果

流控效果是指请求达到流控阈值时应该采取的措施，包括三种：

• 快速失败：达到阈值后，新的请求会被立即拒绝并抛出FlowException异常。是默认的处理方式。
• warm up：预热模式，对超出阈值的请求同样是拒绝并抛出异常。但这种模式阈值会动态变化，从一个较小值逐渐增加到最大阈值。
• 排队等待：让所有的请求按照先后次序排队执行，两个请求的间隔不能小于指定时长
  

warm up

warm up也叫预热模式，是应对服务冷启动的一种方案。请求阈值初始值是 maxThreshold / coldFactor，持续指定时长后，逐渐提高到maxThreshold值。而coldFactor的默认值是3

例如，我设置QPS的maxThreshold为10，预热时间为5秒，那么初始阈值就是 10 / 3 ，也就是3，然后在5秒后逐渐增长到10

配置规则

排队等待

当请求超过QPS阈值时，快速失败和warm up 会拒绝新的请求并抛出异常

而排队等待则是让所有请求进入一个队列中，然后按照阈值允许的时间间隔依次执行。后来的请求必须等待前面执行完成，如果请求预期的等待时间超出最大时长，则会被拒绝

例如：QPS = 5，意味着每200ms处理一个队列中的请求；timeout = 2000，意味着预期等待时长超过2000ms的请求会被拒绝并抛出异常

配置规则

热点参数限流

之前的限流是统计访问某个资源的所有请求，判断是否超过QPS阈值。而热点参数限流是分别统计参数值相同的请求，判断是否超过QPS阈值

全局参数限流

例如，一个根据id查询商品的接口：

访问/goods/{id}的请求中，id参数值会有变化，热点参数限流会根据参数值分别统计QPS，统计结果：

当id=1的请求触发阈值被限流时，id值不为1的请求不受影响

配置示例：

代表的含义是：对hot这个资源的0号参数（第一个参数）做统计，每1秒相同参数值的请求数不能超过5

热点参数限流

刚才的配置中，对查询商品这个接口的所有商品一视同仁，QPS都限定为5.

而在实际开发中，可能部分商品是热点商品，例如秒杀商品，我们希望这部分商品的QPS限制与其它商品不一样，高一些。那就需要配置热点参数限流的高级选项了：

结合上一个配置，这里的含义是对0号的long类型参数限流，每1秒相同参数的QPS不能超过5，有两个例外：

• 如果参数值是100，则每1秒允许的QPS为10
• 如果参数值是101，则每1秒允许的QPS为15

隔离和降级

FeignClient整合Sentinel

虽然限流可以尽量避免因高并发而引起的服务故障，但服务还会因为其它原因故障。而要将这些故障控制在一定范围，避免雪崩，就要靠线程隔离（舱壁模式）和熔断降级手段了

不管是线程隔离还是熔断降级，都是对 客户端（调用方） 的保护

---

SpringCloud中，微服务调用都是通过Feign来实现的，因此做客户端必须整合Feign和Sentinel

• 修改OrderService的application.yml文件，开启Feign的Sentinel功能：

  feign:
    sentinel:
      enabled: true # 开启feign对sentinel的支持
  1
  2
  3

• 给FeignClient编写失败后的降级逻辑

  • 方式一：FallbackClass，无法对远程调用的异常做处理
  • 方式二：FallbackFactory，可以对远程调用的异常做处理，我们选择这种

---

步骤一： 在feign-api项目中定义类，实现FallbackFactory：

@Slf4j
public class UserClientFallbackFactory implements FallbackFactory<UserClient> {
    @Override
    public UserClient create(Throwable throwable) {
        return new UserClient() {
            @Override
            public User findByID(Long id) {
                log.error("查询用户异常", throwable);
                return new User();
            }

            
        };
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

步骤二： 在feign-api项目中的DefaultFeignConfiguration类中将UserClientFallbackFactory注册为一个Bean：

@Bean
public UserClientFallbackFactory userClientFallbackFactory(){
    return new UserClientFallbackFactory();
}
1
2
3
4

步骤三： 在feign-api项目中的UserClient接口中使用UserClientFallbackFactory：

线程隔离

线程隔离有两种方式实现：

• 线程池隔离：给每个服务调用业务分配一个线程池，利用线程池本身实现隔离效果

• 信号量隔离：不创建线程池，而是计数器模式，记录业务使用的线程数量，达到信号量上限时，禁止新的请求

---

两者优缺点

---

线程隔离（舱壁模式）

在添加限流规则时，可以选择两种阈值类型：

• QPS：就是每秒的请求数，在快速入门中已经演示过
• 线程数：是该资源能使用用的tomcat线程数的最大值。也就是通过限制线程数量，实现 线程隔离（舱壁模式）

熔断降级

熔断降级是解决雪崩问题的重要手段。其思路是由 断路器 统计服务调用的异常比例、慢请求比例，如果超出阈值则会 熔断 该服务。即拦截访问该服务的一切请求；而当服务恢复时，断路器会放行访问该服务的请求

状态机包括三个状态：

• closed：关闭状态，断路器放行所有请求，并开始统计异常比例、慢请求比例。超过阈值则切换到open状态
• open：打开状态，服务调用被熔断，访问被熔断服务的请求会被拒绝，快速失败，直接走降级逻辑。Open状态5秒后会进入half-open状态
• half-open：半开状态，放行一次请求，根据执行结果来判断接下来的操作。
  • 请求成功：则切换到closed状态
  • 请求失败：则切换到open状态

断路器熔断策略有三种：慢调用、异常比例、异常数

慢调用

慢调用：业务的响应时长（RT）大于指定时长的请求认定为慢调用请求。在指定时间内，如果请求数量超过设定的最小数量，慢调用比例大于设定的阈值，则触发熔断。例如：

解读：RT超过500ms的调用是慢调用，统计最近10000ms内的请求，如果请求量超过10次，并且慢调用比例不低于0.5，则触发熔断，熔断时长为5秒。然后进入half-open状态，放行一次请求做测试

异常比例、异常数

异常比例或异常数：统计指定时间内的调用，如果调用次数超过指定请求数，并且出现异常的比例达到设定的比例阈值（或超过指定异常数），则触发熔断

例如，一个异常比例设置：

解读：统计最近1000ms内的请求，如果请求量超过10次，并且异常比例不低于0.4，则触发熔断。

一个异常数设置：

解读：统计最近1000ms内的请求，如果请求量超过10次，并且异常比例不低于2次，则触发熔断

授权规则

授权规则可以对请求方来源做判断和控制

授权规则

基本规则

授权规则可以对调用方的来源做控制，有白名单和黑名单两种方式

• 白名单：来源（origin）在白名单内的调用者允许访问
• 黑名单：来源（origin）在黑名单内的调用者不允许访问

点击左侧菜单的授权，可以看到授权规则：

• 资源名：就是受保护的资源，例如/order/{orderId}
• 流控应用：是来源者的名单，
  • 如果是勾选白名单，则名单中的来源被许可访问
  • 如果是勾选黑名单，则名单中的来源被禁止访问

比如：我们允许请求从gateway到order-service，不允许浏览器访问order-service，那么白名单中就要填写网关的来源名称（origin）

如何获取origin

Sentinel是通过RequestOriginParser这个接口的parseOrigin来获取请求的来源的

public interface RequestOriginParser {
    /**
     * 从请求request对象中获取origin，获取方式自定义
     */
    String parseOrigin(HttpServletRequest request);
}
1
2
3
4
5
6

这个方法的作用就是从request对象中，获取请求者的origin值并返回
默认情况下，sentinel不管请求者从哪里来，返回值永远是default，也就是说一切请求的来源都被认为是一样的值default

因此，我们需要自定义这个接口的实现，让不同的请求，返回不同的origin

例如order-service服务中，我们定义一个RequestOriginParser的实现类：

@Component
public class HeaderOriginParser implements RequestOriginParser {
    @Override
    public String parseOrigin(HttpServletRequest request) {
        // 1.获取请求头
        String origin = request.getHeader("origin");
        // 2.非空判断
        if (StringUtils.isEmpty(origin)) {
            origin = "blank";
        }
        return origin;
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13

我们会尝试从request-header中获取origin值

给网关添加请求头

既然获取请求origin的方式是从reques-header中获取origin值，我们必须让所有从gateway路由到微服务的请求都带上origin头
这个需要利用之前学习的一个GatewayFilter来实现，AddRequestHeaderGatewayFilter

修改gateway服务中的application.yml，添加一个defaultFilter：

spring:
  cloud:
    gateway:
      default-filters:
        - AddRequestHeader=origin,gateway # 添加名为origin的请求头，值为gateway
1
2
3
4
5

这样，从gateway路由的所有请求都会带上origin头，值为gateway。而从其它地方到达微服务的请求则没有这个头

自定义异常

默认情况下，发生限流、降级、授权拦截时，都会抛出异常到调用方。异常结果都是flow limmiting（限流）。这样不够友好，无法得知是限流还是降级还是授权拦截

异常类型

而如果要自定义异常时的返回结果，需要实现BlockExceptionHandler接口：

public interface BlockExceptionHandler {
    /**
     * 处理请求被限流、降级、授权拦截时抛出的异常：BlockException
     */
    void handle(HttpServletRequest request, HttpServletResponse response, BlockException e) throws Exception;
}
1
2
3
4
5
6

这个方法有三个参数：

• HttpServletRequest request：request对象
• HttpServletResponse response：response对象
• BlockException e：被sentinel拦截时抛出的异常

这里的BlockException包含多个不同的子类：

自定义异常处理

下面，我们就在order-service定义一个自定义异常处理类：

@Component
public class SentinelExceptionHandler implements BlockExceptionHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, BlockException e) throws Exception {
        String msg = "未知异常";
        int status = 429;

        if (e instanceof FlowException) {
            msg = "请求被限流了";
        } else if (e instanceof ParamFlowException) {
            msg = "请求被热点参数限流";
        } else if (e instanceof DegradeException) {
            msg = "请求被降级了";
        } else if (e instanceof AuthorityException) {
            msg = "没有权限访问";
            status = 401;
        }

        response.setContentType("application/json;charset=utf-8");
        response.setStatus(status);
        response.getWriter().println("{\"msg\": " + msg + ", \"status\": " + status + "}");
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

规则持久化

现在，sentinel的所有规则都是内存存储，重启后所有规则都会丢失。在生产环境下，我们必须确保这些规则的持久化，避免丢失

规则管理模式

规则是否能持久化，取决于规则管理模式，sentinel支持三种规则管理模式：

• 原始模式：Sentinel的默认模式，将规则保存在内存，重启服务会丢失。
• pull模式
• push模式

---

pull模式
pull模式：控制台将配置的规则推送到Sentinel客户端，而客户端会将配置规则保存在本地文件或数据库中。以后会定时去本地文件或数据库中查询，更新本地规则

---

push模式
push模式：控制台将配置规则推送到远程配置中心，例如Nacos。Sentinel客户端监听Nacos，获取配置变更的推送消息，完成本地配置更新

实现Sentinel持久化

修改OrderService，让其监听Nacos中的sentinel规则配置

• 引入依赖： 在order-service中引入sentinel监听nacos的依赖

  <dependency>
      <groupId>com.alibaba.csp</groupId>
      <artifactId>sentinel-datasource-nacos</artifactId>
  </dependency>
  1
  2
  3
  4

• 配置nacos地址： 在order-service中的application.yml文件配置nacos地址及监听的配置信息

  spring:
    cloud:
      sentinel:
        datasource:
          flow:
            nacos:
              server-addr: localhost:8848 # nacos地址
              dataId: orderservice-flow-rules
              groupId: SENTINEL_GROUP
              rule-type: flow # 还可以是：degrade、authority、param-flow
  1
  2
  3
  4
  5
  6
  7
  8
  9
  10

• 使用修改源代码的Sentinel

  • Sentinel修改教程

• 启动方式跟官方一样：java -jar sentinel-dashboard.jar

• 如果要修改nacos地址，需要添加参数：java -jar -Dnacos.addr=localhost:8848 sentinel-dashboard.jar