事故一
背景:
服务old一个前后端不分离的老项目,服务new是一个前后端分离的新服务。部分功能从服务old迁移到服务new,采用了请求重定向的方式,前端请求服务old的老接口后重定向到新服务。
现象:
大促前5分钟,应用tp99,tp999开始有个别报警超时,tp999响应时间超过20s。
事故二
经验:
永远不相信任何服务提供方,永远不强依赖服务提供方。
熔断、降级
熔断机制:
对R2M依赖过强,当R2M出现不可用了,实名没有熔断机制。
合理的设计应该是,假如分布式缓存服务不可用,则启用本地缓存并使用LRU机制,放弃峰值TPS和一定的成功率保证服务可用。
降级:
任何一个服务都要提供日志降级方式(这里又要引入熔断机制,假如依赖的动态配置服务挂了,那么所有的配置项应该启用默认配置,并且该配置应该是优先保证服务可用,可以牺牲可观察性,牺牲服务能力)