心跳断了就认为服务断了

服务立刻下线，立刻重试+间隔重试判断是否是网络抖动问题

如果不重试，就无法避免网络偶尔不稳定问题。 如果立刻重试，不下线，重试3次，每次间隔10秒，30秒钟，有上万请求发到崩溃的服务器上。 所以考虑下线+立刻重试+间隔重试 立刻重试：大概率网络仍然不稳定，还是出问题

服务端崩溃到客户端感知的延时时间：服务端与注册中心的心跳间隔+注册中心通知客户端某服务端下线（毫秒内，可以忽略不计）

客户端被通知某服务端下线，移除可用列表，但客户端会依旧发送心跳给下线服务端，心跳如果成功，会将服务端放回服务列表，如果连续几次心跳失败后，认为服务崩溃

客户端与注册中心心跳失败后，也会连续发送心跳，看是否能成功，长期连接不上，客户端会断开与注册中心通信，使用本地缓存的服务列表。

CAP

通用选型考虑因素

所有的候选节点轮流作为负载均衡的目标节点

这个算法就不再是节点轮流，而是根据权重来轮流。

每个节点有两个权重，初始权重与当前权重

对于一个节点来说，每次被挑选之后，它的 当前权重 就会下降， 那么下一次就会减少选中它的概率。

随机可以看作是随便挑选一个作为目标节点，加权随机则是利用不同的权重来设置选中的概率。权重越大，那么被选中的机会也就越大。

哈希环的概念，服务端节点会落在环的某些位置上。客户端 根据请求参数，计算一个哈希值。这个哈希值会落在哈希环的某个位置。从这个位置出发，顺时针查找，遇到的第一个服务端节点就是目标节点。

一致性哈希负载均衡算法就像是钟表，它的过程就有点儿像你的朋友约你吃火锅，说下一个整点到重庆火锅店集合。那么你看一下现在的时间，是下午三点四十五分，那么自然下一个整点就是下午四点了。

客户端和各个节点的连接数量，从中挑选出连接数数量最少的节点

当前活跃请求数来代表服务端节点的负载。所谓的活跃请求，就是已 经接收但是还没有返回的请求。

最快响应时间算法就是客户端维持每个节点的响应时间，而后每次挑选响应时间最短的。

注意：最近的响应时间权重会更高些，算法体现了采集指标随着时间准确性衰减的特性

1采集所有服务端CPU负载数据

2通过客户端采集数据，导致客户端1实际上不知道客户端2的连接数情况

1服务端响应时，附带回传所需数据

2通过监控平台如Prometheus获得指标数据

我们公司用的是轮询来作为负载均衡。不过因为轮询没有实际查询服务端节点 的负载，所以难免会出现偶发性的负载不均衡的问题。 比如说我们之前发现线上的响应时间总体来说是非常均匀的，但是每隔一段时 间就会出现响应时间特别慢的情况。而且时间间隔是不固定的，慢的程度也不 一样，所以就很奇怪。后来我们经过排查之后，发现是因为当一个大请求落到 一个节点的时候，它会占据大量的内存和 CPU。如果这时候再有请求打到同一 个节点上，这部分请求的响应时间就会非常慢。

业务拆分

隔离角度

负载均衡算法有些时候用得好，是能够解决一些技术问题的，比如说缓存。

在性能非常苛刻的时候，我们会考虑使用本地缓存。但是使用本地缓存的数据 一致性问题会非常严重，而我们可以尝试将一致性哈希负载均衡算法和本地缓 存结合在一起，以提高缓存命中率，并且降低本地缓存的总体内存消耗。比如 说针对用户的本地缓存，我们可以使用用户 ID 来计算哈希值，那么可以确保同 一个用户的本地缓存必然在同一个节点上。不过即便是采用了一致性哈希负载 均衡算法，依旧不能彻底解决数据一致性的问题，只能缓解一下。

例外：

权重代表节点的处理能力，当然在一些场景下它也代表节点的可用性或者重要 性。所以权重根据节点的实际情况来设置值就可以。权重的要点在于体现不同 节点的差异性，它的绝对值并不重要。 一般来说为了进一步提高可用性，加权类的负载均衡算法都会考虑根据调用结 果来动态调整权重。如果调用成功了，那么就增加权重；如果调用失败了，那 么就减少权重。 这里调用成功与否是一种非业务相关的概念，也就是说即便拿到了一个失败的 响应，但是本身也算是调用成功了。调用失败了大多数时候是指网络错误、超 时等。而在实际落地的时候，也可以考虑如果是网络引起的失败，那么权重下 调就多一点，因为这一类的错误意味着问题更加严重。如果是超时这种，那么 权重就下调少一点，因为这种错误是比较容易恢复过来的。

权重的调整要设置好上限和下限。那么你可以揭开这个业界经常忽略的问题，关键词是上下限。

调整权重的算法都要考虑安全问题，即权重的调整应该有上限和下限。比如说 一般下限不能为0，因为一个节点的权重为 0 的话，它可能永远也不会被选中， 又或者和 0 的数学运算会出现问题导致负载均衡失败。上限一般不超过初始权 重的几倍，比如说两倍或者三倍，防止该节点一直被连续选中。 当然，如果在实现的时候使用了 uint 或者 Int8 之类的数字，还要进一步考虑 溢出的问题。之前挺多公司因为没有控制上下限而引起了线上故障。

根据它的整体响应时间设定一个阈值，原则上阈值应该明显超过正常响应时间。比如你经过一段时间的观测之后，发现这个服务的 99 线是 1s，那么你可以考虑将熔断阈值设定为 1.2s。

要求响应时间超过一段时间之后才触发熔断。这主要是出于两个考虑，一个是响应时间可能是偶发性地突然增长；另外一个则是防止抖动。

“一段时间”究竟有多长？

抖动就是服务频繁地在正常-熔断两个状态之间切换。

假如说你准备用响应时间来作为指标，那么你可以这么回答，关键词是持续超过阈值。

为了保障微服务的可用性，我在我的核心服务里面接入了熔断。针对不同的服 务，我设计了不同的微服务熔断策略。

比如说最简单的熔断策略就是根据响应时间来进行。当响应时间超过阈值一段 时间之后就会触发熔断。我一般会根据业务情况来选择这个阈值，例如，如果 产品经理要求响应时间是1s，那么我会把阈值设定在1.2s。如果响应时间超过 1.2s，并且持续三十秒，就会触发熔断。在触发熔断的情况下，新请求会被拒 绝，而已有的请求还是会被继续处理，直到服务恢复正常。

1. 这阈值还可以怎么确定？那么你就回答还可以根据观测到的响应时间数据来确定。

2. 这个持续三十秒是如何计算出来的？这个问题其实可以坦白回答是基于个人经验，然后你解释一下过长或者过短的弊端就可以了。

3. 为什么多了0.2s？那么你可以解释是留了余地，防止偶发性的响应时间变长的情况。

4. 怎么判断服务已经恢复正常了？那么你可以回答等待一段固定的时间，然后尝试逐渐放开流量。

这里我给你另外一个微创新的方案，关键词是缓存崩溃。

我还设计过一个很有趣的熔断方案。我的一个接口并发很高，对缓存的依赖度 非常严重。所以我的熔断策略是要是缓存不可用，比如说 Redis 崩溃了，那么 我就会触发熔断。这里如果我不熔断的话，请求会因为 Redis 崩溃而全部落到 MySQL 上，基本上会压垮 MySQL。 在触发熔断之后，我会额外开启一个线程持续 不断地 ping Redis。如果 Redis 恢复了，那么我就会退出熔断状态，新来的请 求就不会被拒绝了。

缓存问题：在这里我提到了 Redis 失效，这种情况类似于缓存雪崩，那么你很自然地就可以把话题引导到如何处理缓存击穿、穿透、雪崩这些经典问题上。 高可用 MySQL：我在这里使用的是熔断来保护 MySQL，类似地，你也可以考虑用限流来保护MySQL。

我这种逐步放开流量的方案其实还是有缺陷的，还有一些更加高级的做法，但 是需要负载均衡来配合。

整体思路是利用负载均衡来控制流量。如果一个服务端节点触发了熔断，那么 客户端在做负载均衡的时候就可以将这个节点挪出可用列表，后续请求会发给 别的节点。在经过一段时间之后，客户端可以尝试发请求给该节点。如果该节点正确处理了，那客户端就可以加大流量。否则客户端就要再一次等待一段时间。

万一所有可用节点都触发熔断了，应该怎么办？

这个方案是需要兜底的，比如说如果因为某些原因数据库出问题，导致某个服 务所有的节点都触发了熔断，那么客户端就完全没有可用节点了。不过这个问 题本身熔断解决不了，负载均衡也解决不了，只能通过监控告警之后人手工介 入处理了。

当资源不够的时候可以暂停某些非核心服务，将腾出来的资源给其他更加重要、更 加核心的服务使用。

跨服务降级常见的做法有三个：

在没有触发降级的时候，App 首页是针对你个人用户画像的个性化推荐。而在触发了降级之后，则可能是使用榜单数据，或者使用一个运营提前配置好的静态页面。

常见的降级思路：

我在公司维护了一个服务，它的接口可以分成两类：一类是给 B 端商家使用的 录入数据的接口，另外一类是给 C 端用户展示这些录入的数据。所以从重要性 上来说，读服务要比写服务重要得多，而且读服务也是一个高并发的服务。 除了这种 B 端录入 C 端查询的场景，还有很多类似的场景也适用。 于是我接入了一个跨服务的降级策略。当我发现读服务的响应时间超过了阈值 的时候，或者响应时间开始显著上升的时候，我就会将针对 B 端商家用户的服 务临时停掉，腾出来的资源都给 C 端用户使用。对于 B 端用户来说，他们这个 阶段是没有办法修改已经录入的数据的。但是这并不是一个特别大的问题。当 C 端接口的响应时间恢复正常之后，会自动恢复 B 端商家接口，商家又可以修 改或者录入数据了。

虽然整体来说写服务 QPS 占比很低，但是对于数据库来说，一次写请求对性能 的压力要远比一次读请求大。所以暂停了写服务之后，数据库的负载能够减轻 不少。

在内容生产平台，作者生产内容，C 端用户查看生产的内容。那么在资源不足的情况下可以考虑停掉内容生产端的服务，只保留 C 端用户查看内容的功能。 如果你的用户分成普通用户和 VIP 用户，那么你也可以考虑停掉给普通用户的服务。甚至，如果一个服务既提供给普通用户，也提供给 VIP 用户，你可以考虑将普通用户请求拒绝掉，只服务 VIP 用户。

这个方案就是典型的跨服务降级。跨服务降级可以在大部分合并部署的服务里 面使用，一般的原则就是 B、C端合并部署降级 B 端；付费服务和非付费服务 降级非付费服务。当然也可以根据自己的业务价值，将这些部署在同一个节点 上的服务分成三六九等。而后在触发降级的时候从不重要的服务开始降级，将 资源调配给重要服务。

只查缓存。

快慢路径。

系统会以一个恒定的速率产生令牌，这些令牌会放到一个桶里面，每个请求只有拿到了令牌才会被执行。每当一个请求过来的时候，就需要尝试从桶里面拿一个令牌。如果拿到了令牌，那么请求就会被处理；如果没有拿到，那么这个请求就被限流了。

漏桶是指当请求以不均匀的速度到达服务器之后，限流器会以固定的速率转交给业务逻辑。

固定窗口是指在一个固定时间段，只允许执行固定数量的请求。比如说在一秒钟之内只能执行 100 个请求。

滑动窗口类似于固定窗口，也是指在一个固定时间段内，只允许执行固定数量的请求。区别就在于，滑动窗口是平滑地挪动窗口，而不像固定窗口那样突然地挪动窗口。

redis或网关

VIP 用户不限流而普通用户限流。 针对 IP 限流。用户登录或者参与秒杀都可以使用这种限流，比方说设置一秒钟最多只能有50 个请求，即便考虑到公共 IP 的问题，正常的用户手速也是没那么快的。 针对业务 ID 限流，例如针对用户 ID 进行限流。

使用Redis实现集群限流的常见方法是使用Redis的滑动窗口算法。以下是一个基本的实现步骤： 1. 定义一个滑动窗口：滑动窗口是一个时间段，例如1秒钟，用于限制这个时间段内的请求次数。 2. 每次请求时，向Redis中的一个列表添加一个元素：这个元素可以是当前的时间戳。列表的名称可以是根据请求的特性来定义的，例如用户ID或IP地址。 3. 移除窗口之外的元素：使用Redis的LTRIM命令，移除列表中，时间戳小于（当前时间-窗口大小）的元素。 4. 检查列表的长度：使用Redis的LLEN命令，检查列表的长度。如果长度超过了你设定的最大请求次数，那么就拒绝新的请求。

限流是为了保证系统可用性，防止系统因为流量过大而崩溃的一种服务治理手 段。从算法上来说，有令牌桶、漏桶、固定窗口和滑动窗口算法。还有动态限 流算法，或者说自适应限流算法，比较有名的就是参考了 TCP 拥塞控制算法 BBR 衍生出来的算法，比如说 B 站开源的 Kratos 框架就有一个实现。这些算 法之间比较重要的一个区别是能否处理小规模的突发流量。 从限流对象上来说，可以是集群限流或者单机限流，也可以是针对具体业务来 做限流。比如说在登录的时候，我们经常针对 IP 进行限流。又或者在一些增值 服务里面，非付费用户也会被限流。 触发限流之后，具体的措施也可以非常灵活。被限流的请求可以同步阻塞一段 时间，也可以考虑同步转异步。如果负载均衡算法灵活的话，也可以做一些调 整，减少发到该节点的概率。 用好限流的一个重要前提是能够设置准确的阈值，例如每秒钟限制在 100 个请 求还是限制在 200 个请求。如果阈值过低，那么系统资源就容易闲置浪费；如 果阈值太高，那么系统可能撑不住那么多流量，导致崩溃。

我在我们公司的登录接口里面就引入了限流机制。正常情况下，一个用户在一 秒钟内最多点击一次登录，所以针对每一个 IP，我限制它最多只能在一秒内提 交 50 次登录请求。这个 50 充分考虑到了公共 IP 的问题，正常用户是不可能 触发这个阈值的。这个限流虽然很简单，但是能够有效防范一些攻击。不过限 流再怎么防范，还是会出现系统撑不住流量的情况。

漏桶做不到

令牌桶可以

漏桶算法非常均匀，但是令牌桶相比之下就没那么均匀。令牌桶本身允许积攒 一部分令牌，所以如果有偶发的突发流量，那么这一部分请求也能得到正常处 理。但是要小心令牌桶的容量，不能设置太大。不然积攒的令牌太多的话就起 不到限流效果了。例如容量设置为 1000，那么要是积攒了 1000 个令牌之后真 的突然来了 1000 个请求，它们都能拿到令牌，那么系统可能撑不住这突如其 来的 1000 个请求。

固定窗口和滑动窗口

假如一个窗口大小是一分钟 1000 个请求，你预计这1000 个请求会均匀分散在这一分钟内。 那么有没有可能第一秒钟就来了 1000 个请求？当然可能。那当下这一秒系统有没有可能崩溃？自然也是可能的。

所以固定窗口和滑动窗口的窗口时间不能太长。比如说以秒为单位是合适的，但是以分钟作为单位就是不合适的。

限流和负载均衡有点儿像，基本没有考虑请求的资源消耗问题。所以负载均衡 不管怎么样，都会有偶发性负载不均衡的问题，限流也是如此。例如即便我将 一个实例限制在每秒 100 个请求，但是万一这个 100 个请求都是消耗资源很多 的请求，那么最终这个实例也可能会承受不住负载而崩溃。动态限流算法一定 程度上能够缓解这个问题，但是也无法根治，因为一个请求只有到它被执行的 时候，我们才知道它是不是大请求。

总体上思路有四个：看服务的观测数据、压测、借鉴、手动计算。

我们公司有完善的监控，所以我可以通过观测到的性能数据来确定阈值。比如 说观察线上的数据，如果在业务高峰期整个集群的 QPS 都没超过 1000，那么 就可以考虑将阈值设定在 1200，多出来的 200 就是余量。 不过这种方式有一个要求，就是服务必须先上线，有了线上的观测数据才能确定阈值。并且，整个阈值很有可能是偏低的。因为业务巅峰并不意味着是集群 性能的瓶颈。如果集群本身可以承受每秒3000个请求，但是因为业务量不够， 每秒只有 1000 个请求，那么我这里预估出来的阈值是显著低于集群真实瓶颈 QPS 的。

压测

性能A、并发B、吞吐量C

借鉴

手动计算

升华

隔离指的是不同服务分散在不同的机房， 多活强调的是同一个服务在不同的城市、不同的机房里面有副本。

虽然你买了很多实例，但是这些实例在云厂商 那里都是同一个物理机虚拟出来的。

是指一起部署的服务上有多个接 口或者方法，那么就可以利用分组机制来达成隔离的效果。

Java的ThreadPoolExecutor提供了以下四种拒绝策略： 1. AbortPolicy：直接抛出异常，这是默认策略。 2. CallerRunsPolicy：只用调用者所在的线程来运行任务。 3. DiscardOldestPolicy：丢弃队列里最旧的未处理任务，然后尝试再次提交当前任务。 4. DiscardPolicy：直接丢弃任务，但是不抛出异常。

是指为核心服务或者热点专门提供数据库集群、消息队列集群等第三方依赖集 群。

之前为了保障我们 C 端用户的服务体验，我在我们的服务上利用微服务框架的分组功能做了一个简单的隔离。我们的服务本身部署了八个实例，我将其中三台实例分组为 B 端。于是商家过来的请求就只会落在这三台机器上，而 C 端用户的请求就可以落到八台中的任意一台。我这么做的核心目的是限制住 B 端使用的资源，但是 C 端就没有做任何限制。

之前我在公司的时候就遇到过一个事故。当时我们的服务原本运行得很好，结果突然之间Redis 就卡住了，导致我们的 Redis 请求大部分超时，请求都落到了数据库上，数据库负载猛增，导致数据库查询也超时。后来运维排查，确认了 Redis 在那段时间因为别的业务上线了一个新功能，这个功能会批量计算数据，产生的结果会存储在 Redis。但是这个结果非常庞大，所以在这个功能运行的时候，Redis 就相当于在频繁操作大对象。 也不仅仅是我们，所有使用那个 Redis 的业务都受到了影响。后来我们再使用 Redis 的时候，就分成了核心与非核心。核心 Redis 有更加严格的接入机制和代码 review 机制，而非核心的就比较随意。不仅如此，我们还为高并发的服务设计了数据库限流，防止再来一次Redis 失效导致 MySQL 被打崩的事故。

隔离本身并不是没有代价的。一方面，隔离往往会带来资源浪费。例如为核心业务准备一个独立的 Redis 集群，它的效果确实很好，性能很好，可用性也很好。但是代价就是需要更多钱， Redis 本身需要钱，维护它也需要钱。另外一方面，隔离还容易引起资源不均衡的问题。比如说在连接池隔离里面，可能两个连接池其中一个已经满负荷了，另外一个还是非常轻松。当然，公司有钱的话就没有什么缺点了。

慢任务隔离

制作库与线上库分离

及时释放资源是提高系统可用性的有效做法

调用超时控制，比如说你在调用下游接口的时候，为这一次调用设置一个超时时间。

链路超时控制，是指整条调用链路被一个超时时间控制。比如说你的业务有一条链路是 A调用 B，B 调用 C。如果链路超时时间是 1s，首先 A 调用 B 的超时时间是 1s，如果 B 收到请求的时候已经过去了 200ms，那么 B 调用 C 的超时时间就不能超过 800ms

根据用户体验来确定、根据被调用接口的响应时间来确定、根据压测结果来确定、根据代码来确定。

框架客户端监听超时时间的情况下，如果在发起请求之前，就已经超时了，那么框架客户端根本不会发起请求，而是直接返回超时响应。

如果框架客户端已经发出了请求，之后触发了超时时间，那么框架客户端就会直接返回一个超时错误给应用代码。后续服务端返回了响应，框架客户端会直接丢弃。

如果在收到请求的时候就已经超时了，那么框架服务端根本 不会调用服务端应用代码，而是直接给框架客户端返回一个超时响应。

如果在等待业务响应的时候触发了超时，框架服务端会立刻释放连接，继续处理下一个请求。那么当应用返回响应的时候，它会直接丢弃，不会再回写响应

没有规定的话，最好的办法就是从用户体验的角度出发确定超时时间，这个可以考虑咨询一下产品经理。如果这个方式不行的话，就可以考虑根据被调用接口的响应时间，来确定调用者的超时时间。比如说我要调用 A 接口，如果 A 接口的 999 线是 200ms，那么我就可以把我这一次调用的超时时间设置成 200ms。除了 999 线，99 线也可以作为超时时间。 如果我要调用的是一个新接口，没有性能数据，那么就可以考虑执行压测，然后根据结果选用 99 线或者 999 线。压测的结果也不仅仅可以用在这里，也可以用在限流那里。实在没办法，我们还可以根据代码里面的复杂操作来计算一个时间。

原则上是看公司的可用性要求，要求几个 9 就要几个 9。如果没有硬性规定，那么看 99 线和 999 线相差多不多。不多的话就用 999 线，多的话就用 99 线。

正常来说，对任何第三方的调用我都会设置超时时间。如果没有设置超时时间或者超时时间过长，都可能引起资源泄露。比如说早期我们公司就出现过一个事故，某个同事的数据库查询超时时间设置得过长，在数据库性能出现抖动的时候，客户端的所有查询都被长时间阻塞，导致连接池中的连接耗尽。

链路超时控制

你提到了难以知道 10ms 的问题，那么面试官自然就会问你该怎么知道网络 传输耗时 10ms。换句话来说，你怎么计算请求的网络传输时间。

链路超时还有一个弊端，也是面试官经常问的，就是如果 A 调用 B，B 调用 C 的这条链路的超时时间设置为 1s，但是 B 这个服务的提供者就说自己是不可能在 1s 内返回响应的，那么该怎么办？

正常来说我们推送数据都是尽可能实时推过去，但是有些时候业务方推过来的 数据太多，又或者第三方崩溃，那么我就会临时将数据存起来。后面第三方恢 复过来了，再逐步将数据同步过去。这算是比较典型的同步转异步用法。

我们这种容错机制其实完全可以做成利用消息队列来彻底解耦的形式。在这种 解耦的架构下，业务方不再是同步调用一个接口，而是把消息丢到消息队列里面。然后我们的服务不断消费消息，调用第三方接口处理业务。等处理完毕再将响应通过消息队列通知业务方。

同步调用与异步解耦两种方式，可以看作是对接不同业务方的通用范式。一般 而言但凡能异步解耦的，我绝不搞什么同步调用。

为了进一步提高可用性，降低因为第三方故障引起事故的概率，我在调用第三 方这里引入了自动替换机制。我们本来有多个第三方，相互之间是可以替换 的，于是我就做了一个简单的自动切换机制。当我发现第三方接口出现故障的 时候，就会切换到一个新的第三方

早期为了弄清楚服务的吞吐量和响应时间瓶颈，我搞过一些压测。但这些流量 不能真的调用第三方，所以我为了解决压测这个问题，设计了两个东西。 一个是模拟第三方的响应时间。不过这种模拟是比较简单的，就是在代码里面 睡眠一段时间，这段时间是第三方接口的平均响应时间加上一个随机偏移量计 算得出的。另一个是在并发非常高的情况下，会触发我的容错机制。 而且我这里留好了接口，万一我们公司要做全链路压测了，我这边也可以根据链路元数据将压测流量转发到 mock 逻辑，而真实业务请求则会发起真实调用。

某某业务是我们公司的核心业务，它的核心困难是需要保证高可用。在我刚入 职的时候，这个系统的可用性还是比较低的。比如说我刚入职的第一个月就出 了一个比较严重的线上故障，别的业务组突然上线了一个功能，带来了非常多 的 Redis 大对象操作，以至于 Redis 响应非常慢，把我们的核心服务搞超时 了。 后面经过调研，我总结下来，系统可用性不高主要是这三个原因导致的。 1. 缺乏监控和告警，导致我们难以发现问题，难以定位问题，难以解决问题。 2. 缺乏服务治理，导致某一个服务出现故障的时候，整个系统都不可用了。 3. 缺乏合理的变更流程。我们每次复盘 Bug 时候，都觉得如果有更加合理的变 更流程的话，那么大部分事故都是可以避免的。

针对这些具体的点，我的可用性改进计划分成了几个步骤。 1. 引入全方位的监控与告警，这一步是为了快速发现问题和定位问题。 2. 引入各种服务治理措施，这一步是为了提高服务本身的可用性，并且降低不 同服务相互之间的影响。 如果你们公司有非常完善的基础设施和强大的技术实力，那么你可以加上像全链路压测、混沌工程、故障演练等高端方案，作为你整个计划中的一部分。 落地实施然后你再讲落地实施。落地实施的时候你要补充细节，同时也可以掺杂一些落地过程中的痛点。 3. 为所有第三方依赖引入高可用方案，这一步是为了提高第三方依赖的可用 性。 4. 拆分核心业务与非核心业务的共同依赖。这一步是为了进一步提高核心业务 的可用性。 5. 规范变更流程，降低因为变更而引入 Bug 的可能性。

在第一个步骤里面，就监控来说，既要为业务服务添加监控和告警，又要为第 三方依赖增加监控，比如说监控数据库、Redis 和消息队列。而告警则要综合 考虑告警频率、告警方式以及告警信息的内容是否足够充足，减少误报和谎 报。本身这个东西并不是很难，就是非常琐碎，要一个个链路捋过去，一个个 业务查漏补缺。 就第二个步骤来说，服务治理包括的范围比较广，我使用过的方案也比较多， 比如说限流熔断等等。 第三个步骤遇到了比较大的阻力，主要是大部分第三方依赖的高可用方案都需 要资金投入。比如说最开始我们使用的 Redis 就是一个单机 Redis，那么后面 我尝试引入 Redis Cluster 的时候，就需要部署更多的实例。 第四个步骤也是执行得不彻底。现在的策略就是新的核心业务会启用新的第三 方依赖集群，比如说 Redis 集群，但是老的核心业务就保持不动。 第五个步骤是我在公司站稳脚跟之后跟领导建议过几次，后来领导就制定了新 的规范，主要是上线规范，包括上线流程、回滚计划等内容。

依赖第三方

面试官质疑你为什么三个九也敢说是高可用

目前我的服务，尤其是一些老服务，相互之间还是在共享一些基础设施。一个 出问题就很容易牵连其他服务，所以我还需要进一步将这些老服务解耦。

比如说，我一定要让我的全部服务都使用我自己所在组的数据库实例，省得因 为别组的同事搞崩了数据库，牵连到我的业务。大家一起用一个东西，出了事 别人死不认账，甩锅都甩不出去。

我还全面推行了异步/解耦。我将核心业务的逻辑一个个捋过去，再找产品经理 确认，最终将所有的核心业务中能够异步执行的都异步执行，能够解耦的都解 耦。这样在我的业务里面，需要同步执行的步骤就大大减少了。而后续异步执 行的动作，即便失败了也可以引入重试机制，所以整个可用性都大幅度提升 了。 比如说在某个场景下，整个逻辑可以分成很明显的两部分，必须要同步执行的 A 步骤和可以异步执行的 B 步骤。那么在 A 步骤成功之后，再发一条消息到消 息队列。另外一边消费消息，执行 B 步骤。

为了进一步提高整个集群服务的可用性，我跟运维团队进行密切合作，让他们 支持了自动扩容。整个设计方案是允许不同的业务方设置不同的扩容条件，满 足条件之后运维就会自动扩容。比如说我为我的服务设置了 CPU 90% 的指 标。如果我这个服务所有节点的 CPU 使用率都已经超过了 90%，并且持续了 一段时间，那么就会触发自动扩容，每次扩容会新增一个节点。

CPU 使用率长期处于高位，基本上代表节点处于高负载状态。并且我强调的是 集群里面的节点都超过了这个指标，防止单一节点超过该指标之后引起不必要 的扩容。比如说，万一某个节点非常不幸，处理的都是复杂的请求，那么它就 会处于高负载的状态，但是其他节点其实负载还很低。那么这个时候扩容，并 没有什么效果。

比如说你执行最多的 SELECT 语句是 SELECT A, B, C 三个 列，而且 WHERE 里面也只有这三个列的条件，那么就可以考虑直接创建一个 <A, B, C>组合索引。

原来我们有一个执行非常频繁的 SQL。这个 SQL 查询全部的列，但是业务只会 用到其中的三个列 A B C，而且 WHERE 条件里面主要的过滤条件也是这三个 列组成的，所以我后面就在这三个列上创建了一个组合索引。 对于这个高频 SQL 来说，新的组合索引就是一个覆盖索引。所以我在创建了索 引之后，将 SQL 由 SELECT * 改成了 SELECT A, B, C，完全避免了回表。 这么一来，整个查询的查询时间就直接降到了 1ms 以内。

我在公司优化过一个 SQL，这个 SQL 非常简单，就是将某个人的数据搜索出 来，然后按照数据的最后更新时间来排序。SQL 大概是 SELECT * FROM xxx WHERE uid = 123 ORDER BY update_time。 如果用户的数据比较多，那么这个语句执行的速度还是比较慢的。后来我们做 了一个比较简单的优化，就是用 uid 和 update_time 创建一个联合索引。从数 据库原理上说，在 uid 确认之后，索引内的 update_time 本身就是有序的，所 以避免了数据库再次排序的消耗。这样一个优化之后，查询时间从秒级降到了 数十毫秒。

预估值

精确值

早期我们有一个表结构定义，上面有 A、B 两个索引。原本按照预期，我们是 认为这个查询应该会走 A 这个索引。结果实际用 EXPLAIN 命令之后，MySQL 却使用了 B 索引。所以我使用了 FORCE INDEX 之后强制查询使用 A 索引，果 然查询的响应时间降低到了毫秒级。

如果不是使用聚合函数来作为过滤条件，最好还是将过滤条件优先写到 WHERE 里面。

早期我们有一个历史系统，里面有一个 SQL 是很早以前的员工写的，比较随 意。他将原本可以用在 WHERE 里面的普通的相等判断写到了 HAVING 里面。 后来我将这个条件挪到了 WHERE 之后查询时间降低了40%。

有一些 SQL 在不断执行中会产生极大的偏移量，比如说非常简单的文章列表分页，一页50条数据，那么当你要拿第 101 页的数据，需要写成 LIMIT 5000, 50。5000 就是偏移量。实际执行中数据库就需要读出 5050 条数据，然后将前面的 5000 都丢掉，只保留 50 条。

在我们的系统里面，最开始有一个分页查询，那时候数据量还不大，所以一直 没出什么问题。后来数据量大了之后，我们发现如果往后翻页，页码越大查询 越慢。问题关键就在于我们用的 LIMIT 偏移量太大了。

所以后来我就在原本的查询语句的 WHERE 里面加上了一个 WHERE id > max_id 的条件。这个 max_id 就是上一批的最大 ID。这样我就可以保证LIMIT 的偏移量永远是 0。这样修改之后，查询的速度非常稳定，一直保持在毫秒级。

select * from gen_studentinfo where sex = 1 and id > (select id from gen_studentinfo where sex = 1 limit start,1) limit 10;

临键锁不仅仅是会用记录锁锁住命中的记录，也会用间隙锁锁住记录之间 的空隙。临键锁和数据库隔离级别的联系最为紧密，它可以解决在可重复读隔离级别之下的幻读问题。

间隙锁是左开右开，而临键锁是左开右闭。还是用前面的例子来说明。如果 id 只有（1，4，7）三条记录，那么临键锁就将（1，4]锁住。

临键锁是互斥的

早期我发现我们的业务有一个神奇的性能问题，就是响应时间偶尔会突然延 长。后来经过我们排查，确认响应时间是因为数据库查询变慢引起的。但是这 些变长的查询，SQL 完全没有问题，我用 EXPLAIN 去分析，都很正常，也走 了索引。 直到后面我们去排查业务代码的提交记录，才发现新加了一个功能，这个功能 会执行一个 SQL，但是这个 SQL 本身不会命中任何索引。于是数据库就会使用 表锁，偏偏这个 SQL 因为本身没有命中索引，又很慢，导致表锁一直得不到释 放。结果其他正常的 SQL 反而被它拖累了。最终我们重新优化了这个使用表锁 的 SQL，让它走了一个索引，就解决了这个问题。

大多数情况下，如果自己设计一个类似的算法，那么每个字段的含义、长度都是可以灵活控制的。比如说时间戳 41 比特可以改得更短或者更长，比如说 39 比特也能表示十几年，其实也够用了。

机器 ID 虽然明面上是机器 ID，但是实际上并不是指物理机器，准确说是算法 实例。例如，一台机器部署两个进程，每个进程的 ID 是不同的；又或者进一步 切割，机器 ID 前半部分表示机器，后半部分可以表示这个机器上用于产生 ID 的进程、线程或者协程。甚至机器 ID 也并不一定非得表示机器，也可以引入一 些特定的业务含义。而序列号也是可以考虑加长或者缩短的。

升华：

一般来说可以考虑加长序列号的长度，比如说缩减时间戳，然后挪给序列号 ID。当然也可以更加简单粗暴地将 64 位的 ID 改成 96 位的 ID，那么序列号 ID 就可以有三四十位，即便是国际大厂也不可能用完了。不过，彻底的兜底方 案还是要有的。我们可以考虑引入类似限流的做法，在当前时刻的 ID 已经耗尽 之后，可以让业务方等一下。我们的时间戳一般都是毫秒数，那么业务方最多 就会等一毫秒。

在低频场景下，很容易出现序列号几乎没有增长，从而导致数据在经过分库分 表之后只落到某一张表里面的情况。为了解决这种问题，可以考虑这么做，序 列号部分不再是从 0 开始增长，而是从一个随机数开始增长。还有一个策略就 是序列号从上一时刻的序列号开始增长，但是如果上一时刻序列号已经很大了，那么就可以退化为从 0 开始增长。这样的话要比随机数更可控一点，并且性能也要更好一点。

一般来说，这个问题只在利用 ID 进行哈希的分库分表里面有解决的意义。在利 用 ID 进行范围分库分表的情况下，很显然某一段时间内产生的 ID 都会落到同 一张表里面。不过这也是我们的使用范围分库分表预期的行为，不需要解决。

大多数时候，我们会面临一个问题，就是分库分表的键和主键并不是同一个。 比如说在 C 端的订单分库分表，我们可以采用买家 ID 来进行分库分表。但是 一些业务场景，比如说查看订单详情，可能是根据主键又或者是根据订单 SN 来查找的。 那么我们可以考虑借鉴雪花算法的设计，将主键生成策略和分库分表键结合在 一起，也就是说在主键内部嵌入分库分表键。例如，我们可以这样设计订单 ID 的生成策略，在这里我们假设分库分表用的是买家 ID 的后四位。第一段依旧是 采用时间戳，但是第二段我们就换成了这个买家后四位，第三段我们采用随机 数。 普遍情况下，我们都是用买家 ID 来查询对应的订单信息。在别的场景下，比如 说我们只有一个订单 ID，这种时候我们可以取出订单 ID 里嵌入进去的买家 ID 后四位，来判断数据存储在哪个库、哪个表。类似的设计还有答题记录按照答 题者 ID 来分库分表，但是答题记录 ID 本身可以嵌入这个答题者 ID 中用于分 库分表的部分。

升华

这个保证不了，但是它能够做到大体上是递增的。你可以设想，同一时刻如果 有两个用户来创建订单，其中用户 ID为 2345 的先创建，用户 ID 为 1234 的 后创建，那么很显然用户 ID 1234 会产生一个比用户 ID 2345 更小的订单 ID；又或者同一时刻一个买家创建了两个订单，但是第三段是随机数，第一次 100，第二次 99，那么显然第一次产生的 ID 会更大。 但是这并不妨碍我们认为，随着时间推移，后一时刻产生的 ID 肯定要比前一时 刻产生的 ID 要大。这样一来，虽然性能比不上完全严格递增的主键好，但是比 完全随机的主键好。

你这个方案能不能保证 ID 唯一

产生一样 ID 的概率不是没有，而是极低。它要求同一个用户在同一时刻创建了 两个订单，然后订单 ID 的随机数部分一模一样，这是一个很低的概率。

解决方案其实也很简单，就是在插入数据的时候，如果返回了主键冲突错误， 那么重新产生一个，再次尝试就可以了。

SDK 形态性能最好，但是和语言强耦合。比如说 Java 研发的 ShardingSphere jar 包是没办法给 Go 语言使用的。

Proxy 形态性能最差，因为所有的数据库查询都发给了它，很容易成为性能瓶颈。尤其是单机部署 Proxy 的话，还面临着单节点故障的问题。它的优点就是跟编程语言没有关系，所以部署一个 Proxy 之后可以给使用不同编程语言的业务使用。同时，Proxy 将自己伪装成一个普通的数据库之后，业务方可以轻易地从单库单表切换到分库分表，整个过程对于业务方来说就是换了一个数据源。

Sidecar 目前还没有成熟的产品，但是从架构上来说它的性能应该介于 SDK 和 Proxy 之间，并且也没有单体故障、集群管理等烦恼。

分页查询在分库分表里面是一个很难处理的问题，要么查询可能有性能问题， 比如说这里使用的全局查询法，要么就是要求业务折中，比如说我优化后禁用 了跨页，以及要求数据平均分布的平均分页法，当然还有各方面都不错，但是 实现比较复杂的二次查询法、中间表法。

分库分表中间件一般采用的都是全局排序法。假如说现在我们要查询的是 LIMIT x OFFSET y。那么分库分表中间件会把查询改写为 LIMIT x+y OFFSET 0，然后把查询请求发送给所有的目标表。在拿到所有的返回值之后，在内存中 排序，并且根据排序结果找出全局符合条件的目标数据。

亮点，抓住受影响的三个方面：网络、内存、CPU。

这个解决方案最大的问题是性能不太好。首先是网络传输瓶颈，比如说在 LIMIT 10 OFFSET 1000 这种场景下，如果没有分库分表，那么只需要传输 10 条数据。而在分库分表的情况下，如果命中了 N 个表，那么需要传输的就是 $（1000 + 10）\times N$ 条数据。而实际上最终我们只会用其中的 10 条数 据，存在巨大的浪费。 其次是内存瓶颈。收到那么多数据之后，中间件需要维持在内存中排序。CPU 也会成为瓶颈，因为排序本身是一个 CPU 密集的操作。所以在 Proxy 形态的 分库分表中间件里面，分页查询一多，就容易把中间件的内存耗尽，引发 OOM，又或者 CPU 100%。不过可以通过归并排序来缓解这些问题。

关键点就是在拿到数据之后，使用归并排序的算 法。

在分库分表里面，可以使用归并排序算法来给返回的结果排序。也就是说在改 写为 LIMIT x+y OFFSET 0 之后，每一个目标表返回的结果都是有序的，自然 可以使用归并排序。在归并排序的过程中，我们可以逐条从返回结果中读取， 这意味着没必要将所有的结果一次性放到内存中再排序。在分页的场景下，取 够了数据就可以直接返回，剩下的数据就可以丢弃了。

在一些可以接受分页结果不精确的场景下，可以考虑平均分页的做法。举个例 子来说，如果查询的是 LIMIT 4 OFFSET 2，并且命中了两张目标表，那么就可 以考虑在每个表上都查询 LIMIT 2 OFFSET 1。这些结果合并在一起就是 LIMIT 4 OFFSET 2 的一个近似答案。这种做法对于数据分布均匀的分库分表效果很 好，偏差也不大。

更加通用的做法是根据数据分布来决定分页在不同的表上各自取多少条数据。 比如说一张表上面有 70% 的数据，但是另一张表上只有 30% 的数据，那么在 LIMIT 10 OFFSET 100 的场景下，可以在 70% 的表里取 LIMIT 7 OFFSET 70，在 30% 的表里取 LIMIT 3 OFFSET 30。所以，也可以把前面平均分配的 方案看作是各取 50% 的特例。

低耦合性：各个组件只依赖消息队列，组件之间通过消息的定义间接地耦合在一起。换句话来说，组件只需要知道消息的定义，并不需要知道发送消息的组件是哪个。

可扩展性：事件驱动的应用程序具有很强的扩展性，可以通过添加新的事件处理程序、组件等来实现系统的扩展和升级。

高可用：可以充分利用消息队列的可靠性、可重复消费等特性，来保证消息发送、消费高可用，从而保证整个系统的高可用。

但是 Kafka 的顺序写要求的是分区内部顺序写，不同的分区之间就不是顺序写 的。所以如果一个 topic 下的分区数量不合理，偏多的话，写入性能是比较差 的。 举个例子，假如说要写入 100M 的数据，如果只有一个分区，那就是直接顺序 写入 100M。但是如果有 100 个分区，每个分区写入 1M，它的性能是要差很 多的。因为一个 topic 至少有一个分区，topic 多也会影响 Kafka 的性能。最 好是在创建 topic 的时候就规划好分区，但是如果没规划好，还是得考虑解 决。

如果某个 topic 分区太多了用不上，就可以考虑不用其中的一些分区。假设说 我们现在有 32 个分区，但是事实上业务本身用不上那么多分区，那么就可以考 虑要求发送者只将消息发送到特定的 16 个分区上。当然，能够直接创建新 topic 是最好的。

topic 过多的话，可以考虑合并一些 topic，但这也是看业务的。比如说最开始 的设计是某个主业务下的子业务都有一个 topic，那么可以考虑这些子业务合并 使用一个 topic，然后在里面用 type 等字段来标记是归属于哪个子业务的。

多少分区才算多，以及多少分区才会引起性能下降，这和 topic 本身有关，也 和业务有关。 不过之前阿里云中间件团队测试过，在一个 topic 八个分区的情况下，超过 64 个 topic 之后，Kafka 性能就开始下降了。

Kafka 的分区机制也能提高性能。假如说现在 Kafka 没有分区机制，只有 topic，那么可以预计的是不管是读还是写，并发竞争都是 topic 维度的。而在 引入了分区机制之后，并发竞争的维度就变成分区了。如果是操作不同的分 区，那么完全不需要搞并发控制。

在 Kafka 中，每一个分区都对应多个段文件，放在同一个目录下。Kafka 根据 topic 和分区就可以确定消息存储在哪个目录内。每个段文件的文件名就是偏移 量，假设为 N，那么这个文件第一条消息的偏移量就是 N+1。所以 Kafka 根 据偏移量和文件名进行二分查找，就能确定消息在哪个文件里。 然后每一个段文件都有一个对应的偏移量索引文件和时间索引文件。Kafka 根 据这个索引文件进行二分查找，就很容易在文件里面找到对应的消息。如果目 标消息刚好有这个索引项，那么直接读取对应位置的数据。如果没有，就找到 比目标消息偏移量小的，最接近目标消息的位置，顺序找过去。整个过程非常 像跳表。

Kafka 还采用了批量处理来提高性能。Kafka 的客户端在发送的时候，并不是 说每来一条消息就发送到 broker 上，而是说聚合够一批再发送。而在 broker 这一端，Kafka 也是同样按照批次来处理的，显然即便同样是顺序写，一次性 写入数据都要比分多次快很多。除了 Kafka，很多高并发、大数据的中间件也 采用类似的技术，比如说日志采集与上报就采用批量处理来提升性能。

批量处理能够提升性能的原因是非常直观的，有两方面。一方面是减少系统调 用和内核态与用户态切换的次数。比方说100 个请求发送出去，即便采用零拷 贝技术，也要 100 次系统调用 200 次内核态与用户态切换。而如果是一次性发 送的话，那么就只需要 1 次系统调用和 2 次内核态与用户态切换。 另外一方面，批量处理也有利于网络传输。在网络传输中，一个难以避免的问 题就是网络协议自身的开销。比如说协议头开销。那么如果发送 100 次请求， 就需要传输 100 次协议头。如果 100 个请求合并为一批，那就只需要一个协议 头。

不过批次也要设计合理。正常来说批次总是越大越好，但是批次太大会导致一 个后果，就是客户端难以凑够一个批次。比如说 100 条消息一批和 1000 条消 息一批，后者肯定很难凑够一个批次。一般来说批量处理都是要兜底的，就是 在固定时间内如果都没有凑够某个批次，那么就直接发送。比如说 Kafka 里面 生产者就可以通过 linger.ms 参数来控制生产者最终等多长时间。时间到 了，即便只有一条消息，生产者也会把消息发送到 broker 上。

Kafka 为了进一步降低网络传输和存储的压力，还对消息进行了压缩。这种压 缩是端到端的压缩，也就是生产者压缩，broker 直接存储压缩后的数据，只有 消费者才会解压缩。它带来的好处就是，网络传输的时候传输的数据会更少， 存储的时候需要的磁盘空间也更少。当然，缺点就是压缩还是会消耗 CPU。如 果生产者和消费者都是 CPU 密集型的应用，那么这种压缩机制反而加重了它们 的负担。

为了优化 Kafka 的性能，可以调小 vm.swappiness。比如说调整到 10，这样 就可以充分利用内存；也可以调整到 1，这个值在一些 linux 版本上是指进行最 少的交换，但是不禁用交换。目前我们公司用的就是 10。

物理内存总是有限的，所以直接禁用的话容易遇到内存不足的问题。我们只是 要尽可能优化内存，如果物理内存真的不够，那么使用交换区也比系统不可用 好。

net.core.rmem_default 和 net.core.wmem_default：Socket 默认读写缓冲区大小。 net.core.rmem_max 和 net.core.wmem_max：Socket 最大读写缓冲区。 net.ipv4.tcp_wmem 和 net.ipv4.tcp_rmem：TCP 读写缓冲区。它们的值由空格分隔的最小值、默认值、最大值组成。可以考虑调整为 4KB、64KB 和 2MB。

另外一个优化方向是调大读写缓冲区。Scoket 默认读写缓冲区可以考虑调整到 128KB；Socket 最大读写缓冲区可以考虑调整到 2MB，TCP 的读写缓冲区最 小值、默认值和最大值可以设置为 4KB、64KB 和 2MB。不过这些值究竟多 大，还是要根据 broker 的硬件资源来确定。

Kafka 也是一个磁盘 IO 密集的应用，所以可以从两个方向优化磁盘 IO。一个 是使用 XFS 作为文件系统，它要比 EXT4 更加适合 Kafka。另外一个是禁用 Kafka 用不上的 atime 功能。

相比于 EXT4，XFS 性能更好。在同等情况下，使用 XFS 的 Kafka 要比 EXT4 性能高 5% 左右。

num.replica.fetchers：从分区拉取数据的线程数量，默认是1。你可以考虑设置成 3。 replica.fetch.min.bytes：可以通过调大这个参数来避免小批量同步数据。 replica.fetch.max.bytes：这个可以调大，比如说调整到 5m，但是不要小于 message.max.byte，也就是不要小于消息的最大长度。 replica.fetch.wait.max.ms：如果主分区没有数据或者数据不够从分区的最大等待时间，可以考虑同步调大这个值和 replica.fetch.max.bytes。

Kafka 的主从分区同步也可以优化。首先调整从分区的同步数据线程数量，比 如说调整到 3，这样可以加快同步速率，但是也会给主分区和网络带宽带来压 力。其次是调整同步批次的最小和最大字节数量，越大则吞吐量越高，所以都 尽量调大。最后也可以调整从分区的等待时间，在一批次中同步尽可能多的数 据。

不过调大到一定地步之后，瓶颈就变成了从分区来不及处理。或者调大到超过 了消息的并发量，那么也没意义了。

Kafka 这种机制可以看作是典型的批量拉数据模型。在这个模型里面，要着重 考虑的就是多久拉一次，没有怎么办，一次拉多少？在实现这种模型的时候， 让用户根据自己的需要来设定参数是一个比较好的实践。

之前我们的 Kafka 集群还出过 GC 引发的性能问题。我们有一个 Kafka 的堆内 存很大，有 8G，但是垃圾回收器还是用的 CMS。触发了 full GC 之后，停顿 时间就会很长，导致 Kafka 吞吐量显著下降，并且有时候还会导致 Kafka 认为 主分区已经崩溃，触发主从选举。 在这种情况下，有两个优化思路，一个是考虑优化 CMS 本身，比如说增大老 年代，但是这个治标不治本，可以缓解问题，但是不能根治问题。所以综合之 下我选了另外一个方向，直接切换到 G1 回收器。G1 回收器果然表现得非常 好，垃圾回收频率和停顿时间都下降了。

理论上来说，并不是做不到，只不过代价比较高昂不值得而已。

最简单的做法就是使用定时器，但是定时器本身开销太大，还得考虑在更新过 期时间的时候重置定时器。另外一种思路就是使用延迟队列，但是延迟队列本 身开销也很大，修改过期时间也要调整延迟队列，还要引入大量的并发控制。 综合来看，并不值得。而定期删除和懒惰删除的策略虽然看上去可能浪费内 存，但是这个浪费很少，并且对响应时间也没那么大的影响。

一般我们是根据缓存容量和缓存命中率确定过期时间的。正常来说，越高缓存 命中率，需要越多的缓存容量，越长的过期时间。所以最佳的做法还是通过模 拟线上流量来做测试，不断延长过期时间，直到满足命中率的要求。当然，也 可以从业务场景出发。比如说，当某个数据被查询出来以后，用户大概率在接 下来的三十分钟内再次使用这个对象，那么就可以把过期时间设置成 30 分钟。

如果公司的缓存资源不足，那么就只能缩短过期时间，当然代价就是缓存命中 率降低。

缓存命中率要根据用户体验来确定。比如说要求 90% 的用户都能直接命中缓 存，以保证响应时间在 100ms 以内，那么命中率就不能低于 90%。又或者公 司规定了接口的 99 线或者平均响应时间，那么根据自己接口命中缓存和不命中 缓存的响应时间，就可以推断出来命中率应该多高。

举个例子，如果公司要求平均响应时间是 300ms，命中缓存响应时间是 100ms，没命中缓存的响应时间是 1000ms，假设命中率是 p，那么 p 要满足 $100 \times p +1000 \times (1-p) = 300$。

理论上是要根据用户体验来确定过期时间，更加直观的做法是根据重试的时 间、数据的热度来确定过期时间。

之前我设计过一个支持高并发的幂等方案，里面用到了 Redis。这个 Redis 会 缓存近期已经处理过的业务 key，那么为了避免穿透这个缓存，缓存的过期时 间就很关键了。如果过短，缓存命中率太低，请求都落到数据库上，撑不住高 并发；如果过长，那么会浪费内存。 所以这个过期时间是和重复请求相关的，例如在我的某个业务里面，重试是很 快的，基本上在 10 分钟内就能重试完毕，那么我就把这个 Redis 的 key 的过 期时间设置为 10 分钟。 类似的思路也可以用于重试机制。比如说如果流程很漫长，那么可以考虑缓存 中间结果，比如说中间某个步骤计算的结果。当触发重试请求的时候，就直接 利用中间结果来继续执行。而这些中间结果的过期时间，就会触发重试的时 间。

也可以考虑根据数据是否是热点来确定过期时间。热点数据我们就会设置很长 的过期时间，但是非热点数据，过期时间就可以设置得短一些。比如说我们的 业务每个小时都会计算一些榜单数据，那么这些榜单对应的缓存过期时间就是 一个小时。 又比如说当某个大 V 发布了一个新作品之后，这个新作品的缓存时间可以保持 在数小时。因为我们可以预期大 V 的粉丝会在这几小时内看完这个新作品。而 一个已经发布很久的作品，即便要缓存，缓存时间也要设置得比较短，因为这 个时候并没有什么人来看。

内存换响应时间。

早期我们有一个业务场景，就是用户会搜索出一个列表页，然后用户大概率就 会点击列表页前面的某些数据。因此我做了一个简单的性能优化，就是预加载 缓存。当用户访问列表页的时候，我会异步地把列表页的第一页的数据加载出 来放到缓存里面。因为我可以预计的是，接下来用户会直接使用查看列表页中 内容的详情信息。那么就会直接命中缓存，而不必再次查询。 当然，因为用户也不一定就会访问，而且就算访问了也就是只访问一两次，因 此过期时间可以设置得很短，比如说用一分钟。

LRU（Least Recently Used）是指最近最少使用算法。也就是说，缓存容量不足的时候，就从所有的 key 里面挑出一个最近一段时间最长时间未使用的 key。

LFU（Least Frequently Used）是最不经常使用算法，它是根据对象的使用次数来确定淘汰对象的，每次都是将使用次数最低的淘汰掉。所以基本的思路就是按照访问频率来给所有的对象排序。每次要淘汰的时候，就从使用次数最少的对象里面找出一个淘汰掉。

使用缓存一定要注意控制缓存的内存使用量，不能因为某一个业务而直接把所 有的内存都耗尽。

解决缓存淘汰的问题，应该优先考虑增加内存，降低缓存淘汰的几率。不过毕 竟内存也不是无限的，最终都还是要选择合适的淘汰策略。比如说我们公司的 Redis 使用了 volatile-lru 淘汰策略。

这些 LRU 或者 LFU 之类的算法都是普适性很强的算法，但是我也用过一些更 加针对业务的淘汰算法。比如说按照优先级淘汰，大对象优先淘汰、小对象优 先淘汰、代价低优先淘汰。大多数时候，不论是 Redis 还是本地缓存，这种业 务针对性特别强的算法，都得自己实现

同时监听 Redis 上的删除事件，每次收到删除事件，就把有序集合中对应的 key 删除。

在这个基础上，我可以根据不同的业务特征来计算优先级，从而实现大对象先 淘汰、小对象先淘汰、热度低先淘汰等算法。

限流保护节点：你可以考虑使用 Elasticsearch 的插件机制、网关或者在客户端限流。也不仅仅是限流，你也可以用来熔断或者降级。 利用消息队列削峰：这个案例你也可以用在消息队列的面试中。 保护协调节点：因为查询总是先到协调节点，而后协调节点再分发个数据节点执行。并且协调节点自己还要处理结果集，所以它也是可用性的瓶颈。最佳策略就是让部分节点只充当协调节点。在这个基础上可以考虑根据请求大小、业务价值来对协调节点进行分组与隔离。 双集群：大部分时候，只有不差钱的公司才会考虑为了一点点的可用性提升而引入双集群，这里我介绍了钞能力 CCR 方案和使用消息队列完成双写的双集群方案。

你在面试的时候并不需要记住全部的优化方案，而是可以尝试记住里面几个典型的，或者根据我在这里写出来的思路，结合自己的业务设计几个面试方案。 实际上，Elasticsearch 里可以优化的点非常多，这里我筛选出了比较适合面试的方案。有一些优化的点就是简单调整一下参数，又不能引导到别的话题，这里我就没有罗列出来。你有兴趣可以自己进一步了解。

在 Elasticsearch 里面，也有两种可行的优化手段。 1. Scroll 和 Scroll Scan：这种方式适合一次性查询大量的数据，比如说导出数据之类的场景。这种用法更加接近你在别的语言或者中间件里面接触到的游标的概念。 2. Search After：也就是翻页，你在查询的时候需要在当次查询里面带上上一次查询中返回的 search_after 字段。

在面试的时候，我建议你使用 Search After 来回答，因为 Search After 适用的场景更加广泛。

我还优化过 Elasticsearch 的分页查询，也就是用 Search After 来优化的。 Search After 就有点类似于分库分表中使用的禁用跳页查询的方案，也就是不 支持随机翻页。每次查询都带上上一次查询的 search_after 字段。 它的优点就是查询的数据量不再和偏移量有关，只和每一页的大小，以及命中 的分片数量有关。之前我在分库分表里面也优化过类似的分页查询，不过分库 分表本身没有 search_after 之类的字段，只能是我自己在业务层面上搞出来一 个类似的 search_after。

注意，这里的 search_after 就类似于分库分表中禁用跳页查询里面加入的 WHERE id > $max_id 这种极值过滤条件。

之前我优化 Elasticsearch 的时候，把 index.refresh_interval 调大到了 30。 调整之后，性能大概提升了 20%。

早期我有一个业务，就是把数据库里的数据同步到 Elasticsearch。最开始的时 候是每次用户更新了数据，就直接更新 Elasticsearch。但是这样效果很不好， 因为用户基本上都是一条条数据更新。

后来我考虑到这个业务对数据一致性的要求不是很高，我就把实时同步修改成了异步同步，也就是定时扫描数据库中发生变化的数据，然后批量提交变更数 据到 Elasticsearch。这个异步任务我设置的是每秒钟同步一次，和原来每一次 写请求都要操作 Elasticsearch 比起来，压力小多了。同时业务方的响应时间也 下降了 50%。

我们公司的很多业务都不是直接同步数据到 Elasticsearch，而是要经过一个 Kafka，然后由 Kafka 的消费者把数据写入到 ElasticSearch。但是随着业务的 增长，越来越多的数据要写入到 Elasticsearch，尤其是在业务高峰期，很容易 产生消息积压的问题。

为了解决这个问题，我做了一个优化，就是批量消费，批量提交到 Elasticsearch。也就是说，早期 Kafka 的消费者是每次消费一条消息，就写一 条数据到 Elasticsearch。而我现在改成了一次拉取 100 条消息（这个应该是可 配置的），做成一个批次，提交给 Elasticsearch，就解决了消息积压的问题。

我们公司的日志都是要利用 Logstash 直接同步到 Elasticsearch 的。那么在业 务繁忙的时候，日志就有可能同步得很慢，或者 Elasticsearch 压力很大。在这 种情况下，我把日志同步到 Elasticsearch 的批次调大了一些，显著降低了 Elasticsearch 的负载。 而且，我还引入了一个降级机制。正常我们公司的日志是全量同步的，但是如 果发现 Elasticsearch 有问题，就会触发降级，触发降级的时候就会先丢弃 INFO 级别的日志。运行一段时间之后，如果 Elasticsearch 还是没能恢复正 常，就把WARN 级别的也丢弃。

之前我接手的一个历史系统需要把数据同步到 Elasticsearch 上支持搜索。但是 最开始的时候数据量并不是很大，所以是直接把全量数据同步到了 Elasticsearch 上的。后面业务起来之后，就发现我这个业务的数据占据了大量 的内存和磁盘空间。 我在梳理了业务之后发现其实不用全部同步过去的，因为要被搜索的字段只是 其中的一小部分，而另外一些字段同步过去只是白白加重了 Elasticsearch 的负 担。所以我后面就修改了同步的过程，那一部分数据就直接传入 null 了。查询 过程就相当于在 Elasticsearch 上根据各种输入查到业务的主键，如果还需要 Elasticsearch 中没有的字段，就回数据库再次查询。 当然，这样做的代价就是有一些查询需要再次查询数据库。但是我评估过这 个，受影响的请求不足 10%，所以这个结果还是可以接受的。

不过后续我也在考虑重新创建一个索引，现在这种有字段但是不同步数据的方 式不太优雅。

这种二次查询类似于分库分表中利用中间表来支持一些无分库分表键查询的解 决方案，都是要先在一个地方用查询条件拿到主键或者分库分表键，然后再到 具体的数据库上查询到完整的数据。

之前我在公司的时候做过一个 Elastisearch 优化，就是冷热数据分离存储。我 们的数据最开始都是存在统一规格的 Elasticsearch 上，然后这两年经济不太 好，就想着降本增效，于是我们就决定试试业界用得比较多的冷热分离方案。 基本的思路是整个 Elasticsearch 的节点分成冷热两类，数据最开始都是写入到 热节点上。等过一段时间之后，数据已经不热了，就迁移到冷节点上。 这部分我们是借助了新出来的索引生命周期特性来实现的。比如说我们的日 志，就是三天内的数据都在热节点上，三天之后就是迁移到了冷节点上。这个 过程都是自动的，不需要人工介入。

长期以来我们使用 Elasticsearch 有一个很大的问题，就是触发垃圾回收的时 候，停顿时间比较长，会有一百多毫秒。这主要是因为我们的 Elasicsearch 用 的都还是非常古老的 CMS，而 CMS 在超过 8G 的堆上面，表现就比较差。 所以后面我就尝试将 Elasticsearch 换成了 G1，换了之后效果是非常不错，现 在停顿时间都可以控制在 15ms 以内。不过我也在调研 ZGC，ZGC 在特大堆 上的表现比 G1 还要好。不过目前这方面业界的实践不多，所以我也没有进一 步优化。

使用 Elasticsearch 的时候要把 swap 禁用，或者把 vm.swappness 设置得很 小，也可以把bootstrap.memory_lock 设置成 true。所有类似于 Elasticsearch 的中间件都可以采用这种优化手段，比如说 Kafka。

之前我们在使用 Elasticsearch 的时候，还遇到过文件描述符耗尽的问题。这是 因为我们用的是一个非常大的 Elasticsearch，很多业务共用，导致 Elasticsearch 打开的文件描述符非常多。 那一次的故障之后，一方面我们是调大了最大文件描述符的数量，另外一方面 也是考虑把业务逐步迁移到不同的 Elasticsearch 上。毕竟这一次故障，直接导 致了我们好几个核心业务都出问题了，足以说明还是要考虑隔离的。