一、面試官：說說看什么是服務雪崩，該如何避免？

服務雪崩效應是一種在微服務架構中常見的現象，它指的是因“服務提供者的不可用”導致“服務調用者不可用”，并將不可用逐漸放大的情況。具體來說，當某個服務提供者因為壓力過大、網絡故障、硬件故障等原因而無法正常提供服務時，依賴于該服務的調用者就會因為無法成功調用其接口而造成線程阻塞或資源耗盡，進而也無法正常提供服務。隨著這種情況的蔓延，越來越多的服務會因為依賴關系的存在而受到影響，最終導致整個微服務架構的崩潰。

服務雪崩效應的形成過程通常可以分為以下幾個階段：

• 服務提供者不可用：由于各種原因（如過載、故障等），某個服務提供者無法正常提供服務。
• 服務調用者受阻：依賴于該服務提供者的服務調用者因為無法成功調用接口而受阻，造成線程阻塞或資源耗盡。
• 連鎖反應：受阻的服務調用者可能也是其他服務的提供者，因此它們無法提供服務會導致更多的服務調用者受阻，形成連鎖反應。
• 系統崩潰：隨著連鎖反應的持續，越來越多的服務受到影響，最終導致整個微服務架構的崩潰。

為了避免服務雪崩效應的發生，可以采取以下措施：

• 服務降級與熔斷：在服務調用者中添加降級邏輯，當檢測到服務提供者不可用時，自動切換到降級方案，避免因為等待服務提供者響應而造成資源耗盡。同時，可以使用熔斷器來自動隔離故障服務，防止其影響整個系統。
• 限流與超時控制：對服務調用進行限流控制，避免因為請求量過大而導致服務過載。同時，設置合理的超時時間，避免因為等待服務響應時間過長而導致資源浪費。
• 資源隔離：使用進程隔離、線程隔離等技術手段，將不同服務之間的資源隔離開來，防止因為某個服務的故障而影響其他服務。
• 監控與預警：建立完善的監控體系，實時監測服務的運行狀態和性能指標。當檢測到異常時，及時發出預警并采取相應措施進行處理。

二、面試官：請談談你對熔斷、降級和限流的理解。

以下是我對熔斷、降級和限流的理解：

1.熔斷（Circuit Breaker）

定義：熔斷機制是一種用于處理分布式系統中服務間調用的自我保護策略。它類似于電路中的保險絲，當電流過大時，保險絲會熔斷以保護電路不受損壞。在微服務架構中，熔斷器用于監控服務的調用情況，并在服務出現故障時自動觸發熔斷，以防止故障擴散。

工作原理：熔斷器通常有三種狀態：關閉、打開和半開。在關閉狀態下，服務調用正常進行。當服務調用失敗率達到設定的閾值時，熔斷器會切換到打開狀態，拒絕所有對該服務的調用。在一段時間后，熔斷器會進入半開狀態，允許部分請求通過以測試服務是否恢復。如果請求成功，則熔斷器會切換回關閉狀態；如果請求失敗，則熔斷器會重新切換到打開狀態。

2.降級（Fallback）

定義：降級是指在系統出現故障或壓力過大時，為了保證系統的整體可用性，暫時降低某些非核心功能或服務的性能或可用性。降級通常是在熔斷機制觸發后執行的一種自我保護策略。

工作原理：降級策略可以根據業務需求進行定制，如返回默認值、使用緩存數據、提供簡化版本的服務等。當熔斷器打開時，系統會執行降級邏輯，以減輕故障服務對系統的影響。

應用場景：降級通常用于那些對系統穩定性不是至關重要的服務，如推薦系統、廣告系統等。在這些服務出現故障時，可以通過降級策略來保證系統的整體可用性，同時減少對用戶的影響。

3.限流（Rate Limiting）

定義：限流是指對系統或服務的請求進行流量控制，以防止系統因過載而崩潰。限流機制通過限制請求的數量或速率來保護系統資源，確保系統能夠穩定地提供服務。

工作原理：限流機制通常使用令牌桶算法、漏桶算法或滑動窗口算法等算法來實現。這些算法會根據設定的請求速率和容量來控制請求的通過情況。當請求數量超過設定的閾值時，系統會拒絕部分請求或進行排隊處理。

應用場景：限流機制通常用于那些容易受到流量沖擊的服務，如API接口、登錄服務等。通過限制請求的速率和數量，可以保護系統資源不被過度消耗，確保系統能夠穩定地提供服務。

其中，熔斷和降級容易混淆，需要注意的是熔斷和降級的區分：

熔斷和降級都是微服務架構中常用的自我保護策略，它們之間存在緊密的關聯，但也有一些顯著的區別。以下是對熔斷和降級的關聯與區別的詳細闡述：

4.關聯

目的相同：熔斷和降級都是為了保護系統的穩定性和可用性，防止因某個服務的故障而導致整個系統的崩潰。

觸發條件相關：在某些情況下，熔斷機制觸發后會自動執行降級邏輯。例如，當某個服務的調用失敗率達到設定的閾值時，熔斷器會打開，此時系統會執行降級邏輯，以減輕故障服務對系統的影響。

協同工作：熔斷和降級通常協同工作，共同構成微服務架構中的自我保護機制。通過熔斷機制快速切斷故障點，然后通過降級策略保證系統的整體可用性。

5.區別

(1) 概念不同：

• 熔斷（Circuit Breaker）是一種自動停盤機制，當服務調用失敗率達到設定的閾值時，熔斷器會打開，拒絕所有對該服務的調用，以防止故障擴散。
• 降級（Degradation）則是指在系統出現故障或壓力過大時，為了保證系統的整體可用性，暫時降低某些非核心功能或服務的性能或可用性。

(2) 觸發條件不同：

• 熔斷的觸發條件通常是服務調用失敗率達到設定的閾值。
• 降級的觸發條件則更加靈活，可以根據業務需求進行定制，如系統壓力過大、資源不足、依賴服務不可用等。

(3) 執行邏輯不同：

• 熔斷機制在觸發后會直接拒絕所有對該服務的調用，直到熔斷器恢復到關閉狀態。
• 降級策略則更加靈活，可以根據業務需求提供不同的降級方案，如返回默認值、使用緩存數據、提供簡化版本的服務等。

總體而言，降級是一種退而求其次的選擇，而熔斷卻是整體不可用。

三、面試官：能具體說說看什么是服務熔斷？它的作用是什么？熔斷機制是如何工作的？

服務熔斷是分布式系統架構中的一個重要概念，用于提高系統的韌性和可靠性。以下是對服務熔斷及其作用的詳細解釋：

1.服務熔斷的定義

服務熔斷是一種控制服務訪問速率的機制，它能夠在某個服務出現故障、延遲過高或者達到預設的閾值時，暫時中斷該服務的調用鏈路。

2.服務熔斷的作用

防止雪崩效應：在分布式系統中，一個服務的故障可能會引發連鎖反應，導致多個關聯服務都出現問題，進而引發整個系統的崩潰。服務熔斷機制通過快速地關閉有問題的服務接口，可以有效防止這種雪崩效應的發生。

保護關鍵服務：在分布式系統中，一些關鍵服務對于整個系統的正常運行至關重要。通過配置熔斷策略，可以優先保護這些關鍵服務，確保它們在面臨高負載或故障時仍然能夠正常運行。

優化資源利用：在服務熔斷機制的作用下，系統可以更加合理地分配和利用資源。當某個服務出現故障時，系統可以迅速將資源分配給其他正常運行的服務，從而提高資源的利用率和系統的整體性能。

下面是熔斷機制的工作原理的詳細解釋：

3.熔斷器的狀態

熔斷器通常有三種狀態：關閉（Closed）、打開（Open）和半開（Half-Open）。

• 關閉狀態：在正常情況下，熔斷器處于關閉狀態，允許服務調用正常進行。
• 打開狀態：當服務調用的失敗次數或錯誤率達到設定的閾值時，熔斷器會切換到打開狀態。此時，所有對該服務的調用都會被直接拒絕，并返回預設的錯誤響應，以防止故障服務的進一步擴散。
• 半開狀態：在熔斷器打開一段時間后（通常是一個預設的休眠時間窗口），熔斷器會進入半開狀態。在這個狀態下，它會允許部分請求通過，以測試服務是否已經恢復正常。如果請求成功，則熔斷器會切換回關閉狀態；如果請求失敗，則熔斷器會重新切換到打開狀態。

4.熔斷機制的工作流程

(1) 服務調用監控：熔斷機制會監控每個服務的調用情況，包括請求數量、成功數量、失敗數量等。這些數據被用于評估服務的健康狀況。

(2) 熔斷條件判斷：當在一定時間窗口內（如統計時間窗），失敗請求的數量達到預設的閾值（如錯誤百分比閾值），且請求總數超過請求總數閾值時，熔斷機制會觸發熔斷。

(3) 熔斷器狀態切換：

• 當觸發熔斷條件時，熔斷器會從關閉狀態切換到打開狀態，拒絕所有對該服務的調用。
• 在熔斷器打開一段時間后，會自動進入半開狀態，允許部分請求通過以測試服務是否恢復。
• 根據測試請求的結果，熔斷器會決定是切換回關閉狀態還是重新切換到打開狀態。

(4) 服務降級與恢復：在熔斷器打開狀態下，通常會執行服務降級邏輯，如返回默認值或緩存數據，以保證系統的基本可用性。當服務恢復正常后，熔斷器會切換回關閉狀態，服務調用將恢復正常。

5.熔斷機制的實現方式

在微服務架構中，熔斷機制可以通過多種框架實現，如Netflix的Hystrix、Resilience4j等。這些框架提供了豐富的配置選項和注解支持，使得在微服務中實現熔斷機制變得簡單而高效。

以Hystrix為例，它通過在服務調用方法上添加@HystrixCommand注解，并指定fallback方法來實現熔斷機制。當服務調用失敗時，Hystrix會自動調用fallback方法作為備選方案。同時，Hystrix還提供了豐富的配置選項，如錯誤率閾值、請求總數閾值、熔斷時間窗口等，以滿足不同場景下的需求。

四、面試官：你剛剛有提到Hystrix，能說說看Hystrix是如何實現熔斷的？它的熔斷流程是怎樣的？

Hystrix是一個用于處理分布式系統的延遲和容錯的開源庫，它實現了斷路器模式（Circuit Breaker Pattern）。以下是Hystrix實現熔斷的具體方式和熔斷流程的詳細解釋：

1.Hystrix實現熔斷的方式

(1) 線程池隔離：

• Hystrix通過將每個依賴服務的調用放入獨立的線程池中執行，實現對依賴服務的隔離。
• 當某個依賴服務出現延遲或故障時，只會影響當前線程池的執行，而不會波及其他服務或整個系統的穩定性。

(2) 超時控制：

• Hystrix為每個依賴服務設置一個超時時間。
• 如果依賴服務的執行時間超過設定的超時時間，Hystrix會快速失敗，防止長時間等待導致資源浪費。

(3) 熔斷器：

• Hystrix的熔斷器監控依賴服務的調用情況。
• 當調用失敗次數達到設定閾值時，熔斷器會打開，暫時阻止對該依賴服務的調用，避免連鎖故障。
• 在熔斷器打開狀態下，Hystrix會執行降級邏輯，返回默認值或緩存數據，以保證系統的正常運行。

2.Hystrix的熔斷流程

(1) 服務調用監控：

• Hystrix監控每個依賴服務的調用情況，包括請求數量、成功數量、失敗數量等。
• 這些數據被用于評估依賴服務的健康狀況。

(2) 熔斷條件判斷：

• 當在一定時間窗口內（如統計時間窗），失敗請求的數量達到預設的閾值（如錯誤百分比閾值），且請求總數超過請求總數閥值時，Hystrix會觸發熔斷。
• 默認的失敗比例閾值是50%，請求次數最少不低于20次。

(3) 熔斷器打開：

• 一旦觸發熔斷，熔斷器會立即打開。
• 在熔斷器打開狀態下，所有對該依賴服務的請求都會被拒絕，并直接返回降級結果或執行降級邏輯。
• 熔斷器打開后會啟動一個休眠時間窗（如默認5秒），在此期間內，熔斷器保持打開狀態。

(4) 休眠時間窗與半開狀態：

• 休眠時間窗到期后，熔斷器會進入半開狀態。
• 在半開狀態下，Hystrix允許部分請求通過，以檢查依賴服務是否已經恢復。
• 如果這些請求成功，則認為服務已恢復正常，熔斷器會關閉；如果仍有請求失敗，則熔斷器會重新打開，并重新計時休眠時間窗。

(5) 熔斷器關閉：

• 當依賴服務恢復正常，且在一定時間窗口內沒有再次觸發熔斷條件時，熔斷器會關閉。

在熔斷器關閉狀態下，所有請求都會正常調用依賴服務。

五、面試官：熔斷器如何支持自定義降級邏輯，怎么實現？

實現自定義降級邏輯的方式因熔斷器框架的不同而有所差異，但通常可以通過以下幾種方式來實現：

1.基于注解的自定義降級邏輯

在一些熔斷器框架中（如Hystrix），可以通過在需要熔斷的方法上添加特定的注解（如@HystrixCommand），并指定一個fallback方法來實現自定義降級邏輯。當熔斷器觸發時，框架會自動調用這個fallback方法。

例如，在Hystrix中，你可以這樣定義自定義降級邏輯：

@HystrixCommand(fallbackMethod = "customFallback")
public String someServiceMethod() {
    // 正常服務邏輯
}

public String customFallback() {
    // 自定義降級邏輯，如返回默認值或錯誤信息
    return "Service is down, please try again later.";
}

2.基于AOP的自定義降級邏輯

通過定義一個切面類，并在其中編寫降級邏輯的代碼，然后將這個切面類應用到需要熔斷的服務方法上。當熔斷器觸發時，AOP框架會自動調用切面類中的降級邏輯。

以下是一個簡單的示例，展示了如何使用Spring AOP來實現基于AOP的自定義降級。

首先，確保你的項目中包含了Spring AOP的依賴。如果你使用的是Maven，可以在pom.xml中添加以下依賴：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-aop</artifactId>
</dependency>

定義一個切面類，該類包含降級邏輯：

import org.aspectj.lang.annotation.AfterThrowing;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.stereotype.Component;

@Aspect
@Component
public class DegradationAspect {

    // 定義降級邏輯的方法
    public String degrade() {
        // 這里可以返回默認值、錯誤信息或執行其他降級操作
        return "Service is degraded. Please try again later.";
    }

    // 定義一個切點，該切點會匹配所有帶有@Degrade注解的方法
    @AfterThrowing(pointcut = "@annotation(degrade)", throwing = "ex")
    public void handleDegrade(Exception ex, Degrade degrade) {
        // 這里可以記錄日志、發送告警等
        // 然后執行降級邏輯，這里通過拋出運行時異常來模擬返回降級結果
        // 注意：在實際應用中，你可能需要更優雅的方式來處理降級邏輯，比如使用自定義異常或返回類型
        throw new RuntimeException(degrade.value() + " - " + ex.getMessage());
        // 或者，如果你不想拋出異常，而是想直接返回降級結果，你可能需要修改方法簽名和調用方式
        // 例如，使用ThreadLocal或其他機制來傳遞降級結果
    }
}

定義一個注解，用于標記需要降級的方法：

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Degrade {
    String value() default "Service is degraded";
}

將這個注解應用到需要降級的服務方法上：

import org.springframework.stereotype.Service;

@Service
public class SomeService {

    @Degrade("Payment service is temporarily unavailable")
    public String pay(String userId, double amount) {
        // 這里是支付服務的正常邏輯
        // 如果支付服務失敗，將觸發DegradeAspect中的handleDegrade方法
        // 為了模擬失敗，這里直接拋出一個異常
        throw new RuntimeException("Payment failed");
    }
}

在調用SomeService#pay方法時，如果發生異常，DegradeAspect#handleDegrade方法將被觸發，并執行降級邏輯。在這個示例中，降級邏輯是通過拋出一個運行時異常來實現的，異常信息中包含了降級提示和原始異常信息。

六、面試官：服務降級有哪些常見的策略？請列舉并解釋。

服務降級是在面對系統負載過高、資源不足或外部依賴故障等異常情況下，通過臨時屏蔽某些功能或改變服務行為，以保證核心功能的可用性和性能穩定性的一種策略。以下是一些常見的服務降級策略及其解釋：

1.功能降級

定義：暫時關閉一些非核心的服務功能，以確保核心服務的穩定運行。

示例：

• 搜索引擎可以關閉相關搜索結果或廣告推薦等非核心功能。
• 電商網站可以關閉推薦商品、評論等非關鍵功能。

2.請求降級

定義：對某些請求進行限流或拒絕，特別是那些計算密集或者對系統影響較大的請求。

示例：

• 在高并發場景下，對部分用戶的請求進行限流，以減少服務器的負載。
• 對計算密集型請求進行降級處理，如將復雜的計算任務延遲執行或返回近似結果。

3.數據降級

定義：簡化數據處理流程，如提供緩存數據而非實時數據，以降低對數據庫的查詢壓力。

示例：

• 在數據庫查詢性能下降時，使用緩存數據代替實時數據，以提高響應速度。
• 在數據更新頻率較低的場景下，使用靜態數據代替實時數據，以減少對數據庫的訪問次數。

4.用戶降級

定義：根據用戶級別或請求來源，優先保障VIP用戶或內部用戶的請求，對于普通用戶的請求則可能進行限流或拒絕。

示例：

• 在系統負載較高時，優先處理VIP用戶的請求，確保他們的服務體驗。
• 對內部用戶的請求進行優先處理，以確保業務運營的正常進行。

5.前端降級

定義：通過控制用戶界面上的展示和交互來減少對后端服務的請求。

示例：

• 在高負載時暫時去除某些耗時的圖表或功能按鈕，只展示核心內容。
• 通過靜態化頁面或簡化頁面布局來減少對后端服務的請求量。

6.業務邏輯降級

定義：在業務邏輯中根據當前系統狀態或用戶需求進行判斷，決定是否執行某些非關鍵的功能或采取替代性方案。

示例：

• 在庫存緊張時，限制用戶的購買數量或提供替代商品。
• 在搜索功能出現故障時，提供基于緩存的搜索結果或推薦用戶使用其他搜索方式。

7.數據訪問降級

定義：在數據庫或其他外部依賴出現故障或性能問題時，使用緩存、降低查詢精確度或返回默認值等方式進行數據訪問降級。

示例：

• 在數據庫連接池資源緊張時，使用緩存數據代替實時數據庫查詢。
• 在查詢結果不準確時，返回默認值或近似值以避免系統崩潰。

8.多級降級

定義：根據系統負載和故障情況，逐步降低服務級別，以確保核心服務的穩定運行。

示例：

• 在系統負載逐漸升高時，先關閉部分非核心功能，再逐步降低服務質量（如響應時間、并發量等）。
• 在嚴重故障情況下，直接切換到備用系統或提供有限的服務。

9.開關降級

定義：通過配置開關來控制服務的降級行為，以便在需要時快速切換服務狀態。

示例：

• 在大促活動前，通過配置開關關閉部分非關鍵功能，以確保核心交易流程的流暢進行。
• 在系統維護期間，通過配置開關將服務切換到維護模式，以減少對用戶的干擾。

七、面試官：你能否分享一個在實際項目中應用服務降級的案例？

當然可以。下面是一個在實際項目中應用服務降級的案例：

1.案例背景

在一個電商系統中，用戶可以通過發表評論來分享對商品的看法。評論功能中包括一個敏感詞過濾服務，用于在用戶發表評論時檢測并過濾掉敏感詞。這個服務依賴于一個第三方API，但在某些情況下，該API可能會因為各種原因變得不可用。

2.問題與挑戰

• 第三方API不可用：當敏感詞過濾服務的第三方API不可用時，整個評論功能可能會受到影響，導致用戶無法發表評論。
• 系統穩定性：為了保障系統的整體穩定性，不能因為一個非核心服務的故障而導致整個評論功能癱瘓。
• 用戶體驗：需要確保用戶在評論功能中的體驗不受影響，即使敏感詞過濾服務暫時不可用。

3.解決方案

(1) 服務降級策略：

• 當敏感詞過濾服務的第三方API不可用時，啟動服務降級策略。
• 在服務降級期間，不再調用第三方API進行敏感詞過濾。
• 改為在程序中硬編碼一個默認的評論內容，或者允許評論直接通過（但標記為未過濾）。

(2) 實施步驟：

• 在代碼中添加敏感詞過濾服務的降級邏輯。
• 配置監控系統，當檢測到敏感詞過濾服務的第三方API不可用時，自動觸發降級邏輯。
• 在降級期間，記錄降級原因和降級影響，以便后續分析和處理。

(3) 測試與驗證：

• 在測試環境中模擬第三方API不可用的情況，驗證降級邏輯是否正確觸發。
• 確保在降級期間，用戶仍然可以發表評論，并且評論能夠正確保存到數據庫中。

監控系統在降級期間的表現，確保系統穩定性不受影響。

4.效果與收益

• 系統穩定性提升：通過服務降級策略，成功避免了因第三方API不可用而導致的評論功能癱瘓問題。
• 用戶體驗優化：即使在敏感詞過濾服務不可用的情況下，用戶仍然能夠順利發表評論。