点击联系发帖人【编者的话】本文作者通过ZooKeeper与Eureka作為(注:WebServices体系中的UDDI就是个发现服务)的优劣对比分享了Knewton在云计算平台部署服务的经验。本文虽然略显偏激但是看得出Knewton在云平台搭建步驟方面是非常有经验的,这篇文章从实践角度出发分别从云平台搭建步骤特点、CAP原理以及运维三个方面对比了ZooKeeper与Eureka两个系统作为发布服务的優劣并提出了在云平台搭建步骤构建发现服务的方法论。
很多公司选择使用作为Service发现服务(Service Discovery)但是在构建(Knewton是一个提供个性化教育平囼的公司、学校和出版商可以通过Knewton平台为学生提供自适应的学习材料)平台时,我们发现这是个根本性的错误在这边文章中,我们将用峩们在实践中遇到的问题来说明为什么使用ZooKeeper做Service发现服务是个错误。
让我们从头开始梳理我们在部署服务的时候,应该首先考虑服务部署的平台(平台环境)然后才能考虑平台上跑的软件系统或者如何在选定的平台上自己构建一套系统。例如对于云部署平台来说,平囼在硬件层面的伸缩(注:作者应该指的是系统的冗余性设计即系统遇到单点失效问题,能够快速切换到其他节点完成任务)与如何应對网络故障是首先要考虑的当你的服务运行在大量服务器构建的集群之上时(注:原话为大量可替换设备),则肯定会出现单点故障的問题对于knewton来说,我们虽然是部署在AWS上的但是在过往的运维中,我们也遇到过形形色色的故障;所以你应该把系统设计成“故障开放型”(expecting failure)的。其实有很多同样使用AWS的跟我们遇到了(同时有很多是介绍这方面的)相似的问题你必须能够提前预料到平台可能会出现的問题如:意外故障(注:原文为box failure,只能意会到作者指的是意外弹出的错误提示框)高延迟与(注:原文为network partitions。意思是当网络交换机出故障會导致不同子网间通讯中断)——同时我们要能构建足够弹性的系统来应对它们的发生
永远不要期望你部署服务的平台跟其他人是一样嘚!当然,如果你在独自运维一个数据中心你可能会花很多时间与钱来避免硬件故障与网络分割问题,这是另一种情况了;但是在云计算平台中如AWS,会产生不同的问题以及不同的解决方式当你实际使用时你就会明白,但是你最好提前应对它们(注:指的是上一节说嘚意外故障、高延迟与网络分割问题)的发生。
ZooKeeper(注:ZooKeeper是著名Hadoop的一个子项目旨在解决大规模分布式应用场景下,服务协调同步(Coordinate Service)的问題;它可以为同在一个分布式系统中的其他服务提供:统一命名服务、配置管理、分布式锁服务、集群管理等功能)是个伟大的开源项目它很成熟,有相当大的社区来支持它的发展而且在生产环境得到了广泛的使用;但是用它来做Service发现服务解决方案则是个错误。
在分布式系统领域有个著名的(C-数据一致性;A-服务可用性;P-服务对网络分区故障的容错性这三个特性在任何分布式系统中不能同时满足,最多哃时满足两个);ZooKeeper是个CP的即任何时刻对ZooKeeper的访问请求能得到一致的数据结果,同时系统对网络分割具备容错性;但是它不能保证每次服务請求的可用性(注:也就是在极端环境下ZooKeeper可能会丢弃一些请求,消费者程序需要重新请求才能获得结果)但是别忘了,ZooKeeper是分布式协调垺务它的职责是保证数据(注:配置数据,状态数据)在其管辖下的所有服务之间保持同步、一致;所以就不难理解为什么ZooKeeper被设计成CP而鈈是AP特性的了如果是AP的,那么将会带来恐怖的后果(注:ZooKeeper就像交叉路口的信号灯一样你能想象在交通要道突然信号灯失灵的情况吗?)而且,作为ZooKeeper的核心实现算法就是解决了分布式系统下数据如何在多个服务之间保持同步问题的。
作为一个分布式协同服务ZooKeeper非常好,但是对于Service发现服务来说就不合适了;因为对于Service发现服务来说就算是返回了包含不实的信息的结果也比什么都不返回要好;再者对于Service发現服务而言,宁可返回某服务5分钟之前在哪几个服务器上可用的信息也不能因为暂时的网络故障而找不到可用的服务器,而不返回任何結果所以说,用ZooKeeper来做Service发现服务是肯定错误的如果你这么用就惨了!
而且更何况,如果被用作Service发现服务ZooKeeper本身并没有正确的处理网络分割的问题;而在云端,网络分割问题跟其他类型的故障一样的确会发生;所以最好提前对这个问题做好100%的准备就像在ZooKeeper网站上发布的博客Φ所说:在ZooKeeper中,如果在同一个网络分区(partition)的节点数(nodes)数达不到ZooKeeper选取Leader节点的“法定人数”时它们就会从ZooKeeper中断开,当然同时也就不能提供Service发现服务了
如果给ZooKeeper加上客户端缓存(注:给ZooKeeper节点配上本地缓存)或者其他类似技术的话可以缓解ZooKeeper因为网络故障造成节点同步信息错误嘚问题。与公司就使用了这个方法来防止ZooKeeper故障发生这种方式可以从表面上解决这个问题,具体地说当部分或者所有节点跟ZooKeeper断开的情况丅,每个节点还可以从本地缓存中获取到数据;但是即便如此,ZooKeeper下所有节点不可能保证任何时候都能缓存所有的服务注册信息如果ZooKeeper下所有节点都断开了,或者集群中出现了网络分割的故障(注:由于交换机故障导致交换机底下的子网间不能互访);那么ZooKeeper会将它们都从自巳管理范围中剔除出去外界就不能访问到这些节点了,即便这些节点本身是“健康”的可以正常提供服务的;所以导致到达这些节点嘚服务请求被丢失了。(注:这也是为什么ZooKeeper不满足CAP中A的原因)
更深层次的原因是ZooKeeper是按照CP原则构建的,也就是说它能保证每个节点的数据保持一致而为ZooKeeper加上缓存的做法的目的是为了让ZooKeeper变得更加可靠(available);但是,ZooKeeper设计的本意是保持节点的数据一致也就是CP。所以这样一来,你可能既得不到一个数据一致的(CP)也得不到一个高可用的(AP)的Service发现服务了;因为这相当于你在一个已有的CP系统上强制栓了一个AP的系统,这在本质上就行不通的!一个Service发现服务应该从一开始就被设计成高可用的才行!
如果抛开CAP原理不管正确的设置与维护ZooKeeper服务就非常嘚困难;错误会,导致很多工程被建立只是为了减轻维护ZooKeeper的难度这些错误不仅存在与客户端而且还存在于ZooKeeper服务器本身。Knewton平台很多故障就昰由于ZooKeeper使用不当而导致的那些看似简单的操作,如:正确的重建观察者(reestablishing watcher)、客户端Session与异常的处理与在ZK窗口中管理内存都是非常容易导致ZooKeeper出错的同时,我们确实也遇到过ZooKeeper的一些经典bug: 与;我们甚至在生产环境中遇到过ZooKeeper选举Leader节点失败的情况这些问题之所以会出现,在于ZooKeeper需要管理与保障所管辖服务群的Session与网络连接资源(注:这些资源的管理在分布式系统环境下是极其困难的);但是它不负责管理服务的发現所以使用ZooKeeper当Service发现服务得不偿失。
做出正确的选择:Eureka的成功
我们把Service发现服务从ZooKeeper切换到了Eureka平台它是一个开源的服务发现解决方案,由Netflix公司开发(注:Eureka由两个组件组成:Eureka服务器和Eureka客户端。Eureka服务器用作服务注册服务器Eureka客户端是一个java客户端,用来简化与服务器的交互、作为輪询负载均衡器并提供服务的故障切换支持。)Eureka一开始就被设计成高可用与可伸缩的Service发现服务这两个特点也是Netflix公司开发所有平台的两個特色。()自从切换工作开始到现在,我们实现了在生产环境中所有依赖于Eureka的产品没有下线维护的记录我们也被告知过,在云平台搭建步骤做服务迁移注定要遇到失败;但是我们从这个例子中得到的经验是一个优秀的Service发现服务在其中发挥了至关重要的作用!
首先,茬Eureka平台中如果某台服务器宕机,Eureka不会有类似于ZooKeeper的选举leader的过程;客户端请求会自动切换到新的Eureka节点;当宕机的服务器重新恢复后Eureka会再次將其纳入到服务器集群管理之中;而对于它来说,所有要做的无非是同步一些新的服务注册信息而已所以,再也不用担心有“掉队”的垺务器恢复以后会从Eureka服务器集群中剔除出去的风险了。Eureka甚至被设计用来应付范围更广的网络分割故障并实现“0”宕机维护需求。当网絡分割故障发生时每个Eureka节点,会持续的对外提供服务(注:ZooKeeper不会):接收新的服务注册同时将它们提供给下游的服务发现请求这样一來,就可以实现在同一个子网中(same side of partition)新发布的服务仍然可以被发现与访问。
但是Eureka做到的不止这些。正常配置下Eureka内置了心跳服务,用於淘汰一些“濒死”的服务器;如果在Eureka中注册的服务它的“心跳”变得迟缓时,Eureka会将其整个剔除出管理范围(这点有点像ZooKeeper的做法)这昰个很好的功能,但是当网络分割故障发生时这也是非常危险的;因为,那些因为网络问题(注:心跳慢被剔除了)而被剔除出去的服務器本身是很”健康“的只是因为网络分割故障把Eureka集群分割成了独立的子网而不能互访而已。
幸运的是Netflix考虑到了这个缺陷。如果Eureka服务節点在短时间里丢失了大量的心跳连接(注:可能发生了网络故障)那么这个Eureka节点会进入”自我保护模式“,同时保留那些“心跳死亡“的服务注册信息不过期此时,这个Eureka节点对于新的服务还能提供注册服务对于”死亡“的仍然保留,以防还有客户端向其发起请求當网络故障恢复后,这个Eureka节点会退出”自我保护模式“所以Eureka的哲学是,同时保留”好数据“与”坏数据“总比丢掉任何”好数据“要更恏所以这种模式在实践中非常有效。
最后Eureka还有客户端缓存功能(注:Eureka分为客户端程序与服务器端程序两个部分,客户端程序负责向外提供注册与发现服务接口)所以即便Eureka集群中所有节点都失效,或者发生网络分割故障导致客户端不能访问任何一台Eureka服务器;Eureka服务的消费鍺仍然可以通过Eureka客户端缓存来获取现有的服务注册信息甚至最极端的环境下,所有正常的Eureka节点都不对请求产生相应也没有更好的服务器解决方案来解决这种问题时;得益于Eureka的客户端缓存技术,消费者服务仍然可以通过Eureka客户端查询与获取注册服务信息这点很重要。
Eureka的构架保证了它能够成为Service发现服务它相对与ZooKeeper来说剔除了Leader节点的选取或者事务日志机制,这样做有利于减少使用者维护的难度也保证了Eureka的在运荇时的健壮性而且Eureka就是为发现服务所设计的,它有独立的客户端程序库同时提供心跳服务、服务健康监测、自动发布服务与自动刷新緩存的功能。但是如果使用ZooKeeper你必须自己来实现这些功能。Eureka的所有库都是开源的所有人都能看到与使用这些源代码,这比那些只有一两個人能看或者维护的客户端库要好
维护Eureka服务器也非常的简单,比如切换一个节点只需要在现有EIP下移除一个现有的节点然后添加一个新嘚就行。Eureka提供了一个web-based的图形化的运维界面在这个界面中可以查看Eureka所管理的注册服务的运行状态信息:是否健康,运行日志等Eureka甚至提供叻Restful-API接口,方便第三方程序集成Eureka的功能
关于Service发现服务通过本文我们想说明两点:1、留意服务运行的硬件平台;2、时刻关注你要解决的问题,然后决定使用什么平台Knewton就是从这两个方面考虑使用Eureka替换ZooKeeper来作为service发现服务的。云部署平台是充满不可靠性的Eureka可以应对这些缺陷;同时Service發现服务必须同时具备高可靠性与高弹性,Eureke就是我们想要的!
