五个9的可用度、秒级故障解决，探寻互联网金融应用之道

《五个9的可用度、秒级故障解决，探寻互联网金融应用之道》要点：
本文介绍了五个9的可用度、秒级故障解决，探寻互联网金融应用之道，希望对您有用。如果有疑问，可以联系我们。

本文源自11月24日『高效开发运维』微信群的在线分享,分享者为付钱拉高级技术经理冯忠旗先生,转载请在文章开头注明来自『高效开发运维』公众号.

一句话背景介绍：付钱拉是一家互联网金融服务商,专为创业公司、中小型企业以及各种有支付需求的团队所设计的一款支付服务产品,可以在移动端应用以及PC网页操作与运行,创业者仅需几行简单代码,就能同时接入主流支付服务商.

嘉宾介绍

冯忠旗,付钱拉高级技术经理.冯先生曾经是IBM中国开发中心IaaS私有云技术负责人.2014年加入付钱拉,主导付钱拉线上线下支付平台的研发,付钱拉线上线下支付平台日处理交易额200多亿,每天平均交易量400万笔.此外,还负责支付平台相关的辅助支撑系统,包括了实时预警系统、报表系统、电商服务解决方案和理财服务解决方案等.

写在前面

对于互联网应用和企业大型应用而言,多数都尽可能地要求做到7*24小时不间断运行,而要做到完全的不间断运行可以说“难于上青天”.众所周知,对应用的可用性程度一般衡量标准有三个9到五个9.

对于一个功能和数据量不断增加的应用,要保持比较高的可用性并非易事.为了实现高可用,付钱拉从避免单点故障、保证应用自身的高可用、解决交易量增长等方面做了许多探索和实践.在不考虑外部依赖系统突发故障,如网络问题、三方支付和银行的大面积不可用等情况下,付钱拉的服务能力可以达到99.999%.

今天重点讨论如何提高应用自身的可用性,为了提高应用的可用性,首先要做的就是尽可能避免应用出现故障,但要完全做到不出故障是不可能的.互联网是个容易产生“蝴蝶效应”的地方,任何一个看似很小的、发生概率为0的事故都可能出现,然后被无限放大.

大家都知道RabbitMQ本身是非常稳定可靠的,付钱拉最开始也一直在使用单点RabbitMQ,并且从未出现运行故障,所以大家在心理上都认为这个东西不太可能出问题.

直到某天,这台节点所在的物理主机硬件因为年久失修坏掉了,当时这台RabbitMQ就无法提供服务,导致系统服务瞬间不可用.

比如重路由,对于用户支付来说,用户并不关心自己的钱具体是从哪个通道支付出去的,用户只关心成功与否.付钱拉连接30多个通道,有可能A通道支付不成功,这个时候就需要动态重路由到B或者C通道,这样就可以通过系统重路由避免用户支付失败,实现支付容错.

还有针对OOM做容错,像Tomcat一样.系统内存总有发生用尽的情况,如果一开始就对应用本身预留一些内存,当系统发生OOM的时候,就可以catch住这个异常,从而避免这次OOM.

二、快速失败“fail fast原则”

Fail fast原则是当主流程的任何一步出现问题的时候,应该快速合理地结束整个流程,而不是等到出现负面影响才处理.

举个几个例子：

(1) 付钱拉启动的时候需要加载一些队列信息和配置信息到缓存,如果加载失败或者队列配置不正确,会造成请求处理过程的失败,对此最佳的处理方式是加载数据失败,JVM直接退出,避免后续启动不可用；

(2) 付钱拉的实时类交易处理响应时间最长是40s,如果超过40s前置系统就不再等待,释放线程,告知商户正在处理中,后续有处理结果会以通知的方式或者业务线主动查询的方式得到结果；

(3) 付钱拉使用了Redis做缓存数据库,用到的地方有实时报警埋点和验重等功能.如果连接Redis超过50ms,那么这笔Redis操作会自动放弃,在最坏的情况下这个操作带给支付的影响也就是50ms,控制在系统允许的范围内.

三、设计具备自我保护能力的系统

系统一般都有第三方依赖,比如数据库,三方接口等.系统开发的时候,需要对第三方保持怀疑,避免第三方出现问题时候的连锁反应,导致宕机.

拆分消息队列

（编辑：ASP站长网）