vi
new
+2
Avatar
Nguyễn Huy Hoàng @hhoang
3.7K 61 311
Đã đăng vào Thứ Bảy, 2:21 CH 6 phút đọc
14

Circuit Breaker: "Cầu Dao Điện" Cứu Rỗi Hệ Thống Microservices Khỏi Hiệu Ứng Domino

Khi bạn chia nhỏ một hệ thống khổng lồ (Monolith) thành nhiều Service nhỏ (User Service, Order Service, Payment Service...), bạn nhận được sự linh hoạt. NHƯNG, bạn cũng rước vào người một cơn ác mộng mang tên: Network Call (Gọi qua mạng).

Mạng Internet không bao giờ đáng tin cậy 100%. Nếu Service A gọi sang Service B mà Service B bị sập mạng, điều gì sẽ xảy ra? Dưới đây là bài viết mổ xẻ thảm họa Domino và cách "Cầu dao điện" (Circuit Breaker) cứu rỗi hệ thống của bạn!

PHẦN 1: TƯ DUY "NGÂY THƠ" VÀ HIỆU ỨNG DOMINO ĐẪM MÁU

Kịch bản: User bấm "Thanh toán".

  1. API Gateway gọi vào Order Service.
  2. Order Service gọi sang Payment Service.
  3. Payment Service gọi sang API của VNPay.

Thảm họa ập đến: VNPay hôm nay bảo trì, phản hồi cực chậm (mất 10 giây mới báo timeout).

  • Tư duy thợ gõ: "Lỗi mạng à? Thế thì cài chế độ Retry (Thử lại 3 lần) cho chắc!".
  • Hậu quả: Payment Service kẹt 30 giây cho MỘT request.
  • Hàng ngàn user cùng lúc bấm thanh toán -> Payment Service cạn kiệt toàn bộ RAM và Thread, SẬP!
  • Order Service đang đứng chờ Payment Service trả lời -> Cạn kiệt RAM và Thread, SẬP NỐT!
  • API Gateway không gọi được Order -> Toàn bộ App trắng màn hình.

Chỉ vì VNPay chậm, toàn bộ hệ thống Microservices của bạn chết dây chuyền như quân cờ Domino.

PHẦN 2: BẢN CHẤT CỦA MẪU THIẾT KẾ CIRCUIT BREAKER

Trong mạng lưới điện ở nhà bạn, khi có một thiết bị bị chập mạch (đoản mạch), cái Aptomat (Cầu dao) sẽ tự động nhảy (ngắt điện) ngay lập tức để bảo vệ cả căn nhà không bị cháy.

Giới Software Engineer bê nguyên khái niệm đó vào Code. Thay vì để Order Service gọi TRỰC TIẾP sang Payment Service, họ đặt một cái "Cầu dao" (Circuit Breaker) ở giữa.

Cái cầu dao này có 3 trạng thái sinh tử:

  1. CLOSED (Đóng mạch - Bình thường): Dòng điện (Request) chạy qua bình thường. Mọi thứ hoạt động trơn tru. Cầu dao âm thầm đếm số lượng Request bị lỗi.
  2. OPEN (Ngắt mạch - Báo động đỏ): Nếu tỉ lệ lỗi vượt qua ngưỡng cho phép (Ví dụ: 50% request trong 10 giây qua bị thất bại), Cầu dao LẬP TỨC NGẮT. Từ giây phút này, bất kỳ Request nào gọi tới, Cầu dao sẽ TRẢ VỀ LỖI NGAY LẬP TỨC (Fast Fail) mà không thèm gọi sang Payment Service nữa. HALF-OPEN (Nửa đóng nửa mở - Thăm dò): Sau một khoảng thời gian chờ (Ví dụ: 30 giây), Cầu dao tự động hé mở một chút. Nó cho phép MỘT VÀI Request đi qua để thử xem Payment Service đã tỉnh lại chưa.
  • Nếu thành công: Cầu dao tin tưởng, bật lại trạng thái CLOSED.
  • Nếu vẫn lỗi: Cầu dao dập tắt hi vọng, quay lại trạng thái OPEN và chờ thêm 30 giây nữa.

PHẦN 3: 4 LỢI ÍCH KHỔNG LỒ BIẾN BẠN THÀNH VIBE CODER

Sử dụng Circuit Breaker không chỉ là code, nó là nghệ thuật bảo vệ hệ thống:

    1. Fast Failure (Thất bại nhanh): Khi biết chắc đối tác đang sập, thà báo lỗi ngay lập tức cho User còn hơn bắt họ nhìn màn hình Loading 30 giây rồi mới báo lỗi.
    1. Ngăn chặn thảm họa Domino: Bằng cách ngắt mạch, Service gọi (Order) sẽ không bị treo Thread để chờ đợi. Nhờ đó, nó vẫn sống khỏe để phục vụ các chức năng khác (như xem lịch sử, xem giỏ hàng).
    1. Cho kẻ hấp hối thời gian thở (Giảm tải): Khi Payment Service đang bị quá tải, nếu bạn cứ Retry dội bom vào nó, nó sẽ không bao giờ ngóc đầu dậy nổi. Circuit Breaker chặn đứng traffic, cho con server đang bệnh có thời gian dọn dẹp RAM và phục hồi.
    1. Fallback (Hạ cánh mềm): Khi mạch bị ngắt (OPEN), thay vì quăng lỗi 500, bạn có thể lập trình để trả về dữ liệu mặc định. (Ví dụ: Service Gợi ý bạn bè bị sập -> Cầu dao ngắt -> Trả về danh sách bạn bè lưu trong Cache cục bộ thay vì báo lỗi).

LỜI KẾT

Bạn không cần phải tự code lại Circuit Breaker từ đầu bằng các câu lệnh if/else chắp vá. Trong hệ sinh thái Java/Spring Boot, chúng ta có Resilience4j (thế chân Hystrix). Trong Node.js, chúng ta có thư viện opossum. Hoặc đẳng cấp hơn, ở tầng hạ tầng (Infrastructure), các hệ thống Service Mesh như Istio có thể cấu hình Circuit Breaker cho mọi service chỉ bằng vài dòng file YAML mà không cần sửa một dòng code ứng dụng nào!

Microservices mạnh mẽ, nhưng hãy nhớ: Tâm thế của một kiến trúc sư hệ thống là luôn cho rằng mọi cuộc gọi mạng (Network Call) đều có thể thất bại. Hãy gắn cầu dao trước khi nhà cháy!

Chủ đề tiếp theo: Chống "DDoS" Bằng Code - Nghệ Thuật Rate Limiting

Circuit Breaker bảo vệ hệ thống của bạn khi các Dịch Vụ Phụ Thuộc bị lỗi. Nhưng nếu hệ thống của bạn đang sống khỏe, mà bị một Hacker (hoặc một con Bot ngu ngốc nào đó) gọi API Đăng nhập 100.000 lần/giây thì sao? Server của bạn vẫn sẽ sụp đổ vì nghẽn cổ chai DB.

Làm sao để hệ thống biết cách chối từ một cách thanh lịch: "Bạn đã gọi quá 10 lần/phút, vui lòng thử lại sau"? Ở bài viết tới, chúng ta sẽ mở khóa nghệ thuật kiểm soát lưu lượng truy cập với Rate Limiting và thuật toán kinh điển Token Bucket (Cái Xô Chứa Xu). Anh em sẵn sàng nhé!

Circuit Breaker microservices systemdesign

All rights reserved

Mục lục


Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí