单独的数据库:
微服务设计的一个关键是数据库设计,基本原则是每个服务都有自己单独的数据库,而且只有微服务本身可以访问这个数据库。它是基于下面三个原因。
- 优化服务接口 :微服务之间的接口越小越好,最好只有服务调用接口(RPC 或消息),没有其他接口。如果微服务不能独享自己的数据库,那么数据库也变成了接口的一部分,这大大拓展了接口范围。
- 错误诊断 :生产环境中的错误大部分都是和数据库有关的,要么是数据出了问题,要么是数据库的使用方式出了问题。当你不能完全控制数据库的访问时,会有各种各样的错误发生。它可能是别的程序直接连到你的数据库或者是其他部门直接用客户端访问数据库的数据,而这些都是在程序中查不到的,增加了错误排查难度。如果是程序中的问题,只要修改了代码,那么这个错误就不会再有。而上面提到的错误,你永远都没法预测它们什么时候还会再次发生。
- 性能调优 :性能调优也是一样,你需要对数据库有全权控制才能保证它的性能。如果其他部门一定要访问数据库,而且只是查询的话,那么可以另外创建一份只读数据库,让他们在另一个库中查询,这样才不会影响到你的库。
理想的设计是你的数据库只有你的服务能访问,你也只调用自己数据库中的数据,所有对别的微服务的访问都通过服务调用来实现(请参阅“微服务之间调用的最佳设计“)。当然,在实际应用中,单纯的服务调用可能不能满足性能或其他要求,不同的微服务都多少需要共享一些数据。
共享数据:
微服务之间的数据共享可以有下四种方式。
静态表:
有一些静态的数据库表,例如国家,可能会被很多程序用到,而且程序内部需要对国家这个表做连接(join)生成最终用户展示数据,这样用微服务调用的方式就效率不高,影响性能。一个办法是在每个微服务中配置一个这样的表,它是只读的,这样就可以做数据库连接了。当然你需要保证数据同步。这个方案在多数情况下都是可以接受的,因为以下两点:
- 静态的数据库表结构基本不变:因为一旦表结构变了,你不但要更改所有微服务的数据库表,还要修改所有微服务的程序。
- 数据库表中的数据变化不频繁:这样数据同步的工作量不大。另外当你同步数据库时总会有延迟,如果数据变化不频繁那么你有很多同步方式可供选择。
只读业务数据访问:
如果你需要读取别的数据库里的动态业务数据,理想的方式是服务调用。如果你只是调用其他微服务做一些计算,一般情况下性能都是可以接受的。如果你需要做数据的连接,那么你可以用程序代码来做,而不是用 SQL 语句。如果测试之后性能不能满足要求,那你可以考虑在自己的数据库里建一套只读数据表。数据同步方式大致有两种。如果是事件驱动方式,就用发消息的方式进行同步,如果是 RPC 方式,就用数据库本身提供的同步方式或者第三方同步软件。
通常情况下,你可能只需要其他数据库的几张表,每张表只需要几个字段。这时,其他数据库是数据的最终来源,控制所有写操作以及相应的业务验证逻辑,我们叫它主表。你的只读库可以叫从表。当一条数据写入主表后,会发一条广播消息,所有拥有从表的微服务监听消息并更新只读表中的数据。但这时你要特别小心,因为它的危险性要比静态表大得多。第一它的表结构变更会更频繁,而且它的变更完全不受你控制。第二业务数据不像静态表,它是经常更新的,这样对数据同步的要求就比较高。要根据具体的业务需求来决定多大的延迟是可以接受的。
另外它还有两个问题:
- 数据的容量 :数据库中的数据量是影响性能的主要因素。因为这个数据是外来的,不利于掌握它的流量规律,很难进行容量规划,也不能更好地进行性能调优。
- 接口外泄 :微服务之间的接口本来只有服务调用接口,这时你可以对内部程序和数据库做任何更改,而不影响其他服务。现在数据库表结构也变成了接口的一部分。接口一旦发布之后,基本是不能更改的,这大大限制了你的灵活性。幸运的是因为另外建了一套表,有了一个缓冲,当主表修改时,从表也许不需要同步更新。
除非你能用服务调用(没有本地只读数据库)的方式完成所有功能,不然不管你是用 RPC 方式还是事件驱动方式进行微服务集成,上面提到的问题都是不可避免的。但是你可以通过合理规划数据库更改,来减少上面问题带来的影响,下面将会详细讲解。
读写业务数据访问:
这是最复杂的一种情况。一般情况下,你有一个表是主表,而其他表是从表。主表包含主要信息,而且这些主要信息被复制到从表,但微服务会有额外字段需要写入从表。这样本地微服务对从表就既有读也有写的操作。而且主表和从表有一个先后次序的关系。从表的主键来源于主表,因此一定先有主表,再有从表。
图片来源
上图是例子。假设我们有两个与电影有关的微服务,一个是电影论坛,用户可以发表对电影的评论。另一个是电影商店。“movie”是共享表,左边的一个是电影论坛库,它的“movie”表是主表。右边的是电影商店库,它的“movie”表是从表。它们共享“id”字段(主键)。主表是数据的主要来源,但从表里的“quantity”和“price”字段主表里面没有。主表插入数据后,发消息,从表接到消息,插入一条数据到本地“movie”表。并且从表还会修改表里的“quantity”和“price”字段。在这种情况下,要给每一个字段分配一个唯一源头(微服务),只有源头才有权利主动更改字段,其他微服务只能被动更改(接收源头发出的更改消息之后再改)。在本例子中,“quantity”和“price”字段的源头是右边的表,其他的字段的源头都是左边的表。本例子中“quantity”和“price”只在从表中存在,因此数据写入是单向的,方向是主表到从表。如果主表也需要这些字段,那么它们还要被回写,那数据写入就变成双向的。
直接访问其它数据库:
这种方式是要绝对禁止的。生产环境中的许多程序错误和性能问题都是由这种方式产生的。上面的三种方式由于是另外新建了本地只读数据库表,产生了数据库的物理隔离,这样一个数据库的性能问题不会影响到另一个。另外,当主库中的表结构更改时,你可以暂时保持从库中的表不变,这样程序还可以运行。如果直接访问别人的库,主库一修改,别的微服务程序马上就会报错。请参阅 ApplicationDatabase。
向后兼容的数据库更新:
从上面的论述可以看出,数据库表结构的修改是一个影响范围很广的事情。在微服务架构中,共享的表在别的服务中也会有一个只读的拷贝。现在当你要更改表结构时,还需要考虑到对别的微服务的影响。当在单体(Monolithic)架构中,为了保证程序部署能够回滚,数据库的更新是向后兼容的。需要兼容性的另一个原因是支持蓝绿发布(Blue-Green Deployment)。在这种部署方式中,你同时拥有新旧版本的代码,由负载均衡来决定每一个请求指向那个版本。它们可以共享一个数据库(这就要求数据库是向后兼容的),也可以使用不同的数据。数据库的更新简单来讲有以下几种类型:
- 增加表或字段 :如果字段可取空值,这个操作是向后兼容的。如果是非空值就要插入一个缺省值。
- 删除表或字段 :可先暂时保留被删除表或字段,经过几个版本之后再删除。
- 修改字段名 :新增加一个字段,把数据从旧字段拷贝到新字段,用数据库触发器(或程序)同步旧字段和新字段(供过渡时期使用)。然后再在几个版本之后把原来的字段删除(请参阅 Update your Database Schema Without Downtime)。
- 修改表名 :如果数据库支持可更新视图,最简单的办法是先修改表的名字,然后创建一个可更新视图指向原来的表(请参阅 Evolutionary Database Design)。如果数据库不支持可更新视图,使用的方法与修改字段名相似,需要创建新的表并做数据同步。
- 修改字段类型 :与修改字段名几乎相同,只是在拷贝数据时,需要做数据类型转换。
向后兼容的数据库更新的好处是,当程序部署出现问题时,如需进行回滚。只要回滚程序就行了,而不必回滚数据库。回滚时一般只回滚一个版本。凡是需要删除的表或字段在本次部署时都不做修改,等到一个或几个版本之后,确认没有问题了再删除。它的另一个好处就是不会对其他微服务中的共享表产生立刻的直接影响。当本微服务升级后,其他微服务可以评估这些数据库更新带来的影响再决定是否需要做相应的程序或数据库修改。
跨服务事物:
微服务的一个难点是如何实现跨服务的事物支持。两阶段提交(Two-Phase Commit)已被证明性能上不能满足需求,现在基本上没有人用。被一致认可的方法叫 Saga。它的原理是为事物中的每个操作写一个补偿操作(Compensating Transaction),然后在回滚阶段挨个执行每一个补偿操作。示例如下图,在一个事物中共有 3 个操作 T1,T2,T3。每一个操作要定义一个补偿操作,C1,C2,C3。事物执行时是按照正向顺序先执行 T1,当回滚时是按照反向顺序先执行 C3。事物中的每一个操作(正向操作和补偿操作)都被包装成一个命令(Command),Saga 执行协调器(Saga Execution Coordinator (SEC))负责执行所有命令。在执行之前,所有的命令都会按顺序被存入日志中,然后 Saga 执行协调器从日志中取出命令,依次执行。当某个执行出现错误时,这个错误也被写入日志,并且所有正在执行的命令被停止,开始回滚操作。
图片来源
Saga 放松了对一致性(Consistency)的要求,它能保证的是最终一致性(Eventual Consistency),因此在事物执行过程中数据是不一致的,并且这种不一致会被别的进程看到。在生活中,大多数情况下,我们对一致性的要求并没有那么高,短暂的不一致性是可以接收的。例如银行的转账操作,它们在执行过程中都不是在一个数据库事物里执行的,而是用记账的方式分成两个动作来执行,保证的也是最终一致性。
Saga 的原理看起来很简单,但要想正确的实施还是有一定难度的。它的核心问题在于对错误的处理,要把它完全讲明白需要另写一遍文章,我现在只讲一下要点。网络环境是不可靠的,正在执行的命令可能很长时间都没有返回结果,这时,第一,你要设定一个超时。第二,因为你不知道没有返回值的原因是,已经完成了命令但网络出了问题,还是没完成就牺牲了,因此不知道是否要执行补偿操作。这时正确的做法是重试原命令,直到得到完成确认,然后再执行补偿操作。但这对命令有一个要求,那就是这个操作必须是幂等的(Idempotent),也就是说它可以执行多次,但最终结果还是一样的。
另外,有些操作的补偿操作比较容易生成,例如付款操作,你只要把钱款退回就可以了。但有些操作,像发邮件,完成之后就没有办法回到之前的状态了,这时就只能再发一个邮件更正以前的信息。因此补偿操作不一定非要返回到原来的状态,而是抵消掉原来操作产生的效果。如果想了解更多,请看这里.
微服务的拆分:
我们原来的程序大多数都是单体程序,但现在要把它拆分成微服务,应该怎样做才能降低对现有应用的影响呢?
图片来源
我们用上面的图来做例子。它共有两个程序,一个是“Styling app”,另一个是“Warehouse app”,它们共享图中下面的数据库,库里有三张表,“core client”,“core sku”,“core item”。
图片来源
假设我们要拆分出来一个微服务叫“client-service”,它需要访问“core client”表。第一步,我们先把程序从原来的代码里拆分出来,变成一个服务. 数据库不动,这个服务仍然指向原来的数据库。其他程序不再直接访问这个服务管理的表,而是通过服务调用或另建共享表来获取数据。
图片来源
第二步,再把服务的数据库表拆分出来,这时微服务就拥有它自己的数据库了,而不再需要原来的共享数据库了。这时就成了一个真正意义上的的微服务。
上面只讲了拆分一个微服务,如果有多个需要拆分,则需一个一个按照上面讲的方法依次进行。
另外,Martin Fowler 在他的文章 ”Break Monolith into Microservices” 里有一个很好的建议。那就是,当你把服务从单体程序里拆分时,不要只想着把代码拆分出来。因为现在的需求可能已经跟原来有所不同,原先的设计可能也不太适用了。而且,技术也已更新,代码也要作相应的改造。更好的办法是重写原来的功能(而不是重写原来的代码),把重点放在拆分业务功能上,而不是拆分代码上,用新的设计和技术来实现这个业务功能。
结论:
数据库设计是微服务设计的一个关键点,基本原则是每个微服务都有自己单独的数据库,而且只有微服务本身可以访问这个数据库。微服务之间的数据共享可以通过服务调用,或者主、从表的方式实现。在共享数据时,要找到合适的同步方式。在微服务架构中,数据库的修改影响广泛,需要保证这种修改是向后兼容的。实现跨服务事物的标准方法是 Saga。当把单体程序拆分成微服务时,可以分步进行,以减少对现有程序的影响。
索引:
- 微服务之间调用的最佳设计
- ApplicationDatabase
- Update your Database Schema Without Downtime
- Evolutionary Database Design
- Fault-Tolerance and Data Consistency Using Distributed Sagas
- Distributed Sagas: A Protocol for Coordinating Microservices – Caitie McCaffrey – JOTB17
- Managing Data in Microservices
- How to break a Monolith into Microservices
本文由博客一文多发平台 OpenWrite 发布!