Circuit Breaker: Ein robustes Fehlertoleranzmuster für moderne Anwendungen

Im Bereich der Softwareentwicklung, insbesondere bei Microservices-Architekturen und verteilten Systemen, ist die Gewährleistung der Anwendungsresilienz von größter Bedeutung. Wenn Komponenten ausfallen, ist es entscheidend, kaskadierende Ausfälle zu verhindern und eine stabile, reaktionsschnelle Benutzererfahrung aufrechtzuerhalten. Das Circuit-Breaker-Muster erweist sich als eine leistungsstarke Lösung, um in solchen Szenarien Fehlertoleranz und eine kontrollierte Leistungsreduzierung (graceful degradation) zu erreichen.

Was ist das Circuit-Breaker-Muster?

Das Circuit-Breaker-Muster ist von elektrischen Sicherungsautomaten inspiriert, die Stromkreise vor Schäden durch Überstrom schützen. In der Software fungiert es als Proxy für Operationen, die fehlschlagen könnten, und verhindert, dass eine Anwendung wiederholt versucht, eine Operation auszuführen, die wahrscheinlich fehlschlagen wird. Dieser proaktive Ansatz vermeidet die Verschwendung von Ressourcen, reduziert die Latenz und verbessert letztendlich die Systemstabilität.

Die Kernidee ist, dass, wenn ein Dienst konstant nicht antwortet, der Circuit Breaker "öffnet" und weitere Anfragen an diesen Dienst verhindert. Nach einer definierten Zeitspanne geht der Circuit Breaker in einen "halb-offenen" Zustand über und lässt eine begrenzte Anzahl von Testanfragen durch. Wenn diese Anfragen erfolgreich sind, "schließt" der Circuit Breaker und der normale Betrieb wird wieder aufgenommen. Schlagen sie fehl, bleibt der Circuit Breaker geöffnet und der Zyklus wiederholt sich.

Zustände des Circuit Breakers

Der Circuit Breaker arbeitet in drei verschiedenen Zuständen:

• Geschlossen (Closed): Dies ist der normale Betriebszustand. Anfragen werden direkt an den Dienst weitergeleitet. Der Circuit Breaker überwacht die Erfolgs- und Fehlerraten dieser Anfragen. Wenn die Fehlerrate einen vordefinierten Schwellenwert überschreitet, wechselt der Circuit Breaker in den offenen Zustand.
• Offen (Open): In diesem Zustand werden alle Anfragen sofort kurzgeschlossen und es wird umgehend ein Fehler oder eine Fallback-Antwort zurückgegeben. Dies verhindert, dass die Anwendung den ausfallenden Dienst mit Wiederholungsversuchen überlastet und gibt dem Dienst Zeit zur Wiederherstellung.
• Halb-Offen (Half-Open): Nach einer festgelegten Zeitüberschreitung im offenen Zustand wechselt der Circuit Breaker in den halb-offenen Zustand. In diesem Zustand lässt er eine begrenzte Anzahl von Testanfragen an den Dienst durch. Sind diese Anfragen erfolgreich, wechselt der Circuit Breaker zurück in den geschlossenen Zustand. Schlägt eine der Testanfragen fehl, kehrt der Circuit Breaker in den offenen Zustand zurück.

Vorteile der Verwendung des Circuit-Breaker-Musters

Die Implementierung des Circuit-Breaker-Musters bietet mehrere wesentliche Vorteile:

• Verbesserte Resilienz: Verhindert kaskadierende Ausfälle und erhält die Anwendungsverfügbarkeit, indem Anfragen an ausfallende Dienste unterbunden werden.
• Erhöhte Stabilität: Schützt die Anwendung davor, durch Wiederholungsversuche bei ausfallenden Diensten überlastet zu werden, was Ressourcen schont und die Gesamtstabilität verbessert.
• Reduzierte Latenz: Vermeidet unnötige Verzögerungen durch das Warten auf Antworten von ausfallenden Diensten, was zu schnelleren Antwortzeiten für Benutzer führt.
• Kontrollierte Leistungsreduzierung (Graceful Degradation): Ermöglicht der Anwendung, die Funktionalität bei Nichtverfügbarkeit von Diensten kontrolliert zu reduzieren, was eine akzeptablere Benutzererfahrung als ein kompletter Ausfall bietet.
• Automatische Wiederherstellung: Ermöglicht eine automatische Wiederherstellung, wenn ausfallende Dienste wieder verfügbar werden, und minimiert so Ausfallzeiten.
• Fehlerisolierung: Isoliert Ausfälle innerhalb des Systems und verhindert deren Ausbreitung auf andere Komponenten.

Überlegungen zur Implementierung

Die effektive Implementierung des Circuit-Breaker-Musters erfordert die sorgfältige Berücksichtigung mehrerer Faktoren:

• Fehlerschwellenwert: Der Schwellenwert, der bestimmt, wann der Circuit Breaker geöffnet wird. Dieser sollte sorgfältig auf die spezifischen Anforderungen des Dienstes und der Anwendung abgestimmt werden. Ein zu niedriger Schwellenwert könnte zu vorzeitigem Auslösen führen, während ein zu hoher Schwellenwert möglicherweise keinen ausreichenden Schutz bietet.
• Timeout-Dauer: Die Zeitspanne, die der Circuit Breaker im offenen Zustand verbleibt, bevor er in den halb-offenen Zustand übergeht. Diese Dauer sollte lang genug sein, damit sich der ausfallende Dienst erholen kann, aber kurz genug, um die Ausfallzeit zu minimieren.
• Testanfragen im halb-offenen Zustand: Die Anzahl der Testanfragen, die im halb-offenen Zustand durchgelassen werden. Diese Zahl sollte klein genug sein, um das Risiko einer Überlastung des sich erholenden Dienstes zu minimieren, aber groß genug, um einen zuverlässigen Hinweis auf dessen Zustand zu geben.
• Fallback-Mechanismus: Ein Mechanismus zur Bereitstellung einer Fallback-Antwort oder -Funktionalität, wenn der Circuit Breaker geöffnet ist. Dies könnte die Rückgabe von zwischengespeicherten Daten, die Anzeige einer benutzerfreundlichen Fehlermeldung oder die Umleitung des Benutzers zu einem alternativen Dienst umfassen.
• Überwachung und Protokollierung: Umfassende Überwachung und Protokollierung zur Verfolgung des Zustands des Circuit Breakers, der Anzahl der Ausfälle und der Erfolgsraten von Anfragen. Diese Informationen sind entscheidend, um das Verhalten des Systems zu verstehen und Probleme zu diagnostizieren und zu beheben.
• Konfiguration: Externalisieren Sie die Konfigurationsparameter (Fehlerschwellenwert, Timeout-Dauer, Testanfragen im halb-offenen Zustand), um eine dynamische Anpassung ohne Codeänderungen zu ermöglichen.

Implementierungsbeispiele

Das Circuit-Breaker-Muster kann mit verschiedenen Programmiersprachen und Frameworks implementiert werden. Hier sind einige Beispiele:

Java mit Resilience4j

Resilience4j ist eine beliebte Java-Bibliothek, die eine umfassende Suite von Fehlertoleranz-Tools bietet, einschließlich Circuit Breaker, Retry, Rate Limiter und Bulkhead. Hier ist ein einfaches Beispiel:

CircuitBreakerConfig circuitBreakerConfig = CircuitBreakerConfig.custom()
    .failureRateThreshold(50)
    .waitDurationInOpenState(Duration.ofMillis(1000))
    .permittedNumberOfCallsInHalfOpenState(2)
    .slidingWindowSize(10)
    .build();

CircuitBreaker circuitBreaker = CircuitBreaker.of("myService", circuitBreakerConfig);

Supplier<String> decoratedSupplier = CircuitBreaker
    .decorateSupplier(circuitBreaker, () -> myRemoteService.getData());

try {
    String result = decoratedSupplier.get();
    // Verarbeite das Ergebnis
} catch (RequestNotPermitted e) {
    // Behandle den offenen Zustand des Circuit Breakers
    System.err.println("Circuit ist offen: " + e.getMessage());
}

Python mit Pybreaker

Pybreaker ist eine Python-Bibliothek, die eine einfache und benutzerfreundliche Circuit-Breaker-Implementierung bietet.

import pybreaker

breaker = pybreaker.CircuitBreaker(fail_max=3, reset_timeout=10)

@breaker
def unreliable_function():
    # Ihr unzuverlässiger Funktionsaufruf hier
    pass

try:
    unreliable_function()
except pybreaker.CircuitBreakerError:
    print("Circuit Breaker ist offen!")

.NET mit Polly

Polly ist eine .NET-Bibliothek für Resilienz und die Behandlung von vorübergehenden Fehlern, die es Entwicklern ermöglicht, Richtlinien wie Retry, Circuit Breaker, Timeout und Bulkhead auf eine flüssige und zusammensetzbare Weise auszudrücken.

var circuitBreakerPolicy = Policy
    .Handle<Exception>()
    .CircuitBreakerAsync(
        exceptionsAllowedBeforeBreaking: 3,
        durationOfBreak: TimeSpan.FromSeconds(10),
        onBreak: (exception, timespan) =>
        {
            Console.WriteLine("Circuit Breaker geöffnet: " + exception.Message);
        },
        onReset: () =>
        {
            Console.WriteLine("Circuit Breaker zurückgesetzt.");
        },
        onHalfOpen: () =>
        {
            Console.WriteLine("Circuit Breaker halb-geöffnet.");
        });


try
{
    await circuitBreakerPolicy.ExecuteAsync(async () =>
    {
        // Ihre unzuverlässige Operation hier
        await MyRemoteService.GetDataAsync();
    });
}
catch (Exception ex)
{
    Console.WriteLine("Ausnahme behandelt: " + ex.Message);
}

Praxisbeispiele

Das Circuit-Breaker-Muster wird in verschiedenen Branchen und Anwendungen weit verbreitet eingesetzt:

• E-Commerce: Verhindert kaskadierende Ausfälle, wenn ein Zahlungs-Gateway nicht verfügbar ist, und stellt sicher, dass der Warenkorb und der Bezahlvorgang funktionsfähig bleiben. Beispiel: Wenn ein bestimmter Zahlungsanbieter auf einer globalen E-Commerce-Plattform in einer Region (z. B. Südostasien) ausfällt, öffnet der Circuit Breaker und Transaktionen werden an alternative Anbieter in dieser Region weitergeleitet oder das System bietet den Nutzern alternative Zahlungsmethoden an.
• Finanzdienstleistungen: Isoliert Ausfälle in Handelssystemen und verhindert fehlerhafte oder unvollständige Transaktionen. Beispiel: Während der Haupthandelszeiten kann der Ordnerausführungsdienst eines Maklerunternehmens zeitweise ausfallen. Ein Circuit Breaker kann wiederholte Versuche, Orders über diesen Dienst zu platzieren, verhindern und das System vor Überlastung und potenziellen finanziellen Verlusten schützen.
• Cloud Computing: Behandelt vorübergehende Ausfälle von Cloud-Diensten und stellt sicher, dass Anwendungen verfügbar und reaktionsschnell bleiben. Beispiel: Wenn ein cloudbasierter Bildverarbeitungsdienst, der von einer globalen Marketingplattform genutzt wird, in einem bestimmten Rechenzentrum nicht verfügbar ist, öffnet der Circuit Breaker und leitet Anfragen an ein anderes Rechenzentrum weiter oder nutzt einen Fallback-Dienst, um die Beeinträchtigung für die Nutzer der Plattform zu minimieren.
• IoT: Verwaltet Konnektivitätsprobleme mit IoT-Geräten und verhindert, dass das System durch ausfallende Geräte überlastet wird. Beispiel: In einem Smart-Home-System mit zahlreichen vernetzten Geräten an verschiedenen geografischen Standorten kann der Circuit Breaker bestimmte Sensoren isolieren, wenn ein bestimmter Sensortyp in einer Region (z. B. Europa) fehlerhafte Daten meldet oder nicht mehr reagiert, und so verhindern, dass die Gesamtleistung des Systems beeinträchtigt wird.
• Soziale Medien: Behandelt vorübergehende Ausfälle bei API-Integrationen von Drittanbietern und stellt sicher, dass die Social-Media-Plattform funktionsfähig bleibt. Beispiel: Wenn eine Social-Media-Plattform auf eine Drittanbieter-API zur Anzeige externer Inhalte angewiesen ist und diese API ausfällt, kann der Circuit Breaker wiederholte Anfragen an die API verhindern und zwischengespeicherte Daten oder eine Standardnachricht für die Nutzer anzeigen, um die Auswirkungen des Ausfalls zu minimieren.

Circuit Breaker vs. Retry-Muster

Obwohl sowohl das Circuit-Breaker- als auch das Retry-Muster zur Fehlertoleranz verwendet werden, dienen sie unterschiedlichen Zwecken.

• Retry-Muster: Versucht eine fehlgeschlagene Operation automatisch erneut, in der Annahme, dass der Fehler vorübergehend ist und die Operation bei einem späteren Versuch erfolgreich sein könnte. Nützlich bei zeitweiligen Netzwerkstörungen oder vorübergehender Ressourcenerschöpfung. Kann Probleme verschlimmern, wenn der zugrunde liegende Dienst tatsächlich ausgefallen ist.
• Circuit-Breaker-Muster: Verhindert wiederholte Versuche, eine fehlschlagende Operation auszuführen, in der Annahme, dass der Fehler persistent ist. Nützlich, um kaskadierende Ausfälle zu verhindern und dem ausfallenden Dienst Zeit zur Wiederherstellung zu geben.

In einigen Fällen können diese Muster zusammen verwendet werden. Sie könnten beispielsweise ein Retry-Muster innerhalb eines Circuit Breakers implementieren. Der Circuit Breaker würde übermäßige Wiederholungsversuche verhindern, wenn der Dienst konstant ausfällt, während das Retry-Muster vorübergehende Fehler behandelt, bevor der Circuit Breaker ausgelöst wird.

Zu vermeidende Anti-Muster

Obwohl der Circuit Breaker ein leistungsstarkes Werkzeug ist, ist es wichtig, sich potenzieller Anti-Muster bewusst zu sein:

• Falsche Konfiguration: Das Festlegen des Fehlerschwellenwerts oder der Timeout-Dauer auf einen zu hohen oder zu niedrigen Wert kann entweder zu vorzeitigem Auslösen oder zu unzureichendem Schutz führen.
• Mangelnde Überwachung: Das Versäumnis, den Zustand des Circuit Breakers zu überwachen, kann Sie daran hindern, zugrunde liegende Probleme zu identifizieren und zu beheben.
• Ignorieren des Fallbacks: Das Fehlen eines Fallback-Mechanismus kann zu einer schlechten Benutzererfahrung führen, wenn der Circuit Breaker geöffnet ist.
• Übermäßiges Vertrauen: Die Verwendung von Circuit Breakern als Ersatz für die Behebung grundlegender Zuverlässigkeitsprobleme in Ihren Diensten. Circuit Breaker sind ein Schutzmechanismus, keine Lösung.
• Nichtberücksichtigung von nachgelagerten Abhängigkeiten: Der Circuit Breaker schützt den unmittelbaren Aufrufer. Stellen Sie sicher, dass auch nachgelagerte Dienste über geeignete Circuit Breaker verfügen, um die Ausbreitung von Ausfällen zu verhindern.

Fortgeschrittene Konzepte

• Adaptive Schwellenwerte: Dynamische Anpassung des Fehlerschwellenwerts basierend auf historischen Leistungsdaten.
• Gleitende Fenster (Rolling Windows): Verwendung eines gleitenden Fensters zur Berechnung der Fehlerrate, um eine genauere Darstellung der jüngsten Leistung zu erhalten.
• Kontextbezogene Circuit Breaker: Erstellen verschiedener Circuit Breaker für unterschiedliche Arten von Anfragen oder Benutzern, um eine granularere Steuerung zu ermöglichen.
• Verteilte Circuit Breaker: Implementierung von Circuit Breakern über mehrere Knoten in einem verteilten System, um sicherzustellen, dass Ausfälle isoliert und eingedämmt werden.

Fazit

Das Circuit-Breaker-Muster ist ein unverzichtbares Werkzeug für die Erstellung resilienter und fehlertoleranter Anwendungen, insbesondere in Microservices-Architekturen und verteilten Systemen. Indem es kaskadierende Ausfälle verhindert, die Latenz reduziert und eine kontrollierte Leistungsreduzierung ermöglicht, verbessert es die Stabilität der Anwendung und die Benutzererfahrung. Durch sorgfältige Berücksichtigung von Implementierungsdetails und die Vermeidung gängiger Anti-Muster können Sie das Circuit-Breaker-Muster effektiv nutzen, um robustere und zuverlässigere Softwaresysteme zu erstellen. Seine globale Anwendbarkeit macht es zu einer wichtigen Überlegung für jede Anwendung, die für eine vielfältige und internationale Benutzerbasis konzipiert ist. Das Verstehen und Implementieren des Circuit-Breaker-Musters ist für moderne Softwareentwicklungspraktiken von entscheidender Bedeutung. Durch proaktives Angehen potenzieller Ausfälle können Entwickler Systeme bauen, die besser gerüstet sind, um die unvermeidlichen Herausforderungen des verteilten Rechnens zu bewältigen.