Circuit Breaker: Pola Toleransi Kesalahan yang Andal untuk Aplikasi Modern

Dalam dunia pengembangan perangkat lunak, khususnya dalam arsitektur layanan mikro dan sistem terdistribusi, memastikan ketahanan aplikasi adalah hal yang terpenting. Ketika komponen gagal, sangat penting untuk mencegah kegagalan beruntun dan menjaga pengalaman pengguna yang stabil dan responsif. Pola Circuit Breaker muncul sebagai solusi yang kuat untuk mencapai toleransi kesalahan dan degradasi yang anggun (graceful degradation) dalam skenario semacam itu.

Apa itu Pola Circuit Breaker?

Pola Circuit Breaker terinspirasi dari pemutus sirkuit listrik, yang melindungi sirkuit dari kerusakan akibat arus berlebih. Dalam perangkat lunak, pola ini bertindak sebagai proksi untuk operasi yang mungkin gagal, mencegah aplikasi mencoba berulang kali untuk menjalankan operasi yang kemungkinan akan gagal. Pendekatan proaktif ini menghindari pemborosan sumber daya, mengurangi latensi, dan pada akhirnya meningkatkan stabilitas sistem.

Gagasan intinya adalah ketika sebuah layanan secara konsisten gagal merespons, circuit breaker akan "terbuka" (open), mencegah permintaan lebih lanjut ke layanan tersebut. Setelah periode yang ditentukan, circuit breaker memasuki status "setengah terbuka" (half-open), yang memungkinkan sejumlah permintaan uji terbatas untuk melewatinya. Jika permintaan ini berhasil, circuit breaker akan "menutup" (close), dan operasi normal dilanjutkan. Jika gagal, circuit breaker tetap terbuka, dan siklusnya berulang.

Status-Status Circuit Breaker

Circuit breaker beroperasi dalam tiga status yang berbeda:

• Tertutup (Closed): Ini adalah status operasi normal. Permintaan dialihkan langsung ke layanan. Circuit breaker memantau tingkat keberhasilan dan kegagalan dari permintaan ini. Jika tingkat kegagalan melebihi ambang batas yang telah ditentukan, circuit breaker beralih ke status Terbuka.
• Terbuka (Open): Dalam status ini, circuit breaker memotong jalur semua permintaan, dan segera mengembalikan kesalahan atau respons fallback. Hal ini mencegah aplikasi membanjiri layanan yang gagal dengan percobaan ulang dan memberikan waktu bagi layanan untuk pulih.
• Setengah Terbuka (Half-Open): Setelah periode waktu habis (timeout) yang ditentukan dalam status Terbuka, circuit breaker beralih ke status Setengah Terbuka. Dalam status ini, ia mengizinkan sejumlah permintaan uji terbatas untuk diteruskan ke layanan. Jika permintaan ini berhasil, circuit breaker beralih kembali ke status Tertutup. Jika salah satu permintaan uji gagal, circuit breaker kembali ke status Terbuka.

Manfaat Menggunakan Pola Circuit Breaker

Menerapkan pola Circuit Breaker memberikan beberapa manfaat utama:

• Peningkatan Ketahanan: Mencegah kegagalan beruntun dan menjaga ketersediaan aplikasi dengan mencegah permintaan ke layanan yang gagal.
• Peningkatan Stabilitas: Melindungi aplikasi agar tidak terbebani oleh percobaan ulang ke layanan yang gagal, menghemat sumber daya, dan meningkatkan stabilitas secara keseluruhan.
• Mengurangi Latensi: Menghindari penundaan yang tidak perlu yang disebabkan oleh penantian respons dari layanan yang gagal, menghasilkan waktu respons yang lebih cepat bagi pengguna.
• Degradasi yang Anggun: Memungkinkan aplikasi untuk menurunkan fungsionalitas secara anggun ketika layanan tidak tersedia, memberikan pengalaman pengguna yang lebih dapat diterima daripada sekadar gagal total.
• Pemulihan Otomatis: Memungkinkan pemulihan otomatis ketika layanan yang gagal kembali tersedia, meminimalkan waktu henti.
• Isolasi Kesalahan: Mengisolasi kegagalan di dalam sistem, mencegahnya menyebar ke komponen lain.

Pertimbangan Implementasi

Menerapkan pola Circuit Breaker secara efektif memerlukan pertimbangan cermat terhadap beberapa faktor:

• Ambang Batas Kegagalan: Ambang batas untuk menentukan kapan harus membuka circuit breaker. Ini harus disetel dengan hati-hati berdasarkan persyaratan layanan dan aplikasi spesifik. Ambang batas yang rendah dapat menyebabkan pemutusan yang prematur, sedangkan ambang batas yang tinggi mungkin tidak memberikan perlindungan yang memadai.
• Durasi Waktu Habis (Timeout): Lamanya waktu circuit breaker tetap dalam status Terbuka sebelum beralih ke status Setengah Terbuka. Durasi ini harus cukup lama untuk memungkinkan layanan yang gagal pulih tetapi cukup singkat untuk meminimalkan waktu henti.
• Permintaan Uji Setengah Terbuka: Jumlah permintaan uji yang diizinkan untuk melewati status Setengah Terbuka. Jumlah ini harus cukup kecil untuk meminimalkan risiko membebani layanan yang sedang pulih tetapi cukup besar untuk memberikan indikasi yang andal tentang kesehatannya.
• Mekanisme Fallback: Mekanisme untuk menyediakan respons atau fungsionalitas fallback ketika circuit breaker terbuka. Ini bisa berupa pengembalian data dari cache, menampilkan pesan kesalahan yang ramah pengguna, atau mengarahkan pengguna ke layanan alternatif.
• Pemantauan dan Pencatatan Log: Pemantauan dan pencatatan log yang komprehensif untuk melacak status circuit breaker, jumlah kegagalan, dan tingkat keberhasilan permintaan. Informasi ini sangat penting untuk memahami perilaku sistem serta untuk mendiagnosis dan menyelesaikan masalah.
• Konfigurasi: Eksternalisasi parameter konfigurasi (ambang batas kegagalan, durasi waktu habis, permintaan uji setengah terbuka) untuk memungkinkan penyesuaian dinamis tanpa memerlukan perubahan kode.

Contoh Implementasi

Pola Circuit Breaker dapat diimplementasikan menggunakan berbagai bahasa pemrograman dan kerangka kerja. Berikut adalah beberapa contohnya:

Java dengan Resilience4j

Resilience4j adalah pustaka Java populer yang menyediakan serangkaian lengkap alat toleransi kesalahan, termasuk Circuit Breaker, Retry, Rate Limiter, dan Bulkhead. Berikut adalah contoh dasarnya:

CircuitBreakerConfig circuitBreakerConfig = CircuitBreakerConfig.custom()
    .failureRateThreshold(50)
    .waitDurationInOpenState(Duration.ofMillis(1000))
    .permittedNumberOfCallsInHalfOpenState(2)
    .slidingWindowSize(10)
    .build();

CircuitBreaker circuitBreaker = CircuitBreaker.of("myService", circuitBreakerConfig);

Supplier<String> decoratedSupplier = CircuitBreaker
    .decorateSupplier(circuitBreaker, () -> myRemoteService.getData());

try {
    String result = decoratedSupplier.get();
    // Process the result
} catch (RequestNotPermitted e) {
    // Handle the open circuit
    System.err.println("Circuit is open: " + e.getMessage());
}

Python dengan Pybreaker

Pybreaker adalah pustaka Python yang menyediakan implementasi Circuit Breaker yang sederhana dan mudah digunakan.

import pybreaker

breaker = pybreaker.CircuitBreaker(fail_max=3, reset_timeout=10)

@breaker
def unreliable_function():
    # Your unreliable function call here
    pass

try:
    unreliable_function()
except pybreaker.CircuitBreakerError:
    print("Circuit Breaker is open!")

.NET dengan Polly

Polly adalah pustaka .NET untuk ketahanan dan penanganan kesalahan sementara yang memungkinkan pengembang untuk mengekspresikan kebijakan seperti Retry, Circuit Breaker, Timeout, dan Bulkhead dengan cara yang fasih dan dapat disusun.

var circuitBreakerPolicy = Policy
    .Handle<Exception>()
    .CircuitBreakerAsync(
        exceptionsAllowedBeforeBreaking: 3,
        durationOfBreak: TimeSpan.FromSeconds(10),
        onBreak: (exception, timespan) =>
        {
            Console.WriteLine("Circuit Breaker opened: " + exception.Message);
        },
        onReset: () =>
        {
            Console.WriteLine("Circuit Breaker reset.");
        },
        onHalfOpen: () =>
        {
            Console.WriteLine("Circuit Breaker half-opened.");
        });


try
{
    await circuitBreakerPolicy.ExecuteAsync(async () =>
    {
        // Your unreliable operation here
        await MyRemoteService.GetDataAsync();
    });
}
catch (Exception ex)
{
    Console.WriteLine("Handled exception: " + ex.Message);
}

Contoh di Dunia Nyata

Pola Circuit Breaker banyak digunakan di berbagai industri dan aplikasi:

• E-commerce: Mencegah kegagalan beruntun ketika gateway pembayaran tidak tersedia, memastikan bahwa keranjang belanja dan proses checkout tetap fungsional. Contoh: Jika penyedia pembayaran tertentu di platform e-commerce global mengalami waktu henti di satu wilayah (misalnya, Asia Tenggara), circuit breaker akan terbuka, dan transaksi dialihkan ke penyedia alternatif di wilayah tersebut atau sistem dapat menawarkan metode pembayaran alternatif kepada pengguna.
• Jasa Keuangan: Mengisolasi kegagalan dalam sistem perdagangan, mencegah transaksi yang salah atau tidak lengkap. Contoh: Selama jam perdagangan puncak, layanan eksekusi pesanan sebuah perusahaan pialang mungkin mengalami kegagalan sesekali. Circuit breaker dapat mencegah upaya berulang untuk menempatkan pesanan melalui layanan tersebut, melindungi sistem dari beban berlebih dan potensi kerugian finansial.
• Komputasi Awan: Menangani pemadaman sementara layanan cloud, memastikan bahwa aplikasi tetap tersedia dan responsif. Contoh: Jika layanan pemrosesan gambar berbasis cloud yang digunakan oleh platform pemasaran global menjadi tidak tersedia di pusat data tertentu, circuit breaker akan terbuka dan mengalihkan permintaan ke pusat data yang berbeda atau menggunakan layanan fallback, meminimalkan gangguan bagi pengguna platform.
• IoT: Mengelola masalah konektivitas dengan perangkat IoT, mencegah sistem terbebani oleh perangkat yang gagal. Contoh: Dalam sistem rumah pintar dengan banyak perangkat terhubung di berbagai lokasi geografis, jika jenis sensor tertentu di wilayah tertentu (misalnya, Eropa) mulai melaporkan data yang salah atau menjadi tidak responsif, circuit breaker dapat mengisolasi sensor-sensor tersebut dan mencegahnya memengaruhi kinerja sistem secara keseluruhan.
• Media Sosial: Menangani kegagalan sementara dalam integrasi API pihak ketiga, memastikan bahwa platform media sosial tetap fungsional. Contoh: Jika sebuah platform media sosial mengandalkan API pihak ketiga untuk menampilkan konten eksternal dan API tersebut mengalami waktu henti, circuit breaker dapat mencegah permintaan berulang ke API tersebut dan menampilkan data cache atau pesan default kepada pengguna, meminimalkan dampak dari kegagalan.

Circuit Breaker vs. Pola Coba Lagi (Retry)

Meskipun pola Circuit Breaker dan Retry keduanya digunakan untuk toleransi kesalahan, keduanya melayani tujuan yang berbeda.

• Pola Coba Lagi (Retry): Secara otomatis mencoba kembali operasi yang gagal, dengan asumsi bahwa kegagalan bersifat sementara dan operasi mungkin berhasil pada percobaan berikutnya. Berguna untuk gangguan jaringan yang sesekali atau kehabisan sumber daya sementara. Dapat memperburuk masalah jika layanan yang mendasarinya benar-benar tidak aktif.
• Pola Circuit Breaker: Mencegah upaya berulang untuk menjalankan operasi yang gagal, dengan asumsi bahwa kegagalan bersifat persisten. Berguna untuk mencegah kegagalan beruntun dan memberikan waktu bagi layanan yang gagal untuk pulih.

Dalam beberapa kasus, pola-pola ini dapat digunakan bersama-sama. Misalnya, Anda dapat mengimplementasikan pola Retry di dalam Circuit Breaker. Circuit Breaker akan mencegah percobaan ulang yang berlebihan jika layanan secara konsisten gagal, sementara pola Retry akan menangani kesalahan sementara sebelum Circuit Breaker terpicu.

Anti-Pola yang Harus Dihindari

Meskipun Circuit Breaker adalah alat yang ampuh, penting untuk mewaspadai potensi anti-pola:

• Konfigurasi yang Salah: Menyetel ambang batas kegagalan atau durasi waktu habis terlalu tinggi atau terlalu rendah dapat menyebabkan pemutusan yang prematur atau perlindungan yang tidak memadai.
• Kurangnya Pemantauan: Kegagalan memantau status circuit breaker dapat mencegah Anda mengidentifikasi dan menyelesaikan masalah yang mendasarinya.
• Mengabaikan Fallback: Tidak menyediakan mekanisme fallback dapat menghasilkan pengalaman pengguna yang buruk saat circuit breaker terbuka.
• Ketergantungan Berlebih: Menggunakan Circuit Breaker sebagai pengganti untuk mengatasi masalah keandalan mendasar dalam layanan Anda. Circuit Breaker adalah pengaman, bukan solusi.
• Tidak mempertimbangkan dependensi hilir: Circuit breaker melindungi pemanggil langsung. Pastikan layanan hilir juga memiliki circuit breaker yang sesuai untuk mencegah penyebaran kegagalan.

Konsep Tingkat Lanjut

• Ambang Batas Adaptif: Menyesuaikan ambang batas kegagalan secara dinamis berdasarkan data kinerja historis.
• Jendela Bergulir (Rolling Windows): Menggunakan jendela bergulir untuk menghitung tingkat kegagalan, memberikan representasi yang lebih akurat dari kinerja terkini.
• Circuit Breaker Kontekstual: Membuat circuit breaker yang berbeda untuk berbagai jenis permintaan atau pengguna, memungkinkan kontrol yang lebih terperinci.
• Circuit Breaker Terdistribusi: Menerapkan circuit breaker di beberapa node dalam sistem terdistribusi, memastikan bahwa kegagalan diisolasi dan terkendali.

Kesimpulan

Pola Circuit Breaker adalah alat penting untuk membangun aplikasi yang tangguh dan toleran terhadap kesalahan, terutama dalam arsitektur layanan mikro dan sistem terdistribusi. Dengan mencegah kegagalan beruntun, mengurangi latensi, dan memungkinkan degradasi yang anggun, pola ini meningkatkan stabilitas aplikasi dan pengalaman pengguna. Dengan mempertimbangkan detail implementasi secara cermat dan menghindari anti-pola yang umum, Anda dapat secara efektif memanfaatkan pola Circuit Breaker untuk menciptakan sistem perangkat lunak yang lebih andal dan kuat. Penerapannya yang bersifat global menjadikannya pertimbangan penting untuk aplikasi apa pun yang dirancang untuk basis pengguna internasional yang beragam. Memahami dan menerapkan pola Circuit Breaker sangat penting untuk praktik rekayasa perangkat lunak modern. Dengan secara proaktif mengatasi potensi kegagalan, pengembang dapat membangun sistem yang lebih siap untuk menangani tantangan komputasi terdistribusi yang tak terhindarkan.