Circuit Breaker: Solidny wzorzec odporności na błędy w nowoczesnych aplikacjach

W świecie tworzenia oprogramowania, zwłaszcza w architekturach mikroserwisowych i systemach rozproszonych, zapewnienie elastyczności aplikacji jest kluczowe. Gdy komponenty ulegają awarii, kluczowe jest zapobieganie awariom kaskadowym i utrzymanie stabilnego, responsywnego doświadczenia użytkownika. Wzorzec Circuit Breaker jawi się jako potężne rozwiązanie do osiągania odporności na błędy i płynnej degradacji w takich scenariuszach.

Czym jest wzorzec Circuit Breaker?

Wzorzec Circuit Breaker jest inspirowany elektrycznym wyłącznikiem nadprądowym, który chroni obwody przed uszkodzeniem spowodowanym przez przetężenie. W oprogramowaniu działa on jako proxy dla operacji, które mogą się nie udać, uniemożliwiając aplikacji wielokrotne próby wykonania operacji, która prawdopodobnie zakończy się niepowodzeniem. To proaktywne podejście pozwala uniknąć marnowania zasobów, zmniejsza opóźnienia i ostatecznie zwiększa stabilność systemu.

Główna idea polega na tym, że gdy usługa stale nie odpowiada, wyłącznik 'otwiera się', uniemożliwiając dalsze żądania do tej usługi. Po określonym czasie wyłącznik przechodzi w stan 'półotwarty', pozwalając na przejście ograniczonej liczby żądań testowych. Jeśli te żądania zakończą się sukcesem, wyłącznik 'zamyka się', wznawiając normalne działanie. Jeśli się nie powiodą, wyłącznik pozostaje otwarty, a cykl się powtarza.

Stany wyłącznika

Wyłącznik działa w trzech odrębnych stanach:

• Zamknięty (Closed): To jest normalny stan działania. Żądania są kierowane bezpośrednio do usługi. Wyłącznik monitoruje wskaźniki sukcesu i porażek tych żądań. Jeśli wskaźnik porażek przekroczy zdefiniowany próg, wyłącznik przechodzi w stan Otwarty.
• Otwarty (Open): W tym stanie wyłącznik natychmiastowo odrzuca wszystkie żądania, zwracając błąd lub odpowiedź zapasową. Zapobiega to przeciążeniu niedziałającej usługi ponownymi próbami i daje jej czas na odzyskanie sprawności.
• Półotwarty (Half-Open): Po upływie określonego czasu w stanie Otwartym, wyłącznik przechodzi w stan Półotwarty. W tym stanie pozwala na przejście ograniczonej liczby żądań testowych do usługi. Jeśli te żądania zakończą się sukcesem, wyłącznik wraca do stanu Zamkniętego. Jeśli którekolwiek z żądań testowych się nie powiedzie, wyłącznik wraca do stanu Otwartego.

Korzyści ze stosowania wzorca Circuit Breaker

Implementacja wzorca Circuit Breaker przynosi kilka kluczowych korzyści:

• Poprawiona elastyczność: Zapobiega awariom kaskadowym i utrzymuje dostępność aplikacji, blokując żądania do niedziałających usług.
• Zwiększona stabilność: Chroni aplikację przed przeciążeniem ponownymi próbami połączenia z niedziałającymi usługami, oszczędzając zasoby i poprawiając ogólną stabilność.
• Zmniejszone opóźnienia: Unika niepotrzebnych opóźnień spowodowanych oczekiwaniem na odpowiedź od niedziałających usług, co skutkuje szybszym czasem odpowiedzi dla użytkowników.
• Płynna degradacja: Pozwala aplikacji na płynną degradację funkcjonalności, gdy usługi są niedostępne, zapewniając bardziej akceptowalne doświadczenie użytkownika niż prosta awaria.
• Automatyczne odzyskiwanie sprawności: Umożliwia automatyczne przywrócenie działania, gdy niedziałające usługi znów stają się dostępne, minimalizując czas przestoju.
• Izolacja błędów: Izoluje awarie w systemie, uniemożliwiając ich rozprzestrzenianie się na inne komponenty.

Kwestie do rozważenia przy implementacji

Skuteczna implementacja wzorca Circuit Breaker wymaga starannego rozważenia kilku czynników:

• Próg awarii: Próg określający, kiedy należy otworzyć wyłącznik. Powinien być starannie dostrojony w oparciu o specyfikę usługi i wymagania aplikacji. Zbyt niski próg może prowadzić do przedwczesnego zadziałania, podczas gdy zbyt wysoki może nie zapewniać odpowiedniej ochrony.
• Czas trwania przerwy (timeout): Czas, przez który wyłącznik pozostaje w stanie Otwartym przed przejściem do stanu Półotwartego. Czas ten powinien być wystarczająco długi, aby umożliwić niedziałającej usłudze odzyskanie sprawności, ale na tyle krótki, aby zminimalizować czas przestoju.
• Liczba żądań testowych w stanie półotwartym: Liczba żądań testowych dozwolonych w stanie Półotwartym. Powinna być na tyle mała, aby zminimalizować ryzyko przeciążenia odzyskującej sprawność usługi, ale wystarczająco duża, aby dać wiarygodny obraz jej stanu.
• Mechanizm zapasowy (fallback): Mechanizm dostarczania odpowiedzi lub funkcjonalności zapasowej, gdy wyłącznik jest otwarty. Może to obejmować zwracanie danych z pamięci podręcznej, wyświetlanie przyjaznego dla użytkownika komunikatu o błędzie lub przekierowanie użytkownika do alternatywnej usługi.
• Monitorowanie i logowanie: Kompleksowe monitorowanie i logowanie w celu śledzenia stanu wyłącznika, liczby awarii i wskaźników powodzenia żądań. Informacje te są kluczowe do zrozumienia zachowania systemu oraz do diagnozowania i rozwiązywania problemów.
• Konfiguracja: Eksternalizacja parametrów konfiguracyjnych (próg awarii, czas trwania przerwy, liczba żądań testowych w stanie półotwartym), aby umożliwić dynamiczne dostosowywanie bez konieczności zmiany kodu.

Przykładowe implementacje

Wzorzec Circuit Breaker można zaimplementować przy użyciu różnych języków programowania i frameworków. Oto kilka przykładów:

Java z Resilience4j

Resilience4j to popularna biblioteka Java, która dostarcza kompleksowy zestaw narzędzi do zapewniania odporności na błędy, w tym Circuit Breaker, Retry, Rate Limiter i Bulkhead. Oto podstawowy przykład:

CircuitBreakerConfig circuitBreakerConfig = CircuitBreakerConfig.custom()
    .failureRateThreshold(50)
    .waitDurationInOpenState(Duration.ofMillis(1000))
    .permittedNumberOfCallsInHalfOpenState(2)
    .slidingWindowSize(10)
    .build();

CircuitBreaker circuitBreaker = CircuitBreaker.of("myService", circuitBreakerConfig);

Supplier<String> decoratedSupplier = CircuitBreaker
    .decorateSupplier(circuitBreaker, () -> myRemoteService.getData());

try {
    String result = decoratedSupplier.get();
    // Przetwórz wynik
} catch (RequestNotPermitted e) {
    // Obsłuż otwarty obwód
    System.err.println("Obwód jest otwarty: " + e.getMessage());
}

Python z Pybreaker

Pybreaker to biblioteka Python, która zapewnia prostą i łatwą w użyciu implementację wzorca Circuit Breaker.

import pybreaker

breaker = pybreaker.CircuitBreaker(fail_max=3, reset_timeout=10)

@breaker
def unreliable_function():
    # Tutaj wywołanie twojej zawodnej funkcji
    pass

try:
    unreliable_function()
except pybreaker.CircuitBreakerError:
    print("Wyłącznik jest otwarty!")

.NET z Polly

Polly to biblioteka .NET do obsługi odporności i błędów przejściowych, która pozwala deweloperom wyrażać polityki takie jak Retry, Circuit Breaker, Timeout i Bulkhead w płynny i kompozytowy sposób.

var circuitBreakerPolicy = Policy
    .Handle<Exception>()
    .CircuitBreakerAsync(
        exceptionsAllowedBeforeBreaking: 3,
        durationOfBreak: TimeSpan.FromSeconds(10),
        onBreak: (exception, timespan) =>
        {
            Console.WriteLine("Wyłącznik został otwarty: " + exception.Message);
        },
        onReset: () =>
        {
            Console.WriteLine("Wyłącznik został zresetowany.");
        },
        onHalfOpen: () =>
        {
            Console.WriteLine("Wyłącznik jest w stanie półotwartym.");
        });


try
{
    await circuitBreakerPolicy.ExecuteAsync(async () =>
    {
        // Tutaj twoja zawodna operacja
        await MyRemoteService.GetDataAsync();
    });
}
catch (Exception ex)
{
    Console.WriteLine("Obsłużono wyjątek: " + ex.Message);
}

Przykłady z życia wzięte

Wzorzec Circuit Breaker jest szeroko stosowany w różnych branżach i aplikacjach:

• Handel elektroniczny (E-commerce): Zapobieganie awariom kaskadowym, gdy bramka płatności jest niedostępna, co zapewnia, że koszyk i proces realizacji zamówienia pozostają funkcjonalne. Przykład: Jeśli dany dostawca płatności na globalnej platformie e-commerce doświadcza przestoju w jednym regionie (np. w Azji Południowo-Wschodniej), wyłącznik otwiera się, a transakcje są kierowane do alternatywnych dostawców w tym regionie lub system może oferować użytkownikom alternatywne metody płatności.
• Usługi finansowe: Izolowanie awarii w systemach transakcyjnych, zapobiegając nieprawidłowym lub niekompletnym transakcjom. Przykład: W godzinach szczytu handlowego usługa realizacji zleceń firmy maklerskiej może doświadczać sporadycznych awarii. Wyłącznik może zapobiec wielokrotnym próbom składania zleceń za pośrednictwem tej usługi, chroniąc system przed przeciążeniem i potencjalnymi stratami finansowymi.
• Chmura obliczeniowa (Cloud Computing): Obsługa tymczasowych przerw w działaniu usług chmurowych, zapewniając, że aplikacje pozostają dostępne i responsywne. Przykład: Jeśli oparta na chmurze usługa przetwarzania obrazów, używana przez globalną platformę marketingową, staje się niedostępna w danym centrum danych, wyłącznik otwiera się i kieruje żądania do innego centrum danych lub korzysta z usługi zapasowej, minimalizując zakłócenia dla użytkowników platformy.
• Internet Rzeczy (IoT): Zarządzanie problemami z łącznością z urządzeniami IoT, zapobiegając przeciążeniu systemu przez niedziałające urządzenia. Przykład: W systemie inteligentnego domu z licznymi podłączonymi urządzeniami w różnych lokalizacjach geograficznych, jeśli określony typ czujnika w danym regionie (np. w Europie) zaczyna zgłaszać błędne dane lub przestaje odpowiadać, wyłącznik może odizolować te czujniki i zapobiec ich wpływowi na ogólną wydajność systemu.
• Media społecznościowe: Obsługa tymczasowych awarii w integracjach z API stron trzecich, zapewniając, że platforma mediów społecznościowych pozostaje funkcjonalna. Przykład: Jeśli platforma mediów społecznościowych polega na API strony trzeciej do wyświetlania treści zewnętrznych, a to API doświadcza przestoju, wyłącznik może zapobiec powtarzającym się żądaniom do API i wyświetlać dane z pamięci podręcznej lub domyślny komunikat dla użytkowników, minimalizując wpływ awarii.

Circuit Breaker a wzorzec ponawiania (Retry)

Chociaż zarówno wzorzec Circuit Breaker, jak i wzorzec ponawiania (Retry) są używane do zapewnienia odporności na błędy, służą one różnym celom.

• Wzorzec ponawiania (Retry): Automatycznie ponawia nieudaną operację, zakładając, że awaria jest przejściowa i operacja może powieść się przy kolejnej próbie. Przydatny w przypadku sporadycznych problemów z siecią lub tymczasowego wyczerpania zasobów. Może zaostrzyć problemy, jeśli usługa bazowa jest rzeczywiście niedostępna.
• Wzorzec Circuit Breaker: Zapobiega wielokrotnym próbom wykonania nieudanej operacji, zakładając, że awaria jest trwała. Przydatny do zapobiegania awariom kaskadowym i umożliwienia niedziałającej usłudze odzyskania sprawności.

W niektórych przypadkach wzorce te można stosować razem. Na przykład można zaimplementować wzorzec ponawiania w ramach wzorca Circuit Breaker. Circuit Breaker zapobiegałby nadmiernym ponownym próbom, jeśli usługa stale zawodzi, podczas gdy wzorzec ponawiania obsługiwałby błędy przejściowe, zanim Circuit Breaker zostanie uruchomiony.

Antywzorce, których należy unikać

Chociaż Circuit Breaker jest potężnym narzędziem, ważne jest, aby być świadomym potencjalnych antywzorców:

• Nieprawidłowa konfiguracja: Ustawienie progu awarii lub czasu trwania przerwy na zbyt wysokim lub zbyt niskim poziomie może prowadzić do przedwczesnego zadziałania lub niewystarczającej ochrony.
• Brak monitoringu: Brak monitorowania stanu wyłącznika może uniemożliwić identyfikację i rozwiązanie podstawowych problemów.
• Ignorowanie mechanizmu zapasowego: Niezapewnienie mechanizmu zapasowego może skutkować złym doświadczeniem użytkownika, gdy wyłącznik jest otwarty.
• Nadmierne poleganie: Używanie wyłączników jako substytutu dla rozwiązywania fundamentalnych problemów z niezawodnością w usługach. Wyłączniki są zabezpieczeniem, a nie rozwiązaniem.
• Nieuwzględnianie zależności podrzędnych: Wyłącznik chroni bezpośredniego wywołującego. Należy upewnić się, że usługi podrzędne również mają odpowiednie wyłączniki, aby zapobiec propagacji awarii.

Koncepcje zaawansowane

• Adaptacyjne progi: Dynamiczne dostosowywanie progu awarii na podstawie historycznych danych o wydajności.
• Okna kroczące: Używanie okna kroczącego do obliczania wskaźnika awarii, co zapewnia dokładniejszą reprezentację ostatniej wydajności.
• Kontekstowe wyłączniki: Tworzenie różnych wyłączników dla różnych typów żądań lub użytkowników, co pozwala na bardziej szczegółową kontrolę.
• Rozproszone wyłączniki: Implementowanie wyłączników na wielu węzłach w systemie rozproszonym, zapewniając izolację i ograniczenie awarii.

Podsumowanie

Wzorzec Circuit Breaker jest niezbędnym narzędziem do budowania elastycznych i odpornych na błędy aplikacji, szczególnie w architekturach mikroserwisowych i systemach rozproszonych. Zapobiegając awariom kaskadowym, zmniejszając opóźnienia i umożliwiając płynną degradację, zwiększa stabilność aplikacji i poprawia doświadczenie użytkownika. Starannie rozważając szczegóły implementacji i unikając powszechnych antywzorców, można skutecznie wykorzystać wzorzec Circuit Breaker do tworzenia bardziej solidnych i niezawodnych systemów oprogramowania. Jego globalne zastosowanie czyni go kluczowym elementem do rozważenia dla każdej aplikacji projektowanej dla zróżnicowanej, międzynarodowej bazy użytkowników. Zrozumienie i wdrożenie wzorca Circuit Breaker jest kluczowe dla nowoczesnych praktyk inżynierii oprogramowania. Dzięki proaktywnemu podejściu do potencjalnych awarii, deweloperzy mogą tworzyć systemy lepiej przygotowane do radzenia sobie z nieuniknionymi wyzwaniami systemów rozproszonych.