resilient software design patterns...java message service nur java komplexe objekte queues und...

Orientation in Objects GmbH

Weinheimer Str. 68

68309 Mannheim

www.oio.de

[email protected]:

Resilient Software Design Patterns

18.2

Resilient Software Design Patterns© Orientation in Objects GmbH

Ihr Sprecher

2

Thorsten Maier

Trainer, Berater, Entwickler

SchwerpunkteArchitektur

ProzesseQualitätssicherung

Resilient Software Design Patterns© Orientation in Objects GmbH 3

Resilient Software?


Resilient Software?

Widerstandsfähig gegen Fehler


Warum?


Warum?

… weil jeder Ausfall viel Geld kostet

und viele User verärgert


Was ist daran neu?


Was ist daran neu?

…mehr User…mehr Daten

…schnellere Anpassungen


𝑉𝑒𝑟𝑓ü𝑔𝑏𝑎𝑟𝑘𝑒𝑖𝑡 =M𝑇𝑇𝐹

M𝑇𝑇𝐹 + M𝑇𝑇R

MTTF = Mean Time To FailureMTTR = Mean Time To Recovery


Verfügbarkeit Betriebszeit (h)Maximale erlaubte

Ausfallzeit (h)Maximale erlaubte

Ausfallzeit (min)

99 % 8672,4 87,6 525699,5 % 8716,2 43,8 262899,9 % 8751,24 8,76 525,6

99,99 % 8759,124 0,876 52,56100 % 8760 0 0

99% =8672,4h

8672,4h + 87,6h


Traditioneller Stabilisierungsansatz



∞


Der „resilient“ Ansatz



0


2 Millionen Google-Server

Unrealistische Annahme

MTTF = 30 Jahre

~ alle 8 Minuten fällt ein Server aus


Typical first year for a new cluster (~2400 server)

~0.5 overheating (power down most machines in <5 mins)

~1 PDU failure (~500-1000 machines suddenly disappear)

~1 rack-move (~500-1000 machines powered down)

~1 network rewiring (rolling ~5% of machines down over 2-day span)

~20 rack failures (40-80 machines instantly disappear)

~8 network maintenances (4 might cause ~30-minute random connectivity losses)

~3 router failures (have to immediately pull traffic for an hour)

~1000 individual machine failures

...

http://www.odbms.org/download/dean-keynote-ladis2009.pdf

http://www.odbms.org/download/dean-keynote-ladis2009.pdf


Things will crash.

Deal with it!

Resilient Software Design


Wie machen wir eine Software „resilient“?



Redundanz



Redundanz

Isolation



Redundanz

Isolation

Lose Kopplung



Redundanz

Isolation

Lose Kopplung

Fallback


ISOLATION


BULKHEADS


Bulkheads im Kleinen:

Methodenaufrufe


Mögliche Probleme?

public int fakultaet(int n) {return (n == 0) ? 1 : n * fakultaet(n - 1);

}


Schon besser…

public int fakultaet(int n) {if (n < 0) {

throw new IllegalArgumentException("n zu klein");}return (n == 0) ? 1 : n * fakultaet(n - 1);

}


…

public int fakultaet(int n) {if (n < 0) {

throw new IllegalArgumentException("n zu klein");}if (n > 12) {

throw new IllegalArgumentException("n zu groß");}return (n == 0) ? 1 : n * fakultaet(n - 1);

}


8

3

6

7

1 + 2

7

3

3

7

20 % 10 = 0

1 + 6

Zahl Verdoppeln SummierenLU

HN

Alg

ori

thm

us


Validierung der AufrufparameterDatentypen korrekt?

Wertebereiche eingehalten?

Vorbedingungen erfüllt?

!= null

Kreditkartennummer valide

…

„Freundliche“ RückgabewerteNiemals „null“ zurückliefern

Datenmengen beschränken

…


Bulkheads im Großen:

Software-Bausteine


3 Bausteine


Anwendung mit 3 Bausteinen

35


Deployment auf einem Server




Baustein wird 4 mal benötigt



Nachteile

wird nur 2 mal benötigt

Änderung an erfordert Reploy von



Unabhängige ArtefakteAnwendung mit 3 Bausteinen



Unabhängige Artefakte

Flexible Skalierung auf 3 Server




Unabhängige ArtefakteVorteile

Isolierte Entwicklung

Isolierte Fehler

Isoliertes Deployment

…



Unabhängige ArtefakteNachteil

Kommunikation über

Prozess- und Netzwerkgrenzen

Verteilte Datenverarbeitung



8 Irrtümer der verteilten Datenverarbeitung

Netzwerk ist ausfallsicher

Latenzzeit = 0

Datendurchsatz ∞

Netzwerk ist sicher

Netzwerktopologie ist stabil

1 Netzwerkadministrator

Kosten des Datentransports = 0

Netzwerk ist homogen

Bill Joy, Tom Lyon, L Peter Deutsch und James Gosling

…


In Kürze:

Zuverlässigkeit und Konsistenzexistieren nicht mehr


Verhalten und Standorte der Komponenten unseres Systems

verändern sich ständig


Komponenten liefern unzuverlässige Daten oder

verschwinden völlig


Ok, wir brauchen ISOLATION

Aber wie kommen die Teile wieder zusammen?


LOSE KOPPLUNG


LOSE KOPPLUNG

asynchron synchron


Asynchrone KommunikationEntkoppelt Sender und Empfänger

Verhindert Fehlerketten

Sender muss nicht warten


Barista

51

Kunde BecherwarteschlangeKassierer

Ausgabe

http://www.enterpriseintegrationpatterns.com/ramblings/18_starbucks.html

„Starbucks Does Not Use Two-Phase Commit”


Weiche zeitliche Anforderungen

Strict Consistency

Eventual Consistency (engl. „letztendlich“ nicht „eventuell“)

türschloss = geschlossen

letzte_reise = 523km


EmpfängerSender

tuerschloss=offentoggleTuerschloss()

Nicht idempotent

Exactly Once-Kommunikation

notwendig


EmpfängerSender

Idempotent!

At Least Once-Kommunikation

möglich

schliesseTuerschloss() tuerschloss=offen


Listener

55

TopicNachricht wird an alle Listener zugestellt

Falls kein „Interessent“ aktiv ist, wird die Nachricht u.U. nicht verarbeitet

Sender Topic

Listener

Listener 26°C

26°C26°C

26°C


Listener

56

QueueNachricht wird an einen Listener zugestellt

Es kann sichergestellt werden, dass eine Nachricht genau einmal verarbeitet wird

Sender Queue

Listener

Listener

26°C26°C


??


Java Message Servicenur Java

Komplexe ObjekteQueues und Topics

Verteilte Transaktionen


Barista

59

Kassierer coffeeOrderQueue

JmsTemplate jmsTemplate = context.getBean(JmsTemplate.class);jmsTemplate.convertAndSend("coffeeOrderQueue", new CoffeeOrder("Thorsten", "Cappuccino"));

@Componentpublic class Barista {

@JmsListener(destination = "coffeeOrderQueue")public void receiveMessage(CoffeeOrder coffeeOrder) {System.out.println("Received <" + coffeeOrder + ">");

}}


Advanced Message Queuing ProtocolViele Sprachen

Komplexe ObjekteQueues und Topics

Verteilte Transaktionen


Message Queuing Telemetry TransportViele Sprachen

Nur Byte StreamsNur Topics

Für „dünne Leitungen“ und Geräte mit „Batterie“

QoS 0: At most onceQoS 1: At least onceQoS 2: Exactly once


Und welchen Broker?


LOSE KOPPLUNG

asynchron synchron


?

Mit wem kann / soll ich kommunizieren?

nicht erreichbar

Startetgerade


?

nicht erreichbar

Startetgerade

Als Architekt lassen sich alle Probleme mit

„Boxes and Lines“ lösen☺


Verzeichnis-dienst

1. registrieren

2. Dienst finden

3. Dienst nutzen

z.B.:Netflix EurekaApache ZooKeeperCloud Foundry DiscoveryHashicorp Consul…


Verzeichnis-dienst

1. registrieren

2. Dienst finden

3. Dienst nutzen

Als Entwickler brauchen wir etwas mehr


Eureka

1. registrieren

2. Dienst finden

3. Dienst nutzen

@SpringBootApplication@EnableEurekaServerpublic class Application {

public static void main(String[] args) {// ...

}}


Eureka


Eureka?

Weitere

Instanz


AlgorithmenSimple Round Robin

Zone Aware Round RobinRandom

Weighted Response Time

Resiliente Lösung:

Clientseitiges

Load-Balancing


@RibbonClient(name = "blauerService")@RestControllerpublic class Application {

@LoadBalanced@BeanRestTemplate restTemplate() {

return new RestTemplate();}

@RequestMapping("/")public String serviceCall() {

return restTemplate().getForObject("http://blauerService/", String.class);}

}

Resiliente Lösung:

Clientseitiges

Load-Balancing


Security?


Security!


„Soll ich mich etwa 2x einloggen?“


„Meine Session wird geteilt ☺“

ExternalSession Store


Netter Nebeneffekt:

Anwendung wird zustandslos!

ExternalSession Store


Redis

@EnableRedisHttpSessionpublic class SpringSessionConfig {

@Beanpublic JedisConnectionFactory connectionFactory() {

return new JedisConnectionFactory();}

}


Redis

Problem:

Doppelte Implementierung


API Gateway

Security

…/blauerKreis/orders…/gruenerStern/customers


Zuul

@EnableZuulProxy@EnableDiscoveryClient@SpringBootApplicationpublic class ZuulProxy {public static void main(String[] args) {SpringApplication.run(ZuulProxy.class, args);

}}

ExternalSession Store Security


FALLBACK


Verzeichnis-dienst

1. registrieren

2. Dienst finden

3. Dienst nutzen

zur Erinnerung


Instanz fällt kurzNACH der Auswahl aus


Circuit Breaker


Circuit Breaker

errorCount = 3


Hystrix

@HystrixCommand(fallbackMethod = "fallback")public String readString() {return remoteServiceCall();

}

public String fallback() {return "Fallback result";

}


Eureka

registrieren

Alternativefinden

Hystrix


API Gateway

Security

…/blauerKreis/orders…/gruenerStern/customers


ZENTRALE DIENSTE


db.url=green.dbserver.de

db.url=blue.dbserver.de

db.url=yellow.dbserver.de

db.url=green.dbserver.de

Wo liegt unsere Konfiguration?


CentralConfiguration


Spring CloudConfig

@SpringBootApplication@EnableConfigServerpublic class ConfigServerApplication {

public static void main(String[] args) {SpringApplication.run(ConfigServerApplication.class, args);

}}


Spring CloudConfig

@SpringBootApplication@EnableConfigServerpublic class ConfigServerApplication {

public static void main(String[] args) {SpringApplication.run(ConfigServerApplication.class, args);

}}

@Value("${db.url}")private String url;


Resilient Software Design

Patterns?!


Circuit Breaker

Bulkheads

Discovery Service

Location Transparency

Stateless

Microservice

External Session Store

Parameter Checking

Eventual Consistency

Async Communication

Exactly Once- und At Least Once-Kommunikation

Idempotenz

API Gateway

Central Configuration


Weinheimer Str. 68

68309 Mannheim

www.oio.de

[email protected]

? ?

??

?Fragen ?


Weinheimer Str. 68

68309 Mannheim

www.oio.de

[email protected]

Vielen Dank für Ihre

Aufmerksamkeit!

resilient software design patterns...java message service nur java komplexe objekte queues und...

Documents