系统设计中重试、重复与幂等性:原理与完整示例

banq
系统设计中的“重复操作无副作用”——论如何优雅地反复做同一件事而不翻车

什么是“幂等性”?——程序员的“开关哲学”

你有没有想过,为什么电灯的“开”按钮按一次是亮,按十次还是亮,但灯不会突然变成喷火龙?这就是“幂等性”的精髓——做一次和做一万次,结果都一样。在系统设计里,这可不是哲学课,而是防止系统炸成烟花的关键防线。想象一下,你给客户扣款100次只因网络抖了一下,那客户估计会提着菜刀来公司问:“你们是做支付的,还是做‘催仇’的?”


幂等 ≠ 纯函数——别把“洁癖”和“稳定”搞混了

有人总把“幂等”和“纯函数”当成双胞胎,其实它们连远房表亲都算不上。纯函数讲究“无副作用、输入定输出”,像个不食人间烟火的数学家;而幂等操作则像个老油条社畜——副作用大把有,但再干一遍也无所谓。比如你写个函数把用户名字存进数据库,调一次存一次,调十次还是同一个名字,数据库没多出九个张三,这就叫幂等。至于返回值变不变?那不重要,系统又不是靠返回值过日子,而是靠“状态别乱”活着。


消息队列的“鬼打墙”——服务重启后为何总在重复劳动?

想象你是个打工人(哦不,是消费者服务),从消息队列里拿了个任务:“给用户发工资”。你算完税后工资,写进数据库,正要删消息,突然——服务器蓝屏了。系统重启,你一看队列:“咦?这条消息还在?”于是你又算了一遍工资,又写了一遍……用户懵了:“我是不是中彩票了?怎么发了两次?”  
问题出在哪?你做的操作不是幂等的!正确的做法是:先查数据库“这人工资发过了没”,发过了就跳过,没发才处理。这样哪怕你重启十次,工资也只发一次。系统不怕你笨,就怕你“记不住自己干过啥”。


API设计的“道德底线”——GET能刷一万次,POST不能点两下

HTTP协议早就看透了人性的弱点,所以规定:  
- GET:查数据,刷一万次都行,服务器顶多累点,但不会崩溃——毕竟你只是“看看”。  
- PUT:全量更新,比如“把用户资料改成张三,男,25岁”,改一次和改十次,结果都是张三——幂等,稳如老狗。  
- DELETE:删数据,删一次资源没了,删十次?资源还是没了——服务器表示:“你删了个寂寞。”  
- POST:创建资源,本性不幂等。点一次注册一个账号,点两次注册俩——除非你加了“幂等键”(Idempotency-Key)。  
什么叫幂等键?就像你去餐厅点菜,服务员说:“您这桌已经点过红烧肉了,再点也是同一份,不上新菜。”——你带着唯一桌号(idempotency key)来,系统一查:哦,这单做过了,直接返结果,不真做。省电又环保。


数据库的“防呆设计”——UPSERT:要么插入,要么更新,绝不 duplication

数据库里的 UPSERT(INSERT OR UPDATE)是幂等性的模范生。比如你同步用户资料,数据来了十遍,数据库只认一条记录:第一次插入,后九次更新。最终结果永远一致。这就像你妈催你结婚:“找对象就一次,别谈十个女朋友还说在‘试婚’!”——系统要的是结果唯一,不是过程浪漫。


分布式系统的“猫狗大战”——网络分区、服务崩溃、键盘上的猫

在分布式世界里,失败是常态,成功是偶然。网络可能断,硬盘可能坏,甚至真有猫在服务器键盘上跳《天鹅湖》。所以系统必须靠“重试”活下去。但重试的前提是:操作必须幂等。否则,重试一次扣一次钱,客户分分钟教你做人。  
幂等性就像保险丝——允许你反复操作,但绝不让系统过载。没有它,重试机制就是定时炸弹;有了它,系统才能在 chaos 中优雅地苟住。


实战案例——订单系统如何避免“一单十发”

我们来搞个真实场景:用户下单 → 网关 → 订单服务 → 消息队列(SQS)→ 订单处理器 → 数据库 → 通知服务。  
关键来了:订单处理器必须幂等。  
流程如下:  
1. 消费消息,拿到订单ID。  
2. 查数据库:“这单处理过没?”  
3. 没处理?插入订单,发通知。  
4. 处理过?直接跳过,假装啥也没发生。  

听起来简单?但魔鬼在细节:并发问题。两个实例同时查数据库,都发现“没处理”,然后都插入——完蛋,一单变双单。解决方案?加数据库唯一索引 + 事务锁。让数据库说:“对不起,ID重复,滚。”——这才是真正的“防呆即防傻”。


死信队列——给“毒消息”一个收容所,别让它祸害全家

你以为加了幂等就高枕无忧?天真!总有“毒消息”——比如JSON格式错、字段为空、用户ID是“null”。这种消息一来,服务直接崩溃,重启后又读到它,再崩溃……无限循环,活脱脱“系统版《土拨鼠日》”。  
解决办法:死信队列(Dead-Letter Queue)。就像医院的“隔离病房”,把病号关进去,别传染别人。运维一看:“哦,这消息有毒,人工处理或丢弃。”——系统终于能喘口气了。


通知服务也得幂等——别让用户收到100条“下单成功”

你以为订单处理完就结束了?通知服务也得跟上幂等!否则,订单只下了一次,但通知发了十次,用户手机炸了:“你们是卖货的,还是搞信息轰炸的?”  
解决方案:通知服务自己也记录“已通知订单ID”,或者用消息队列+幂等键。甚至可以在通知内容里写:“这是第1次提醒,别慌。”——不,这不行,太诚实了,用户会更慌。


总结——幂等性是系统的“后悔药”

幂等性不是炫技,而是系统设计的底线伦理。它允许你犯错、允许你重试、允许你重启,但绝不允许你把状态搞乱。  
记住:  
- 幂等 ≠ 返回值一样,而是状态不变。  
- 幂等 ≠ 不做事情,而是做多遍也不出错。  
- 幂等性 + 重试机制 = 分布式系统的“不死之身”。  

所以,下次你写代码时,问问自己:  
“如果这操作被执行100次,世界会毁灭吗?”  
如果会,赶紧加上幂等逻辑——毕竟,我们不想成为那个“因为按了两次按钮,公司破产”的背锅侠。