Flink的容错机制
1 状态一致性
当在分布式系统中引入状态时,自然引入了一致性问题。一致性实际上是“正确性级别”的另一种说法,也就是说在成功处理故障并恢复之后得到的结果,与没有发生任何故障时得到的结果相比,前者到底有多正确?举例来说,假设要对最近一小时登录的用户计数。在系.统经历故障之后,计数结果是多少?如果有偏差,是有漏掉的计数还是重复计数?
1.1 基本概念
有状态的流处理,内部算子任务都可以有自己的状态。对于流处理器内部来说,所谓的状态一致性,其实就是我们所说的计算结果要保证准确。一条数据不应该丢失,也不应该重复计算。在遇道故障时可以恢复状态,恢复之后重复计算,结果应该也是完全正确的。
1.2 一致性级别
在流处理中,一致性可以分为3个级别:
①at-most-once(最多一次):当任务故障时,最简单的做法就是什么都不干,既不恢复丢失的状态,也不重传丢失的数据。at-most-once语义的含义是最多处理一次事件。
② at-least-once(至少一次):在大多数的真实应用场景,我们希望不丢失事件。这种类型的保障称为at-least-once,意思是所有的事件都得到了处理,而一些事件还可能被处理多次。
③exactly-once(恰好一次):恰好处理一次是最严格的保证,也是最难实现的。恰好处理一次语义不仅仅意味着没有事件丢失,还意味着针对于每一个数据,内部状态仅仅更新一次。
曾经,at-least-once非常流行。第一代流处理器(如storm和Samza)刚问世时只保证at-least-once,原因有二。
①保证exactly-once的系统实现起来很复杂。这在基础架构层(决定什么代表正确,以及exactly-once的范围是什么)和实现层都有很大的挑战性。
②流处理系统的早期用户愿意接受框架的局限性,并在应用层想办法弥补(例如使应用程序具有幂等性,或者用批量计算层再做一遍计算)。
最先保证exactly-once的系统(storm trident和spark streaming)在性能和表现力这两个方面付出了很大的代价。为了保证exactly-once,这些系统无法单独地对每条记录运用应用逻辑,而是同时处理多条(一批)记录,保证对每一批数据的处理要么全部成功,要么全部失败。这就导致在得到结果前,必须等待一批记录处理结束。因此,用户经常不得不使用两个流处理框架(一个用来保证exactly-once,另一个用来对每个元素做低延迟处理),这样做使得基础设施更加复杂。因此,用户不得不在保证exactly-once与获得低延迟和效率之间权衡利弊。然而,Flink避免了这种权衡。
Flink的一个重大价值在于,它既保证了exactly-once,也具有低延迟和高吞吐的处理能力。从根本上说,Flink通过自身满足所有需求来避免权衡,它是业界的一次重大意义的技术飞跃。
1.3 端到端(end to end)状态一致性
目前我们看到的一致性保证都是由流处理器实现的,也就是说都是在Flink流处理器内部保证的;而在真实应用中,流处理应用除了流处理器以外还包含了数据源(例如Kafka)和输出到持久化系统。
端到端的一致性保证,意味着结果的正确性贯穿了整个流处理应用的始终;每个组件都保证了它自己的一致性,整个端到端的一致性级别取决于所有组件中一致性最弱的组件。
具体划分如下:
①内部保证——依赖checkpoint
②Source端——需要外部源重设数据的读取位置
③Sink端——需要保证从故障恢复时,数据不会重复写入外部系统。
而对于Sink端,又有两种具体的实现方式:幂等(Idempotent)写入和事务性(Transactional)写入。
①幂等写入:所谓幂等操作,是说一个操作,可以重复执行很多次,但只导致一次结果 更改,也就是说,后面再重复执行就不起作用了。
②事务写入:应用程序中一系列严密的操作,所有操作必须成功完成,否则在每个操作中所做的所有更改全部被撤销。即具有原子性,一个事务中的一系列操作要么全部成功,要么全部失败。
事务写入的实现思想:需要构建事务来写入外部系统,构建的事务对应着checkpoint,等到checkpoint真正完成的时候,才把所有对应的结果写入Sink系统中。
对于事务性写入,具体又有两种实现方式:预写日志(WAL)和两阶段提交(2PC)。
①预写日志(Write-Ahead-Log,WAL)
a.把结果数据先当成状态保存,然后在收到checkpoint完成的通知时,一次性写入sink系统。
b.简单易于实现,由于数据提前在状态后端中做了缓存,所以无论什么sink系统,都能用这种方式一批搞定。
c.DataStream API提供了一个模板类GenericWriteAheadSink来实现这种事务性sink。
缺点:当checkpoint过程出现故障,需要恢复数据时,只能恢复到上一个checkpoint,出现问题的checkpoint的数据被一部分预写到日志里。这样在恢复时,就会导致一部分数据地多次消费。
②两阶段提交(Two-Phase-Commit,2PC)
a.对于每个checkpoint,sink任务会启动一个事务,并将接下来所有接收的数据添加到事务里。
b.然后,将这些数据写入外部系统,但不提交它们——这时只是“预提交”。
c.这种方式真正实现了exactly-once,它需要一个提供事务支持的外部sink系统。Flink提供了TwoPhaseCommitSinkFunction接口。
2PC 对外部sink系统的要求:
a.外部sink系统必须提供事务支持,或者sink任务必须能够模拟外部系统上的事务。
b.在checkpoint的间隔期间,必须能够开启一个事务并接受数据写入。
c.在收到checkpoint完成的通知之前,事务必须是“等待提交”的状态。在故障恢复的情况下,这可能需要一些时间。如果这个时候sink系统关闭事务(例如超时了),那么未提交的数据就会丢失(采用sink系统重试时间要大于checkpoint时间来避免)。
d.Sink任务必须能够在进程失败后恢复事务。
e.提交事务必须是幂等操作。
不同source和sink的一致性保证可以用下表说明:
2 检查点(checkpoint)
2.1 一致性检查点
Flink故障恢复机制的核心就是应用状态的一致性检查点。有状态流应用的一致检查点,其实就是所有任务的状态,在某个时间点的一份拷贝(一份快照);这个时间点,应该是所有任务都恰好处理完一个相同的输入数据的时候。
在执行流应用程序期间,Flink会定期保存状态的一致检查点。如果发生故障,Flink将会使用最近的检查点来一致恢复应用程序的状态,并重新启动处理流程。下图中,当处理到数据7时,应用挂掉了。
Step1:遇到故障之后,第一步就是重启应用。
Step2:从checkpoint中读取状态,将状态重置。从检查点重新启动应用程序后,其内部状态与检查点完成时的状态完全相同。下图中,应用重启后,恢复到最近一次检查点状态(即所有算子处理完数据5之后的状态)。
Step3:开始消费并处理检查点到发生故障之间的所有数据。这种检查点的保存和回复机制可以为应用程序状态提供“精确一次”(exactly-once)的一致性,因为所有算子都会保存检查点并恢复其所有状态,这样一来所有的输入流就会被重置到检查点完成时的位置。
检查点的实现算法:
①简单的想法:暂停应用,保存状态到检查点,再重新恢复应用。(开销比较大,需要把暂停应用的所有任务)
②Flink改进实现:基于Chandy-Lamport算法的分布式快照。将检查点的曹村和数据处理分离开,不暂停整个应用。
2.2 Flink检查点算法——基于Chandy-Lamport分布式快照算法的异步分界线快照(Asynchronous Barrier Snapshotting)算法
Flink引入了检查点分界线(checkpoint barrier),其作用如下:
①Flink的检查点算法用到了一种称为分界线(barrier)的特殊数据形式,用来把一条流上数据按照不同的检查点分开。
②分界线之前到来的数据导致的状态更改,都会被包含在当前分界线所述的检查点中;而基于分界线之后的数据导致的所有更改,就会被包含在之后的检查点中。
接下来,继续讨论Flink检查点算法。现在是一个有两个输入流的应用程序,用并行的两个source任务来读取。
JobManager会向每个source任务发送一条带有新检查点ID的消息,通过这种方式来启动检查点。
数据源source将它们的状态写入检查点,并发出检查点barrier。StateBacknd在状态存入检查点之后,会返回通知给source任务,source任务就会向JobManager确认检查点完成(异步操作)。
分界线对齐:barrier向下游传递,sum任务会等待所有输入分区的barrier到达。对于barrier已经到达的分区,继续到达的数据会被缓存。而barrier尚未到达的分区,数据会被正常处理。
当收到所有输入分区的barrier时,任务就会将其状态异步保存到StateBackend的检查点中,然后将barrier继续向下游转发。
向下游转发检查点barrier后,任务继续正常的数据处理。
Sink任务向JobManager确认状态后保存到checkpoint完毕(异步操作)。当所有任务都确认已经成功将状态保存到检查点时,检查点就真正完成了。
3 保存点(savepoint)
另外,Flink还提供了可以自定义的镜像保存功能,就是保存点(savepoint)。原则上,常见保存点使用的算法与检查点完全相同,因此保存点可以认为就是具有一些额外元数据的检查点。Flink不会自动创建保存带你,因此用户(或者外部调度程序)必须明确地触发创建操作。保存点是一个强大的功能。除了故障恢复外,保存点还有以下功能:
①应用程序代码升级:假设你在已经处于运行状态的应用程序中发现了一个 bug,并且希望之后的事件都可以用修复后的新版本来处理。通过触发保存点并从该保存点处运行新版本,下游的应用程序并不会察觉到不同(当然,被更新的部分除外)。
②Flink版本更新:Flink自身的更新也变得简单,因为可以针对正在运行的任务触发保存点,并从保存点处用新版本的Flink重启任务。
③维护和迁移:使用保存点,可以轻松地“暂停和恢复”应用程序。这对于集群维护以及向新集群迁移的作业来说尤其有用。此外,它还有利于开发、测试和调试,因为不需要重播整个事件流。
④假设模拟与恢复:在可控的点上运行其他的应用逻辑,以模拟假设的场景,这样做在很多时候非常有用。
⑤A/B 测试:从同一个保存点开始,并行地运行应用程序的两个版本,有助于进行 A/B 测试。
4 Flink+Kafka如何实现端到端的exactly-once语义
端到端的状态一致性地实现,需要每一个组件都实现,对于Flink+Kafka的数据管道系统(Kafka进,Kafka出)而言,各组件怎样保证exactly-once语义呢?
内部——利用checkpoint机制,把状态存盘,发生故障的时候可以恢复,保证内部的状态一致性。
Source——kafka consumer作为source,可以将偏移量保存下来,如果后续任务出现了故障,恢复的时候可以由连接器重置偏移量,重新消费数据,保证一致性。
Sink——kafka producer作为sink,采用两阶段提交sink,需要实现一个TwoPhaseCommitSinkFunction。
内部的checkpoint机制,我们已经有了了解,那source和sink具体优势怎样运行的呢?接下来,我们逐步做一个分析。
我们知道Flink有JobManager协调各个TaskManager运行checkpoint存储,checkpoint保存在StateBackend中,默认StateBackend是内存级的,也可以改为文件级的进行持久化保存。
当checkpoint启动时,JobManager会将检查点分界线(barrier)注入数据流;barrier会在算子件传递下去。
每个算子会对当前的状态做一个快照,保存到StateBackend。对于source任务而言,就会把当前的offset作为状态保存起来。下次从checkpoint恢复时,source任务可以重新提交偏移量,从上次保存的位置开始重新消费数据。
每个内部的算子任务遇到barrier时,都会把状态保存到checkpoint里。
Sink任务首先把数据写入外部kafka,这些数据都属于预提交的事务(还不能被消费);当遇到barrier时,把状态保存到StateBackend,并开启新的预提交事务。
当所有算子任务的快照完成,也就是这次的checkpoint完成时,JobManager会向所有任务发通知,确认这次checkpoint完成。
当sink任务接收到确认通知,就会正式提交之前的事务,kafka中未确认的数据就改为“已确认”,数据就真正可以被消费了。
所以我们看到,执行过程实际上是一个两段式提交,每个算子执行完成,会进行“预提交”,直到执行完sink操作,会发起“确认提交”,如果执行失败,预提交会被放弃掉。
具体的两阶段提交步骤总结如下:
Step1:第一条数据来了之后,开启一个kafka的事务(transaction),正常写入kafka分区日志但标记为未提交,这就是“预提交”。
Step2:JobManager触发checkpoint操作,barrier从source开始向下传递,遇到barrier的算子将状态存入StateBackend,并通知JobManager。
Step3:Sink连接器收到barrier,保存当前状态,存入checkpoint,通知JobManager,并开启下一阶段的事务,用于提交下一个检查点的数据。
Step4:JobManager收到所有任务的通知,发出确认信息,表示checkpoint完成。
Step5:Sink任务收到JobManager的确认信息,正是提交这段时间的数据。
Step6:外部kafka关闭事务,提交的数据可以正常消费了。
因此,如果宕机需要通过StateBackend进行恢复,只能恢复所有确认提交的操作。