一、架构背景1.1 调用链路整体微服务调用层级:网关 → 应用层服务 → 聚合层服务 → 原子层服务 → 外部第三方接口1.2 现存隐患原子层服务依赖外部第三方接口,第三方网络不稳定、频繁长时间超时;原子服务Web容器线程池固定为200个Servlet工作线程;大量请求阻塞在第三方接口等待响应,线程迟迟无法释放,最终线程池被占满;上游聚合层持续向下游原子层发起调用,请求排队阻塞,最终线程资源逐级耗尽,从原子层蔓延到聚合层,形成服务级雪崩。单纯调大、调优线程池只能缓解问题,无法根治。根本解决方案:增加超时控制 + 精准熔断机制,切断故障向上蔓延,保证本服务不受外部第三方故障牵连。二、 服务雪崩时序图三、解决方案整体设计3.1 设计原则先控等待时间:通过时间限制终止长时间阻塞的调用,避免线程无限等待;再精准熔断:只把「调用超时、网络异常、第三方服务宕机」计入熔断失败;业务异常(入参非法、业务校验失败、业务码错误)绝对不能统计进熔断失败次数,否则会造成熔断器误打开,人为导致服务不可用;兼容存量老代码:项目历史接口不需要开启熔断,仅对新增对外调用第三方的接口启用异常解析逻辑;熔断器最小粒度隔离:以「服务名称 + Feign接口类」作为熔断器唯一标识,做到一个外部依赖对应一个独立熔断器,互不干扰;配置隔离:不强制全局开启熔断,只对配置文件中定义的实例生效,未配置熔断规则的接口完全不受Resilience4j影响。3.2 整体调用时序(带熔断防护)四、方案实施:Feign+Resilience4j落地4.1 核心痛点处理4.1.1 痛点说明当前项目统一约定:无论调用成功还是失败,HTTP响应码固定返回200,所有错误依靠Body内部自定义业务code区分。Feign默认只会把HTTP非200状态码认定为调用异常,业务码错误不会被识别为失败,熔断器永远无法统计失败次数。4.1.2 解决方案开发自定义Feign异常解码器;解码器只对指定Feign接口生效,其余老接口保持原有逻辑,做到新旧代码兼容;在解码器中区分两类错误:系统异常/调用超时 → 抛出特殊异常,纳入熔断器失败统计;业务入参错误、业务校验失败 → 仅抛出业务异常,不计入熔断统计。4.2 细粒度熔断器命名策略不使用默认的方法级熔断器,避免颗粒度太细导致配置爆炸。统一命名规则:下游服务名称-Feign接口类名每一个外部依赖接口对应一个独立熔断器,做到故障相互隔离。同时提供全局总开关,可以一键关闭所有熔断功能。熔断器是一把双刃剑。异常划分不严谨、粒度太粗,极易出现大面积误熔断。因此推荐“按需实例配置”,而不是全局默认配置。只有在yml中显式配置的实例才启用熔断,其余接口完全不受影响。4.3 两种熔断实现模式(可选)模式A:配置Fallback降级方法熔断打开后自动执行降级逻辑,友好返回兜底结果,适合对外业务接口。模式B:不编写Fallback实现熔断触发后直接向上抛出NoFallbackAvailableException,不再编写降级代码,减少开发工作量;仅切断下游调用、阻止阻塞。适合内部服务之间调用,只需要阻断故障,不需要兜底返回。五、熔断配置文件参考5.1 完整配置内容resilience4j:# 熔断器全局基础模板circuitbreaker:configs:default-rule:# 1.失败率阈值:失败占比达到60%触发熔断打开failure-rate-threshold:60# 2.最少调用次数:必须至少积累10次调用,才开始统计成功率(对应需求:请求10次,失败6次就熔断)minimum-number-of-calls:10# 3.滑动窗口大小:统计最近10次调用记录sliding-window-size:10# 4.熔断器打开后,保持断开时长:10秒wait-duration-in-open-state:10s# 5.半开状态允许试探请求数量:半开阶段只放行3个请求测试第三方是否恢复permitted-number-of-calls-in-half-open-state:3# 慢调用熔断(可选补充)slow-call-rate-threshold
