RabbitMQ消费者的可靠性
消费者的可靠性
当RabbitMQ向消费者投递消息以后,需要知道消费者的处理状态如何。因为消息投递给消费者并不代表就一定被正确消费了,可能出现的故障有很多,比如:
-
消息投递的过程中出现了网络故障
-
消费者接收到消息后突然宕机
-
消费者接收到消息后,因处理不当导致异常
一旦发生上述情况,消息也会丢失。因此,RabbitMQ必须知道消费者的处理状态,一旦消息处理失败才能重新投递消息。
RabbitMQ如何得知消费者的处理状态则非常的重要
消费者确认机制
为了确认消费者是否成功处理消息,RabbitMQ提供了消费者确认机制(Consumer Acknowledgement)。即:当消费者处理消息结束后,应该向RabbitMQ发送一个回执,告知RabbitMQ自己消息处理状态。回执有三种可选值:
-
ack:成功处理消息,RabbitMQ从队列中删除该消息
-
nack:消息处理失败,RabbitMQ需要再次投递消息
-
reject:消息处理失败并拒绝该消息,RabbitMQ从队列中删除该消息
一般reject方式用的较少,除非是消息格式有问题,那就是开发问题了。因此大多数情况下我们需要将消息处理的代码通过try catch机制捕获,消息处理成功时返回ack,处理失败时返回nack.
由于消息回执的处理代码比较统一,因此SpringAMQP帮我们实现了消息确认。并允许我们通过配置文件设置ACK处理方式,有三种模式:
-
none:不处理。即消息投递给消费者后立刻ack,消息会立刻从MQ删除。非常不安全,不建议使用 -
manual:手动模式。需要自己在业务代码中调用api,发送ack或reject,存在业务入侵,但更灵活 -
auto:自动模式。SpringAMQP利用AOP对我们的消息处理逻辑做了环绕增强,当业务正常执行时则自动返回ack. 当业务出现异常时,根据异常判断返回不同结果:-
如果是业务异常,会自动返回
nack; -
如果是消息处理或校验异常,自动返回
reject;
-
返回Reject的常见异常有:
org.springframework.amqp.support.converter.MessageConversionException
解释:
该异常会在MessageConverter转换传入消息的负载时抛出。
触发场景:
- 当使用自定义的消息转换器(如 Jackson 或 Gson)处理消息时,如果消息负载的格式与期望的类型不匹配,可能会抛出此异常。
- 例如,收到的消息是一个无效的 JSON 字符串,而转换器尝试将其解析为 Java 对象。
org.springframework.messaging.converter.MessageConversionException
解释:
如果需要额外的转换来将消息映射到@RabbitListener方法参数上时,由转换服务抛出。
触发场景:
- 使用
@RabbitListener接收消息时,Spring 的转换服务需要将消息负载转换为方法参数的类型。- 如果转换器找不到合适的转换器或者转换失败,例如尝试将字符串 “123” 转换为自定义对象。
org.springframework.messaging.handler.annotation.support.MethodArgumentNotValidException
解释:
当@RabbitListener方法参数使用了@Valid注解,而传入的数据未通过验证时抛出此异常。
触发场景:
- 在接收消息的方法中,如果参数的类使用了
javax.validation注解(如@NotNull或@Size),而实际传入的数据不符合验证规则时,会触发此异常。- 例如,某个字段要求不为空 (
@NotNull),但实际收到的数据该字段为null。
org.springframework.messaging.handler.annotation.support.MethodArgumentTypeMismatchException
解释:
如果消息转换为的类型不正确,且与目标方法的参数类型不匹配时抛出此异常。
触发场景:
- 当接收的消息负载与参数类型不匹配时会触发此异常。例如,方法参数声明为
Message<Foo>,但实际接收到Message<Bar>。- 这种情况通常发生在消费者端未能正确匹配消息的预期类型,或者转换器的设置有误。
java.lang.NoSuchMethodException(自 1.6.3 版本添加)
解释:
如果在反射调用中找不到目标方法,则会抛出此异常。
触发场景:
- 监听器方法的签名不正确,无法通过反射调用。例如,方法的参数类型声明错误,导致无法找到合适的目标方法。
- 通常由于开发者配置错误或者代码变更导致的签名不匹配引起。
java.lang.ClassCastException(自 1.6.3 版本添加)
解释:
如果试图将对象强制转换为不兼容的类型,则会抛出此异常。
触发场景:
- 在消费者方法中显式地对消息负载或其他对象进行类型转换时,如果类型不兼容,则会抛出此异常。
- 例如,将字符串强制转换为自定义的 Java 对象时,未正确使用消息转换器,导致类型转换失败。
通过下面的配置可以修改SpringAMQP的ACK处理方式:
spring:
rabbitmq:
listener:
simple:
acknowledge-mode: none # 不做处理
修改consumer服务的SpringRabbitListener类中的方法,模拟一个消息处理的异常:
@RabbitListener(queues = "simple.queue")
public void listenSimpleQueueMessage(String msg) throws InterruptedException {
log.info("spring 消费者接收到消息:【" + msg + "】");
if (true) {
throw new MessageConversionException("故意的");
}
log.info("消息处理完成");
}
测试可以发现:当消息处理发生异常时,消息依然被RabbitMQ删除了。
我们再次把确认机制修改为auto:
spring:
rabbitmq:
listener:
simple:
acknowledge-mode: auto # 自动ack
在异常位置打断点,再次发送消息,程序卡在断点时,可以发现此时消息状态为unacked(未确定状态):
放行以后,由于抛出的是消息转换异常,因此Spring会自动返回reject,所以消息依然会被删除:
我们将异常改为RuntimeException类型:
@RabbitListener(queues = "simple.queue")
public void listenSimpleQueueMessage(String msg) throws InterruptedException {
log.info("spring 消费者接收到消息:【" + msg + "】");
if (true) {
throw new RuntimeException("故意的");
}
log.info("消息处理完成");
}
在异常位置打断点,然后再次发送消息测试,程序卡在断点时,可以发现此时消息状态为unacked(未确定状态):
放行以后,由于抛出的是业务异常,所以Spring返回ack,最终消息恢复至Ready状态,并且没有被RabbitMQ删除:
当我们把配置改为auto时,消息处理失败后,会回到RabbitMQ,并重新投递到消费者。
失败重试机制
当消费者出现异常后,消息会不断requeue(重入队)到队列,再重新发送给消费者。如果消费者再次执行依然出错,消息会再次requeue到队列,再次投递,直到消息处理成功为止。
极端情况就是消费者一直无法执行成功,那么消息requeue就会无限循环,导致mq的消息处理飙升,带来不必要的压力:
当然,上述极端情况发生的概率还是非常低的,不过不怕一万就怕万一。为了应对上述情况Spring又提供了消费者失败重试机制:在消费者出现异常时利用本地重试,而不是无限制的requeue到mq队列。
修改consumer服务的application.yml文件,添加内容:
spring:
rabbitmq:
host: 127.0.0.1
port: 5672
virtual-host: /David
username: Spike
password: '#Alone117'
listener:
simple:
acknowledge-mode: auto # 自动ack
retry:
enabled: true # 启用重试机制
max-attempts: 3 # 最大重试次数
initial-interval: 100 # 初始重试间隔时间 (毫秒)
multiplier: 1.5 # 每次重试的时间间隔倍数
max-interval: 10000 # 最大重试间隔时间 (毫秒)
stateless: false # true无状态;false有状态。如果业务中包含事务,这里改为false
prefetch: 1 # 每次处理一条消息
connection-timeout: 1000 # 连接超时时间 (毫秒)
stateless: true
- 每次处理消息时,不会记录消息的重试上下文。
- 重试次数只在当前线程中生效,每次重试失败后上下文都会重置。
- 对于每次重试来说,消费者会像处理一条新的消息一样,重新开始尝试。
stateless : true 无状态;false 有状态。如果业务中包含事务,这里改为 false
重启consumer服务,重复之前的测试。可以发现:
-
消费者在失败后消息没有重新回到MQ无限重新投递,而是在本地重试了3次
-
本地重试3次以后,抛出了
AmqpRejectAndDontRequeueException异常。查看RabbitMQ控制台,发现消息被删除了,说明最后SpringAMQP返回的是reject
注意:
- 开启本地重试时,消息处理过程中抛出异常,不会requeue到队列,而是在消费者本地重试
- 重试达到最大次数后,Spring会返回reject,消息会被丢弃
失败处理策略
在之前的测试中,本地测试达到最大重试次数后,消息会被丢弃。这在某些对于消息可靠性要求较高的业务场景下,显然不太合适了。
因此Spring允许我们自定义重试次数耗尽后的消息处理策略,这个策略是由MessageRecovery接口来定义的,它有3个不同实现:
-
RejectAndDontRequeueRecoverer:重试耗尽后,直接reject,丢弃消息。默认就是这种方式 -
ImmediateRequeueMessageRecoverer:重试耗尽后,返回nack,消息重新入队 -
RepublishMessageRecoverer:重试耗尽后,将失败消息投递到指定的交换机
比较优雅的一种处理方案是RepublishMessageRecoverer,失败后将消息投递到一个指定的,专门存放异常消息的队列,后续由人工集中处理。
- 在consumer服务中定义处理失败消息的交换机和队列
@Bean
public DirectExchange errorMessageExchange(){
return new DirectExchange("error.direct");
}
@Bean
public Queue errorQueue(){
return new Queue("error.queue", true);
}
@Bean
public Binding errorBinding(Queue errorQueue, DirectExchange errorMessageExchange){
return BindingBuilder.bind(errorQueue).to(errorMessageExchange).with("error");
}
- 定义一个RepublishMessageRecoverer,关联队列和交换机
@Bean
public MessageRecoverer republishMessageRecoverer(RabbitTemplate rabbitTemplate){
return new RepublishMessageRecoverer(rabbitTemplate, "error.direct", "error");
}
完整代码如下:
import lombok.extern.slf4j.Slf4j;
import org.springframework.amqp.core.*;
import org.springframework.amqp.rabbit.core.RabbitTemplate;
import org.springframework.amqp.rabbit.retry.MessageRecoverer;
import org.springframework.amqp.rabbit.retry.RepublishMessageRecoverer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
/**
* 配置错误消息处理的 Direct Exchange、队列以及消息恢复器。
*/
@Configuration
@Slf4j
public class ErrorDirectConfig {
/**
* 定义一个 DirectExchange,用于路由错误消息。
*
* @return DirectExchange 实例
*/
@Bean
public DirectExchange errorMessageExchange() {
return new DirectExchange("error.direct");
}
/**
* 定义一个持久化队列,用于存储错误消息。
*
* @return Queue 实例
*/
@Bean
public Queue errorQueue() {
return new Queue("error.queue", true);
}
/**
* 将错误队列绑定到错误交换机,并设置路由键为 "error"。
*
* @param errorQueue 队列
* @param errorMessageExchange 交换机
* @return Binding 实例
*/
@Bean
public Binding errorBinding(Queue errorQueue, DirectExchange errorMessageExchange) {
return BindingBuilder.bind(errorQueue).to(errorMessageExchange).with("error");
}
/**
* 定义一个 RepublishMessageRecoverer,当消息处理失败达到最大重试次数时,
* 将错误消息重新发布到指定的交换机和路由键。
*
* @param rabbitTemplate RabbitTemplate 实例
* @return MessageRecoverer 实例
*/
@Bean
public MessageRecoverer republishMessageRecoverer(RabbitTemplate rabbitTemplate) {
return new RepublishMessageRecoverer(rabbitTemplate, "error.direct", "error");
}
}
业务幂等性
何为幂等性
幂等是一个数学概念,用函数表达式来描述是这样的:f(x) = f(f(x)),例如求绝对值函数。
在程序开发中,则是指同一个业务,执行一次或多次对业务状态的影响是一致的。例如:
-
根据id删除数据
-
查询数据
-
新增数据
但数据的更新往往不是幂等的,如果重复执行可能造成不一样的后果。比如:
-
取消订单,恢复库存的业务。如果多次恢复就会出现库存重复增加的情况
-
退款业务。重复退款对商家而言会有经济损失。
所以,我们要尽可能避免业务被重复执行。
然而在实际业务场景中,由于意外经常会出现业务被重复执行的情况,例如:
-
页面卡顿时频繁刷新导致表单重复提交
-
服务间调用的重试
-
MQ消息的重复投递
我们在用户支付成功后会发送MQ消息到交易服务,修改订单状态为已支付,就可能出现消息重复投递的情况。如果消费者不做判断,很有可能导致消息被消费多次,出现业务故障。
举例:
-
假如用户刚刚支付完成,并且投递消息到交易服务,交易服务更改订单为已支付状态。
-
由于某种原因,例如网络故障导致生产者没有得到确认,隔了一段时间后重新投递给交易服务。
-
但是,在新投递的消息被消费之前,用户选择了退款,将订单状态改为了已退款状态。
-
退款完成后,新投递的消息才被消费,那么订单状态会被再次改为已支付。业务异常。
因此,我们必须想办法保证消息处理的幂等性。这里给出两种方案:
-
唯一消息ID
-
业务状态判断
唯一消息ID
这个思路非常简单:
-
每一条消息都生成一个唯一的id,与消息一起投递给消费者。
-
消费者接收到消息后处理自己的业务,业务处理成功后将消息ID保存到数据库
-
如果下次又收到相同消息,去数据库查询判断是否存在,存在则为重复消息放弃处理。
通过SpringAMQP的MessageConverter自带了MessageID的功能,我们只要开启这个功能即可。
以Jackson的消息转换器为例:
@Configuration
public class JsonConfig {
@Bean
public MessageConverter messageConverter(){
// 1.定义消息转换器
Jackson2JsonMessageConverter jackson2JsonMessageConverter = new Jackson2JsonMessageConverter();
// 2.配置自动创建消息id,用于识别不同消息,也可以在业务中基于ID判断是否是重复消息
jackson2JsonMessageConverter.setCreateMessageIds(true);
return jackson2JsonMessageConverter;
}
}
- 生产者
@Test
public void workQueueK() throws InterruptedException {
Map<String,Object> msg = new HashMap<>();
String queueName = "RabbitMQSample";
msg.put("name", "David");
msg.put("age","11");
rabbitTemplate.convertAndSend(queueName, msg);
}
- 消费者
@RabbitListener(queues = "RabbitMQSample")
public void receiveMessage(Message message) {
// 获取消息属性
MessageProperties properties = message.getMessageProperties();
// 输出消息 ID
String messageId = properties.getMessageId();
System.out.println("Received Message ID: " + messageId);
// 输出消息内容
System.out.println("Message Body: " + new String(message.getBody()));
}
业务判断
业务判断就是基于业务本身的逻辑或状态来判断是否是重复的请求或消息,不同的业务场景判断的思路也不一样。
例如我们当前案例中,处理消息的业务逻辑是把订单状态从未支付修改为已支付。因此我们就可以在执行业务时判断订单状态是否是未支付,如果不是则证明订单已经被处理过,无需重复处理。
相比较而言,消息ID的方案需要改造原有的数据库,所以我更推荐使用业务判断的方案。
以支付修改订单的业务为例,下面我提供一伪代码的逻辑
- 在做业务的时候我们可以查询一下Version版本号是否能对上
select
*
from
order_table
where
Version == #{Version}
and
OrderId == #{OrderId}
- 在做业务完成后我们更新Version版本号为下一个版本
UPDATE order_table
SET Version = #{Version + 1}, ...
WHERE condition;
- 如果重复获取到这个业务,我们在查询的时候是无法对应上Version的这个业务就不会重复执行
上述代码逻辑上符合了幂等判断的需求,但是由于判断和更新是两步动作,因此在极小概率下可能存在线程安全问题。
兜底方案
虽然我们利用各种机制尽可能增加了消息的可靠性,但也不好说能保证消息100%的可靠。万一真的MQ通知失败该怎么办呢?
有没有其它兜底方案,能够确保订单的支付状态一致呢?
其实思想很简单:既然MQ通知不一定发送到交易服务,那么交易服务就必须自己主动去查询支付状态。这样即便支付服务的MQ通知失败,我们依然能通过主动查询来保证订单状态的一致。
流程如下:
图中黄色线圈起来的部分就是MQ通知失败后的兜底处理方案,由交易服务自己主动去查询支付状态。
不过需要注意的是,交易服务并不知道用户会在什么时候支付,如果查询的时机不正确(比如查询的时候用户正在支付中),可能查询到的支付状态也不正确。
那么问题来了,我们到底该在什么时间主动查询支付状态呢?
这个时间是无法确定的,因此,通常我们采取的措施就是利用定时任务定期查询,例如每隔20秒就查询一次,并判断支付状态。如果发现订单已经支付,则立刻更新订单状态为已支付即可。
至此,消息可靠性的问题已经解决了。
综上,支付服务与交易服务之间的订单状态一致性是如何保证的?
- 首先,支付服务会正在用户支付成功以后利用MQ消息通知交易服务,完成订单状态同步。
- 其次,为了保证MQ消息的可靠性,我们采用了生产者确认机制、消费者确认、消费者失败重试等策略,确保消息投递的可靠性
- 最后,我们还在交易服务设置了定时任务,定期查询订单支付状态。这样即便MQ通知失败,还可以利用定时任务作为兜底方案,确保订单支付状态的最终一致性。
