2025年8月13日·1 分钟
分布式系统概念:面向 SaaS 扩展的 Kleppmann 思路
通过将原型变成可靠 SaaS 时团队面临的真实选择来解释分布式系统概念:数据流、一致性与背压控制。
通过将原型变成可靠 SaaS 时团队面临的真实选择来解释分布式系统概念:数据流、一致性与背压控制。
原型证明一个想法可行。SaaS 则必须在真实使用下存活:高峰流量、零散的数据、重试,以及对每一个小问题都会注意到的客户。问题之所以变得混乱,是因为关注点从“它能运行吗?”转向“它能持续运行吗?”
对真实用户来说,“昨天可用”会因为很多平凡的原因失效。后台任务比平常晚执行。某个客户上传了比测试数据大 10 倍的文件。支付供应商卡住了 30 秒。这些都不罕见,但一旦系统某部分相互依赖,连锁反应就会放大。
大多数复杂性出现在四个方面:数据(相同事实存在多处并发生漂移)、延迟(50 ms 的调用偶尔变成 5 秒)、故障(超时、部分更新、重试)和团队(不同人以不同节奏交付不同服务)。
一个简单的心智模型有帮助:组件、消息和状态。
组件做具体工作(Web 应用、API、worker、数据库)。消息在组件之间移动工作(请求、事件、任务)。状态是你记住的东西(订单、用户设置、计费状态)。扩展痛点通常是错配:你发送消息的速度超过组件处理能力,或在两个地方更新状态而没有明确的真相来源。
经典例子是计费。原型可能在一个请求中创建发票、发送邮件并更新用户方案。在高负载下,邮件慢了,请求超时,客户端重试,结果出现两张发票但只有一次方案变更。可靠性工作主要是防止这些日常失败变成用户可见的错误。
大多数系统变得更难,是因为它们在没有共识的情况下扩展——没有明确哪些必须是正确的,哪些只需要快速,发生故障时又该怎样。
先画出你向用户承诺的边界。在边界内,列出每次都必须正确的动作(资金流动、访问控制、账户归属)。然后列出那些“最终一致”就可以的区域(分析计数、搜索索引、推荐)。这一分法把模糊理论变成优先级。
接着,写下你的事实来源。它是记录事实的地方:持久且有清晰规则。其他一切都是为速度或便利构建的派生数据。如果某个派生视图损坏,你应该能够从事实来源重建它。
当团队陷入僵局时,通常问这些问题能暴露出真正重要的东西:
如果用户更新了计费方案,仪表盘可以有延迟。但你不能容忍支付状态与实际访问权限不一致。
如果用户点了按钮且必须立刻看到结果(保存资料、加载仪表盘、检查权限),普通的请求-响应 API 通常就够了。保持直接。
一旦工作可以稍后完成,就把它移到异步。比如发送邮件、扣卡、生成报表、调整上传大小或把数据同步到搜索。用户不该为这些等待,你的 API 也不应在这些操作上被占用。
队列是待办清单:每个任务应被一个 worker 处理一次。流(或日志)是记录:事件按序保留,多个消费者可以回放、追赶,或在不改生产者的情况下为新功能订阅。
实用的选择方式:
举例:你的 SaaS 有一个“创建发票”按钮。API 验证输入并在 Postgres 中存储发票。然后用队列处理“发送发票邮件”和“扣卡”。如果以后你要加分析、通知和欺诈检测,InvoiceCreated 事件流让每个功能订阅自己需要的部分,而无需把核心服务变成迷宫。
随着产品增长,事件不再是“可有可无”,而成为安全网。良好的事件设计归结为两个问题:你记录哪些事实?其他部分如何在不猜测的情况下做出反应?
从一小组业务事件开始。挑用户和金钱相关的重要时刻:UserSignedUp、EmailVerified、SubscriptionStarted、PaymentSucceeded、PasswordResetRequested。
名称会比代码存活更久。对已完成的事实用过去时,保持具体,避免使用 UI 用语。PaymentSucceeded 即便以后加入优惠券、重试或多支付提供商仍然有意义。
把事件当作契约。避免像“UserUpdated”这样把一堆字段塞进来的通配事件。尽量使用你能多年支持得住的最小事实。
为安全演进,优先添加式更改(新增可选字段)。若必须做破坏性变更,发布新事件名(或显式版本)并同时运行老事件,直到旧消费者全部迁移。
该存什么?如果你只保留数据库中的最新行,你就丢失了到达当前状态的故事。
原始事件适合审计、回放和调试。快照适合快速读取和快速恢复。许多 SaaS 产品同时使用二者:对关键工作流(计费、权限)存原始事件,并为面向用户的界面维护快照。
一致性通常表现为这样的时刻:“我改了方案,为什么还显示免费?”或“我发了邀请,为什么同事还登录不了?”
强一致意味着一旦你收到成功信息,所有界面都应立刻反映新状态。最终一致意味着变更会随时间传播,在短时间窗口内应用的不同部分可能不一致。两者都不是“更好”。你要根据不一致可能造成的损害来选择。
强一致通常适用于金钱、访问和安全:扣款、改密码、撤销 API key、执行座位限制。最终一致通常适用于活动流、搜索、分析仪表盘、“最后在线时间”和通知。
如果你接受陈旧,就要为它设计,而不是隐藏它。让 UI 诚实:写入后显示“正在更新……”直到确认到达,为列表提供手动刷新,并且只有在能干净回滚时才使用乐观 UI。
重试会让一致性变得棘手。网络会丢包,客户端会双击,worker 会重启。对重要操作,确保请求幂等,这样重复相同行为不会造成两张发票、两次邀请或两次退款。常见做法是每次操作一个幂等键,加上服务端规则以对重复请求返回原始结果。
当请求或事件到达速度超过系统处理能力时,你需要背压。没有背压时,工作会堆积在内存里,队列增长,而最慢的依赖(通常是数据库)会决定一切何时失败。
通俗地说:生产者一直发话,而消费者快要淹没。如果你继续接受更多工作,不只是变慢。你会触发超时和重试的连锁反应,从而将负载放大。
预警信号通常在故障前就能看见:滞后只会增长、流量突发后延迟飙升、重试随超时增加、一个依赖变慢导致无关端点失败,以及数据库连接数达到上限。
到达那个点时,为被装满时会发生什么定一个清晰规则。目标不是以任何代价处理所有事,而是保持存活并快速恢复。团队通常先选一两项控制措施:速率限制(按用户或 API key)、有界队列并定义丢弃/延迟策略、对失败依赖的断路器,以及优先级策略让交互请求胜出于后台任务。
先保护数据库。保持连接池小且可预测,设置查询超时,并对像临时报表这样的昂贵端点设定硬限制。
可靠性很少需要大改。通常来自一些决策,让故障可见、被限制并可恢复。
从会赢得或失去用户信任的流程开始,然后在增加功能前先加安全防护:
Map critical paths. 写出注册、登录、重置密码和任何支付流程的准确步骤。对每一步列出其依赖(数据库、邮件提供商、后台 worker)。这会迫使你明确什么必须是即时的,什么可以“最终一致”。
Add observability basics. 给每个请求一个能出现在日志中的 ID。跟踪少量与用户痛点匹配的指标:错误率、延迟、队列深度和慢查询。只有在请求跨服务时才加追踪。
Isolate slow or flaky work. 任何与外部服务通信或经常超过一秒的工作,都应移到任务与 worker。
Design for retries and partial failures. 假设会发生超时。使操作幂等,使用回退重试、设定时间限制,并保持面向用户的操作简短。
Practice recovery. 备份只有在你能恢复时才有意义。采用小规模发布并保留快速回滚路径。
如果你的工具支持快照与回滚(Koder.ai 就支持),把它们纳入常规部署习惯,而不是当作应急手段。
想象一个帮助团队引导新客户入职的小型 SaaS。流程很简单:用户注册、选择方案、付款并收到欢迎邮件和一些“开始使用”步骤。
在原型中,一切在同一个请求里完成:创建账户、扣款、把用户标为“已付费”、发送邮件。它可用,直到流量增加、重试发生、外部服务变慢。
为使之可靠,团队把关键动作改成事件并保持追加式历史。他们引入了几个事件:UserSignedUp、PaymentSucceeded、EntitlementGranted、WelcomeEmailRequested。这给了他们审计轨迹,让分析更容易,并允许慢速工作在后台完成而不阻塞注册。
一些选择能完成大部分工作:
PaymentSucceeded 授予权限,并使用明确的幂等键避免重试导致重复授权。\n- 从队列/worker 发送邮件,而不是在结账请求里直接发送。\n- 即便处理器失败也记录事件,这样可以回放并恢复。\n- 在外部提供商周围添加超时和断路器。如果支付成功但访问尚未授予,用户会感觉被欺骗。解决办法不是“到处完美一致”,而是决定哪些必须现在就一致,然后在 UI 中反映该决定,例如显示“正在激活你的方案”,直到 EntitlementGranted 到达。
糟糕的日子里,背压决定差别。若邮件 API 在一次营销活动中卡住,旧设计会在结账时超时,用户重试,造成重复扣款和重复邮件。在更好的设计中,结账成功,邮件请求排队,等提供商恢复后由回放任务清空积压。
大多数故障不是由某个英雄级 bug 引起的,而是来自在原型阶段合理但后来成为习惯的小决策。
常见陷阱之一是过早拆分微服务。你可能得到互相大量调用的服务、模糊的所有权,以及需要五次部署才能完成一次改动的局面。
另一个陷阱是把“最终一致”当作豁免。用户不关心术语,他们关心点击保存后页面为何显示旧数据,或发票状态来回切换。如果你接受延迟,你仍然需要用户反馈、超时处理和每个界面的“足够好”定义。
其他常见问题:发布事件却没有回放计划、无限重试在事故期间放大负载、以及让每个服务直接访问同一数据库模式导致一次变更破坏多个团队。
“生产就绪”是一组在凌晨两点你能指着说清楚的决策。清晰胜过花哨。
先命名你的事实来源。对每类关键数据(客户、订阅、发票、权限),决定最终记录存放在哪里。如果应用从两处读取“事实”,你迟早会向不同用户显示不同答案。
然后看重试。假设每个重要操作都会运行两次。如果同一请求命中系统两次,你能否避免重复扣款、重复发送或重复创建?
一个能捕捉大多数痛点的小清单:
把系统设计当作一小串选择而不是理论堆栈,扩展会容易得多。
写下未来一个月你预计会遇到的 3 到 5 个决策,用通俗语言:“我们把邮件发送移到后台作业吗?”“我们接受稍微陈旧的分析数据吗?”“哪些操作必须立即一致?”用这份清单让产品与工程对齐。
然后选择一个当前是同步的工作流,只把那一个转为异步。收据、通知、报表和文件处理是常见的第一步。发布前后测量两件事:面向用户的延迟(页面是否更快了?)和故障行为(重试是否造成重复或混乱?)。
如果你想快速原型这些改动,Koder.ai (koder.ai) 对于在保留回滚与快照的同时迭代 React + Go + PostgreSQL 的 SaaS 很有帮助。标准很简单:交付一项改进,从真实流量中学习,然后决定下一步。
一个原型回答的是“我们能做出来吗?”。SaaS 则必须回答“当用户、数据和故障出现时,它能持续运行吗?”\n\n最大的转变是为下列情况设计:\n\n- 慢或不稳定的依赖(邮件、支付、文件处理)\n- 重试与重复请求\n- 随着数据增长变得混乱的数据\n- 明确哪些事情必须始终正确,哪些可以有延迟
围绕你对用户的承诺划定边界,然后按影响给操作贴标签。\n\n先写下 必须每次都正确 的操作:\n\n- 扣款/退款\n- 访问控制与权限授予\n- 账户所有权与安全相关操作\n\n再标注 可以最终一致 的:\n\n- 分析计数\n- 搜索索引\n- 通知与活动流\n\n把它写下来作为简短决策,确保所有人按同一规则构建。
为每个“事实”选择一个记录且被视为最终来源的地方(对小型 SaaS 常见的是 Postgres)。那就是你的“事实来源”。\n\n所有其它数据都是为速度或便利而派生的(缓存、只读模型、搜索索引)。一个好测试是:如果派生数据错了,你能否不凭猜测地从事实来源重建它?
当用户需要即时结果且工作量很小时,使用请求-响应。\n\n当工作可以稍后完成或可能很慢时,迁移到异步:\n\n- 发送邮件\n- 扣款(通常在验证后)\n- 报表生成\n- 文件处理\n\n异步能让你的 API 保持快速,减少触发客户端重试的超时。
一个 队列 是待办列表:每个任务应由一个 worker 处理一次(可重试)。\n\n一个 流/日志 是按序记录事件:多个消费者可以回放它来构建功能或恢复数据。\n\n实用默认:\n\n- 背景任务(“发送欢迎邮件”)用队列\n- 需要回放或审计的业务事件(“PaymentSucceeded”)用流/日志
让重要操作变得幂等:重复同一个请求应返回同样的结果,而不是产生第二笔发票或扣款。\n\n常见模式:\n\n- 客户端为每次操作发送幂等键\n- 服务器按该键保存结果\n- 重复请求返回原始结果\n\n同时在可能的地方使用唯一约束(例如每个订单一张发票)。
发布一小组稳定的业务事实,用完成时命名,例如 PaymentSucceeded 或 SubscriptionStarted。\n\n好的事件应当:\n\n- 具体(避免“UserUpdated”这种万金油)\n- 可当作契约来对待\n- 易于演进(增加可选字段;若必须破坏性更改,发布新名称/版本)\n\n这样可以避免消费者去猜测发生了什么。
你需要背压的警示信号常见包括:\n\n- 队列积压持续增长\n- 流量突发或部署后延迟急剧上升\n- 因超时导致重试增多\n- 某个慢依赖导致无关端点失败\n- 数据库连接数到达上限\n\n优先实施的控制措施:\n\n- 每用户/每 API key 的速率限制\n- 有界队列(并定义丢弃/延迟策略)\n- 针对失败依赖的断路器\n- 优先级策略让交互请求优先于后台任务
从匹配用户痛点的基础可观测性开始:\n\n- 每个请求都有一个能贯穿日志的请求 ID\n- 指标:错误率、延迟、队列深度、慢查询\n- 针对队列设置“最旧消息年龄”的告警(不仅仅看大小)\n\n只有在请求跨服务时才添加追踪;别在还不清楚目标前就无差别地埋点。
“生产就绪”是你能在凌晨两点明确指出一系列决策的状态。清晰比聪明更重要。\n\n检查清单示例:\n\n- 对每种关键数据类型,能指出事实来源在哪里\n- 每个重要写操作都能安全重试(幂等键或唯一约束)\n- 异步工作被限制并监控(滞后/最旧消息年龄)\n- 能快速回滚发布\n- 能从备份恢复,因为你练习过恢复流程\n\n如果你的平台支持快照与回滚(比如 Koder.ai),把它们作为常规发布习惯,而不是仅在事故时使用。