摘要：電商的秒殺和搶購，從技術的角度來說，會對 Web 系統(tǒng)產生巨大的考驗。本期《問底》，徐漢彬將帶大家關注秒殺和搶購的技術實現(xiàn)和優(yōu)化，同時，從技術層面揭開，為什么我們總是不容易搶到火車票的原因。
　　【導讀】徐漢彬曾在阿里巴巴和騰訊從事 4 年多的技術研發(fā)工作，負責過日請求量過億的 Web 系統(tǒng)升級與重構，目前在小滿科技創(chuàng)業(yè)，從事 SaaS 服務技術建設。
　　 
　　電商的秒殺和搶購，對我們來說，都不是一個陌生的東西。然而，從技術的角度來說，這對于 Web 系統(tǒng)是一個巨大的考驗。當一個 Web 系統(tǒng)，在一秒鐘內收到數(shù)以萬計甚至更多請求時，系統(tǒng)的優(yōu)化和穩(wěn)定至關重要。這次我們會關注秒殺和搶購的技術實現(xiàn)和優(yōu)化，同時，從技術層面揭開，為什么我們總是不容易搶到火車票的原因？
　　一、大規(guī)模并發(fā)帶來的挑戰(zhàn)
　　在過去的工作中，我曾經面對過 5w 每秒的高并發(fā)秒殺功能，在這個過程中，整個 Web 系統(tǒng)遇到了很多的問題和挑戰(zhàn)。如果 Web 系統(tǒng)不做針對性的優(yōu)化，會輕而易舉地陷入到異常狀態(tài)。我們現(xiàn)在一起來討論下，優(yōu)化的思路和方法哈。
　　1. 請求接口的合理設計
　　一個秒殺或者搶購頁面，通常分為 2 個部分，一個是靜態(tài)的 HTML 等內容，另一個就是參與秒殺的 Web 后臺請求接口。
　　通常靜態(tài) HTML 等內容，是通過 CDN 的部署，一般壓力不大，核心瓶頸實際上在后臺請求接口上。這個后端接口，必須能夠支持高并發(fā)請求，同時，非常重要的一點，必須盡可能 " 快 "，在最短的時間里返回用戶的請求結果。為了實現(xiàn)盡可能快這一點，接口的后端存儲使用內存級別的操作會更好一點。仍然直接面向 MySQL 之類的存儲是不合適的，如果有這種復雜業(yè)務的需求，都建議采用異步寫入。
　　當然，也有一些秒殺和搶購采用 " 滯后反饋 "，就是說秒殺當下不知道結果，一段時間后才可以從頁面中看到用戶是否秒殺成功。但是，這種屬于 " 偷懶 " 行為，同時給用戶的體驗也不好，容易被用戶認為是 " 暗箱操作 "。
　　2. 高并發(fā)的挑戰(zhàn)：一定要 " 快 "
　　我們通常衡量一個 Web 系統(tǒng)的吞吐率的指標是 QPS（Query Per Second，每秒處理請求數(shù)），解決每秒數(shù)萬次的高并發(fā)場景，這個指標非常關鍵。舉個例子，我們假設處理一個業(yè)務請求平均響應時間為 100ms，同時，系統(tǒng)內有 20 臺 Apache 的 Web 服務器，配置 MaxClients 為 500 個（表示 Apache 的最大連接數(shù)目）。
　　那么，我們的 Web 系統(tǒng)的理論峰值 QPS 為（理想化的計算方式）：
　　20*500/0.1 = 100000 （10 萬 QPS）
　　咦？我們的系統(tǒng)似乎很強大，1 秒鐘可以處理完 10 萬的請求，5w/s 的秒殺似乎是 " 紙老虎 " 哈。實際情況，當然沒有這么理想。在高并發(fā)的實際場景下，機器都處于高負載的狀態(tài)，在這個時候平均響應時間會被大大增加。
　　就 Web 服務器而言，Apache 打開了越多的連接進程，CPU 需要處理的上下文切換也越多，額外增加了 CPU 的消耗，然后就直接導致平均響應時間增加。因此上述的 MaxClient 數(shù)目，要根據(jù) CPU、內存等硬件因素綜合考慮，絕對不是越多越好。可以通過 Apache 自帶的 abench 來測試一下，取一個合適的值。然后，我們選擇內存操作級別的存儲的 Redis，在高并發(fā)的狀態(tài)下，存儲的響應時間至關重要。網絡帶寬雖然也是一個因素，不過，這種請求數(shù)據(jù)包一般比較小，一般很少成為請求的瓶頸。負載均衡成為系統(tǒng)瓶頸的情況比較少，在這里不做討論哈。
　　那么問題來了，假設我們的系統(tǒng)，在 5w/s 的高并發(fā)狀態(tài)下，平均響應時間從 100ms 變?yōu)?nbsp;250ms（實際情況，甚至更多）：
　　20*500/0.25 = 40000 （4 萬 QPS）
　　于是，我們的系統(tǒng)剩下了 4w 的 QPS，面對 5w 每秒的請求，中間相差了 1w。
　　然后，這才是真正的惡夢開始。舉個例子，高速路口，1 秒鐘來 5 部車，每秒通過 5 部車，高速路口運作正常。突然，這個路口 1 秒鐘只能通過 4 部車，車流量仍然依舊，結果必定出現(xiàn)大塞車。（5 條車道忽然變成 4 條車道的感覺）
　　同理，某一個秒內，20*500 個可用連接進程都在滿負荷工作中，卻仍然有 1 萬個新來請求，沒有連接進程可用，系統(tǒng)陷入到異常狀態(tài)也是預期之內。
　　其實在正常的非高并發(fā)的業(yè)務場景中，也有類似的情況出現(xiàn)，某個業(yè)務請求接口出現(xiàn)問題，響應時間極慢，將整個 Web 請求響應時間拉得很長，逐漸將 Web 服務器的可用連接數(shù)占滿，其他正常的業(yè)務請求，無連接進程可用。
　　更可怕的問題是，是用戶的行為特點，系統(tǒng)越是不可用，用戶的點擊越頻繁，惡性循環(huán)最終導致 " 雪崩 "（其中一臺 Web 機器掛了，導致流量分散到其他正常工作的機器上，再導致正常的機器也掛，然后惡性循環(huán)），將整個 Web 系統(tǒng)拖垮。
　　3. 重啟與過載保護
　　如果系統(tǒng)發(fā)生 " 雪崩 "，貿然重啟服務，是無法解決問題的。最常見的現(xiàn)象是，啟動起來后，立刻掛掉。這個時候，最好在入口層將流量拒絕，然后再將重啟。如果是 redis/memcache 這種服務也掛了，重啟的時候需要注意 " 預熱 "，并且很可能需要比較長的時間。
　　秒殺和搶購的場景，流量往往是超乎我們系統(tǒng)的準備和想象的。這個時候，過載保護是必要的。如果檢測到系統(tǒng)滿負載狀態(tài)，拒絕請求也是一種保護措施。在前端設置過濾是最簡單的方式，但是，這種做法是被用戶 " 千夫所指 " 的行為。更合適一點的是，將過載保護設置在 CGI 入口層，快速將客戶的直接請求返回。
　　二、作弊的手段：進攻與防守
　　秒殺和搶購收到了 " 海量 " 的請求，實際上里面的水分是很大的。不少用戶，為了 " 搶 " 到商品，會使用 " 刷票工具 " 等類型的輔助工具，幫助他們發(fā)送盡可能多的請求到服務器。還有一部分高級用戶，制作強大的自動請求腳本。這種做法的理由也很簡單，就是在參與秒殺和搶購的請求中，自己的請求數(shù)目占比越多，成功的概率越高。
　　這些都是屬于 " 作弊的手段 "，不過，有 " 進攻 " 就有 " 防守 "，這是一場沒有硝煙的戰(zhàn)斗哈。
　　1. 同一個賬號，一次性發(fā)出多個請求
　　部分用戶通過瀏覽器的插件或者其他工具，在秒殺開始的時間里，以自己的賬號，一次發(fā)送上百甚至更多的請求。實際上，這樣的用戶破壞了秒殺和搶購的公平性。
　　這種請求在某些沒有做數(shù)據(jù)安全處理的系統(tǒng)里，也可能造成另外一種破壞，導致某些判斷條件被繞過。例如一個簡單的領取邏輯，先判斷用戶是否有參與記錄，如果沒有則領取成功，最后寫入到參與記錄中。這是個非常簡單的邏輯，但是，在高并發(fā)的場景下，存在深深的漏洞。多個并發(fā)請求通過負載均衡服務器，分配到內網的多臺 Web 服務器，它們首先向存儲發(fā)送查詢請求，然后，在某個請求成功寫入?yún)⑴c記錄的時間差內，其他的請求獲查詢到的結果都是 " 沒有參與記錄 "。這里，就存在邏輯判斷被繞過的風險。
　　應對方案：
　　在程序入口處，一個賬號只允許接受 1 個請求，其他請求過濾。不僅解決了同一個賬號，發(fā)送 N 個請求的問題，還保證了后續(xù)的邏輯流程的安全。實現(xiàn)方案，可以通過 Redis 這種內存緩存服務，寫入一個標志位（只允許 1 個請求寫成功，結合 watch 的樂觀鎖的特性），成功寫入的則可以繼續(xù)參加。
　　或者，自己實現(xiàn)一個服務，將同一個賬號的請求放入一個隊列中，處理完一個，再處理下一個。
　　2. 多個賬號，一次性發(fā)送多個請求
　　很多公司的賬號注冊功能，在發(fā)展早期幾乎是沒有限制的，很容易就可以注冊很多個賬號。因此，也導致了出現(xiàn)了一些特殊的工作室，通過編寫自動注冊腳本，積累了一大批 " 僵尸賬號 "，數(shù)量龐大，幾萬甚至幾十萬的賬號不等，專門做各種刷的行為（這就是微博中的 " 僵尸粉 " 的來源）。舉個例子，例如微博中有轉發(fā)抽獎的活動，如果我們使用幾萬個 " 僵尸號 " 去混進去轉發(fā)，這樣就可以大大提升我們中獎的概率。
　　這種賬號，使用在秒殺和搶購里，也是同一個道理。例如，iPhone 官網的搶購，火車票黃牛黨。
　　這種場景，可以通過檢測指定機器 IP 請求頻率就可以解決，如果發(fā)現(xiàn)某個 IP 請求頻率很高，可以給它彈出一個驗證碼或者直接禁止它的請求：
　　彈出驗證碼，最核心的追求，就是分辨出真實用戶。因此，大家可能經常發(fā)現(xiàn)，網站彈出的驗證碼，有些是 " 鬼神亂舞 " 的樣子，有時讓我們根本無法看清。他們這樣做的原因，其實也是為了讓驗證碼的圖片不被輕易識別，因為強大的 " 自動腳本 " 可以通過圖片識別里面的字符，然后讓腳本自動填寫驗證碼。實際上，有一些非常創(chuàng)新的驗證碼，效果會比較好，例如給你一個簡單問題讓你回答，或者讓你完成某些簡單操作（例如百度貼吧的驗證碼）。
　　直接禁止 IP，實際上是有些粗暴的，因為有些真實用戶的網絡場景恰好是同一出口 IP 的，可能會有 " 誤傷 "。但是這一個做法簡單高效，根據(jù)實際場景使用可以獲得很好的效果。
　　3. 多個賬號，不同 IP 發(fā)送不同請求
　　所謂道高一尺，魔高一丈。有進攻，就會有防守，永不休止。這些 " 工作室 "，發(fā)現(xiàn)你對單機 IP 請求頻率有控制之后，他們也針對這種場景，想出了他們的 " 新進攻方案 "，就是不斷改變 IP。
　　有同學會好奇，這些隨機 IP 服務怎么來的。有一些是某些機構自己占據(jù)一批獨立 IP，然后做成一個隨機代理 IP 的服務，有償提供給這些 " 工作室 " 使用。還有一些更為黑暗一點的，就是通過木馬黑掉普通用戶的電腦，這個木馬也不破壞用戶電腦的正常運作，只做一件事情，就是轉發(fā) IP 包，普通用戶的電腦被變成了 IP 代理出口。通過這種做法，黑客就拿到了大量的獨立 IP，然后搭建為隨機 IP 服務，就是為了掙錢。
　　說實話，這種場景下的請求，和真實用戶的行為，已經基本相同了，想做分辨很困難。再做進一步的限制很容易 " 誤傷 " 真實用戶，這個時候，通常只能通過設置業(yè)務門檻高來限制這種請求了，或者通過賬號行為的 " 數(shù)據(jù)挖掘 " 來提前清理掉它們。
　　僵尸賬號也還是有一些共同特征的，例如賬號很可能屬于同一個號碼段甚至是連號的，活躍度不高，等級低，資料不全等等。根據(jù)這些特點，適當設置參與門檻，例如限制參與秒殺的賬號等級。通過這些業(yè)務手段，也是可以過濾掉一些僵尸號。
　　4. 火車票的搶購
　　看到這里，同學們是否明白你為什么搶不到火車票？如果你只是老老實實地去搶票，真的很難。通過多賬號的方式，火車票的黃牛將很多車票的名額占據(jù)，部分強大的黃牛，在處理驗證碼方面，更是 " 技高一籌 "。
　　高級的黃牛刷票時，在識別驗證碼的時候使用真實的人，中間搭建一個展示驗證碼圖片的中轉軟件服務，真人瀏覽圖片并填寫下真實驗證碼，返回給中轉軟件。對于這種方式，驗證碼的保護限制作用被廢除了，目前也沒有很好的解決方案。
　　因為火車票是根據(jù)身份證實名制的，這里還有一個火車票的轉讓操作方式。大致的操作方式，是先用買家的身份證開啟一個搶票工具，持續(xù)發(fā)送請求，黃牛賬號選擇退票，然后黃牛買家成功通過自己的身份證購票成功。當一列車廂沒有票了的時候，是沒有很多人盯著看的，況且黃牛們的搶票工具也很強大，即使讓我們看見有退票，我們也不一定能搶得過他們哈。
　　最終，黃牛順利將火車票轉移到買家的身份證下。
　　解決方案：
　　并沒有很好的解決方案，唯一可以動心思的也許是對賬號數(shù)據(jù)進行 " 數(shù)據(jù)挖掘 "，這些黃牛賬號也是有一些共同特征的，例如經常搶票和退票，節(jié)假日異常活躍等等。將它們分析出來，再做進一步處理和甄別。
　　三、高并發(fā)下的數(shù)據(jù)安全
　　我們知道在多線程寫入同一個文件的時候，會存現(xiàn) " 線程安全 " 的問題（多個線程同時運行同一段代碼，如果每次運行結果和單線程運行的結果是一樣的，結果和預期相同，就是線程安全的）。如果是 MySQL 數(shù)據(jù)庫，可以使用它自帶的鎖機制很好的解決問題，但是，在大規(guī)模并發(fā)的場景中，是不推薦使用 MySQL 的。秒殺和搶購的場景中，還有另外一個問題，就是 " 超發(fā) "，如果在這方面控制不慎，會產生發(fā)送過多的情況。我們也曾經聽說過，某些電商搞搶購活動，買家成功拍下后，商家卻不承認訂單有效，拒絕發(fā)貨。這里的問題，也許并不一定是商家奸詐，而是系統(tǒng)技術層面存在超發(fā)風險導致的。
　　1. 超發(fā)的原因
　　假設某個搶購場景中，我們一共只有 100 個商品，在最后一刻，我們已經消耗了 99 個商品，僅剩最后一個。這個時候，系統(tǒng)發(fā)來多個并發(fā)請求，這批請求讀取到的商品余量都是 99 個，然后都通過了這一個余量判斷，最終導致超發(fā)。（同文章前面說的場景）
　　在上面的這個圖中，就導致了并發(fā)用戶 B 也 " 搶購成功 "，多讓一個人獲得了商品。這種場景，在高并發(fā)的情況下非常容易出現(xiàn)。
　　2. 悲觀鎖思路
　　解決線程安全的思路很多，可以從 " 悲觀鎖 " 的方向開始討論。
　　悲觀鎖，也就是在修改數(shù)據(jù)的時候，采用鎖定狀態(tài)，排斥外部請求的修改。遇到加鎖的狀態(tài)，就必須等待。
　　雖然上述的方案的確解決了線程安全的問題，但是，別忘記，我們的場景是 " 高并發(fā) "。也就是說，會很多這樣的修改請求，每個請求都需要等待 " 鎖 "，某些線程可能永遠都沒有機會搶到這個 " 鎖 "，這種請求就會死在那里。同時，這種請求會很多，瞬間增大系統(tǒng)的平均響應時間，結果是可用連接數(shù)被耗盡，系統(tǒng)陷入異常。
　　3. FIFO 隊列思路
　　那好，那么我們稍微修改一下上面的場景，我們直接將請求放入隊列中的，采用 FIFO（First Input First Output，先進先出），這樣的話，我們就不會導致某些請求永遠獲取不到鎖。看到這里，是不是有點強行將多線程變成單線程的感覺哈。
　　然后，我們現(xiàn)在解決了鎖的問題，全部請求采用 " 先進先出 " 的隊列方式來處理。那么新的問題來了，高并發(fā)的場景下，因為請求很多，很可能一瞬間將隊列內存 " 撐爆 "，然后系統(tǒng)又陷入到了異常狀態(tài)。或者設計一個極大的內存隊列，也是一種方案，但是，系統(tǒng)處理完一個隊列內請求的速度根本無法和瘋狂涌入隊列中的數(shù)目相比。也就是說，隊列內的請求會越積累越多，最終 Web 系統(tǒng)平均響應時候還是會大幅下降，系統(tǒng)還是陷入異常。
　　4. 樂觀鎖思路
　　這個時候，我們就可以討論一下 " 樂觀鎖 " 的思路了。樂觀鎖，是相對于 " 悲觀鎖 " 采用更為寬松的加鎖機制，大都是采用帶版本號（Version）更新。實現(xiàn)就是，這個數(shù)據(jù)所有請求都有資格去修改，但會獲得一個該數(shù)據(jù)的版本號，只有版本號符合的才能更新成功，其他的返回搶購失敗。這樣的話，我們就不需要考慮隊列的問題，不過，它會增大 CPU 的計算開銷。但是，綜合來說，這是一個比較好的解決方案。
　　有很多軟件和服務都 " 樂觀鎖 " 功能的支持，例如 Redis 中的 watch 就是其中之一。通過這個實現(xiàn)，我們保證了數(shù)據(jù)的安全。
　　四、小結
　　互聯(lián)網正在高速發(fā)展，使用互聯(lián)網服務的用戶越多，高并發(fā)的場景也變得越來越多。電商秒殺和搶購，是兩個比較典型的互聯(lián)網高并發(fā)場景。雖然我們解決問題的具體技術方案可能千差萬別，但是遇到的挑戰(zhàn)卻是相似的，因此解決問題的思路也異曲同工。
　　更多《問底》內容
　　《問底》是 CSDN 云計算頻道新建欄目，以實踐為本，分享個人對于新時代軟件架構與研發(fā)的深刻見解。在含有 "【問底】" 字樣標題的文章中，你會看到某個國外 IT 巨頭的架構分享，會看到國內資深工程師對某個技術的實踐總結，更會看到一系列關于某個新技術的探索。《問底》邀請對技術具有獨特 / 深刻見解的你一起打造一片只屬于技術的天空，詳情可郵件至zhonghao@csdn.net。
　　CSDN 誠邀您參加中國大數(shù)據(jù)有獎大調查活動，只需回答 23 個問題就有機會獲得最高價值 2700 元的大獎（共 10 個）， 速度參與進來吧！
　　全國大數(shù)據(jù)創(chuàng)新項目評選活動目前也在如火如荼進行中，詳情點擊這里。
　　2014 中國大數(shù)據(jù)技術大會（Big Data Technology Conference 2014，BDTC 2014）將于 2014 年 12 月 12 日 -14 日在北京新云南皇冠假日酒店召開。傳承自 2008 年，歷經七屆沉淀，" 中國大數(shù)據(jù)技術大會 " 是目前國內最具影響、規(guī)模最大的大數(shù)據(jù)領域技術盛會。本屆會議，你不僅可以了解到 Apache Hadoop 提交者 Uma Maheswara Rao G（兼項目管理委員會成員）、Yi Liu，以及 Apache Hadoop 和 Tez 項目管理委員會成員 Bikas Saha 等分享的通用大數(shù)據(jù)開源項目的最新成果和發(fā)展趨勢，還將斬獲來自騰訊、阿里、Cloudera、LinkedIn、網易等機構的數(shù)十場干貨分享。當下門票團購還有些許優(yōu)惠， 預購從速。
原文地址：http://iphone.myzaker.com/l.php?l=547d1be81bc8e0ae578b4569