限流与熔断：系统自我保护的本能

双十一的零点，流量像洪水一样涌来。没有限流的系统会被瞬间淹没，没有熔断的系统会让一个服务的故障拖垮整个集群。限流和熔断是系统自我保护的本能，是高可用架构的基石。限流是控制入口的流量，防止系统过载；熔断是切断故障的传播，防止雪崩效应。两者共同守护系统的稳定，让系统在极端情况下依然能够提供服务。它们就像人体的免疫系统，在危险来临时自动启动保护机制。

限流的核心思想是：系统的处理能力是有限的，超过这个限度就会崩溃。与其让系统在过载时全面崩溃，不如主动拒绝部分请求，保证核心功能可用。限流算法有多种选择。令牌桶算法维护一个令牌桶，以恒定速率向桶中放入令牌，请求需要获取令牌才能通过，桶满时令牌溢出。令牌桶允许一定程度的突发流量：如果桶中有足够的令牌，突发请求可以立即通过。漏桶算法则以恒定速率处理请求，无论流量如何波动，输出速率始终平滑。漏桶适合需要严格控制速率的场景，令牌桶适合允许突发流量的场景。还有计数器算法、滑动窗口算法等，各有优劣，需要根据具体场景选择。

Alibaba的Sentinel是限流熔断领域的集大成者。Sentinel不仅支持QPS限流、并发线程数限流，还支持基于调用关系的限流：可以针对特定来源、特定资源进行限流。Sentinel的实时监控能力让运维人员可以看到每个资源的QPS、响应时间、异常比例，动态调整限流规则。在阿里巴巴的电商系统中，Sentinel保护了数千个应用，在双十一期间成功抵御了流量洪峰。Sentinel的设计哲学是：限流不是简单地拒绝请求，而是智能地保护系统，在保证核心功能的前提下，尽可能多地服务用户。它支持多种限流策略：直接拒绝、匀速排队、冷启动等，可以根据业务特点灵活选择。Sentinel还支持热点参数限流，可以针对特定参数值进行限流，比如限制某个热门商品的访问频率。

熔断器的灵感来自电路中的保险丝。当电流过大时，保险丝自动熔断，切断电路，保护电器不被烧毁。在软件系统中，当下游服务的失败率超过阈值，熔断器自动打开，后续请求直接返回降级结果，不再尝试调用故障服务。这样做有两个好处：一是避免无谓的等待，快速失败比慢慢超时更好；二是给故障服务恢复的时间，减少其压力。熔断器有三个状态：关闭、打开、半开。关闭状态下正常调用服务；打开状态下直接返回降级结果；半开状态下尝试少量请求，如果成功则恢复关闭状态，如果失败则继续打开。这种状态机设计让系统能够自动恢复，无需人工干预。

Hystrix是Netflix开源的熔断器库，虽然已停止维护，但它开创的理念影响深远。Hystrix的核心是隔离：每个依赖服务使用独立的线程池，一个服务的故障不会耗尽整个应用的线程。Hystrix还提供了优雅的降级机制：当服务不可用时，可以返回缓存数据、默认值或友好的错误信息，而不是让用户看到冰冷的500错误。Hystrix的继任者Resilience4j、Sentinel等框架继承了这些理念，并做了进一步优化。它们提供了更轻量级的实现，更好的性能，更灵活的配置。Resilience4j采用函数式编程风格，可以方便地组合多种弹性模式。

限流和熔断的策略需要根据业务特点精心设计。对于核心功能，限流阈值应该设置得高一些，保证可用性；对于次要功能，可以设置得低一些，优先保证核心功能。熔断的阈值也需要仔细调整：太敏感会导致误熔断，太迟钝则起不到保护作用。一个好的策略是：根据历史数据设置基线，在此基础上留出一定余量，并根据实时监控动态调整。压力测试是必不可少的，只有在真实的压力下，才能验证限流和熔断策略是否有效。

降级是限流和熔断的补充。当系统压力过大时，主动关闭一些次要功能，保证核心功能可用。比如电商系统在大促期间可以关闭评论、推荐等功能，集中资源保证下单和支付。降级可以是自动的，也可以是手动的。自动降级根据系统指标（如CPU、内存、响应时间）触发；手动降级由运维人员根据实际情况决策。降级需要提前规划：哪些功能可以降级？降级后的用户体验如何？如何快速恢复？这些都需要在平时就考虑清楚，不能等到故障发生时才临时决策。

系统的健壮性不在于永不出错，而在于出错时能优雅降级。限流、熔断、降级是系统韧性的三大支柱，它们让系统在面对流量洪峰、服务故障、资源不足时，依然能够保持核心功能可用。这种自我保护的能力，是高可用架构的精髓。就像生物体的免疫系统，它不能阻止所有病原体的入侵，但能在入侵发生时迅速响应，将损害控制在最小范围。架构设计的最高境界，是让系统具备自愈能力。限流和熔断不仅是技术手段，更是一种设计哲学。它们告诉我们：系统要有自知之明，知道自己的能力边界；系统要有自我保护意识，在危险来临时主动防御；系统要有取舍智慧，知道什么是核心什么是次要。

这种哲学可以推广到架构设计的各个方面。一个好的架构，应该像一个有机体，能够感知环境的变化，能够自我调节和适应，能够在逆境中生存。