大促期间,反向海淘系统要扛住三股压力叠加:外部依赖(1688 API、淘宝API)响应变慢甚至超时、下游服务(仓储、物流)因订单暴增处理能力下降、自身服务在高并发下线程池被占满。任何一个环节出故障,都可能像多米诺骨&牌一样,引发级联效应,让整个系统直接崩掉。
举个例子,Taocarts系统在2025年黑五大促中,1688 API因为请求量过大出现了间歇性超时,超时率一度飙到15%。当时没有熔断保护,这些超时请求一直占着Tomcat线程池不放,结果正常请求也被堵住了,最终引发了部分服务不可用的雪崩。经历过这次教训,大家都清楚——得赶紧做防护。
二、Sentinel熔断降级方案
我们最终选择了阿里云Sentinel作为服务治理框架,从流量控制、熔断降级、系统负载保护三个维度搭建防护体系。说白了,就是给系统装上三道保险。
流量控制(限流)
先看限流。订单创建接口如果涌进来太多请求,不能照单全收——得设一个上限。比如单机QPS限制在500,而且考虑到流量突增,开启预热(Warm Up)模式,让限流规则在10秒内逐渐生效,避免直接一刀切把正常请求也砍了。
另外,调用1688采购接口也得限流。一方面是保护我们自己,另一方面也是防止触发1688的反爬机制。这里的QPS上限设得比较低,只有50。规则配置起来也很简单:
@Component
public class SentinelConfig {
@PostConstruct
public void initFlowRules() {
// 订单创建接口限流:单机QPS上限500
FlowRule orderFlowRule = new FlowRule();
orderFlowRule.setResource("order:create");
orderFlowRule.setGrade(RuleConstant.FLOW_GRADE_QPS);
orderFlowRule.setCount(500);
orderFlowRule.setControlBeha vior(RuleConstant.CONTROL_BEHA VIOR_WARM_UP);
orderFlowRule.setWarmUpPeriodSec(10);
// 1688采购接口限流:防止触发1688反爬
FlowRule purchaseFlowRule = new FlowRule();
purchaseFlowRule.setResource("purchase:1688");
purchaseFlowRule.setGrade(RuleConstant.FLOW_GRADE_QPS);
purchaseFlowRule.setCount(50);
FlowRuleManager.loadRules(Arrays.asList(orderFlowRule, purchaseFlowRule));
}
}
熔断降级
限流只是第一关。更严重的场景是:外部API已经出现异常了,这时候光限流没用,得直接熔断,把有问题的调用快速失败。Sentinel提供的 @SentinelResource 注解可以同时配置熔断降级和限流降级方法。看一个采购服务的示例:
@Service
@Slf4j
public class PurchaseService {
@SentinelResource(value = "purchase:1688",
fallback = "purchaseFallback",
blockHandler = "purchaseBlockHandler")
public PurchaseResult purchaseFrom1688(Long orderId, Long productId, Integer quantity) {
// 调用1688 API
return alibabaApiClient.createOrder(productId, quantity);
}
// 熔断降级方法:当1688 API超时或异常率过高时触发
public PurchaseResult purchaseFallback(Long orderId, Long productId, Integer quantity, Throwable ex) {
log.warn("1688采购降级,订单号:{},原因:{}", orderId, ex.getMessage());
// 降级方案:存入待处理队列,人工后续处理
pendingPurchaseService.sa ve(orderId, productId, quantity);
return PurchaseResult.pending("采购排队中,稍后处理");
}
// 限流降级方法:QPS超限时触发
public PurchaseResult purchaseBlockHandler(Long orderId, Long productId, Integer quantity, BlockException ex) {
log.warn("1688采购限流,订单号:{}", orderId);
return PurchaseResult.pending("系统繁忙,请稍后重试");
}
}
关键在哪里?fallback 是针对业务异常的降级(比如API超时、返回错误),而 blockHandler 是针对流量控制的降级(被限流时触发)。两个方法各自处理不同的情况,降级结果都返回一个“排队中”的提示,把任务丢进待处理队列,让系统继续跑下去。
系统级保护
除了接口级别,还得从全局做保护。当整个机器的CPU使用率超过80%,或者系统负载过高时,Sentinel可以自动降低系统吞吐量,防止雪崩。配置如下:
@Configuration
public class SystemGuardConfig {
@PostConstruct
public void initSystemRules() {
// CPU使用率超过80%时触发系统保护
SystemRule systemRule = new SystemRule();
systemRule.setHighestCpuUsage(0.8);
systemRule.setHighestSystemLoad(3.0);
systemRule.setA vgRt(1000);
SystemRuleManager.loadRules(Collections.singletonList(systemRule));
}
}
三、熔断降级效果
这套Sentinel防护体系在黑五大促中的表现相当直观:
- 1688 API超时率从15%降到了2%。熔断机制把超时请求快速失败,不再傻等。
- 订单接口P99延迟从850ms降到了220ms。限流保护了线程池不被耗尽,正常请求不再被拖累。
- 系统可用性大促全程保持在99.95%以上,没有出现任何雪崩事件。
现在,Sentinel服务治理方案已经在Taocarts跨境电商独立站系统全面落地,成了保障大促稳定性的核心基础设施。一句话总结:熔断降级不是锦上添花,而是大促期间的系统“安全带”。
