前言
最近已经放假了,但是一直在忙一个很重要的自己的一个项目,用 JavaFX 和一个大数据组件联合开发一个功能,也算不枉我学了一次 JavaFX,收获很大,JavaFX 它作为一个 GUI 开发语言,本质还是 Java,所以很好的锻炼了我的 Java 水平、抽象能力 … 平常看似简单的一些概念用到实际应用当中才发现了其中的坑点,比如怎么封装、什么时候用 static 关键字、静态资源怎么放、哪些要反复利用的东西需要抽象成一个 pojo、什么情况下需要定义接口 … 总之收获很大。
今天赶紧继续开始大数据组件的学习,Flink 已经停了好长一段时间了,开干开干。
容错机制
流式数据连续不断地到来,无休无止;所以流处理程序也是持续运行的,并没有一个明确的结束退出时间。机器运行程序,996 起来当然比人要容易得多,不过希望“永远运行”也是不切实际的。因为各种硬件软件的原因,运行一段时间后程序可能异常退出、机器可能宕机,如果我们只依赖一台机器来运行,就会使得任务的处理被迫中断。
一个解决方案就是多台机器组成集群,以“分布式架构”来运行程序。这样不仅扩展了系统的并行处理能力,而且可以解决单点故障的问题,从而大大提高系统的稳定性和可用性。在分布式架构中,当某个节点出现故障,其他节点基本不受影响。这时只需要重启应用,恢复之前某个时间点的状态继续处理就可以了。这一切看似简单,可是在实时流处理中,我们不仅需要保证故障后能够重启继续运行,还要保证结果的正确性、故障恢复的速度、对处理性能的影响,这就需要在架构上做出更加精巧的设计。
在 Flink 中,有一套完整的容错机制(fault tolerance)来保证故障后的恢复,其中最重要的就是检查点(checkpoint),类似与我们之前学习的 Spark ,它也有检查点来提供容错,学完我们对比一下它们究竟有啥不同。
1、检查点(checkpoint)
在流处理中,我们可以用存档的思路,将之前某个时间点的状态保存下来,这份存档就是我们所谓的“检查点”。就像我们学大数据专业时候安装虚拟机的过程,虚拟机的快照功能可以帮助我们恢复到我们机器之前的状态。
我们知道在有状态的流处理中,任务继续处理新数据,并不需要“之前的计算结果”,而是需要任务“之前的状态”。比如假设我们有一个长度为 10 的滑动窗口,它的滑动步长是 5 ,任务是求sum。当机器故障时,我们重启应用,这时候我们的任务会创建新的窗口处理新的数据,我们知道滑动窗口会在每个步长处触发一次计算,所以当我们的窗口到达一个步长时,它的窗口范围是 [-5,5),而[-5,0) 的数据在历史状态(检查点)中保存着,而且上一个窗口的计算结果我们无法利用,因为它计算的是 [-10,0) 内的数据,所以说我们并不需要“之前的计算结果”,而是需要任务“之前的状态”。
遇到故障重启的时候,我们可以从检查点中“读档”,恢复出之前的状态,这样就可以回到当时保存的一刻接着处理数据了。
检查点是 Flink 容错机制的核心。这里所谓的“检查”,其实是针对故障恢复的结果而言的:故障恢复之后继续处理的结果,应该与发生故障前完全一致,我们需要“检查”结果的正确性。所以,有时又会把 checkpoint 叫作“一致性检查点”。
1.1、检查点的保存
什么时候进行检查点的保存呢?最理想的情况下,我们应该“随时”保存,也就是每处理完一个数据就保存一下当前的状态;这样如果在处理某条数据时出现故障,我们只要回到上一个数据处理完之后的状态,然后重新处理一遍这条数据就可以。这样重复处理的数据最少,完全没有多余操作,可以做到最低的延迟。然而实际情况不会这么完美。
(1)周期性的触发保存
“随时存档”确实恢复起来方便,但是需要我们不停地做存档操作,那不是闲得蛋疼嘛。如果每处理一条数据就进行检查点的保存,当大量数据同时到来时,就会耗费很多资源来频繁做检查点,影响应用处理数据的性能,数据处理的速度就会受到影响。所以更好的方式是,每隔一段时间去做一次存档,这样既不会影响数据的正常处理,也不会有太大的延迟——毕竟故障恢复的情况不是随时发生的。在 Flink 中,检查点的保存是周期性触发的,间隔时间可以进行设置。
所以检查点作为应用状态的一份“存档”,其实就是所有任务状态在同一时间点的一个“快照”(snapshot),它的触发是周期性的。具体来说,当每隔一段时间检查点保存操作被触发时,就把每个任务当前的状态复制一份,按照一定的逻辑结构放在一起持久化保存起来,就构成了检查点。
(2)保存的时间点
这里有一个关键问题:当检查点的保存被触发时,任务有可能正在处理某个数据,这时该怎么办呢?最简单的想法是,可以在某个时刻“按下暂停键”,让所有任务停止处理数据。这样状态就不再更改,大家可以一起复制保存;保存完毕之后,再同时恢复数据处理就可以了。然而仔细思考就会发现这有很多问题。这种想法其实是粗暴地“停止一切来进行快照”,在保存检查点的过程中,任务完全中断了,这会造成很大的延迟;我们之前为了实时性做出的所有设计就毁在了做快照上。
另一方面,我们做快照的目的是为了故障恢复;现在的快照中,有些任务正在处理数据,那它保存的到底是处理到什么程度的状态呢?举个例子,我们在程序中某一步操作中自定义了一个 ValueState,处理的逻辑是:当遇到一个数据时,状态先加 1;而后经过一些其他步骤后再加 1。现在停止处理数据,状态到底是被加了 1 还是加了 2 呢?这很重要,因为状态恢复之后,我们需要知道当前数据从哪里开始继续处理。要满足这个要求,就必须将暂停时的所有环境信息都保存下来——而这显然是很麻烦的。为了解决这个问题,我们不应该“一刀切”把所有任务同时停掉,而是至少得先把手头正在处理的数据弄完。这样的话,我们在检查点中就不需要保存所有上下文信息,只要知道当前处理到哪个数据就可以了。
但这样依然会有问题:分布式系统的节点之间需要通过网络通信来传递数据,如果我们保存检查点的时候刚好有数据在网络传输的路上,那么下游任务是没法将数据保存起来的;故障重启之后,我们只能期待上游任务重新发送这个数据。然而上游任务是无法知道下游任务是否收到数据的,只能盲目地重发,这可能导致下游将数据处理两次,结果就会出现错误。
所以我们最终的选择是:当所有任务都恰好处理完一个相同的输入数据的时候(这里指的是上游算子和下游算子处理完一个相同的数据),将它们的状态保存下来。首先,这样避免了除状态之外其他额外信息的存储,提高了检查点保存的效率。其次,一个数据要么就是被所有任务完整地处理完,状态得到了保存;要么就是没处理完,状态全部没保存:这就相当于构建了一个“事务”(transaction)。
如果出现故障,我们恢复到之前保存的状态,故障时正在处理的所有数据都需要重新处理;所以我们只需要让源(source)任务向数据源重新提交偏移量、请求重放数据就可以了。这需要源任务可以把偏移量作为算子状态保存下来,而且外部数据源能够重置偏移量,Kafka 就能满足这个要求,我们只需要重置Kafka输出的偏移量就行,毕竟Kafka是持久保存我们的数据的,并不是发送完数据就立马删除。
(3)保存的具体流程
检查点的保存,最关键的就是要等所有任务将“同一个数据”处理完毕。这里举一个统计词频的例子—WordCount。这里为了方便,我们直接从数据源读入已经分开的一个个单词,例如这里输入的就是:
“hello”,“world”,“hello”,“flink”,“hello”,“world”,“hello”,“flink”……
这里的比如我们的所有的有状态算子(source、sum、sink)都处理完第三个单词 “hello” 后就更新自己的状态。
当我们的所有任务处理完同一条数据后,对状态做个快照保存下来。例如上图中,已经处理了 3 条数据:“hello”“world”“hello”,所以我们会看到 Source 算子的偏移量为 3;后面的 Sum 算子处理完第三条数据“hello”之后,此时已经有 2 个“hello”和 1 个“world”,所以对应的状态为“hello”-> 2,“world”-> 1(这里 KeyedState底层会以 key-value 形式存储)。此时所有任务都已经处理完了前三个数据,所以我们可以把当前的状态保存成一个检查点,写入外部存储中。至于具体保存到哪里,这是由状态后端的配置项 “ 检 查 点 存 储 ”( CheckpointStorage )来决定的,可以有作业管理器的堆内存(JobManagerCheckpointStorage)和文件系统(FileSystemCheckpointStorage)两种选择。一般情况下,我们会将检查点写入持久化的分布式文件系统。
1.2、从检查点恢复状态
在运行流处理程序时,Flink 会周期性地保存检查点。当发生故障时,就需要找到最近一次成功保存的检查点来恢复状态。
比如我们上面处理完第三个数据(“hello”)后保存了一个检查点。之后继续运行,又正常处理了一个数据“flink”,在处理第五个数据“hello”时发生了故障:
这时Source 任务已经处理完毕,所以偏移量为 5;Map 任务也处理完成了。而其中一个 Sum 任务在处理中发生了故障,此时状态并未保存(“flink”和 “hello” 的状态都未保存)。接下来就需要从检查点来恢复状态了。具体的步骤为:
(1)重启应用
遇到故障之后,第一步当然就是重启。我们将应用重新启动后,所有任务的状态会清空:
(2)读取检查点,重置状态
找到最近一次保存的检查点,从中读出每个算子任务状态的快照,分别填充到对应的状态中。这样,Flink 内部所有任务的状态,就恢复到了保存检查点的那一时刻,也就是刚好处理完第三个数据的时候,这里第四条数据 “flink” 并没有数据到来,所以初始为 0。
(3)重放数据
从检查点恢复状态后还有一个问题:如果直接继续处理数据,那么保存检查点之后、到发生故障这段时间内的数据,也就是第 4、5 个数据(“flink”“hello”)就相当于丢掉了;这会造成计算结果的错误。为了不丢数据,我们应该从保存检查点后开始重新读取数据,这可以通过 Source 任务向外部数据源重新提交偏移量(offset)来实现:
这样,整个系统的状态已经完全回退到了检查点保存完成的那一时刻。
(4)继续处理数据
接下来,我们就可以正常处理数据了。首先是重放第 4、5 个数据,然后继续读取后面的数据:
当处理到第 5 个数据时,就已经追上了发生故障时的系统状态。之后继续处理,就好像没有发生过故障一样;我们既没有丢掉数据也没有重复计算数据,这就保证了计算结果的正确性。在分布式系统中,这叫作实现了“精确一次”(exactly-once)的状态一致性保证。
这里我们也可以发现,想要正确地从检查点中读取并恢复状态,必须知道每个算子任务状态的类型和它们的先后顺序(拓扑结构);因此为了可以从之前的检查点中恢复状态,我们在改动程序、修复 bug 时要保证状态的拓扑顺序和类型不变。状态的拓扑结构在 JobManager 上可以由 JobGraph 分析得到,而检查点保存的定期触发也是由 JobManager 控制的;所以故障恢复的过程需要 JobManager 的参与。
1.3、检查点算法
我们已经知道,Flink 保存检查点的时间点,是所有任务都处理完同一个输入数据的时候。但是不同的任务处理数据的速度不同,当第一个 Source 任务处理到某个数据时,后面的 Sum任务可能还在处理之前的数据;而且数据经过任务处理之后类型和值都会发生变化,面对着“面目全非”的数据,不同的任务怎么知道处理的是“同一个”呢?
一个简单的想法是,当接到 JobManager 发出的保存检查点的指令后,Source 算子任务处理完当前数据就暂停等待,不再读取新的数据了。也就是留一个空档期,这样我们就可以保证在流中只有需要保存到检查点的数据,只要把它们全部处理完,就可以保证所有任务刚好处理完最后一个数据;这时把所有状态保存起来,合并之后就是一个检查点了。就相当于当要进行检查点保存时,Source任务先停下来,这样就只需要等待最后一个数据被所有任务处理之后再进行保存 ,而且这样可以保证所有任务保存的都是统一个数据。
但这样做最大的问题,就是每个任务的进度可能不同;为了保证状态一致前面的任务不能进行其他工作,只能等待后面的任务处理到相同的数据再进行检查点的保存。当先保存完状态的任务需要等待其他任务时,就导致了资源的闲置和性能的降低。所以更好的做法是,在不暂停整体流处理的前提下,将状态备份保存到检查点。在 Flink中,采用了基于 Chandy-Lamport 算法的分布式快照。
(1)检查点分界线(Barrier)
我们现在的目标是,在不暂停流处理的前提下,让每个任务“认出”触发检查点保存的那个数据。
自然想到,如果给数据添加一个特殊标识,任务就可以准确识别并开始保存状态了。这需要在 Source 任务收到触发检查点保存的指令后,立即在当前处理的数据中插入一个标识字段,然后再向下游任务发出。但是假如 Source 任务此时并没有正在处理的数据,这个操作就无法实现了。所以我们可以借鉴水位线(watermark)的设计,在数据流中插入一个特殊的数据结构,专门用来表示触发检查点保存的时间点。收到保存检查点的指令后,Source 任务可以在当前数据流中插入这个结构;之后的所有任务只要遇到它就开始对状态做持久化快照保存。由于数据流是保持顺序依次处理的,因此遇到这个标识就代表之前的数据都处理完了,可以保存一个检查点;而在它之后的数据,引起的状态改变就不会体现在这个检查点中,而需要保存到下一个检查点。
这种特殊的数据形式,把一条流上的数据按照不同的检查点分隔开,所以就叫作检查点的“分界线”(Checkpoint Barrier)。与水位线很类似,检查点分界线也是一条特殊的数据,由 Source 算子注入到常规的数据流中,它的位置是限定好的,不能超过其他数据,也不能被后面的数据超过。检查点分界线中带有一个检查点 ID,这是当前要保存的检查点的唯一标识。
这样,分界线就将一条流逻辑上分成了两部分:分界线之前到来的数据导致的状态更改,都会被包含在当前分界线所表示的检查点中;而基于分界线之后的数据导致的状态更改,则会被包含在之后的检查点中。
在 JobManager 中有一个“检查点协调器”(checkpoint coordinator),专门用来协调处理检查点的相关工作。检查点协调器会定期向 TaskManager 发出指令,要求保存检查点(带着检查点 ID);TaskManager 会让所有的 Source 任务把自己的偏移量(算子状态)保存起来,并将带有检查点 ID 的分界线(barrier)插入到当前的数据流中,然后像正常的数据一样像下游传递;之后 Source 任务就可以继续读入新的数据了。
每个算子任务只要处理到这个 barrier,就把当前的状态进行快照;在收到 barrier 之前,还是正常地处理之前的数据,完全不受影响。比如上图中,Source 任务收到 1 号检查点保存指令时,读取完了三个数据,所以将偏移量 3 保存到外部存储中;而后将 ID 为 1 的 barrier 注入数据流;与此同时,Map 任务刚刚收到上一条数据“hello”,而 Sum 任务则还在处理之前的第二条数据(world, 1)。下游任务不会在这时就立刻保存状态,而是等收到 barrier 时才去做快照,这时可以保证前三个数据都已经处理完了。同样地,下游任务做状态快照时,也不会影响上游任务的处理,每个任务的快照保存并行不悖,不会有暂停等待的时间。
(2)分布式快照算法(Barrier 对齐的精准一次)
通过在流中插入分界线(barrier),我们可以明确地指示触发检查点保存的时间。在一条单一的流上,数据依次进行处理,顺序保持不变;不过对于分布式流处理来说,想要一直保持数据的顺序就不是那么容易了。我们先回忆一下水位线(watermark)的处理:上游任务向多个并行下游任务传递时,需要广播出去;而多个上游任务向同一个下游任务传递时,则需要下游任务为每个上游并行任务维护一个“分区水位线”,取其中最小的那个作为当前任务的事件时钟。那 barier 在并行数据流中的传递,是不是也有类似的规则呢?watermark 指示的是“之前的数据全部到齐了”,而 barrier 指示的是“之前所有数据的状态更改保存入当前检查点”:它们都是一个“截止时间”的标志。所以在处理多个分区的传递时,也要以是否还会有数据到来作为一个判断标准。
具体实现上,Flink 使用了 Chandy-Lamport 算法的一种变体,被称为“异步分界线快照”(asynchronous barrier snapshotting)算法。算法的核心就是两个原则:
- 当上游任务向多个并行下游任务发送 barrier 时,需要广播出去;
- 而当多个上游任务向同一个下游任务传递 barrier 时,需要在下游任务执行“分界线对齐”(barrier alignment)操作,也就是需要等到所有并行分区的 barrier 都到齐,才可以开始状态的保存。
为了详细解释检查点算法的原理,我们对之前的 word count 程序进行扩展,考虑所有算子并行度为 2 的场景:
我们有两个并行的 Source 任务,会分别读取两个数据流(或者是一个源的不同分区)。这里每条流中的数据都是一个个的单词:“hello”“world”“hello”“flink”交替出现。此时第一条流的 Source 任务(我们叫它“Source 1”)读取了 3个数据,偏移量为 3;而第二条流的 Source 任务(Source 2)只读取了一个“hello”数据,偏移量为 1。第一条流中的第一个数据“hello”已经完全处理完毕,所以 Sum 任务的状态中 key为 hello 对应着值 1,而且已经发出了结果(hello, 1);第二个数据“world”经过了 Map 任务的转换,还在被 Sum 任务处理;第三个数据“hello”还在被 Map 任务处理。而第二条流的第一个数据“hello”同样已经经过了 Map 转换,正在被 Sum 任务处理。
接下来就是检查点保存的算法。具体过程如下:
1.JobManager 发送指令,触发检查点的保存;
JobManager 会周期性地向每个 TaskManager 发送一条带有新检查点 ID 的消息,通过这种方式来启动检查点。收到指令后,TaskManger 会在所有 Source 任务中插入一个分界线(barrier),并将偏移量保存到远程的持久化存储中。
并行的 Source 任务保存的状态为 3 和 1,表示当前的 1 号检查点应该包含:第一条流中截至第三个数据、第二条流中截至第一个数据的所有状态更改。可以发现 Source 任务做这些的时候并不影响下游任务的处理,Sum 任务已经处理完了第一条流中传来的(world, 1),对应的状态也有了更改。
2.状态快照保存完成,分界线向下游传递
状态存入持久化存储之后,会返回通知给 Source 任务;Source 任务就会向 JobManager 确认检查点完成,然后像数据一样把 barrier 向下游任务传递。
由于 Source 和 Map 之间是一对一(forward)的传输关系(这里没有考虑算子链 operator chain),所以 barrier 可以直接传递给对应的 Map 任务。之后 Source 任务就可以继续读取新的数据了。与此同时,Sum 1 已经将第二条流传来的(hello,1)处理完毕,更新了状态。
3.向下游多个并行子任务广播分界线,执行分界线对齐
Map 任务没有状态,所以直接将 barrier 继续向下游传递。这时由于进行了 keyBy 分区,所以需要将 barrier 广播到下游并行的两个 Sum 任务。同时,Sum 任务可能收到来自上游两个并行 Map 任务的 barrier,所以需要执行“分界线对齐”操作。
所谓分界线对齐,意思就是当前任务要保存状态前,需要等待上游任务(多个上游任务才需要对齐)的 barrier 都到齐以后才能保存。
此时的 Sum 2 收到了来自上游两个 Map 任务的 barrier,说明第一条流第三个数据、第二条流第一个数据都已经处理完,可以进行状态的保存了;而 Sum 1 只收到了来自 Map 2 的barrier,所以这时需要等待分界线对齐。在等待的过程中,如果分界线尚未到达的分区任务Map 1 又传来了数据(hello, 1),说明这是需要保存到检查点的,Sum 任务应该正常继续处理数据,状态更新为 3;而如果分界线已经到达的分区任务 Map 2 又传来数据,这已经是下一个检查点要保存的内容了,就不应立即处理,而是要缓存起来、等到状态保存之后再做处理。
4.分界线对齐后,保存状态到持久化存储
各个分区的分界线都对齐后,就可以对当前状态做快照,保存到持久化存储了。存储完成之后,同样将 barrier 向下游继续传递,并通知 JobManager 保存完毕。
这个过程中,每个任务保存自己的状态都是相对独立的,互不影响。我们可以看到,当Sum 将当前状态保存完毕时,Source 1 任务已经读取到第一条流的第五个数据了。
5. 先处理缓存数据,然后正常继续处理
完成检查点保存之后,任务就可以继续正常处理数据了。这时如果有等待分界线对齐时缓存的数据,需要先做处理;然后再按照顺序依次处理新到的数据。当 JobManager 收到所有任务成功保存状态的信息,就可以确认当前检查点成功保存。之后遇到故障就可以从这里恢复了。由于分界线对齐要求先到达的分区做缓存等待,一定程度上会影响处理的速度;当出现背压(backpressure)时,下游任务会堆积大量的缓冲数据,检查点可能需要很久才可以保存完毕。为了应对这种场景,Flink 1.11 之后提供了不对齐的检查点保存方式,可以将未处理的缓冲数据(in-flight data)也保存进检查点。这样,当我们遇到一个分区 barrier 时就不需等待对齐,而是可以直接启动状态的保存了。
背压机制:背压机制是一种在异步编程中处理数据流的机制,特别是在响应式编程中。当生产者产生的数据流速度超过消费者处理的速度时,背压机制可以用来调整生产者的生产速率,以适应消费者的处理能力,从而避免数据积压和资源耗尽的问题。
(3)分布式快照算法(Barrier 对齐的至少一次)
在 Barrier 对齐精准一次的方式下,对于 Barrier 之后的数据,不能进行计算,只能等到 Barrier 对齐并持久化保存之后才能进入下游算子进行计算。
而在 Barrier 对齐至少一次的语义下,如果在Barrier 对齐的过程中,Barrier 后面的数据越过了 Barrier 并进行了计算持久化保存到状态当中。所以缺点就是如果应用出现了故障需要重启,那么这部分在 Barrier 之后但是被持久化保存到状态中的数据就会被重复恢复计算,就会造成结果的不准确。但是优点也很明显,至少一次情况下,它不需要等待,就是说不用等到Barrier 对齐才进行计算,Barrier 后的数据就不需要缓存起来,也就不用担心出现背压时可能出现的一些其他问题,对我们的程序的压力不会那么大。
(4)分布式快照算法(非 Barrier 对齐的精准一次)
非 Barrier 对齐的精准一次语义是在 Flink1.11 之后提出来的,由于分界线对齐要求先叨叨的分区做缓存等待,一定程度上会影响处理的速度;当出现背压时下游任务会堆积大量的数据,检查点也可能需要很久才能保存完毕。所以我们的解决方案就是要么使用 Barrier 对齐的至少一次语义,要么就使用非 Barrier 对齐的精准一次语义。
非Barrier对齐并不是说不用Barrier,它的意思只是说不需要对齐了,仅此而已。
在非Barrier对齐算法中,一个任务在收到第一个Barrier时就开始执行备份,可以保证精准一次。
- 收到第一个 Barrier 后,直接把它放到输出缓冲区末端,向下游传递
- 标记数据:把被第一个 Barrier 越过的数据和其它 Barrier 之前的所有数据标记
- 把标记数据和当前任务的状态保存到当前任务的状态当中,当进行检查点恢复时这些数据都会恢复到对应位置
优点:
非Barrier对齐算法可以避免数据阻塞等待的问题,并且可以更精确地控制数据处理的语义。同时,非Barrier对齐算法可以更好地利用系统资源,提高数据处理的效率和吞吐量。
缺点:
需要占用更多的备份磁盘开销。
这种算法更加符合Chandy-Lamport 算法的思想。
总结
1. Barrier 对齐:一个 Task 收到所有上游的 barrier 之后,才会对自己的本地状态进行备份。
1.1 精准一次:在对齐过程中,barrier 后面的数据 阻塞等待(不会越过 barrier)
1.2 至少一次:在对齐的过程中,先到的 barrier 其后面的数据不阻塞,将会被计算并备份到状态当中
2. 非 Barrier 对齐:一个 Task 收到第一个 barrier 就开始执行备份。
能保证精准一次,先到的 barrier 会将本地状态备份,后面的数据接着计算输出
未到的 barrier,其前面的数据接着计算输出,同时也保存到备份当中
最后一个 barrier 到达该 task 时,这个task的备份结束
1.4、检查点配置
检查点的作用是为了故障恢复,我们不能因为保存检查点占据了大量时间、导致数据处理性能明显降低。为了兼顾容错性和处理性能,我们可以在代码中对检查点进行各种配置。
1. 启用检查点
默认情况下,Flink 程序是禁用检查点的。如果想要为 Flink 应用开启自动保存快照的功能,需要在代码中显式地调用执行环境的.enableCheckpointing()方法:
StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment();// 每隔 1 秒启动一次检查点保存env.enableCheckpointing(1000);
这里需要传入一个长整型的毫秒数,表示周期性保存检查点的间隔时间。如果不传参数直接启用检查点,默认的间隔周期为 500 毫秒,这种方式已经被弃用。检查点的间隔时间是对处理性能和故障恢复速度的一个权衡。如果我们希望对性能的影响更小,可以调大间隔时间;而如果希望故障重启后迅速赶上实时的数据处理,就需要将间隔时间设小一些。
2. 检查点存储
(1)检查点模式(CheckpointingMode)
设置检查点一致性的保证级别,有“精确一次”(exactly-once)和“至少一次”(at-least-once)两个选项。默认级别为 exactly-once,而对于大多数低延迟的流处理程序,at-least-once 就够用了,而且处理效率会更高。关于一致性级别,我们会在 10.2 节继续展开。
(2)超时时间(checkpointTimeout)
用于指定检查点保存的超时时间,超时没完成(比如等待其他barrier的时间过长)就视为失败。传入一个长整型毫秒数作为参数,表示超时时间。
(3)最小间隔时间(minPauseBetweenCheckpoints)
用于指定在上一个检查点完成之后,检查点协调器(checkpoint coordinator)最快等多久可以出发保存下一个检查点的指令。这就意味着即使已经达到了周期触发的时间点,只要距离上一个检查点完成的间隔不够,就依然不能开启下一次检查点的保存。这就为正常处理数据留下了充足的间隙。当指定这个参数时,maxConcurrentCheckpoints 的值强制为 1。(控制一个流作用当中最多存在几次不同的检查点,barrier为1的检查点一直从source到sink,最后JobManager上传元数据到hdfs算一轮完整的checkpoint)
(4)最大并发检查点数量(maxConcurrentCheckpoints)
用于指定运行中的检查点最多可以有多少个。由于每个任务的处理进度不同,完全可能出现后面的任务还没完成前一个检查点的保存、前面任务已经开始保存下一个检查点了。这个参数就是限制同时进行的最大数量。如果前面设置了 minPauseBetweenCheckpoints,则maxConcurrentCheckpoints 这个参数就不起作用了。(一个流作业当中同时最多可以存在的检查点个数,比如一个流计算当中同时存在 barrier1、barrier2、barrier3…)
(5)开启外部持久化存储(enableExternalizedCheckpoints)
用于开启检查点的外部持久化,而且默认在作业失败的时候不会自动清理,如果想释放空间需要自己手工清理。里面传入的参数 ExternalizedCheckpointCleanup 指定了当作业取消的时候外部的检查点该如何清理。
- DELETE_ON_CANCELLATION:在作业取消的时候会自动删除外部检查点,但是如果是作业失败退出,则会保留检查点。
- RETAIN_ON_CANCELLATION:作业取消的时候也会保留外部检查点。
(6)检查点异常时是否让整个任务失败(failOnCheckpointingErrors)
用于指定在检查点发生异常的时候,是否应该让任务直接失败退出。默认为 true,如果设置为 false,则任务会丢弃掉检查点然后继续运行。
(7)不对齐检查点(enableUnalignedCheckpoints)
不再执行检查点的分界线对齐操作,启用之后可以大大减少产生背压时的检查点保存时间。这个设置要求检查点模式(CheckpointingMode)必须为 exctly-once,并且并发的检查点个数为 1。
// 创建一个本地执行环境,并启用 Web 用户界面。本地执行环境意味着 Flink 任务将在本地机器上运行,而不是在集群上。Web 用户界面允许你监视和调试正在运行的 Flink 任务。StreamExecutionEnvironment env = StreamExecutionEnvironment.createLocalEnvironmentWithWebUI(new Configuration());
导入hadoop依赖:
org.apache.hadoophadoop-yarn-common3.3.0provided
// 代码中指定管理检查点路径为hdfs,就存储到hdfs 导入hadoop依赖,指定访问hdfs的用户名System.setProperty("HADOOP_USER_NAME","lyh");// TODO 检查点配置// 1. 周期为 5s 默认就是barrier对齐的精准一次env.enableCheckpointing(5000, CheckpointingMode.EXACTLY_ONCE);// 2. 指定检查点的存储位置CheckpointConfig checkpointConfig = env.getCheckpointConfig();checkpointConfig.setCheckpointStorage("hdfs://hadoop102:8080/chk");// 一般我们会存到云端// 3. 超时时间 默认10分钟checkpointConfig.setCheckpointTimeout(60000);// 4. 同时运行中的checkpoint的最大数量checkpointConfig.setMaxConcurrentCheckpoints(2);// 5. 最小等待间隔 上一轮checkpoint结束 到 下一轮checkpoint开始 之间的间隔checkpointConfig.setMinPauseBetweenCheckpoints(1000);// 6. 取消作业时,checkpoint的数据是否保留在外部系统 这里设置成如果作业结束就把检查点内容删除checkpointConfig.setExternalizedCheckpointCleanup(CheckpointConfig.ExternalizedCheckpointCleanup.DELETE_ON_CANCELLATION);// 7. 允许 checkpoint 连续失败的次数 默认为0checkpointConfig.setTolerableCheckpointFailureNumber(10);
IDEA 调试查看FlinkUI(不需要启动虚拟机里的Flink集群):
导入依赖(scope 作用于不可以是 provide,否则打不开 localhost:8081)
org.apache.flinkflink-runtime-web${flink.version}
访问 localhost:8081
完整代码:
public class CheckpointConfigDemo {public static void main(String[] args) throws Exception {// 1. 创建一个流式的执行环境// 注意:用 getExecutionEnvironment 而不是 createLocalEnvironment 否则提交到flink无法完成作业//StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment();// 创建一个本地执行环境,并启用 Web 用户界面。本地执行环境意味着 Flink 任务将在本地机器上运行,而不是在集群上。Web 用户界面允许你监视和调试正在运行的 Flink 任务。Configuration conf = new Configuration();conf.setInteger(RestOptions.PORT,8081);StreamExecutionEnvironment env = StreamExecutionEnvironment.createLocalEnvironmentWithWebUI(conf);env.setRuntimeMode(RuntimeExecutionMode.STREAMING);env.setParallelism(1);// 代码中指定管理检查点路径为hdfs,就存储到hdfs 导入hadoop依赖,指定访问hdfs的用户名System.setProperty("HADOOP_USER_NAME","lyh");// TODO 检查点配置// 1. 周期为 5s 默认就是barrier对齐的精准一次env.enableCheckpointing(5000, CheckpointingMode.EXACTLY_ONCE);// 2. 指定检查点的存储位置CheckpointConfig checkpointConfig = env.getCheckpointConfig();checkpointConfig.setCheckpointStorage("file:///D://Desktop/FlinkStudy/chk");// 一般我们会存到云端// 3. 超时时间 默认10分钟checkpointConfig.setCheckpointTimeout(60000);// 4. 同时运行中的checkpoint的最大数量checkpointConfig.setMaxConcurrentCheckpoints(2);// 5. 最小等待间隔 上一轮checkpoint结束 到 下一轮checkpoint开始 之间的间隔checkpointConfig.setMinPauseBetweenCheckpoints(1000);// 6. 取消作业时,checkpoint的数据是否保留在外部系统 这里设置成如果作业结束就把检查点内容删除checkpointConfig.setExternalizedCheckpointCleanup(CheckpointConfig.ExternalizedCheckpointCleanup.DELETE_ON_CANCELLATION);// 7. 允许 checkpoint 连续失败的次数 默认为0checkpointConfig.setTolerableCheckpointFailureNumber(10);// 2. 流式数据处理环境得到的 DataSource 继承自 DataStreamenv.socketTextStream("hadoop102",9999).flatMap((String line, Collector<Tuple2> out) -> {String[] words = line.split(" ");for (String word : words) {out.collect(Tuple2.of(word, 1L));}}).returns(Types.TUPLE(Types.STRING, Types.LONG)).keyBy(t -> t.f0).sum(1).print();// 7. 执行env.execute();// 这里我们的数据是有界的,但是真正开发环境是无界的,这里需要用execute方法等待新数据的到来}}
说明:
// 取消作业时,checkpoint的数据是否保留在外部系统 这里设置成如果作业正常结束就把检查点内容删除(如果是突然挂掉 还会保存检查点)checkpointConfig.setExternalizedCheckpointCleanup(CheckpointConfig.ExternalizedCheckpointCleanup.DELETE_ON_CANCELLATION);// 取消作业时 会将检查点保留下来checkpointConfig.setExternalizedCheckpointCleanup(CheckpointConfig.ExternalizedCheckpointCleanup.RETAIN_ON_CANCELLATION);
非Barrier对齐的精准一次配置
除此之外还可以设置非Barrier对齐的精准一次,同样必须在启用检查点的时候设置精准一次且设置最大并发为1(如果是至少一次语义的话虽然不报错但是非对齐不生效,如果最大并发不是1将报错),然后设置:
// 设置精确一次模式checkpointConfig.setCheckpointingMode(5000,CheckpointingMode.EXACTLY_ONCE);// 同时运行中的checkpoint的最大数量checkpointConfig.setMaxConcurrentCheckpoints(1);// 启用不对齐的检查点保存方式checkpointConfig.enableUnalignedCheckpoints();
我们可以查看源码中的说明:
启用未对齐的检查点,将大大减少背压下的检查点设置时间。
未对齐的检查点包含作为检查点状态的一部分存储在缓冲区中的数据,这允许检查点屏障超越这些缓冲区。因此,检查点持续时间变得与当前吞吐量无关,因为检查点屏障不再有效地嵌入到数据流中。
只有在ExecutionCheckpointingOptions的情况下才能启用未对齐的检查点。
新特性-设置对齐超时时间
Flink 16/17+才有的:
开启检查点才能生效:默认为0 表示一开始就用非对齐的检查点 如果>0 程序一开始先使用对齐的检查点(也就是Barrier对齐) 对齐时间超过这个参数自动切换成非对齐(非Barrier对齐)
// 开启检查点才生效:默认为0 表示一开始就用非对齐的检查点 如果>0 程序一开始先使用对齐的检查点(也就是Barrier对齐) 对齐时间超过这个参数自动切换成非对齐(非Barrier对齐)checkpointConfig.setAlignedCheckpointTimeout(Duration.ofSeconds(1L));
3. 通用增量 checkpoint(changelog)
在 Flink 1.15 之前,只有 RocksDB 支持增量快照。 不同于产生一个包含所有数据的全量备份,增量快照只包含自上一次快照完成后被修改的记录,因此可以显著减少快照完成的耗时。
RocksDB 状态后端启用增量 checkpoint:
从 Flink 1.15 开始,不管是 hashmap 还是 rocksdb 状态后端都可以通过开启 changelog 实现通用的增量 checkpoint。
我们可以在 Flink 官网看到对 增量快照的解释:
执行过程:
1. 有状态的算子任务将状态更改写入变更日志:
这里的 Stateful Changelog 就是变更日志,它记录了一些操作,比如原本的检查点数据为 1,2,3 现在变为了 1,2,3,4 它就会记录 +4 ,代表增加了一个数据 4。
State Table 就是操作后的状态(但它不是 checkpoint)。
Stateful Changelog 会实时同步到检查点存储当中。
2. 状态物化:状态表定期保存,独立于检查点
状态表默认 10 分钟保存一次,可以在配置文件中指定。状态表不是存在检查点的,而是独立于检查点之外的其他地方。
3. 状态物化后,状态变更日志就可以被截断到相应的点
所谓截断就是清理历史的状态操作日志,用新的操作日志替换。
state.backend.changelog.enabled: truestate.backend.changelog.storage: filesystem# 存储 changelog 数据dstl.dfs.base-path: hdfs://hadoop102:8020/changelogexecution.checkpointing.max-concurrent-checkpoints: 1execution.savepoint.restore-mode: CLAIM
注意事项
目前为实验性功能,开启后可能会造成资源消耗巨大:
- HDFS 上保存的文件数过多
- 消耗更多的 IO 带宽用于上传变更日志
- 更多的 CPU 用于序列化状态更改
- TaskManager 使用更多内存来缓存状态更改
使用限制:
- checkpoint 的最大并发数必须为1
- 从 Flink 1.15 开始,只有文件系统的存储类型实现可用(memory 内存存储还在测试阶段)
- 不支持 NO_CLAIM 模式
使用方式:
1)配置文件指定:
state.backend.changelog.enabled: truestate.backend.changelog.storage: filesystem# 存储 changelog 数据dstl.dfs.base-path: hdfs://hadoop102:8080/changelogexecution.checkpointing.max-concurrent-checkpoints: 1executopn.savepoint-restore-mode: CLAIM
2)代码中设置
引入依赖(打包的时候是不需要打包进去的):
org.apache.flink flink-statebackend-changelog ${flink.version} runtime
开启 changelog:
// 开启 cheangelog 需要设置检查点的最大并发为 1checkpointConfig.setMaxConcurrentCheckpoints(1);env.enableChangelogStateBackend(true);
4. 最终检查点
如果数据源是有界的,就可能出现部分 task 已经处理完所有数据变成finished的状态,不继续工作。从 Flink 1.14开始这些 finished 状态的 task,也可以继续执行检查点。自 1.15 起默认启用此功能,并且可以通过功能标志禁用它(一般我们肯定是不希望关掉的):
Configuration conf = new Configuration();// 从 Flink1.15 开始默认启用(true)conf.set(ExecutionCheckpointingOptions.ENABLE_CHECKPOINTS_AFTER_TASKS_FINISH,false);StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment(conf);
1.5、保存点(Savepoint)
除了检查点(checkpoint)外,Flink 还提供了另一个非常独特的镜像保存功能——保存点(Savepoint)。
从名称就可以看出,这也是一个存盘的备份,它的原理和算法与检查点完全相同,只是多了一些额外的元数据。
事实上,保存点就是通过检查点的机制来创建流式作业状态的一致性镜像(consistent image)的。保存点中的状态快照,是以算子 ID 和状态名称组织起来的,相当于一个键值对。从保存点启动应用程序时,Flink 会将保存点的状态数据重新分配给相应的算子任务。
1. 保存点的用途
保存点与检查点最大的区别,就是触发的时机(检查点就像CSDN草稿的自动保存,而保存点就像我们手动的保存草稿)。检查点是由 Flink 自动管理的,定期创建,发生故障之后自动读取进行恢复,这是一个“自动存盘”的功能;而保存点不会自动创建,必须由用户明确地手动触发保存操作,所以就是“手动存盘”。因此两者尽管原理一致,但用途就有所差别了:检查点主要用来做故障恢复,是容错机制的核心;保存点则更加灵活,可以用来做有计划的手动备份和恢复。保存点可以当作一个强大的运维工具来使用。我们可以在需要的时候创建一个保存点,然后停止应用,做一些处理调整之后再从保存点重启。它适用的具体场景有:
- 版本管理和归档存储:对重要的节点进行手动备份,设置为某一版本,归档(archive)存储应用程序的状态。
- 更新 Flink 版本:目前 Flink 的底层架构已经非常稳定,所以当 Flink 版本升级时,程序本身一般是兼容的。这时不需要重新执行所有的计算,只要创建一个保存点,停掉应用、升级 Flink 后,从保存点重启就可以继续处理了。
- 更新应用程序:我们不仅可以在应用程序不变的时候,更新 Flink 版本;还可以直接更新应用程序。前提是程序必须是兼容的,也就是说更改之后的程序,状态的拓扑结构和数据类型都是不变的,这样才能正常从之前的保存点去加载。这个功能非常有用。我们可以及时修复应用程序中的逻辑 bug,更新之后接着继续处理;也可以用于有不同业务逻辑的场景,比如 A/B 测试等等。
- 调整并行度:如果应用运行的过程中,发现需要的资源不足或已经有了大量剩余,也可以通过从保存点重启的方式,将应用程序的并行度增大或减小。
- 暂停应用程序:有时候我们不需要调整集群或者更新程序,只是单纯地希望把应用暂停、释放一些资源来处理更重要的应用程序。使用保存点就可以灵活实现应用的暂停和重启,可以对有限的集群资源做最好的优化配置。
需要注意的是,保存点能够在程序更改的时候依然兼容,前提是状态的拓扑结构(比如原先是 source —> map ——> sum——>sink 之后变成了 source —> map ——> process——>sink 那么愚笨sum中的状态肯定不在了,因为这条算子链的结构已经变了)和数据类型(比如原本sum中存的是 ValueState 类型 之后变成了 MapState,这种也恢复不了)不变。我们知道保存点中状态都是以算子 ID-状态名称这样的 key-value 组织起来的,算子ID 可以在代码中直接调用 SingleOutputStreamOperator 的.uid()方法来进行指定:
DataStream stream = env .addSource(new StatefulSource()) .uid("source-id") .map(new StatefulMapper()) .uid("mapper-id") .print();
对于没有设置 ID 的算子,Flink 默认会自动进行设置,所以在重新启动应用后可能会导致ID 不同而无法兼容以前的状态。所以为了方便后续的维护,强烈建议在程序中为每一个算子手动指定 ID。
2. 使用保存点
保存点的使用非常简单,我们可以使用命令行工具来创建保存点,也可以从保存点恢复作业。
(1)创建保存点
要在命令行中为运行的作业创建一个保存点镜像,只需要执行:
bin/flink savepoint :jobId [:targetDirectory]
这里 jobId 需要填充要做镜像保存的作业 ID,目标路径 targetDirectory 可选,表示保存点存储的路径。
对于保存点的默认路径,可以通过配置文件 flink-conf.yaml 中的 state.savepoints.dir 项来设定:
state.savepoints.dir: hdfs:///flink/savepoints
当然对于单独的作业,我们也可以在程序代码中通过执行环境来设置:
env.setDefaultSavepointDir("hdfs:///flink/savepoints");
由于创建保存点一般都是希望更改环境之后重启,所以创建之后往往紧接着就是停掉作业的操作。除了对运行的作业创建保存点,我们也可以在停掉一个作业时直接创建保存点:
bin/flink stop --savepointPath [:targetDirectory] :jobId
(2)从保存点重启应用
我们已经知道,提交启动一个 Flink 作业,使用的命令是 flink run;现在要从保存点重启一个应用,其实本质是一样的:
bin/flink run -s :savepointPath [:runArgs]
这里只要增加一个-s 参数,指定保存点的路径就可以了,其他启动时的参数还是完全一样的,如果是基于 yarn 的运行模式还需要加上 -yid application-id。在使用 web UI 进行作业提交时,可以填入的参数除了入口类、并行度和运行参数,还有一个“Savepoint Path”,这就是从保存点启动应用的配置。
3. 使用保存点恢复状态以及切换状态后端
Flink1.17 版本还提供了使用保存点切换状态后端,比如我们原本是 rocksdb 状态后端,想改成 hashmap 状态后端。也就是使用 savepoint 恢复状态的时候,去更换状态后端。需要注意的是,不要在代码中指定状态后端了,通过配置文件来配置或者 -D 参数配置。
// yarn 模式bin/flink run-application -d -t yarn-application -Dstate.backend=hashmap -c com.lyh.test.wc xxx.jar// 不使用 yarn 模式bin/flink run-application -d -Dstate.backend=hashmap -c com.lyh.test.wc xxx.jar
关闭程序并指定状态保存点:
我们这里用的是 cancel ,但其实我们更加推荐用 stop。
这次我们再次重启应用,并指定保存点:
为了再次验证是否是从保存点恢复,我们在 netcat 中输入 a(之前已经统计过一次了,如果保存点成功导入,结果将会输出 (a,2))
修改状态后端(这里我没有用 yarn 模式):
bin/flink run-application -d -Dstate.backend=rocksdb -s hdfs://hadoop102:8020/sp/savepoint-7ca51f-5e1c4815e549 -C com.lyh.checkpoint.SavepointDemo.class ./jobs/FlinkStudy-1.0-SNAPSHOT.jar
如果是yarn模式直接加一个 -t yarn-application 就好了。
4. 使用 checkpoint 恢复状态
同样,也可以从 checkpoint 来进行状态的恢复,但是注意,使用 checkpoint恢复的话不能切换状态后端,但是恢复命令还是一样的,都是指定恢复路径来重启应用:
// 路径必须指定到 checkpoint 的 chk-id 目录bin/flink run-application -d -Dstate.backend=rocksdb -s hdfs://hadoop102:8020/chk/22516b874d99d1478983a9a5b248c6bf/chk-175 -C com.lyh.checkpoint.SavepointDemo.class ./jobs/FlinkStudy-1.0-SNAPSHOT.jar
我们说不能切换状态后端,但是这里指定 -Dstate.backend=rocksdb 并不影响,因为作业本来现在状态本来就是rocksdb 的。
2、状态一致性
2.1、一致性的概念和级别
在分布式系统中,一致性(consistency)是一个非常重要的概念;在事务(transaction)中,一致性也是重要的一个特性。Flink 中一致性的概念,主要用在故障恢复的描述中,所以更加类似于事务中的表述。那到底什么是一致性呢?
简单来讲,一致性其实就是结果的正确性,一般从数据丢失、数据重复角度来评估。对于分布式系统而言,强调的是不同节点中相同数据的副本应该总是“一致的”,也就是从不同节点读取时总能得到相同的值;而对于事务而言,是要求提交更新操作后,能够读取到新的数据。对于 Flink 来说,多个节点并行处理不同的任务,我们要保证计算结果是正确的,就必须不漏掉任何一个数据,而且也不会重复处理同一个数据。流式计算本身就是一个一个来的,所以正常处理的过程中结果肯定是正确的;在发生故障、需要恢复状态进行回滚时就需要更多的保障机制了。我们通过检查点的保存来保证状态恢复后结果的正确,所以主要讨论的就是“状态的一致性”。
一般说来,状态一致性有三种级别:
⚫ 最多一次(At-Most-Once)
就是说数据最多只处理一次,不管之后故没故障,丢没丢掉,数据只来一遍。对于 Flink 而言,不开启 checkpoint 就是最多一次。
当任务发生故障时,最简单的做法就是直接重启,别的什么都不干;既不恢复丢失的状态,也不重放丢失的数据。每个数据在正常情况下会被处理一次,遇到故障时就会丢掉,所以就是“最多处理一次”。我们发现,如果数据可以直接被丢掉,那其实就是没有任何操作来保证结果的准确性;所以这种类型的保证也叫“没有保证”。尽管看起来比较糟糕,不过如果我们的主要诉求是“快”,而对近似正确的结果也能接受,那这也不失为一种很好的解决方案。
⚫ 至少一次(AT-LEAST-ONCE)
数据至少处理一次,甚至是多次,所以数据很可能重复处理。对于 Flink 而言,当第一个 Barrier 到达,而其他 Barrier 没有到达时,第一个 Barrier 后面的数据不会等待,而是直接越过 Barrier ,当出现故障需要恢复检查点的时候,会把一些 Barrier 之外的数据(也就是不该恢复的数据)重复处理,这就是至少一次。
在实际应用中,我们一般会希望至少不要丢掉数据。这种一致性级别就叫作“至少一次”(at-least-once),就是说是所有数据都不会丢,肯定被处理了;不过不能保证只处理一次,有些数据会被重复处理。
在有些场景下,重复处理数据是不影响结果的正确性的,这种操作具有“幂等性”。比如,如果我们统计电商网站的 UV,需要对每个用户的访问数据进行去重处理,所以即使同一个数据被处理多次,也不会影响最终的结果,这时使用 at-least-once 语义是完全没问题的。当然,如果重复数据对结果有影响,比如统计的是 PV,或者之前的统计词频 word count,使用at-least-once 语义就可能会导致结果的不一致了。为了保证达到 at-least-once 的状态一致性,我们需要在发生故障时能够重放数据。最常见的做法是,可以用持久化的事件日志系统,把所有的事件写入到持久化存储中。这时只要记录一个偏移量,当任务发生故障重启后,重置偏移量就可以重放检查点之后的数据了。Kafka 就是这种架构的一个典型实现。
⚫ 精确一次(EXACTLY-ONCE)
第一个 Barrier 到达后,Barrier 后面的数据必须老老实实等着,等到所有 Barrier 都对齐之后才进行持久化,持久化完其他数据才能继续处理。或者非 Barrier 对齐情况下,第一个 Barrier 到达后直接跳到输出缓冲区继续往下游传递,把第一个Barrier 和其他Barrier 之间的数据都进行标记。这两种都是精确一次。
最严格的一致性保证,就是所谓的“精确一次”(exactly-once,有时也译作“恰好一次”)。这也是最难实现的状态一致性语义。exactly-once 意味着所有数据不仅不会丢失,而且只被处理一次,不会重复处理。也就是说对于每一个数据,最终体现在状态和输出结果上,只能有一次统计。exactly-once 可以真正意义上保证结果的绝对正确,在发生故障恢复后,就好像从未发生过故障一样。很明显,要做的 exactly-once,首先必须能达到 at-least-once 的要求,就是数据不丢。所以同样需要有数据重放机制来保证这一点。另外,还需要有专门的设计保证每个数据只被处理一次。Flink 中使用的是一种轻量级快照机制——检查点(checkpoint)来保证 exactly-once 语义。
2.2 端到端的状态一致性
我们已经知道检查点可以保证 Flink 内部状态的一致性,而且可以做到精确一次(exactly-once)。那是不是说,只要开启了检查点,发生故障进行恢复,结果就不会有任何问题呢?
没那么简单。在实际应用中,一般要保证从用户的角度看来,最终消费的数据是正确的。而用户或者外部应用不会直接从 Flink 内部的状态读取数据,往往需要我们将处理结果写入外部存储中。这就要求我们不仅要考虑 Flink 内部数据的处理转换,还涉及从外部数据源读取,以及写入外部持久化系统,整个应用处理流程从头到尾都应该是正确的。
所以完整的流处理应用,应该包括了数据源、流处理器和外部存储系统三个部分。这个完整应用的一致性,就叫作“端到端(end-to-end)的状态一致性”,它取决于三个组件中最弱的那一环。一般来说,能否达到 at-least-once 一致性级别,主要看数据源能够重放数据;而能否达到 exactly-once 级别,流处理器内部、数据源、外部存储都要有相应的保证机制。
状态一致性实现难度:At-most-once < At-least-once < Exactly-once 。
3、 端到端精确一次(end-to-end exactly-once)
实际应用中,最难做到、也最希望做到的一致性语义,无疑就是端到端(end-to-end)的“精确一次”(exactly-once)。我们知道,对于 Flink 内部来说,检查点机制可以保证故障恢复后数据不丢(在能够重放的前提下),并且只处理一次,所以已经可以做到 exactly-once 的一致性语义了。需要注意的是,我们说检查点能够保证故障恢复后数据只处理一次,并不是说之前统计过某个数据,现在就不能再次统计了;而是要看状态的改变和输出的结果,是否只包含了一次这个数据的处理。由于检查点保存的是之前所有任务处理完某个数据后的状态快照,所以重放的数据引起的状态改变一定不会包含在里面,最终结果中只处理了一次。所以,端到端一致性的关键点,就在于输入的数据源端和输出的外部存储端。
3.1、 输入端保证
输入端主要指的就是 Flink 读取的外部数据源。对于一些数据源来说,并不提供数据的缓冲或是持久化保存,数据被消费之后就彻底不存在了。例如 socket 文本流就是这样, socket服务器是不负责存储数据的,发送一条数据之后,我们只能消费一次,是“一锤子买卖”。对于这样的数据源,故障后我们即使通过检查点恢复之前的状态,可保存检查点之后到发生故障期间的数据已经不能重发了,这就会导致数据丢失。所以就只能保证 at-most-once 的一致性语义,相当于没有保证。
想要在故障恢复后不丢数据,外部数据源就必须拥有重放数据的能力。常见的做法就是对数据进行持久化保存,并且可以重设数据的读取位置。一个最经典的应用就是 Kafka。在 Flink的 Source 任务中将数据读取的偏移量保存为状态,这样就可以在故障恢复时从检查点中读取出来,对数据源重置偏移量,重新获取数据。数据源可重放数据,或者说可重置读取数据偏移量,加上 Flink 的 Source 算子将偏移量作为状态保存进检查点,就可以保证数据不丢。这是达到 at-least-once 一致性语义的基本要求,当然也是实现端到端 exactly-once 的基本要求。
3.2、 输出端保证
有了 Flink 的检查点机制,以及可重放数据的外部数据源,我们已经能做到 at-least-once了。但是想要实现 exactly-once 却有更大的困难:数据有可能重复写入外部系统。因为检查点保存之后,继续到来的数据也会一一处理,任务的状态也会更新,最终通过Sink 任务将计算结果输出到外部系统;只是状态改变还没有存到下一个检查点中。这时如果出现故障,这些数据都会重新来一遍,就计算了两次。我们知道对 Flink 内部状态来说,重复计算的动作是没有影响的,因为状态已经回滚,最终改变只会发生一次(检查点在持久化时某一时刻会有两份检查点:旧的检查点和正在保存的,只有正在保存的检查点保存成功了才会替换掉旧的检查点);但对于外部系统来说,已经写入的结果就是泼出去的水,已经无法收回了,再次执行写入就会把同一个数据写入两次。所以这时,我们只保证了端到端的 at-least-once 语义。为了实现端到端 exactly-once,我们还需要对外部存储系统、以及 Sink 连接器有额外的要求。能够保证 exactly-once 一致性的写入方式有两种:
- 幂等写入
- 事务写入
我们需要外部存储系统对这两种写入方式的支持,而 Flink 也为提供了一些 Sink 连接器接口。接下来我们进行展开讲解。
1. 幂等(idempotent)写入
所谓“幂等”操作,就是说一个操作可以重复执行很多次,但只导致一次结果更改。也就是说,后面再重复执行就不会对结果起作用了。
数学中一个典型的例子是,ex 的求导下操作,无论做多少次,得到的都是自身。而在数据处理领域,最典型的就是对 HashMap 的插入操作:如果是相同的键值对,后面的重复插入就都没什么作用了。这相当于说,我们并没有真正解决数据重复计算、写入的问题;而是说,重复写入也没关系,结果不会改变。所以这种方式主要的限制在于外部存储系统必须支持这样的幂等写入:比如 Redis 中键值存储,或者关系型数据库(如 MySQL)中满足查询条件的更新操作。需要注意,对于幂等写入,遇到故障进行恢复时,有可能会出现短暂的不一致。因为保存点完成之后到发生故障之间的数据,其实已经写入了一遍,回滚的时候并不能消除它们。如果有一个外部应用读取写入的数据,可能会看到奇怪的现象:短时间内,结果会突然“跳回”到之前的某个值,然后“重播”一段之前的数据。不过当数据的重放逐渐超过发生故障的点的时候,最终的结果还是一致的。
2. 事务(transactional)写入
如果说幂等写入对应用场景限制太多,那么事务写入可以说是更一般化的保证一致性的方式。之前我们提到,输出端最大的问题就是“覆水难收”,写入到外部系统的数据难以撤回。自然想到,那怎样可以收回一条已写入的数据呢?利用事务就可以做到。我们都知道,事务(transaction)是应用程序中一系列严密的操作,所有操作必须成功完成,否则在每个操作中所做的所有更改都会被撤消。事务有四个基本特性:原子性(Atomicity)、一致性(Correspondence)、隔离性(Isolation)和持久性(Durability),这就是著名的 ACID。在 Flink 流处理的结果写入外部系统时,如果能够构建一个事务,让写入操作可以随着检查点来提交和回滚,那么自然就可以解决重复写入的问题了。所以事务写入的基本思想就是:用一个事务来进行数据向外部系统的写入,这个事务是与检查点绑定在一起的。当 Sink 任务遇到 barrier 时,开始保存状态的同时就开启一个事务,接下来所有数据的写入都在这个事务中;待到当前检查点保存完毕时,将事务提交,所有写入的数据就真正可用了。如果中间过程出现故障,状态会回退到上一个检查点,而当前事务没有正常关闭(因为当前检查点没有保存完),所以也会回滚,写入到外部的数据就被撤销了。具体来说,又有两种实现方式:预写日志(WAL)和两阶段提交(2PC)
(1)预写日志(write-ahead-log,WAL)
我们发现,事务提交是需要外部存储系统支持事务的,否则没有办法真正实现写入的回撤。那对于一般不支持事务的存储系统,能够实现事务写入呢?预写日志(WAL)就是一种非常简单的方式。具体步骤是:
①先把结果数据作为日志(log)状态保存起来
②进行检查点保存时,也会将这些结果数据一并做持久化存储
③在收到检查点完成的通知时,将所有结果一次性写入外部系统。
我们会发现,这种方式类似于检查点完成时做一个批处理,一次性的写入会带来一些性能上的问题;而优点就是比较简单,由于数据提前在状态后端中做了缓存,所以无论什么外部存储系统,理论上都能用这种方式一批搞定。在 Flink 中 DataStream API 提供了一个模板类GenericWriteAheadSink,用来实现这种事务型的写入方式。
需要注意的是,预写日志这种一批写入的方式,有可能会写入失败;所以在执行写入动作之后,必须等待发送成功的返回确认消息。在成功写入所有数据后,在内部再次确认相应的检查点,这才代表着检查点的真正完成。这里需要将确认信息也进行持久化保存,在故障恢复时,只有存在对应的确认信息,才能保证这批数据已经写入,可以恢复到对应的检查点位置。但这种“再次确认”的方式,也会有一些缺陷。如果我们的检查点已经成功保存、数据也成功地一批写入到了外部系统,但是最终保存确认信息时出现了故障,Flink 最终还是会认为没有成功写入。于是发生故障时,不会使用这个检查点,而是需要回退到上一个;这样就会导致这批数据的重复写入。
(2)两阶段提交(two-phase-commit,2PC)
前面提到的各种实现 exactly-once 的方式,多少都有点缺陷,有没有更好的方法呢?自然是有的,这就是传说中的两阶段提交(2PC)。顾名思义,它的想法是分成两个阶段:先做“预提交”,等检查点完成之后再正式提交。这种提交方式是真正基于事务的,它需要外部系统提供事务支持。
具体的实现步骤为:
①当第一条数据到来时,或者收到检查点的分界线时,Sink 任务都会启动一个事务。
②接下来接收到的所有数据,都通过这个事务写入外部系统;这时由于事务没有提交,所以数据尽管写入了外部系统,但是不可用,是“预提交”的状态。
③当 Sink 任务收到 JobManager 发来检查点完成的通知时,正式提交事务,写入的结果就真正可用了。
当中间发生故障时,当前未提交的事务就会回滚,于是所有写入外部系统的数据也就实现了撤回。这种两阶段提交(2PC)的方式充分利用了 Flink 现有的检查点机制:分界线的到来,就标志着开始一个新事务;而收到来自 JobManager 的 checkpoint 成功的消息,就是提交事务的指令。每个结果数据的写入,依然是流式的,不再有预写日志时批处理的性能问题;最终提交时,也只需要额外发送一个确认信息。所以 2PC 协议不仅真正意义上实现了 exactly-once,而且通过搭载 Flink 的检查点机制来实现事务,只给系统增加了很少的开销。Flink 提供了 TwoPhaseCommitSinkFunction 接口,方便我们自定义实现两阶段提交的SinkFunction 的实现,提供了真正端到端的 exactly-once 保证。
不过两阶段提交虽然精巧,却对外部系统有很高的要求。这里将 2PC 对外部系统的要求,列举如下:
- 外部系统必须提供事务支持,或者 Sink 任务必须能够模拟外部系统上的事务。
- 在检查点的间隔期间里,必须能够开启一个事务并接受数据写入。
- 在收到检查点完成的通知之前,事务必须是“等待提交”的状态。在故障恢复的情况下,这可能需要一些时间。如果这个时候外部系统关闭事务(例如超时了),那么未提交的数据就会丢失。
- Sink 任务必须能够在进程失败后恢复事务。
- 提交事务必须是幂等操作。也就是说,事务的重复提交应该是无效的。
可见,2PC 在实际应用同样会受到比较大的限制。具体在项目中的选型,最终还应该是一致性级别和处理性能的权衡考量。
3.3、Flink 和 Kafka 连接时的精确一次保证
在流处理的应用中,最佳的数据源当然就是可重置偏移量的消息队列了;它不仅可以提供数据重放的功能,而且天生就是以流的方式存储和处理数据的。所以作为大数据工具中消息队列的代表,Kafka 可以说与 Flink 是天作之合,实际项目中也经常会看到以 Kafka 作为数据源和写入的外部系统的应用。这里,我们就来具体讨论一下 Flink 和 Kafka 连接时,怎样保证端到端的 exactly-once 状态一致性。
这里我们的并行度为2,输入端是 Kafka ,数据从 Kafka产生,经过 Flink 处理之后再次输出到 Kafka。
1. 我们看到,两个并行度下,Kafka 的两个分区分别把单词 ‘c’和 ‘a’ 发送到下游的Source1 和 Source2,此时正好 JobManager 发出 Barrier ,于是Source1 和 Source2将各自的偏移量持久化到检查点当中。
2. 这里我们不考虑中间Flink内部算子怎么操作持以及久化检查点的,我们主要关心输出端是如何实现精确一次的。我们看到第一条数据到了 Sink 算子后(注意是整个程序的第一条数据并不是每个sink节点接收到的第一条数据,这里的图例有误),Sink 节点开启第一次事务(也就是第一个数据到下一个 Barrier 之间的数据将被保存为第一个版本的检查点状态),预提交开始。同时会将事务的状态保存到状态。
3. 预提交阶段:到达Sink的数据会调用 Kafka producer 的 send() 方法,数据写入缓冲区,再 flush() 。此时数据写入到 Kafka,标记为“未提交”状态,如果任意一个 Sink 节点预提交过程中出现失败,整个预提交会放弃(虽然放弃,但是毕竟数据已经写入到了 Kafka,我们Flink不可能进去Kafka去删除数据,只能在读取数据的时候对于标记为“预提交”的数据选择视而不见)。
4. id=1的barrier到达sink节点,触发barrier节点的本地状态保存到hdfs本地状态,包含自身的状态和事务快照。同时第一轮检查点保存结束,再次开启一个新的Kafka事务,用于该barrier后面的数据的预提交。只有第一个事务是由第一个数据开启,之后的事务都是由barrier开启。
5. 当全部的 节点做完本地的checkpoint,jobmanager向所有节点发送一个本轮成功的回调消息(JobManager就知道了本轮id的barrier持久化状态任务已经完成),预提交结束。
6. sink 收到chekpoint 完成的通知,进行事务的正式提交,将写入Kafka的数据标记修改为“已提交”,如果发生障碍回滚到上次完成快照的时间点。
7. 成功正式提交后,Kafka 会返回一个消息给sink节点,sink节点会将存在状态里的事务状态修改为finished状态。
1. 整体介绍
既然是端到端的 exactly-once,我们依然可以从三个组件的角度来进行分析:
(1)Flink 内部
Flink 内部可以通过检查点机制保证状态和处理结果的 exactly-once 语义(也就是开启检查点并设置状态一致性语义为精准一次)。
(2)输入端
输入数据源端的 Kafka 可以对数据进行持久化保存,并可以重置偏移量(offset)。所以我们可以在 Source 任务(FlinkKafkaConsumer)中将当前读取的偏移量保存为算子状态,写入到检查点中;当发生故障时,从检查点中读取恢复状态,并由连接器 FlinkKafkaConsumer 向 Kafka重新提交偏移量,就可以重新消费数据、保证结果的一致性了。
(3)输出端
输出端保证 exactly-once 的最佳实现,当然就是两阶段提交(2PC)。作为与 Flink 天生一对的 Kafka,自然需要用最强有力的一致性保证来证明自己。Flink 官方实现的 Kafka 连接器中,提供了写入到 Kafka 的 FlinkKafkaProducer,它就实现了 TwoPhaseCommitSinkFunction 接口。
也就是说我们写入 Kafka 的过程其实是一个两段式的提交处理完毕,得到结果写入 Kafka 是基于事物的“预提交”,等到检查点保存完毕才会提交事务,进行正式提交,如果中间出现故障,事故进行回滚,预提交就会被放弃,恢复状态之后也只能恢复所有已确认提交的操作。
2. 需要的配置
在具体应用中,实现真正的端到端 exactly-once ,还需要有一些额外的配置:
- 必须启用检查点
- 指定 Kafka Sink 的发送级别为 DeliveryGuarantee.EXACTLY_ONCE
- 配置 Kafka 读取数据的消费者隔离级别
这里所说的 Kafka ,是写入的外部系统。预提交阶段数据已经写入,只是被标记为“未提交”(uncommitted),而 Kafka 中默认的隔离级别 isolation.level 是 read_uncommited ,也就是可以读取未提交的数据。这样一来,外部应用就可以直接消费未提交的数据,对于事务性的保证就失效了 。所以应该将隔离级别进行配置。
为 read_commited ,表示消费者遇到未提交的消息时,会停止从分区中消费数据,直到消息被标记为已提交才会再次恢复消费。当然,这样做的话,外部应用消费就会有显著的延迟。
4. 事务超时配置
如果 checkpoint 周期 大于 事务时间,很可能我们要提交的时候事务已经关闭,所以我们要保证事务的超时大于checkpoint周期。
Flink 的 Kafka 连接器中配置的事务超时时间 transaction.timeout.ms默认是一小时,而 Kafka 集群配置的事务超时时间transaction.timeout.ms默认是十五分钟。所以在检查点保存时间很长时,有可能出现 Kafka 已经认为事务超时了,丢弃了提交的数据;而 Sink 任务认为还可以继续等待。如果接下来检查点保存成功,发送故障后回滚到这个检查点的状态,这部分数据就被真正丢掉了。所以这两个超时时间前者应该小于等于后者。
编码演示
public class KafkaEOSDemo {public static void main(String[] args) throws Exception {StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment();// TODO 1. 检查点配置// 1. 周期为 5s 默认就是barrier对齐的精准一次env.enableCheckpointing(5000, CheckpointingMode.EXACTLY_ONCE);// 2. 指定检查点的存储位置CheckpointConfig checkpointConfig = env.getCheckpointConfig();checkpointConfig.setCheckpointStorage("file:///D://Desktop//FlinkStudy/chk");// 一般我们会存到云端checkpointConfig.setExternalizedCheckpointCleanup(CheckpointConfig.ExternalizedCheckpointCleanup.RETAIN_ON_CANCELLATION);// TODO 2. 读取 Kafka// 从 Kafka 读取KafkaSource kafkaSource = KafkaSource.builder().setBootstrapServers("hadoop102:9092,hadoop103:9092,hadoop104:9092")//指定kafka地址和端口.setGroupId("lyh")// 指定消费者组id.setTopics("like")// 指定消费的topic,可以是多个用List.setValueOnlyDeserializer(new SimpleStringSchema()) // 指定反序列化器 因为kafka是生产者 flink作为消费者要反序列化.setStartingOffsets(OffsetsInitializer.latest())// 指定flink消费kafka的策略.build();DataStreamSource kafka_source = env.fromSource(kafkaSource, WatermarkStrategy.forBoundedOutOfOrderness(Duration.ofSeconds(2000L)), "kafkaSource");// TODO 3. 写出到 Kafka/* 写到 kafka 的一致性级别: 精准一次 / 至少一次 如果是精准一次 1.必须开启检查点 env.enableCheckpointing(2000, CheckpointingMode.EXACTLY_ONCE) 2.必须设置事务的前缀 3.必须设置事务的超时时间: 大于 checkpoint间隔 小于 max 15分钟 */KafkaSink kafkaSink = KafkaSink.builder()// 指定 kafka 的地址和端口.setBootstrapServers("hadoop102:9092,hadoop103:9092,hadoop104:9092")// 指定序列化器 我们是发送方 所以我们是生产者.setRecordSerializer(KafkaRecordSerializationSchema.builder().setTopic("wc").setValueSerializationSchema(new SimpleStringSchema()).build()).setDeliveryGuarantee(DeliveryGuarantee.EXACTLY_ONCE) // 开启两阶段提交.setTransactionalIdPrefix("lyh-") // 事务前缀.setProperty(ProducerConfig.TRANSACTION_TIMEOUT_CONFIG,10*60*1000+"").build();kafka_source.sinkTo(kafkaSink);env.execute();}}
我们在命令行开启一个Kafka消费者来消费Flink写入到Kafka的”wc”主题的数据,运行程序可以发现,当我们的生产者刚发送数据,还没到检查点周期结束呢就被保存了(现象就是生产者刚发送一条数据,消费者已经读取到了)。
我们可以在源码中看到,默认 Kafka 的消费者的隔离级别是读未提交,这种情况下,预提交的数据也会被读取到(这是不满足端到端精准一次的,因为如果我们的中间出故障了,预提交的数据应该被丢弃,但是显然现在预提交的数据已经被读取到了,事实上我们应该等到预处理的数据被标记为已提交的时候才能被读取),所以我们需要配置 Kafka 的消费者隔离级别。
我们开启一个消费者来读取我们Flink 写入到 Kafka 中的数据:
public class KafkaEOSSourceDemo {public static void main(String[] args) throws Exception {StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment();env.setParallelism(1);// 从 Kafka 读取KafkaSource kafkaSource = KafkaSource.builder().setBootstrapServers("hadoop102:9092,hadoop103:9092,hadoop104:9092")//指定kafka地址和端口.setGroupId("lyh")// 指定消费者组id.setTopics("ws")// 指定消费的topic,可以是多个用List.setValueOnlyDeserializer(new SimpleStringSchema()) // 指定反序列化器 因为kafka是生产者 flink作为消费者要反序列化.setStartingOffsets(OffsetsInitializer.latest())// 指定flink消费kafka的策略.setProperty(ConsumerConfig.ISOLATION_LEVEL_CONFIG, "read_committed").build();env.fromSource(kafkaSource, WatermarkStrategy.forBoundedOutOfOrderness(Duration.ofSeconds(2000L)),"kafkaSource").print();env.execute();}/* *kafka 消费者的参数: *auto.reset.offsets: *earliest: 如果有offset,从offset继续消费;如果没有 就从 最早 消费 *latest: 如果有offset,从offset继续消费;如果没有 就从 最新 消费 * flink 的 kafkaSource offset消费者策略: offsetsInitializer,默认是 earliest *earliest: 一定从 最早 消费 (不管有没有offset) *latest: 一定从 最新 消费 (不管有没有offset) */}
我们需要观察的是,当我们生产者生产一条数据后,多久才会写入到Kafka,是不是在一个checkpoint周期(我们这里设置的是5s)之后,如果是5s之后,说明是按照2pc来提交的。
所以,端到端精准一次对输出端(一般都是Kafka)是有要求的,比如这里就要求必须设置消费者隔离级别为 read_committed 。
总结
Flink 的容错机制终于是过完了,用时3天左右,收获满满,期待下次复习以及背面试题的时候再来了解,这种底层的原理是真的有意思。希望 Flink 以后可以是我工作的主要工具,太爱了。