目录
一、核心概念区分
1. 业务降级放通(限流降级熔断里的「放通」策略)
2. 互联网离线能力
二、业务降级放通:实现方案与策略
1. 常见降级放通规则
(1)功能级放通(最常用)
(2)数据精度降级放通
(3)第三方依赖降级放通
(4)流量分级放通
2. 技术落地组件
三、互联网离线能力:分层实现(客户端 + 服务端)
1. 客户端离线(APP / 小程序 / PC 前端)
2. 服务端离线(内网隔离,断互联网)
(1)本地缓存集群
(2)内外网数据双写同步机制
(3)离线第三方模拟适配器
3. 离线关键设计要点
四、两者核心差异对比
五、组合落地架构(高可用完整容灾体系)
六、业务落地示例(零售收银系统)
七、常见风险与避坑
降级放通风险
离线能力风险
一、核心概念区分
1. 业务降级放通(限流降级熔断里的「放通」策略)
定义:系统流量过载、下游故障、资源耗尽时,主动关闭非核心逻辑、简化流程,放行核心业务正常流转,牺牲次要功能保障主线可用,属于在线高可用容灾手段(全程依赖网络 / 服务集群)。
- 适用场景:线上峰值、第三方接口超时、数据库慢查询、微服务雪崩风险
- 核心目标:保核心链路吞吐量,防止全链路宕机
2. 互联网离线能力
定义:客户端 / 服务端在完全断网、内网隔离、第三方互联网通道不可用的场景下,依靠本地缓存、本地计算、本地存储独立完成业务闭环,不依赖外网 API、云端服务,属于断网容灾。
- 适用场景:机房断外网、用户设备无网络、专线中断、第三方平台(支付 / 地图 / 短信)全网不可访问
- 核心目标:断网后业务不中断,联网后数据自动同步
二、业务降级放通:实现方案与策略
1. 常见降级放通规则
(1)功能级放通(最常用)
- 保留:下单、支付、登录、核心查询等主线流程
- 降级关闭:商品推荐、活动弹窗、实时统计、日志上报、会员积分实时计算、消息推送
- 示例:大促高峰期,关闭首页个性化推荐,全量展示基础商品列表,下单链路完全放行
(2)数据精度降级放通
不阻断流程,只简化数据计算:
- 实时报表→读取 5 分钟缓存快照
- 实时库存校验→粗量缓存校验,放弃精准扣减,异步对账修正
- 复杂风控规则→仅执行基础黑白名单,跳过 AI 模型校验
(3)第三方依赖降级放通
外部接口故障时,跳过调用直接放行:
- 短信验证码:备用本地验证码缓存 / 图形验证码兜底
- 物流实时查询:跳过第三方物流接口,展示静态文字 “物流稍后查询”,下单正常完成
- 支付渠道:某家支付网关超时,自动切备用渠道,无备用则走离线支付单据
(4)流量分级放通
- 核心用户(付费 / 会员)全量放行
- 普通用户限流,非高峰再处理;新注册用户临时限制提交
2. 技术落地组件
微服务体系:Sentinel、Hystrix、Resilience4j、网关层(Spring Cloud Gateway/APISIX) 执行逻辑:
- 监控接口 RT、错误率、并发阈值
- 触发阈值后,执行预设降级规则
- 返回简化兜底数据,不抛出阻断业务的异常
三、互联网离线能力:分层实现(客户端 + 服务端)
1. 客户端离线(APP / 小程序 / PC 前端)
核心:本地持久化存储(LocalStorage、SQLite、IndexedDB、本地文件) 能力点:
- 离线录入:断网仍可提交表单、创建订单、上传本地图片
- 本地校验:基础参数、权限、金额规则本地计算,不调云端接口
- 队列缓存:离线操作存入本地任务队列,网络恢复后批量异步同步
- 本地静态资源:商品基础信息、字典、基础配置预下载本地,断网可浏览
短板:复杂业务校验、跨设备数据无法本地完成,依赖服务端兜底同步
2. 服务端离线(内网隔离,断互联网)
企业级后台、IoT、政务、零售门店系统主流方案:
(1)本地缓存集群
Redis 本地集群、本地数据库全量镜像,业务读写不走外网 API
(2)内外网数据双写同步机制
联网时:业务同时写内网库 + 云端互联网服务 断网时:仅读写本地库,生成同步日志 恢复联网:增量日志自动同步云端,冲突按时间戳 / 优先级合并
(3)离线第三方模拟适配器
封装互联网第三方(支付、OCR、短信)的本地 Mock 实现:
- 断外网时,生成离线凭证、离线单据
- 联网后批量补发、核销、对账
3. 离线关键设计要点
- 数据一致性:采用最终一致性,放弃强一致,离线允许短暂数据不同步
- 冲突处理:同一条数据本地 + 云端同时修改,设置覆盖规则(本地优先 / 云端优先)
- 同步重试机制:指数退避重试,失败任务持久化不丢失
- 开关控制:支持手动强制切离线模式,无需等待真实断网
四、两者核心差异对比
| 维度 | 业务降级放通 | 互联网离线能力 |
|---|---|---|
| 网络前提 | 网络正常,仅服务过载 / 下游故障 | 互联网完全断开,无外网通路 |
| 运行环境 | 依赖完整服务集群、内网互通 | 仅依赖本地资源(本地 DB / 缓存 / 客户端存储) |
| 故障范围 | 线上流量雪崩、第三方接口超时 | 机房外网中断、设备无网、第三方全网瘫痪 |
| 业务逻辑 | 简化非核心,核心链路正常远程调用 | 切断所有外网调用,全部逻辑本地闭环 |
| 恢复方式 | 流量回落 / 下游恢复自动解除降级 | 网络恢复后批量同步离线数据 |
| 典型工具 | Sentinel、网关限流降级、熔断组件 | 本地数据库、消息本地队列、离线同步中间件 |
五、组合落地架构(高可用完整容灾体系)
分层容灾顺序(由轻到重):
- 正常状态:全量功能、完整互联网依赖、无降级
- 轻度故障(下游超时 / 流量高峰):触发业务降级放通,关闭次要功能,保留外网调用
- 重度故障(外网全断、第三方全部不可用):自动切换互联网离线模式,本地完成所有核心业务,暂停外网交互
- 网络恢复:离线缓存数据异步同步云端,自动退出离线模式,恢复完整功能
六、业务落地示例(零售收银系统)
- 大促人流暴增 → 降级放通:关闭会员积分实时抵扣、营销弹窗,收银下单正常结算
- 门店光纤断裂,完全断互联网 → 开启离线能力:收银机本地库存、本地订单库,照常收款出单;联网后同步订单至总部云端、同步线上会员数据
- 网络修复 → 离线订单批量上传,积分、线上库存异步对账补全
七、常见风险与避坑
降级放通风险
- 降级规则遗漏核心链路,导致主线被阻断
- 降级兜底逻辑未充分测试,出现空数据、报错
- 长期降级堆积大量异步任务,恢复后引发二次流量冲击
离线能力风险
- 本地存储容量不足,离线操作丢失
- 大量离线数据同步时打垮云端接口,需配套限流
- 离线单据对账逻辑缺失,产生资金 / 库存差异