微信后台基于时间序的新一代海量数据存储架构的设计实践

本文做者腾讯WXG后台开发工程师jeryyzhang，收录时有改动，感谢原做者的分享。

一、引言

大约3年前，微信技术团队分享了《微信后台基于时间序的海量数据冷热分级架构设计实践》一文，文中总结了微信这种超级IM基于时间序的海量数据存储架构的设计实践，也得以让你们了解了微信后台的架构设计思路。

时隔3年，微信再次分享了基于时间序的新一代海量数据存储架构的设计实践，但愿能带给你启发。

阿里团队也分享过IM基于时序的数据同步和存储方案，有兴趣能够一并阅读：《现代IM系统中聊天消息的同步和存储方案探讨》。

二、微信基于时序的数据业务场景

做为以手机为主要平台的移动社交应用，微信内大部分业务生成的数据是有共性可言的：数据键值带有时间戳信息，而且单用户数据随着时间在不断的生成，咱们将这类数据称为基于时间序的数据。例如朋友圈的发表，支付帐单流水，公众号文章阅读记录等。

这类基于时间序的数据一般不会删除，而是会随着时间流逝不断积累，相应须要的存储空间也与日俱增：key 量在万亿级别、数据量达到 PB 级别、天天新增 key 十亿级别。同时在十亿用户的加持下，天天的访问量也高达万亿级别。

三、微信的数据访问模式

通过数据分析，咱们发现基于时间序的存储通常有以下三个特色。

特色1——读多写少：

这类基于时间序的存储，若是须要访问一段时间内的数据就须要对对应时间段内的全部键值对都进行一次访问。与所有写入到一个键值对的场景相比能够视为读扩散的场景。部分业务场景下的读写比甚至高达 100:1。

特色2——冷热分明：

这类基于时间序的存储，数据的时效性每每也决定了访问频率。好比对用户进行公众号文章的推荐，用户近期的阅读记录会更加具备参考意义。这就致使数据的访问不是均匀的，而会更集中在最近一段时间所产生的数据。以某业务场景为例，70%以上的访问来自最近一天内的新增数据，90%来自 3 个月内的新增数据。一年外的数据访问占比只有 5%。

特色3：数据安全性要求高：

这类数据一般是由用户主动产生，一旦丢失，很是容易被用户感知，致使投诉。

下图是数据的读取分布状况统计：

（▲ 本图在上篇《微信后台基于时间序的海量数据冷热分级架构设计实践》也有相似统计）

四、本次升级以前的架构及其面临的挑战

 

在本次升级以前，咱们使用一致性缓存层+SSD 热数据层+机械盘冷数据层的分层架构方案来解决此类基于时间序的存储。更多的技术细节能够参考上篇《微信后台基于时间序的海量数据冷热分级架构设计实践》。

对于冷数据集群，咱们使用微信自研的 WFS（Wechat File System 微信分布式文件系统）对其进行了一次升级，极大的简化了运维成本。不过这部分不是本文重点，在此再也不详述。

旧架构在过去几年微信后台的发展过程当中始终表现平稳，可是也依然面临着一些挑战。

首先是扩展能力方面的挑战：旧架构中，考虑到读多写少的访问模型，为了加快宕机后的数据 catchup 速度，咱们使用了细粒度的 paxos group，即每一个 key 有一个独立的 paxos group。这样在进程重启等宕机场景下，只有少许写入的 key 须要进行 catchup。理想很丰满，现实很骨感。在 PaxosStore 架构中，数据的扩缩容是以 paxos group 为粒度的。也就是说，对于使用细粒度 paxos group 的存储，进行扩缩容是逐 key 的，耗时能够当作与 key 量成正比；单机百亿级别的 key 量放大了这一问题，即便咱们采起一系列的工程优化缩短耗时，总体的迁移周期依然比较长，须要几周时间。

另一个方面则是来自容灾能力的挑战：PaxosStore 使用 KV64+三园区的部署方式（PaxosStore在上篇《微信后台基于时间序的海量数据冷热分级架构设计实践》中，被认为是该架构中的技术关键点）。同一个 key 的三个副本分属三个园区，同一个园区的两台机器服务分片没有重叠，所以能够容忍园区级别的故障。然而对于同组两台不一样园区机器故障的状况，则有占比 1/6 的数据只剩余单个副本，没法提供读写服务。

可能有同窗会认为，同组两台不一样园区机器故障，几率无异于中彩票。然而根据墨菲定律：“凡是可能出错的事情，最终必定会出错”。在过去几年也曾出现过同 Set 两台不一样园区机器前后发生故障的状况。

咱们都知道，分布式系统的一个核心观点就是基于海量的，不可靠的硬件，构造可靠的系统。那么硬件究竟有多不可靠呢？

Jeff Dean 在 2009 年的一次 Talk 中曾经提到过：

 

 

 

Jeff Dean是谁？

Jeff Dean是谷歌Level 11（Google Senior Fellow）级别的超级工程师。Jeff Dean被认为是谷歌技术的代名词，谷歌之因此如此强大，Jeff Dean是其中的很重要的缘由之一。能够看看知乎上的这个讨论：zhihu.com/question/22081653

PaxosStore 使用 no raid 的磁盘阵列，磁盘故障致使单盘数据丢失时有发生。在机器故障检修以及数据恢复的过程当中，有大量数据（占单组 50%，逐渐收敛为 0）是以 2 副本形式存在，这就进一步削弱了系统的容灾能力。

总结一下，咱们面临以下几个挑战：

1）单机百亿级别 key 量，10TB 级别数据，如何快速扩容？

2）如何低成本的提高系统的容灾能力，使之容忍任意双机故障？

3）磁盘故障，数据清空后如何快速恢复。

4）做为一款十亿月活的国民 APP，对其进行改造无异于给一架正在飞行的飞机更换发动机，改造过程稍有不慎均可能招致用户投诉，甚至上个热搜。

接下来我会针对这几个难点逐一展开，介绍咱们的解决思路与方案。

五、本次架构升级过程的技术的详细实践总结

5.1 计算和存储分离的思路

对于细粒度的的 paxos group，迁移过程当中，扫 key、迁移、校验等步骤都是逐 key 粒度的。这会产生大量的磁盘 IO 与 CPU 消耗，致使迁移速度上不去，须要几周才能够完成迁移。

那么咱们可否能够采起粗粒度 paxos group 以加快迁移呢？答案是确定的。

对比细粒度的 paxos group，单个粗粒度的 paxos group 能够同时保证多个 key 的内容强一致。所以迁移校验等过程当中，能够减小大量的 paxos 交互。

然而粗粒度 paxos group 的存储，与细粒度 paxos group 的存储相比，在迁移过程当中对目标集群的写入不会减小，整体依然涉及了大量数据的腾挪。而因为 LSMTree 存储引擎存在的写放大问题，数据大量写入目标机这一过程会成为瓶颈。

整体来看，扩容时间能够缩短为原来的 1/2 甚至 1/3，达到天级别的水平。

看起来相比细粒度 paxos group 的迁移已经有很大改进，咱们可否更进一步？

首先咱们分析一下在什么场景下须要扩容，通常来讲是如下两个场景：

1）因为数据增长，磁盘容量达到瓶颈；

2）因为请求增长，CPU 处理能力达到瓶颈。

对于状况 1：若是咱们使用分布式文件系统替代本地文件系统，当容量达到瓶颈时只须要增长分布式文件系统的机器就能够实现容量的快速扩容，对上层应用而言至关于得到了一块容量能够无限增加的磁盘。

对于状况 2：采用计算存储分离结构后。计算节点无状态，不涉及数据腾挪，天然能够实现快速扩容；若是是存储层节点 CPU 瓶颈，也能够经过文件块级别的腾挪来实现快速扩容以及热点打散。

应用计算存储分离的思路，咱们基于 WFS（微信分布式文件系统）以及微信 Chubby（分布式锁），实现了一套计算存储分离的存储架构，代号 Infinity，寓意无限的扩展能力。

5.2 “任何计算机问题均可以经过增长一个中间层来解决”

计算机科学经典名语：“All problems in computer science can be solved by another level of indirection”。

在 Infinity 中，咱们引入了一个被称为 Container 的中间层。Container 能够近似理解为一个数据分片。每台机器能够装载一个或多个 Container，咱们称之为 ContainerServer。ContainerServer 会处理其上 Container 对应数据的读写请求，Master 负责 Container 在 ContainerServer 间的调度，Chubby 则提供了分布式锁服务以及 Container 位置信息在内的元信息存储。

当 master 发现有新加入的机器时，会主动触发负载均衡，将其余 ContainerServer 上的 Container 调度到新机。整个调度过程当中，不涉及数据的腾挪。在咱们实际的测试中，Container 腾挪的平均耗时在百毫秒级别。

 

 

如上图所示，这是一个多园区部署的 Infinity 示意图。每一个园区内都有独立的 WFS 与 Chubby 存储，每一个园区都对应全量的数据。对于同一个数据分片，分别位于 3 个园区的 3 个 container 组成一个 paxos group。

 

 

对于这样一个方案，咱们是能够对每一个园区实现弹性伸缩的，系统总体的可用率由最上层的 paxos 提供保证。

咱们来计算下这一方案的存储成本：园区内 3 副本的 WFS 存储 X 园区间的 3 副本 Replica，总体就是 9 副本。对于 PB 体量的存储，这一方案所增长的存储成本是咱们难以承担的。既然多 zone 部署的 Infinity 存在成本问题。咱们天然想到，可否使用单 zone 部署的 Infinity 来负责存储。

首先分析成本：单 zone 部署 Infinity 的存储成本为 3 副本 WFS，与现有架构的成本一致。其次分析扩展能力，单 zone 部署的 Infinity 同样具备出色的扩展能力，优于现有架构。对于 Chubby 这一中心点依赖，咱们能够实行 Set 化改造来尽可能消除风险。

 

 

分 Set 改造后，咱们不禁得又想起那些年旧架构常常遇到的一种状况：单组请求突增。

此处有必要简单介绍一下 PaxosStore 的路由方案，组间一致性 Hash，单组内是 KV64 结构。一致性 Hash 消除访问热点，一切看起来很美好。然而假设因为某些缘由，大量请求集中访问某组 KV 时，如何应急？

此时咱们既没法快速增长该组内的机器处理请求（KV64 限制），也没法快速分散请求到其余组（若是这组 KV 须要 3 倍容量，那就要把整个服务总体扩容 3 倍才能够）。

这就引起了一个尴尬的局面：

1）一组 KV 水深火热，其余组 KV 心有余而力不足；

2）只能反复调整前端请求的访问比例，直到业务低峰期。

 

 

那么在 Infinity 中，咱们如何解决这一问题呢？

首先：咱们的 Set 化本质上是对 Container 进行分组，其中 Container 到组的映射关系是存储于 Chubby 中的。若是咱们想分散一组请求到其余组，只须要依次修改每一组 Chubby 中存储的映射关系便可。在实际实现中还有一些工程细节须要考虑，好比对于要移入其余组的 Container，必须在原组进行 Unload 并中止调度等。这里就不一一展开了。

 

 

咱们在线上也进行了一次大规模腾挪 Container 到其余组的实验：结果显示，单个 container 腾挪到其余组，平均耗时不足 1 秒。

5.3 单 zone Infinity 架构的一些问题

单 zone Infinity 架构解决了多 zone Infinity 成本问题的同时，也必然作出了取舍。

对于某个 container，任一时刻必须只在最多一个 containersvr 上服务。不然就有致使数据错乱的风险。类比多线程中的 data race。咱们经过引入分布式锁服务来避免 double assign。同时为了减小分布式锁开销，咱们将锁的粒度由 Container 级别收敛到 ContainerSvr 级别。每台 ContainerSvr 开始提供服务后会按期前往 chubby 续租。若是一台 ContainerSvr 崩溃，master 也须要等到锁租约过时后才能够认为这台 ContainerSvr 挂掉，并将其上的 container 分配出去。

这就会致使存在一部分 container 在租约切换期间（秒级别）不能服务。

 

 

咱们引入两个可靠性工程的常见指标来进行说明：

1）MTTR：全称是 Mean Time To Repair，即平均修复时间。是指可修复系统的平均修复时间，就是从出现故障到修复中间的这段时间。MTTR 越短表示易恢复性越好；

2）MTBF：全称是 Mean Time Between Failure，是指可修复系统中相邻两次故障间的平均间隔。MTBF 越高说明越不容易出现故障。

能够说，单 zone Infinity 架构缩短了 MTTR，可是也缩短了 MTBF，致使总体的可用性依然不高。

5.4 不可能三角？

在不少领域中，都有相似“不可能三角”的理论。好比分布式理论中经典的 CAP 定理，经济学理论中的蒙代尔不可能三角等。

在咱们上面的讨论中，其实也蕴含了这样的一个“不可能三角”：

1）成本

2）扩展性

3）可用性。

 

具你原本说：

1）PaxosStore 兼顾了成本与可用性，但扩展能力稍逊；

2）多 zone Infinity 可用性与扩展性都为上乘，但成本是个问题；

3）单 zone Infinity 牺牲了一点可用性，换来了成本和扩展性的优点。

三者不可得兼，咱们该如何取舍？

1）首先是成本：是咱们必须考虑的因素，这关系到咱们架构实际落地仍是成为巴贝奇的分析机；

2）其次是可用性：这关系到用户的使用体验。

在咱们的新架构中，可用性不只不能降低，甚至还应该有所提高。好比：容忍任意双机故障。结合上面的讨论，一个核心的目标逐渐浮出水面：低成本双机容灾改造。

5.5 低成本双机容灾改造

咱们首先来分析一下如何实现双机容灾改造。

一个简单的思路是：提高咱们的副本数，由 3 副本提高为 5 副本。

5 副本天然能够容忍小于多数派（<=2）的机器故障，实现双机容灾。然而考虑到成本问题，3 副本改造为 5 副本，成本增长 66%，这是咱们没法接受的。

此时咱们想到了函数式编程中的常见思想：Immutable! 对于静态不可变的数据而言，只要有 3 个副本，那么咱们也能够在丢失 2 个副本的状况下，信任惟一的副本。

然而对于一个存储系统而言，咱们没办法控制用户不修改 Key 对应的 Value 值，那么咱们该如何实现静态化 3 副本呢？

5.6 LSMTree Revisited

关于 LSMTree 这一存储引擎的介绍，资料有不少。这里就再也不详述了。

这里引用一张 LSMTree 的架构图：

 

咱们分析一下图中每一个类型的文件：

1）对于 SSTable 文件，写入完成后即不可变，并且是 LSMTree 中主要的数据存储（占比超过 99%），对于这一部分文件咱们只须要存储 3 副本便可；

2）对于其余的文件如 WAL log，以及 Manifest，咱们使用 5 副本存储，整体的存储成本增加能够忽略不计。

这样，咱们就可使用单 zone Infinity，在保持存储成本不变的状况下，得到双机容灾的能力。

5.7 分而治之

架构的不足之处：

1）单 zone Infinity 能够以 3 副本的存储成本实现双机容灾，然而存在租约切换期间的不可用问题；

2）5 副本 KV 实现了无租约的双机容灾，而后存储成本相比原来增长了 2/3。

两种架构各有不足，看似咱们陷入了死局。然而回顾基于时间序数据的访问模型，咱们发现对于热数据与温数据，他们表现出了大相径庭甚至相反的一些有趣性质。

 

 

咱们能够采起计算机科学中的重要思想——分治来解决：

1）对于热数据：访问量较大，咱们但愿他有最高的可用性，同时它的数据占比又不大，适于采用 5 副本 KV 的方案进行双机容灾改造；

2）对于温数据：数据量较大，不能采起 5 副本方案改造，而使用单 zone Infinity 的方案，则能够完美解决成本问题。

虽然会有偶尔短暂的不可用时长，可是因为总体的访问占比很少，系统总体的可用率依然能够保持在很高的水准。

对新架构的成本分析：

 

这样咱们就在不显著增长存储成本，不牺牲可用性的前提下，实现了双机容灾的目标。

为了提高热数据部分的扩展性，咱们可使用粗粒度 paxos group 的交互方案。对于热数据，在数据量减小+粗粒度 paxos group 双重改进下，扩容时间能够提高到小时级别。同时，咱们实现了热数据由 5 副本 KV 到单 zone Infinity 的自动下沉。一方面能够保持整体的存储成本不膨胀，另外一方面也减小了热数据的总量，热数据集群的扩容需求也就没有那么强烈。

5.8 磁盘清空后的数据快速恢复

对于 Infinity 部分的数据，能够依靠 WFS 自动检测，补全副本数。在机器检修期间就能够完成大部分数据的补全。对于热数据部分的数据，虽然数据减小，可是恢复过程当中仍是会受限于 lsmtree 的写入过程当中 Compact 产生的写放大问题。

通过一些业界的调研，对于 lsmtree 批量导入的场景，一种常见的作法是 BulkLoad，也即先将全部 key 进行排序，生成有序的 SSTable 文件，直接提交到 lsmtree 的最后一层，这样能够彻底绕过写放大实现数据的导入。

咱们通过分析，发现这种作法还不是最优的。首先，咱们对于 SSTable 中的数据会进行 block 级别的压缩，在遍历数据的过程当中须要进行解压；而在生成 SSTable 的过程当中，为了减小存储成本，又须要进行压缩。通过研究，发现咱们这种场景下有更优的恢复方案：基于目录级别的快速恢复。

5.9 目录级别的快速恢复

要想实现目录级别的快速恢复，首要条件就是：须要数据的路由规则与目录分布是彻底对齐的。这样才能够保证恢复目录后，不会得到不属于本机的数据，也不会遗漏数据。

在此前的 kv 中都忽略了这一设计，致使没法经过拷贝文件实现快速恢复。结合 5 副本的路由方案，咱们得到了一个能够实现对齐的目录分布方案。推导后的方案很是简洁，用一张图片便可说明。

 

 

咱们进行的测试也印证了这一改造的效果，基于目录拷贝的恢复方案相比原来逐 paxos group 恢复方案取得了近 50 倍的速度提高，从小时级进入到分钟级。

5.10 新架构终得成型

对几个架构方案的对比：

5.11 平稳升级到最新架构成果

至此咱们的改造方案有了，然而改造过程一样值得注意。咱们必须在保证系统稳定的前提下，平稳的完成数据与访问的切换。

首先是灰度能力，咱们作了两个粒度的灰度控制：

1）一是访问时间级别，按照 key 上面的时间，分批将数据从原架构中腾挪出来；

2）二是命令字级别，数据腾挪完成后，咱们会先保持双写状态观察，先逐步切换读请求到新架构中，观察正常后才会去掉双写，完成切换。

其次是改造的正确性：

1）咱们采起了全量的数据校验方案，保证改造过程当中不会丢失数据；

2）最后是在腾挪过程当中，咱们开发了一套基于机器资源以及监控上报的自动反馈机制，当业务高峰期或者出现失败时自动降速，低峰期自动加速，减小了人为介入。

目前，咱们已经完成部分核心存储集群的架构改造，实现了全程无端障切换。

六、本文小结

2019 年，微信后台经过如上持续不断的改造，在不增长成本的前提下，极大提高了基于时间序存储的扩展能力，从周级别的扩容速度升级到总体小时级的扩容速度，而且温数据部分的计算节点作到了分钟级的扩容速度。

同时，利用数据的特性进行集群划分，将 5 副本 PaxosStore 存储与计算存储分离架构进行有机结合，在极大提高了扩展能力的同时，将可用性提高到容忍双机故障的水平。（本文同步发布于：http://www.52im.net/thread-2970-1-1.html）