聊一聊安全且正确使用缓存的那些事 —— 关于缓存可靠性、关乎数据一致性

本文为稀土技能社区首发签约文章，14天内制止转载，14天后未获授权制止转载，侵权必究！

---

咱们好，又碰头了。

在上一篇文档《聊一聊作为高并发体系基石之一的缓存，会用很简单，用好才是技能活》中，咱们对缓存的巨大体系进行了个初步的讨论，浮光掠影般的介绍了本地缓存、会集缓存、多级缓存的不同形式，也走马观花似的初识了缓存规划的关键原则与需求重视的典型问题。

作为《深入理解缓存原理与实战规划》系列专栏的第二篇内容，从本篇开始，咱们将聚集缓存体系中的具体场景，分别进行深入的论述与讨论。本篇咱们就一同具体地聊一聊缓存运用中需求重视的典型问题与可靠性防护措施。

在散布式体系盛行的今日，尤其是在一些用户体量比较大的互联网业务体系里边，缓存充当着扛压屏障的作用。当时各互联网体系能够抗住动辄数万甚至数十万的并发恳求量，缓存机制功不行没。而一旦缓存呈现问题，对体系的影响往往也是丧命的。所以在缓存的运用时必需求考虑齐备的兜底与灾难应对战略。

热门数据与筛选战略

大部分服务端运用的抗压型缓存，为了确保缓存履行速度，遍及都是将数据存储在内存中。而受限于硬件与成本约束，内存的容量不太或许像磁盘相同近乎无限的去随意扩容运用。关于实践数据量及其巨大且无法将其悉数存储于缓存中的时分，咱们需求确保存储在缓存中的有限部分数据要尽或许的射中更多的恳求，即要求缓存中存储的都是热门数据。

说到这里，就会存在一个不得不面对的问题：当数据量超级大而缓存的内存容量有限的状况下，假如容量满了该怎么办？

断舍离！

缓存完成的时分，必需求有一种机制，能够确保内存中的数据不会无约束增加 —— 也即数据筛选机制。数据筛选机制，是一个老练的缓存体系所必备的根底才能。这里有个概念需求厘清，即数据筛选战略与数据过期是两个不同的概念。

• 数据过期，是缓存体系的一个正常逻辑，是符合业务预期的一种数据删去机制。即设定了有用期的缓存数据，过期之后从缓存中移除。

• 数据筛选，是缓存体系的一种“有损自保”的降级战略，是业务预期之外的一种数据删去手法。指的是所存储的数据没到达过期时刻，但缓存空间满了，关于新的数据想要加入缓存中时，缓存模块需求履行的一种应对战略。

咱们把缓存作为一个容器，试想一下，一个容器已满的状况下，继续往里边放东西，能够有什么应对之法？无外乎两种：

1. 直接回绝，由于满了，放不下了。

2. 从容器里边丢掉一些已有内容，然后腾挪出部分空间出来，将新的东西放进来。

进一步地，当决议选用先从容器中丢掉一些已有内容的时分，又会面临一个新的抉择，应该丢掉哪些内容？实践中常用的也有几种计划：

1. 一切随缘，随机决议。从容器中现有的内容中随机丢掉除去一些。

2. 按需排序，保存常用。即根据LRU战略，将最久没有被运用过的数据给除去掉。

3. 提早过期，筛选出局。关于一些设置了过期时刻的记载，将其依照过期时刻点进行排序，将最近即将过期的数据除去（相似让其提早过期）。

4. 其它战略。自行完成缓存时，除了上述会集常见战略，也能够依据业务的场景构建业务自定义的筛选战略。比方依据创立日期、依据最后修正日期、依据优先级、依据拜访次数等等。

一些主流的缓存中间件的筛选机制大都也是遵从上述的计划来完成的。比方Redis提供了高达6种不同的数据筛选机制，供运用方按需挑选，将有限的空间仅用来存储热门数据，完成缓存的价值最大化。如下：

从上图能够看出，Redis对随机筛选和LRU战略进行的更精细化的完成，支撑将筛选方针规划细分为悉数数据和设有过期时刻的数据，这种战略相对更为合理一些。由于一般设置了过期时刻的数据，本身就具备可删去性，将其直接筛选对业务不会有逻辑上的影响；而没有设置过期时刻的数据，一般是要求常驻内存的，往往是一些配置数据或许是一些需求作为白名单含义运用的数据（比方用户信息，假如用户信息不在缓存里，则阐明用户不存在），这种假如强行将其删去，或许会形成业务层面的一些逻辑反常。

缓存雪崩：防止缓存的会集失效

为了约束缓存的数量，许多的缓存记载都会设置必定的有用期，到期后主动失效。这种在一些批量缓存构建或许全量缓存重建时，由于设置了相同的失效时刻，会导致许多甚至悉数的缓存数据在短时刻内集体失效，这样会导致许多的恳求无法射中缓存而直接流通到了下流模块，导致体系瘫痪，也即缓存雪崩。

其实处理的思路也很简单，防止呈现会集失效就好咯。怎么防止呢？

一种简单的战略，就是批量加载的场景，将过期时刻在一个固定时刻段内以毫秒等级进行随机打散，比方本来要设置每条记载过期时刻为5分钟，则批量加载的时分能够设置过期时刻为5~10分钟之间的恣意一个毫秒数。这样就能够有用的防止数据会集失效，防止呈现缓存雪崩而影响业务稳定。

此外，在一些大型体系里边，尤其是一些散布式微服务化的体系中，许多状况下都会有多个独立的缓存服务，而终究持久化数据则会集存储。假如某个独立缓存真的呈现了缓存雪崩，业务层面应该怎么将受损规划操控在仅自身模块、防止连累数据库以及下流公共服务模块，从而防止业务呈现体系性瘫痪呢？这个就需求结合服务治理中的一些手法来归纳防范了，比方服务降级、服务熔断、以及接口限流等战略。

缓存击穿：有用的冷数据预热加载机制

正如前面所说到的，根据内存的缓存，受内存容量约束，往往都会加载一些热门数据。而这些热门缓存数据，能够射中大部分的业务恳求。少部分没有射中缓存的数据，则直接转由业务模块进行处理（比方从MySQL里边进行查询）。

先来看一个比方：

互动论坛体系，运用Redis作为缓存，缓存最近1年的帖子信息。假如用户检查的帖子是最近1年的，则直接从Redis中查询并回来，假如用户检查的帖子是1年前的，则从MySQL中进行抓取并回来。

由于论坛体系中，大部分人会阅览或许检查的都是最近新发的帖子，只要极少数的人或许会偶尔“挖坟”检查一年前的前史帖子。体系上线前会依据冷热恳求的比例与总量状况，评估需求布置的硬件规划，以确保能够支撑住线上正常的拜访恳求。但为了防止缓存数据被无限撑满，一般业务缓存数据都会设置一个过期时刻，来确保缓存数据的定期清理与更新。

近段时刻，娱乐圈的雷声不断，各种新鲜的大瓜也让吃瓜大众撑到打嗝。

有一天，娱乐圈当红流量明星李某某忽然被爆料与某网红存在某些不正当的联系，甚至被爆有屡次PC被捕的惊天大瓜，引起粉丝和路人的激烈重视。

吃瓜大众们群情高涨、热搜一波盖过一波、帖子的浏览量光速攀升，论坛体系在缓存模块的加持下，尽管全体CPU和内存占用都飙升上去了，倒也风平浪静。

但天有不测风云，刚好这个时分，这条帖子的记载在缓存中过期被删去了。然后狂涛巨浪般的恳求涌向了后端的数据库，让数据库原地瘫痪，从而陆陆续续连累了整个论坛体系。这就是典型的一个缓存击穿的问题。

缓存击穿和前面说到的缓存雪崩产生的原因其实很相似。差异点在于：

• 缓存雪崩是大面积的缓存失效导致许多恳求涌入数据库。

• 缓存击穿是少量缓存失效的时分刚好失效的数据遭遇大并发量的恳求，导致这些恳求悉数涌入数据库中。

针对这种状况，咱们能够为热门数据设置一个过期时刻续期的操作，比方每次恳求的时分主动将过期时刻续期一下。此外，也能够在数据库记载拜访的时分借助散布式锁来防止缓存击穿问题的呈现。当缓存不行用时，仅持锁的线程负责从数据库中查询数据并写入缓存中，其他恳求重试时先测验从缓存中获取数据，防止所有的并发恳求悉数一同打到数据库上。如下图所示：

对上面的出处理过程描绘阐明如下：

1. 没有射中缓存的时分，先恳求获取散布式锁，获取到散布式锁的线程，履行DB查询操作，然后将查询成果写入到缓存中；

2. 没有抢到散布式锁的恳求，原地自旋等候必定时刻后进行再次重试；

3. 未抢到锁的线程，再次重试的时分，先测验去缓存中获取下是否能获取到数据，假如能够获取到数据，则直接取缓存已有的数据并回来；不然重复上述1、2、3过程。

依照上面的战略，经过一番通宵紧急上线操作后，体系总算恢复了正常。正当开发人员长舒了口气预备下班回家睡觉的时分，体系警报再次想起，体系再次宕机了。

有人扒出了一个2年前的帖子，这个帖子在2年前就已经爆料李某某由于PC被警方拘捕，其时咱们都不信。所以这个2年前的帖子得到了众人狂热的转发与阅览检查。

其实宕机的原因很明显，由于体系只规划缓存了最近1年的所有帖子信息，而对超过1年的帖子的操作，都会直接恳求到数据库上。这个2年前的帖子忽然爆火导致许多的用户来恳求直接打到了下流，再次将数据库压垮 —— 也就是说又一次呈现了缓存击穿，在同一块石头上摔倒了两次！

关于业务中最常运用的旁路型缓存而言，一般会先读取缓存，假如不存在则去数据库查询，并将查询到的数据添加到缓存中，这样就能够使得后面的恳求继续射中缓存。

可是这种常规操作存在个“缝隙”，由于大部分缓存容量有约束，且许多场景会根据LRU战略进行内存中热门数据的筛选，假如有个恶意程序(比方爬虫)一直在刷前史数据，容易将内存中的热门数据变为前史数据，导致真正的用户恳求被打到数据库层。因而又呈现了一些业务场景，会运用相似上面所举的比方的战略，缓存指定时刻段内的数据（比方最近1年），且数据不存在时从DB获取内容之后也不会回写到缓存中。针对这种场景，在缓存的规划时，需求考虑到对这种冷数据的加热机制进行一些额定处理，如设定一个门槛，假如指定时刻段内对一个冷数据的拜访次数到达阈值，则将冷数据加热，添加到热门数据缓存中，并设定一个独立的过期时刻，来处理此类问题。

比方上面的比方中，咱们能够约好同一秒内对某条冷数据的恳求超过10次，则将此条冷数据加热作为临时热门数据存入缓存，设定缓存过期时刻为30天（一般一个陈年八卦一个月满足消停下去了）。通过这样的机制，来处理冷数据的忽然窜热对体系带来的不稳定影响。如下图所示：

又是一番紧急上线，总算，体系又恢复正常了。

缓存穿透：合理的防身自保手法

咱们的体系对外开放并运转的时分，面对的环境险象环生。你不知道恳求是来自一个正常用户仍是某些心怀叵测的偷盗者、亦或是个纯粹的破坏者。

仍是上面的论坛的比方：

用户在互动论坛上点击帖子并检查内容的时分，界面调用查询帖子概况接口时会传入帖子ID，然后后端根据帖子ID先去缓存中查询，假如缓存中存在则直接回来数据，不然会测验从MySQL中查询数据并回来。

有些人盯上了论坛的内容，便搞了个爬虫程序，模仿帖子ID的生成规矩，调用查询概况接口并传入自己生成的ID去遍历挖取体系内的帖子数据，这样导致许多传入的ID是无效的、体系内并不存在对应ID的帖子数据。

所以，上面许多无效的ID恳求到体系内，由于无法射中缓存而被转到MySQL中查询，而MySQL中其实也无法查询到对应的数据（由于这些ID是恶意生成的、压根不存在）。许多此类恳求频频的传入，就会导致恳求一直依赖MySQL进行处理，极易冲垮下流模块。这个就是经典的缓存穿透问题（缓存穿透与缓存击穿十分相似，差异点在于缓存穿透的实践恳求数据在数据库中也没有，而缓存击穿是仅仅在缓存中没射中，可是在数据库中其实是存在对应数据的）。

缓存穿透的状况往往呈现在一些外部搅扰或许进犯情景中，比方外部爬虫、比方黑客进犯等等。为了处理缓存穿透的问题，能够考虑根据一些相似白名单的机制（比方根据布隆过滤器的战略，后面系列文章中会具体讨论），当然，有条件的状况下，也能够构建一些反爬战略，比方添加恳求签名校验机制、比方添加IP拜访约束战略等等。

缓存的数据共同性

缓存作为持久化存储（如数据库）的辅佐存在，究竟归于两套体系。抱负状况下是缓存数据与数据库中数据完全共同，可是业务最常运用的旁路缓存架构下，在一些散布式或许高并发的场景中，或许会呈现缓存不共同的状况。

数据库更新+缓存更新

在数据有改变的时分，需求一同更新缓存和数据库两个当地的数据。由于涉及到两个模块的数据更新，所以会有2种组合状况：

• 先更新缓存，再更新数据库
• 先更新数据库， 再更新缓存

在单线程场景下，假如更新缓存和更新数据库操作都是成功的，则能够确保数据库与缓存数据是共同的。可是在多线程场景下，由于由于更新缓存和更新数据库是两个操作，不具备原子性，就有或许呈现多个并发恳求穿插的状况，从而导致缓存和数据库中的记载不共同的状况。比方下面这个场景：

这种状况下，有许多的人会挑选结合数据库的业务来一同操控。由于数据库有业务操控，而Redis等缓存没有业务性，所以会在一个DB业务中封装多个操作，比方先履行数据库操作，履行成功之后再进行缓存更新操作。这样假如缓存更新失利，则直接将当时数据库的业务回滚，妄图用这种方法来确保缓存数据与DB数据的共同。

乍看似乎没缺点，可是细想一下，其实是有前提条件的。咱们知道数据库业务的阻隔等级有几种不同的类型，需求确保运用的业务阻隔等级为Serializable或许Repeatable Read等级，以此来确保并发更新的场景下不会呈现数据不共同问题，但这也降低了并发效率，进步数据库的CPU负载（阻隔等级与并发功能存在必定的关联联系，见下图所示）。

所以关于一些读多写少、写操作并发竞争不是特别激烈且对共同性要求不是特别高的状况下，能够选用业务（高阻隔等级） + 先更新数据库再更新缓存的方法来到达数据共同的诉求。

数据库更新+缓存删去

在旁路型缓存的读操作分支中，从缓存中没有读取到数据而改为从DB中获取到数据之后，一般都会挑选将记载写入到缓存中。所以咱们也能够在写操作的时分挑选将缓存直接删去，等候后续读取的时分从头加载到缓存中。

这样也会有两种组合状况：

• 先删去缓存，再更新数据库
• 先更新数据库，再删去缓存

这种也会呈现前面说的先操作成功，后操作失利的问题。 咱们先看下先删去缓存再更新数据库的操作战略。假如先删去缓存成功，然后更新数据库失利，这种状况下，再次读取的时分，会从DB里边将旧数据从头加载回缓存中，数据是能够坚持共同的。

尽管更新数据库失利这种场景下不会呈现问题，可是在数据库更新成功这种正常状况下，却或许会在并发场景中呈现问题。由于常见的缓存（如Redis）是没有业务的，所以或许会由于并发处理次序的问题导致终究数据不共同。如下图所示：

上图中，由于删去缓存和更新DB是非原子操作，所以在并发场景下或许的状况：

1. A恳求履行更新数据操作，先删去了缓存中的数据；

2. A这个时分还没来及往DB中更新数据的时分，B查询恳求刚好进入；

3. B先查询缓存发现缓存中没有数据，又从数据库中查询记载并将记载写入缓存中（相当于A刚删了缓存，B又将原样数据写回缓存了）；

4. A履行完成更新逻辑，将改变后的数据写入到DB中。

一番操作完成后，实践上缓存中存储的是A修正前的内容，而DB中存储的是A修正后的数据，两者因此呈现了不共同的问题。这样导致后面的查询恳求依旧是从缓存中获取到旧数据，而更新后的新数据无法收效。

那么，假如选用先更新数据库，再删去缓存的战略，又会有何种体现呢？假设数据库更新成功，可是缓存删去失利，咱们也能够通过数据库业务回滚的方法将数据库更新操作回滚掉，这样在非并发状态下，能够确保数据库与缓存中数据是共同的。

当然，由于根据数据库业务机制来操控，需求注意下业务的粒度不能过大，防止业务成为堵塞体系功能的瓶颈。在对并发功能要求极高的状况下，能够考虑非事物类的其他方法来完成，如重试机制、或异步补偿机制、或多者结合方法等。

比方下图所示的这种战略：

上图的数据更新处理战略，能够有用的确保数据的终究共同性，降低极点状况或许呈现数据不共同的概率，并兜底增加了数据不共同时的自恢复才能。

具体处理逻辑阐明如下：

• 先履行数据库的数据更新操作。

• 更新成功，再去履行缓存记载删去操作。

• 缓存假如删去失利，则依照预定的重试战略（比方关于指定错误码进行重试，最多重试3次，每次重试间隔100ms等）进行重试。

• 假如缓存删去失利，且重试依旧失利，则将此删去事情放入到MQ中。

• 独立的补偿逻辑，会去消费MQ中的消息事情恳求，然后依照补偿战略继续测验删去。

• 每个缓存记载设定过期事情，极点状况下，重试删去、补偿删去等战略悉数失利时，等到数据记载过期主动从缓存中筛选，作为兜底战略。

这种处理方法，尽管依旧无法百分百确保数据共同，可是全体呈现数据不共同状况的概率与或许性十分的小。

实践运用场景中，关于共同性要求不是特别高、且并发量不是特别大的场景，能够挑选根据数据库业务确保的先更新数据库再更新/删去缓存。而关于并发要求较高、且数据共同性要求较好的时分，推荐挑选先更新数据库，再删去缓存，并结合删去重试 + 补偿逻辑 + 缓存过期TTL等归纳手法。

小结回顾

本篇内容中，咱们主要讨论了下缓存的运用过程中的一些典型反常的触发场景与防护战略，并一同聊了下坚持缓存与数据库数据共同性的一些保证手法。

关于这些内容，咱们本篇就聊到这里。

那么，你是否在运用缓存的时分遇到过相似的问题呢？你是怎么处理这些问题的呢？你关于这些问题你是否有更好的理解与应对战略呢？欢迎谈论区一同交流下，等待和各位小伙伴们一同商讨、共同成长。

弥补阐明 ：

本文归于《深入理解缓存原理与实战规划》系列专栏的内容之一。该专栏环绕缓存这个庞大命题进行展开论述，全方位、体系性地深度剖析各种缓存完成战略与原理、以及缓存的各种用法、各种问题应对战略，并一同讨论下缓存规划的哲学。

假如有爱好，也欢迎重视此专栏。

我是悟道，聊技能、又不仅仅聊技能~

假如觉得有用，请点赞 + 重视让我感受到您的支撑。也能够重视下我的大众号【架构悟道】，获取更及时的更新。

等待与你一同讨论，一同成长为更好的自己。