上一篇【第61篇】Kafka可靠性保证全解析——acks、ISR、min.insync.replicas那点事
下一篇【第63篇】Kafka副本机制深度解析——Leader选举是如何保证数据不丢的
摘要
“消息队列丢消息"是每个后端工程师的噩梦。Kafka的消息不丢失不是某一个配置能搞定的,它是一个从生产者到Broker到消费者的全链路工程。任何一环松懈,都可能"千里之堤溃于蚁穴”。
本文是Kafka可靠性系列的第二篇,聚焦实战。我们将从生产者端(重试、幂等)、Broker端(副本、配置)、消费者端(offset提交)三个维度,逐层拆解防丢策略。结尾附上一个真实的线上故障复盘——某电商平台在双十一期间丢消息的完整排查过程。
一、全链路防丢全景图
在开始逐层剖析之前,先搞清楚消息从生产到消费的完整旅程中,哪些环节可能丢消息:
【消息全链路丢失风险点】 生产者 (Producer) Broker 消费者 (Consumer) ┌──────────────┐ ┌──────────────────┐ ┌──────────────────┐ │ │ │ │ │ │ │ ① 网络问题 │ │ ④ Leader 宕机 │ │ ⑥ 自动提交 offset│ │ 发送失败 │ │ Follower 未同步│ │ 消息未处理完 │ │ │ │ │ │ │ │ ② 序列化异常 │ │ ⑤ 磁盘满/崩溃 │ │ ⑦ 先提交后处理 │ │ 消息未发出 │ │ 数据未持久化 │ │ 但处理失败 │ │ │ │ │ │ │ │ ③ 重试耗尽 │ │ │ │ ⑧ Rebalance 期间 │ │ 丢入黑洞 │ │ │ │ 消费中断 │ │ │ │ │ │ │ └──────────────┘ └──────────────────┘ └──────────────────┘ 结论:三个端点、八个风险点,需要三端协防二、生产者端——发送出去只是第一步
2.1 发送失败不可怕,可怕的是你不知道它失败了
// ❌ 错误姿势:发送即丢弃producer.send(newProducerRecord<>("topic","key","value"));// 没有回调,发送失败了也不知道// ✅ 正确姿势:带回调感知结果producer.send(newProducerRecord<>("topic","key","value"),newCallback(){@OverridepublicvoidonCompletion(RecordMetadatametadata,Exceptionexception){if(exception!=null){// 发送失败!写入本地文件兜底writeToFallbackFile(record);// 发出告警alert("Kafka发送失败: "+exception.getMessage());}}});2.2 重试机制的合理配置
Kafka生产者的重试是自动的,但需要正确配置参数组合:
【重试机制工作原理】 Producer 发送 msg100 │ ▼ ┌─────────┐ 失败 ┌──────────┐ │ 第1次发送│─────────► │ 等待重试 │ └─────────┘ └────┬─────┘ │ │ │ 成功 ┌──────▼──────┐ ▼ │ 第2次发送 │ 返回OK └──────┬──────┘ │ │ 失败 │ ▼ ┌──────────┐ │ 第N次... │ └─────┬────┘ │ ┌─────────▼──────────┐ │ 超过 delivery.timeout│ │ → 最终失败,回调通知 │ └────────────────────┘// 重试配置Propertiesprops=newProperties();props.put("acks","all");props.put("retries",Integer.MAX_VALUE);// 无限重试props.put("delivery.timeout.ms",120000);// 2分钟内仍可重试props.put("request.timeout.ms",30000);// 单次请求30秒超时props.put("retry.backoff.ms",100);// 重试间隔100ms(指数退避)// delivery.timeout.ms 是总超时,超过这个时间仍未成功 → 最终失败// retries * retry.backoff.ms 不能超过 delivery.timeout.ms2.3 幂等性——防止消息重复
重试最大的副作用是重复消息。开启幂等性后,Kafka自动为每条消息赋予标识,Broker端自动去重:
// 开启幂等性(Kafka 0.11+)props.put("enable.idempotence",true);// 这意味着:// 1. Kafka 自动设置 acks=all// 2. 自动设置 retries=Integer.MAX_VALUE// 3. 自动设置 max.in.flight.requests.per.connection ≤ 5// 4. 每条消息带上 Producer ID (PID) 和 sequence number【幂等性工作原理】 无幂等性: Producer → send(msg1, seq=0) → Broker写入 msg1 Producer → retry(msg1, seq=0) → Broker又写入 msg1 ← 重复! 有幂等性: Producer → send(msg1, seq=0) → Broker写入 msg1, 记录 PID_id=last_seq=0 Producer → retry(msg1, seq=0) → Broker检查: PID_id的last_seq=0 → seq=0 不大于 last_seq=0 → 判定为重复,忽略 ← 防住了!2.4 生产者防丢checklist
| 配置项 | 推荐值 | 防护的丢失场景 |
|---|---|---|
acks | all | Leader宕机未同步 |
enable.idempotence | true | 网络重试导致重复 |
retries | Integer.MAX_VALUE | 暂时性故障 |
delivery.timeout.ms | 120000 | 给重试足够时间 |
max.block.ms | 默认60000 | buffer满时不要无限阻塞 |
| 回调处理 | 必须实现 | 感知发送失败 |
| 兜底机制 | 写本地文件/DB | 最终失败时的保险 |
三、Broker端——数据安全的中心堡垒
3.1 核心配置
# === server.properties 防丢配置 === # 1. 默认副本数(全局默认) default.replication.factor=3 # 2. 最小同步副本数(全局默认) min.insync.replicas=2 # 3. 禁止不干净的Leader选举(绝对不要改!) unclean.leader.election.enable=false # 4. 日志刷盘间隔(建议不设置,信任OS的页缓存) # log.flush.interval.messages=10000 ← 不推荐,太耗性能 # log.flush.interval.ms=1000 ← 不推荐 # 5. 自动创建Topic(生产环境建议关闭) auto.create.topics.enable=false3.2 副本数(Replication Factor)的规划
【副本数选择指南】 RF=1: PROD环境不要用! ┌──────────────────────────────────────┐ │ Broker1 💀 → 数据全丢 │ └──────────────────────────────────────┘ RF=2: 最低生产标准 ┌──────────────────────────────────────┐ │ Broker1 💀 → Broker2 顶上 │ │ 但不能同时坏两个 │ │ min.isr=1: 单点故障仍可写,但有丢风险 │ │ min.isr=2: 任意1个不可用就拒绝写入 │ └──────────────────────────────────────┘ RF=3: 推荐配置 ★ ┌──────────────────────────────────────┐ │ Broker1 💀 → Broker2/3 顶上 │ │ 建议 min.isr=2,容错且可写 │ │ 可以扛住2个Broker故障(但写入会阻塞) │ └──────────────────────────────────────┘3.3 Broker端的物理可靠性
【Broker挂掉场景矩阵】 场景A: 进程挂了,机器正常 ┌──────────────────────────────────────────┐ │ 进程被kill/oom/GC卡死 │ │ → 页缓存里的数据还没刷盘!会丢吗? │ │ │ │ 不会丢!因为副本机制: │ │ Follower 1 和 Follower 2 也存着同样的数据 │ │ Leader 重启后从 Follower 拉取恢复 │ └──────────────────────────────────────────┘ 场景B: 机器宕机,磁盘完好 ┌──────────────────────────────────────────┐ │ 机器断电 → 重启 → 磁盘数据还在 │ │ → 页缓存丢失,但 ~10分钟以内的数据 │ │ 可以从 Follower 恢复(副本机制) │ │ → ~10分钟以前的:从磁盘恢复(OS已刷盘) │ └──────────────────────────────────────────┘ 场景C: 磁盘坏了 ┌──────────────────────────────────────────┐ │ 磁盘物理损坏 → 数据无法恢复 │ │ → 还好有副本!其他Broker有完整数据 │ │ → 坏盘Broker重启后从Leader全量同步 │ │ → RF≥3:至少还有一个副本活着 │ └──────────────────────────────────────────┘3.4 不要手动设置刷盘频率
有句老话:“让操作系统管内存,你管好业务逻辑就好。”
【为什么推荐不设置 log.flush.interval.messages】 情况A:不设刷盘(推荐) ┌──────────────────────────────────────────┐ │ 消息写入 → 页缓存(内存)→ OS异步刷盘 │ │ 性能:极好 │ │ 数据安全:通过副本机制保证 │ │ Leader宕机 → Follower有全量数据 │ └──────────────────────────────────────────┘ 情况B:每次写入都刷盘 ┌──────────────────────────────────────────┐ │ 消息写入 → 页缓存 → fsync() → 磁盘 │ │ 性能:很差(跟随机写差不多了) │ │ 数据安全:单机可靠性↑,但吞吐暴跌 │ │ 而且本来就有副本兜底,没必要... │ └──────────────────────────────────────────┘ 结论:副本机制已经提供了数据安全, 再手动刷盘属于"双重保险过度"四、消费者端——消费完再提交,别急着说"好了"
4.1 自动提交的陷阱
// ❌ 自动提交的经典坑props.put("enable.auto.commit","true");props.put("auto.commit.interval.ms","5000");// 每5秒自动提交// 场景推演:// T0: poll() 拿到 msg1~msg100,耗时1ms// T1: 开始业务处理 msg1~msg100,处理到 msg50// T2: 5秒到了!自动提交 offset=100 ← 但 msg51~100 还没处理完// T3: 消费者挂了!// T4: 重启后从 offset=100 开始消费// T5: msg51~100 被跳过了 ← 消息丢失!4.2 手动提交的正确姿势
// ✅ 方案一:先处理再同步提交(最安全,但性能最低)while(true){ConsumerRecords<String,String>records=consumer.poll(Duration.ofMillis(100));for(ConsumerRecord<String,String>record:records){processRecord(record);// 先处理业务逻辑}// 所有消息处理完后,再提交offsetconsumer.commitSync();// 同步提交,确保提交成功}// ✅ 方案二:异步提交 + 同步兜底(推荐)try{while(true){ConsumerRecords<String,String>records=consumer.poll(Duration.ofMillis(100));for(ConsumerRecord<String,String>record:records){processRecord(record);}// 异步提交,不阻塞处理consumer.commitAsync(newOffsetCommitCallback(){@OverridepublicvoidonComplete(Map<TopicPartition,OffsetAndMetadata>offsets,Exceptione){if(e!=null){log.error("提交失败: ",e);}}});}}finally{// 关闭前最后一次用同步提交,确保不丢consumer.commitSync();}// ✅ 方案三:逐条提交精确控制(最精确,但也很慢)while(true){ConsumerRecords<String,String>records=consumer.poll(Duration.ofMillis(100));for(ConsumerRecord<String,String>record:records){try{processRecord(record);// 处理成功一条,就提交这一条的 offset+1Map<TopicPartition,OffsetAndMetadata>offset=newHashMap<>();offset.put(newTopicPartition(record.topic(),record.partition()),newOffsetAndMetadata(record.offset()+1));consumer.commitSync(offset);}catch(Exceptione){// 处理失败,不提交 → 下次重新消费这条消息log.error("处理失败: {}",record,e);}}}4.3 消息去重——冪等消费
即使手动提交offset,也可能因为提交前崩溃导致重复消费。消费者端需要实现幂等性:
// 幂等消费的常见方案:基于唯一键去重publicvoidconsumeRecord(ConsumerRecord<String,String>record){StringbusinessKey=extractBusinessKey(record);// 订单ID、事件ID等// 方案1:Redis去重// 利用 Redis 的 SETNX,设置24小时过期StringcacheKey="kafka:dedup:"+businessKey;BooleanfirstTime=redis.setnx(cacheKey,"1",Duration.ofHours(24));if(!firstTime){log.info("重复消息,跳过: {}",businessKey);return;// 已处理过,跳过}// 方案2:数据库唯一约束try{// 假设 event_log 表有 UNIQUE(business_key)jdbcTemplate.update("INSERT INTO event_log (business_key, payload, create_time) VALUES (?,?,?)",businessKey,record.value(),newDate());doBusinessLogic(record);// 处理业务}catch(DuplicateKeyExceptione){log.info("重复消息,跳过: {}",businessKey);}}4.4 消费者防丢checklist
| 配置/实践 | 推荐方式 | 防护的丢失场景 |
|---|---|---|
| 提交方式 | 手动提交commitSync | 自动提交时机早于处理完成 |
| offset提交时机 | 消息全部处理完后 | 提交后处理失败 |
| 幂等消费 | Redis/DB 去重表 | 提交前崩溃导致重复 |
enable.auto.commit | false | 自动提交抢占控制 |
auto.offset.reset | earliest(一般)/latest(如果可接受丢) | 新消费者组的行为 |
| 关闭前提交 | commitSync()infinally | JVM关闭时未提交 |
| Rebalance时提交 | ConsumerRebalanceListener.onPartitionsRevoked | Rebalance时未提交 |
五、全链路exactly-once方案
把三端的防丢策略串起来,就是exactly-once的完整方案:
【全链路 Exactly-Once 实现】 生产者端 Broker端 消费者端 ┌──────────────┐ ┌──────────────────┐ ┌──────────────────┐ │ acks=all │ │ RF=3 │ │ 手动提交offset │ │ 幂等Producer │ │ min.isr=2 │ │ 先处理后提交 │ │ retries=MAX │ │ unclean=✗ │ │ 幂等消费(去重) │ │ callback兜底 │ │ 滚动重启策略 │ │ RebalanceListener│ │ 事务Producer │ │ 多机房部署 │ │ finally提交offset│ └──────┬───────┘ └────────┬─────────┘ └────────┬─────────┘ │ │ │ ▼ ▼ ▼ 消息不会发丢 消息不会存丢 消息不会消丢 多 Topic 事务(跨分区原子写入): ┌──────────────────────────────────────────────────────────┐ │ producer.beginTransaction(); │ │ producer.send(topicA, key, value); │ │ producer.send(topicB, key, value); │ │ // 同时写入消费者端的去重表 │ │ jdbcTemplate.update("INSERT INTO dedup_table ..."); │ │ producer.commitTransaction(); // 原子提交 │ │ // 如果去重表写入失败,整个事务回滚 │ └──────────────────────────────────────────────────────────┘六、线上故障复盘:双十一"幽灵订单"事件
6.1 故障现象
- 时间:2024年双十一,凌晨2点
- 现象:客服收到用户投诉——“钱扣了,订单没生成”
- 技术表现:支付回调消息在Kafka中丢失,订单服务没收到付款通知
6.2 排查过程
【故障排查时间线】 00:30 流量开始上升,每秒 8000 笔订单 01:00 Broker2 磁盘使用率 92%,开始频繁触发 GC 01:15 Broker2 被剔除 ISR(Follower跟不上) 01:20 Controller 发现 Broker2 异常,尝试 Leader 迁移 01:22 迁移期间,Broker1 成为新 Leader 01:23 原 Broker2 上的部分消息未同步到 Broker1 → 丢失 排查发现: 1. acks=1 → Leader写入就返回,Follower没确认 2. min.insync.replicas=1(默认值)→ 没有防丢门槛 3. 原Leader宕机时,有约200条消息没同步给Follower 4. 这些消息对应的订单"钱扣了,但订单没生成"6.3 改进措施
# 改进1:提升acks级别 acks=all # 从 ack=1 改为 all # 改进2:增加 min.insync.replicas min.insync.replicas=2 # 从 1 改为 2 # 改进3:禁止不干净的选举 unclean.leader.election.enable=false # 已经设置,没问题 # 改进4:生产者回调兜底 # 发送失败时写入数据库队列,定时重试// 改进5:生产者端最坏情况兜底producer.send(record,(metadata,exception)->{if(exception!=null){// 写入本地"待重试"文件failedMessageWriter.append(record);// 每分钟由定时任务扫描并重试// 超过1小时仍未成功 → 人工介入}});// 改进6:消费者端幂等性// 支付回调消息中的 transaction_id 做去重// 即使重复消费,也不会重复创建订单6.4 效果对比
| 指标 | 改进前 | 改进后 |
|---|---|---|
| acks | 1 | all |
| min.isr | 1 | 2 |
| 消息丢失 | 双十一丢200+条 | 历经多次大促,0丢失 |
| 吞吐量影响 | - | 延迟+5ms,吞吐基本不变 |
| 生产者兜底 | 无 | 文件兜底+定时重试 |
| 告警响应 | 手动排查 | Prometheus指标+自动告警 |
本篇小结
消息不丢失是三端联合工程,缺一不可:
- 生产者端:acks=all + 幂等 + 重试 + callback兜底,确保消息"发出去并被确认"
- Broker端:RF=3 + min.isr=2 + unclean=false,确保消息"存住了且有多份备份"
- 消费者端:手动提交 + 先处理后提交 + 幂等消费,确保消息"消费完且不重复"
记住口诀:发的要确认、存的要多份、吃的要消化了再买单。
下一篇,我们将深入Kafka最核心的机制之一——副本同步与Leader选举,彻底搞清楚那个"Follower是怎么追上Leader的"经典问题。
上一篇【第61篇】Kafka可靠性保证全解析——acks、ISR、min.insync.replicas那点事
下一篇【第63篇】Kafka副本机制深度解析——Leader选举是如何保证数据不丢的
)
