Kafka Broker端处理请求采用Reactor模型。每台Broker上有个类似于Dispatcher的Acceptor线程,还有若干个处理请求的Processor线程(当然真正处理请求逻辑的线程不是Processor,实际上是KafkaRequestHandler)。每个Processor线程启动后大致做以下这么几件事情:
1. 设置新的入站连接
2. 处理新的请求响应(所谓的处理也就是放入到响应队列中)
3. 执行Selector.select操作获取那些准备完毕的IO操作
4. 接收新的入站请求
5. 执行已发送响应的回调逻辑
6. 处理已断开连接
每个Broker启动之后它创建的Processor线程会不停地执行以上这些动作,循环往复,直至Broker被关闭。
我们重点看看第一步中的逻辑,以下是1.1.1版本的源码(选择1.1.1版本不是特意的,其实所有2.3版本之前都是差不多的情形):
/** * Register any new connections that have been queued up */ private def configureNewConnections() { while (!newConnections.isEmpty) { val channel = newConnections.poll() try { debug(s"Processor $id listening to new connection from ${channel.socket.getRemoteSocketAddress}") selector.register(connectionId(channel.socket), channel) } catch { // We explicitly catch all exceptions and close the socket to avoid a socket leak. case e: Throwable => val remoteAddress = channel.socket.getRemoteSocketAddress // need to close the channel here to avoid a socket leak. close(channel) processException(s"Processor $id closed connection from $remoteAddress", e) } } }
注意我标成红色的语句。基本上Processor线程设置新入站连接的方式就是一次性处理完才罢休。代码中的newConnections是java.util.concurrent.ArrayBlockingQueue实例。Acceptor线程也会访问newConnections,因此必须是线程安全的。
这种一次性处理完成才收手的做法在某些情况下是有风险的,比如当Kafka集群遭遇到DDOS攻击时,外部IP会创建海量的入站连接全部砸向newConnections中。此时Processor线程运行时会一直尝试消耗掉这些新连接,否则它不会干其他事情——比如处理请求等。换句话说,目前Kafka对新入站连接的处理优先级要高于已有连接。当遭遇连接风暴时,Kafka Broker端会优先处理新连接,因此可能造成已有连接上的请求处理被暂停,并最终导致超时。这样客户端得到请求超时通知后会会进一步地发送新的请求,因而出现雪崩效应。
另外Broker端维护每个连接也不是没有开销的。连接信息本身肯定要占用一些内容资源。如果是启用了SSL的连接,Kafka为额外为其维护一个48KB的临时缓冲区。因此一旦遭遇连接风暴,OOM错误是很常见的。
鉴于这些原因,社区在2.3版本改进了Broker端处理新连接请求的方式。首先阻塞队列保存新连接的个数不再是没有限制了,而是被固定为20,即每个Processor的新连接队列最大就是20个连接——这个写死在代码里面了,目前没法修改。第二、社区引入了新参数max.connections,用于控制Broker端所允许连接的最大连接数。你可以调节这个参数来控制一个Broker最多能接收多少个入站连接。这个参数可以在server.properties中被设置,也可以使用kafka-configs脚本动态修改。max.connections是全局性的,你也可以给每个监听器设置不同的连接数上限。比如你的监听器中同时使用了PLAINTEXT和SSL,那么你能够使用listener.name.plaintext.max.connections和listener.name.ssl.max.connections来为这两个listeners配置各自的连接数,命令如下:
$ bin/kafka-configs.sh --bootstrap-server localhost:9092 --entity-type brokers --entity-name 0 --alter --add-config max.connections=100$ bin/kafka-configs.sh --bootstrap-server localhost:9092 --entity-type brokers --entity-name 0 --alter --add-config listener.name.plaintext.max.connections=80 Completed updating config for broker: 0. $ bin/kafka-configs.sh --bootstrap-server localhost:9092 --entity-type brokers --entity-name 0 --alter --add-config listener.name.ssl.max.connections=80 Completed updating config for broker: 0.
第三是Kafka Broker的每个Processor线程会在每轮任务结束之前尝试去关闭多余的连接。判断是否需要关闭多余连接的依据有两点:1. 总的连接数超过了max.connections值;2. 你为Broker设置了多个监听器,但Kafka会保护Broker内部连接使用的那个监听器。比如你如果设置了多个监听器:PLAINTEXT://9092, SSL://9093,SASL://9094,然后设置inter.broker.listener.name=SSL,那么SSL这套监听器下的连接是不会被Processor强行关闭的。
最后提一句,如果所有Processor的阻塞队列都满了, 那么前面的Acceptor线程会阻塞住,不会再接收任何入站请求。社区新增加了一个JMX指标来计算Acceptor线程被阻塞的时间比例:kafka.network:type=Acceptor,name=AcceptorBlockedPercent,listener={listenerName}