线上一按“导出”全站卡死!排查发现竟是“全局线程池”惹的祸...
写在开头
前天,运维老张气冲冲地跑来找我:“咱们的新服务是不是有毒?才上线两天,CPU 使用率长期 80% 以上,但 QPS 根本不高啊!而且 Dump 下来的堆栈信息里,全是密密麻麻的 pool-1-thread-xxx,根本看不出是哪个业务的!”
我心里一惊,赶紧把代码拉下来全局搜索。这一搜,差点把我送走。 整个项目里散落着30 多个自定义的线程池,就像30 个诸侯割据,疯狂抢占 CPU 资源。
更可怕的是,有个刚毕业的兄弟为了“优化”,搞了个全局共享线程池,还信誓旦旦地说:“Fox 哥,我把所有异步任务都归拢到一个池子里了,统一管理,是不是很棒?”
我看着那行代码,冷汗直流:“兄弟,你这不是优化,你这是埋雷!万一‘导出’业务卡住了,全站的‘登录’请求都得跟着陪葬!”
今天 Fox 就来聊聊,线程池治理中最容易让系统雪崩的 4 个“死亡陷阱”,以及架构师视角的动态治理方案。
一、 死亡陷阱
1、全局共用线程池
很多初级架构师觉得:既然要管理,那我就定义一个 GlobalThreadPool,所有业务(发邮件、导数据、算订单)都往里扔。
这种设计是“反脆弱”的死敌!
// 【反例】全局共享线程池(千万别这么写!) public class GlobalThreadPool { // 所有业务共用这一个池,一个业务卡死全链路 public static final ExecutorService GLOBAL_POOL = new ThreadPoolExecutor( 50, 50, 60L, TimeUnit.SECONDS, new LinkedBlockingQueue<>(1000) ); } // 业务中滥用 GlobalThreadPool.GLOBAL_POOL.submit(() -> exportExcel()); // 导出占满线程 GlobalThreadPool.GLOBAL_POOL.submit(() -> sendSms()); // 验证码排队超时场景复盘:假设你的全局线程池 maxPoolSize = 50。
- 突然运营搞活动,后台需要导出大量 Excel(IO 密集,耗时 5s)。
- 这 50 个线程瞬间被“导出任务”占满。
- 此时,C 端用户发起了“发送验证码”请求(本该 10ms 结束)。
- 后果:验证码任务进不去,只能排队。用户端表现为“转圈圈”然后超时。
- 结论:一个边缘业务(导出)把核心业务(登录)拖死了。这就叫服务雪崩。
✅正确姿势:舱壁模式(Bulkhead Isolation)
参考船舱设计,把线程池按业务场景进行物理隔离。
@Configuration @EnableAsync publicclass ThreadPoolConfig { // 1. 核心业务池(高优):给登录、下单用 @Bean("coreExecutor") public Executor coreExecutor() { ThreadPoolTaskExecutor executor = new ThreadPoolTaskExecutor(); executor.setCorePoolSize(10); executor.setQueueCapacity(200); executor.setThreadNamePrefix("core-biz-"); // 核心业务宁可报错也不能卡死,视情况选 Abort 或 CallerRuns executor.setRejectedExecutionHandler(new ThreadPoolExecutor.AbortPolicy()); // 【关键配置】优雅关闭:Spring 容器关闭时,等待任务执行完再销毁 executor.setWaitForTasksToCompleteOnShutdown(true); executor.setAwaitTerminationSeconds(60); // 【关键配置】上下文传递:解决异步线程丢失 TraceId 问题 executor.setTaskDecorator(new MdcTaskDecorator()); return executor; } // 2. 边缘业务池(低优):给导出、发邮件用 @Bean("commonExecutor") public Executor commonExecutor() { ThreadPoolTaskExecutor executor = new ThreadPoolTaskExecutor(); executor.setCorePoolSize(5); executor.setQueueCapacity(1000); // 允许堆积 executor.setThreadNamePrefix("report-biz-"); // 【专家建议】别直接用 DiscardPolicy (静默丢弃),生产环境没日志会死人的! // 建议自定义策略,先打印日志再丢弃 executor.setRejectedExecutionHandler((r, exe) -> { log.warn("边缘业务线程池爆了,丢弃任务,请关注!"); }); executor.setWaitForTasksToCompleteOnShutdown(true); return executor; } }⚠️Fox 高能预警:在使用时,千万别偷懒只写 @Async!
错误写法:@Async (如果不指定 Bean 名称且未配全局默认池,它默认使用 SimpleAsyncTaskExecutor,这货不是线程池,来一个请求造一个线程,直接 OOM!)
正确写法:@Async("coreExecutor") (强烈建议显式指定 Bean 名称,防止 Spring 乱点鸳鸯谱!)
2、拒绝策略乱选 CallerRunsPolicy
面试官经常问:“线程池满了怎么办?” 很多人背八股文:“用 CallerRunsPolicy,由调用线程处理,这样不丢任务。”
兄弟,在 Web 高并发场景下,这简直是毒药!
原理分析:CallerRunsPolicy 的意思是:线程池满了,任务退回给主线程(Tomcat 请求线程)执行。
场景复盘(量化冲击):
- 核心线程池满了,队列也满了。
- 新来的 HTTP 请求触发 CallerRuns。
- Tomcat 线程被迫去执行这个耗时的异步任务(比如写库耗时 2s)。
- 后果:假设 Tomcat 默认最大线程数 200,原本支撑 QPS=1000(每个请求 10ms)。现在 200 个 Tomcat 线程全被耗时 2s 的任务占满。
- 结局:QPS 瞬间从 1000 跌到 0,用户端全是超时,全站不可用。如果你不加 CallerRuns,只是这一个业务报错;加了 CallerRuns,整个 Tomcat 挂掉。
✅正确姿势:快速失败 + 兜底(Fast Fail)
对于高并发 Web 服务,宁可局部报错,不可全局瘫痪。推荐使用 AbortPolicy 配合 try-catch 降级。
try { future = coreExecutor.submit(task); } catch (RejectedExecutionException e) { log.warn("线程池爆了,执行降级: {}", task); // 降级方案:发 MQ、记 Redis 或直接返回“请稍后重试” fallback(task); }二、 隐形炸弹:TraceId 丢失与发布丢数据
很多代码写到上面就结束了,但还有两个深坑等着你:
1. 上下文丢失与污染(Context Loss & Pollution)
日志里明明有 TraceId,一进线程池就没了?或者 A 用户的日志里出现了 B 用户的 TraceId?
原因:MDC 是基于 ThreadLocal 的,线程复用会导致数据污染。
解法:使用 TaskDecorator “搬运”上下文,且必须处理空值。
public class MdcTaskDecorator implements TaskDecorator { @Override public Runnable decorate(Runnable runnable) { // 1. 捕获主线程的上下文 Map<String, String> contextMap = MDC.getCopyOfContextMap(); return () -> { try { // 2. 注入到子线程 // 【关键】:如果 contextMap 为空,必须显式 clear! // 否则子线程会复用上一次任务遗留的脏 TraceId,导致日志张冠李戴! if (contextMap != null) { MDC.setContextMap(contextMap); } else { MDC.clear(); } runnable.run(); } finally { // 3. 清理,防止污染 MDC.clear(); } }; } }注:MDC 是 SLF4J 日志框架的上下文工具,需确保项目引入 slf4j-api 依赖;使用时需在主线程通过 MDC.put("traceId", UUID.randomUUID().toString()) 设置 TraceId。
2. 发布丢数据(Graceful Shutdown)
每次发版重启,用户都投诉“任务做了一半没了”?
原因:默认情况下,Spring 关闭时会直接中断线程池,不管你任务做没做完。
解法:配置 setWaitForTasksToCompleteOnShutdown(true),给线程池一个“善后”的时间。
三、 架构师视角:动态调优与监控
上面讲的都是“写死”的代码,但在真实的大促场景下,流量是波动的。 面试官问:“你配置 core=10,你怎么知道 10 够不够?不够了难道重启服务去改吗?”
这时候,你必须祭出动态线程池的大招。
1. 动态热更新 (Hot Deploy)
利用 JDK 原生 API,线程池的参数是可以运行时修改的!我们完全可以接入 Nacos/Apollo 配置中心。
// 伪代码:监听 Nacos 配置变化 @NacosConfigListener(dataId = "thread-pool-config") public void onConfigChange(String newConfig) { int newCoreSize = parseCoreSize(newConfig); // JDK 原生 API,直接生效,无需重启! threadPoolExecutor.setCorePoolSize(newCoreSize); threadPoolExecutor.setMaximumPoolSize(newMaxSize); log.info("线程池参数已热更新:core={}", newCoreSize); }(进阶推荐:直接引入开源组件Hippo4j或DynamicTP,开箱即用)
2. 可观测性 (Observability)
没有监控的线程池,就是盲人骑瞎马。 你必须暴露 Prometheus 指标,或者写一个定时任务,每分钟打印水位日志:
@Scheduled(fixedRate = 60000) public void monitor() { ThreadPoolExecutor tpe = coreExecutor.getThreadPoolExecutor(); // 关注:活跃数、队列堆积数 log.info("【池监控】Core: {}, Active: {}, Queue: {}, Completed: {}", tpe.getCorePoolSize(), tpe.getActiveCount(), tpe.getQueue().size(), tpe.getCompletedTaskCount()); // 报警逻辑:如果队列堆积超过 80%,发送钉钉/飞书报警 if (tpe.getQueue().size() > 80) { alertService.send("警告!核心业务线程池堆积严重!"); } }四、 总结一张表
策略/配置 | 行为 | 致命缺陷 | Web 场景推荐度 |
AbortPolicy | 抛异常 | 需要捕获处理 | ⭐⭐⭐⭐⭐ (配合降级) |
CallerRunsPolicy | 主线程执行 | 阻塞 Tomcat,导致全站不可用 | ⭐ (仅限离线批处理) |
DiscardPolicy | 默默丢弃 | 任务丢失无感知(一定要加日志!) | ⭐⭐⭐ (日志/监控) |
动态调优 | Nacos 热更新 | 增加架构复杂度 | ⭐⭐⭐⭐⭐ (大促必配) |
优雅关闭 | 等待任务完成 | 关机变慢 | ⭐⭐⭐⭐⭐ (必配) |
TaskDecorator | 传递 TraceId | 无 | ⭐⭐⭐⭐⭐ (微服务必配) |
写在最后
线程池治理的精髓,不仅在于“怎么用”,更在于“怎么拒绝”(拒绝策略)、“怎么隔离”(舱壁模式)以及“怎么看见”(监控告警)。
这就是码农和架构师的区别:码农只管代码能不能跑,架构师要管代码会不会挂以及挂了怎么救。