【7】RocketMQ架构全景
写在前面
很多人第一次在业务里碰到RocketMQ,印象都差不多:生产者发,消费者收,中间Broker存一下、转一下,事情就结束了。
可真到线上出问题时,场景通常会更“具体”,也更让人不踏实。
比如一个最常见的链路:下单成功了,但库存没扣下来。你在订单服务里看到send已经返回成功,接口耗时也不高;可库存服务那边开始积压,扣减延迟越来越大,甚至偶发超卖风险。你会下意识追问一连串问题:
- 这条订单消息到底发到哪去了?
- “发送成功”到底意味着什么,确认点落在哪?
- 为什么扩了消费者,吞吐还是没线性涨?
- 如果主节点抖一下,谁来接管,路由会怎么变?
这些问题如果只站在“消息队列就是个中间件”的抽象层上看,很容易越看越乱。因为业务真正撞上的,不是一个孤零零的“发送动作”,而是一整条链:谁提供路由,谁决定分片,谁负责落盘,谁维护逻辑消费视角,谁推进消费进度,谁承担复制和切换。
RocketMQ架构最值得讲透的地方,也恰好在这里。它不是靠一个单点组件把所有事都做完,而是把复杂度拆到了几层:路由发现尽量做轻,消息存储尽量顺序写,逻辑消费视角用索引补,消费扩展交给MessageQueue,高可用再围绕确认点、复制方式和切换能力继续做权衡。
如果顺着一条消息的旅程把这些层看清,很多看起来分散的名词就会自己归位。看不清时,NameServer、Broker、CommitLog、ConsumerGroup、Controller、DLedger只是一串术语;看清之后,它们是在一起回答同一个问题:这条“订单扣库存”的消息,从构造消息(t0)走到重试/DLQ(t8),中间每一层到底在守什么边界。
为了把这条线讲透,整篇文章就围绕下面这几件事展开:
|send已经成功,链路后面还是慢 | “发送成功”到底意味着什么 | 路由、写入、刷盘、复制、确认点 | 发送返回(t1)-提交位点(t5) |
| 多起消费者后,吞吐没有线性上涨 | 并行度到底由什么决定 |Topic / MessageQueue / ConsumerGroup| 拉取消息(t3)/重平衡(t6) |
| 消费积压只集中在部分节点 | 消费视角和物理存储是怎么接起来的 |Broker / ConsumeQueue / Offset| 拉取消息(t3)-重平衡(t6) |
| 主节点故障后开始担心丢消息和恢复时间 | 高可用到底在保护什么 | 主从复制、Controller、DLedger| 主故障切换(t7) |
下面就按这条主线往下拆。
只记Producer-Broker-Consumer,为什么不够
很多入门图都会把RocketMQ画成三层:生产者发,消费者收,中间Broker存。这么记没有错,但一旦开始回答工程问题,就不够用了。
比如,生产者到底怎么知道该把消息发到哪台Broker?如果一个主题分成了多个队列,队列是怎么选的?消费者扩容以后,为什么不是每个实例都天然拿到一份独立分片?主节点挂掉以后,谁来告诉客户端新的主节点在哪?这些问题只用“三件套”是解释不完的。
所以理解RocketMQ,第一步不是去背更多术语,而是把职责边界拉开。它把“发现路由”“真正存储和投递”“组织消费视角”“自动切换与副本一致性”拆到了不同角色里。只有边界先清了,后面的写入链路、存储分层和高可用取舍才不容易串线。
先把核心角色定住:
为了让名词不飘在空中,下面我用一个贯穿全文的固定例子:订单创建后异步扣库存。
- t0(构造消息): 订单服务接到请求,生成
orderId=20260504-0001,构造消息OrderCreated(orderId, skuId, qty)。 - t1(发送返回): 订单服务调用
send,拿到发送成功的返回(注意:这只是“写入承诺”,不是“库存已扣”)。 - t2(Broker 落盘): 消息进入
Broker,先落到CommitLog,并派生出逻辑索引(后面会讲ConsumeQueue)。 - t3(拉取消息): 库存服务的
ConsumerGroup开始从对应MessageQueue拉取消息。 - t4(扣库存): 库存服务执行业务:扣减
skuId=10086的库存(可能会慢、会失败、会重试)。 - t5(提交位点): 库存服务处理成功后提交位点(offset),这一步才会让消费进度向前推进。
- t6(重平衡): 期间如果发生扩容、缩容或节点抖动,会触发重平衡(rebalance),队列会重新分配。
- t7(主故障切换): 如果主节点故障,会进入高可用路径:复制、切换、路由更新,客户端需要重新定位可用主。
- t8(重试/DLQ): 若消费失败次数过多,消息进入重试 / 死信(DLQ),需要人工介入或补偿链路兜底。
它可以当成全文的“时间线坐标系”。后面的每个架构点,都会尽量标出它在 t0-t8 的哪一步出现(比如“拉取消息(t3)”“主故障切换(t7)”),以及它影响的是哪一段体验。
| 角色 | 它主要负责什么 | 它不负责什么 | 在例子里它出现在哪一步 |
|---|---|---|---|
Producer | 构造消息、查主题路由、选择MessageQueue、发起发送 | 不保存集群全局状态,也不维护消费进度 | 构造消息(t0)-发送返回(t1) |
NameServer | 提供Broker路由发现,让客户端知道主题分布在哪些节点上 | 不存消息,不做复杂一致性仲裁,不参与消费位点管理 | 发送返回(t1)/主故障切换(t7) |
Broker | 存储消息、建立索引、响应拉取、维护复制、承担高可用相关能力 | 不替业务解释消息语义,也不替客户端决定业务级幂等 | Broker 落盘(t2)-拉取消息(t3)/主故障切换(t7) |
Consumer | 拉取并处理消息,提交消费位点 | 不直接决定整个消费组的并行上限 | 拉取消息(t3)-提交位点(t5) |
ConsumerGroup | 把一组消费者组织成同一个消费视角,参与队列分配和重平衡 | 不是一个单独进程,也不是一个额外服务 | 拉取消息(t3)/重平衡(t6) |
Proxy | 在5.0中承担接入层角色,帮助协议与客户端接入解耦 | 不替代存储层,不承担主消息持久化 | 发送返回(t1)-拉取消息(t3)(如果你接入走 Proxy) |
Controller | 在5.0中负责自动主从切换相关决策 | 不替代NameServer提供主题路由 | 主故障切换(t7) |
DLedger | 作为另一套复制与选主能力,强调一致性复制和自动选主 | 不是经典主从路线里顺手加的一个小补丁 | 主故障切换(t7) |
先记一句总纲:Producer/Consumer都会“查路由”,但数据面发生在Broker,进度面发生在offset。
再记一句误区:send成功对应的是发送返回(t1),不等于扣库存(t4)已经完成。
最后记一句定位:扩容/抖动主要落在重平衡(t6),主故障主要落在主故障切换(t7)。
这张表里最容易被忽略的一点,是NameServer的定位非常克制。很多人下意识会把它想成“消息版注册中心”,再顺手联想到复杂的强一致元数据管理。RocketMQ并没有把它做成那样。它更像一组非常轻的路由节点:Broker把自己的主题分布和存活信息注册上去,客户端从任意一个NameServer拿到路由,再在本地缓存一段时间。
这样设计带来的好处很直接。第一,路由层本身几乎不背复杂状态,所以扩起来简单;第二,某个NameServer短时不可用,不会立刻把整套集群拖死,因为客户端本身就持有路由缓存;第三,真正沉重的复杂度可以继续压回Broker,也就是那层真正负责“消息落地、索引建立、消息投递、消费位点、复制和切换”的地方。
这里还要补一层区分,避免把4.x和5.0的口径混写。很多人脑子里的RocketMQ,是4.x时代那套最经典的图:NameServer + Broker + Producer + Consumer。这套理解今天依然成立,因为消息主数据面还是围绕这些角色运转。到了5.0,Proxy和Controller只是把原来一些接入层和自动切换能力显式拉成了独立角色,并没有改掉“谁负责发现、谁负责落地、谁负责消费”这个基本分工。
所以如果现在只想先抓住一句话,可以记成:Producer 和 Consumer 都先查路由,但真正的消息收发、位点推进、复制与切换,都发生在 Broker 一侧。
一条消息发出去后,会经过哪些步骤
把角色边界定住以后,再回头看一次发送动作,很多现象就能顺着链路往下拆。
回到例子里,接下来我们要走的是 发送返回(t1)-Broker 落盘(t2):订单服务send出去以后,消息进入Broker之前和之后分别发生了什么。
这里我会尽量用“发送返回(t1)/Broker 落盘(t2)”这种指代写法,避免你读到后面还得倒回去回忆 t1/t2 是什么。
从调用方的视角看,发送消息可能只有几行代码:构造消息对象,调用send,拿到成功结果。可从系统视角看,这个过程至少要回答下面几件事:
- 主题现在分布在哪些
Broker上。 - 这条消息应该落到哪个
MessageQueue。 - 进入
Broker以后先写哪里。 - “发送成功”到底是本地写成了,还是副本也追上了。
- 如果主节点故障,后续还能不能接着写、接着读。
路由为什么不是每发一次都现查
发送的第一步,是Producer向NameServer查询主题路由。这里拿到的不是“某个主题对应一台机器”这么粗的答案,而是一份更细的映射:这个主题在哪些Broker上有队列,每个Broker上有哪些MessageQueue,主从关系大概是什么样。
客户端通常不会每次发送都重查路由,而是把这份信息缓存起来,再定期刷新。原因很现实:如果每发一条消息都去问一次路由中心,路由层本身就会变成新的热点;但如果完全不刷新,本地缓存又会慢慢跟不上扩容、缩容、节点故障和迁移带来的变化。
这也是为什么有时会在扩容或故障刚发生的短窗口里看到一些“路由感知没有那么即时”的现象。客户端不是完全无知,只是它依赖的是“缓存 + 周期刷新 + 失败重试更新”这套折中机制,而不是每次都走重型控制面。
下面这张小时序图把“路由从哪来、为什么要缓存、什么时候会刷新”串起来:
为什么 Topic 不是并行度,MessageQueue 才是
路由拿到以后,生产者还要再做一步:挑一个MessageQueue。
很多资料在这里一带而过,只说“根据负载均衡策略选个队列”。这句话不能说错,但太轻了,因为它没点出最关键的事实:真正承接扩展能力的不是抽象的Topic,而是Topic下面那些具体的MessageQueue。
这里顺手把两个很容易混的名词钉死:
MessageQueue是“客户端/路由”视角下的逻辑队列分片;ConsumeQueue是“Broker/存储”视角下的队列索引文件。
你线上扩消费并行度,主要盯的是MessageQueue数量;你理解 Broker 怎么按队列读消息,主要盯的是ConsumeQueue结构。
Topic更像业务看见的逻辑名字,比如订单事件、支付结果、库存变更。真正落地到存储和消费分片层时,系统关心的是“这条消息到底落到哪个队列”。后面消费组能不能并行、顺序消息能不能保证局部有序、扩容后吞吐上限能不能继续涨,最终都绕不过这个分片单元。
如果是普通消息,生产者通常可以按轮询、延迟容错或其他负载策略在多个MessageQueue之间分散写入。如果是顺序消息,策略就会更收敛,比如把同一个订单号、同一个用户 ID、同一个业务分组稳定映射到同一个队列。这里的本质不是“怎么选一个数组下标”,而是在决定:这条消息后续要落到哪条分区时间线上。
下面这张小流程图,对应的是“普通消息”和“顺序消息”的分歧点:
进入 Broker 以后,为什么先写 CommitLog
消息选定目标队列以后,会发给目标Broker。真正的写入主链不是“先把这条消息扔进某个逻辑队列文件”,而是先顺序追加进CommitLog。
这一步是RocketMQ吞吐能力的关键支点。原因并不神秘,就是尽量把磁盘访问模式做成顺序写。顺序追加带来的好处有两个:
- 对磁盘和页缓存更友好,吞吐更稳。
- 不需要为了逻辑队列的分散分布,把底层持久化打成大量随机写。
如果底层直接按Topic或按MessageQueue各自维护分散文件,逻辑上看似直接,物理上却会很麻烦。因为业务消息的到达顺序本来就是交错的:订单消息、库存消息、营销消息、延迟任务、事务半消息都可能同时进来。把这些消息先统一进一条顺序主日志,再在逻辑层补索引,反而更利于稳定吞吐。
“发送成功”以什么为准
业务里最容易引起误判的一件事,就是把send成功理解成一个固定含义,好像只要接口返回了成功,这条消息就已经以同一种方式稳稳存在系统里了。
事实不是这样。send成功背后的语义,会随着刷盘方式、复制方式和确认策略不同而改变。
可以粗着分成几档理解:
| 路径 | 成功返回大致依赖什么 | 换来的好处 | 代价 | 在例子里你会看到什么 |
|---|---|---|---|---|
| 单副本或较轻确认 | 主节点本地写入达到某个可接受状态 | 延迟更低,路径更短 | 确认点更弱 | 发送返回(t1)很快,但主故障切换(t7)窗口更敏感 |
| 异步主从 | 主节点先返回,副本稍后追上 | 性能和吞吐更接近单副本 | 主挂时可能丢少量尚未复制数据 | 发送返回(t1)不慢,但主故障切换(t7)可能让“已 send 成功”的边界变模糊 |
| 同步双写 / 更强确认 | 副本也进入确认点才返回 | 丢消息风险更低 | 返回更晚,写入路径更重 | 发送返回(t1)更慢,但主故障切换(t7)后更容易解释“到底丢不丢” |
所以更准确的表述应该是:发送成功不是一个绝对值,而是当前架构配置下的一种承诺。
这也是为什么同样是“消息发送成功”,有的系统更看重吞吐和延迟,有的系统更看重确认点和恢复能力。它们不是谁更“正确”,而是把风险放在了不同的位置。
下面这张“写入 + 复制 + 返回”的时序图,对应的就是确认点差异:
为什么 send 成功不等于业务已经处理完成
还有一个经常被忽略的断点,是“发送完成”和“业务完成”之间隔着整条消费链。
对生产者来说,成功返回只说明消息已经按当前确认语义进入了消息系统;但对业务来说,后续还要经过:
- 消费者从对应队列拉取到消息。
- 消费端业务逻辑真正执行。
- 消费位点向前推进。
- 如遇失败,再走重试或死信路径。
这四步落到例子里,对应关系是:
- 拉取消息(t3):拉取消息(拿到
OrderCreated)。 - 扣库存(t4):扣库存(慢、失败、幂等、锁冲突都发生在这里)。
- 提交位点(t5):提交位点(决定“这条消息算不算被消费完成”)。
- 重试/DLQ(t8):重试/DLQ(失败闭环最终停在这里)。
这就是为什么业务里会出现这样一种现象:发送方完全正常,消息系统也没有明显报错,可后面某个消费组依然积压,某个业务动作依然迟迟没有发生。问题不一定出在“发送”这一步,而可能出在消费分片、消费处理速度、重平衡、位点推进或某台Broker的局部热点上。
下面这张图,对应的是“发送成功”和“消费完成”之间那条真正的流水线:
写入链路看清以后,自然会接到下一个问题:既然消息都已经进Broker了,为什么存储层还要拆成这么多层?直接按Topic存、按Queue存,不是更省事吗?
还是回到例子:订单消息到了 Broker 落盘(t2),而库存服务要在 拉取消息(t3)-提交位点(t5) 这段顺利读出来并推进位点,三层结构就是为了把这两段各自优化好。
这背后还是同一件事:把“物理视角”和“逻辑视角”拆开。
CommitLog 负责写入主链
CommitLog是消息体真正落盘的地方。消息到达Broker后,先顺序追加到这里。它关心的是物理写入效率,不关心业务层到底把消息理解成订单、库存还是营销通知。
这一层的目标很单纯:尽量稳定地接住写入流量。只要写路径能保持顺序追加,吞吐和延迟的基础盘就稳了。前面为什么强调“选好队列之后还是先写主日志”,原因就在这儿。
ConsumeQueue 负责逻辑消费视角
消费者并不是按“从下一个物理偏移继续读”来理解业务的。对它来说,它订阅的是某个Topic,真正消费的是某个MessageQueue。所以Broker还得再维护ConsumeQueue。
再强调一次:
ConsumeQueue不是“消费者本地的队列”(也不是所谓的ConsumerQueue)。
它是Broker 侧按Topic + MessageQueue维度维护的索引文件,用来把“队列 offset”映射回CommitLog的物理位置。
ConsumeQueue本身就是逻辑队列索引。它不保存完整消息体,而是记录:
- 这条消息在
CommitLog里的物理位置。 - 这条消息大概有多大。
- 少量用于过滤或快速定位的附加信息。
这套设计带来的效果是:物理层继续专注顺序写,逻辑层再恢复“某个队列上的第几条消息”这个消费视角。于是写入吞吐和消费模型就不用被绑死成同一个结构。
下面这张“写入时建索引、消费时走索引”的小图,对应的是三层之间的实际路径:
IndexFile 负责按键检索和排障
CommitLog是写入主链,ConsumeQueue是逻辑消费入口,IndexFile则是一条旁路检索能力。
很多业务会把订单号、事务号、用户标识等关键信息放进消息键里。线上排障时,经常会出现这种需求:业务说某条订单消息似乎没走通,希望按键快速定位消息大概在哪。这个需求如果每次都去扫整条CommitLog,代价会非常高,所以才有IndexFile这种面向检索的补充层。
它的重要性不在于“平时消费一定要经过它”,恰恰相反,它通常不走主消费路径。它真正的价值,是在需要按键回查、问题追踪、补偿定位时,给系统补一条效率更高的路。
为什么这三层不是重复设计
很多人第一次看到这三层,会觉得像在同一件事上画了三次图。可一旦把访问诉求拆开,这个疑问就会消失。
| 结构 | 它主要回答的问题 | 优先优化什么 |
|---|---|---|
CommitLog | 怎样把消息高吞吐地写进去 | 顺序写、稳定吞吐 |
ConsumeQueue | 怎样按逻辑队列把消息读出来 | 逻辑队列视角、消费效率 |
IndexFile | 怎样按消息键快速定位消息 | 检索、排障、回查 |
它们服务的不是三种“差不多的存储”,而是三种完全不同的访问方式。
把它们落到例子里,对应关系就是:
- Broker 落盘(t2): 订单消息落到CommitLog,这是“写入主链”。
- 拉取消息(t3): 库存服务按队列读,走的是ConsumeQueue这条逻辑入口。
- 重试/DLQ(t8): 出问题想按
orderId回查,才会强烈依赖IndexFile这种旁路能力。
老数据怎么清,也和分层有关
存储分层还有一个容易被忽略的好处:清理策略更好做。
消息不可能无限期保留。保留时间到期以后,底层通常会先围绕物理主日志做删除,再由相关索引逐步跟着回收。如果物理和逻辑完全绑死在一起,删除与回收会更难收口。正因为CommitLog、ConsumeQueue、IndexFile各自承担不同职责,系统才能在清理历史数据时维持更清楚的边界。
从这个角度回头看,RocketMQ的存储设计核心并不在“结构多”,而在“每一层都只解决一种访问问题”。这也是它能同时兼顾写入吞吐、消费读取和按键检索的原因。
消费扩展为什么总和 MessageQueue 数量绑定
讲完写入和存储,再往后走就会碰到消费端最常见的误区:只要多起几个消费者,吞吐自然就会继续涨。
对应到例子里,这一章讨论的主要就是 拉取消息(t3)-重平衡(t6):库存服务拉取、处理、提交位点,以及扩容或抖动引发的重平衡。
实际情况经常不是这样。很多团队第一次扩容消费端时,最容易遇到的就是“实例数涨了,CPU 也涨了,但积压没怎么掉”,甚至有时扩到后面只是在做无效扩容。
原因不在消费者不努力,而在并行度的上限根本不由消费者实例数单独决定。
Topic 是逻辑主题,MessageQueue 才是扩展单元
同一个Topic可以拆成多个MessageQueue。消费组真正分摊的,不是抽象主题,而是这些具体队列。
假设一个主题只有 4 个队列,那同一个ConsumerGroup下不管起 4 个实例还是 10 个实例,真正能同时拿到独立分片的上限都还是 4。多出来的实例不会凭空创造新的并行度。
这就是为什么前面反复强调:MessageQueue不是一个实现细节,而是整个消费扩展的基本单位。消费端能并行到什么程度,首先要看这个主题被切成了多少条队列。
ConsumerGroup 在组织什么
ConsumerGroup可以粗略理解成“一组共同消费同一份数据的消费者实例”。它带来的不是额外算力,而是一套共享消费视角:
- 这一组实例订阅同一个主题集合。
- 队列会在组内分配,而不是每个实例都完整拿一份。
- 组内实例数变化时,要重新做队列分配,也就是常说的重平衡。
所以它解决的问题不是“怎么让更多机器知道有消息”,而是“怎么让一组机器分工处理同一批消息”。
重平衡为什么会影响稳定性
只要消费组内实例数变了,或者队列数变了,甚至某些节点短时不可用,重平衡就会发生。它的核心动作,就是把一组MessageQueue重新分给组内各实例。
这一步听上去只是重新分配,实际却会影响到消费平稳性。因为:
- 某些实例会暂时失去原本负责的队列。
- 新接手队列的实例需要从对应位点继续往下处理。
- 如果某些队列天然更热,新的分配结果可能仍然不够均匀。
这也是为什么线上看消费积压时,不能只盯着“这个消费组有多少实例”,还要看“热点队列是不是集中在少数节点上”“重平衡是不是过于频繁”“队列分布是否天然不均”。
重平衡本质上就是“队列重新分配”,这张图对应的就是触发条件和结果:
位点是什么,为什么它不是细枝末节
前面多次提到消费位点。这里把它讲得再直白一点:位点就是这组消费者已经处理到队列里哪一条消息的进度标记。
只要涉及消费组协作,位点就不再是一个可有可无的小字段。因为系统必须知道:
- 某个队列下一次应该从哪里继续拉。
- 某个实例重启后应该从哪里恢复。
- 队列重分配给别的实例以后,新的实例应该接哪一段进度。
所以消费位点的推进,实际上是在把“业务已经处理到哪里”这个事实重新交回消息系统。没有它,消费扩展和恢复都接不上。
下面这张很小的时序图,强调的是“处理”和“提交”是两步:
Push 和 Pull 为什么也容易让人误会
很多业务代码里会直接用到PushConsumer这一类更省事的接口,所以直觉上容易觉得RocketMQ是“Broker 主动把消息推给消费者”。
真正要点破的是:PushConsumer更像“SDK 帮你把 Pull 包装成回调”,而不是真的由Broker建立一条持续主动推送到客户端的通道。
为什么说它是“假的 push”?核心有三点:
- 第一,请求还是消费者自己发起的。客户端会主动向
Broker发pull请求,而不是Broker无缘无故朝消费者家里“推”一条消息过去。 - 第二,没拉到数据时,常见做法是长轮询。也就是这次
pull请求不会立刻空手返回,Broker会把请求先挂一小段时间;这段时间里如果新消息到了,就直接把结果返回;如果等到超时还没有数据,再返回空结果。 - 第三,返回以后还得继续下一轮拉取。SDK 收到消息后再分发给你的监听器/回调函数;处理完一批、或者这次没拿到数据,客户端还会马上再发起下一次拉取。
把链路按顺序展开,就是这样:
Consumer发起一次pull请求。Broker如果暂时没数据,就先把这个请求挂住,进入长轮询等待。- 一旦有新消息到达,或者等待超时,
Broker才把结果返回给Consumer。 - SDK 把返回结果封装成“像是被推过来一样”的回调式消费体验。
- 客户端继续发下一次
pull,循环往复。
这张时序图,对应的就是“假 push / 真 pull + 长轮询”这层包装关系:
所以
PushConsumer的“push”,推的不是网络模型,而是编程模型。
对业务代码来说,你像是在被动接收回调;对底层架构来说,本质仍然是Consumer主动拉取 +Broker长轮询等待 + SDK 回调封装。
这件事为什么重要?因为只要底层仍是拉模型,很多工程问题就能一下子解释清楚:
- 背压更多体现在客户端拉取节奏、并发消费线程数、批量大小,而不是服务端无限制地往外推。
- 重平衡的本质还是“哪个实例接管哪些队列,然后从哪里继续拉”。
- 位点推进仍然要靠消费端处理完成后再提交,而不是
Broker推完就自动算消费完成。 - 空拉与实时性的折中,靠的正是长轮询:既避免高频短轮询打爆
Broker,又尽量让新消息到达后能快速返回。
如果把PushConsumer真理解成“服务端主动推送”,后面再看消费速率、批量策略、重试、背压、重平衡时,模型就会套错。更准确的说法是:业务接口看起来像 push,架构底盘实际上还是 pull。
消费失败以后,为什么系统还要继续兜一层重试和死信
只看成功路径,消费系统似乎只要做到“拉下来、处理掉、提交位点”就够了。可真实业务里,失败是常态之一。下游超时、数据库锁冲突、外部接口抖动、幂等校验失败,都可能让消息第一次处理不成功。
这时候消息系统如果只有“成功”这一条路,就很难进入生产环境。RocketMQ会在消费链上补一套闭环能力:
- 第一次处理失败,消息不立刻消失,而是进入重试。
- 多次重试仍然不行,再落到死信队列,等后续人工分析或补偿。
这套设计的意义,不只是“功能更完整”,而是让消息系统从一个理想路径工具,变成能面对失败现实的工程系统。
下面这张流程图,对应的是“重试直到进 DLQ”的闭环路径:
为什么有时多起消费者也救不了积压
把上面这些点放在一起,再回头看消费积压,方向就会清楚很多。多起消费者没有起效,常见原因通常是这几类:
- 队列数本来就不够,并行度被上限卡住。
- 少数队列特别热,导致局部热点压在少数实例上。
- 单条消息处理时间长,消费逻辑本身比拉取更慢。
- 重试消息堆积,业务实际上在被失败闭环拖慢。
- 重平衡频繁,消费视角不停抖动。
所以“消费端扩容”从来不是只加机器这么简单。它背后真正要看的,始终还是队列分片、位点推进、失败闭环和业务处理耗时这几件事。
高可用在保护什么,为什么它没有标准答案
先别急着记模式名,先回到一个更像真实故障现场的瞬间。
还是订单创建后异步扣库存这个例子。假设现在来到主故障切换(t7):
- 订单服务刚刚拿到
send成功返回。 - 库存服务还没来得及完全消费这批消息。
- 这时承接写入的
Broker Master突然挂了。
如果你在现场,脑子里冒出来的通常不会是“我现在属于哪种高可用拓扑”,而会是下面这几个更直接的问题:
- 我刚才那些已经返回成功的消息,到底算不算真的写稳了?
- 主挂了以后,新的主多久能顶上来,业务还能不能继续写?
- 如果副本还没追平,会不会出现“你以为成功了,其实那一小段最危险”的情况?
- 切换完成以后,客户端拿到的新路由、读到的新数据,会不会前后不一致?
所以高可用这件事,别先把注意力放在模式名字上。先抓住一句更接地气的话:
高可用讨论的,其实就是:主一挂,你最想保住什么?
是先保继续可写,还是先保已返回成功的数据尽量别丢,还是先保尽快恢复?
这张图可以这样读:
左边三档先看“成功回执给得早还是晚”;Controller重点看“主挂后怎么更快接管”;DLedger则要把它看成“换了一套副本组选主和复制规则”,不要把它脑补成经典主从路线上的下一站。
先把现场里的两条大路分开
这一章可以按 3 个问题来读:先看有没有副本,再看成功回执什么时候给,最后看主挂以后谁来接管。
如果你把这 3 个问题抓住,后面的“多主单副本、异步主从、同步双写、Controller、DLedger”就不会像一串散开的名词。
它们其实一直都在围着同一个现场打转:订单服务刚拿到send成功,结果主节点突然挂了,这时系统到底还能保住什么。
把刚才那个“主突然挂掉”的现场往回推,其实你面对的高可用思路大致只有两类:
- 经典主从路线:先接受“这是一主多从”的基本结构,再去决定两个关键问题。
- 问题 1:
send成功要不要等副本? - 问题 2:主挂以后切换是更依赖人工,还是尽量让系统自己做?
- 问题 1:
DLedger路线:不再只是在经典主从上补规则,而是从副本组选主和复制规则这一层,直接换一套更强调一致性和自动选主的玩法。
这里先把两条路拆开:
Controller仍然属于“经典主从这条路里的人”。DLedger属于另一套副本组规则。
只要这两条路先分开,后面就不容易再把Controller误读成DLedger的前置阶段。
先把几种方案横着放在一张表里,差别会清楚很多:
| 方案 | 复制 / 确认方式 | 自动切换能力 | 主要优点 | 主要代价 | 更适合的理解场景 | 例子时刻 |
|---|---|---|---|---|---|---|
| 多主单副本 | 本机写入为主,几乎没有副本确认链路 | 弱,更多依赖外部处理 | 结构轻,写入路径短,吞吐高 | 节点故障时风险最直接 | 先理解最基础的横向扩展模型 | 发送返回(t1)/主故障切换(t7) |
| 异步主从 | 主先返回,从后续追上 | 有副本承接空间,但确认点偏弱 | 性能接近轻路径,风险比单副本低 | 主突然故障时可能丢少量未复制数据 | 想兼顾吞吐和基本风险控制的场景 | 发送返回(t1)/主故障切换(t7) |
| 同步双写 | 主从都进入确认点后再返回 | 比异步主从更容易稳住确认语义 | 已返回成功的数据更稳 | 延迟更高,写入路径更重 | 更看重确认点强度的场景 | 发送返回(t1)/主故障切换(t7) |
Controller路线 | 仍站在经典主从复制模型上 | 强,自动切换能力更完整 | 把主从切换往系统内建能力里收 | 角色更多,状态管理更复杂 | 想沿经典主从路线增强恢复能力 | 主故障切换(t7) |
DLedger路线 | 基于一致性日志复制与选主 | 强,副本组选主更内建 | 一致性和自动选主能力更明确 | 理解和运维门槛更高 | 更强调一致性复制与自动选主的场景 | 主故障切换(t7) |
如果是多主单副本,主挂时现场会怎样
最基础的一档是:多主单副本。
这里的“多主单副本”可以先白话记成一句:有多个Master一起分摊流量,但每条消息只保留一份,不再额外复制到Slave。
还是刚才那个现场。订单服务拿到send成功了,结果主节点紧接着挂了。这时你最容易遇到的现实就是:
- 返回是很快的,因为前面几乎没有重副本确认链路。
- 但主一挂,刚刚那批“已经成功”的消息到底稳不稳,心里会最没底。
它的优点和代价都很直白:
- 优点:结构轻、写入快、吞吐通常高。
- 代价:故障一来,风险没有缓冲带,直接落到那台主机刚写进去的那一小段数据上。
多主单副本的取舍也很明确:先优先保性能和吞吐,故障后的确认语义不做太重承诺。
再往前走一步,如果你已经不满足于“只有一份数据”,那接下来问题就会自然变成:副本有了以后,成功到底该在什么时刻算数?
已经有副本以后,关键就看“成功回执”给得早还是晚
到了异步主从和同步双写,读者最容易混淆的一点是:它们都有副本,那差别到底在哪?
答案其实就落在一句很朴素的话上:这张“成功回执”是早点给你,还是晚点给你。
- 异步主从:主节点先说“我先收下了,你先往下走”,副本在后面追。这么做的好处是返回快、吞吐更好看;代价是如果主在副本追上前挂掉,那一小段数据还是会变得敏感。
- 同步双写:主从都确认得差不多了,再告诉你“这次算成功”。这么做的好处是确认语义更稳;代价是你得等更久,写入路径也更重。
这两种模式的区别,可以直接压成两句:
- 异步主从:先给回执,再慢慢补稳。
- 同步双写:先补稳,再给回执。
这样一来,很多现象就好理解了。为什么有的业务说“我宁可慢一点,也不想这张成功回执太虚”;为什么有的业务说“我先把流量接住更重要”。其实,都是在选回执给得早一点,还是给得扎实一点。
不过,光把“回执早晚”说清还不够。主真的挂掉时,系统还得回答另一个问题:谁来判断该切、切给谁、怎么把这件事更快串起来?这就进入Controller的角色了。
Controller 负责判主、接管和恢复
Controller难懂,往往是因为很多人一看到它就以为:“哦,又来了一个负责存数据的角色。”
它不负责存数据,更接近的定位是:
主挂了以后,总得有人更快判断“现在谁能顶上来”。
Controller干的就是把这件事往系统内建能力里收。
它重点盯的是三件事:
- 现在谁应该继续当主。
- 哪些副本状态是健康的,能不能接班。
- 故障发生以后,怎么更自动地把接管动作串起来。
所以Controller补的不是“多存一份数据”,而是更快、更自动地完成主故障后的判定和接管。
下面这张时序图,对应的就是故障发生后“谁来判主、谁来接管”:
看到这里,可以把经典主从路线先暂时收一下:前面两档主要在回答“回执什么时候给”,Controller进一步回答“主挂后谁来接管”。再往后,才轮到另一条路线DLedger。
DLedger 是另一套副本组规则
DLedger很容易被误读成“在Controller后面再加一层增强”,但它和Controller不是一前一后的关系。
它对应的是另一套副本组规则。
DLedger不是给Broker外面再挂一个新中间件,而是让Broker这组副本在“谁是主、日志怎么复制、什么时候算真正提交”这几件事上,改用一套更强调多数派确认和自动选主的规则。
它主要盯的是两个现场问题:
- 主挂了以后,谁来接班,不要再过度依赖人工判断。
- 已经返回成功的消息,到底凭什么算更稳,不要只靠“主机自己先记了一份”。
它补强的也不是“消息怎么被业务消费”,而是Broker 副本组内部的复制和选主语义。
Controller还是在经典主从框架里,努力把切换做得更自动。DLedger则是把“谁能当主、日志怎么复制、什么时候算多数确认”这些规则,从底层就定义得更明确。
把DLedger看成“Controller升级版”并不准确,更贴近实际的说法是:
Controller还站在经典主从路线里,只是在原有复制模型上增强自动切换;DLedger则是另一条副本治理路线,目标更偏一致性复制和自动选主。
把“经典主从”和 “DLedger副本组”并排放在一起,差别就在这里:
下面这张最小时序图,对应的是DLedger在“提交算不算数”这件事上的处理方式:
这一小节收束下来,DLedger的重点就是 3 句话:
- 它首先解决的是副本组内部怎么选主,不是业务侧怎么消费。
- 它进一步解决的是成功回执背后的确认依据更强,因为要看多数派复制是否达成。
- 它的代价是写入路径更重、理解和运维门槛更高,所以不是所有场景都一定要上。
这一章的主线其实一直没变:先看有没有副本,再看成功回执什么时候给,接着看主挂以后谁来接管,最后再看是不是换一套副本组规则。
为什么高可用没有统一最优解
回到最开始那个现场,你现在应该比较容易代入了:
- 你越想让“已返回成功”的消息更稳,写入路径通常就越重。
- 你越想让故障后更快自动切换,系统角色和状态管理通常就越复杂。
- 你越想让副本一致性更强,复制和选主规则通常就越严格。
最后落回一句最朴素的话:高可用从来不是白拿的。你多保一点,就要多付一点。
常见的交换关系基本就是下面这张表:
| 想优先保护什么 | 往往要接受什么代价 |
|---|---|
| 更高吞吐 | 确认点更轻,风险窗口更大 |
| 更强确认语义 | 写入路径更重,返回更慢 |
| 更快自动切换 | 系统角色更多,状态管理更复杂 |
| 更强副本一致性 | 复制与选主机制更重,理解和运维门槛更高 |
把它和例子的时刻放在一起,你会更容易在排障时“对号入座”:
- 你卡在 发送返回(t1): 多半在讨论确认点(刷盘/复制/返回策略)。
- 你卡在 拉取消息(t3)-重平衡(t6): 多半在讨论队列分片、重平衡、位点推进。
- 你卡在 主故障切换(t7): 多半在讨论复制、切换、路由更新。
这也是为什么架构讨论里最怕听到一句“哪种模式最先进”。真正该问的不是“最新的是谁”,而是“当前业务最怕丢什么、最怕慢什么、最怕恢复不及时什么”。
RocketMQ 架构里最容易混的几件事
讲到这里,主链已经差不多完整了。再把几处最容易混的点单独收一下,后面读官方文档或排查线上问题时会省很多弯路。
NameServer很轻,不等于集群状态不重要
NameServer做轻,指的是它不承担重型一致性控制面,不是说集群状态无所谓。恰恰相反,路由仍然非常重要,只是RocketMQ把它做成了更轻的发现层,而不是把所有复杂仲裁都堆在这里。
Broker才是整套系统最重的那层
路由轻、客户端薄,不代表系统整体轻。真正的重量都集中在Broker:消息落盘、逻辑索引、消息投递、消费位点、主从复制、故障切换,几乎都发生在这里。
所以理解RocketMQ架构时,一个很有用的思路是:不要盯着组件数量,而要盯着复杂度最终压在了哪里。压在Broker,就是这套系统最核心的设计取向之一。
消费者实例数和消费并行度不是同一个概念
消费者实例数只是“有多少工人”;真正能分到多少活,要看系统切出了多少条独立队列。没有足够的MessageQueue,再多实例也只是等着分配。
send 成功和业务完成之间隔着整条消费闭环
这是业务里最常见的理解断层。只盯着发送成功,很容易忽略后面的消费积压、重试和死信。消息系统真正进入生产环境以后,讨论的重点不会停在“能不能发”,而会继续走到“能不能稳稳消费完”。
图里的高可用路线和版本口径必须对应起来看
经典主从、Controller、DLedger不该被揉成一条时间轴上的简单替换关系。它们部分是演进,部分是不同路线,部分又和4.x / 5.0的版本认知有关。只要把这些层混到一起,图和文就很容易前后打架。
回到开头那个业务现象
开头那个看似普通的问题,其实把RocketMQ整套架构都串了起来:为什么消息明明发成功了,后面还是会有一长串问题慢慢冒出来。
现在再回头看,这件事就没那么神秘了。因为一次发送成功,背后只是这条消息刚刚完成了它在系统里的前半段旅程。它先经历路由发现,再选定MessageQueue,再进入CommitLog,再依赖复制和确认策略决定返回点;后面还要继续经过ConsumeQueue视角恢复、消费者拉取、消费位点推进、失败重试和高可用兜底。
也就是说,RocketMQ并不是把所有问题都收束到一个“消息系统调用成功”的瞬间里,而是把问题拆开放在了不同层:
NameServer负责把路由发现做轻。Broker负责把存储、投递、位点和复制做重。MessageQueue负责把扩展单元切出来。- 高可用负责决定这条消息到底能稳到什么程度。
把这几层看顺以后,很多线上现象就不再像黑盒:扩容为什么不一定提速,积压为什么会偏在部分节点,发送成功为什么不等于消息已经绝对安全,主从切换为什么会牵动确认语义。
理解RocketMQ架构,到最后不是记住了多少名词,而是脑子里真正形成了一条完整路径:一条消息从发出到被消费,路上到底经过了哪些层,每一层各自解决了什么问题,又把什么代价留给了下一层。
只要这条路径是清楚的,后面再去看顺序消息、事务消息、定时消息,甚至再回到线上排查积压、热点队列和主从切换问题,都会容易很多。因为那时候看到的,就不再是一堆散落的组件名,而是一整套能对上位置的架构分工。