Redis Cluster 集群的运维深潜与扩缩容血泪史

作者: /

本文旨在为已经具备 Redis 使用经验的中高级工程师,深入剖析 Redis Cluster 在生产环境中的核心运维挑战,特别是扩缩容操作。我们将跨越官方文档的“操作指南”层面,直击其底层的分布式协议、状态机流转与潜在的工程陷阱。你将看到,一个看似简单的“增加节点”操作,背后是涉及节点握手、Slot 状态变更、数据原子性迁移、客户端重定向以及集群状态广播的一系列精密编排,而任何一个环节的疏忽,都可能引发服务抖动甚至数据错乱。

现象与问题背景

在业务初期,一个单实例或主从架构的 Redis 通常足以应对大部分场景。但随着业务量的指数级增长,例如在电商大促、金融交易或社交信息流等场景,单一 Master 节点很快会触及瓶颈。这并非简单的内存不足问题,而是更为棘手的系统性瓶颈:

  • CPU 瓶颈: Redis 的主线程是单线程模型。当 QPS 达到数十万级别,特别是有大量复杂计算(如 `ZRANGE`, `SORT`, `LREM`)时,单核 CPU 会被率先打满,导致所有请求的延迟急剧上升。
  • 网络 I/O 瓶颈: 单个节点的网卡带宽是有限的。在高吞吐量下,尤其是当 Value 较大时,千兆甚至万兆网卡都可能成为瓶颈,造成请求排队和超时。
  • 内存容量限制: 虽然可以通过垂直升级来扩展内存,但单机内存终有上限,且成本高昂。更重要的是,超大内存实例(如 256GB+)在进行 RDB-bgsave 或 AOF-rewrite 时会产生巨大的 `fork()` 开销,可能导致长达数秒的服务停顿。

面对这些问题,水平扩展成为唯一的出路。Redis Cluster 应运而生,它通过将数据分片(Sharding)到多个节点,实现了理论上无限的横向扩展能力。然而,这种分布式架构的引入,将运维的复杂性从“单机问题”提升到了“分布式系统问题”。扩容(Scale-out)和缩容(Scale-in)不再是增加或移除一台机器那么简单,它变成了一场需要精确控制的数据迁移“战役”。

关键原理拆解

在我们深入探讨扩缩容的具体操作前,必须像一位严谨的学者一样,回到计算机科学的基石,理解 Redis Cluster赖以生存的几个核心分布式原理。这些原理决定了其行为模式和运维的边界。

数据分片模型:哈希槽 (Hash Slot)

与常见的一致性哈希算法不同,Redis Cluster 引入了哈希槽的概念。整个集群预设了 16384 (0 – 16383) 个哈希槽。每一个 Key 通过 `CRC16(key) mod 16384` 的计算,被唯一地映射到一个哈希槽上。集群中的每个 Master 节点则负责管理这些哈希槽的一个子集。

为何是 16384?这是一个工程上的权衡。

  • 心跳包大小: 集群节点间通过 Gossip 协议交换状态信息,其中最重要的就是每个节点负责的 slot 集合。这个集合通过一个 bitmap 来表示。16384 个 slot 需要的 bitmap 大小是 `16384 / 8 = 2048` 字节,即 2KB。这是一个在网络传输中相当紧凑的大小。如果 slot 数量是 65536,则 bitmap 会达到 8KB,心跳包会变得臃肿。
  • 集群规模: 官方建议 Redis Cluster 的规模不宜超过 1000 个节点。16384 个槽位即使在 1000 个节点的规模下,每个节点平均也只持有约 16 个 slot,这对于 slot 的迁移和管理来说粒度已经足够细。

这种预分片(Pre-sharding)的设计,将数据与节点进行了解耦。节点的增减,不再是全局性的 rehash,而仅仅是 slot 在节点之间的移动。这是实现在线扩缩容的基础。

集群状态维护:Gossip 协议

Redis Cluster 是一个去中心化的架构,没有类似 ZooKeeper 或 etcd 这样的中心协调者。节点之间如何发现彼此、同步 slot 分布表、感知节点故障?答案是 Gossip 协议

每个节点都会定期(默认为每秒)随机选择几个其他节点发送 `PING` 消息。`PING` 消息中包含了发送者自身的状态信息,以及它所知道的部分其他节点的状态。接收方收到 `PING` 后,会回复一个 `PONG` 消息,其中也包含了它自己的状态信息。通过这种病毒式的信息交换,整个集群的状态最终会收敛到一致。这种设计带来了极好的容错性和伸缩性,但其最终一致性的本质也意味着在某些极端情况下(如网络分区),不同节点短时间内看到的集群视图可能是略有差异的。

迁移过程中的一致性保证:ASKING 与 MOVED 重定向

在 slot 迁移过程中,数据一致性是一个巨大的挑战。如果一个 slot 正在从 Node A 迁移到 Node B,此时一个客户端请求访问属于该 slot 的 key,会发生什么?Redis Cluster 设计了一个精巧的两阶段状态机来处理这个问题。

  • -MOVED 错误: 当客户端访问的 key 所属的 slot 已经完全迁移到另一个节点时,源节点会返回一个 `-MOVED :` 错误。这是一个永久性的重定向。聪明的客户端(如 `redis-cli -c`)在收到此响应后,会更新其本地的 slot-node 映射缓存,并用新的地址重新发送请求。
  • -ASK 错误: 当客户端访问的 key 所属的 slot 正在迁移中,且这个 key 恰好还未从源节点(Node A)迁移走,请求会被正常处理。但如果这个 key 已经被迁移到了目标节点(Node B),源节点会返回一个 `-ASK :` 错误。这是一个临时性的重定向。客户端收到后,需要先向目标节点发送一个 `ASKING` 命令,这个命令相当于一个“通行证”,允许目标节点在 slot 尚未完全归属于自己的情况下处理一次这个请求。然后,客户端再重新发送原始命令。`ASK` 不会更新客户端的本地 slot 缓存,下一次请求仍然会先发往源节点。

这种 `ASKING` 协议的设计,优雅地解决了迁移过程中的过渡状态问题,确保了在整个迁移窗口期内,key 要么在源节点可访问,要么在目标节点可访问,不会出现“两边都找不到”的窘境。

扩缩容实战:原子操作的宏观编排

理解了原理,我们现在可以像一个极客工程师一样,深入到扩缩容操作的“战壕”里。无论是扩容还是缩容,其本质都是 **Slot 的重新分布 (Resharding)**。这并非一个单一的命令,而是一系列原子操作的宏观编排。

扩容(Scale-Out)

假设我们有一个 3 主 3 从的集群(M1, M2, M3),现在需要加入新的主节点 M4(及其从节点 S4)。

第一步:节点握手(MEET)

首先,让新节点 M4 加入到集群中。在 M4 上执行 `cluster meet `。通过 Gossip 协议,M1 会将 M4 的存在告知其他所有节点,最终 M4 会被集群中的所有成员认识。此时的 M4 是一个“三无”节点:没有分配 slot,没有数据,也不承担任何流量。

第二步:Slot 迁移

这是整个扩容过程的核心。我们需要从现有节点(M1, M2, M3)上移动一部分 slot 到 M4。官方提供了 `redis-cli –cluster reshard` 工具来自动化这个过程,但我们必须理解其背后发生了什么。假设我们要从 M1 迁移 slot 500 到 M4。

整个过程对单个 slot 而言,必须是原子的,它由以下命令序列组成:


# 1. 在目标节点 M4 上,将 slot 500 设置为 IMPORTING 状态
#    这允许 M4 接收本不属于它的 slot 500 的数据
#    格式:CLUSTER SETSLOT <slot> IMPORTING <source_node_id>
redis-cli -h M4_IP -p M4_PORT CLUSTER SETSLOT 500 IMPORTING M1_NODE_ID

# 2. 在源节点 M1 上,将 slot 500 设置为 MIGRATING 状态
#    这使得 M1 在处理属于 slot 500 的 key 时,会检查 key 是否已迁移
#    格式:CLUSTER SETSLOT <slot> MIGRATING <destination_node_id>
redis-cli -h M1_IP -p M1_PORT CLUSTER SETSLOT 500 MIGRATING M4_NODE_ID

# 3. 循环迁移 key
#    a. 从 M1 获取 slot 500 中的一批 key
#       KEYS=$(redis-cli -h M1_IP -p M1_PORT CLUSTER GETKEYSINSLOT 500 100)
#    b. 对每个 key 执行 MIGRATE 命令
#       这个命令是原子性的:它会在源节点dump、在目标节点restore,成功后在源节点删除key
#       格式:MIGRATE <host> <port> <key | ""> <db> <timeout> [COPY] [REPLACE] [KEYS key [key ...]]
#       for key in $KEYS; do
#           redis-cli -h M1_IP -p M1_PORT MIGRATE M4_IP M4_PORT $key 0 5000
#       done
#    c. 重复 a, b 直到 slot 500 中所有 key 都被迁移完毕

# 4. 广播 Slot 归属变更
#    向集群中任意一个节点(包括 M1 和 M4)发送 SETSLOT 命令,将 slot 500 的归属权正式指派给 M4
#    这个信息会通过 Gossip 协议广播到整个集群
#    格式:CLUSTER SETSLOT <slot> NODE <destination_node_id>
redis-cli -h M4_IP -p M4_PORT CLUSTER SETSLOT 500 NODE M4_NODE_ID

`redis-cli –cluster reshard` 工具本质上就是帮你完成了上述第 2、3、4 步的自动化。但魔鬼在细节中:

  • 大 Key 陷阱: `MIGRATE` 命令在迁移单个 key 时是阻塞的。如果你的 slot 中存在一个几百 MB 的大 Key(例如一个巨大的 HASH 或 ZSET),这个命令可能会执行数秒钟。在此期间,Redis 主线程被阻塞,无法处理其他任何请求,导致服务出现一个明显的“卡顿”。这是在线扩缩容最常见的坑。运维前必须使用 `redis-cli –bigkeys` 扫描并处理掉大 Key。
  • 迁移速度与业务负载的冲突: 迁移过程本身会消耗源节点和目标节点的 CPU 及网络资源。如果在业务高峰期进行大规模迁移,很可能导致服务整体性能下降。通常需要在凌晨低峰期进行,或者使用工具精细控制迁移速度(例如在每批 `MIGRATE` 之间加入 `sleep`)。

缩容(Scale-In)

缩容的本质是扩容的逆过程:将一个即将下线的节点(例如 M3)的所有 slot 全部迁移到其他节点(例如 M1, M2)上。过程与扩容的第二步完全一致,只是方向相反。`redis-cli –cluster reshard` 同样适用。

关键在于最后一步:当 M3 的所有 slot 都被清空后,需要将其从集群中彻底移除。


# 在集群中每一个仍然存活的节点上,执行 CLUSTER FORGET 命令
# 这个命令会使得接收节点将 M3 从其节点列表中移除,并停止与其进行 Gossip 通信
# 格式:CLUSTER FORGET <node_id_to_forget>
redis-cli -h M1_IP -p M1_PORT CLUSTER FORGET M3_NODE_ID
redis-cli -h M2_IP -p M2_PORT CLUSTER FORGET M3_NODE_ID
redis-cli -h M4_IP -p M4_PORT CLUSTER FORGET M3_NODE_ID
# ... 对所有其他节点执行

工程血泪教训: 必须对集群中 **所有** 节点(包括 Master 和 Slave)执行 `CLUSTER FORGET`。如果遗漏了任何一个,那个被遗忘的节点会依然保留着关于下线节点的陈旧信息,可能会在未来某些异常场景下(如主从切换)尝试联系那个已经不存在的节点,引发难以排查的“幽灵问题”。

性能优化与高可用设计

数据平衡的艺术

集群扩容后,`redis-cli` 的 `rebalance` 命令默认只会尝试平衡各个节点上的 **slot 数量**。但在真实世界中,这远远不够。一个持有 1000 个 slot 的节点可能只用了 1GB 内存,而另一个同样持有 1000 个 slot 的节点可能因为存储了大量热点数据而使用了 50GB 内存。仅仅平衡 slot 数量是不够的,我们需要的是 **数据和负载的平衡**。

这通常需要自研的运维工具。通过定期扫描每个节点的 `INFO` 命令输出,获取 `used_memory`、`keys` 数量、`instantaneous_ops_per_sec` 等指标,结合 slot 分布情况,计算出一个“负载分数”。当某个节点的负载分数远高于其他节点时,就触发一个自定义的 resharding 脚本,将该节点上的一些 slot(最好是分析出内存占用较高的 slot)迁移到负载较低的节点上。

主从切换与故障转移

Redis Cluster 的高可用依赖于其主从复制和故障转移机制。当一个 Master 节点被其大多数(`N/2 + 1`)其他 Master 节点判定为 `PFAIL` (Possibly Fail) 状态超过 `cluster-node-timeout` 时间后,该 Master 会被标记为 `FAIL` 状态。此时,该 Master 下属的 Slave 节点会发起选举。

选举的胜出规则很简单:拥有最新复制偏移量(replication offset)的 Slave 将胜出,因为它拥有最完整的数据。胜出的 Slave 会执行 `CLUSTER FAILOVER`,提升自己为新的 Master,并接管旧 Master 的所有 slot。这个过程通常在数秒内完成,对业务的影响较小。

关键参数 `cluster-node-timeout`: 这个参数是可用性(A)和一致性(C)之间的重要权衡。

  • 值设得太小(如 1-2 秒): 在网络抖动的环境中,可能会频繁发生误判,导致不必要的 Master 切换,反而降低了系统的稳定性。
  • 值设得太大(如 15-30 秒): 在节点真正宕机时,集群需要等待更长的时间才能发起故障转移,增加了服务的不可用时间(RTO)。

在跨可用区(AZ)部署的集群中,由于跨区网络延迟相对较高,通常需要适当调高此值,以避免因网络瞬时抖动引发的脑裂和频繁切换。

架构演进与落地路径

对于一个从零开始的系统,直接上 Redis Cluster 可能是一种过度设计。一个更稳健的演进路径如下:

  1. 阶段一:Master-Slave + Sentinel。 这是最经典的 Redis 高可用方案。它解决的是单点故障问题,但不解决写入瓶颈和容量问题。对于中小型业务,这个架构可以稳定运行很长时间。
  2. 阶段二:客户端分片或代理层分片。 当 Sentinel 架构遇到写入瓶颈时,可以在业务代码层面或引入代理层(如 Twemproxy, Codis)进行手动分片。这种方案的优点是改造相对简单,但缺点是运维复杂,扩缩容通常需要手动干预,且不支持跨分片的原子操作。
  3. 阶段三:迁移到 Redis Cluster。 当业务规模和团队技术能力都达到一定水平时,就应该考虑迁移到原生的 Redis Cluster 架构。迁移过程需要周密的计划,通常需要开发数据同步工具,实现双写或灰度迁移,以确保平滑过渡。一旦迁移完成,你将获得一个具备良好水平扩展能力和自动化故障转移能力的强大缓存平台。

总而言之,Redis Cluster 是一个设计精良的分布式系统,但它并非银弹。驾驭它需要运维人员不仅要熟练使用其提供的命令行工具,更要深刻理解其背后的分布式原理。每一次扩缩容操作,都是对架构师和运维工程师关于分布式系统“状态、消息、一致性”认知深度的一次实战检验。

延伸阅读与相关资源

  • 想系统性规划股票、期货、外汇或数字币等多资产的交易系统建设,可以参考我们的
    交易系统整体解决方案
  • 如果你正在评估撮合引擎、风控系统、清结算、账户体系等模块的落地方式,可以浏览
    产品与服务
    中关于交易系统搭建与定制开发的介绍。
  • 需要针对现有架构做评估、重构或从零规划,可以通过
    联系我们
    和架构顾问沟通细节,获取定制化的技术方案建议。
滚动至顶部