写在前面“架构是技术圈里被滥用最严重的词之一。很多人一说架构就开始画框图、讲中间件、列技术栈但问一句你这个架构解决了什么问题”答不上来。我做架构这些年最深的体会是架构不是技术选型的堆砌而是在约束条件下做的取舍决策。这篇文章分享的不是最佳实践——因为脱离场景没有最佳——而是做架构决策时的一套思考框架和踩坑记录。一、架构是什么用一句话说清楚很多定义把架构搞得很玄乎。我的理解很朴素架构 在满足当前需求的前提下为未来的变化预留合理的扩展空间。注意两个关键词当前需求不是为了遥远的、不确定的未来设计。过度设计和设计不足一样有害。合理的扩展空间不是什么都能扩展而是识别出最可能变化的方向在那个方向上留出余地。一个好的架构三年后回看——核心骨架没有大改只是在预留的扩展点上长出了新的功能。如果三年后要推翻重来说明当初没做对。二、架构设计的目的只有一个字——“活”说到底架构设计的终极目的是让系统能活下去、活得久、活得好。展开来说就一个核心目标可扩展业务在增长用户在增多数据在膨胀。如果系统不能扩展要么扛不住流量要么加新功能要重写。可扩展不是指什么都能扩展——那叫过度工程。而是在最可能变化的维度上预留扩展能力流量扩展加机器能扛更多请求水平扩展功能扩展加新功能不需要改已有代码开闭原则数据扩展数据量增长后性能不悬崖式下降分库分表、冷热分离我们做iPaaS平台时的体会一开始只有几十个连接器现在有1000。如果当初连接器的接入方式是硬编码在引擎里的现在早就崩了。正是因为第一天就设计了Schema驱动的连接器框架——新增连接器只需要写一份JSON配置——才能支撑到现在的规模。三、架构设计的决定性因素不是技术是组织和人这是我在做架构时最违反直觉的一个认知架构的形态往往由组织结构决定而不是由技术需求决定。康威定律Conway’s Law不是理论是现实。三个小组负责三个模块最终系统一定长成三个服务。因为人的沟通成本决定了系统的边界。实际落地的启示1. 架构拆分要跟团队结构匹配我们把系统拆成5个核心服务engine/gateway/event-center/middleware/js-engine不是因为教科书说微服务要拆细而是因为我们有5个相对独立的开发小组每个组负责一块。如果硬拆成15个服务但只有5个人——那不是微服务是微灾难。2. 不要让架构超出团队的认知能力团队平均水平是中级开发者你设计一套需要深度理解DDDCQRSEvent Sourcing才能维护的架构——上线第一天就开始腐化。架构的复杂度必须匹配团队的消化能力。3. 一个人能Hold住的系统就别拆这个模块以后可能要独立部署不是拆分的理由。“这个模块的流量特征跟主系统完全不同放在一起会互相影响”——这才是。四、架构设计原则我们实际遵守的十条原则不是越多越好而是越少越好——但每一条都必须真正执行。以下是我们团队实际遵守的原则每条后面带一个真实案例1. N1冗余核心组件至少两个实例。不是为了分担压力而是为了一个挂了另一个能接住。实践我们的流程引擎最少跑3个Pod。不是因为流量需要3个而是1个升级、1个可能故障、至少保证1个在线。2. 可回滚任何变更都必须能回滚。代码发布能回滚、配置变更能回滚、数据库Schema变更能回滚。实践数据库DDL我们坚持加列可以删列不行。要删列必须先确认三个版本都不读写这个列了才在后续版本中物理删除。3. 禁用设计每个功能都要有开关。出问题时能快速关掉某个功能而不是回滚整个版本。实践我们所有的新功能都通过Feature Flag控制。灰度上线时先开给1%用户确认没问题再逐步放开。出问题一秒钟关掉不用发版。4. 可监控如果你不能监控它你就不能管理它。系统的每一个关键环节都必须有可观测性。实践三板斧——Metrics指标、Logging日志、Tracing链路追踪。每个API的RT、成功率、错误分布必须在Grafana上能看到。5. 前瞻性设计不是过度设计而是想到三步但只做一步。设计时考虑未来可能的变化但实现时只做当前需要的。实践设计连接器接口时我们预留了协议类型字段HTTP/WebSocket/gRPC虽然第一年只用了HTTP。到第二年需要支持WebSocket时不需要改接口定义。6. 只用成熟的技术在生产环境里当小白鼠的代价太大了。实践消息队列选了RocketMQ而不是Pulsar——不是Pulsar不好是RocketMQ在国内的运维经验、社区支持、人才储备都更成熟。出了问题找得到人问、查得到资料。7. 隔离故障一个组件出问题不应该连带其他组件一起死。实践我们的event-centerWebhook接收独立部署、独立数据库。即使某个三方平台疯狂推送导致event-center过载也不会影响核心的流程执行引擎。8. 无状态系统应用服务不保存状态——状态存在数据库/缓存里。任何一个请求可以被任何一个实例处理。实践流程引擎的执行上下文不存在JVM内存里而是每步执行完把中间状态写入Redis。这样任何Pod挂了其他Pod可以接着执行。9. 水平扩展而非垂直升级加机器比加配置靠谱。一台64核128G的机器远不如四台16核32G的可靠性高。实践数据库是唯一垂直扩展的组件——因为分库分表的改造成本太大。应用层和缓存层全部水平扩展K8s的HPA根据CPU和QPS自动伸缩。10. 多活能力不指望单机房永不故障——总有天灾人祸。实践核心服务跨可用区部署AZ-a和AZ-b数据库主从跨AZ。一个AZ故障时流量自动切到另一个。五、架构设计思路三个朴素的方法以终为始先想清楚系统最终要长成什么样再回过头来设计第一步做什么。不是说第一步就要做到最终形态——而是第一步的设计不能堵死通向最终形态的路。比如我们知道iPaaS未来一定要支持私有化部署。所以第一天设计时就把所有环境相关的配置外置不硬编码、把云服务的依赖做了适配层S3/OSS/MinIO抽象成统一存储接口、把License模块预留了。虽然前两年只跑公有云但等真的要做私有化时不需要大改架构。先粗后细先确定大的分层和模块边界再逐步细化每个模块内部的设计。不要一上来就纠结这个方法是10行还是20行。先回答这个系统分几层每层职责是什么层与层之间怎么通信我们的应用架构设计顺序先定服务边界5个核心服务再定服务间通信方式同步RPC 异步MQ再定每个服务内部的分层Controller → Service → Domain → Repository最后才是具体类和方法的设计内紧外松对外接口宽容兼容各种输入格式、降级处理异常参数对内实现严格类型校验、断言、不可变对象。实践我们的连接器入参处理对外能接受String、Number、Boolean各种JSON类型内部全部标准化成统一的DataNode结构。外部的混乱不会传导到内部。六、AKF扩展立方体微服务拆分的方法论这是我最喜欢的架构方法论之一——AKF Scale Cube。用三个维度来思考系统的扩展X轴克隆Clone把完全相同的服务复制多份用负载均衡分发请求。每个实例处理的逻辑完全一样。适用场景流量大、但每个请求的处理逻辑相同。加实例就能线性提升吞吐量。我们的实践流程引擎engine就是X轴扩展的典型——每个Pod处理的逻辑完全一样K8s HPA根据CPU使用率自动扩缩容。从3个Pod到30个Pod只需要改HPA配置。Y轴功能拆分Functional Decomposition按职责把系统拆成不同的服务。不同服务处理不同类型的工作。适用场景系统的不同部分有明显不同的流量特征、资源需求、变更频率。我们的实践这是我们微服务拆分的核心依据。不是按模块功能拆而是按流量特征拆服务流量特征资源需求典型场景engine高频、持续、稳定CPU密集流程执行gateway低频、可预测内存型流程管理、配置event-center突发、不可控IO密集Webhook接收middleware定时、批量磁盘IO数据同步、计费js-engineCPU突增CPU密集脚本执行、AI推理如果把这5种完全不同的负载放在一个服务里——突发Webhook把线程池打满 → 流程执行延迟 → 用户流程超时。拆开后互不影响。Z轴数据分片Data Partitioning按某个维度把数据和请求分到不同的分组。比如按租户分、按地域分。适用场景单体数据库扛不住、不同租户需要资源隔离、有合规要求需要数据本地化。我们的实践大客户的流程执行独占一组engine实例——通过K8s的NodeAffinity和Taint/Toleration实现。普通客户共享资源池VIP客户独占资源池。流量隔离、故障隔离。七、六种架构视图每一种解决不同的沟通问题做架构不是画一张图就完了。不同的受众需要看不同的视图1. 业务架构图给谁看产品经理、业务方、老板回答什么问题系统能做什么覆盖哪些业务场景我们的业务架构用户触达层1000连接器钉钉、抖店、快手、企微、聚水潭... ↓ 平台能力层连接器设计器 | Linkup编辑器 | 数据管理 | 市场交易 ↓ 执行运行层引擎调度 | 执行代理 | 服务Agent ↓ 部署交付层公共云服务 | 私有云服务2. 应用架构图给谁看技术Leader、架构师、新人了解系统全貌回答什么问题有几个服务服务间怎么通信依赖关系是什么3. 技术架构图给谁看开发工程师、运维回答什么问题用了什么技术栈中间件怎么搭配核心流程怎么走4. 数据架构图给谁看DBA、后端开发、数据分析回答什么问题数据存在哪表之间什么关系数据怎么流转5. 部署架构图给谁看运维、SRE、安全团队回答什么问题部署在哪几个节点网络怎么走怎么容灾6. 代码架构图给谁看开发工程师回答什么问题代码怎么组织包之间什么依赖关系分层是什么样的一个经验法则如果你的架构文档只有一张图那它一定不够。但如果有超过10张图——那大概率没人看。6种视图各一张足够覆盖所有受众。八、从图纸到工地架构落地的几个真实教训教训1架构再好落不了地等于零我见过设计得非常优美的架构——分层清晰、解耦彻底、扩展点丰富——但最终项目延期半年。因为架构太复杂团队实现不出来。落地能力 架构复杂度 × 团队能力 × 时间三个变量你只能控制一个降低复杂度。团队能力短期改不了时间总是不够的。所以架构设计最重要的约束是——在你的团队能力范围内做尽可能好的设计。教训2演进式架构比一步到位靠谱我们的系统不是第一天就长成现在这样。演进路径是阶段1单体所有逻辑在一个SpringBoot应用里 ↓ 流量增长到单体扛不住 阶段2核心拆分把engine拆出来独立部署 ↓ Webhook流量冲击影响核心执行 阶段3流量隔离event-center独立 ↓ 定时任务抢占引擎资源 阶段4完整微服务5个核心服务每一次拆分都是因为真实的痛点不是因为微服务是潮流。没有痛点就不要拆——拆了只会增加运维复杂度。教训3架构决策必须记录Why代码有注释架构也需要注释。我们维护一份ADRArchitecture Decision Record记录每个重要决策的背景、选项、选择和原因。比如“为什么用RocketMQ而不是Kafka”——三年后有人问起来不用找当初做决策的人看ADR就知道。格式很简单## ADR-007: 消息队列选型 ### 背景 需要异步处理流程执行结果、Webhook事件分发。 ### 选项 A. Kafka吞吐量极高生态成熟 B. RocketMQ延迟消息原生支持运维简单 C. RabbitMQ灵活路由但集群运维复杂 ### 决策 选择RocketMQ。 ### 原因 1. 我们需要延迟消息流程定时触发RocketMQ原生支持Kafka需要额外方案 2. 团队有阿里系背景对RocketMQ更熟悉 3. 我们的消息量级不需要Kafka的超高吞吐教训4不要追求完美架构架构是用来解决问题的不是用来炫技的。如果当前问题用一个if-else就能解决不需要引入策略模式工厂模式依赖注入。我见过很多架构过度的案例——日访问量100的管理后台用了微服务K8sService Mesh分布式事务。问他为什么“以后可能要扩展”。但以后是什么时候三年后还是十年后三年后技术栈都换了一轮了。YAGNIYou Ain’t Gonna Need It是架构师最重要的自我约束。九、总结架构设计的本质回到最开始的问题架构到底是什么经历了这些年的实践我的理解是架构是在约束条件下团队能力、时间、预算、业务不确定性做出一系列取舍决策用什么不用什么、先做什么后做什么、哪里简单哪里复杂让系统能持续服务业务不只是今天能用而是未来一段时间内都能演进。没有完美的架构只有当下最合适的架构。它会老化、会过时、会需要重构——这都是正常的。好的架构师不是设计出不需要改的架构而是设计出容易改的架构。因为唯一不变的就是变化本身。