Kafka 可靠性与 exactly-once

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1578 字

4 分钟

Kafka 可靠性与 exactly-once

2026-03-29

消息队列与事件流

消息队列

/

数据库

/

底层原理

Broker 3 宕机了——它上面有 5 个分区的 Leader 副本。这 5 个分区中，有 3 个的 ISR（同步副本集合）还剩 2 个，可以选出新 Leader 继续服务；另外 2 个的 ISR 只剩 1 个，如果 min.insync.replicas=2，写入直接被拒绝。更糟的情况：宕机的 Broker 刚收到生产者的消息但还没同步给 Follower——这些消息丢了。Kafka 的可靠性不是默认保证的，而是由 acks、min.insync.replicas、unclean.leader.election.enable 这几个配置的组合决定的。

一、可靠性层次模型#

1.1 消息丢失的三种场景#

在分布式消息系统中，消息丢失可能发生在三个环节：

环节	丢失原因	Kafka 的应对
生产者 → Broker	网络故障、ACK 未收到	acks=all + 重试
Broker 内部	Broker 宕机、磁盘故障	副本机制 + ISR
Broker → 消费者	消费者处理失败但提交了 Offset	手动提交 + 幂等消费

1.2 可靠性配置金字塔#

Kafka 的可靠性不是单一配置能保证的，而是多层配置的组合：

层级	配置	作用
生产者	`acks=all`	等待所有 ISR 副本确认
Broker	`min.insync.replicas=2`	ISR 至少 2 个副本才允许写入
Broker	`unclean.leader.election.enable=false`	禁止非 ISR 副本成为 Leader
Broker	`replication.factor=3`	3 个副本保证 1 个可故障
消费者	`enable.auto.commit=false`	手动提交 Offset

1
# 生产环境可靠性配置清单
2
# Broker 端
3
default.replication.factor=3
4
min.insync.replicas=2
5
unclean.leader.election.enable=false
6

7
# Producer 端
8
acks=all
9
retries=2147483647
10
max.in.flight.requests.per.connection=5
11
enable.idempotence=true
12

13
# Consumer 端
14
enable.auto.commit=false
15
auto.offset.reset=earliest

二、ACK 策略深入#

2.1 三种 ACK 级别#

ACK 级别	行为	可靠性	延迟	适用场景
`acks=0`	不等待任何确认	最低	最低	日志收集、指标
`acks=1`	等待 Leader 确认	中等	中等	一般业务
`acks=all`	等待所有 ISR 确认	最高	最高	金融交易、订单

1
// ACK 策略配置与使用
2
Properties props = new Properties();
3
props.put(ProducerConfig.BOOTSTRAP_SERVERS_CONFIG, "localhost:9092");
4

5
// acks=0：发完就忘
6
props.put(ProducerConfig.ACKS_CONFIG, "0");
7
// 适用于：日志收集，丢失少量日志可接受
8

9
// acks=1：Leader 确认
10
props.put(ProducerConfig.ACKS_CONFIG, "1");
11
// 适用于：一般业务，Leader 写入即返回
12
// 风险：Leader 确认后宕机，Follower 未同步
13

14
// acks=all：全部 ISR 确认（推荐）
15
props.put(ProducerConfig.ACKS_CONFIG, "all");
16
// 适用于：金融交易、订单等不可丢失场景
17
// 注意：必须配合 min.insync.replicas 使用

2.2 acks=all 与 min.insync.replicas 的配合#

acks=all 中的”all”指的是 ISR 中的所有副本，而非所有副本。这意味着：

如果 ISR 只有 Leader 一个副本，acks=all 等同于 acks=1
min.insync.replicas 限制了 ISR 的最小数量

graph TB subgraph "场景1：ISR=3（正常）" L1["Leader 已写入"] F1_1["Follower 1 已写入"] F1_2["Follower 2 已写入"] L1 -->|acks=all| OK1["返回成功"] end subgraph "场景2：ISR=2（一个副本落后）" L2["Leader 已写入"] F2_1["Follower 1 已写入"] F2_2["Follower 2 不在 ISR"] L2 -->|acks=all min.insync=2| OK2["返回成功"] end subgraph "场景3：ISR=1（危险）" L3["Leader 已写入"] F3_1["Follower 1 不在 ISR"] F3_2["Follower 2 不在 ISR"] L3 -->|acks=all min.insync=2| FAIL["拒绝写入 NotEnoughReplicas"] end

1
# min.insync.replicas 配置
2
# Broker 级别（默认值）
3
min.insync.replicas=1
4

5
# Topic 级别（推荐覆盖）
6
kafka-configs --alter --bootstrap-server localhost:9092 \
7
    --entity-type topics --entity-name orders \
8
    --add-config min.insync.replicas=2
9

10
# 验证配置
11
kafka-configs --describe --bootstrap-server localhost:9092 \
12
    --entity-type topics --entity-name orders

Warning

min.insync.replicas 设置过大可能导致集群不可用。例如 3 副本 + min.insync.replicas=3，意味着所有 3 个副本都必须在线才能写入——任何一个 Broker 宕机都会导致写入失败。推荐配置：replication.factor=3 + min.insync.replicas=2。

三、幂等生产者#

3.1 消息重复的原因#

在网络不稳定的环境中，生产者重试可能导致消息重复：

场景	原因	结果
生产者发送成功，ACK 丢失	网络抖动	生产者重试 → 消息重复
生产者发送成功，ACK 延迟	网络延迟	超时重试 → 消息重复
Broker 写入成功，响应前宕机	Broker 故障	生产者重试 → 消息重复

3.2 幂等生产者原理#

Kafka 0.11+ 引入幂等生产者，通过 Producer ID (PID) 和 Sequence Number 实现去重：

1
// 启用幂等生产者
2
Properties props = new Properties();
3
props.put(ProducerConfig.ENABLE_IDEMPOTENCE_CONFIG, "true");
4
// 等价于以下配置：
5
// acks=all
6
// retries=Integer.MAX_VALUE
7
// max.in.flight.requests.per.connection<=5
8

9
KafkaProducer<String, String> producer = new KafkaProducer<>(props);
10

11
// 幂等生产者自动为每条消息分配：
12
// 1. PID (Producer ID) - 生产者启动时由 Broker 分配
13
// 2. Sequence Number - 每个 <PID, Topic, Partition> 递增
14
// Broker 端检查：如果收到的 SeqNum <= 已提交的 SeqNum，则判定为重复

sequenceDiagram participant P as Producer (PID=1) participant B as Broker P->>B: InitProducerId (获取 PID) B->>P: PID=1, Epoch=0 P->>B: Produce(PID=1, Seq=0) 消息 A B->>B: 写入 Seq=0 B->>P: ACK P->>B: Produce(PID=1, Seq=1) 消息 B B->>B: 写入 Seq=1 Note over B: ACK 丢失！ P->>B: Produce(PID=1, Seq=1) 消息 B（重试） B->>B: Seq=1 已存在 判定为重复，跳过 B->>P: ACK （不重复写入）

3.3 幂等的局限性#

维度	幂等生产者	事务生产者
去重范围	单个 <PID, Topic, Partition>	跨分区
跨分区	不保证	保证
跨会话	不保证（PID 重新分配）	保证（事务 ID）
消费端	不保证	保证（Read Committed）
性能开销	低	中等

Note

幂等生产者只能保证单分区内的去重。如果生产者向多个分区发送消息，无法保证跨分区的 exactly-once。需要跨分区保证时，必须使用事务 API。

四、事务 API#

4.1 事务模型#

Kafka 事务支持”消费-处理-生产”的 exactly-once 语义：

graph LR subgraph "事务流程" C["消费 Topic A Offset 100-200"] --> P["处理"] P --> W["写入 Topic B + 提交 Offset"] end subgraph "原子性保证" OK["事务提交 Topic B 写入 + Offset 提交"] FAIL["事务回滚 Topic B 不写入 + Offset 不提交"] end W --> OK W --> FAIL

4.2 事务 API 使用#

1
// 事务生产者配置
2
Properties props = new Properties();
3
props.put(ProducerConfig.BOOTSTRAP_SERVERS_CONFIG, "localhost:9092");
4
props.put(ProducerConfig.TRANSACTIONAL_ID_CONFIG, "order-tx-1");
5
props.put(ProducerConfig.ENABLE_IDEMPOTENCE_CONFIG, "true");
6
props.put(ProducerConfig.ACKS_CONFIG, "all");
7

8
KafkaProducer<String, String> producer = new KafkaProducer<>(props);
9

10
// 初始化事务
11
producer.initTransactions();
12

13
try {
14
    // 开始事务
15
    producer.beginTransaction();
16

17
    // 从 Topic A 消费并处理
18
    ConsumerRecords<String, String> records = consumer.poll(Duration.ofMillis(100));
19
    for (ConsumerRecord<String, String> record : records) {
20
        // 处理消息
21
        String result = processOrder(record.value());
22
        // 写入 Topic B
23
        producer.send(new ProducerRecord<>("orders-processed", record.key(), result));
24
    }
25

26
    // 提交消费 Offset（作为事务的一部分）
27
    producer.sendOffsetsToTransaction(
28
        getOffsetsToCommit(records),
29
        consumer.groupMetadata()
30
    );
31

32
    // 提交事务（原子性：写入 + Offset 提交）
33
    producer.commitTransaction();
34
} catch (ProducerFencedException e) {
35
    // 另一个具有相同 transactional.id 的生产者已启动
36
    producer.close();
37
} catch (KafkaException e) {
38
    // 事务失败，回滚
39
    producer.abortTransaction();
40
}

4.3 事务隔离级别#

消费者端需要配置隔离级别来控制是否读取事务消息：

隔离级别	行为	适用场景
`read_uncommitted`	读取所有消息（包括未提交事务）	默认，性能优先
`read_committed`	只读取已提交事务的消息	需要 exactly-once

1
// 消费者配置
2
Properties consumerProps = new Properties();
3
consumerProps.put(ConsumerConfig.ISOLATION_LEVEL_CONFIG, "read_committed");
4
// read_committed 消费者不会返回未提交事务的消息
5
// 它会等待事务提交或超时后才返回消息
6

7
// 事务超时配置
8
// Producer 端
9
props.put(ProducerConfig.TRANSACTION_TIMEOUT_CONFIG, "60000"); // 60 秒
10

11
// Broker 端
12
// transaction.max.timeout.ms=900000  // 最大 15 分钟
13
// transactional.id.expiration.ms=604800000  // 7 天过期

4.4 事务协调器#

sequenceDiagram participant P as Producer participant TC as TransactionCoordinator participant L as Topic Partition Leader participant CT as __transaction_state P->>TC: InitProducerId(transactionalId) TC->>CT: 写入事务日志 (PID, Epoch) TC->>P: PID + Epoch P->>TC: BeginTransaction TC->>CT: 写入状态=ONGOING P->>L: AddPartitionsToTxn(partitions) L->>TC: 确认分区加入事务 P->>L: Produce(records with PID, Seq) L->>L: 写入消息（标记为事务消息） P->>TC: CommitTransaction TC->>CT: 写入状态=PREPARE_COMMIT TC->>L: 写入 COMMIT 标记到每个分区 TC->>CT: 写入状态=COMPLETE_COMMIT TC->>P: 事务提交成功

五、消费者可靠性#

5.1 Offset 提交策略#

策略	实现方式	语义保证	风险
自动提交	`enable.auto.commit=true`	at-most-once	消息丢失
同步手动提交	`commitSync()`	at-least-once	重复消费
异步手动提交	`commitAsync()`	at-least-once	重复消费 + 丢失
组合提交	`commitAsync()` + `commitSync()`	at-least-once	推荐

1
// 组合提交模式（推荐）
2
try {
3
    while (true) {
4
        ConsumerRecords<String, String> records =
5
            consumer.poll(Duration.ofMillis(100));
6

7
        for (ConsumerRecord<String, String> record : records) {
8
            processRecord(record);
9
        }
10

11
        // 正常情况异步提交（高性能）
12
        consumer.commitAsync();
13
    }
14
} finally {
15
    try {
16
        // 关闭前同步提交（确保最后一次提交成功）
17
        consumer.commitSync();
18
    } finally {
19
        consumer.close();
20
    }
21
}
22

23
// 精确 Offset 提交（处理完每条消息后）
24
Map<TopicPartition, OffsetAndMetadata> offsets = new HashMap<>();
25
for (ConsumerRecord<String, String> record : records) {
26
    try {
27
        processRecord(record);
28
        offsets.put(
29
            new TopicPartition(record.topic(), record.partition()),
30
            new OffsetAndMetadata(record.offset() + 1)
31
        );
32
    } catch (Exception e) {
33
        // 处理失败，不提交该消息的 Offset
34
        log.error("处理消息失败: offset={}", record.offset(), e);
35
    }
36
}
37
if (!offsets.isEmpty()) {
38
    consumer.commitSync(offsets);
39
}

5.2 消费者重试与死信队列#

1
// 消费者重试 + 死信队列模式
2
public class RetryConsumer {
3
    private final KafkaProducer<String, String> dlqProducer;
4
    private final int maxRetries;
5

6
    public void consume() {
7
        while (true) {
8
            ConsumerRecords<String, String> records =
9
                consumer.poll(Duration.ofMillis(100));
10

11
            for (ConsumerRecord<String, String> record : records) {
12
                int retryCount = getRetryCount(record);
13

14
                if (retryCount >= maxRetries) {
15
                    // 超过重试次数，发送到死信队列
16
                    dlqProducer.send(new ProducerRecord<>(
17
                        "orders-dlq",
18
                        record.key(),
19
                        enrichWithRetryInfo(record, retryCount)
20
                    ));
21
                } else {
22
                    try {
23
                        processRecord(record);
24
                    } catch (Exception e) {
25
                        // 重试：发送到重试 Topic
26
                        dlqProducer.send(new ProducerRecord<>(
27
                            "orders-retry",
28
                            record.key(),
29
                            enrichWithRetryInfo(record, retryCount + 1)
30
                        ));
31
                    }
32
                }
33
            }
34
            consumer.commitSync();
35
        }
36
    }
37
}

六、端到端 Exactly-Once#

6.1 Exactly-Once 的挑战#

在分布式系统中，实现端到端 exactly-once 极其困难：

挑战	原因	解决方案
生产者重复	网络重试	幂等生产者
消费者重复	Offset 提交与处理不同步	事务 API
跨系统一致性	Kafka 与数据库无法原子操作	事务性发件箱
消费者重启	状态丢失	状态存储 + 检查点

6.2 Kafka Streams 的 exactly-once#

1
// Kafka Streams exactly-once 配置
2
Properties props = new Properties();
3
props.put(StreamsConfig.PROCESSING_GUARANTEE_CONFIG,
4
    StreamsConfig.EXACTLY_ONCE_V2);
5
// Kafka 3.0+ 使用 EXACTLY_ONCE_V2（更高效的事务协议）
6

7
// Kafka Streams 内部使用事务 API 保证 exactly-once
8
// 1. 消费输入 Topic
9
// 2. 处理记录
10
// 3. 写入输出 Topic + 更新状态存储 + 提交 Offset
11
// 以上三步在同一个事务中完成
12

13
StreamsBuilder builder = new StreamsBuilder();
14
KStream<String, String> orders = builder.stream("orders");
15

16
orders.groupByKey()
17
    .aggregate(
18
        () -> 0.0,  // 初始值
19
        (key, value, aggregate) -> aggregate + parseAmount(value),
20
        Materialized.with(Serdes.String(), Serdes.Double())
21
    )
22
    .toStream()
23
    .to("order-totals");

七、可靠性监控#

7.1 关键监控指标#

指标	含义	告警条件
`record-error-rate`	生产者发送错误率	> 0
`record-retry-rate`	生产者重试率	> 0 持续增长
`record-send-rate`	发送速率	突然下降
`commit-latency-avg`	Offset 提交延迟	> 1s
`records-lag-max`	消费者最大落后量	> 10000
`UnderReplicatedPartitions`	ISR 不足的分区数	> 0

1
# 消费者 Lag 监控
2
kafka-consumer-groups --bootstrap-server localhost:9092 \
3
    --describe --group order-service
4

5
# 生产者指标（JMX）
6
# kafka.producer:type=producer-metrics,client-id=*
7
# kafka.producer:type=producer-topic-metrics,client-id=*,topic=*
8

9
# Broker 可靠性指标
10
# kafka.server:type=ReplicaManager,name=UnderReplicatedPartitions
11
# kafka.server:type=ReplicaManager,name=OfflinePartitionsCount
12
# kafka.server:type=TransactionCoordinator,name=*

7.2 可靠性测试#

1
# 模拟 Broker 宕机
2
# 1. 启动 3 Broker 集群
3
# 2. 启动生产者持续发送消息
4
# 3. 杀掉一个 Broker
5
kill -9 <broker-pid>
6

7
# 4. 验证消息不丢失
8
kafka-console-consumer --bootstrap-server localhost:9092 \
9
    --topic orders --from-beginning \
10
    --property print.offset=true
11

12
# 模拟网络分区
13
iptables -A INPUT -s <broker-ip> -j DROP
14
iptables -D INPUT -s <broker-ip> -j DROP
15

16
# 性能测试（可靠性配置下）
17
kafka-producer-perf-test --topic orders \
18
    --num-records 1000000 \
19
    --record-size 1024 \
20
    --throughput -1 \
21
    --producer-props bootstrap.servers=localhost:9092 \
22
        acks=all \
23
        enable.idempotence=true

Tip

在生产环境中，可靠性测试应该包含：Broker 宕机恢复、网络分区、磁盘故障、Controller 切换等场景。使用 Chaos Engineering 方法（如 Chaos Monkey）定期验证系统的容错能力。

八、可靠性配置速查表#

场景	acks	min.insync.replicas	幂等	事务	适用
日志收集	0	1	否	否	可丢可重
用户行为追踪	1	1	是	否	可重不可丢
订单处理	all	2	是	是	不可丢不可重
支付交易	all	2	是	是	不可丢不可重

九、总结#

上一章探讨了Kafka 存储与零拷贝。

维度	关键要点
ACK 策略	`acks=all` + `min.insync.replicas=2` 是可靠性的基础配置
幂等生产者	解决单分区内消息重复，启用 `enable.idempotence=true`
事务 API	解决跨分区 exactly-once，支持”消费-处理-生产”原子操作
消费者可靠性	手动提交 Offset + 重试 + 死信队列，保证 at-least-once
端到端	Kafka Streams 提供 exactly-once-v2，是最简单的端到端方案
监控	record-error-rate、records-lag-max、UnderReplicatedPartitions 是关键指标