无停机部署一个 Django 应用

nngrr 9年前

无停机部署一个 Django 应用

healthchecks.io 的流量超过每秒一次访问之后,我就意识到不能随意在部署代码后重启服务了。作为一个监控服务,即使丢掉几个 HTTP 请求也是不应该的。而且,如果服务器变得更加繁忙的话,这个问题只会更加严重。

先简单介绍一下我们所做的工作,这是一个相对简单的 Django 实现的 app,由 gunicorn 来运行,前端是 nginx。数据保存在 PostgreSQL 数据库里。gunicorn和另一个额外的后台进程由 supervisor 负责管理。整个服务在单个$20级别的DigitalOcean实例上运行。

此外,我的技术选型的指导方针是整个架构尽可能的简单,能够使用尽可能长的时间。需要添加的东西,例如负载均衡、数据库容灾、k-v存储、消息队列等等,都要是必须的。另一方面,还需要考虑更多的事情,包括监控、备份等等。同时,对于刚接触这个项目的人来说,需要花更多时间来了解整个系统的“输入和输出”,并且从头开始搭建系统。既需要保持简单、实用,还要保证性能和功能符合预期,这是个不错的挑战。

目前的部署方式是使用 Fabric 脚本,以及用于 supervisor 和 nginx 的配置模板。在我的工作机上运行“fab deploy”,Fabric 本就会在远端机上完成下面的事情:

  • 为新的部署准备新的目录,假设这个目录为 $TARGET。

  • 在 $TARGET/venv 下设置 Python 3 的 virtualenv。

  • 从 GitHub 上把最新代码拉下来放到 $TARGET。使用 GitHub 的 svn 接口会方便一些,可以运行“svn export”命令。这只会拉下来源码,不包含版本控制相关的元数据,这是我们想要的。

  • 安装 requirements 文件列出了的依赖。这些依赖会安装到新的 virtualenv 环境,不会影响到线上的应用。下载和安装这些依赖会花费一些时间。

  • 运行 Django 管理命令来收集静态文件,执行数据库迁移等等。

  • 更新 superviso r配置,运行新的虚拟环境下的 gunicorn。

  • 如果 nginx 配置模板有改动的话,需要更新 nginx 配置。

  • 运行“supervisorctl reload”和“/etc/init.d/nginx restart”。此时服务会不可用,直到 supervisor 启动备份服务和 gunicorn 进程,以及 Django 的代码初始化完成。这通常需要 5 到10 秒钟的时间,这段时间 nginx 会返回“502 Bad Gateway”给客户端。

  • 全部完成。

Fabric 脚本的相关部分参考下面的代码,其中的 virtualenv 上下文管理部分源自优秀的 fabtools 库。

def deploy():      """ Checks out code, prepares venv, runs management commands,      updates supervisor and nginx configuration. """      now = datetime.datetime.today()      now_string = now.strftime("%Y%m%d-%H%M%S")      project_dir = "/home/hc/webapps/hc-%s" % now_string      venv_dir = os.path.join(project_dir, "venv")      svn_url = "https://github.com/healthchecks/healthchecks/trunk"      run("svn export %s %s" % (svn_url, project_dir))      with cd(project_dir):          run("virtualenv --python=python3 --system-site-packages venv")          # local_settings.py is where things like access keys go          put("local_settings.py", ".")          put("newrelic.ini", ".")          with virtualenv(venv_dir):              run("pip install -U gunicorn raven newrelic")              run("pip install -r requirements.txt")              run("python manage.py collectstatic --noinput")              run("python manage.py compress")              with settings(user="hc"):                  run("python manage.py migrate")                  run("python manage.py ensuretriggers")                  run("python manage.py clearsessions")      switch(project_dir)  def switch(project_dir):      # Supervisor      upload_template("supervisor/hc.conf.tmpl",                      "/etc/supervisor/conf.d/hc.conf",                      context=locals(),                      backup=False,                      use_sudo=True)      upload_template("supervisor/hc_sendalerts.conf.tmpl",                      "/etc/supervisor/conf.d/hc_sendalerts.conf",                      context=locals(),                      backup=False,                      use_sudo=True)      # Nginx      upload_template("nginx/hc.conf.tmpl",                      "/etc/nginx/sites-enabled/hc.conf",                      context=locals(),                      backup=False,                      use_sudo=True)      sudo("supervisorctl reload")      sudo("/etc/init.d/nginx reload")

现在,如何消除掉部署的最后一步停止服务的时间呢?我们来加一些前提条件:没有负载均衡(目前)。所有的功能都需要集中在一台机器,而且不能有非 200 的响应码。不过我们可以有一些小小的让步:可以考虑一个稍微简单(一般)的情形,不需要做数据库合并,或者数据库合并是向后兼容的,应用的老版本在数据库合并之后也能工作。

经过观察,我发现应用的某些部分的可用性比其他部分的更重要。特别是被监控的客户端系统需要访问的 API,其重要程度要高于用户需要访问的前端页面。虽然向用户显示错误页面肯定是很糟糕的,但是不丢掉客户端的请求更加重要。丢失的请求可能会导致后续发送不该发送的报警,这显然更加糟糕。

我考虑过使用 Amazon API Gateway 来处理客户端的 ping 请求,也实现了原型。这需要把 ping 消息放到 Amazon SQS 队列里,Django 在空闲的时候去消费。这是相对简单的增强可用性和扩展性的方式,不过代价比较大,也带来新的外部依赖。将来需要再考虑一下有没有更好的办法。

另一种方式:把监听客户端的 ping 请求这个功能与 Django 应用的其他部分分离开。Ping 的监听逻辑非常简单,最终只涉及到两个 SQL 操作:一个更新操作和一个插入操作。重写这部分代码应该比较简单,也许可以使用 Python的microframeworks,或者也可以不用 Python 去实现,甚至还可以在 nginx 里去实现(使用 ngx_postgres 模块)。有意思的是,这里有一段 nginx 的配置,做的就是类似的事情(忽略其中可笑的正则表达式):

location ~ ^/(\w\w\w\w\w\w\w\w-\w\w\w\w-\w\w\w\w-\w\w\w\w-\w\w\w\w\w\w\w\w\w\w\w\w)/?$ {      add_header Content-Type text/plain;      postgres_pass   database;      postgres_output value;      postgres_escape $ip $remote_addr;      postgres_escape $agent =$http_user_agent;      postgres_escape $body =$request_body;      postgres_query "          WITH t AS (              UPDATE api_check              SET last_ping=now()              WHERE code='$1'              RETURNING id, last_ping          )          INSERT INTO api_ping              (created, remote_addr, method, ua, body, owner_id, scheme)          SELECT              last_ping, $ip, '$request_method', $agent, $body, id, '$scheme'          FROM t          RETURNING 'OK'      ";      postgres_rewrite no_changes 400;  }

简单的说明一下这段配置:当客户端请求并且 URL 满足一定规则的时候,服务端会执行 PostgreSQL 查询,返回 HTTP 的 200 或者4 00。这样做性能上也占优,因为请求没有走到 gunicorn、Django 和 psycopg2。只要数据库可用,nginx 就可以处理 ping 请求,即使是 Django 由于某种原因挂掉了。

不过,这种方式用了一点小伎俩,而且还引入了一些细节,开发者和系统管理员需要了解这些细节。例如,当数据库的 schema 更改时,前面提到的 SQL 查询语句也需要更新并测试。另外,ngx_postgres扩展也不是简单的通过“apt-get install”就能安装成功的。

让我们再想一下,也许通过仔细规划进程的重加载,就能实现零宕机时间的目标。

我的脚本里之前使用的是“/etc/init.d/nginx restart”,这是因为我不知道更好的办法。不过现在我知道可以改成 “/etc/init.d/nginx reload”,这样会更优雅一些:

    执行 service nginx reload 或 /etc/init.d/nginx reload
    可以再不停止服务的前提下重新加载配置。如果有未完成的请求,那么处理这些请求的 nginx 进程会保留到处理完才退出,所以这确实是重载配置的非常优雅的方式 –  “Nginx config reload without downtime” on ServerFault

类似的,我的脚本使用“supervisorctl reload”来停止服务、重新加载配置、然后再启动所有的服务。实际上,应该使用“supervisorctl update”来在配置有更新的时候启动、停止和重启服务。

现在,“fab deploy”的工作流程如下:

  • 和以前一样,设置好新的虚拟环境

  • 用唯一的名字(“hc_timestamp”)创建 supervisor 任务

  • 在正在运行的进程之外启动一个新的 gunicorn 进程。nginx 通过 UNIX 套接字与 gunicorn进程通信,每个进程使用独立的基于时间戳的套接字文件。

  • 稍等一会,保证新的 gunicorn 进程已经启动并提供服务。

  • 更新 nginx 配置,指向新的套接字文件,然后重启 nginx

  • 停止旧的 gunicorn 进程

下面是 Fabric 脚本的改进部分,与 supervisor 任务处理相关:

def switch(tag, project_dir):      # Supervisor      supervisor_conf_path = "/etc/supervisor/conf.d/hc_%s.conf" % tag      upload_template("supervisor/hc.conf.tmpl",                      supervisor_conf_path,                      context=locals(),                      backup=False,                      use_sudo=True)      upload_template("supervisor/hc_sendalerts.conf.tmpl",                      "/etc/supervisor/conf.d/hc_sendalerts.conf",                      context=locals(),                      backup=False,                      use_sudo=True)      # Starts up gunicorn from the new virtualenv      sudo("supervisorctl update")      # Give it some time to start up      time.sleep(5)      # Let's check the new server is nominally working      # gunicorn listens on UNIX socket so this is a bit contrived:      l = ("GET /about/ HTTP/1.0\\r\\n"           "Host: healthchecks.io\\r\\n"           "\\r\\n")      cmd = 'echo -e "%s" | nc -U /tmp/hc-%s.sock' % (l, tag)      # Look for known string in response. If it's not found, something      # is wrong with the new deployment and we abort      assert "Monkey See Monkey Do" in run(cmd, quiet=True)      # nginx      upload_template("nginx/hc.conf.tmpl",                      "/etc/nginx/sites-enabled/hc.conf",                      context=locals(),                      backup=False,                      use_sudo=True)      sudo("/etc/init.d/nginx reload")      # should be live now - remove supervisor conf for previous versions      s = sudo("for i in /etc/supervisor/conf.d/*.conf; do echo $i; done")      for line in s.split("\n"):          line = line.strip()          if line == supervisor_conf_path:              continue          if line.startswith("/etc/supervisor/conf.d/hc_2"):              sudo("rm %s" % line)      # This stops gunicorn processes      sudo("supervisorctl update")

通过这种方式,nginx 可以一直提供服务,总可以与在线的 gunicorn 进程交互。为了验证这点,我写了一个脚本无限循环的请求特定的 URL。当遇到非 200 的响应结果时,会打印出相应的错误信息。用这个脚本对测试虚拟机进行压测,期间部署了多次,没有发现有请求被丢掉。成功!

总结

代码部署时保证零宕机有很多种方式,每一种都有其优缺点。例如,把关键部分从一个大的系统里区分出来,这是一个合理的策略。这样每个部分就可以独立进行更新。之后每个部分也可以独立的进行扩展。这种方式的不足之处是需要维护更多的代码和配置。

最终的结果是:

  • 热加载 supervisor 和 nginx 配置,而不是简单的重启它们。回顾一下,这是显而易见要做的。

  • 确认新的 gunicorn 进程运行正常并且被 nginx 使用,然后才能停止老的 gunicorn 进程。

  • 保持整个安装设置相对简单。当项目流量增加后,我可能需要找到性能瓶颈,决定是否需要做水平扩展,不过至少在现在,保持简单还是需要的。

无停机部署一个 Django 应用

强烈推荐:healthchecks.io,它是一个免费的开源的基于 cron 的监控服务。在 cron 里配置好监控只需要几分钟时间,却能让你晚上睡得更好!