基于Spring Boot 2.7与旧版中间件环境的分布式故障演练与健康检查平台架构设计报告

1. 执行摘要与架构愿景 1.1 项目背景与挑战 在现代企业级分布式架构中，系统的稳定性不再仅仅取决于单个组件的健壮性，而更多地取决于各组件在依赖服务（如中间件、数据库、网络）发生故障时的应对能力。当前环境具有典型的“棕地”（Brownfield）特征：核心业务运行在Spring Boot 2.7框架之上，但同时也依赖于版本较旧的中间件基础设施（Consul, Kafka, Redis等）。这种混合技术栈带来了独特的挑战，特别是在验证旧版客户端驱动（Client Driver）在网络分区或服务重启场景下的重连机制（Reconnection Policies）和错误处理逻辑（Error Handling）时，往往因为缺乏精确的故障模拟手段而变得困难。 本报告旨在设计一个基于Web UI的分布式故障演练与健康检查平台。该平台利用服务器Root权限，通过分布式探针（Agent）在操作系统内核层面对业务组件实施精确的网络阻断和进程干扰，并实时验证业务组件的健康恢复情况。系统的核心设计理念是“以破坏验证防御”，通过确定性的故障注入，将潜在的分布式风险暴露在生产部署之前。 1.2 设计目标与约束 本系统的设计需严格遵循以下核心目标与技术约束：

• 全链路可视化管控：提供基于HTML的Web管控端，允许用户录入复杂的业务拓扑信息，包括IP、端口、日志路径及中间件连接凭证。
• 高权限原子故障注入：利用后端Root权限，通过iptables、tc（Traffic Control）及systemctl等底层工具，执行网络断开、丢包、服务重启等故障模拟。
• 闭环验证机制：不仅仅是注入故障，更必须验证故障期间业务组件的表现（是否抛出预期异常）以及故障恢复后的自愈能力（是否成功重连）。
• 遗留系统兼容性：在Spring Boot 2.7的现代化框架内，通过技术手段（如Maven Shade Relocation）解决与旧版中间件客户端的依赖冲突问题，确保探针能够准确探测旧版中间件的连通性。

2. 系统总体架构设计 2.1 架构分层模型 本平台采用经典的“控制平面（Control Plane）- 数据平面（Data Plane）”分离架构。控制平面负责状态管理、任务编排与用户交互；数据平面由部署在各个目标服务器上的Agent组成，负责具体的故障执行与数据采集。 2.1.1 控制平面（Chaos Controller） 基于Spring Boot 2.7构建的Web应用，作为系统的神经中枢。

• 用户接口层：使用Thymeleaf模板引擎渲染服务端HTML页面，结合Vanilla JS实现轻量级的前端交互，满足用户录入与管控需求。
• 编排调度层：管理故障演练的生命周期（准备、注入、验证、恢复、报告）。
• 资产管理层：维护主机（Host）、组件（Component）、中间件（Middleware）的拓扑关系数据。 2.1.2 数据平面（Chaos Agent） 部署在目标服务器上的轻量级Java进程，需以高权限（Root或具有NOPASSWD sudo权限的用户）运行。
• 执行引擎：封装ProcessBuilder调用底层OS命令（如iptables）。
• 监控引擎：利用Apache Commons IO Tailer实时监听业务日志。
• 探测引擎：内置隔离的中间件客户端，独立于业务进程对外部依赖进行连通性检查。 2.2 通信协议设计 鉴于分布式环境的网络复杂性，Agent与Controller之间的通信需具备高可靠性。
• 命令下发（Controller -> Agent）：采用同步REST API（HTTPS）。Controller向Agent发送POST /api/fault/inject指令，Agent立即返回执行结果（成功/失败）。
• 数据上报（Agent -> Controller）：采用WebSocket或长轮询（Long Polling）。Agent实时推送日志片段匹配结果和探针健康状态，以便Web UI能够以毫秒级延迟展示故障演练的动态。

3. 核心功能模块详细设计 3.1 资产录入与拓扑管理（Web UI） 3.1.1 页面交互流程 用户登录控制台后，首先进入“环境配置”模块。基于HTML的表单设计需涵盖以下关键信息：

• 业务组件元数据：
  • Component Name: 业务服务名称（如 order-service）。
  • Host IP: 服务器IP地址。
  • Service Port: 服务监听端口（用于健康检查）。
  • Log File Path: 关键业务日志的绝对路径（如 /var/log/apps/order.log），用于验证报错信息。
  • Process Keyword/PID File: 用于定位进程以执行重启操作。
• 中间件依赖配置：
  • 这是一个动态列表，用户可以添加多个依赖项。
  • Type: 下拉选择（Kafka, Redis, Consul, PostgreSQL等）。
  • Connection String: 连接地址（如 192.168.1.100:9092）。
  • Version Tag: 标识中间件版本（如 Kafka 0.10），用于Agent选择兼容的探测客户端。 3.1.2 数据模型设计（Java Bean） 在Spring Boot后端，使用JPA实体维护这些关系： @Entity public class BusinessComponent { @Id @GeneratedValue private Long id; private String name; private String ip; private String logPath;
  @OneToMany(cascade = CascadeType.ALL) private List dependencies; // Getters & Setters }

@Entity public class MiddlewareDependency { @Id @GeneratedValue private Long id; private String type; // KAFKA, REDIS, CONSUL private String targetIp; private Integer targetPort; private String version; // e.g., "0.10.2" }

3.2 根权限故障注入引擎（Root Execution Engine） 这是本平台的核心差异化能力。通过在Agent端利用Root权限操作Linux内核网络栈，我们可以模拟应用层无法实现的底层故障。 3.2.1 网络分区模拟：深入iptables机制 为了验证业务组件在网络断开时的表现，我们不能简单地停止中间件服务（因为这会影响其他使用者），而是要实施“点对点”的阻断。 技术选型：OUTPUT链 vs INPUT链

• 方案A：阻断INPUT链：模拟“服务器收不到中间件的回包”。

• 方案B：阻断OUTPUT链：模拟“服务器无法向中间件发送请求”。 决策：推荐使用OUTPUT链。对于TCP连接，阻断OUTPUT会导致本地Socket缓冲区填满或SYN包发不出去，这能更准确地测试客户端的连接超时（Connection Timeout）和写入超时（Write Timeout）配置。 命令构建策略： Agent需封装如下逻辑来执行断网：

• 注入故障（Drop模式）： iptables -A OUTPUT -p tcp -d <Middleware_IP> --dport <Middleware_Port> -j DROP -m comment --comment "CHAOS_TEST_ID_101"

  • 原理：DROP行为会静默丢弃数据包，不发送RST（重置）信号。这会让业务组件的线程挂起，直到TCP超时机制生效。这是测试“超时配置是否生效”的最佳场景 。

• 注入故障（Reject模式 - 可选）： iptables -A OUTPUT -p tcp -d <Middleware_IP> --dport <Middleware_Port> -j REJECT --reject-with tcp-reset -m comment --comment "CHAOS_TEST_ID_101"

  • 原理：REJECT会立即返回错误，模拟“连接被拒绝”。用于测试应用是否能快速捕获异常并进入重试逻辑 。

• 故障恢复： 通过--comment标记精确删除规则，避免误删系统其他防火墙规则： iptables -D OUTPUT -p tcp -d <Middleware_IP> --dport <Middleware_Port> -j DROP -m comment --comment "CHAOS_TEST_ID_101"

Java实现细节（ProcessBuilder）： 在Java中执行Root命令需要极度谨慎，必须处理标准输出（STDOUT）和标准错误（STDERR）流，否则会导致进程死锁 。 public void executeIptablesRule(String targetIp, int targetPort, boolean enable) { List cmd = new ArrayList<>(); cmd.add("iptables"); cmd.add(enable? "-A" : "-D"); cmd.add("OUTPUT"); cmd.add("-p"); cmd.add("tcp"); cmd.add("-d"); cmd.add(targetIp); cmd.add("--dport"); cmd.add(String.valueOf(targetPort)); cmd.add("-j"); cmd.add("DROP"); cmd.add("-m"); cmd.add("comment"); cmd.add("--comment"); cmd.add("CHAOS_AGENT_Managed");

ProcessBuilder pb = new ProcessBuilder(cmd);
try {
    Process p = pb.start();
    // 必须异步消费流，防止缓冲区满导致挂起
    consumeStream(p.getInputStream());
    consumeStream(p.getErrorStream());
    int exitCode = p.waitFor();
    if (exitCode!= 0) {
        throw new RuntimeException("iptables execution failed with code " + exitCode);
    }
} catch (Exception e) {
    throw new RuntimeException("System command failed", e);
}

}

3.2.2 进程级故障：服务重启 针对“业务组件所在的服务器”这一描述，Agent还需具备重启业务进程的能力，以验证其启动时的依赖检查逻辑。

• 命令：systemctl restart <service_name> 或 kill -9 。
• 无交互执行：Java调用systemctl时需确保不需要交互式密码输入（需配置/etc/sudoers或以Root运行）。 3.3 验证体系：日志分析与独立探针 故障演练的价值在于验证。我们需要回答两个问题：1. 业务感知到故障了吗？ 2. 业务恢复了吗？ 3.3.1 实时日志分析（Log Analysis） Agent需实时读取业务日志，并根据预定义的正则规则匹配异常堆栈。
• 技术组件：Apache Commons IO Tailer 类 。它提供了一个高效的、事件驱动的文件尾部监听机制，无需轮询读取整个文件。
• 匹配逻辑：
  • 故障期预期日志：ConnectionRefusedException, TimeoutException, KafkaStorageException, RedisConnectionFailure 。
  • 恢复期预期日志：Reconnected, Connection established, Recovery successful。
• 实现方案： Agent启动一个Tailer监听器，当捕获到包含上述关键词的行时，通过WebSocket向控制台发送“LogEvent”。 3.3.2 独立探针检测（Independent Probes） 除了看业务日志，Agent自身必须作为一个独立的观测者，去尝试连接中间件。这构成了“基准真值”（Ground Truth）。
• 逻辑：
  • 控制台下发“断网”指令。
  • Agent执行iptables DROP。
  • Agent立即使用内部集成的Kafka/Redis客户端尝试连接目标IP。
  • 预期结果：Agent的连接尝试应该失败（超时）。如果Agent能连接成功，说明iptables规则无效，测试无效。
  • 控制台下发“恢复”指令。
  • Agent删除iptables规则。
  • Agent再次尝试连接。
  • 预期结果：Agent连接成功。 通过对比“Agent探针状态”与“业务日志状态”，我们可以得出精确结论：如果Agent探针已恢复连接，但业务日志仍在一遍遍报错，则证明业务组件的重连机制失效。

4. 解决旧版中间件依赖冲突（Dependency Hell） 这是一个极具挑战性的技术点。Spring Boot 2.7默认管理了大量第三方库的版本（例如Kafka Clients 3.x, Redis Lettuce）。然而，用户的环境包含“旧版中间件”。

• 问题：如果在Spring Boot 2.7的Agent中直接引入kafka-clients:0.10.0.0，会因为类路径（Classpath）中存在Spring Boot自带的新版依赖而导致NoSuchMethodError或ClassNotFoundException。

• 需求：Agent必须能同时运行“现代化的Spring Boot代码”和“旧版的中间件连接代码”。 4.1 Maven Shade Relocation 解决方案 我们不能简单地依赖Spring Boot的依赖管理。必须将用于探测的旧版客户端代码隔离。最成熟的方案是使用Maven Shade Plugin进行包重定位（Relocation）。 4.1.1 实施步骤

• 创建独立模块：创建一个名为legacy-probe-driver的Maven子模块。

• 引入旧版依赖：在该模块中引入kafka-clients:0.10.x，jedis:2.9.x等。

• 配置Shade插件： 在pom.xml中配置Shade插件，将旧版库的包名进行重写。例如，将org.apache.kafka重命名为shaded.legacy.kafka。 org.apache.maven.plugins maven-shade-plugin package shade org.apache.kafka com.myplatform.shaded.kafka010 redis.clients.jedis com.myplatform.shaded.jedis2

• Agent集成：主Agent项目依赖这个shaded jar。在代码中，当我们需要创建一个针对旧版Kafka的探测器时，我们使用重定位后的类（或者通过反射调用封装好的探测服务）。

  • 结果：Agent的类路径中同时存在org.apache.kafka.（Spring Boot自带，用于Agent自身通信）和com.myplatform.shaded.kafka010.（用于探测旧版中间件），两者互不干扰。 4.2 各中间件的探测实现策略 4.2.1 Kafka (Legacy & Modern)

• 探测方法：使用AdminClient（或旧版的SimpleConsumer）尝试列出Topic列表 。

• 旧版兼容：对于0.9/0.10等老版本，AdminClient可能不存在或API不同。需封装一个统一接口HealthProbe，针对不同版本提供不同实现（如Kafka010Probe, Kafka2Probe）。

• 超时设置：必须显式设置极短的request.timeout.ms（如5秒），否则在iptables DROP场景下，探针线程会长时间阻塞 。 4.2.2 Redis (Jedis vs Lettuce) Spring Boot 2.7默认使用Lettuce。但为了探测旧版Redis（或者为了简单起见），Jedis往往更适合做这种“一锤子买卖”的健康检查，因为它是同步阻塞IO，逻辑简单直接 。

• 探测方法：建立连接 -> 发送PING -> 期待PONG。

• 配置：socketTimeout必须设置，否则在断网时会挂起。 4.2.3 Consul Consul提供HTTP API，这是最容易探测的。

• 探测方法：使用Spring的RestTemplate或WebClient调用Consul Agent的本地接口 http://<Consul_IP>:8500/v1/status/leader 或查询Catalog服务 。

• 验证：当网络阻断时，该HTTP请求应抛出ConnectTimeoutException。

5. 安全性与“死人开关”（Deadman Switch） 在生产环境或共享测试环境以Root权限修改防火墙规则具有极高风险。如果Agent在执行了DROP规则后突然崩溃或网络中断，目标服务器将永久处于“断网”状态，导致严重事故。必须设计安全兜底机制。 5.1 自动回滚机制（Watchdog） Agent在收到故障注入指令时，不应只是执行命令，而应启动一个看门狗线程 。

• 指令：“阻断Redis端口，持续60秒”。
• 动作：
  • 执行iptables -A...。
  • 启动一个延时任务（ScheduledExecutorService），定于65秒后执行。
  • 延时任务内容：强制执行iptables -D...清理规则。
• 正常流程：如果控制台在60秒时发送了“停止演练”指令，Agent执行清理并取消延时任务。
• 异常流程：如果控制台崩溃了，无法发送停止指令，65秒后Agent的看门狗自动触发清理，确保服务器恢复网络。 5.2 权限控制 尽管有Root权限，Agent应限制iptables的作用域。
• 白名单验证：在执行iptables命令前，校验目标IP是否属于配置的“中间件列表”。严禁阻断对控制台IP的访问，严禁阻断SSH端口（22），防止“把自己锁在门外”。

6. 系统实现细节与代码结构 6.1 技术栈清单 | 组件 | 技术选型 | 说明 | |---|---|---| | JDK | Java 11/17 | Spring Boot 2.7的推荐运行环境 | | Web框架 | Spring Boot 2.7 | 核心容器，提供REST API与WebSocket支持 | | 前端模板 | Thymeleaf + Bootstrap 5 | 服务端渲染，简单易用，无需前后端分离部署 | | 日志监听 | Apache Commons IO (Tailer) | 高效的文件尾部监听组件 | | 依赖隔离 | Maven Shade Plugin | 解决旧版中间件驱动冲突 | | 进程交互 | Java ProcessBuilder | 调用iptables, tc, systemctl | | 数据库 | H2 (Dev) / PostgreSQL (Prod) | 存储组件拓扑关系 | 6.2 Agent端核心代码骨架 6.2.1 故障注入服务 (FaultInjectionService.java) @Service public class FaultInjectionService {

   // 使用ScheduledExecutor作为看门狗 private final ScheduledExecutorService watchdog = Executors.newScheduledThreadPool(1);

   public void blockNetwork(String targetIp, int port, int durationSeconds) { // 1. 安全检查：禁止阻断SSH或本地环回 if (port == 22 |

| targetIp.equals("127.0.0.1")) { throw new SecurityException("Target not allowed"); }

    // 2. 构建iptables命令
    // 使用comment标记以便后续精确删除
    String comment = "CHAOS_BLOCK_" + targetIp + "_" + port;
    String cmd = {
        "iptables", "-A", "OUTPUT", 
        "-p", "tcp", 
        "-d", targetIp, 
        "--dport", String.valueOf(port), 
        "-j", "DROP",
        "-m", "comment", "--comment", comment
    };

    // 3. 执行Root命令
    CommandExecutor.executeRoot(cmd);

    // 4. 注册看门狗自动恢复（Deadman Switch）
    watchdog.schedule(() -> recoverNetwork(targetIp, port), durationSeconds + 5, TimeUnit.SECONDS);
}

public void recoverNetwork(String targetIp, int port) {
    String comment = "CHAOS_BLOCK_" + targetIp + "_" + port;
    // 使用-D删除规则
    String cmd = {
        "iptables", "-D", "OUTPUT", 
        "-p", "tcp", 
        "-d", targetIp, 
        "--dport", String.valueOf(port), 
        "-j", "DROP",
        "-m", "comment", "--comment", comment
    };
    CommandExecutor.executeRoot(cmd);
}

}

6.2.2 日志监听适配器 (LogMonitor.java) 利用TailerListenerAdapter将日志事件转换为WebSocket消息推送。 public class LogMonitor implements TailerListener { private final SimpMessagingTemplate messagingTemplate; private final String componentId;

@Override
public void handle(String line) {
    // 简单的关键词匹配，实际生产可使用正则
    if (line.contains("Exception") |

| line.contains("Connection refused") | | line.contains("Timeout")) { LogEvent event = new LogEvent(componentId, "ERROR", line, System.currentTimeMillis()); messagingTemplate.convertAndSend("/topic/logs/" + componentId, event); } else if (line.contains("Connected") |

| line.contains("Recovery")) { LogEvent event = new LogEvent(componentId, "RECOVERY", line, System.currentTimeMillis()); messagingTemplate.convertAndSend("/topic/logs/" + componentId, event); } } //... 其他接口方法实现 }

6.3 管控端UI设计（Thymeleaf） 6.3.1 故障演练控制台 (dashboard.html) 页面应包含三个主要区域：

• 控制区：
  • 下拉框选择目标组件（如 OrderService）。
  • 下拉框选择故障类型（如 Block Kafka）。
  • 输入框设置持续时间（如 30s）。
  • 红色按钮 START EXPERIMENT。
• 状态看板（实时刷新）：
  • Agent探针状态：显示 Connected (绿) 或 Unreachable (红)。这是“物理事实”。
  • 业务健康状态：基于Actuator /health 接口（如果业务暴露了）或日志推断。
• 实时日志流：
  • 一个黑色背景的控制台窗口，通过WebSocket连接实时滚动显示Agent捕获到的异常日志。 用户体验流程： 用户点击“开始演练” -> (前端调用API) -> (Controller调用Agent) -> (Agent执行iptables) -> (Agent探针变红，UI更新“物理连接已断开”) -> (Agent捕获日志“Connection Timeout”，UI日志滚动) -> (用户观察应用是否报错) -> (30秒后自动恢复) -> (Agent探针变绿) -> (Agent捕获日志“Reconnected”，UI显示恢复)。

7. 部署与运维考量 7.1 Agent的分发与安装 由于Agent需要Root权限，建议通过Ansible或SaltStack进行批量部署。 Agent应注册为Systemd服务（chaos-agent.service），确保开机自启，并配置Restart=always以防止Agent意外崩溃导致失联 。 Systemd配置示例： [Unit] Description=Chaos Agent Service After=network.target

User=root ExecStart=/usr/bin/java -jar /opt/chaos-agent/chaos-agent.jar Restart=always

确保Agent退出时清理iptables规则（通过ExecStopPost脚本实现更佳）

[Install] WantedBy=multi-user.target

7.2 安全加固

• 通信加密：Agent与Controller之间必须开启HTTPS（Spring Boot SSL配置），防止指令被劫持。
• 认证鉴权：Agent应配置简单的API Key或Token验证，拒绝未授权IP的调用。
• 审计日志：所有的故障注入操作（谁、什么时候、对哪台机器、做了什么）必须在Controller端持久化记录，用于事后审计。

8. 结论 本设计方案提供了一套完整的、可落地的分布式故障演练平台架构。它并未回避“Root权限”和“旧版中间件”这两个棘手的现实约束，而是通过iptables底层操作和Maven Shade依赖隔离技术，巧妙地化解了这些难题。 该平台不仅是一个测试工具，更是一个验证系统“反脆弱性”的试金石。通过实时对比“Agent探针的物理连通性”与“业务日志的逻辑表现”，运维团队可以清晰地判断出业务组件的重连策略是否有效、超时设置是否合理、错误日志是否告警及时，从而极大地提升分布式系统在面对真实故障时的韧性与可观测性。 相比于Netflix Chaos Monkey等成熟但庞大的开源方案，本定制化方案更轻量、更贴合遗留系统的现状，且完全掌控在用户手中，无需引入复杂的Kubernetes或Service Mesh基础设施即可实施核心的混沌工程实践。