系统架构设计师——【2024年上半年案例题】真题模拟与解析（二）

系统架构设计师——【2024年上半年案例题】真题模拟与解析（二）

试题三：微服务架构与缓存策略

题目背景：
某电商公司计划将其单体架构的系统重构为微服务架构，以应对日益增长的业务复杂性和用户并发请求。新系统划分为用户服务、订单服务、商品服务、支付服务等多个微服务。架构师王工负责设计整个系统的架构，并需要解决高并发下的数据一致性和性能问题。

问题 1：在微服务架构中，服务发现是至关重要的组件。请简述客户端发现模式和服务端发现模式的工作原理，并分别说明其优缺点。（8分）

参考答案与解析：

服务发现是微服务间相互定位和通信的基础机制。

• 客户端发现模式：
  • 工作原理： 微服务实例启动后向服务注册中心注册自身网络地址（如IP和端口）。消费者服务（调用方）从注册中心查询所有可用服务实例的列表，并在本地使用负载均衡算法（如轮询、随机）选择一个实例直接发起请求。
  • 优点： 架构简单，去除了中间代理，减少了网络跳数，性能较高；客户端可以灵活定制负载均衡策略。
  • 缺点： 客户端与注册中心耦合，需要为不同编程语言实现服务发现逻辑，增加了客户端的复杂性。
• 服务端发现模式：
  • 工作原理： 微服务实例同样向注册中心注册。消费者服务将请求发送到一个稳定的中间层（通常是负载均衡器或网关），由该中间层查询注册中心，并将请求转发到可用的服务实例。
  • 优点： 客户端无需关注服务发现细节，实现更简单、更通用；负载均衡、熔断等策略可以集中管理和升级。
  • 缺点： 需要额外部署和管理一个高可用的中间层系统（如AWS ALB、Nginx），架构更复杂，可能成为性能瓶颈和单点故障（需做高可用部署）。

问题 2：针对商品详情页的高并发读取场景，王工决定引入Redis作为缓存。请描述缓存穿透、缓存击穿、缓存雪崩这三个概念，并针对每种情况提出一种以上的解决方案。（9分）

参考答案与解析：

• 缓存穿透：
  • 概念： 指查询一个一定不存在的数据（如不存在的商品ID）。由于缓存中不命中，请求会穿透到数据库，但数据库中也没有，因此不会回写缓存。这导致大量此类请求直接压到数据库上。
  • 解决方案： 接口层校验： 对请求参数进行合法性校验（如检查ID格式、范围），拦截明显异常的请求。 缓存空值： 即使从数据库没查到，也将这个空结果（或默认值）进行缓存，并设置一个较短的过期时间（如1-5分钟），后续请求将命中缓存的空值，从而保护数据库。
• 缓存击穿：
  • 概念： 指某个热点key在缓存中过期（失效）的瞬间，同时有大量请求这个key，这些请求发现缓存失效后，会同时去数据库查询并回写缓存，导致数据库瞬间压力过大。
  • 解决方案： 设置热点数据永不过期： 对于极热点数据，可以设置为逻辑过期。后台任务定期异步更新缓存。 加互斥锁（Mutex Lock）： 当缓存失效时，只允许一个线程去查询数据库并回写缓存，其他线程等待。待缓存被重建后，其他线程即可从缓存中获取数据。分布式环境下需使用分布式锁（如Redis的SETNX命令）。
• 缓存雪崩：
  • 概念： 指在某一时段，大量缓存key同时过期（失效），导致所有请求都落到数据库上，造成数据库压力骤增甚至宕机。
  • 解决方案： 差异化过期时间： 给缓存数据的过期时间加上一个随机值（如基础时间+随机1-5分钟），避免大量key在同一时间点过期。 构建高可用缓存集群： 通过Redis哨兵或集群模式，防止缓存系统本身宕机导致所有请求涌向数据库。 服务降级和熔断： 当检测到数据库压力过大时，对非核心业务进行服务降级或直接熔断，保护核心业务和数据库。

问题 3：在订单创建过程中，需要调用库存服务进行扣减。请简述在分布式（微服务）环境下，如何保证“扣减库存”和“生成订单”这两个操作的事务一致性。请列举两种常见的解决方案并简要说明其原理。（8分）

参考答案与解析：

在分布式系统中，难以使用传统的ACID事务（两阶段提交2PC复杂且性能差），通常采用最终一致性方案。

1. TCC（Try-Confirm-Cancel）补偿事务：
   • 原理： 将一个分布式事务拆分为两个阶段和三个操作： Try阶段： 尝试执行。完成所有业务的检查（如库存检查、账户余额检查），并预留必需的业务资源（如冻结部分库存）。 Confirm阶段： 确认执行。真正提交业务，使用Try阶段预留的资源（如扣减冻结的库存，生成订单）。要求Try成功则Confirm必定成功。 Cancel阶段： 取消执行。释放Try阶段预留的业务资源（如解冻冻结的库存）。
   • 由事务管理器统一管理这些操作的执行和补偿，保证最终一致性。
2. 基于消息队列的最终一致性：
   • 原理： 订单服务在本地事务中创建订单（状态为“待确认”），并向消息队列发送一条“扣减库存”的消息。这是一个本地事务，保证订单创建和消息发送是原子性的。 库存服务订阅该消息，执行库存扣减操作。如果成功，则向消息队列发送一条成功应答。 订单服务消费到成功应答后，将订单状态更新为“已确认”。 如果库存扣减失败，或消息超时未得到处理，则由订单服务或一个补偿job根据“待确认”的订单进行取消或重试。

试题四：系统安全架构设计

题目背景：
某金融机构需要开发一个线上贷款申请系统，处理用户的敏感个人信息和金融数据。系统架构师陈工负责设计系统的安全架构，以确保数据 confidentiality（机密性）、integrity（完整性）和 availability（可用性）。

问题 1：请说明数字证书在SSL/TLS协议中的作用和工作原理。（6分）

参考答案与解析：

数字证书在SSL/TLS中用于实现身份认证和密钥交换。

• 作用：
  1. 身份认证： 向客户端证明服务器的真实身份，防止中间人攻击。客户端通过验证证书是否由可信的证书颁发机构（CA）签发，以及证书中的域名与应用的目标域名是否一致，来确认正在通信的是目标服务器。
  2. 密钥交换： 证书中包含了服务器的公钥。客户端在验证证书有效后，会使用该公钥加密一个预主密钥（Pre-Master Secret），并发送给服务器。只有持有对应私钥的服务器才能解密获得该预主密钥，从而双方可以基于此生成对称加密所需的会话密钥。
• 工作原理（简化）：
  1. 客户端向服务器发起HTTPS请求。
  2. 服务器将其数字证书发送给客户端。
  3. 客户端使用内置的可信CA公钥验证服务器证书的数字签名，确保证书真实有效且未被篡改。
  4. 验证通过后，客户端生成预主密钥，用证书中的服务器公钥加密后发送给服务器。
  5. 服务器用自己的私钥解密，得到预主密钥。
  6. 双方根据预主密钥生成相同的会话密钥，后续通信使用该对称会话密钥进行加密解密，保证通信安全。

问题 2：为防止SQL注入攻击，请说明在系统架构和编码层面可以采取哪些措施。（8分）

参考答案与解析：

问题 3：该贷款系统需要记录所有用户的关键操作（如登录、提交申请、审批通过/拒绝），请简述如何设计一个安全审计日志模块，需说明日志记录的内容、存储方式及安全保护措施。（11分）

参考答案与解析：

一个安全可靠的审计日志模块是满足合规性和事后追溯的关键。

• 日志记录内容：
  • 基本事件信息： 事件发生时间（UTC时间戳）、事件唯一ID、事件类型/名称（如USER_LOGIN, LOAN_APPLICATION_SUBMIT）。
  • 主体信息： 操作用户的唯一标识（如用户ID）、IP地址、用户角色。
  • 客体信息： 被操作的对象标识（如贷款申请ID）、操作对象的类型。
  • 操作结果： 操作成功或失败的状态、失败的原因码。
  • 详细上下文： 操作前后关键数据的变化详情（如审批前额度、审批后额度）。注意： 记录敏感信息（如身份证号、银行卡号）前需进行脱敏处理（如只显示后四位）。
• 日志存储方式：
  • 实时写入： 日志产生后应立即写入目标系统，避免在应用内存中缓存，防止进程崩溃丢失日志。
  • 集中化存储： 不应将日志存储在本地服务器。应使用日志采集代理（如Filebeat, Fluentd） 实时收集日志，并传输到集中式日志管理系统（如ELK Stack：Elasticsearch, Logstash, Kibana；或Splunk）中。这便于统一管理、查询和分析，也避免了单点故障。
  • 长期归档： 根据合规要求（如至少保存6个月），将超过一定时间的日志从在线存储（如Elasticsearch）转移到更廉价的长期存储（如对象存储S3、HDFS或磁带库）中。
• 安全保护措施：
  • 完整性保护： 对重要的审计日志计算其数字签名或哈希值（如使用HMAC），并定期校验，防止日志被篡改。
  • 机密性保护： 对于包含极高敏感信息的日志，在存储和传输过程中应进行加密（如使用TLS传输，使用AES加密存储）。
  • 访问控制： 对集中日志系统的访问必须实施严格的身份认证和权限控制。只有授权的安全审计员才能访问和查询日志数据，并且应根据职责分离原则，限制其操作权限（如只读）。
  • 防篡改与防删除： 配置日志系统的只读（Read-Only）或只追加（Append-Only） 策略，防止任何人（包括系统管理员）随意修改或删除历史日志。