在凯士比数字工厂和趣玩搭两个项目中,我都使用了 Spring Cloud Alibaba 作为微服务基础设施。这篇文章重点聊 Nacos 作为注册中心和配置中心时,在多环境、多租户场景下的隔离方案设计。

一、背景与挑战

1.1 两个项目的不同诉求

凯士比数字工厂(KiPlant) 是一个多租户 SaaS 平台,每家工厂是一个租户,需要在配置层面做到租户间隔离——不同工厂的设备采集频率、告警阈值、数据保留策略都不一样。同时平台有开发、测试、预发、生产四套环境,环境间的配置也需要严格隔离。

趣玩搭 是一个 C 端社交应用,没有多租户需求,但同样有多环境管理的诉求,并且随着业务发展,服务数量从最初的 5 个增长到 15 个,配置管理的复杂度快速上升。

核心挑战是:如何在 Nacos 中设计一套清晰、可扩展的配置隔离方案,同时满足环境隔离和租户隔离两个维度的需求。

1.2 Nacos 的三层隔离模型

在设计方案之前,先理解 Nacos 提供的隔离机制。Nacos 的配置管理有三个层级的隔离维度:

Namespace(命名空间): 最高级别的隔离,不同 Namespace 之间的配置和服务完全不可见。适合做环境隔离。

Group(分组): 同一个 Namespace 内的逻辑分组,用于区分不同的应用集群或业务线。

DataId: 具体的配置文件标识,通常对应一个微服务的一份配置。

三者的关系类似:Namespace 是楼栋,Group 是楼层,DataId 是房间号。

二、方案设计

2.1 Namespace 策略:按环境隔离

我把 Namespace 用作环境隔离的唯一维度,为每个环境创建独立的 Namespace:

Namespace

用途

说明

dev

开发环境

开发人员自由调试,配置可频繁修改

test

测试环境

QA 团队验证,配置需走审批

staging

预发环境

和生产环境配置基本一致,仅地址不同

prod

生产环境

最高权限控制,修改需双人审批

为什么不用 Namespace 做租户隔离? 一度考虑过给每个租户分配一个 Namespace,但很快否定了。原因有三:第一,Nacos 的 Namespace 数量增长后管理成本高,几十个租户就意味着几十个 Namespace,控制台操作极其繁琐;第二,微服务启动时只能绑定一个 Namespace,如果按租户隔离 Namespace,同一个服务实例就无法同时服务多个租户,违背了 SaaS 的多租户共享架构原则;第三,Namespace 之间的服务注册信息不互通,会导致服务发现链路断裂。

2.2 Group 策略:按业务域分组

Group 用作业务域的逻辑分组。在 KiPlant 项目中,按业务模块划分了以下 Group:

Group

包含的服务

说明

INFRA_GROUP

gateway, auth, admin

基础设施层

DEVICE_GROUP

device-service, collect-service

设备管理与数据采集

PRODUCTION_GROUP

aps-service, mes-service

生产计划与执行

ENERGY_GROUP

energy-service

能耗管理

COMMON_GROUP

存放所有服务共享的公共配置

这样做的好处是在 Nacos 控制台上,可以按 Group 快速筛选和查看某个业务域的所有配置,不至于几十个配置文件混在一起。

2.3 DataId 命名规范

DataId 是最细粒度的配置标识。我制定了统一的命名规范:

{服务名}-{profile}.{后缀}

例如:

device-service-prod.yaml       # 设备服务的生产环境配置
aps-service-dev.yaml           # 排程服务的开发环境配置
common-datasource.yaml         # 共享数据源配置
common-redis.yaml              # 共享 Redis 配置

其中 common-* 前缀的配置放在 COMMON_GROUP 中,通过 Nacos 的 shared-configs 机制让所有服务都能加载:

# bootstrap.yaml
spring:
  cloud:
    nacos:
      config:
        namespace: ${NACOS_NAMESPACE:dev}
        group: DEVICE_GROUP
        shared-configs:
          - data-id: common-datasource.yaml
            group: COMMON_GROUP
            refresh: true
          - data-id: common-redis.yaml
            group: COMMON_GROUP
            refresh: true

2.4 多租户配置:数据库驱动而非 Nacos 驱动

对于租户级别的差异化配置(比如不同工厂的设备采集频率、告警阈值),我没有在 Nacos 中为每个租户维护一份配置,而是将这些配置存储在业务数据库中,通过租户 ID 查询。

原因很直接:租户数量是动态增长的,每新增一家工厂客户就要在 Nacos 中手动添加配置,不仅繁琐而且容易出错。而数据库方案可以让运营人员通过管理后台自助配置,对开发团队零干扰。

@Service
public class TenantConfigService {
​
    @Cacheable(cacheNames = "tenantConfig", key = "#tenantId + ':' + #configKey")
    public String getTenantConfig(Long tenantId, String configKey) {
        // 先查 Redis 缓存,未命中则查数据库
        return tenantConfigMapper.selectConfigValue(tenantId, configKey);
    }
​
    // 配置变更时清除缓存并发布事件
    @CacheEvict(cacheNames = "tenantConfig", key = "#tenantId + ':' + #configKey")
    public void updateTenantConfig(Long tenantId, String configKey, String value) {
        tenantConfigMapper.updateConfigValue(tenantId, configKey, value);
        // 通过 RocketMQ 广播通知所有实例刷新本地缓存
        rocketMQTemplate.convertAndSend("tenant-config-change",
            new ConfigChangeEvent(tenantId, configKey, value));
    }
}

最终形成了一个清晰的分层:

环境隔离 → Nacos Namespace(dev / test / staging / prod)
业务分组 → Nacos Group(INFRA / DEVICE / PRODUCTION / ...)
服务配置 → Nacos DataId({服务名}-{profile}.yaml)
租户配置 → 业务数据库 + Redis 缓存 + MQ 广播

三、Spring Cloud Alibaba 组件全景

除了 Nacos,两个项目中还使用了 Spring Cloud Alibaba 体系的其他核心组件。列一下各组件的职责和选型理由:

3.1 Nacos:注册中心 + 配置中心

选择 Nacos 而非 Eureka + Spring Cloud Config 的组合,核心原因是 Nacos 一套系统同时解决服务注册和配置管理两个问题,降低了运维复杂度。而且 Nacos 支持配置的动态推送(长轮询机制),配置变更后服务实例无需重启即可生效,这在生产环境中非常关键。

Nacos 集群部署了 3 个节点,使用 MySQL 做持久化存储,保证了高可用。

3.2 Sentinel:流控与熔断

Sentinel 承担了网关层和服务层的流量防护职责。与 Hystrix 相比,Sentinel 的优势在于规则可以通过 Dashboard 实时动态调整,不需要重启服务。而且 Sentinel 原生支持按热点参数限流,这在数字工厂中很实用——可以按租户 ID 限流,避免某个租户的异常流量影响其他租户。

3.3 Seata:分布式事务

在趣玩搭的支付场景中使用了 Seata AT 模式处理订单-库存-积分的一致性问题。选 Seata 而非消息最终一致性方案(如 RocketMQ 事务消息),是因为支付场景对一致性要求极高,不能容忍中间状态被用户感知。

3.4 RocketMQ:异步解耦

在两个项目中 RocketMQ 承担了三类职责:服务间异步解耦(设备告警触发后异步通知相关服务)、流量削峰(抢票场景)、以及分布式事件广播(租户配置变更通知)。

四、遇到的坑与应对

4.1 Nacos 配置推送延迟

问题: 上线初期发现修改 Nacos 配置后,部分服务实例刷新延迟高达 30 秒,而另一部分实例几乎秒级刷新。

原因: Nacos 客户端使用长轮询拉取配置变更,默认超时时间 30 秒。如果变更推送正好赶上一个长轮询周期的开头,就需要等到本次轮询超时后才能感知到变更。

解决: 对于时效性要求高的配置项(如限流阈值),在 Nacos 配置变更时同步发送一条 RocketMQ 消息通知所有实例主动拉取最新配置,不依赖长轮询的被动推送。

4.2 Namespace 误用导致的注册中心事故

问题: 有一次开发同事在本地调试时,bootstrap.yaml 里的 Namespace 配置写成了 prod(生产环境),导致他的本地服务实例注册到了生产 Nacos,生产环境的网关把部分流量路由到了他的开发机上。

解决: 在所有环境的 bootstrap.yaml 中,Namespace 统一通过环境变量注入,禁止硬编码。同时在 CI/CD 流水线中加了校验脚本,检测配置文件中是否存在硬编码的 Namespace 值:

# 所有环境统一使用环境变量
spring:
  cloud:
    nacos:
      discovery:
        namespace: ${NACOS_NAMESPACE}
      config:
        namespace: ${NACOS_NAMESPACE}
# Jenkins Pipeline 中的校验步骤
if grep -r "namespace: prod\|namespace: dev\|namespace: test" src/main/resources/; then
    echo "ERROR: 发现硬编码的 Namespace,请使用环境变量 \${NACOS_NAMESPACE}"
    exit 1
fi

4.3 服务分组与灰度发布

问题: 在 KiPlant 做版本迭代时,需要对某个核心服务做灰度发布——让部分流量走新版本,大部分流量走旧版本。但 Nacos 默认的负载均衡策略不支持基于版本的路由。

解决: 利用 Nacos 的 metadata 机制为服务实例打版本标签,配合 Spring Cloud 的自定义 LoadBalancer 实现基于版本的路由:

# 新版本实例的配置
spring:
  cloud:
    nacos:
      discovery:
        metadata:
          version: v2

在网关层自定义了一个 GrayLoadBalancer,根据请求 Header 中的 X-Gray-Version 字段选择对应版本的实例。没有灰度标记的请求默认路由到稳定版本。

五、总结

回看整套方案,核心思路是让 Nacos 做它擅长的事,不擅长的事交给更合适的工具

Nacos Namespace 做环境隔离——这是它的强项,隔离彻底、管理清晰。Nacos Group 做业务域分组——逻辑隔离,方便管理。而多租户的差异化配置,用业务数据库 + 缓存 + MQ 来做——动态性更好,运营可自助。

Spring Cloud Alibaba 的组件选型也遵循同样的原则:每个组件解决它最擅长的问题,组合在一起形成完整的微服务治理能力。没有银弹,只有合适的工具放在合适的位置。

如果这篇文章对你有帮助,欢迎访问我的博客 robinzhu.top 获取更多实战分享。

许可协议

本文由 困困鱼 原创,采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。

分享文章

本站由 困困鱼 使用 Stellar 创建。