我们的业务监控体系曾经面临一个窘境:系统监控(CPU、内存、QPS)无比精细,告警秒级触达,但业务指标监控(如“每分钟新增用户数”、“核心API平均交易额”)却始终停留在 T+1 的数据仓库报表,或是基于 Elasticsearch 的分钟级聚合查询。当真正的业务问题发生时,我们往往是最后一个知道的。一次核心交易量断崖式下跌,直到半小时后才被业务方发现,这种延迟是不可接受的。我们需要一个能将数据湖的分析能力与移动端的实时性结合起来的全新物种。
最初的构想听起来有些疯狂:能否构建一个系统,它能流式读取 Hudi 数据湖中的业务核心表,通过一个轻量级的计算引擎进行实时异常检测,然后将告警和数据近实时地推送到 SRE 和业务负责人的手机 App 上?这个想法彻底改变了我们将要构建的系统范式。我们不再是“查询”数据,而是让数据的“变化”主动来找我们。
技术选型风暴:为何是 Hudi + Loki + NumPy + Flutter 的奇特组合
这个构想对技术栈的每一个环节都提出了苛刻的要求。
数据基座:Apache Hudi。 我们的源业务数据存储在数据湖上。为什么不是直接消费 Kafka?因为我们需要处理数据的迟延、错误与订正,这些都需要一个支持 Update/Delete 操作的数据湖方案。同时,我们需要能够对历史数据进行回溯分析,以训练异常检测模型。Hudi 的 Merge-on-Read (MoR) 表类型和增量查询(Incremental Query)能力,简直是为这个场景量身定做的。它既能保证快速的数据写入,又能提供类 CDC 的数据变更流,是我们连接离线与实时的完美桥梁。
计算核心:NumPy。 我们需要的是一个快速、轻量且高度可定制的异常检测算法。最初考虑过引入完整的 FlinkML 或 SparkML 库,但对于初期的业务指标监控,这显得过于笨重。一个更务实的方案是采用成熟的统计学算法,比如基于季节性和移动平均的 ESD (Extreme Studentized Deviate) 检验。用 Python 和 NumPy 实现这类算法既简单又高效,计算性能完全足够。这让我们能够将核心算法逻辑与数据流处理引擎(Flink)解耦,独立迭代。
管道可观测性:Loki。 整个数据管道——从 Spark 写入 Hudi,到 Flink 读取 Hudi,再到 Python 服务进行计算——链路漫长且复杂。任何一环出问题都将是灾难。传统的 ELK 体系对于这种分布式任务的日志追踪成本高昂。Loki 基于标签的索引思想彻底解决了这个问题。我们可以为每个 Flink Task、每个 Python 计算请求都打上唯一的
trace_id标签。当某个业务指标出现异常时,我们可以瞬间拉出这条数据从进入到计算完毕的全链路日志,定位问题所在。这对于一个流式系统的稳定性至关重要。终端呈现:Flutter。 我们的目标用户是时刻在移动的 SRE 和管理层。一个原生性能、UI 表现力强、跨平台的移动应用是刚需。Flutter 的声明式 UI 和高性能渲染引擎非常适合构建实时数据驱动的仪表盘。我们可以利用其强大的动画和图表库,将枯燥的数据转变为直观的、可交互的告警视图。
整个架构图如下:
graph TD
subgraph "数据源"
A[业务数据库/日志] --> B{Kafka}
end
subgraph "数据湖层"
B --> C[Spark Structured Streaming]
C -- upsert --> D[Apache Hudi MoR Table]
end
subgraph "实时计算与监控"
D -- Incremental Pull --> E[Apache Flink]
E -- gRPC --> F[Python Anomaly Detection Service]
F -- NumPy/SciPy --> G[异常检测算法]
F -- writes logs --> H[Loki]
E -- writes logs --> H
C -- writes logs --> H
end
subgraph "推送与展示"
F -- WebSocket Push --> I[Push Gateway]
I --> J[Flutter Mobile App]
end
subgraph "调试与运维"
K[SRE/Developer] -- LogQL Query --> H
K -- Views & Alerts --> J
end
第一步:奠定基石,构建可增量消费的 Hudi 表
一切的基础在于 Hudi。我们选择了 Merge-on-Read 表,因为它能提供最低的写入延迟。数据通过 Spark Streaming 任务近实时地写入。
这里的关键在于表属性的配置,尤其是 hoodie.datasource.query.type 设置为 incremental,并开启 payload.event.time.field 以支持基于事件时间的增量拉取。
# spark_hudi_ingestion.py
# 一个简化的Spark Structured Streaming任务,将Kafka中的JSON数据写入Hudi
from pyspark.sql import SparkSession
from pyspark.sql.functions import from_json, col
from pyspark.sql.types import StructType, StructField, StringType, DoubleType, LongType, TimestampType
import time
def run_hudi_ingestion():
spark = SparkSession.builder \
.appName("KafkaToHudiIngestion") \
.config("spark.serializer", "org.apache.spark.serializer.KryoSerializer") \
.config("spark.sql.hive.convertMetastoreParquet", "false") \
.getOrCreate()
spark.sparkContext.setLogLevel("ERROR")
kafka_bootstrap_servers = "kafka.server:9092"
kafka_topic = "business_events"
# 定义业务事件的Schema
schema = StructType([
StructField("event_id", StringType(), False),
StructField("event_type", StringType(), True),
StructField("user_id", StringType(), True),
StructField("metric_value", DoubleType(), True),
StructField("event_timestamp", LongType(), False)
])
# Hudi表的相关配置
hudi_table_name = "business_metrics_mor"
hudi_table_path = f"/path/to/lake/{hudi_table_name}"
# 核心Hudi配置
hudi_options = {
'hoodie.table.name': hudi_table_name,
'hoodie.datasource.write.table.type': 'MERGE_ON_READ',
'hoodie.datasource.write.recordkey.field': 'event_id',
'hoodie.datasource.write.precombine.field': 'event_timestamp',
'hoodie.datasource.write.partitionpath.field': 'event_type',
'hoodie.datasource.write.operation': 'upsert',
'hoodie.datasource.write.hive_style_partitioning': 'true',
'hoodie.upsert.shuffle.parallelism': '8',
'hoodie.insert.shuffle.parallelism': '8',
'hoodie.finalize.write.parallelism': '8',
'hoodie.compact.inline': 'false', # 生产环境建议异步Compaction
'hoodie.compact.inline.max.delta.commits': '20',
'hoodie.datasource.hive_sync.enable': 'false' # 生产建议开启
}
# 从Kafka读取数据流
df_kafka = spark.readStream \
.format("kafka") \
.option("kafka.bootstrap.servers", kafka_bootstrap_servers) \
.option("subscribe", kafka_topic) \
.option("startingOffsets", "latest") \
.load()
# 解析JSON数据
df_events = df_kafka.select(from_json(col("value").cast("string"), schema).alias("data")) \
.select("data.*") \
.withColumn("ts", (col("event_timestamp") / 1000).cast(TimestampType()))
# 写入Hudi的流式查询
def write_to_hudi(batch_df, batch_id):
print(f"--- Writing batch {batch_id} ---")
if not batch_df.rdd.isEmpty():
batch_df.write.format("hudi") \
.options(**hudi_options) \
.mode("append") \
.save(hudi_table_path)
query = df_events.writeStream \
.foreachBatch(write_to_hudi) \
.option("checkpointLocation", f"/path/to/checkpoints/{hudi_table_name}") \
.trigger(processingTime="1 minute") \
.start()
query.awaitTermination()
if __name__ == "__main__":
run_hudi_ingestion()这个任务每分钟触发一次,将 Kafka 中的新数据批量 upsert 到 Hudi 表中。一个常见的坑是 precombine.field 的选择,必须是一个单调递增的字段,用以在主键冲突时决定保留哪条记录。我们使用 event_timestamp 来保证最新的数据总是胜出。
第二步:流式消费与实时计算,Flink 与 NumPy 的协奏
这是整个系统的引擎。我们使用 Flink SQL 来读取 Hudi 的增量数据流。Flink Hudi Connector 的强大之处在于,它能将 Hudi 表的提交元数据转换为一个可供消费的流。
// FlinkHudiReader.java - 这是一个Java Flink作业的示例
// 实际生产中可能用 Flink SQL Client 或 SQL Gateway 更方便
import org.apache.flink.streaming.api.environment.StreamExecutionEnvironment;
import org.apache.flink.table.api.Table;
import org.apache.flink.table.api.bridge.java.StreamTableEnvironment;
public class FlinkHudiReaderJob {
public static void main(String[] args) throws Exception {
StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment();
StreamTableEnvironment tEnv = StreamTableEnvironment.create(env);
// 注册Hudi表
String createHudiTableSQL = "CREATE TABLE business_metrics_mor (\n" +
" `_hoodie_commit_time` STRING, \n" +
" `_hoodie_commit_seqno` BIGINT, \n" +
" `_hoodie_record_key` STRING, \n" +
" `_hoodie_partition_path` STRING, \n" +
" `_hoodie_file_name` STRING, \n" +
" `event_id` STRING, \n" +
" `event_type` STRING, \n" +
" `user_id` STRING, \n" +
" `metric_value` DOUBLE, \n" +
" `event_timestamp` BIGINT, \n" +
" `ts` TIMESTAMP(3), \n" +
" PRIMARY KEY (event_id) NOT ENFORCED\n" +
")\n" +
"PARTITIONED BY (`event_type`)\n" +
"WITH (\n" +
" 'connector' = 'hudi',\n" +
" 'path' = '/path/to/lake/business_metrics_mor',\n" +
" 'table.type' = 'MERGE_ON_READ',\n" +
" 'read.streaming.enabled' = 'true',\n" +
" 'read.streaming.check-interval' = '30' \n" + // 每30秒检查一次新的Hudi Commit
")";
tEnv.executeSql(createHudiTableSQL);
// 创建一个用于输出到gRPC服务的Sink Table (这里用Blackhole示意)
// 生产中会使用自定义的gRPC Sink
String createBlackholeSinkSQL = "CREATE TABLE blackhole_sink (\n" +
" event_type STRING,\n" +
" window_end TIMESTAMP(3),\n" +
" total_value DOUBLE\n" +
") WITH (\n" +
" 'connector' = 'blackhole'\n" +
")";
tEnv.executeSql(createBlackholeSinkSQL);
// 定义聚合查询:按事件类型,计算每分钟的 metric_value 总和
String tumblingWindowQuery = "INSERT INTO blackhole_sink " +
"SELECT \n" +
" event_type,\n" +
" TUMBLE_END(ts, INTERVAL '1' MINUTE) as window_end,\n" +
" SUM(metric_value) as total_value\n" +
"FROM business_metrics_mor\n" +
"GROUP BY \n" +
" event_type,\n" +
" TUMBLE(ts, INTERVAL '1' MINUTE)";
tEnv.executeSql(tumblingWindowQuery);
}
}这个 Flink 作业会每30秒检查一次 Hudi 表是否有新的提交,然后将新数据作为流读入。我们使用一分钟的滚动窗口对 metric_value 进行聚合。在真实项目中,blackhole_sink 会被替换成一个自定义的 gRPC Sink,它负责将聚合后的数据发送给后端的 Python 异常检测服务。
接下来是 Python 服务,它接收 Flink 发来的时序数据点,并用 NumPy 进行分析。
# anomaly_detection_service.py
# 使用FastAPI和NumPy构建的轻量级服务
import numpy as np
from fastapi import FastAPI
from pydantic import BaseModel
import logging
from collections import deque
import json
import time
# 配置结构化日志,方便Loki采集
# 这是一个关键点,日志必须是机器可读的
logging.basicConfig(level=logging.INFO, format='%(asctime)s - %(levelname)s - %(message)s')
logger = logging.getLogger(__name__)
class TimeSeriesPoint(BaseModel):
metric_name: str
timestamp: int # Unix timestamp
value: float
# 使用deque来存储每个指标的时间序列窗口,非常高效
# 这是一个内存存储,生产环境可能会用Redis或类似组件
METRIC_WINDOWS = {}
WINDOW_SIZE = 60 # 存储最近60个数据点
app = FastAPI()
def detect_anomaly_esd(series: np.ndarray, alpha=0.05, hybrid=True):
"""
使用 Seasonal-Hybrid ESD 算法检测异常点
这是一个简化版本,仅用于演示NumPy的计算能力
"""
if len(series) < 10: # 数据点太少,不进行检测
return None
# 移除季节性(简化为中位数)
series_median = np.median(series)
series_no_season = series - series_median
# 计算中位数绝对偏差 (MAD)
mad = np.median(np.abs(series_no_season - np.median(series_no_season)))
if mad == 0:
return None
test_scores = np.abs(series_no_season) / mad
latest_score = test_scores[-1]
# 这里的阈值是一个简化的判断,实际ESD更复杂
# 比如需要循环移除最大值并重新计算
is_anomaly = latest_score > 3.5 # 简化版的阈值
if is_anomaly:
return {"value": series[-1], "score": latest_score}
return None
@app.post("/v1/detect")
async def detect(point: TimeSeriesPoint):
metric_name = point.metric_name
# 构造日志上下文,这是可观测性的核心
log_context = {
"extra": {
"metric_name": metric_name,
"timestamp": point.timestamp,
"value": point.value
}
}
logger.info(f"Received point for {metric_name}", extra=log_context)
if metric_name not in METRIC_WINDOWS:
METRIC_WINDOWS[metric_name] = deque(maxlen=WINDOW_SIZE)
window = METRIC_WINDOWS[metric_name]
window.append(point.value)
# 必须有足够的数据才能开始检测
if len(window) < WINDOW_SIZE / 2:
return {"status": "buffering", "anomaly": None}
series = np.array(window)
try:
anomaly_result = detect_anomaly_esd(series)
if anomaly_result:
log_context['extra']['anomaly_details'] = anomaly_result
logger.warning(f"Anomaly detected for {metric_name}", extra=log_context)
# 此处应触发WebSocket推送逻辑
# push_to_flutter_client(metric_name, point, anomaly_result)
return {"status": "ok", "anomaly": anomaly_result}
except Exception as e:
log_context['extra']['error'] = str(e)
logger.error(f"Error during anomaly detection for {metric_name}", extra=log_context)
return {"status": "error", "message": str(e)}
这个 Python 服务最酷的部分是,它完全无状态,只依赖于内存中的一个固定大小的 deque。这使得它可以水平扩展。每一次计算都非常快,NumPy 的向量化操作在这里发挥了巨大威力。同时,我们为每一条日志都添加了 metric_name 等结构化信息,这是为了 Loki 的高效查询做准备。
第三步:缝合监控脉络,Loki 的妙用
现在,我们需要将整个管道的健康状况可视化。我们部署 Promtail 作为日志采集代理,它会监听 Flink 和 Python 服务的日志输出,并给它们打上标签。
一个典型的 promtail-config.yml 配置:
server:
http_listen_port: 9080
grpc_listen_port: 0
positions:
filename: /tmp/positions.yaml
clients:
- url: http://loki.server:3100/loki/api/v1/push
scrape_configs:
- job_name: flink-taskmanager
static_configs:
- targets:
- localhost
labels:
job: flink-taskmanager
__path__: /path/to/flink/logs/flink-*-taskmanager-*.log
- job_name: anomaly-service
static_configs:
- targets:
- localhost
labels:
job: anomaly-service
__path__: /path/to/logs/anomaly_service.log
pipeline_stages:
- json:
expressions:
metric_name: extra.metric_name
# ... 其他需要提取为标签的字段
- labels:
metric_name:通过 pipeline_stages,我们可以从 JSON 格式的日志中提取 metric_name 并将其提升为 Loki 的标签。这彻底改变了我们的调试方式。当 Flutter App 弹出一个 “user_registration_rate” 指标的异常告警时,SRE 不再需要去翻阅海量的日志文件。他只需要在 Grafana (Loki 的前端) 中输入一个简单的 LogQL 查询:
{job="anomaly-service", metric_name="user_registration_rate"} |= "Anomaly detected"
这个查询会瞬间返回过去一段时间内所有与此指标相关的异常日志。如果想追溯上游 Flink 的情况,可以进一步关联查询:
{job="flink-taskmanager"} |~ "user_registration_rate"
这种基于标签的、跨服务的日志聚合查询能力,是保障我们这套复杂系统稳定运行的救生索。
第四步:终点站,Flutter 的实时可视化
最后,我们需要将这一切呈现给用户。Flutter 客户端通过 WebSocket 连接到我们的推送网关,实时接收告警信息和最新的数据点。
我们使用 flutter_bloc 来管理状态,web_socket_channel 来处理通信。
// lib/bloc/metric_bloc.dart - 简化的BLoC状态管理
import 'dart:convert';
import 'package:flutter_bloc/flutter_bloc.dart';
import 'package:web_socket_channel/web_socket_channel.dart';
// Events
abstract class MetricEvent {}
class MetricDataReceived extends MetricEvent {
final Map<String, dynamic> data;
MetricDataReceived(this.data);
}
// States
abstract class MetricState {}
class MetricInitial extends MetricState {}
class MetricUpdated extends MetricState {
final List<TimeSeriesData> seriesData;
final bool isAnomaly;
MetricUpdated(this.seriesData, this.isAnomaly);
}
class TimeSeriesData {
final DateTime time;
final double value;
TimeSeriesData(this.time, this.value);
}
class MetricBloc extends Bloc<MetricEvent, MetricState> {
late WebSocketChannel _channel;
MetricBloc() : super(MetricInitial()) {
// 建立WebSocket连接
_channel = WebSocketChannel.connect(
Uri.parse('ws://push.gateway/ws/metrics/user_registration_rate'),
);
_channel.stream.listen((message) {
// 收到新数据,触发一个事件
add(MetricDataReceived(jsonDecode(message)));
});
on<MetricDataReceived>((event, emit) {
// 在这里处理收到的数据,更新状态
// 将JSON转换为我们的模型对象
// ...
final newPoint = TimeSeriesData(
DateTime.fromMillisecondsSinceEpoch(event.data['timestamp'] * 1000),
event.data['value'],
);
List<TimeSeriesData> currentData = [];
if (state is MetricUpdated) {
currentData = (state as MetricUpdated).seriesData;
}
currentData.add(newPoint);
if (currentData.length > 100) {
currentData.removeAt(0); // 保持图表数据点数量
}
final isAnomaly = event.data['anomaly_details'] != null;
emit(MetricUpdated(List.from(currentData), isAnomaly));
});
}
Future<void> close() {
_channel.sink.close();
return super.close();
}
}UI 部分则使用 BlocBuilder 来监听 MetricBloc 的状态变化,并使用 syncfusion_flutter_charts 或类似库来动态渲染图表。当 isAnomaly 变为 true 时,我们可以改变线条颜色、显示一个醒目的标记,并触发本地推送通知。
// lib/widgets/metric_chart_widget.dart
// ... imports
import 'package:syncfusion_flutter_charts/charts.dart';
class MetricChart extends StatelessWidget {
Widget build(BuildContext context) {
return BlocBuilder<MetricBloc, MetricState>(
builder: (context, state) {
if (state is MetricUpdated) {
return SfCartesianChart(
primaryXAxis: DateTimeAxis(),
series: <LineSeries<TimeSeriesData, DateTime>>[
LineSeries<TimeSeriesData, DateTime>(
dataSource: state.seriesData,
xValueMapper: (TimeSeriesData data, _) => data.time,
yValueMapper: (TimeSeriesData data, _) => data.value,
// 当检测到异常时,最后一个数据点的颜色会改变
pointColorMapper: (TimeSeriesData data, index) {
if (state.isAnomaly && index == state.seriesData.length - 1) {
return Colors.red;
}
return Colors.blue;
},
width: 3,
)
],
);
}
return Center(child: CircularProgressIndicator());
},
);
}
}当这个 Flutter 应用在手机上第一次亮起,实时跳动的曲线精确地标记出我们手动制造的一个异常数据点时,整个团队都为之振奋。我们真正打通了从海量数据湖到移动端告警的全链路。
边界与前路
这套架构并非银弹。当前的异常检测模型非常简单,对于复杂模式(如多周期性、概念漂移)的识别能力有限,未来需要引入更专业的时序模型,如 Prophet 或基于 LSTM 的神经网络,这可能需要一个更强大的计算后端。其次,Python 服务中的内存窗口在面对成千上万个 metric 时会成为瓶颈,届时需要引入 Redis 等外部存储来管理时间序列数据。最后,从 Flink 到 Python 服务的 gRPC 通信在超高吞吐量下需要精细的调优,包括负载均衡和背压策略。
但这个探索证明了一点:通过创造性地组合现有开源技术,我们完全有能力构建出超越传统监控范式的、真正面向业务、直达决策者的实时智能系统。这扇门,我们已经推开了。
