当依赖项失败时，什么是优雅降级？

Question

当依赖项失败时，什么是优雅降级？

Accepted Answer

**优雅降级**是指当依赖项失败时，系统**保持核心流程继续工作**，通过提供减少的或部分的体验，而不是返回错误。目标是**软失败**，而不是硬失败：一个降级的页面胜过 500 错误。

## 技术

- **软失败** — 当依赖项宕机时，提供**缓存的、部分的或默认的**数据，而不是报错。一个陈旧但存在的结果通常比没有任何东西更好。
- **关闭非关键路径的功能标志** — 关闭推荐、分析或花哨的小部件，使这些地方的故障无法破坏主页。
- **超时 + 回退** — 永远不要在缓慢的依赖项上无限期等待；设置超时并切换到回退值或路径。
- **隔离故障（隔离舱）** — 为每个依赖项分配资源（线程池、连接池），使一个失败的服务无法耗尽所有资源并拖垮其他服务。
- **保护核心流程** — 确定必须工作的路径（浏览、结账），并确保非必要功能永远无法使其瘫痪。

## 示例：搜索后端宕机

```text
BAD  (fail hard):
  search() → backend timeout → throw → user sees HTTP 500 (whole page dead)

GOOD (fail soft):
  result = search()
         catch timeout → return cached_results OR empty + notice
  page renders:
    [ "Showing recent results — live search is temporarily unavailable." ]
    + cached listings, working nav, working checkout
  → user keeps browsing; core flow intact
```

用户不会看到死页面，而是获得缓存的结果和一个小提示，同时导航和结账继续工作。故障被限制在一个功能内。

## 为什么这很重要

依赖项**必然会**失败 — 第三方 API、搜索集群、推荐服务。没有优雅降级，任何一个故障都会级联为完全宕机。设计为软失败（缓存/部分/默认数据）、关闭非关键路径、通过回退进行超时，以及用隔离舱隔离故障 — 这样可以在部分故障期间保持产品可用 — 这是小故障和重大事故之间的区别。