AWS代充 AWS 充值渠道稳定性测试

一、别急着充钱，先让钱包学会抗压

你有没有试过——凌晨两点，刚给AWS账户充完500美金，转头就收到告警：「充值成功通知延迟17分钟」？或者更刺激的：「充值记录查得到，但余额没变，客服说‘系统正在同步’，而你手抖又点了第二次」？

我们团队去年就干了这么一票——不是充错钱，是专门找茬。目标很朴素：把AWS充值链路当成春运抢票系统来压，看它到底能扛几轮「真金白银」的暴击。

为什么非得测充值？

因为充值不是普通API调用，它是金钱流的闸门。用户点下「确认付款」那一刻，系统要同时完成：校验余额/额度、调第三方支付网关、写账务流水、更新账户余额、发异步通知、回写订单状态……中间任何一环卡住，轻则用户以为钱丢了，重则财务对不上账，法务部同事开始翻《支付结算办法》第37条。

更讽刺的是，这功能平时安静如鸡，一出问题就是大鸡——因为没人天天充钱，但一旦充，往往就是客户赶着续费、上生产环境、或老板突然说「现在立刻马上要开100台c5.4xlarge」。

二、压测前，先给系统做个体检（然后把它揍趴）

AWS代充 我们没直接开干。先扒代码、画链路图、抓日志、翻监控，像侦探蹲守嫌疑人一样盯了三天。结论很扎心：充值流程里藏着三个「温柔陷阱」：

• Redis缓存键太佛系：幂等键只用了order_id，但实际支付网关回调可能带不同参数重推三次，导致同一笔钱扣了三回；
• HTTP客户端没设超时：调支付宝/银联接口时，底层HttpClient默认无限等待，一次网络抖动就能拖垮整个线程池；
• 数据库写入没分库：所有充值流水挤在一张payment_log表里，索引字段还漏建了status+created_at联合索引，查失败订单像在图书馆翻1987年旧报纸。

发现问题不难，难的是——怎么让它们在压力下原形毕露？我们决定不搞花架子，直接上「人肉风暴」。

压测方案：不玩虚的，只干三件事

1. 造真实数据：用脚本生成10万张不同银行卡号（符合Luhn算法）、5000个邮箱（含@163.com/@gmail.com/@aws.internal）、随机金额（0.01~9999.99美元），避免被风控当羊毛党封IP；
2. 模拟真实行为：不是匀速QPS，而是按「黑五促销节奏」压：前10秒冲到5000 TPS，卡顿2秒，再突刺到8000，最后长尾维持2000持续10分钟——毕竟真实用户不会优雅排队，他们只会狂点「提交」；
3. 埋钩子不埋雷：所有压测请求带X-Test-Env: true头，后端自动走mock支付网关，但数据库、缓存、消息队列全走真环境——钱不真扣，但系统压力一分不减。

三、凌晨三点，服务器在哭，运维在骂娘

第一次压测，进行到第4分37秒，监控大屏红成番茄酱。

首先是Redis连接池告急：redis.clients.jedis.exceptions.JedisConnectionException: Could not get a resource from the pool。查日志发现，每个充值请求都新建一个Jedis连接，且未及时close——相当于请1000个人吃饭，只摆10把椅子，吃完不挪屁股，后面的人只能站着啃空气。

紧接着是Kafka积压：支付回调消息堆积超20万条，消费者组lag飙到3小时。原因？回调处理逻辑里有个Thread.sleep(500)——为防网关重复推送加的「人工减速器」，结果在高压下成了「死亡堵车点」。

最绝的是数据库：SHOW PROCESSLIST一看，37个UPDATE payment_log SET status='success'...卡在Waiting for table metadata lock。原来所有更新都锁了同一张表的元数据，因为有个DDL语句正在后台悄悄跑——那是DBA上周执行的「添加备注字段」，忘了加ALGORITHM=INSTANT。

那晚，我们改了三版代码：JedisPool配置从10调到200，Thread.sleep换成指数退避重试，DDL语句连夜重跑。开发小哥边敲键盘边叹气：「我写的不是代码，是赎身券。」

血泪教训：稳定性不是测出来的，是「惯」出来的

后来我们总结出三条铁律：

• 所有外部依赖必须设熔断：支付网关超时设为800ms，失败3次自动切降级逻辑（比如记日志+发邮件，不阻塞主流程）；
• 幂等键必须带业务上下文：改成order_id:timestamp:sign三元组，连时间戳都精确到毫秒，杜绝重放；
• 数据库操作必须有兜底：所有UPDATE加WHERE status='processing'，避免误更新已成功订单；慢SQL每晚自动扫描，超过1s的直接钉钉报警。

四、上线后，我们悄悄做了件更狠的事

正式上线那天，我们没庆祝，反而在生产环境开了个「幽灵压测」：每天凌晨2点，用1%真实流量，混入5%压测请求，持续跑7天。不看TPS，只盯三样东西：

• 充值成功率是否稳定在99.992%以上（行业黄金线）；
• 平均耗时是否始终≤1.2秒（用户感知无卡顿）；
• 失败订单中，90%能否在30秒内自动修复（靠补偿任务+人工干预双保险）。

第七天凌晨，值班同学喝着枸杞茶刷监控，突然发现一个异常：某批次充值失败率微升至0.011%，但30秒后自动回落。点进去一看，是银联网关临时调整了证书——而我们的证书热加载模块，正默默完成了无缝切换。

那一刻没有欢呼，只有群里一句平静的「哦，它自己活过来了」。

最后说句掏心窝的

所谓稳定性，从来不是「不出问题」，而是「出问题时，系统比人醒得早，恢复得比咖啡冲得快」。AWS充值渠道如今稳如老狗，不是因为我们写了多牛的代码，而是被自己亲手揍了十七次后，终于学会了——在用户点下「确认」之前，先把所有可能的坑，提前踩一遍。

毕竟，钱可以再充，信任丢了，可就真充不回来了。