Entwerfen Sie einen skalierbaren Benachrichtigungsdienst

Ein skalierbarer Benachrichtigungsdienst sollte als asynchrone, ereignisgesteuerte Plattform aufgebaut sein, die die Ereignisaufnahme, die Auswertung von Präferenzen, die Speicherung von Benachrichtigungen, die kanal-spezifische Zustellung und die Nachverfolgung der Zustellung trennt. Das wichtigste Designprinzip ist, dass die Quellproduktsysteme, wie z. B. Follows, Likes, Kommentare und Direktnachrichten, mobile Push-Anbieter oder Benutzergeräte nicht synchron aufrufen sollten. Sie sollten dauerhafte Ereignisse in eine Messaging-Schicht veröffentlichen, und die Benachrichtigungsplattform sollte diese Ereignisse unabhängig mit starken Wiederholungs- und Idempotenzgarantien verarbeiten. Auf hoher Ebene enthält die Architektur die folgenden Komponenten: Ereignisproduzenten, eine Erfassungs-API, ein dauerhaftes Ereignisprotokoll, Benachrichtigungsprozessoren, einen Benutzereinstellungsdienst, einen Vorlagen- und Personalisierungsdienst, einen Benachrichtigungsspeicher, Kanal-Fanout-Warteschlangen, kanal-spezifische Zustellungsworker, Integrationen von Drittanbietern, ein Echtzeit-Gateway für die In-App-Zustellung und Infrastruktur für Beobachtbarkeit/Wiederholungen. Produkt-Services generieren Benachrichtigungsereignisse, wenn benutzerorientierte Aktionen auftreten. Zum Beispiel gibt der Social-Graph-Service ein neues Follower-Ereignis aus, der Post-Service gibt ein Like- oder Kommentar-Ereignis aus und der Messaging-Service gibt ein Direktnachrichten-Ereignis aus. Jedes Ereignis enthält eine Ereignis-ID, einen Ereignistyp, die ID des Akteur-Benutzers, die ID des Empfänger-Benutzers oder die Empfänger-Menge, die Objekt-ID, den Erstellungszeitstempel und Metadaten, die für das Rendering benötigt werden. Produzenten senden diese Ereignisse an eine Benachrichtigungs-Erfassungs-API oder direkt an einen dauerhaften Nachrichtenbus. Die Erfassungs-API validiert das Schema, authentifiziert den Produzenten, weist einen Idempotenzschlüssel zu oder überprüft ihn und schreibt das Ereignis in das dauerhafte Protokoll, bevor sie den Produzenten bestätigt. Dies verhindert den Verlust von Benachrichtigungen, wenn nachgelagerte Prozessoren ausfallen. Als dauerhaftes Messaging-Backbone würde ich Apache Kafka, Amazon MSK, Google Pub/Sub oder Pulsar verwenden. Kafka/Pulsar eignen sich gut, da sie hohen Durchsatz, partitionierte Reihenfolge, Aufbewahrung, Wiedergabe, Verbrauchergruppen und dauerhafte Speicherung bieten. Bei 50.000 Benachrichtigungsanfragen pro Sekunde sollte der Ereignisstrom nach der Empfänger-Benutzer-ID für die Reihenfolge auf Benutzerebene, wo erforderlich, oder nach der Ereignis-ID, wenn die strenge Reihenfolge pro Benutzer weniger wichtig ist, partitioniert werden. Die Partitionierung nach Empfänger hilft, Out-of-Order-In-App-Benachrichtigungen für einen einzelnen Benutzer zu vermeiden, kann aber zu Hot Partitions für Promi-Konten oder Gruppenereignisse führen. Für große Fanout-Fälle, bei denen ein Ereignis Benachrichtigungen an Millionen von Followern erzeugt, sollte ein separater Fanout-Service Empfänger in Stapel aufteilen und abgeleitete Benachrichtigungsaufträge pro Empfänger über viele Partitionen veröffentlichen. Benachrichtigungsprozessoren verbrauchen Rohereignisse aus dem dauerhaften Ereignisprotokoll. Ihre Aufgaben sind die Bestimmung der Empfänger, das Abrufen von Benutzereinstellungen, die Anwendung von Ratenbegrenzungen und Ruhezeiten, die Deduplizierung von Ereignissen, die Generierung kanal-spezifischer Benachrichtigungsdatensätze und die Veröffentlichung von Zustellungsaufträgen. Für direkte Ereignisse wie einen Kommentar zu einem Beitrag eines Benutzers ist die Empfängermenge klein. Für Fanout-Ereignisse wie das Posten durch eine Berühmtheit sollte der Prozessor vermeiden, den gesamten Fanout synchron durchzuführen. Er sollte einen Fanout-Auftrag erstellen und Empfänger in Shards verarbeiten, wobei Stapellesen aus dem Social-Graph-Speicher verwendet werden. Dies verhindert, dass ein sehr großes Ereignis den Low-Latency-Pfad für normale Benachrichtigungen blockiert. Der Benutzereinstellungsdienst speichert Konfigurationen, z. B. ob ein Benutzer Push-, In-App- oder E-Mail-Benachrichtigungen für Likes, Kommentare, Follower und Direktnachrichten wünscht. Präferenzen sollten in einer hochverfügbaren Datenbank wie DynamoDB, Cassandra, ScyllaDB oder einer geshardeten relationalen Datenbank gespeichert werden. Das Zugriffsmuster ist hauptsächlich die Schlüssel-Wert-Suche nach Benutzer-ID und Benachrichtigungstyp, daher ist ein verteilter Schlüssel-Wert- oder Wide-Column-Speicher geeignet. Um das Latenzziel von 2 Sekunden zu erreichen, sollten Präferenzen auch in Redis, Memcached oder einem lokalen In-Process-Cache mit kurzen TTLs zwischengespeichert werden. Präferenzaktualisierungen werden in die Source-of-Truth-Datenbank geschrieben und durch Invalidierungsereignisse an die Caches weitergegeben. Der Kompromiss besteht darin, dass Cache-Veralterung dazu führen kann, dass eine kürzlich geänderte Präferenz einige Sekunden zur Anwendung benötigt; wenn eine strenge Präferenzkonsistenz erforderlich ist, können Prozessoren bei Cache-Misses oder für kürzlich aktualisierte Benutzer die Datenbank lesen. Der Vorlagen- und Personalisierungsdienst rendert Benachrichtigungsinhalte. Er ordnet Ereignistypen Vorlagen zu, wie z. B. „Alex hat deinen Beitrag geliked“ oder „Maya hat kommentiert: ...“. Er kümmert sich um Lokalisierung, Deep Links, Bild-URLs und kanal-spezifische Payload-Beschränkungen. Vorlagendefinitionen können in einer Konfigurationsdatenbank gespeichert und aggressiv zwischengespeichert werden, da sie sich selten ändern. Das Rendering sollte erfolgen, bevor Zustellungsaufträge veröffentlicht werden, damit jeder Auftrag in sich abgeschlossen ist und sicher wiederholt werden kann. Der Benachrichtigungsspeicher ist die Quelle der Wahrheit für für Benutzer sichtbare In-App-Benachrichtigungen und den Zustellungsstatus. Eine gute Wahl ist Cassandra, DynamoDB, ScyllaDB oder ein anderer horizontal skalierbarer Speicher, der nach Empfänger-Benutzer-ID partitioniert und nach Benachrichtigungszeitstempel sortiert ist. Das primäre Zugriffsmuster ist „die neuesten Benachrichtigungen für Benutzer X abrufen“, daher kann die Tabelle `recipient_user_id` als Partitionsschlüssel und `created_at` oder `notification_id` als Sortierschlüssel verwenden. Der Dienst schreibt einen In-App-Benachrichtigungsdatensatz vor oder atomar mit der Veröffentlichung des In-App-Zustellungsauftrags. Datensätze enthalten Benachrichtigungs-ID, Empfänger, Typ, Inhalt, Status, Lese-/Ungelesen-Status, Zeitstempel und Deduplizierungsschlüssel. Dieser Speicher garantiert, dass der Benutzer die Benachrichtigung immer noch sehen kann, wenn er die App öffnet, auch wenn die WebSocket-Zustellung fehlschlägt. Nachdem Präferenzen und Vorlagen angewendet wurden, veröffentlicht der Prozessor Aufträge in separate Kanalwarteschlangen: Push-Warteschlange, In-App-Warteschlange und E-Mail-Warteschlange. Die Trennung der Warteschlangen ist wichtig, da jeder Kanal unterschiedliche Latenz- und Zuverlässigkeitsmerkmale aufweist. Push- und In-App-Warteschlangen sind latenzempfindlich und sollten für hohen Durchsatz mit minimalem Rückstand provisioniert werden. E-Mail ist weniger latenzempfindlich und kann längere Verzögerungen, Anbieter-Drosselung und Stapelverarbeitung tolerieren. Separate Warteschlangen verhindern auch, dass ein langsamer E-Mail-Anbieter die Push-Zustellung beeinträchtigt. Push-Zustellungsworker verbrauchen aus der Push-Warteschlange und senden Benachrichtigungen an Apple Push Notification Service, Firebase Cloud Messaging oder andere mobile Push-Anbieter. Geräte-Tokens werden in einem Geräte-Registry gespeichert, das nach Benutzer-ID indiziert ist und Token, Plattform, App-Version, Gebietsschema und Zeitstempel des letzten Zugriffs enthält. Das Registry kann einen verteilten Schlüssel-Wert-Speicher verwenden und aktive Tokens zwischenspeichern. Push-Worker müssen Anbieterantworten verarbeiten, ungültige Tokens entfernen, transiente Fehler mit exponentiellem Backoff wiederholen und Zustellungsversuche aufzeichnen. Bestätigungen des Push-Anbieters garantieren nicht, dass der Benutzer die Benachrichtigung gesehen hat, sondern nur, dass der Anbieter sie akzeptiert hat. Daher sollte das System die Anbieterakzeptanz von der tatsächlichen Benutzerquittung unterscheiden. Die In-App-Zustellung hat zwei Pfade. Erstens wird die Benachrichtigung im Benachrichtigungsspeicher gespeichert. Zweitens sendet ein In-App-Zustellungsworker sie über ein Echtzeit-Gateway an die aktuell verbundenen Geräte des Benutzers. Das Gateway kann mithilfe von WebSockets, HTTP/2-Streams oder einer persistenten Verbindungsinfrastruktur ähnlich wie bei mobilen Push-Nachrichten implementiert werden. Gateway-Knoten verwalten den Benutzerverbindungsstatus im Speicher und veröffentlichen Präsenzinformationen an einen verteilten Präsenzdienst. Eine Routing-Schicht oder eine NATS-basierte Präsenzzuordnung teilt dem In-App-Worker mit, welcher Gateway-Knoten derzeit die Verbindung eines Benutzers besitzt. Wenn der Benutzer offline ist oder die Gateway-Sendung fehlschlägt, geht keine Benachrichtigung verloren, da die gespeicherte Benachrichtigung beim nächsten Sitzungsstart über die Benachrichtigungs-Inbox-API der App abgerufen wird. Für geringe Latenz sollten Gateway-Knoten regional nahe bei den Benutzern bereitgestellt werden und die In-App-Warteschlange nach Möglichkeit von Workern in derselben Region verarbeitet werden. E-Mail-Zustellungsworker verbrauchen aus der E-Mail-Warteschlange und senden über Anbieter wie SES, SendGrid oder Mailgun. Sie sollten Anbieter-Failover, Bounce-Handling, Unterdrückungslisten, Einhaltung von Abmeldungen und anbieter-spezifische Ratenbegrenzungen unterstützen. E-Mail-Benachrichtigungen können für ereignisarme Typen wie Likes gebündelt oder zusammengefasst werden, während Direktnachrichten oder sicherheitsrelevante Ereignisse sofort gesendet werden können. Da E-Mail langsamer und teurer ist, sind Benutzereinstellungen und Ratenbegrenzungen besonders wichtig. Die Zuverlässigkeit wird durch dauerhafte Schreibvorgänge, mindestens einmalige Verarbeitung, Idempotenz, Wiederholungen und Dead-Letter-Warteschlangen erreicht. Die Erfassungsschicht bestätigt Produzenten erst, nachdem das Ereignis dauerhaft in Kafka/Pulsar geschrieben wurde. Verbraucher committen Offsets erst, nachdem sie Benachrichtigungsdatensätze erfolgreich geschrieben und nachgelagerte Kanalaufträge veröffentlicht haben. Da Wiederholungen Duplikate erzeugen können, muss jedes Ereignis und jede Benachrichtigung über stabile Idempotenzschlüssel verfügen. Zum Beispiel könnte ein Like-Benachrichtigungsschlüssel `recipient_id + actor_id + post_id + event_type` sein, während ein Kommentar-Benachrichtigungsschlüssel `comment_id` enthalten könnte. Der Benachrichtigungsspeicher erzwingt die Einzigartigkeit dieses Schlüssels, oder die Prozessoren führen bedingte Schreibvorgänge durch. Zustellungsworker sollten ebenfalls Versuch-IDs und idempotente Zustandsübergänge verwenden, damit doppelte Aufträge keine doppelten In-App-Datensätze oder doppelten E-Mails erzeugen, wenn dies vermieden werden kann. Das System garantiert eine mindestens einmalige Zustellung, keine exakt einmalige Zustellung, daher sollten Clients auch nach Benachrichtigungs-ID deduplizieren. Dead-Letter-Warteschlangen sind für Poison-Messages, fehlerhafte Ereignisse, wiederholte Anbieterfehler oder Datensätze, die nicht gerendert werden können, erforderlich. Ein Replay-Tool sollte es Betreibern ermöglichen, Probleme zu beheben und Ereignisse aus dem ursprünglichen dauerhaften Protokoll oder aus der Dead-Letter-Warteschlange erneut zu verarbeiten. Die Kafka-Aufbewahrung sollte lang genug sein, um die betriebliche Wiederherstellung zu unterstützen, z. B. mehrere Tage. Kritische Metadaten und Zustellungsstatus sollten ebenfalls in der Benachrichtigungsdatenbank für die Nachvollziehbarkeit gespeichert werden. Um die Skalierungsanforderung von 100 Millionen täglichen aktiven Benutzern und 50.000 Benachrichtigungsanfragen pro Sekunde zu erfüllen, sollten alle wichtigen Dienste horizontal skalierbar und, wo möglich, zustandslos sein. Erfassungs-APIs skalieren hinter Load Balancern. Kafka/Pulsar-Topics sind breit genug partitioniert, um Spitzen-Durchsatz und Verbraucher-Parallelität zu unterstützen. Prozessoren und Zustellungsworker laufen in Autoscaling-Gruppen oder Kubernetes-Deployments und skalieren basierend auf Warteschlangenverzögerung, CPU, Anbieter-Latenz und Anfragerate. Datenbanken sind nach Benutzer-ID partitioniert, um die Last zu verteilen. Hot-Key-Probleme sollten mit geshardeten Fanout-Aufträgen, spezieller Behandlung von Promi-Benutzern und Backpressure behandelt werden. Für extrem große Fanouts kann das System Pull-basierten Fanout für Benachrichtigungen mit niedriger Priorität verwenden: Anstatt sofort eine Benachrichtigung pro Follower zu schreiben, speichert es das Ereignis einmal und materialisiert es, wenn ein Benutzer die App öffnet. Dies reduziert die Schreibverstärkung, erhöht aber die Lesekomplexität und ist möglicherweise nicht für Direktnachrichten oder Kommentare geeignet. Das Latenzziel von 2 Sekunden für 99 % der Push- und In-App-Benachrichtigungen wird durch einen kurzen kritischen Pfad erreicht: Produzent zu dauerhaftem Protokoll, Prozessor-Präferenzabruf aus dem Cache, Schreiben des Benachrichtigungsdatensatzes, Veröffentlichung in der Kanalwarteschlange und sofortige Zustellung durch warme Worker. Push- und In-App-Worker sollten für die Spitzenlast überprovisioniert sein, und Warteschlangen sollten Prioritätsspuren verwenden, damit Direktnachrichten und Kommentare vor Likes mit niedriger Priorität verarbeitet werden. Regionale Bereitstellung reduziert die Netzwerklatenz. Für Benutzer in mehreren Regionen kann das Routing auf der Heimatregion des Empfängers basieren, mit regionsübergreifender Replikation für die Katastrophenwiederherstellung. Das Design sollte die End-to-End-Latenz von der Erstellung des Ereignisses bis zur Anbieterakzeptanz oder zum Gateway-Senden messen, nicht nur die interne Verarbeitungszeit. Beobachtbarkeit ist unerlässlich. Die Plattform sollte Anfragerate, Warteschlangenverzögerung nach Partition, Verarbeitungs-Latenz, Cache-Trefferquote für Präferenzen, Fehler bei der Benachrichtigungserstellung, Fehlerraten von Anbietern, Wiederholungsanzahlen, Volumen von Dead-Letter-Warteschlangen, Erfolg der WebSocket-Zustellung, Latenz der Push-Anbieter-Akzeptanz und End-to-End-p50/p95/p99-Latenz verfolgen. Distributed Tracing sollte die ursprüngliche Ereignis-ID durch jede Komponente tragen. Alarme sollten bei wachsender Warteschlangenverzögerung, erhöhten Fehlern, Anbieter-Drosselung, Latenz bei Schreibvorgängen in der Datenbank und verpassten Latenz-SLOs ausgelöst werden. Es gibt mehrere Kompromisse. Kafka oder Pulsar erhöhen die betriebliche Komplexität, bieten aber die Dauerhaftigkeit, Wiedergabe und den Durchsatz, die für die mindestens einmalige Zustellung in diesem Maßstab erforderlich sind. Cassandra oder DynamoDB bieten hohe Schreibskalierbarkeit und Verfügbarkeit, bieten aber begrenzte Ad-hoc-Abfragen, sodass Analysen an ein separates Data Warehouse gesendet werden sollten. Das Caching von Präferenzen verbessert die Latenz, führt aber zu kurzlebigen Konsistenzproblemen. Mindestens einmalige Zustellung ist viel einfacher und zuverlässiger als exakt einmalige Zustellung, aber das System muss Duplikate mithilfe von Idempotenzschlüsseln und clientseitiger Deduplizierung tolerieren. Fanout-on-write ermöglicht schnelle Inbox-Lesevorgänge, kann aber für Ereignisse mit vielen Followern teuer sein; Fanout-on-read spart Schreibvorgänge, erschwert aber das Ranking und die Materialisierung zur Lesezeit. Ein Hybridmodell ist normalerweise am besten: Fanout-on-write für direkte, wichtige und normalvolumige Benachrichtigungen und Fanout-on-read oder Batch-Fanout für massive Ereignisse mit niedriger Priorität. Zusammenfassend lässt sich sagen, dass der Dienst eine dauerhafte ereignisgesteuerte Architektur mit partitionierten Nachrichtenströmen, zustandslosen Prozessoren, zwischengespeicherten Präferenzabfragen, persistentem Benachrichtigungsspeicher, separaten Kanalwarteschlangen, kanal-spezifischen Workern und starken Wiederholungs-/Idempotenzmechanismen verwenden sollte. Dieses Design skaliert horizontal auf 50.000 Benachrichtigungsanfragen pro Sekunde, hält die Push- und In-App-Zustellung innerhalb des 2-Sekunden-p99-Ziels durch Caching und Low-Latency-Warteschlangen ein und garantiert, dass Benachrichtigungen nicht verloren gehen, indem Ereignisse und Benachrichtigungsdatensätze gespeichert werden, bevor der Fortschritt bestätigt wird.

## Skalierbare Benachrichtigungsdienstarchitektur ### Systemübersicht Der Benachrichtigungsdienst ist als verteiltes, ereignisgesteuertes System konzipiert, das Benachrichtigungen asynchron verarbeitet, um 50.000 Anfragen pro Sekunde mit einer Latenz von unter 2 Sekunden für 99 % der Zustellungen zu bewältigen. Die Architektur folgt einem Microservices-Muster mit klarer Trennung der Zuständigkeiten. ### High-Level-Architektur ``` Ereignisquellen → API-Gateway → Benachrichtigungsdienst → Nachrichtenwarteschlange → Zustellungs-Worker ↓ Präferenzdienst ↓ Cache-Schicht (Redis) ↓ Datenbank (PostgreSQL) ``` ### Schlüsselkomponenten #### 1. API-Gateway - **Zuständigkeit:** Einstiegspunkt für alle Benachrichtigungsanfragen. Verarbeitet Ratenbegrenzung, Authentifizierung und Anforderungsvalidierung. - **Technologie:** NGINX oder AWS API Gateway - **Begründung:** Bietet einen einzigen Einstiegspunkt, ermöglicht die Drosselung von Anfragen zur Verhinderung von Überlastung und verteilt den Datenverkehr auf Backend-Dienste. #### 2. Benachrichtigungsdienst (Kernverarbeitung) - **Zuständigkeit:** Empfängt Benachrichtigungsereignisse, validiert sie, reichert sie mit Benutzereinstellungen an und veröffentlicht sie in der Nachrichtenwarteschlange. - **Technologie:** Zustandsloser Microservice (Node.js, Go oder Java) - **Hauptmerkmale:** - Validiert den Benachrichtigungs-Payload - Ruft Benutzereinstellungen aus dem Cache ab - Bestimmt Benachrichtigungskanäle (Push, In-App, E-Mail) basierend auf Benutzereinstellungen - Veröffentlicht angereicherte Benachrichtigungen in der Nachrichtenwarteschlange - **Skalierbarkeit:** Horizontal skalierbar; mehrere Instanzen hinter einem Load Balancer #### 3. Nachrichtenwarteschlange (Ereignisbus) - **Technologie:** Apache Kafka oder AWS SQS/SNS - **Begründung:** - Entkoppelt die Benachrichtigungserstellung von der Zustellung - Bietet Dauerhaftigkeit und Wiederholungsmöglichkeit für eine "mindestens einmal" Zustellungsgarantie - Ermöglicht die parallele Verarbeitung von Benachrichtigungen - Bewältigt Verkehrsspitzen durch Pufferung von Anfragen - **Konfiguration:** Mehrere Partitionen (z. B. 100-200), um parallele Verarbeitung zu ermöglichen - **Themenstruktur:** Separate Themen für Push-, In-App- und E-Mail-Benachrichtigungen, um eine unabhängige Skalierung zu ermöglichen #### 4. Präferenzdienst - **Zuständigkeit:** Verwaltet die Benachrichtigungseinstellungen und -präferenzen der Benutzer. - **Technologie:** Microservice mit PostgreSQL-Backend - **Merkmale:** - Speichert Benutzereinstellungen (Benachrichtigungstypen, Kanäle, Häufigkeitslimits) - Bietet eine API für Benutzer zur Aktualisierung von Präferenzen - Cacht Präferenzen in Redis für schnellen Zugriff - **Skalierbarkeit:** Leseintensive Dienste; Caching reduziert die Datenbanklast erheblich #### 5. Cache-Schicht - **Technologie:** Redis Cluster - **Zweck:** - Cacht Benutzereinstellungen (TTL: 1 Stunde) - Cacht Geräte-Tokens von Benutzern für Push-Benachrichtigungen - Speichert Ratenbegrenzungszähler - Reduziert Datenbankabfragen um über 90 %. - **Begründung:** Latenz im Sub-Millisekundenbereich für Präferenzabfragen #### 6. Zustellungs-Worker - **Push-Benachrichtigungs-Worker:** - Konsumiert aus dem Push-Thema - Integriert sich mit FCM (Firebase Cloud Messaging) und APNs (Apple Push Notification service) - Verwaltet Geräte-Tokens und bereinigt ungültige Tokens - Implementiert exponentielles Backoff für Wiederholungsversuche - **In-App-Benachrichtigungs-Worker:** - Konsumiert aus dem In-App-Thema - Speichert Benachrichtigungen in einer Zeitreihendatenbank (z. B. Cassandra oder ClickHouse) - Veröffentlicht an WebSocket-Server für Echtzeit-Zustellung - Verwaltet den Status von Benachrichtigungen (gelesen/ungelesen) - **E-Mail-Benachrichtigungs-Worker:** - Konsumiert aus dem E-Mail-Thema - Bündelt E-Mails zur Effizienz - Integriert sich mit dem E-Mail-Dienst (SendGrid, AWS SES) - Implementiert Ratenbegrenzung zur Vermeidung von Spam-Filtern #### 7. WebSocket-Server - **Zuständigkeit:** Pflegt persistente Verbindungen mit mobilen und Web-Clients für Echtzeit-In-App-Benachrichtigungen. - **Technologie:** Node.js mit Socket.io oder Go mit gorilla/websocket - **Skalierbarkeit:** Zustandlose Server; verwendet Redis Pub/Sub für die serverübergreifende Kommunikation - **Fallback:** HTTP Long-Polling für Clients, die WebSocket nicht unterstützen #### 8. Benachrichtigungsspeicher (Zeitreihendatenbank) - **Technologie:** Cassandra oder ClickHouse - **Zweck:** Speichert alle Benachrichtigungen für Audit-, Analyse- und Benachrichtigungsverlauf des Benutzers - **Begründung:** Optimiert für schreibintensive Workloads und Zeitbereichsabfragen - **Aufbewahrung:** 90 Tage Benachrichtigungsverlauf #### 9. Benutzergeräte-Registrierung - **Technologie:** Redis + PostgreSQL - **Zweck:** Verwaltet die Zuordnung von Benutzern zu ihren Geräten und Push-Tokens - **Merkmale:** - Verfolgt die Geräte-Registrierung/-deregistrierung - Speichert Geräte-Metadaten (Betriebssystem, App-Version) - Verwaltet Token-Aktualisierung und -Invalidierung ### Datenfluss 1. **Ereignisaufnahme:** Ereignisquellen (Benutzeraktionen, Systemereignisse) senden Benachrichtigungsanfragen an das API-Gateway 2. **Validierung & Anreicherung:** Der Benachrichtigungsdienst validiert den Payload und ruft Benutzereinstellungen aus dem Cache ab 3. **Kanalbestimmung:** Basierend auf den Präferenzen wird die Benachrichtigung an das entsprechende Thema (Push, In-App, E-Mail) weitergeleitet 4. **Warteschlangenbildung:** Die Nachrichtenwarteschlange puffert Benachrichtigungen und gewährleistet Dauerhaftigkeit 5. **Zustellung:** Spezialisierte Worker konsumieren aus den Themen und liefern über die jeweiligen Kanäle 6. **Bestätigung:** Zustellungs-Worker bestätigen die erfolgreiche Zustellung und aktualisieren den Benachrichtigungsstatus ### Erfüllung der Anforderungen #### Skalierbarkeit (50.000 Anfragen/Sek.) - **Horizontale Skalierung:** Alle Komponenten sind zustandslos und horizontal skalierbar - **Nachrichtenwarteschlangen-Partitionierung:** Kafka-Themen sind über mehrere Broker partitioniert; jede Partition kann ca. 500-1000 Anfragen/Sek. verarbeiten - **Datenbank-Sharding:** Benutzerdaten werden nach user_id geshardet, um die Last zu verteilen - **Caching-Strategie:** Redis cacht heiße Daten und reduziert Datenbankabfragen um über 90 %. - **Lastverteilung:** Das API-Gateway verteilt den Datenverkehr auf die Instanzen des Benachrichtigungsdienstes #### Geringe Latenz (99 % innerhalb von 2 Sekunden) - **Asynchrone Verarbeitung:** Benachrichtigungen werden asynchron verarbeitet; die API gibt sofort nach der Warteschlangenbildung zurück - **Caching:** Benutzereinstellungen werden in Redis gecacht (Zugriff im Sub-Millisekundenbereich) - **Direkte Integration:** Push-Worker integrieren sich direkt mit FCM/APNs ohne Zwischenschritte - **WebSocket für In-App:** Echtzeit-Zustellung über persistente Verbindungen - **Optimierung:** Stapelverarbeitung für E-Mail-Benachrichtigungen (für den E-Mail-Anwendungsfall akzeptabel) - **Überwachung:** Latenz wird pro Komponente verfolgt; Warnungen bei Verschlechterung #### Zuverlässigkeit (Mindestens einmalige Zustellung) - **Nachrichtenwarteschlangen-Dauerhaftigkeit:** Kafka repliziert Nachrichten über Broker hinweg (Replikationsfaktor: 3) - **Persistente Warteschlangen:** Nachrichten werden vor der Bestätigung auf der Festplatte gespeichert - **Idempotenz:** Benachrichtigungen enthalten eindeutige IDs; Worker implementieren idempotente Verarbeitung - **Wiederholungslogik:** Fehlgeschlagene Zustellungen werden mit exponentiellem Backoff wiederholt (max. 5 Wiederholungen über 24 Stunden) - **Dead Letter Queue:** Nach maximalen Wiederholungen fehlgeschlagene Benachrichtigungen werden zur manuellen Untersuchung in die DLQ verschoben - **Überwachung & Alarmierung:** Echtzeit-Dashboards verfolgen die Zustellungsraten; Warnungen bei Fehlern - **Backup & Wiederherstellung:** Regelmäßige Backups von Präferenz- und Benachrichtigungsdaten; Notfallwiederherstellungsverfahren #### Personalisierung - **Präferenzdienst:** Dedizierter Dienst verwaltet die Benachrichtigungseinstellungen der Benutzer - **Granulare Steuerung:** Benutzer können Benachrichtigungen pro Typ (Likes, Kommentare, Follows) und pro Kanal deaktivieren - **Häufigkeitslimits:** Unterstützung für tägliche/wöchentliche Digest-Optionen - **Ruhezeiten:** Benutzer können Ruhezeiten festlegen (z. B. keine Push-Benachrichtigungen von 22:00 bis 8:00 Uhr) - **Cache-Invalidierung:** Präferenzänderungen invalidieren den Cache sofort für Echtzeit-Effekte ### Technologieauswahl & Kompromisse | Komponente | Technologie | Begründung | Kompromisse | |-----------|-----------|-----------|-----------| | Nachrichtenwarteschlange | Kafka | Hoher Durchsatz, Dauerhaftigkeit, Wiederholungsmöglichkeit | Betriebskomplexität, erfordert Clusterverwaltung | | Cache | Redis Cluster | Latenz im Sub-Millisekundenbereich, unterstützt komplexe Datenstrukturen | Speichergebunden, erfordert sorgfältige Evictions-Richtlinien | | Präferenz-DB | PostgreSQL | ACID-Konformität, komplexe Abfragen, reifes Ökosystem | Grenzen der vertikalen Skalierung; erfordert Read Replicas | | Benachrichtigungsspeicher | Cassandra | Schreiboptimiert, verteilt, verarbeitet Zeitreihendaten | Eventuell konsistent, komplexes Betriebsmodell | | Push-Integration | FCM/APNs | Industriestandard, hohe Zuverlässigkeit | Anbieterabhängigkeit, Ratenlimits pro Anbieter | | WebSocket | Socket.io/gorilla | Echtzeitkommunikation, Fallback-Unterstützung | Speicheraufwand pro Verbindung, erfordert Sticky Sessions | ### Betriebliche Überlegungen #### Überwachung & Beobachtbarkeit - **Metriken:** Benachrichtigungsdurchsatz, Latenz-Perzentile (p50, p95, p99), Zustellungsrate - **Protokollierung:** Strukturierte Protokollierung mit Korrelations-IDs für End-to-End-Tracing - **Verteiltes Tracing:** Jaeger oder Zipkin zur Visualisierung des Anfrageflusses - **Alarmierung:** PagerDuty-Integration für kritische Fehler #### Bereitstellung & Skalierung - **Containerisierung:** Docker-Container für alle Dienste - **Orchestrierung:** Kubernetes für automatisierte Skalierung und Bereitstellung - **Auto-Skalierung:** Horizontal Pod Autoscaler basierend auf CPU/Speicher und Warteschlangentiefe - **Blue-Green-Bereitstellung:** Zero-Downtime-Bereitstellungen für Service-Updates #### Kostenoptimierung - **Reservierte Kapazität:** Kafka-Broker und Datenbankinstanzen auf reservierten Instanzen - **Gestaffelter Speicher:** Heiße Daten in Redis, warme Daten in PostgreSQL, kalte Daten in S3 - **Stapelverarbeitung:** E-Mail-Benachrichtigungen werden gebündelt, um API-Aufrufe zu reduzieren - **Ressourcenlimits:** Ratenlimits pro Benutzer zur Verhinderung von Ressourcenerschöpfung ### Mögliche Engpässe & Abhilfemaßnahmen 1. **Datenbank-Engpass:** Abfragen von Präferenzen - Abhilfe: Redis-Caching mit 1-stündiger TTL; Read Replicas für PostgreSQL 2. **Nachrichtenwarteschlangen-Engpass:** Kafka-Durchsatz - Abhilfe: Erhöhung der Partitionsanzahl; Upgrade der Broker-Hardware; Komprimierung verwenden 3. **Ratenlimits des Push-Dienstes:** FCM/APNs-Limits - Abhilfe: Implementierung von Anfrage-Warteschlangen; Bündelung von Anfragen; Verwendung mehrerer Service-Konten 4. **WebSocket-Verbindungslimits:** Verbindungslimits pro Server - Abhilfe: Horizontale Skalierung; Verbindungspooling; Lastverteilung über Server hinweg ### Fazit Diese Architektur bietet einen skalierbaren, zuverlässigen und latenzarmen Benachrichtigungsdienst, der 50.000 Anfragen pro Sekunde verarbeiten kann und dabei eine Zustellung von unter 2 Sekunden für 99 % der Benachrichtigungen gewährleistet. Die Verwendung von asynchroner Verarbeitung, Nachrichtenwarteschlangen und Caching sorgt für Leistung und Zuverlässigkeit. Das modulare Design ermöglicht die unabhängige Skalierung von Komponenten je nach Bedarf, und die umfassende Überwachung gewährleistet betriebliche Transparenz. Das System bewältigt Ausfälle dank Wiederholungslogik, Dead Letter Queues und Redundanz und garantiert "mindestens einmalige" semantische Zustellung.