Concevoir un système de notifications en temps réel évolutif

Conception : Système de notification évolutif en temps réel 1. ARCHITECTURE GLOBALE Le système est composé de plusieurs couches distinctes qui travaillent ensemble pour ingérer des événements, les acheminer et les pousser vers les clients connectés avec une latence minimale. Couche Client : Les clients mobiles et web maintiennent des connexions WebSocket persistantes vers une flotte de serveurs Connection Gateway. Chaque client s'authentifie à la connexion et enregistre son ID utilisateur auprès de la passerelle. API Gateway / Répartiteur de charge : Un répartiteur de charge de couche 7 (par exemple, AWS ALB ou NGINX) se trouve devant les Connection Gateways. Il achemine les nouvelles requêtes de mise à niveau WebSocket en utilisant le hachage cohérent sur l'ID utilisateur afin que les reconnexions aient tendance à atterrir sur le même nœud de passerelle, réduisant ainsi le changement d'état. Il expose également un point de terminaison REST pour que les services internes publient des événements. Service de publication d'événements : Les services de plateforme internes (comme le service de commentaires, le service d'amis) publient des événements vers un courtier de messages central. Ils appellent une API de publication légère qui valide la charge utile, l'enrichit de métadonnées (horodatage, ID de notification) et l'écrit dans le courtier. Courtier de messages (Kafka) : Les événements sont écrits dans des sujets Kafka partitionnés par ID utilisateur. Cela garantit une livraison ordonnée par utilisateur et permet la mise à l'échelle horizontale des consommateurs. Le journal durable de Kafka fournit également la capacité de relecture nécessaire aux garanties de livraison au moins une fois. Service de diffusion de notifications (Fanout Service) : Un pool de travailleurs consommateurs sans état lit depuis Kafka. Pour chaque événement, le travailleur recherche les préférences d'abonnement de l'utilisateur cible dans un cache rapide (Redis), détermine quels utilisateurs doivent recevoir la notification, puis achemine le message vers le Connection Gateway correct. Pour les événements à forte diffusion (par exemple, une publication de célébrité), un travail de diffusion asynchrone distinct est déclenché pour éviter de bloquer le chemin critique. Connection Gateway (Serveurs WebSocket) : Ce sont des serveurs avec état qui maintiennent les connexions WebSocket ouvertes. Chaque passerelle conserve une carte en mémoire de l'ID utilisateur vers le handle de connexion. Lorsqu'une notification acheminée arrive (via un canal pub/sub interne comme Redis Pub/Sub ou un appel gRPC direct), la passerelle la pousse via la connexion WebSocket appropriée. Si l'utilisateur n'est pas connecté, la passerelle ignore la poussée et s'appuie sur la couche de persistance pour une livraison ultérieure. Service de présence et de routage : Un cluster Redis stocke une correspondance entre l'ID utilisateur et l'ID du nœud de passerelle avec un court TTL, rafraîchi par des battements de cœur. Le service de diffusion interroge cela pour savoir vers quelle passerelle acheminer une notification. S'il n'y a pas d'entrée, l'utilisateur est hors ligne. Stockage des notifications (Cassandra) : Toutes les notifications générées sont écrites dans Cassandra, indexées par ID utilisateur et triées par horodatage. Cela sert deux objectifs : il alimente l'interface utilisateur de la boîte de réception des notifications (les utilisateurs peuvent remonter dans les notifications passées) et il permet une livraison au moins une fois — lorsqu'un utilisateur se connecte, le client récupère les notifications non lues de ce magasin. Accusé de réception de livraison : Les clients envoient un message ACK sur le WebSocket après avoir reçu une notification. La passerelle écrit cet ACK dans Kafka, et un consommateur marque la notification comme livrée dans Cassandra. Les notifications non acquittées plus anciennes qu'un seuil sont remises en file d'attente pour livraison. 2. CHOIX TECHNOLOGIQUES ET RAISONNEMENT WebSockets sur Long Polling ou SSE : Les WebSockets fournissent des connexions persistantes full-duplex à faible surcharge. Le Long Polling gaspille les ressources du serveur avec des poignées de main HTTP répétées et ajoute de la latence. Les Server-Sent Events (SSE) sont unidirectionnels et moins adaptés au flux ACK. À 1 million de connexions simultanées, les WebSockets sont le choix le plus économe en ressources. Chaque connexion consomme environ 10 à 50 Ko de mémoire, rendant 1 million de connexions réalisables sur une flotte de passerelles de taille modérée. Kafka sur RabbitMQ : Kafka est choisi pour son débit élevé (millions de messages par seconde), son stockage de journal durable, sa sémantique de groupe de consommateurs et sa capacité à rejouer les messages. RabbitMQ est un bon courtier pour les files d'attente de tâches, mais son modèle de messagerie est moins adapté aux modèles de diffusion et de relecture nécessaires ici. Le partitionnement de Kafka par ID utilisateur parallélise également naturellement la consommation. À 10 000 notifications par seconde, Kafka gère cela avec une marge considérable. Redis pour la présence et le Pub/Sub : Redis fournit des lectures en sous-milliseconde pour la recherche de présence (ID utilisateur → ID de nœud de passerelle). Redis Pub/Sub ou Redis Streams peuvent être utilisés pour le canal interne entre le service de diffusion et les passerelles de connexion, ajoutant une latence minimale au chemin de livraison. Cassandra sur MySQL/PostgreSQL : L'historique des notifications est une charge de travail intensive en écriture, en série temporelle, avec une cardinalité élevée (une partition par utilisateur). Le modèle de colonnes larges de Cassandra, sa cohérence réglable et sa scalabilité horizontale linéaire le rendent idéal. Une base de données relationnelle nécessiterait un sharding complexe et aurait du mal avec le débit d'écriture. La cohérence éventuelle de Cassandra est acceptable ici car l'historique des notifications n'est pas un enregistrement transactionnel. Travailleurs de diffusion sans état : Garder les travailleurs de diffusion sans état leur permet de s'adapter horizontalement en ajoutant simplement plus d'instances de consommateurs Kafka au sein du groupe de consommateurs. 3. COMMENT LA CONCEPTION RÉPOND À CHAQUE EXIGENCE Scalabilité (1M d'utilisateurs simultanés, 10K notifications/seconde) : Les Connection Gateways sont évolutifs horizontalement. Un seul serveur moderne peut gérer 50 000 à 100 000 connexions WebSocket, donc 10 à 20 nœuds de passerelle gèrent 1 million d'utilisateurs. Le répartiteur de charge distribue les nouvelles connexions. Les partitions Kafka font évoluer les travailleurs de diffusion. Cassandra évolue en écriture linéairement avec les nœuds. Redis Cluster partitionne les données de présence. Aucun composant unique n'est un goulot d'étranglement. Latence (P99 < 200 ms) : Le chemin critique est le suivant : événement publié → écriture Kafka (~5 ms) → travailleur de diffusion consomme et recherche la présence dans Redis (~5 ms) → achemine vers la passerelle via Redis Pub/Sub ou gRPC (~5 ms) → la passerelle pousse via WebSocket (~10 ms réseau). Le total est bien inférieur à 50 ms dans le cas médian. Le budget P99 de 200 ms prend en compte le décalage du consommateur Kafka en cas de charge de pointe et la gigue du réseau. Maintenir la logique du travailleur de diffusion simple et les recherches Redis mises en cache garantit que le chemin critique reste rapide. Fiabilité (livraison au moins une fois) : Les notifications sont persistées dans Cassandra avant ou simultanément à la tentative de poussée. Si la poussée WebSocket échoue ou si le client n'accuse pas réception, la notification reste à l'état non lu dans Cassandra. Lors de la reconnexion, le client récupère les notifications non lues. L'engagement de l'offset du consommateur Kafka n'est effectué qu'après que le travailleur de diffusion a acheminé avec succès le message, garantissant qu'aucun événement n'est silencieusement abandonné. Cela fournit des sémantiques au moins une fois de bout en bout. Disponibilité (99,95 % de temps de fonctionnement) : Tous les composants sont déployés dans plusieurs zones de disponibilité. Le répartiteur de charge, les courtiers Kafka, les nœuds Redis Cluster, les nœuds Cassandra et les travailleurs de diffusion fonctionnent tous avec une redondance N+1 ou N+2. Les pannes de nœuds de passerelle entraînent la reconnexion des clients (logique de reconnexion WebSocket avec backoff exponentiel) et leur atterrissage sur un nœud sain en quelques secondes. Le facteur de réplication Kafka de 3 garantit que les pannes de courtiers ne causent pas de perte de données. Le facteur de réplication Cassandra de 3 avec des lectures/écritures en quorum tolère les pannes de nœuds. Cette architecture atteint confortablement 99,95 % de temps de fonctionnement. 4. COMPROMIS Complexité vs Simplicité : Cette conception comporte de nombreuses pièces mobiles — Kafka, Redis, Cassandra, passerelles WebSocket, travailleurs de diffusion, service de présence. C'est considérablement plus complexe à exploiter qu'un simple système de sondage ou une configuration à courtier unique. Le compromis est justifié par les exigences d'échelle, mais il exige une pratique DevOps mature, une bonne observabilité (traçage distribué, métriques par composant) et une expertise de garde. Au moins une fois vs Exactement une fois : Une livraison exactement une fois nécessiterait des transactions distribuées entre Kafka, Cassandra et la passerelle, ajoutant une latence et une complexité significatives. La livraison au moins une fois est choisie à la place, ce qui signifie qu'un utilisateur peut occasionnellement voir une notification en double. Ceci est géré côté client en dédupliquant sur l'ID de notification. Pour une notification de réseau social (un like ou un commentaire), un doublon est une gêne mineure pour l'expérience utilisateur, pas un échec critique — un compromis acceptable. Passerelles avec état : Les passerelles WebSocket ont état (elles maintiennent les connexions actives). Cela rend les déploiements progressifs et la récupération après panne légèrement plus complexes qu'un service entièrement sans état. Les clients doivent implémenter une logique de reconnexion. Le compromis est que les passerelles avec état sont nécessaires pour la poussée en temps réel ; il n'y a aucun moyen de pousser vers un client sans connexion persistante. Diffusion au moment de la lecture vs de l'écriture : Cette conception diffuse au moment de l'écriture (le travailleur de diffusion pousse vers la passerelle de chaque destinataire immédiatement). Pour les utilisateurs ayant des millions d'abonnés, cela crée un problème de chemin critique (la publication d'une célébrité déclenche des millions d'opérations de diffusion). L'atténuation consiste à utiliser une file d'attente de travaux de diffusion distincte pour les comptes dépassant un seuil d'abonnés, en les traitant de manière asynchrone. Le compromis est que les utilisateurs à fort nombre d'abonnés peuvent connaître une latence de notification légèrement plus élevée, ce qui est généralement acceptable. Fiabilité de Redis Pub/Sub : Redis Pub/Sub ne persiste pas les messages. Si une passerelle est brièvement déconnectée de Redis lorsqu'un message est publié, elle manque ce message. Ceci est atténué par la couche de persistance Cassandra — le client récupérera la notification lors de la reconnexion — mais cela signifie que la poussée en temps réel est au mieux effort, avec le magasin persistant comme filet de sécurité. L'utilisation de Redis Streams à la place de Pub/Sub ajouterait la persistance au prix d'une complexité légèrement accrue. Coût : L'exploitation de Kafka, Redis Cluster, Cassandra et d'une flotte importante de passerelles WebSocket est coûteuse. Une plateforme plus petite pourrait utiliser un service géré comme AWS SNS/SQS ou Firebase Cloud Messaging pour réduire la charge opérationnelle. À l'échelle décrite (1M d'utilisateurs simultanés), le contrôle et les performances d'une pile personnalisée justifient le coût.

Résumé de haut niveau Je propose une plateforme de notification en temps réel, à faible latence et scalable horizontalement, construite autour de : (1) une infrastructure de périphérie/passerelle pour accepter les événements et les connexions clients, (2) une dorsale pub/sub durable pour acheminer les événements aux abonnés intéressés, (3) des gestionnaires de connexion / workers WebSocket qui maintiennent les connexions clients actives et effectuent le fan-out, et (4) un magasin de présence rapide et un magasin de notifications durable pour la fiabilité et la livraison hors ligne. Le système utilise le partitionnement et la réplication pour atteindre les objectifs de débit et de disponibilité, avec une instrumentation de bout en bout, une gestion de la pression et de l'idempotence pour garantir une livraison au moins une fois et une faible latence. 1) Architecture globale (composants et flux de requêtes) Composants principaux - Passerelle API / Ingress : Accepte les publications d'événements (des services internes) et les mises à niveau de connexion client. Expose des points de terminaison REST/gRPC pour les éditeurs d'événements et gère l'authentification et la limitation de débit. Déployé derrière des équilibreurs de charge globaux et des points de terminaison par région. - Couche de connexion (flux WebSocket / GRPC) : Une flotte de serveurs de connexion sans état (WebSocket/HTTP2 ou gRPC) qui maintiennent des connexions persistantes avec les clients. Ils effectuent un routage léger et la gestion des accusés de réception et transmettent les changements d'abonnement au magasin de présence. - Magasin de présence et de routage : Un magasin clé-valeur à faible latence (cluster Redis) qui suit quels serveurs de connexion hébergent actuellement chaque utilisateur en ligne et à quels sujets ils sont abonnés. Utilisé pour acheminer les notifications vers le bon worker de connexion. - Dorsale Pub/Sub : Un bus de messages durable et partitionné (Kafka ou Apache Pulsar) utilisé pour distribuer les événements des éditeurs aux workers de notification. Les sujets sont partitionnés par clés logiques (ID utilisateur, ID de sujet) pour garantir un traitement ordonné par clé et un débit évolutif. - Service de notification / Pool de workers : Consommateurs du sujet pub/sub qui effectuent l'enrichissement, le filtrage et le routage de la livraison. Les workers interrogent le magasin de présence pour trouver les serveurs de connexion cibles et poussent les tâches de livraison vers des chemins de livraison rapides. - Couche de livraison / Moteur de fan-out : Les serveurs de connexion reçoivent les demandes de livraison (directement ou via RPC rapide) et poussent les notifications via la connexion persistante au client. Ils gèrent le contrôle de flux par connexion, le regroupement et les accusés de réception des clients. - Magasin de notifications durable (NoSQL) : Un magasin répliqué optimisé pour l'écriture (par exemple, Cassandra / DynamoDB) pour persister les notifications pour les utilisateurs hors ligne, les nouvelles tentatives et l'audit. Stocke les charges utiles de notification, les tentatives de livraison, les horodatages, les TTL. - Magasin de déduplication et d'idempotence : Petit magasin clé-valeur (Redis ou RocksDB) pour enregistrer les ID de messages récents pour la déduplication lorsque les sémantiques