앞에서 Circuit Breaker, Retry + TimeLimiter, RateLimiter를 봤다면
Bulkhead는 그 사이에서 조금 덜 화려하지만 운영에서는 꽤 중요한 역할을 한다.

상황은 이런 식이었다.

• 외부 API 하나가 느려짐
• 그 API를 호출하는 요청이 계속 쌓임
• 애플리케이션의 공용 스레드나 커넥션이 같이 묶임
• 결국 관련 없는 기능까지 느려짐

Circuit Breaker가 “이미 나빠진 의존성을 끊는 장치”라면,
Bulkhead는 나쁜 의존성이 잡아먹을 수 있는 자원 자체를 제한하는 장치에 가깝다.

1) 왜 Bulkhead가 필요했는지

문제는 외부 API 장애가 항상 에러로만 오지 않는다는 점이다.

오히려 운영에서 더 무서운 건 “느린 성공”이었다.

1. 외부 API 응답이 200ms에서 3초로 늘어남
2. 우리 API는 계속 기다림
3. 대기 중인 요청이 늘면서 스레드/커넥션 점유 시간이 길어짐
4. 관련 없는 요청까지 영향을 받음

Circuit Breaker가 열리기 전까지는 어느 정도 호출이 흘러간다.
Retry가 붙어 있으면 호출 수가 더 늘 수도 있다.

그래서 외부 API별로 “이 의존성이 동시에 가져갈 수 있는 최대 자원”을 먼저 정해두는 게 필요했다.

2) Bulkhead는 무엇을 막는가

Bulkhead는 선박의 격벽에서 나온 패턴이다.
한 구역에 물이 들어와도 배 전체가 바로 가라앉지 않도록 구역을 나누는 구조다.

애플리케이션에서는 이렇게 해석했다.

• 결제 API가 느려져도 상품 조회 스레드까지 잡아먹지 않게 한다
• 알림 API가 막혀도 주문 생성 요청이 같이 밀리지 않게 한다
• 특정 파트너 API가 포화돼도 전체 요청 처리량을 보호한다

즉 Bulkhead의 핵심은 “성공률을 높이는 것”이 아니라,
장애 영향 반경을 작게 유지하는 것이다.

3) SemaphoreBulkhead와 ThreadPoolBulkhead

Resilience4j에는 크게 두 가지 방식이 있다.

• SemaphoreBulkhead: 현재 실행 흐름은 유지하고 동시 실행 수만 제한
• ThreadPoolBulkhead: 별도 thread pool과 bounded queue로 실행 영역을 분리

둘의 차이를 간단히 잡으면 이렇다.

내 기준은 이랬다.

• 이미 비동기/논블로킹 모델이고 동시성만 제한하면 되면 SemaphoreBulkhead
• 블로킹 외부 API 호출을 별도 풀로 격리해야 하면 ThreadPoolBulkhead

Spring Cloud CircuitBreaker Resilience4j를 같이 쓰는 경우에는 기본 동작과 적용 범위를 꼭 확인해야 한다.
resilience4j-bulkhead가 classpath에 있으면 메서드가 Bulkhead로 감싸질 수 있고, 기본 Bulkhead 타입도 설정에 따라 달라진다.

4) 설정은 작게 시작하는 게 낫다

Semaphore 방식은 아래처럼 시작했다.

resilience4j:
  bulkhead:
    instances:
      partnerApi:
        maxConcurrentCalls: 20
        maxWaitDuration: 0

여기서 maxWaitDuration: 0은 permit이 없으면 기다리지 않고 바로 거절한다는 의미로 잡았다.
운영에서는 대기열을 길게 두는 것보다 빠르게 거절하고 fallback/에러 응답으로 전환하는 쪽이 더 해석하기 쉬웠다.

ThreadPool 방식은 별도 설정을 쓴다.

resilience4j:
  thread-pool-bulkhead:
    instances:
      partnerApi:
        coreThreadPoolSize: 8
        maxThreadPoolSize: 16
        queueCapacity: 20
        keepAliveDuration: 20ms

중요한 건 두 설정이 서로 대체 관계가 아니라는 점이다.

• resilience4j.bulkhead는 SemaphoreBulkhead 설정
• resilience4j.thread-pool-bulkhead는 ThreadPoolBulkhead 설정

maxConcurrentCalls를 ThreadPoolBulkhead에 넣어놓고 왜 안 먹는지 찾는 식의 실수가 생기기 쉽다.

5) 코드에서는 BulkheadFullException을 정상적인 운영 분기로 본다

annotation 방식은 읽기 쉽다.

@Service
public class PartnerStockClient {

    private final ExternalPartnerClient externalPartnerClient;

    public PartnerStockClient(ExternalPartnerClient externalPartnerClient) {
        this.externalPartnerClient = externalPartnerClient;
    }

    @Bulkhead(name = "partnerApi", fallbackMethod = "getStockFallback")
    public StockResponse getStock(String sku) {
        return externalPartnerClient.getStock(sku);
    }

    private StockResponse getStockFallback(String sku, Throwable throwable) {
        if (throwable instanceof BulkheadFullException) {
            return StockResponse.temporarilyUnavailable(sku);
        }

        return StockResponse.fallback(sku);
    }
}

여기서 핵심은 BulkheadFullException을 “예상 못한 예외”처럼 다루지 않는 것이다.

Bulkhead가 꽉 찼다는 건 설정이 의도대로 동작해서 더 큰 장애를 막았다는 뜻이기도 하다.
그래서 로그 레벨, 알람 기준, 사용자 응답을 별도로 잡아야 한다.

예를 들어:

• 사용자에게는 “일시적으로 조회할 수 없음”을 명확히 반환
• 운영 로그에는 bulkhead 이름과 요청 키를 남김
• 알람은 단건 예외가 아니라 거절률 기준으로 발송

이렇게 해야 Bulkhead가 장애를 숨기는 장치가 아니라, 장애 범위를 제한하는 장치로 남는다.

6) 조합 순서가 중요하다

Bulkhead를 단독으로 쓰는 경우보다 다른 Resilience4j 모듈과 같이 쓰는 경우가 많다.

내가 운영 관점에서 잡은 기본 순서는 이랬다.

1. Bulkhead로 동시에 들어갈 수 있는 호출 수를 먼저 제한
2. TimeLimiter로 각 호출의 최대 대기 시간을 제한
3. Retry는 제한된 실패에만 아주 작게 허용
4. Circuit Breaker로 실패율/느린 호출 비율이 높아지면 차단

정답 순서라기보다 “자원 보호를 먼저 생각하는 순서”다.

특히 Retry를 Bulkhead 바깥에서 크게 걸면, Bulkhead가 거절한 호출을 계속 재시도하면서 다시 포화를 만들 수 있다.
그래서 retry 대상 예외에서 BulkheadFullException을 제외하거나, 아주 제한적으로만 다뤄야 한다.

7) 관측은 permit, queue, rejection을 같이 본다

SemaphoreBulkhead에서는 최소한 아래 지표를 본다.

• resilience4j.bulkhead.available.concurrent.calls
• resilience4j.bulkhead.max.allowed.concurrent.calls
• bulkhead 거절 횟수/비율
• 호출 latency p95/p99

ThreadPoolBulkhead에서는 여기에 queue와 thread pool 지표가 추가된다.

• resilience4j.bulkhead.queue.depth
• resilience4j.bulkhead.queue.capacity
• resilience4j.bulkhead.thread.pool.size
• resilience4j.bulkhead.core.thread.pool.size
• resilience4j.bulkhead.max.thread.pool.size

여기서 내가 가장 먼저 보는 건 queue depth였다.

queue가 계속 차오르는데 에러율이 낮으면 겉으로는 안정적으로 보일 수 있다.
하지만 실제로는 장애를 queue에 숨기고 있는 상태일 수 있다.

그래서 ThreadPoolBulkhead를 쓸 때는 queue를 크게 잡지 않았다.
queue는 순간 피크를 흡수하는 용도이지, 다운스트림 장애를 오래 버티는 버퍼가 아니라고 봤다.

8) 값은 어떻게 잡았나

처음부터 복잡하게 계산하지 않았다.
대신 아래 기준으로 작게 시작했다.

SemaphoreBulkhead

• 외부 API별 정상 p95 latency 확인
• 해당 API가 동시에 가져가도 되는 최대 요청 수 산정
• maxWaitDuration은 0 또는 아주 짧게 시작
• 거절률과 사용자 영향도를 보고 점진 조정

ThreadPoolBulkhead

• 블로킹 I/O 전용 pool을 작게 분리
• queueCapacity는 작게 시작
• pool size보다 queue 증가가 먼저 보이면 다운스트림 지연으로 판단
• pool을 늘리기 전에 timeout과 circuit 상태를 먼저 확인

여기서 주의할 점은 thread pool을 키우는 게 항상 해결책은 아니라는 것이다.

외부 API가 느린데 pool만 키우면 더 많은 요청이 동시에 외부 API로 몰린다.
그 결과 다운스트림을 더 압박하고, 우리 쪽 메모리/스레드 사용량도 같이 올라간다.

9) 롤아웃 체크리스트

Bulkhead는 설정값 하나로 끝내기보다 아래 순서로 붙이는 게 안전했다.

1. 보호할 외부 의존성 목록을 먼저 정한다
2. 의존성별 timeout, retry, circuit breaker 설정을 같이 확인한다
3. Semaphore/ThreadPool 중 어떤 격리가 필요한지 결정한다
4. rejection/fallback 응답을 사용자 관점에서 정의한다
5. permit, queue, rejection, latency 지표를 먼저 대시보드에 올린다
6. canary로 일부 트래픽에만 적용한다
7. 거절률이 정상적인 보호 신호인지, 과도한 사용자 영향인지 구분한다

특히 Bulkhead를 붙인 직후에는 에러가 “늘어난 것처럼” 보일 수 있다.

하지만 그 에러가 기존에는 긴 대기와 전체 지연으로 숨어 있었을 가능성이 있다.
그래서 단순 에러 수보다 p95/p99 latency, thread pool 사용량, 다른 기능 영향도를 같이 봐야 한다.

10) 자주 헷갈렸던 포인트

Q. Circuit Breaker가 있으면 Bulkhead는 없어도 되나?

아니다. Circuit Breaker는 실패율이나 느린 호출 비율을 보고 상태를 바꾼다.
그 판단이 일어나기 전까지 이미 많은 호출이 자원을 점유할 수 있다.

Bulkhead는 그 전에 “이 의존성이 가져갈 수 있는 자원”을 제한한다.

Q. queueCapacity를 크게 잡으면 더 안전한가?

대부분은 아니다.
queue가 크면 순간 피크는 흡수하지만, 다운스트림 장애를 늦게 드러내고 tail latency를 키울 수 있다.

Q. BulkheadFullException은 장애인가?

사용자 관점에서는 실패지만, 시스템 관점에서는 보호 동작이다.
그래서 단건 예외 알림보다 비율 기반 알람이 더 낫다.

Q. WebFlux에서도 ThreadPoolBulkhead가 필요한가?

항상 필요한 건 아니다.
논블로킹 호출이면 SemaphoreBulkhead로 동시성만 제한하는 쪽이 단순하다.
다만 어쩔 수 없이 블로킹 라이브러리를 호출한다면 별도 scheduler나 thread pool 격리를 같이 검토해야 한다.

정리하면 Bulkhead는 장애를 없애는 기능이 아니라,
장애가 가져갈 수 있는 자원을 제한하는 기능이다.

Circuit Breaker가 장애 전파를 끊고,
Retry + TimeLimiter가 일시 장애와 지연을 제어한다면,
Bulkhead는 그 모든 호출이 사용할 수 있는 실행 공간을 먼저 나눈다.

운영에서는 이 차이가 꽤 컸다.

외부 API 하나가 느려졌을 때 전체 서비스가 같이 느려지는지,
아니면 해당 기능만 제한적으로 실패하고 나머지는 살아남는지의 차이를 만들기 때문이다.

References

• Resilience4j Bulkhead Guide: https://resilience4j.readme.io/docs/bulkhead
• Resilience4j Micrometer Guide: https://resilience4j.readme.io/docs/micrometer
• Spring Cloud CircuitBreaker Bulkhead Pattern: https://docs.spring.io/spring-cloud-circuitbreaker/reference/spring-cloud-circuitbreaker-resilience4j/bulkhead-pattern-supporting.html
• Spring Cloud CircuitBreaker Bulkhead Properties: https://docs.spring.io/spring-cloud-circuitbreaker/reference/spring-cloud-circuitbreaker-resilience4j/bulkhead-properties-configuration.html

상황은 비슷했다.

• 다운스트림 API가 간헐적으로 timeout
• 한 번 실패했다고 바로 장애로 볼 정도는 아님
• 그런데 retry를 크게 걸면 호출 수만 늘어나서 장애가 더 커짐

그래서 Retry만 따로 쓰지 않고,
TimeLimiter + 예외 정책 + 관측을 같이 묶어서 적용했다.

1) 왜 Retry만 단독으로 붙이면 위험한가

문제는 retry 자체가 아니다.
느린 호출에 retry를 겹치면, 복구보다 증폭이 먼저 온다는 점이다.

운영에서 실제로 보인 흐름은 이랬다.

1. 다운스트림 지연/timeout 증가
2. 우리 쪽 대기 시간이 길어짐
3. 같은 요청에 재시도까지 붙으면서 총 호출 수 증가
4. 지연과 에러가 같이 커짐

즉 retry는 보호막이 될 수도 있지만, 설정을 잘못 잡으면 트래픽 증폭기가 되기도 한다.

2) 내가 잡은 기본 원칙: 시도마다 timeout 상한을 먼저 둔다

내 기준은 단순했다.

• 각 시도마다 timeoutDuration으로 상한 시간을 먼저 고정
• retry는 정말 재시도할 가치가 있는 실패에만 제한적으로 허용
• 전체 요청 지연이 SLO budget을 넘지 않게 계산

여기서 중요한 건 attempt 단위 timeout이다.
timeout 없이 retry만 있으면, 느린 호출이 길게 붙잡힌 뒤 다시 재시도되면서 전체 응답 시간이 쉽게 무너진다.

예를 들어:

• maxAttempts: 3
• waitDuration: 200ms
• timeoutDuration: 800ms

이 설정이면 최악 지연은 대략 800 * 3 + 200 * 2 = 2.8s까지 갈 수 있다.
숫자만 보면 작아 보여도, API SLO가 1초대면 이미 예산을 넘긴다.

3) 설정은 먼저 보수적으로 시작했다

application.yml 예시는 아래처럼 시작했다.

resilience4j:
  retry:
    instances:
      partnerApi:
        maxAttempts: 3
        waitDuration: 200ms
        retryExceptions:
          - java.net.SocketTimeoutException
          - java.io.IOException
          - java.util.concurrent.TimeoutException
        ignoreExceptions:
          - com.example.api.ValidationException
          - org.springframework.web.client.HttpClientErrorException$BadRequest

  timelimiter:
    instances:
      partnerApi:
        timeoutDuration: 800ms
        cancelRunningFuture: true

포인트는 이 정도였다.

• maxAttempts는 보통 2 또는 3부터 시작
• waitDuration은 짧게 두고, 필요하면 backoff로 확장
• ignoreExceptions로 4xx/비즈니스 오류는 fail-fast
• cancelRunningFuture: true로 timeout 이후 남는 작업을 최대한 줄임

코드 예시는 TimeLimiter 때문에 CompletableFuture 반환으로 잡았다.

@Service
public class PartnerOrderClient {

    private final Executor ioExecutor;
    private final ExternalPartnerClient externalPartnerClient;

    public PartnerOrderClient(@Qualifier("partnerIoExecutor") Executor ioExecutor,
                              ExternalPartnerClient externalPartnerClient) {
        this.ioExecutor = ioExecutor;
        this.externalPartnerClient = externalPartnerClient;
    }

    @Retry(name = "partnerApi", fallbackMethod = "getOrderFallback")
    @TimeLimiter(name = "partnerApi")
    public CompletableFuture<OrderResponse> getOrder(String orderId) {
        return CompletableFuture.supplyAsync(
                () -> externalPartnerClient.getOrder(orderId),
                ioExecutor
        );
    }

    private CompletableFuture<OrderResponse> getOrderFallback(String orderId, Throwable t) {
        return CompletableFuture.completedFuture(OrderResponse.fallback(orderId));
    }
}

여기서 한 가지는 꼭 기억해야 한다.
Spring annotation 방식을 쓰면 aspect order 영향을 받는다.

기본적으로 Retry가 바깥에서 감싸기 때문에,
각 retry attempt가 안쪽 TimeLimiter 제한을 받는 구조로 이해하면 된다.

기본 순서가 애매하거나 조합을 더 세밀하게 제어하고 싶으면, annotation보다 decorator 방식이 덜 헷갈린다.

4) 어떤 실패만 retry 대상으로 둘지 먼저 고정해야 한다

운영에서 기준은 아주 보수적으로 잡는 게 낫다.

retry 후보:

• 네트워크 timeout
• 다운스트림 일시적 5xx
• connection reset 같은 일시 장애

fail-fast 후보:

• validation/business 오류(주로 4xx)
• idempotency key 없는 쓰기 요청
• 원인이 명확한 애플리케이션 예외

여기서 제일 많이 실수하는 게 쓰기 요청이다.

• 조회성 GET
• 멱등성이 보장된 PUT
• idempotency key가 있는 결제/주문 요청

이 정도가 아니면 retry는 더 조심해야 한다.
POST를 아무 생각 없이 재시도하면 중복 처리 사고로 바로 이어질 수 있다.

5) 설정보다 더 중요한 건 관측이다

Retry를 붙인 뒤 최소로 본 건 4가지였다.

• retry 후 성공 비율
• timeout 비율
• fallback 비율
• 전체 응답 지연(p95/p99)

여기서 중요한 건 “retry 성공이 많다 = 좋은 설정”이 아니라는 점이다.
retry 후 성공이 늘어도 timeout 비율이나 전체 latency가 같이 올라가면,
실제로는 장애를 길게 끌고 있을 가능성이 크다.

내가 본 기준은 이랬다.

• retry 성공 비율은 오르는데 p95가 같이 튄다 -> wait/attempt 과다 가능성
• timeout 비율이 빠르게 늘어난다 -> 다운스트림 자체 문제 먼저 확인
• fallback 비율이 높다 -> 사용자 영향 범위를 같이 점검
• 배포 직후 retry 호출 수가 급증한다 -> 즉시 canary 범위 재검토

관측 없이 retry를 켜면 “실패가 줄어든 것처럼 보이는 착시”가 자주 생긴다.

6) 롤아웃은 체크리스트를 고정해두는 게 낫다

나는 순서를 거의 고정했다.

1. idempotency 먼저 확인
2. retry/ignore exception 정책 확정
3. 메트릭과 알람부터 붙임
4. canary로 일부 트래픽만 적용
5. 이상 없을 때만 점진 확대

특히 maxAttempts와 timeoutDuration은
SLO budget 안에 들어오는지 먼저 계산해두는 게 좋다.

retry는 실패를 가리는 기능이 아니라,
일시 장애를 작은 비용으로 넘기는 기능이어야 한다.

7) 자주 헷갈렸던 포인트

Q. timeout을 늘리면 retry는 줄여야 하나?

대부분은 그렇다.
전체 지연 예산은 한정돼 있으니, 한쪽을 늘리면 다른 쪽은 줄이는 게 맞다.

Q. fallback이 있으면 성공으로 봐도 되나?

아니다. fallback은 대체 응답이지, 원래 호출이 건강했다는 뜻은 아니다.
운영 지표에서도 fallback 비율은 따로 봐야 한다.

Q. retry에 exponential backoff를 바로 넣는 게 좋나?

바로 넣기보다, 먼저 fixed wait로 작게 시작하는 쪽이 해석이 쉽다.
장애 패턴이 확인된 뒤에 backoff/jitter를 추가하는 게 운영에서 덜 꼬였다.

Q. 쓰기 요청에도 retry를 걸 수 있나?

가능은 하지만, 멱등성 보장 전략이 먼저다.
idempotency key나 중복 방지 설계 없이는 매우 조심해야 한다.

정리하면 Retry는 “한 번 더 시도해주는 친절한 옵션”이 아니라,

• timeout 상한을 먼저 두고
• retry할 실패를 좁게 고르고
• 관측과 롤아웃까지 같이 설계해야 하는

운영 장치에 가깝다.

특히 Retry + TimeLimiter를 같이 보면
“실패를 조금 덜 보이게 만드는 설정”이 아니라,
전체 지연과 호출 증폭을 통제하는 설정으로 보게 된다.

References

• Resilience4j Retry Guide: https://resilience4j.readme.io/docs/retry
• Resilience4j TimeLimiter Guide: https://resilience4j.readme.io/docs/timeout
• Resilience4j Spring Boot Getting Started: https://resilience4j.readme.io/v2.0.0/docs/getting-started-3
• Spring Boot Actuator Metrics: https://docs.spring.io/spring-boot/reference/actuator/metrics.html

요구사항은 단순했다.

• Kafka 메시지를 consumer에서 읽어서 비즈니스 처리
• 다운스트림 제약 때문에 처리 속도는 초당 1건으로 고정
• 과속 처리로 장애 전파가 나지 않게 제어

핵심은 producer를 막는 게 아니라, consumer 처리 속도를 의도적으로 제한하는 쪽이었다.

1) 전체 흐름부터 보면 쉽다

흐름은 아래처럼 잡았다.

1. poll로 레코드 1건 수신
2. RateLimiter permit 획득 시도
3. permit이 있으면 비즈니스 처리
4. 정상 처리 후 ack(오프셋 커밋)

여기서 중요한 건, permit을 못 받았는데 ack를 해버리면 메시지를 잃을 수 있다는 점이다.

2) 설정은 먼저 보수적으로 시작했다

application.yml 예시는 아래처럼 시작했다.

spring:
  kafka:
    listener:
      ack-mode: manual
      concurrency: 1
    consumer:
      max-poll-records: 1

resilience4j:
  ratelimiter:
    instances:
      kafkaWorker:
        limitForPeriod: 1
        limitRefreshPeriod: 1s
        timeoutDuration: 0

설정 포인트:

• limitForPeriod: 1 + limitRefreshPeriod: 1s -> 초당 1 permit
• timeoutDuration: 0 -> permit 없으면 즉시 실패 처리
• concurrency: 1, max-poll-records: 1 -> burst를 먼저 차단

인스턴스가 여러 개인 경우엔 전체 처리량이 합산되니, 인스턴스 수까지 포함해서 총량 계산을 먼저 해야 한다.

3) Consumer 코드 예시

아래 코드는 Spring Kafka listener에서 permit을 먼저 확인한 다음 처리/ack를 분기하는 패턴이다.

@Service
public class BillingConsumer {

    private final RateLimiter rateLimiter;
    private final BillingService billingService;

    public BillingConsumer(RateLimiterRegistry registry, BillingService billingService) {
        this.rateLimiter = registry.rateLimiter("kafkaWorker");
        this.billingService = billingService;
    }

    @KafkaListener(topics = "billing-events", groupId = "billing-worker")
    public void consume(ConsumerRecord<String, BillingEvent> record,
                        Acknowledgment ack) {

        boolean permitted = rateLimiter.acquirePermission();
        if (!permitted) {
            // permit 미획득: ack하지 않고 예외를 던져 재시도/백오프 경로로 보냄
            throw new IllegalStateException("rate limit exceeded");
        }

        billingService.process(record.value());
        ack.acknowledge();
    }
}

여기서 재시도 전략은 listener container의 error handler(DefaultErrorHandler, backoff, DLT 등)와 같이 설계해야 한다.

4) 운영에서 진짜 봐야 하는 지표

내가 최소로 본 건 3개였다.

• 실제 처리 TPS(정말 1 근처로 유지되는지)
• consumer lag(지속 증가하는지)
• permit 미획득 비율(거부가 과도한지)

TPS만 보면 놓치는 게 많다. lag가 천천히 쌓이면 나중에 한 번에 터지기 때문에, lag 추세를 같이 봐야 한다.

5) 롤아웃은 한 번에 하지 않았다

안전하게 적용하려고 순서를 고정했다.

1. 현재 TPS/lag baseline 먼저 확보
2. 일부 consumer(canary)만 적용
3. 24시간 이상 지표 관찰
4. 이상 없으면 점진 확대
5. 알람 임계치 + 장애 runbook 확정

메시지 처리 계열은 작은 설정 하나가 누적 지연으로 바로 연결되기 때문에, canary 없이 한 번에 여는 건 피하는 게 낫다.

6) 자주 헷갈렸던 포인트

Q. @KafkaListener concurrency가 2 이상이면?

전체 처리량이 늘어난다. 초당 1건 요구가 전체 기준인지, 인스턴스/스레드 기준인지 먼저 정의해야 한다.

Q. permit 미획득 시 sleep으로 기다리면 안 되나?

가능은 하지만, listener 스레드를 오래 묶는 방식은 운영에서 병목 원인이 되기 쉽다. 그래서 나는 timeoutDuration: 0으로 즉시 실패시키고, 재시도/백오프 경로에서 제어하는 쪽을 택했다.

Q. lag가 계속 오르면 limit을 올려야 하나?

먼저 처리 로직 지연(외부 API, DB, 락 경합)부터 확인했다. 무작정 limit만 올리면 다운스트림 장애를 다시 키울 수 있다.

정리하면 이 케이스의 핵심은 이것 하나였다.

“consumer 속도를 제어해서 시스템 전체를 안정적으로 운영한다.”

RateLimiter는 단순한 성능 옵션이 아니라, 메시지 처리 안정성을 지키는 운영 장치에 가깝다.

References

• Resilience4j RateLimiter Guide: https://resilience4j.readme.io/docs/ratelimiter
• Resilience4j Spring Boot 3 Guide: https://resilience4j.readme.io/docs/getting-started-3
• Spring for Apache Kafka Reference: https://docs.spring.io/spring-kafka/reference/
• Spring Kafka Message Listener Containers: https://docs.spring.io/spring-kafka/reference/kafka/receiving-messages/message-listener-container.html

상황은 단순했다.

• 외부 API가 간헐적으로 느려지거나 timeout
• 우리 API 스레드가 기다리다가 묶임
• 지연이 누적되면서 5xx가 같이 증가

그래서 Resilience4j를 넣었고, 운영에서 급할 때는 Circuit을 강제로 열고/닫을 수 있게
Spring Cloud 기반 제어를 같이 붙였다.

1) 왜 Circuit Breaker가 필요했는지

Circuit 없을 때는 장애가 아래처럼 번졌다.

1. 다운스트림 timeout 증가
2. 업스트림 대기 스레드 누적
3. 전체 응답 지연 + 에러율 상승

핵심은 “느린 외부 의존성 하나”가 전체 서비스 품질을 같이 끌어내린다는 점이었다.

2) 적용 스택

• spring-cloud-starter-circuitbreaker-resilience4j
• spring-boot-starter-actuator
• spring-cloud-starter-config (운영 제어용)

이 조합으로,

• 코드 호출은 Spring Cloud CircuitBreaker API로 감싸고
• 실제 상태 관리는 Resilience4j가 담당하고
• 강제 OPEN/CLOSE는 Spring Cloud Config 값으로 제어했다.

여기서 많이 헷갈리는 포인트가 하나 있다.

• Spring Cloud는 Circuit/Config를 위한 추상화 + 연동 레이어
• 운영 화면(UI)은 기본 제공이 아니라 보통 Grafana/Spring Boot Admin/사내 도구로 구성

즉 Spring Cloud를 붙였다고 Circuit 전용 웹 콘솔이 자동으로 생기진 않는다.

3) 기본 설정값 (실무에서 많이 쓰는 시작점)

resilience4j:
  circuitbreaker:
    instances:
      orderApi:
        registerHealthIndicator: true
        slidingWindowType: COUNT_BASED
        slidingWindowSize: 50
        minimumNumberOfCalls: 20
        failureRateThreshold: 50
        slowCallRateThreshold: 60
        slowCallDurationThreshold: 2s
        waitDurationInOpenState: 30s
        permittedNumberOfCallsInHalfOpenState: 10
        automaticTransitionFromOpenToHalfOpenEnabled: true

management:
  endpoints:
    web:
      exposure:
        include: health,info,prometheus,refresh,busrefresh

이 값은 정답이 아니라 시작점이다.
중요한 건 운영 지표 보면서 계속 튜닝하는 거다.

4) 실제 호출 코드 예시

@Service
@RequiredArgsConstructor
public class OrderGateway {

    private final CircuitBreakerFactory<?, ?> circuitBreakerFactory;
    private final RestClient orderClient;

    public OrderResponse getOrder(String orderId) {
        CircuitBreaker cb = circuitBreakerFactory.create("orderApi");

        return cb.run(
                () -> orderClient.get()
                        .uri("/external/orders/{id}", orderId)
                        .retrieve()
                        .body(OrderResponse.class),
                throwable -> OrderResponse.fallback(orderId)
        );
    }
}

여기서 포인트는 fallback을 “무조건 성공처럼” 만들지 않는 거다.
프론트/클라이언트가 fallback 응답임을 구분할 수 있게 설계해야 운영에서 덜 꼬인다.

fallbackMethod 방식도 같이 쓴다

팀/코드베이스에 따라 annotation 방식이 더 읽기 쉬울 때가 있다.

@Service
public class OrderQueryService {

    private final ExternalOrderClient externalOrderClient;

    public OrderQueryService(ExternalOrderClient externalOrderClient) {
        this.externalOrderClient = externalOrderClient;
    }

    @io.github.resilience4j.circuitbreaker.annotation.CircuitBreaker(
            name = "orderApi",
            fallbackMethod = "getOrderFallback"
    )
    public OrderResponse getOrder(String orderId) {
        return externalOrderClient.getOrder(orderId);
    }

    private OrderResponse getOrderFallback(String orderId, Throwable t) {
        return OrderResponse.fallback(orderId);
    }
}

정리하면 둘 다 가능하다.

• Spring Cloud CircuitBreaker cb.run(..., fallback) 함수형 방식
• Resilience4j annotation + fallbackMethod 방식

5) Circuit 상태 이해 (운영 기준)

• CLOSED: 정상 호출 + 통계 수집
• OPEN: fail-fast, 다운스트림 호출 차단
• HALF_OPEN: 제한된 probe 호출로 복구 여부 확인

그리고 운영 제어용으로 FORCED_OPEN, FORCED_CLOSED를 사용했다.

6) 강제 OPEN/CLOSE 제어를 Spring Cloud로 붙인 방식

요구사항이 이거였다.

• 장애 대응 중 운영자가 circuit을 강제로 열거나 닫을 수 있어야 함
• 재배포 없이 반영돼야 함

그래서 아래 흐름으로 구성했다.

1. Spring Cloud Config 저장소에 모드 값 관리
2. 운영자가 값 변경 (AUTO, FORCED_OPEN, FORCED_CLOSED)
3. /actuator/refresh (단일 인스턴스) 또는 /actuator/busrefresh (다중 인스턴스) 호출
4. 앱이 갱신된 모드를 읽고 Circuit 상태 전환

여기서 /actuator는 Prometheus 전용 경로가 아니다.
Actuator 관리 엔드포인트 공통 베이스 경로이고, prometheus, health, refresh 등이 그 아래에 붙는다.

예시:

# single instance refresh
curl -X POST http://127.0.0.1:18081/actuator/refresh

# multi instance refresh (Spring Cloud Bus)
curl -X POST http://127.0.0.1:18081/actuator/busrefresh

운영에서는 이 엔드포인트를 외부 공개하지 않고, 내부망 + 인증으로 제한하는 걸 전제로 사용했다.

운영 모드 프로퍼티

ops:
  circuit:
    order-api:
      mode: AUTO # AUTO | FORCED_OPEN | FORCED_CLOSED

RefreshScope + 상태 동기화 코드

@Getter
@Setter
@RefreshScope
@Component
@ConfigurationProperties(prefix = "ops.circuit.order-api")
public class CircuitControlProperties {
    private Mode mode = Mode.AUTO;

    public enum Mode {
        AUTO,
        FORCED_OPEN,
        FORCED_CLOSED
    }
}

@Service
@RequiredArgsConstructor
public class CircuitStateSynchronizer {

    private final CircuitBreakerRegistry registry;
    private final CircuitControlProperties properties;

    @Scheduled(fixedDelayString = "${ops.circuit.sync-delay-ms:3000}")
    public void syncState() {
        io.github.resilience4j.circuitbreaker.CircuitBreaker cb =
                registry.circuitBreaker("orderApi");

        switch (properties.getMode()) {
            case FORCED_OPEN -> cb.transitionToForcedOpenState();
            case FORCED_CLOSED -> cb.transitionToClosedState();
            case AUTO -> cb.reset();
        }
    }
}

FORCED_CLOSED는 보호막을 우회하는 동작이라 진짜 짧게만 써야 한다.
장애 대응에선 보통 FORCED_OPEN이 더 자주 필요했다.

7) 운영에서 실제로 본 지표

• circuit state 전환 빈도
• fallback 비율
• 실패/느린 호출 비율

이 지표를 안 보면 “설정 넣었으니 끝”이 되는데,
실제로는 상태 전환 패턴을 보고 threshold를 계속 조정해야 한다.

8) 롤아웃할 때 체크한 순서

1. 관측부터 붙이고(상태/실패/느린 호출)
2. fallback 응답 품질 검증하고
3. 온콜 runbook 정리하고
4. 강제 제어 모드(OPEN/CLOSED)까지 운영 절차에 포함

정리하면 Circuit Breaker는 라이브러리 하나 추가하는 작업이 아니라,

• 장애 전파를 끊는 런타임 장치
• 운영자가 제어할 수 있는 대응 장치

이 두 개를 같이 만드는 작업이었다.

특히 Spring Cloud Config + refresh로 강제 상태 제어를 붙여두면,
긴급 대응 속도가 확실히 빨라진다.

References

• Spring Cloud Circuit Breaker Reference: https://docs.spring.io/spring-cloud-circuitbreaker/reference/
• Resilience4j CircuitBreaker Guide: https://resilience4j.readme.io/docs/circuitbreaker
• Spring Cloud Config Reference: https://docs.spring.io/spring-cloud-config/docs/current/reference/html/
• Spring Cloud Commons Refresh Scope: https://docs.spring.io/spring-cloud-commons/reference/spring-cloud-commons/application-context-services.html#refresh-scope
• Spring Boot Actuator Endpoints: https://docs.spring.io/spring-boot/reference/actuator/endpoints.html

• 알람은 많이 오는데 뭐가 진짜 급한지 모르겠고
• 팀마다 “이 정도면 괜찮다” 기준이 다르고
• 배포 멈출지 계속 갈지 결정이 감으로 흘러간다

여기서 기준선을 잡아주는 게 SLO/SLI/Error Budget이다.

이번 글은 이론 설명보다, 운영에서 바로 적용 가능한 형태로 정리했다.

1) 용어부터 딱 맞춰두기

• SLI (Service Level Indicator): 측정값
  • 예: 요청 성공 비율, p95 지연 시간
• SLO (Service Level Objective): 목표값
  • 예: 30일 기준 가용성 99.9%
• Error Budget: 목표를 기준으로 허용 가능한 실패량
  • 수식: 1 - SLO

핵심은 단순하다.
측정(SLI) -> 목표(SLO) -> 허용 실패량(Error Budget) 순서다.

2) 숫자로 보면 훨씬 명확해진다

예시(계산 예시):

• SLO: 30일 가용성 99.9%
• 허용 에러율: 1 - 0.999 = 0.001 (0.1%)
• 30일 총 분: 30 * 24 * 60 = 43,200분
• 허용 장애 시간(완전 장애 기준): 43,200 * 0.001 = 43.2분

즉 30일 동안 완전 다운 시간이 약 43.2분을 넘기면 이 SLO는 깨진다.

3) SLI는 식을 먼저 확정해야 한다

SLI가 애매하면 SLO도 애매해진다.
그래서 분자/분모를 코드 리뷰 가능한 수준으로 명확히 정의하는 게 중요하다.

예시(요청 기반 가용성 SLI):

SLI = successful_requests / total_requests

Spring + Prometheus 환경에서 자주 쓰는 형태는 아래다.

sum(rate(http_server_requests_seconds_count{status!~"5.."}[5m]))
/
sum(rate(http_server_requests_seconds_count[5m]))

주의할 점:

• 4xx를 실패로 볼지 말지는 서비스 정책에 따라 다름
• 중요한 건 팀 내에서 정의를 고정하고 계속 유지하는 것

4) Burn Rate를 붙이면 알람 품질이 달라진다

Error Budget을 “얼마나 남았는지”만 보면 늦을 때가 있다.
그래서 운영에서는 “얼마나 빨리 타고 있는지”를 같이 본다.

burn_rate 기본식:

burn_rate = current_error_rate / allowed_error_rate

예시:

• 허용 에러율 0.1% (0.001)
• 현재 에러율 1% (0.01)
• burn_rate = 0.01 / 0.001 = 10

burn_rate > 1이면 예산을 계획보다 빠르게 소모 중이라는 뜻이다.

5) 알람은 멀티 윈도우로 가는 게 안정적이다

짧은 윈도우만 보면 스파이크 노이즈에 취약하고,
긴 윈도우만 보면 감지가 늦다.

그래서 실무에선 짧은/긴 윈도우를 같이 본다.

예시(개념 예시):

• short window: 5분 burn rate
• long window: 1시간 burn rate
• 두 조건이 같이 나쁠 때 페이지 알람 발송

PromQL 예시(99.9% SLO, 허용 에러율 0.001 가정):

(
  sum(rate(http_server_requests_seconds_count{status=~"5.."}[5m]))
  /
  sum(rate(http_server_requests_seconds_count[5m]))
) / 0.001

운영에서는 보통 이 값을 recording rule로 저장하고 alert rule에서 재사용한다.

6) Grafana 대시보드는 이 3개가 핵심이다

• 현재 SLI 추세
• Burn rate(short/long)
• Error budget remaining

처음부터 패널을 많이 만들기보다,
온콜 상황에서 바로 의사결정 가능한 화면부터 만드는 게 낫다.

7) 배포/운영 의사결정에 연결해야 의미가 있다

SLO를 만든 뒤 운영에 안 붙이면 그냥 숫자 대시보드로 끝난다.

실무에서는 보통 이렇게 쓴다.

• budget이 빠르게 줄면 신규 변경 배포를 보수적으로 진행
• 경보가 반복되면 원인 제거 작업(성능/안정성)을 우선순위로 올림
• 월 단위 리뷰에서 SLO 타당성(너무 느슨/빡빡)을 다시 조정

8) 시작 체크리스트

1. 사용자 영향이 큰 API 하나만 먼저 고른다
2. SLI 식(분자/분모)을 문서로 고정한다
3. SLO 목표값/기간을 합의한다
4. Burn-rate 알람(짧은+긴 윈도우)을 붙인다
5. 월 1회 SLO 리뷰를 정례화한다

결국 SLO/SLI/Error Budget은 “모니터링 고급 기능”이 아니라,
장애 대응과 배포 결정을 같은 기준으로 맞추는 운영 언어에 가깝다.

이 기준만 맞아도,

• 알람 노이즈가 줄고
• 우선순위가 분명해지고
• 팀 의사결정이 빨라진다.

References

• Google SRE Book - Service Level Objectives: https://sre.google/sre-book/service-level-objectives/
• Google SRE Workbook - Alerting on SLOs: https://sre.google/workbook/alerting-on-slos/
• Prometheus docs - Histograms and summaries: https://prometheus.io/docs/practices/histograms/
• Prometheus docs - Alerting rules: https://prometheus.io/docs/prometheus/latest/configuration/alerting_rules/
• Grafana docs - Alerting: https://grafana.com/docs/grafana/latest/alerting/

• 지금 서비스 정상 맞나?
• 느려지면 어디부터 봐야 하나?
• 알람은 빨리 오고, 원인 파악은 가능한가?

이번 글은 Spring Boot(Java 21) 기준으로,
Prometheus + Grafana를 실제 운영에서 쓰는 기본 뼈대를 정리한 글이다.

핵심은 4가지다.

• 메트릭 노출(Actuator + Micrometer)
• /actuator 운영 보안
• Prometheus 수집 설정
• Grafana 대시보드/알람 설계

1) 전체 흐름 먼저 한 장으로 보기

구조 자체는 어렵지 않다.

1. Spring Boot 앱이 /actuator/prometheus로 메트릭 노출
2. Prometheus가 주기적으로 scrape
3. Grafana가 Prometheus를 조회해서 시각화
4. Grafana Alerting으로 경보 발행

여기서 포인트는 도구를 많이 붙이는 게 아니라,
초기 지표를 작게 시작하고 정확하게 보는 것이다.

2) Spring Boot(Java 21)에서 메트릭 노출

2-1. 의존성

dependencies {
    implementation("org.springframework.boot:spring-boot-starter-actuator")
    runtimeOnly("io.micrometer:micrometer-registry-prometheus")
}

2-2. endpoint 설정

management:
  server:
    port: 18081
  endpoints:
    web:
      exposure:
        include: health,info,prometheus
  endpoint:
    health:
      probes:
        enabled: true

management.server.port 분리는 나중에 보안 정책 잡을 때 진짜 편하다.

2-3. 커스텀 메트릭 예시

@Component
public class SermonMetrics {

    private final Counter sermonCreateCounter;
    private final Timer sermonPublishTimer;

    public SermonMetrics(MeterRegistry registry) {
        this.sermonCreateCounter = Counter.builder("cms_sermon_create_total")
                .description("Total created sermons")
                .register(registry);

        this.sermonPublishTimer = Timer.builder("cms_sermon_publish_seconds")
                .description("Sermon publish latency")
                .publishPercentiles(0.5, 0.95, 0.99)
                .register(registry);
    }

    public void incrementCreate() {
        sermonCreateCounter.increment();
    }

    public <T> T recordPublish(Supplier<T> supplier) {
        return sermonPublishTimer.record(supplier);
    }
}

실무에서 제일 많이 터지는 건 태그(cardinality)다.

• userId, requestId, raw URL 같이 값이 계속 늘어나는 태그는 피하기
• method, status, uri처럼 범위가 제한된 태그 위주로 쓰기

카디널리티가 커지면 Prometheus 메모리/쿼리 비용이 생각보다 빨리 올라간다.

3) 운영 보안: /actuator는 내부망 전용

이건 거의 원칙에 가깝다.
운영에서 /actuator를 퍼블릭으로 열어두면 안 된다.

권장 패턴은 이렇다.

• 앱 포트와 관리 포트 분리
• Security Group에서 Prometheus 서버(또는 내부 SG)만 허용
• 외부 인터넷에서 management 포트 차단
• endpoint 최소 공개(prometheus, health, info)

앱 코드에서 IP 필터만 거는 방식보다,
네트워크 레벨에서 먼저 막는 구조가 훨씬 안전하다.

4) Prometheus 수집 설정

처음 시작할 때는 아래 정도면 충분하다.

global:
  scrape_interval: 15s

scrape_configs:
  - job_name: "bssj-web-backend"
    metrics_path: "/actuator/prometheus"
    static_configs:
      - targets: ["host.docker.internal:18081"]

주의할 점:

• host.docker.internal은 로컬/도커 개발용 예시
• EC2/ECS/K8s 운영에서는 내부 DNS 또는 서비스 디스커버리 경로 사용

운영에서는 보통 이렇게 시작한다.

• scrape interval: 15s 또는 30s
• retention/디스크 사용량 같이 모니터링
• 반복적으로 무거운 쿼리는 recording rule 고려

5) Grafana 대시보드: 처음부터 크게 만들 필요 없다

초기에는 아래 4축만 제대로 봐도 충분하다.

• Request Rate (RPS)
• Error Rate (5xx 비율)
• Latency p95/p99
• JVM/CPU/메모리 + DB pool

자주 쓰는 PromQL 예시:

sum(rate(http_server_requests_seconds_count{uri!="/actuator/prometheus"}[5m]))

histogram_quantile(
  0.95,
  sum(rate(http_server_requests_seconds_bucket[5m])) by (le)
)

sum(rate(http_server_requests_seconds_count{status=~"5.."}[5m]))
/
sum(rate(http_server_requests_seconds_count[5m]))

패널 추가 기준은 단순하다.
“장애 났을 때 원인 좁히는 데 실제로 도움 되냐” 이것만 보면 된다.

6) 알람 설계: 임계치보다 노이즈 관리가 더 중요

예시 룰(지연 p95 700ms 초과가 10분 지속):

groups:
  - name: latency-alerts
    rules:
      - alert: ApiLatencyP95High
        expr: histogram_quantile(0.95, sum(rate(http_server_requests_seconds_bucket[5m])) by (le)) > 0.7
        for: 10m
        labels:
          severity: warning
          service: bssj-web-backend
        annotations:
          summary: "API latency p95 is above 700ms"
          runbook: "https://internal.wiki/runbooks/api-latency"

알람 품질 올릴 때는 이것들부터 챙기면 된다.

• for 시간으로 순간 스파이크 노이즈 줄이기
• severity 라벨로 채널 분리
• annotations에 runbook 링크 포함
• 경보 후 조치 완료까지 걸리는 시간 추적

7) 운영 체크리스트

구축 직후에 바로 확인할 체크리스트:

1. Prometheus가 scrape를 실제로 성공하는가
2. Grafana 수치와 앱 로그의 방향성이 맞는가
3. 알람 테스트를 수동으로 한 번 발생시켜 봤는가
4. /actuator가 외부에서 차단되어 있는가
5. runbook 링크가 알람 payload에 들어가는가

마무리

Prometheus + Grafana의 장점은 거창한 기능보다,
운영 기준선을 빠르게 세울 수 있다는 점이다.

• 어떤 지표를 계속 볼지
• 어디서 알람을 울릴지
• 알람이 오면 뭘 먼저 볼지

이 세 가지만 팀 기준으로 맞춰도, 장애 대응 속도랑 품질이 꽤 안정적으로 올라간다.

BlockHound는 이 지점을 꽤 직설적으로 잡아준다.

• 지금 이 스레드에서 이 호출은 블로킹이다
• 그래서 여기서 실패시킨다

이 글은 BlockHound를 왜 쓰는지, 어떻게 붙이는지, 실패가 나면 어떻게 고치는지를
실전 흐름으로 정리한 가이드다.

1) 왜 BlockHound가 필요한가

WebFlux 장점은 이벤트 루프 스레드를 오래 붙잡지 않는 데 있다.
그런데 Thread.sleep, 블로킹 JDBC, 파일 I/O가 끼어들면 장점이 바로 사라진다.

겉으로 CPU가 여유 있어 보여도 p95/p99가 튀는 케이스가 여기서 자주 나온다.

2) BlockHound가 실제로 하는 일

BlockHound는 런타임에서 블로킹 메서드 호출을 감지한다.
그리고 그 호출이 논블로킹 스레드에서 일어나면 BlockingOperationError를 터뜨린다.

포인트는 성능 최적화 도구라기보다 위반 탐지 도구라는 점이다.

3) 적용: 테스트에서 먼저 켜기

Gradle 의존성

dependencies {
    testImplementation("io.projectreactor.tools:blockhound")
}

JUnit에서 설치

import reactor.blockhound.BlockHound;

class ReactiveTestSupport {
    static {
        BlockHound.install();
    }
}

실무에서는 보통 테스트 공통 베이스에서 한 번만 설치한다.

4) 실패를 재현해보면 바로 이해된다

아래 코드는 의도적으로 블로킹을 넣은 예시다.

import org.junit.jupiter.api.Test;
import reactor.core.publisher.Mono;
import reactor.core.scheduler.Schedulers;
import reactor.test.StepVerifier;

class BlockHoundDemoTest extends ReactiveTestSupport {

    @Test
    void detectsBlockingCallOnNonBlockingThread() {
        Mono<String> pipeline = Mono.fromRunnable(() -> {
                    try {
                        Thread.sleep(30); // blocking
                    } catch (InterruptedException e) {
                        throw new RuntimeException(e);
                    }
                })
                .publishOn(Schedulers.parallel())
                .thenReturn("ok");

        StepVerifier.create(pipeline)
                .expectErrorMatches(t -> t.getClass().getName().contains("BlockingOperationError"))
                .verify();
    }
}

이 실패는 오히려 반갑다.
운영에서 늦게 터질 문제를 CI에서 먼저 막아주기 때문이다.

5) 실패가 나면 어떻게 고칠까

실무에서는 보통 아래 셋 중 하나다.

A. 논블로킹 대체재로 교체 (가장 좋음)

• RestTemplate -> WebClient
• JDBC -> R2DBC (가능한 경우)

B. 블로킹 구간 격리

Mono<User> loadUser(String id) {
    return Mono.fromCallable(() -> blockingRepository.findById(id))
            .subscribeOn(Schedulers.boundedElastic());
}

마이그레이션 단계에서는 이 방식이 현실적으로 가장 많이 쓰인다.

C. 불가피한 레거시만 allow-list

BlockHound.install(builder ->
    builder.allowBlockingCallsInside("com.example.LegacyBridge", "readOnce")
);

중요한 점: 이건 문제 해결이 아니라 예외 관리다.
이유, 담당자, 제거 시점을 같이 기록해두는 게 좋다.

6) 롤아웃은 이렇게 가면 안전하다

추천 순서:

1. 로컬 테스트에 먼저 적용
2. CI 테스트에서 강제
3. allow-list 최소화 + 정리 일정 관리
4. 지표(p95/p99)로 실제 효과 확인

이 순서로 가면 팀 충격을 줄이면서 품질 가드를 만들 수 있다.

7) 도입 시 자주 나오는 질문

Q1. BlockHound를 프로덕션에 항상 켜야 하나요?

필수는 아니다. 많은 팀이 테스트/스테이징에서 강하게 사용한다.
목표가 “위반 조기 발견”이기 때문이다.

Q2. 모든 블로킹을 100% 잡아주나요?

아니다. 다만 실무에서 문제를 만드는 주요 패턴을 빠르게 드러내는 데 꽤 유용하다.

Q3. WebFlux면 무조건 BlockHound를 써야 하나요?

필수는 아니지만, 팀 규모가 커지거나 코드가 많아질수록 효과가 커진다.
특히 리뷰에서 놓치기 쉬운 블로킹 호출을 자동으로 잡아준다.

정리하면 BlockHound는 성능 튜닝 도구보다,
반응형 규율을 지키게 해주는 안전장치에 가깝다.

• 이벤트 루프를 막는 코드 조기 발견
• 실패를 테스트 단계로 당김
• 운영 지연 사고 가능성 낮춤

WebFlux를 이미 쓰고 있다면, BlockHound는 투자 대비 효과가 큰 품질 가드다.

Spring WebFlux는 이 문제를 “스레드를 더 늘리는 방식”이 아니라,
대기 자체를 논블로킹으로 처리하는 방식으로 푼다.

이번 글은 Reactive Streams/Reactor/WebFlux 기준으로,
실무에서 제일 헷갈리는 포인트를 흐름 중심으로 정리했다.

먼저 큰 그림

WebFlux를 한 줄로 말하면 이렇다.

• 스레드는 기다리지 않고
• I/O가 끝나는 시점에 다음 체인을 이어서 처리한다

중요한 건 “무조건 빠르다”가 아니다.
동시성이 큰 I/O 바운드 작업에서 유리하다가 정확한 표현이다.

Mono, Flux부터 잡고 가기

WebFlux에서 반환 타입은 거의 둘이다.

• Mono<T>: 0개 또는 1개
• Flux<T>: 0개 이상 N개

컨트롤러 예시로 보면 바로 감이 온다.

@RestController
@RequestMapping("/api/users")
public class UserController {

    private final UserService userService;

    public UserController(UserService userService) {
        this.userService = userService;
    }

    @GetMapping("/{id}")
    public Mono<UserResponse> getUser(@PathVariable String id) {
        return userService.findUser(id);
    }

    @GetMapping
    public Flux<UserResponse> getUsers() {
        return userService.findAllUsers();
    }
}

핵심은 컨트롤러가 값을 즉시 만들어 반환하는 게 아니라,
비동기 파이프라인(Publisher)을 반환한다는 점이다.

WebClient 병렬 호출: 체감 차이가 나는 구간

외부 API를 여러 개 조합하는 화면에서 WebFlux 장점이 잘 드러난다.

예시로 대시보드 API가 아래 3개를 동시에 호출한다고 보자.

• 프로필 API
• 주문 API
• 포인트 API

@Service
public class DashboardService {

    private final WebClient webClient;

    public DashboardService(WebClient.Builder builder) {
        this.webClient = builder.baseUrl("http://internal-api").build();
    }

    public Mono<DashboardResponse> getDashboard(String userId) {
        Mono<ProfileDto> profileMono = webClient.get()
                .uri("/profiles/{id}", userId)
                .retrieve()
                .bodyToMono(ProfileDto.class);

        Mono<List<OrderDto>> ordersMono = webClient.get()
                .uri("/orders/{id}", userId)
                .retrieve()
                .bodyToFlux(OrderDto.class)
                .collectList();

        Mono<PointDto> pointMono = webClient.get()
                .uri("/points/{id}", userId)
                .retrieve()
                .bodyToMono(PointDto.class);

        return Mono.zip(profileMono, ordersMono, pointMono)
                .map(tuple -> new DashboardResponse(tuple.getT1(), tuple.getT2(), tuple.getT3()));
    }
}

여기서 핵심은 Mono.zip()이다.
순차가 아니라 병렬로 진행되기 때문에 전체 대기 시간을 줄일 수 있다.

가장 흔한 실수: 이벤트 루프에서 블로킹 호출

WebFlux에서 성능을 무너뜨리는 대표 원인:

• JDBC 같은 블로킹 드라이버 호출
• Thread.sleep(...)
• block() 남용

피해야 하는 코드

public Mono<UserResponse> badExample(String id) {
    UserEntity entity = blockingRepository.findById(id); // blocking call
    return Mono.just(UserResponse.from(entity));
}

최소한의 방어 코드

public Mono<UserResponse> saferExample(String id) {
    return Mono.fromCallable(() -> blockingRepository.findById(id))
            .subscribeOn(Schedulers.boundedElastic())
            .map(UserResponse::from);
}

가능하면 더 좋은 방향은 분명하다.
끝까지 논블로킹 스택(WebClient, R2DBC 등)으로 가는 것이다.

중간에 블로킹 구간이 늘어나면 WebFlux 장점은 빠르게 줄어든다.

Backpressure: 처리 가능한 만큼만 받기

Reactive Streams 핵심은 생산자가 밀어 넣는 구조가 아니라,
소비자가 처리 가능한 만큼 요청(request n)하는 구조라는 점이다.

운영에서 이게 중요한 이유는 단순하다.

• 빠른 producer가 느린 consumer를 압도하지 않게 막고
• 메모리 급증, 지연 폭증 가능성을 낮춘다

Reactor에서는 상황에 맞춰 limitRate, onBackpressureBuffer, onBackpressureDrop 같은 전략을 쓴다.

실무에서 자주 쓰는 스트리밍 예시: SSE

@GetMapping(value = "/events", produces = MediaType.TEXT_EVENT_STREAM_VALUE)
public Flux<ServerSentEvent<String>> events() {
    return Flux.interval(Duration.ofSeconds(1))
            .map(seq -> ServerSentEvent.<String>builder()
                    .event("tick")
                    .id(Long.toString(seq))
                    .data("server-time: " + Instant.now())
                    .build());
}

실시간 알림, 진행 상태, 모니터링 이벤트 같은 시나리오에 잘 맞는다.

그러면 언제 WebFlux가 맞을까?

아래 조건이 많으면 WebFlux가 잘 맞는다.

• 외부 API/DB 호출이 많고 동시 요청이 큼
• 스트리밍 응답(SSE 등)이 필요함
• 논블로킹 기반으로 end-to-end 설계 가능함

반대로 아래라면 MVC가 더 단순하고 유지보수에 유리할 수 있다.

• 트래픽이 크지 않고 CRUD 중심
• 기존 코드가 블로킹 라이브러리에 크게 의존
• 팀의 Reactor 디버깅/운영 경험이 적음

도입 체크리스트

1. “왜 WebFlux인지”를 먼저 정의
2. 블로킹 라이브러리 사용 지점 전수 점검
3. block() 사용 위치를 정책으로 제한
4. 타임아웃/재시도/서킷브레이커 같이 설계
5. 테스트에서 지연/오류/취소 시나리오 검증

WebFlux는 마법 도구는 아니다.
대신 I/O 대기 시간을 어떻게 다룰지를 정확히 설계하면 체감 차이를 크게 만든다.

정말 중요한 건 이 세 가지다.

• Mono, Flux를 자연스럽게 다루고
• 이벤트 루프를 막지 않고
• 블로킹 구간을 명확히 격리하는 것

이 세 가지만 지켜도 WebFlux는 충분히 강력하게 동작한다.

이 글은 docs/architecture.md(2026-03-09 기준) 내용을 바탕으로,
왜 지금 구조를 이렇게 가져갔는지 한 번에 보이게 정리한 버전이다.

30초 요약

• 사용자 화면은 Web / CMS로 분리
• 백엔드는 Spring Boot 단일 프로세스로 통합
• 공개 API는 /api/*, 관리자 API는 /cms/*로 경계 분리
• 데이터 저장은 MySQL, 파일 저장은 S3로 역할 분리

한 줄로 정리하면 이거다.
“UX는 분리하고, 런타임은 통합한다.”

전체 구조 먼저 보기

요청 흐름은 단순하다.

1. Web 사용자는 공개 화면 + 공개 API 사용
2. CMS 사용자는 관리자 화면 + 인증 API 사용
3. 두 경로 모두 같은 백엔드 프로세스로 들어옴
4. 백엔드가 MySQL/S3로 책임 나눠 처리

구조를 단순하게 잡아둔 덕분에 배포 포인트, 장애 대응 포인트도 같이 줄었다.

왜 FE는 분리하고, BE는 합쳤을까?

이 질문을 제일 많이 받는다.

“하나의 서비스면 그냥 전부 합치면 되는 거 아닌가?”

실제로는 반대로 보는 게 더 맞다.

• 화면 목적이 다르다.
  방문자용 Web과 관리자용 CMS는 사용자 흐름이 다르다. 그래서 FE는 분리하는 게 맞다.
• 운영은 단순해야 버틴다.
  작은 팀에서 JVM을 둘로 나누면 배포/모니터링/장애 대응 비용이 빠르게 커진다.

그래서 지금은 이렇게 정리했다.

• FE: apps/web/frontend, apps/cms/frontend 분리
• BE: apps:web:backend 하나로 통합 실행

현재 규모에서는 이 구성이 속도와 안정성 사이 균형이 제일 좋았다.

요청 흐름을 실제로 보면

방문자(Web)

1. 사용자가 Public Web 접속
2. Nginx가 정적 리소스 응답
3. 화면에서 /api/* 호출
4. 백엔드가 MySQL 조회 후 JSON 반환

관리자(CMS)

1. 관리자가 CMS 접속
2. Nginx가 CMS 정적 리소스 응답
3. POST /cms/auth/login으로 JWT 발급
4. 이후 /cms/* 호출 시 토큰 검증
5. 필요 시 S3 파일 처리

핵심은 명확하다.
인증은 CMS 경로에 집중하고, 공개 조회는 가볍게 유지한다.

백엔드 모듈 구조: 통합이지만 경계는 유지

실행 프로세스는 하나지만, 내부 모듈 경계는 분명하게 나눴다.

• apps:web:backend (실행 엔트리)
• apps:cms:backend (java-library)
• apps:common:mysql
• apps:common:core

의존 관계는 아래처럼 고정돼 있다.

• web/backend -> cms/backend
• web/backend -> common/mysql -> common/core
• cms/backend -> common/mysql

즉 구조의 핵심은 이거다.
프로세스는 하나, 경계는 명확하게.

패키지 구조도 도메인 중심으로 정리

초기 레이어 구조(controller/service/repository)에서는 수정 범위가 넓어질수록 이동 비용이 컸다.
그래서 지금은 도메인 기준으로 재정렬했다.

• com.bssj.webapi: video, content, churchinfo, settings, menu, modal, manager, common
• com.bssj.cms: auth, video, bulletin, menu, staff, worshiptime, mainpage, upload, bible, manager, common

그리고 cms/manager는 domain/port/infra로 나눠 hexagonal 패턴을 적용했다.

보안/멀티 교회 관점에서 중요한 점

인증 정책은 URL 경계와 같이 간다.

• /api/*: 인증 없음 (공개 조회)
• /cms/*: JWT 필수 (/cms/auth/** 제외)

JWT 안에 cid(churchId)를 담아 교회 단위 데이터 격리를 유지한다.
지금은 단일 운영에 가까워도, 이 경계가 있어야 멀티 교회 확장 비용이 줄어든다.

인프라/배포: 작게 시작하고 단단하게 유지

현재 운영 기준은 단일 EC2(t3.small)다.

• Nginx: 정적 파일 + 프록시
• Unified Backend: :8080
• MySQL: 로컬
• S3: 외부 스토리지

CI/CD도 목적 중심으로 가져갔다.

• CI (develop PR): 빌드/테스트 품질 가드
• CD (main push): 빌드 -> 전송 -> 서비스 재시작

대규모 분산보다, 운영 안정성을 먼저 챙긴 구성이라고 보면 된다.

이 구조의 장점과 리스크

장점

1. 운영 포인트 감소: 프로세스/배포 대상 단순화
2. 비용 효율: JVM/Tomcat/Hikari 중복 제거
3. 개발 속도: FE 분리로 작업 충돌 최소화

리스크

1. 경계 관리 실패 시 단일 앱 비대화
2. /api와 /cms 정책이 흐려지면 보안/권한 리스크 증가

그래서 운영 원칙은 계속 이대로 가져간다.

• 런타임 통합 유지
• 모듈/도메인 경계 강화
• 인증 정책 URL 규칙 강제

다음 단계 우선순위

1. CMS 업로드를 presigned URL 중심으로 전환
2. Swagger를 /api와 /cms 기준으로 명확히 분리
3. 멀티 교회 권한 모델(전역/교회 관리자) 구체화

정리하면 BSSJ 구조는 “완벽한 이상형”보다,
지금 팀이 운영 가능한 최적점을 목표로 잡은 아키텍처다.

그리고 확장을 위한 경계(모듈/인증)는 이미 깔아둔 상태다.