Projetar um serviço de encurtamento de URL

## System Design: URL Shortening Service ### A. High-Level Architecture The system will consist of the following major components: 1. **Load Balancers (LBs):** Distribute incoming traffic (both API requests for shortening and redirection requests) across multiple API servers. We'll use multiple layers of LBs, starting with a global LB (e.g., AWS Route 53) for DNS-based routing and then regional LBs (e.g., AWS ELB/ALB) for distributing traffic within a region. 2. **API Servers (Web Servers):** Handle incoming requests for both creating short URLs (POST /shorten) and redirecting short URLs (GET /{short_code}). These servers will be stateless. 3. **URL Shortening Service (Business Logic):** A microservice responsible for generating short codes, interacting with the database, and potentially caching. 4. **Database:** Stores the mapping between short codes and original URLs. We'll discuss the choice in detail in section C. 5. **Cache:** Stores frequently accessed short URL mappings to reduce database load and latency for redirects. Redis or Memcached will be used. 6. **Message Queue (Optional but recommended for scale):** For asynchronous processing of tasks like updating analytics or handling potential retries, though not strictly necessary for core functionality. **Request Flow:** * **URL Creation (POST /shorten):** 1. Client sends a POST request with the original URL to the API Gateway/Load Balancer. 2. The LB forwards the request to an available API Server. 3. The API Server calls the URL Shortening Service. 4. The URL Shortening Service generates a unique short code (see section B). 5. The service stores the mapping (short_code -> original_url) in the Database. 6. The service might also write the mapping to the Cache. 7. The API Server returns the shortened URL (e.g., `https://short.url/{short_code}`) to the client. * **URL Redirection (GET /{short_code}):** 1. User enters a shortened URL in their browser. 2. The request hits the Load Balancer. 3. The LB forwards the request to an available API Server. 4. The API Server (or a dedicated Redirect Service) first checks the Cache for the `short_code`. 5. **Cache Hit:** If found, the original URL is retrieved from the cache, and the API Server issues an HTTP 301 (Permanent Redirect) or 302 (Temporary Redirect) response to the client with the original URL. 6. **Cache Miss:** If not found in the cache, the API Server queries the Database for the `short_code`. 7. The Database returns the original URL. 8. The API Server adds the mapping to the Cache for future requests. 9. The API Server issues the HTTP redirect response. ### B. Short URL Generation Strategy We need a strategy that generates unique, short, and preferably somewhat random-looking codes. The primary goal is uniqueness and efficiency. * **Hashing (e.g., MD5, SHA-1):** * *Pros:* Deterministic, can generate unique codes. Can be truncated. * *Cons:* Collisions are possible (though rare with good hashing and truncation). Codes might not be uniformly distributed, leading to hot spots. Not easily human-readable or memorable. * **Counter-Based (e.g., Auto-incrementing ID):** * *Pros:* Guarantees uniqueness. Simple to implement. * *Cons:* Centralized counter can become a bottleneck. Sequential IDs are predictable and can reveal usage patterns. Requires a distributed counter system for high availability and scale. * **Pre-generated Key Pools:** * *Pros:* Distributes the generation load. Can pre-generate a large pool of unique codes. * *Cons:* Requires managing the pool, ensuring no overlap, and potentially pre-generating a massive number of keys. * **Base-62/Base-64 Encoding of a Counter:** * *Pros:* Generates short, unique codes by encoding a monotonically increasing counter (e.g., a 64-bit integer) into a base-62 (0-9, a-z, A-Z) or base-64 alphabet. This is efficient and produces relatively short strings. Guarantees uniqueness if the counter is managed properly. * *Cons:* Requires a distributed counter service to avoid bottlenecks and ensure uniqueness across multiple API servers. **Chosen Strategy: Base-62 Encoding of a Distributed Counter** This approach offers the best balance of uniqueness, shortness, and scalability. We'll use a distributed ID generation service (like Twitter's Snowflake or Apache ZooKeeper) to generate unique, sequential 64-bit IDs. Each ID will then be encoded into a base-62 string. This provides short, unique codes. The sequential nature of IDs can be managed to avoid predictable patterns by using a random component in the ID generation or by shuffling the mapping later. ### C. Data Storage **Database Technology:** A NoSQL database like **Cassandra** or **ScyllaDB** (a high-performance Cassandra-compatible database) is a strong candidate due to its distributed nature, high availability, and excellent write performance, which is crucial for URL creation. Alternatively, a sharded relational database (like PostgreSQL with Citus or MySQL with Vitess) could work, but NoSQL often simplifies scaling for this type of key-value lookup. Let's assume **Cassandra** for its linear scalability and fault tolerance. **Schema:** We'll use a simple schema in a keyspace optimized for reads: ```cql CREATE TABLE url_mappings ( short_code text PRIMARY KEY, original_url text, created_at timestamp ); ``` * `short_code`: The unique short code generated (e.g., `aBcDeF`). This is the primary key. * `original_url`: The long URL to redirect to. * `created_at`: Timestamp for when the URL was shortened. **Storage Requirements Estimation (over 5 years):** * **New URLs per month:** 100 million * **Total URLs over 5 years:** 100 million/month * 12 months/year * 5 years = 6 billion URLs * **Average short code length:** Base-62 encoding of a 64-bit integer results in ~11 characters. Let's assume 15 bytes for the `short_code` (including overhead). * **Average original URL length:** Let's assume 2000 bytes (URLs can be very long). * **Overhead:** Assume 10% overhead for database storage (replication, indexes, etc.). **Total Storage:** (6 billion URLs) * (15 bytes/short_code + 2000 bytes/original_url) * 1.10 (overhead) = 6 * 10^9 * 2015 bytes * 1.10 ≈ 13.3 * 10^12 bytes ≈ 13.3 Terabytes (TB) This is a manageable amount for a distributed NoSQL database like Cassandra, which can scale horizontally by adding more nodes. **Why Cassandra?** * **Scalability:** Scales linearly by adding more nodes, handling massive amounts of data and traffic. * **Availability:** Designed for high availability with no single point of failure. Data is replicated across multiple nodes and data centers. * **Write Performance:** Excellent write throughput, crucial for the URL creation part. * **Read Performance:** Can be optimized for fast key-value lookups, which is what redirection requires. ### D. Scaling Strategy **1. Caching Strategy:** * **Level 1 Cache (Distributed Cache):** Use Redis or Memcached cluster. Store `short_code -> original_url` mappings. This will serve the vast majority of read requests (99% of traffic, given the 100:1 read-to-write ratio). * **Cache Invalidation/Expiration:** For simplicity and given the 5-year lifespan, we can use a Time-To-Live (TTL) slightly longer than the expected access pattern, or simply rely on the fact that once a short URL is created, its mapping rarely changes. A common strategy is to cache indefinitely until the application restarts or a manual invalidation is triggered (though this is less common for URL shorteners). * **Cache Population:** When a redirect request misses the cache, the original URL is fetched from the database, and then written into the cache before returning the redirect. **2. Database Partitioning/Sharding:** * **Cassandra:** Cassandra handles partitioning automatically based on the primary key (`short_code`). Data is distributed across nodes using a consistent hashing algorithm. This inherently shards the data. * **Relational DB (if chosen):** Shard the database based on the `short_code` (e.g., using a hash of the `short_code` to determine the shard). This distributes the load and data across multiple database instances. **3. Handling Hot Keys (Viral URLs):** * **Caching:** The primary defense against hot keys is aggressive caching. A viral URL will be heavily cached in Redis/Memcached, meaning subsequent requests will be served directly from memory, bypassing the database entirely. * **Database Read Replicas (if using RDBMS):** If the database becomes a bottleneck even with caching, read replicas can be employed, though Cassandra's distributed nature already handles this well. * **Content Delivery Network (CDN):** For extremely high traffic, the redirect responses themselves could potentially be cached at the edge using a CDN, though this adds complexity and might not be suitable for all redirect types (e.g., 302). However, the API servers themselves could be placed behind a CDN for faster global access. * **Dedicated Read Path:** For extreme cases, a separate read-optimized data store or cache layer could be considered, but the primary cache should handle most hot key scenarios. ### E. Reliability and Fault Tolerance **1. High Availability (99.9% Uptime):** * **Redundancy:** Deploy multiple instances of each component (API servers, cache nodes, database nodes) across multiple Availability Zones (AZs) or even regions. * **Load Balancers:** LBs will automatically route traffic away from unhealthy instances. * **Stateless API Servers:** API servers are stateless, so any server can handle any request. If one fails, others take over seamlessly. * **Database Replication:** Cassandra provides built-in data replication. We'll configure a replication factor (e.g., 3) across different nodes and racks/data centers. If a node fails, replicas on other nodes serve the data. * **Cache Replication/Clustering:** Redis Sentinel or Redis Cluster can provide high availability for the cache. **2. Component Failure Handling:** * **API Server Failure:** LBs detect failure and stop sending traffic to the unhealthy instance. Other instances continue to serve requests. * **Cache Node Failure:** If using Redis Cluster or Sentinel, the system automatically promotes a replica or reconfigures the cluster. If a single node fails, some cached data might be temporarily unavailable, but the system will fall back to the database. * **Database Node Failure:** Cassandra automatically handles node failures. Data is available from replicas on other nodes. If a whole AZ fails, data is still available from nodes in other AZs (if multi-AZ deployment). **3. Data Replication and Failover:** * **Database:** Cassandra's replication strategy ensures data durability and availability. We'll use a replication factor of 3, with replicas spread across different physical locations (racks/AZs). If a node fails, reads and writes can still be served by other replicas. * **Cache:** Redis Sentinel or Cluster provides automatic failover for cache nodes. * **Application Level:** Implement retry mechanisms for transient network issues when communicating between services. ### F. Key Trade-offs 1. **Consistency vs. Availability (CAP Theorem):** * **Choice:** We prioritize **Availability** and **Partition Tolerance** over strong Consistency for the redirect service. For URL creation, we need strong consistency to ensure unique short codes. For redirection, if a database replica is temporarily unavailable, we'd rather serve a stale entry from cache or return an error than block requests. * **Justification:** The core function of a URL shortener is to redirect users quickly and reliably. Occasional stale cache entries or temporary unavailability of a specific short URL mapping (which would be rare with proper replication) is more acceptable than widespread service outages. For URL creation, a distributed ID generator with strong consistency guarantees is used to ensure uniqueness. 2. **Latency vs. Cost/Complexity (Caching Strategy):** * **Choice:** We chose an aggressive, multi-layered caching strategy (in-memory cache like Redis/Memcached) to achieve the sub-50ms latency requirement for redirects. * **Justification:** The 100:1 read-to-write ratio and the strict latency requirement (99.9% uptime, <50ms latency at 95th percentile) make caching essential. Serving most requests directly from RAM significantly reduces database load and response times. While caching adds complexity (cache invalidation, consistency concerns, additional infrastructure cost), it's a necessary trade-off to meet the performance and availability goals. Without it, the database would be overwhelmed by read traffic, leading to higher latency and potential outages.

A) Arquitetura de alto nível Componentes 1) Edge - DNS + CDN/Anycast edge (opcional, mas altamente recomendado para p95 <50ms globalmente) - Proteção WAF + DDoS - Balanceadores de carga globais (GSLB) roteando para a região mais próxima 2) Pilha regional (pelo menos 2 regiões, ativo-ativo) - Balanceador de carga L7 (ALB/Envoy) - Serviço de API sem estado (Encurtador de URL) - API de Criação (caminho de escrita) - API de Redirecionamento (caminho de leitura) - Camada de cache - Cache L1 na memória (pequeno, por instância, chaves muito quentes) - Cache distribuído L2 (cluster Redis/Memcached) - Armazenamento persistente - Armazenamento KV primário (estilo DynamoDB/Cassandra/ScyllaDB) para mapeamento short_code -> long_url - Armazenamento relacional opcional (Postgres/MySQL) para análises, contas de usuário, aliases personalizados (não no caminho crítico de redirecionamento) - Pipeline assíncrono (não crítico) - Kafka/Kinesis/PubSub para eventos de clique, logs, sinais de abuso - Processadores de stream / destino OLAP (ClickHouse/BigQuery/S3) Fluxo de requisição: Criação de URL (escrita) 1) O cliente chama POST /api/shorten com long_url (+ alias personalizado opcional, política de TTL, autenticação de usuário). 2) A requisição atinge GSLB -> balanceador de carga regional -> servidor de API. 3) A API valida a URL (formato, listas de permissão/bloqueio, navegação segura), a normaliza e aplica limites de taxa. 4) O serviço de geração de código curto aloca um código exclusivo (detalhes na seção B). 5) A API grava o mapeamento no armazenamento KV (short_code como chave de partição). - A escrita inclui created_at, expire_at (>=5 anos), long_url, owner_id, flags. - Use escrita de quórum (ou escrita fortemente consistente, dependendo do armazenamento). 6) A API preenche o cache L2 com short_code -> long_url (write-through) e retorna a URL curta. 7) Emite eventos assíncronos (criado, usuário, pontuação de spam) para o stream; não é necessário para a resposta de sucesso. Fluxo de requisição: Redirecionamento de URL (leitura) 1) O navegador solicita GET /{code}. 2) A edge roteia para a região mais próxima; a CDN opcional pode armazenar em cache respostas 301/302 se a política permitir. 3) O servidor de API analisa o código. 4) Ordem de consulta: a) Cache L1 na memória b) Redis/Memcached L2 c) Armazenamento KV (se houver falha de cache) 5) Se encontrado e não expirado/bloqueado: retorna redirecionamento HTTP 301/302 com Location: long_url. - Preenchimento de cache em caso de falha (definido em L2; opcionalmente L1). 6) Emite evento de clique assíncronamente (fire-and-forget). 7) Se não encontrado: 404 (opcionalmente fallback para a região de origem se usar isolamento regional). Metas de latência - O acerto do cache L2 deve dominar (sub-milissegundo a poucos ms dentro da região). Com roteamento de edge + alta taxa de acerto de cache, p95 <50ms é viável. B) Estratégia de geração de URL curta Requisitos - 100M de encurtamentos novos/mês ~ 3,3M/dia ~ ~38,6 escritas/segundo em média (picos mais altos). - Deve gerar códigos exclusivos, curtos e seguros para URL com baixo risco de colisão e sem gargalo de coordenação. Opções 1) Hash(long_url) - Prós: determinístico; dedup possível. - Contras: colisões exigem tratamento; revela padrões; difícil suportar múltiplos long_urls idênticos para usuários diferentes; alteração da normalização afeta a estabilidade. 2) Contador central (autoincremento) + codificação base62 - Prós: compacto; sem colisões; simples. - Contras: gargalo lógico único, a menos que particionado; códigos sequenciais são adivinháveis (segurança/abuso). 3) ID distribuído (estilo Snowflake: tempo + worker + sequência) então base62 - Prós: sem coordenador central; escalável; exclusivo; tamanho limitado. - Contras: códigos ligeiramente mais longos; ordenação baseada em tempo vaza algumas informações. 4) Pool de chaves pré-geradas - Prós: alocação mais rápida; desacopla a criação da geração de ID. - Contras: requer gerenciamento de pool, armazenamento e evitação de reutilização; complexidade operacional. Abordagem escolhida - Use um ID exclusivo de 64 bits estilo Snowflake gerado por cada nó de API (ou serviço de ID dedicado) e codifique para base62/base64url. - 64 bits em base62 produz até 11 caracteres no pior caso; tipicamente 10–11 caracteres, aceitável. - Se códigos mais curtos forem necessários, use 56–60 bits (ainda bastante) com época/janela de tempo e bits de worker cuidadosos. - Para reduzir a previsibilidade, aplique opcionalmente uma permutação reversível (por exemplo, rede Feistel) ao ID de 64 bits antes da codificação base62; mantém a exclusividade, mas torna os códigos não sequenciais. Por que essa escolha - Elimina o gargalo do contador único. - Não é necessário tratamento de colisão. - Funciona bem com multi-região ativo-ativo. - Previsibilidade mitigada via permutação. Aliases personalizados - Se o usuário solicitar um código personalizado, valide a disponibilidade com uma escrita condicional (put-if-absent) no armazenamento KV; se houver conflito, rejeite. C) Armazenamento de dados Escolha do banco de dados - Armazenamento primário: um banco de dados KV altamente disponível e escalável horizontalmente (DynamoDB ou Cassandra/ScyllaDB). - Raciocínio: - O padrão de acesso é leitura baseada em chave por short_code. - Pesado em leitura com alto QPS; os armazenamentos KV se destacam em consultas pontuais de baixa latência. - Replicação, particionamento e maturidade operacional integrados. Esquema (tabela única) Tabela: url_mapping - Chave de partição: short_code (string) - Atributos: - long_url (string) - created_at (timestamp) - expire_at (timestamp, deve ser >= created_at + 5 anos; pode ser nulo para “nunca”, mas o requisito diz pelo menos 5 anos) - owner_id (string, opcional) - status (ativo/desativado/malicioso) - meta (opcional: título, campanha, etc.) Índices (opcional) - GSI/índice secundário em owner_id + created_at para listar links do usuário (não no caminho de redirecionamento). Estimativa de armazenamento (5 anos) - Novos URLs: 100M/mês * 12 * 5 = 6 bilhões de mapeamentos. - Estimativa aproximada do tamanho por registro: - short_code: 10–11 bytes (armazene como ~16 bytes com sobrecarga) - long_url: assume média de 100 bytes (pode ser 50–200; use 120 incluindo sobrecarga) - timestamps/status/owner_id: ~40 bytes em média (owner_id opcional) - Sobrecarga do DB (chaves, metadados de replicação, compressão): varia; assume ~100 bytes de sobrecarga - Total lógico por item ~250 bytes (conservador) - Armazenamento lógico bruto: 6e9 * 250B = 1,5 TB. - Com fator de replicação 3 (comum em Cassandra/Scylla): ~4,5 TB. - Adicionar índices + margem: planeje ~6–10 TB em todo o cluster ao longo de 5 anos. Notas - Long URLs podem ser comprimidas (dicionário/deflate) na camada de aplicação para reduzir o tamanho; mas apenas se não adicionar latência. Muitos armazenamentos KV também comprimem SSTables. D) Estratégia de escalonamento Estimativa de tráfego - Gravações: ~38,6/s em média; assume pico de 10x => ~400/s. - Leituras: 100:1 => média de ~3.860 leituras/s; pico potencialmente muito mais alto (por exemplo, 50k–200k/s dependendo de picos de uso). Escalonamento de leituras 1) Cache - Cache L1 na memória: pequeno (por exemplo, 10k–100k entradas) com TTL curto (30–120s) para absorver micro-hotspots e reduzir o QPS do Redis. - Redis/Memcached L2: - Valor do cache: long_url + status + expire_at. - Estratégia de TTL: - Se os links forem imutáveis (comum), defina TTL longo (horas a dias). - Ainda respeite expire_at definindo TTL = min(max_ttl_configurado, expire_at - agora). - Use cache-aside com cache negativo: - Cache de “não encontrado” por um TTL curto (por exemplo, 30–60s) para reduzir os acertos do DB de scanners. - Busque taxa de acerto de cache >95–99% para redirecionamentos. 2) Cache de CDN (opcional, mas poderoso) - Para redirecionamentos 301 que são estáveis, a CDN pode armazenar em cache a resposta de redirecionamento para códigos populares. - Deve considerar a capacidade de desativar links rapidamente; mitigar por: - TTL curto da CDN (por exemplo, 60–300s) + purga ao desativar - Ou manter a lógica de redirecionamento na origem, mas armazenar o mapeamento em cache na edge KV (avançado). Particionamento/sharding de banco de dados - Particionar por short_code (hashing consistente / anel de tokens). - Distribuição uniforme esperada porque os códigos são pseudo-aleatórios (pós-permutação). - Adicionar nós para escalar linearmente. Tratamento de chaves quentes (URLs virais) - Abordagem de várias camadas: 1) Edge/CDN armazena em cache a resposta de redirecionamento para as chaves mais quentes com TTL curto. 2) Caches L1 + L2 reduzem a carga do DB de origem. 3) Escalonamento do cluster Redis: shard por chave; habilite hashing do lado do cliente. 4) Coalescência de requisições / single-flight em caso de falha de cache: se muitas requisições falharem simultaneamente para a mesma chave, uma requisição preenche o cache enquanto outras esperam brevemente. 5) Para casos extremos, permita “replicação de chave quente” no cache (armazene a mesma chave em vários shards) ou use uma camada de “cache quente” dedicada. Escalonamento de gravações - Gravações são modestas; garanta escritas condicionais para exclusividade e idempotência. - Use limitação de taxa e prevenção de abuso para evitar amplificação de escrita por bots. E) Confiabilidade e tolerância a falhas (99,9% de tempo de atividade) Multi-região - Ativo-ativo em pelo menos 2 regiões. - Verificações de integridade do GSLB roteiam o tráfego para longe da região não íntegra. Serviços sem estado - Servidores de API são sem estado; escalam horizontalmente; implantados em várias ZAs. Camada de cache - Redis/Memcached implantado como um cluster sharded com réplicas por shard (ou Redis Cluster com réplicas). - Se o cache falhar: o sistema volta para o DB; latência aumentada, mas ainda funcional. - Proteja o DB com disjuntores e limitação de taxa adaptativa se a interrupção do cache causar um 'thundering herd'. Replicação e failover de banco de dados - Opção DynamoDB: - Use Tabelas Globais para replicação ativo-ativo multi-região. - Configure capacidade sob demanda ou provisionada com escalonamento automático. - Opção Cassandra/Scylla: - Replicação Multi-AZ dentro da região (RF=3). - Replicação Multi-região via NetworkTopologyStrategy; ajuste a consistência (por exemplo, LOCAL_QUORUM para leituras/gravações) para manter a latência baixa. - Modos de falha: - Falha de nó único: leituras/gravações de réplica continuam. - Falha de ZA: as ZAs restantes atendem ao tráfego (RF entre ZAs). - Falha de região: GSLB muda para a região íntegra; dados disponíveis via armazenamento replicado. Durabilidade dos dados - Backups/snapshots regulares para armazenamento de objetos (S3/GCS) + recuperação point-in-time. - Exercícios de recuperação de desastres e testes de restauração. Segurança de implantação - Implantações contínuas + lançamentos canários. - Flags de recursos. - Rollback automático em queima de orçamento de erro. Controles operacionais - SLIs: latência p95 de redirecionamento, taxa de acerto de cache, p95 do DB, taxa de erro, latência de replicação. - SLO: 99,9% de disponibilidade; projetar para degradação graciosa (por exemplo, desativar temporariamente gravações de análise). F) Principais trade-offs 1) Curteza do código vs geração distribuída - Trade-off: Um contador centralizado pode gerar códigos muito curtos (geralmente 6–8 caracteres no início), mas adiciona coordenação e é mais difícil em multi-região. - Escolha: IDs distribuídos estilo Snowflake + base62 (10–11 caracteres) para garantir escalabilidade, exclusividade e compatibilidade multi-região, atendendo aos requisitos de latência/disponibilidade. 2) Consistência forte vs baixa latência/alta disponibilidade - Trade-off: Leituras globais fortemente consistentes aumentam a latência e reduzem a disponibilidade durante partições. - Escolha: usar quorum local/consistência local da região para consultas de redirecionamento (rápido) com replicação multi-região. Para operações de criação, garantir a exclusividade com escritas condicionais e aceitar propagação eventual entre regiões; os redirecionamentos permanecem corretos porque o mapeamento autoritativo existe em pelo menos uma região e é rapidamente replicado. 3) Cache agressivo vs resposta rápida de desativação/abuso - Trade-off: TTLs de cache longos melhoram a latência e reduzem a carga do DB, mas dificultam a desativação imediata de links maliciosos. - Escolha: TTLs moderados + mecanismos de purga, além de verificações de status no valor em cache e TTL curto para CDN; permitir "kill switch" armazenando em cache o status desativado com alta prioridade. Resumo - Usar roteamento de edge + cache pesado para manter os redirecionamentos abaixo de 50ms p95. - Usar geração de ID exclusivo distribuído (Snowflake + permutação) para geração de código escalável. - Armazenar mapeamentos em um armazenamento KV replicado com sharding por short_code e failover multi-região. - Manter 99,9% de tempo de atividade via multi-AZ + multi-região, serviços sem estado, armazenamento replicado e caminhos de degradação graciosa.