Membangun Sistem Tangguh: Mengimplementasikan Circuit Breaker Pattern dalam Aplikasi Anda

1. Pendahuluan

Pernahkah Anda mengalami situasi di mana satu bagian kecil dari aplikasi Anda mati, lalu secara misterius seluruh sistem ikut tumbang? Rasanya seperti efek domino yang tak terhindarkan. Dalam arsitektur modern, terutama microservices, di mana berbagai layanan saling berkomunikasi, skenario ini adalah mimpi buruk yang sangat nyata. Kegagalan satu layanan bisa memicu kegagalan beruntun (cascading failures) yang melumpuhkan seluruh aplikasi.

Di sinilah Circuit Breaker Pattern datang sebagai pahlawan. 🦸‍♂️

Analoginya sederhana: sama seperti circuit breaker di rumah Anda yang akan “trip” (memutus sirkuit) ketika ada beban berlebih atau korsleting untuk mencegah kerusakan lebih lanjut, Circuit Breaker Pattern dalam dunia software berfungsi untuk mengisolasi kegagalan. Ia mencegah permintaan terus-menerus dikirim ke layanan yang sedang bermasalah, memberi waktu layanan tersebut untuk pulih, dan melindungi sistem Anda dari keruntuhan total.

Artikel ini akan membawa Anda menyelami Circuit Breaker Pattern: mengapa ia begitu penting, bagaimana cara kerjanya, dan yang paling penting, bagaimana Anda bisa mengimplementasikannya dalam aplikasi Anda untuk membangun sistem yang lebih tangguh dan andal. Siap membangun aplikasi yang tidak gampang menyerah? Mari kita mulai!

2. Memahami Masalah: Kegagalan Beruntun (Cascading Failures)

Bayangkan Anda memiliki aplikasi e-commerce. Layanan utama Anda adalah Order Service, yang bergantung pada Payment Service dan Inventory Service. Payment Service juga mungkin bergantung pada Third-party Payment Gateway.

Jika Payment Service tiba-tiba mengalami masalah (misalnya, karena database-nya lambat atau third-party gateway down):

Order Service akan terus mengirim permintaan ke Payment Service.
Permintaan-permintaan ini akan timeout atau gagal.
Karena Order Service terus menunggu Payment Service, thread atau koneksinya akan menumpuk dan habis.
Akhirnya, Order Service sendiri akan kehabisan sumber daya dan ikut gagal.
Pengguna tidak bisa membuat pesanan, dan seluruh aplikasi menjadi tidak responsif.

Ini adalah contoh klasik dari kegagalan beruntun (cascading failures). Satu masalah kecil bisa merambat dan melumpuhkan seluruh sistem. Tanpa mekanisme perlindungan, sistem Anda sangat rentan terhadap kegagalan eksternal atau internal yang tak terduga.

📌 Masalah Utama: Tanpa Circuit Breaker, layanan yang sehat akan terus mencoba menghubungi layanan yang sakit, membuang sumber daya, dan memperburuk situasi.

3. Apa Itu Circuit Breaker Pattern?

Circuit Breaker Pattern adalah pola desain yang bertujuan untuk mencegah kegagalan beruntun dalam sistem terdistribusi. Ide utamanya adalah membungkus panggilan ke layanan eksternal (atau komponen internal yang bisa gagal) dengan sebuah “sirkuit” yang memantau kegagalan. Jika sirkuit mendeteksi terlalu banyak kegagalan, ia akan “terbuka” dan menghentikan semua panggilan berikutnya ke layanan tersebut untuk sementara waktu.

Tujuannya ada dua:

Mencegah layanan yang sehat membuang sumber daya untuk mencoba menghubungi layanan yang sudah diketahui gagal.
Memberi waktu layanan yang gagal untuk pulih tanpa dibanjiri permintaan baru.

Setelah periode tertentu, sirkuit akan mencoba lagi untuk melihat apakah layanan tersebut sudah pulih. Jika ya, sirkuit akan “tertutup” kembali; jika tidak, ia akan tetap terbuka.

💡 Analogi: Bayangkan Anda sedang menelepon teman. Jika teman Anda tidak mengangkat telepon beberapa kali berturut-turut, Anda mungkin akan berhenti meneleponnya untuk sementara waktu, memberi dia kesempatan untuk menyelesaikan urusannya. Setelah beberapa waktu, Anda mungkin mencoba menelepon lagi. Jika dia menjawab, bagus! Jika tidak, Anda akan menunggu lagi. Ini persis cara kerja Circuit Breaker.

4. Tiga Kondisi Utama (States) Circuit Breaker

Circuit Breaker beroperasi dalam tiga kondisi (states) utama:

1. `CLOSED` (Tertutup)

Kondisi Normal: Ini adalah kondisi default saat semuanya berjalan lancar. Permintaan ke layanan eksternal (atau komponen yang dilindungi) akan diteruskan seperti biasa.
Pemantauan: Circuit Breaker terus memantau jumlah kegagalan. Jika jumlah kegagalan melebihi ambang batas tertentu (misalnya, 5 kegagalan dalam 10 detik), sirkuit akan beralih ke kondisi OPEN.

2. `OPEN` (Terbuka)

Kondisi Gagal: Ketika sirkuit berada dalam kondisi OPEN, semua permintaan berikutnya ke layanan yang dilindungi akan langsung gagal tanpa benar-benar mencoba menghubungi layanan tersebut.
Respon Cepat: Circuit Breaker akan segera mengembalikan error atau fallback tanpa menunggu timeout dari layanan yang gagal. Ini menghemat sumber daya dan waktu.
Waktu Tunggu (Recovery Timeout): Sirkuit akan tetap di kondisi OPEN untuk periode waktu yang telah ditentukan (misalnya, 30 detik). Setelah waktu ini berlalu, sirkuit akan beralih ke kondisi HALF-OPEN.

3. `HALF-OPEN` (Setengah Terbuka)

Kondisi Uji Coba: Setelah periode Recovery Timeout di kondisi OPEN, sirkuit beralih ke HALF-OPEN. Dalam kondisi ini, hanya sejumlah kecil permintaan uji coba yang diizinkan untuk melewati Circuit Breaker dan mencapai layanan yang dilindungi.
Evaluasi Pemulihan:
- Jika permintaan uji coba tersebut berhasil, diasumsikan layanan telah pulih, dan sirkuit akan kembali ke kondisi CLOSED.
- Jika permintaan uji coba gagal, diasumsikan layanan masih bermasalah, dan sirkuit akan kembali ke kondisi OPEN untuk periode Recovery Timeout lainnya.

✅ Manfaat: Dengan tiga kondisi ini, Circuit Breaker secara cerdas mengelola akses ke layanan yang berpotensi gagal, mengisolasi masalah, dan secara otomatis mencoba memulihkan koneksi ketika layanan kembali normal.

5. Cara Kerja Circuit Breaker: Sebuah Ilustrasi

Mari kita lihat alur kerja Circuit Breaker:

graph TD
    A[Start: CLOSED] --> B{Panggilan ke Layanan Eksternal};
    B -- Sukses --> A;
    B -- Gagal --> C{Jumlah Kegagalan > Threshold?};
    C -- Ya --> D[OPEN];
    C -- Tidak --> A;
    D -- Setelah Recovery Timeout --> E[HALF-OPEN];
    E -- Permintaan Uji Coba Sukses --> A;
    E -- Permintaan Uji Coba Gagal --> D;

Penjelasan Alur:

CLOSED: Semua permintaan diteruskan. Jika ada kegagalan, jumlah kegagalan dihitung. Jika mencapai ambang batas (failure threshold), pindah ke OPEN.
OPEN: Semua permintaan diblokir dan langsung gagal/menggunakan fallback. Setelah recovery timeout berlalu, pindah ke HALF-OPEN.
HALF-OPEN: Hanya beberapa permintaan yang diizinkan lewat. Jika berhasil, pindah ke CLOSED. Jika gagal, pindah kembali ke OPEN.

Penting untuk diingat bahwa setiap kondisi memiliki logika dan tujuannya sendiri untuk memastikan sistem tetap responsif dan stabil.

6. Implementasi Praktis Circuit Breaker

Bagaimana kita mengimplementasikan Circuit Breaker? Banyak bahasa pemrograman memiliki library yang sudah jadi, seperti:

Java: Resilience4j, Hystrix (deprecated tapi konsepnya masih relevan)
.NET: Polly
Node.js: opossum, circuit-breaker-js
Go: sony/gobreaker

Namun, mari kita coba memahami konsepnya dengan contoh pseudo-code atau implementasi sederhana dalam JavaScript (Node.js) yang bisa diterapkan secara konseptual di bahasa lain.

class SimpleCircuitBreaker {
  constructor(func, options = {}) {
    this.func = func; // Fungsi yang akan dilindungi
    this.failureThreshold = options.failureThreshold || 3; // Berapa kali gagal sebelum OPEN
    this.recoveryTimeout = options.recoveryTimeout || 5000; // Berapa lama di kondisi OPEN (ms)
    this.resetTimeout = options.resetTimeout || 10000; // Berapa lama di kondisi HALF-OPEN untuk reset (ms)

    this.state = "CLOSED";
    this.failureCount = 0;
    this.lastFailureTime = 0;
    this.halfOpenAttempts = 0; // Untuk HALF-OPEN

    console.log(
      `[CB] Circuit Breaker initialized for ${func.name || "anonymous function"}`,
    );
  }

  async execute(...args) {
    if (this.state === "OPEN") {
      const now = Date.now();
      if (now - this.lastFailureTime > this.recoveryTimeout) {
        // Waktunya mencoba kembali, pindah ke HALF-OPEN
        this.state = "HALF-OPEN";
        this.halfOpenAttempts = 0;
        console.log(`[CB] State changed to HALF-OPEN. Trying a few requests.`);
      } else {
        // Masih dalam periode OPEN, langsung gagal
        console.warn(
          `[CB] Circuit is OPEN. Request to ${this.func.name || "anonymous"} immediately failed.`,
        );
        throw new Error("Circuit Breaker is OPEN. Service unavailable.");
      }
    }

    if (this.state === "HALF-OPEN") {
      this.halfOpenAttempts++;
      if (this.halfOpenAttempts > 1) {
        // Hanya satu percobaan yang diizinkan dalam HALF-OPEN
        console.warn(
          `[CB] Circuit is HALF-OPEN, but already made an attempt. Blocking request.`,
        );
        throw new Error("Circuit Breaker is HALF-OPEN. Too many attempts.");
      }
    }

    try {
      const result = await this.func(...args);
      // Jika berhasil
      if (this.state !== "CLOSED") {
        this.reset(); // Reset jika berhasil setelah OPEN/HALF-OPEN
        console.log(`[CB] Service recovered. State changed to CLOSED.`);
      }
      return result;
    } catch (error) {
      this.recordFailure(error);
      throw error; // Lempar error asli
    }
  }

  recordFailure(error) {
    this.failureCount++;
    this.lastFailureTime = Date.now();
    console.error(
      `[CB] Function ${this.func.name || "anonymous"} failed (${this.failureCount}/${this.failureThreshold}). Error: ${error.message}`,
    );

    if (this.state === "HALF-OPEN") {
      // Jika gagal di HALF-OPEN, kembali ke OPEN
      this.state = "OPEN";
      console.log(`[CB] HALF-OPEN attempt failed. State changed back to OPEN.`);
    } else if (this.failureCount >= this.failureThreshold) {
      // Jika gagal melebihi threshold di CLOSED, pindah ke OPEN
      this.state = "OPEN";
      console.log(`[CB] Failure threshold reached. State changed to OPEN.`);
    }
  }

  reset() {
    this.state = "CLOSED";
    this.failureCount = 0;
    this.lastFailureTime = 0;
    this.halfOpenAttempts = 0;
  }
}

// --- Contoh Penggunaan ---

// Fungsi dummy yang kadang gagal
let shouldFail = true;
async function callExternalService() {
  return new Promise((resolve, reject) => {
    setTimeout(() => {
      if (shouldFail && Math.random() < 0.7) {
        // 70% kemungkinan gagal
        reject(new Error("External service is currently unavailable."));
      } else {
        console.log("External service call successful!");
        resolve("Data from external service");
      }
    }, 300); // Simulasi latency
  });
}

const serviceBreaker = new SimpleCircuitBreaker(callExternalService, {
  failureThreshold: 2,
  recoveryTimeout: 3000, // 3 detik
  resetTimeout: 5000, // Tidak digunakan di implementasi sederhana ini
});

async function runTest() {
  console.log("\n--- Percobaan 1: Service Gagal ---");
  for (let i = 0; i < 5; i++) {
    try {
      await serviceBreaker.execute();
    } catch (e) {
      console.error(`Request ${i + 1} failed: ${e.message}`);
    }
    await new Promise((res) => setTimeout(res, 500)); // Jeda antar request
  }

  console.log("\n--- Percobaan 2: Menunggu Recovery Timeout ---");
  shouldFail = false; // Asumsikan service pulih
  await new Promise((res) => setTimeout(res, 3500)); // Tunggu lebih dari recoveryTimeout (3s)

  console.log("\n--- Percobaan 3: Service Pulih (HALF-OPEN -> CLOSED) ---");
  for (let i = 0; i < 3; i++) {
    try {
      await serviceBreaker.execute();
    } catch (e) {
      console.error(`Request ${i + 1} failed: ${e.message}`);
    }
    await new Promise((res) => setTimeout(res, 500));
  }

  console.log("\n--- Percobaan 4: Service Gagal Lagi ---");
  shouldFail = true; // Asumsikan service gagal lagi
  for (let i = 0; i < 5; i++) {
    try {
      await serviceBreaker.execute();
    } catch (e) {
      console.error(`Request ${i + 1} failed: ${e.message}`);
    }
    await new Promise((res) => setTimeout(res, 500));
  }
}

// runTest(); // Uncomment untuk menjalankan contoh ini

Penjelasan Kode:

SimpleCircuitBreaker Class: Kelas ini membungkus fungsi func yang ingin kita lindungi.
constructor: Mengatur ambang batas kegagalan (failureThreshold), waktu tunggu pemulihan (recoveryTimeout), dan menginisialisasi kondisi (state, failureCount).
execute(...args): Ini adalah metode utama yang akan Anda panggil sebagai pengganti panggilan langsung ke func.
- Jika state adalah OPEN, ia akan memeriksa apakah recoveryTimeout sudah lewat. Jika ya, pindah ke HALF-OPEN. Jika belum, langsung lempar error.
- Jika state adalah HALF-OPEN, ia akan mengizinkan satu percobaan. Jika lebih, langsung lempar error.
- Jika state adalah CLOSED atau berhasil melewati HALF-OPEN, ia akan menjalankan func.
- Jika func berhasil, dan sebelumnya tidak CLOSED, ia akan mereset sirkuit ke CLOSED.
- Jika func gagal, ia memanggil recordFailure.
recordFailure(error): Meningkatkan failureCount. Jika failureCount mencapai failureThreshold saat di CLOSED atau gagal di HALF-OPEN, sirkuit akan beralih ke OPEN.
reset(): Mengatur ulang semua counter dan mengembalikan sirkuit ke CLOSED.

⚠️ Penting: Implementasi di atas adalah versi yang sangat disederhanakan untuk tujuan edukasi. Library Circuit Breaker profesional memiliki fitur yang lebih canggih seperti:

Fallback Mechanism: Menjalankan fungsi alternatif ketika sirkuit terbuka (misalnya, mengembalikan data cache atau pesan default).
Metrics & Monitoring: Mengeluarkan data tentang jumlah kegagalan, kondisi sirkuit, dll.
Asynchronous Support: Penanganan yang lebih robust untuk operasi asinkron.
Konfigurasi Lebih Fleksibel: Ambang batas berdasarkan persentase, window waktu, dll.

7. Tips dan Best Practices Circuit Breaker

🎯 Untuk hasil maksimal, terapkan Circuit Breaker dengan bijak:

Pilih Granularitas yang Tepat: Jangan membungkus setiap fungsi dengan Circuit Breaker. Fokus pada panggilan ke layanan eksternal (API, database, message queue) atau komponen internal yang berpotensi memiliki latensi atau kegagalan tinggi.
Kombinasikan dengan Retry Pattern: Circuit Breaker tidak menggantikan Retry Pattern, melainkan melengkapinya.
- Retry mencoba kembali panggilan yang gagal segera (misalnya, untuk kegagalan sementara seperti network glitch).
- Circuit Breaker mencegah percobaan berulang ke layanan yang sudah diketahui gagal untuk periode waktu tertentu.
- Gunakan Retry di dalam Circuit Breaker (misalnya, Circuit Breaker membungkus logika Retry).
Implementasikan Fallback: Saat Circuit Breaker terbuka, daripada langsung mengembalikan error, coba berikan respons alternatif (fallback).
- Contoh: Mengembalikan data yang di-cache, data default, atau pesan “Maaf, layanan sedang tidak tersedia”. Ini meningkatkan pengalaman pengguna.
Monitoring adalah Kunci: Pantau kondisi Circuit Breaker Anda (CLOSED, OPEN, HALF-OPEN), jumlah kegagalan, dan berapa kali ia “trip”. Ini akan memberi Anda wawasan penting tentang kesehatan layanan Anda dan layanan yang Anda konsumsi. Integrasikan dengan sistem monitoring seperti Prometheus dan Grafana.
Uji Skenario Kegagalan: Jangan hanya menguji alur sukses. Uji bagaimana aplikasi Anda berperilaku ketika layanan yang dilindungi gagal, pulih, dan gagal lagi. Ini memastikan Circuit Breaker Anda berfungsi seperti yang diharapkan.
Konfigurasi yang Tepat: Sesuaikan failureThreshold, recoveryTimeout, dan parameter lainnya dengan karakteristik layanan yang dilindungi. Tidak ada satu ukuran yang cocok untuk semua.

Kesimpulan

Circuit Breaker Pattern adalah salah satu pola desain paling fundamental dan efektif untuk membangun sistem terdistribusi yang tangguh dan tahan terhadap kegagalan. Dengan mengisolasi masalah dan mencegah kegagalan beruntun, ia memastikan bahwa aplikasi Anda tetap responsif dan andal, bahkan ketika ada bagian yang bermasalah.

Memahami dan mengimplementasikan Circuit Breaker adalah langkah penting menuju arsitektur yang lebih robust. Ingatlah untuk selalu mengombinasikannya dengan strategi lain seperti Retry dan Fallback, serta melakukan monitoring secara ketat. Dengan demikian, Anda tidak hanya membangun aplikasi, tetapi juga membangun sistem yang mampu bertahan di tengah badai.

Selamat mencoba! Jadikan sistem Anda tangguh seperti baja! 💪