[Eval][v1][zh] Third-party payment gateway timeouts cascade into checkout outage

service: checkout-svccreated: 5/25/2026, 10:21:43 PM

Raw incident context

Time: 18:40 UTC. checkout-svc starts returning HTTP 504 to ~78% of checkout attempts.

Symptoms:
- p99 latency: 28s (hitting our 30s gateway timeout)
- Success rate: 22% (down from 99.5%)
- Thread pool utilization: 100% (all 200 worker threads blocked)
- Inbound queue depth: 4200 requests (queue limit 5000)

Downstream calls (from APM):
- Stripe Connect API (/v1/payment_intents): p99 jumped from 800ms to 27s
- Stripe status page: "Investigating elevated latency for Connect endpoints in us-east-1" (posted 18:35 UTC)
- All other downstream deps (auth-svc, fraud-svc) normal

Our config:
- Stripe call timeout: 30s (matches inbound)
- No circuit breaker on Stripe client
- No bulkhead — Stripe calls share the main worker thread pool

Customer impact:
- Failed checkouts: ~3000 in 5min
- Estimated lost GMV: $180k (so far)

On-call:
- 18:38 — pager
- 18:41 — confirmed Stripe is the culprit (status page + APM)
- 18:43 — debating: wait it out vs disable Stripe path entirely

Summary

SEV1

checkout-svc 因依赖的 Stripe Connect API 在 us-east-1 区域出现高延迟，导致线程池耗尽，78% 的结账请求超时失败。当前成功率为 22%，p99 延迟 28s，已影响约 3000 笔交易，预估损失 GMV $180k。

Severity reasoning: 用户可见的结账功能严重受损（成功率从 99.5% 降至 22%），直接导致收入损失（$180k 且持续增加），符合 SEV1 定义。

deepseek-chat·prompt v1·output: zh·13061ms

Root cause hypotheses

highStripe Connect API 在 us-east-1 区域出现延迟飙升，导致 checkout-svc 的 HTTP 调用超时（30s），线程被阻塞等待响应，最终线程池耗尽。
Evidence: APM 显示 Stripe /v1/payment_intents 的 p99 延迟从 800ms 升至 27s；Stripe 状态页确认 us-east-1 区域 Connect 端点存在高延迟。
highcheckout-svc 未对 Stripe 调用设置熔断器或隔离机制（如 bulkhead），导致单个下游故障耗尽所有工作线程，影响整个服务。
Evidence: 配置中 Stripe 调用超时 30s，无熔断器，且 Stripe 调用与主线程池共享，无隔离。
mediumStripe 延迟导致请求积压，队列深度达 4200（接近上限 5000），新请求被拒绝或等待，进一步加剧线程阻塞。
Evidence: 入站队列深度 4200，线程池利用率 100%，表明请求积压。

Investigation checklist

确认 Stripe 状态页最新更新，判断故障是否仍在持续或已恢复。
```
curl -s https://status.stripe.com/api/v1/incidents | jq '.incidents[] | select(.status != "resolved")'
```
Expected: 返回当前未解决的 incident，确认 us-east-1 Connect 延迟问题是否仍为 'investigating' 或 'identified'。
检查 checkout-svc 当前线程池和队列指标，确认是否仍在耗尽。
```
kubectl exec -n prod deploy/checkout-svc -- curl -s localhost:8080/metrics | grep -E 'thread_pool|queue_depth'
```
Expected: 线程池利用率接近 100%，队列深度接近 5000 上限，则问题持续。
查看 checkout-svc 最近 5 分钟日志，确认超时错误是否全部来自 Stripe 调用。
```
kubectl logs -n prod -l app=checkout-svc --tail=1000 --since=5m | grep -i 'stripe\|timeout\|504' | head -50
```
Expected: 大量日志包含 'stripe' 和 'timeout' 或 '504'，确认根因为 Stripe 超时。
检查其他下游服务（auth-svc, fraud-svc）的延迟是否正常，排除级联故障。
```
kubectl exec -n prod deploy/checkout-svc -- curl -s localhost:8080/metrics | grep -E 'auth_svc|fraud_svc' | grep latency
```
Expected: auth-svc 和 fraud-svc 的延迟正常（p99 < 200ms），无异常。

Mitigation plan

立即启用 Stripe 调用的熔断器，设置失败阈值（如 50% 请求失败时熔断 30 秒），避免线程池被完全耗尽。
Risk: 熔断期间所有 Stripe 支付将立即失败，可能导致更多用户看到错误，但可保护服务整体可用性。
Rollback: 通过配置管理工具（如 Consul/Feature Flag）关闭熔断器，恢复直接调用 Stripe。
如果 Stripe 故障持续超过 5 分钟，考虑临时禁用 Stripe 支付路径，将支付方式降级为仅支持非 Stripe 选项（如 PayPal 或余额），或返回友好错误提示。
Risk: 禁用 Stripe 将导致依赖 Stripe 的支付完全不可用，可能影响部分用户，但可避免线程池耗尽导致整个结账服务不可用。
Rollback: 重新启用 Stripe 支付路径，恢复原有配置。
增加 checkout-svc 的 worker 线程数（如从 200 增至 400）以缓解当前压力，但需注意资源限制。
Risk: 增加线程数可能增加 CPU/内存压力，若 Stripe 延迟不恢复，可能只是延缓线程池耗尽。
Rollback: 将线程数恢复至原值 200。

Customer impact

约 78% 的结账请求失败，用户看到 HTTP 504 超时错误，无法完成支付。过去 5 分钟影响约 3000 笔交易，预估损失 GMV $180k。若故障持续，影响将进一步扩大。

Postmortem draft

事后复盘

摘要

[简要描述事件：checkout-svc 因 Stripe Connect API 延迟导致线程池耗尽，结账成功率骤降]

时间线

18:35 UTC: Stripe 状态页报告 us-east-1 Connect 端点高延迟
18:40 UTC: checkout-svc 开始返回 504，告警触发
18:41 UTC: 确认 Stripe 为根因
[18:43 UTC: 执行缓解措施，如启用熔断器]
[恢复时间]

影响

成功率：99.5% → 22%
p99 延迟：28s
失败交易：~3000
预估损失：$180k

根因

Stripe Connect API 在 us-east-1 区域出现延迟飙升，checkout-svc 未配置熔断器或隔离机制，导致线程池耗尽。

做得好的

快速通过 APM 和状态页定位根因
及时触发告警

做得不好的

未对关键下游依赖配置熔断器
线程池未隔离，单点故障影响全局

行动项

[ ] 为所有外部 HTTP 调用添加熔断器（Hystrix/Resilience4j）
[ ] 对关键下游使用 bulkhead 隔离线程池
[ ] 增加 Stripe 调用超时监控告警
[ ] 制定 Stripe 故障时的降级方案

Follow-ups

P0为 checkout-svc 的所有外部 HTTP 调用添加熔断器（如 Resilience4j），配置合理的失败阈值和半开恢复策略。— service owner
P0对 Stripe 等关键下游依赖实施 bulkhead 隔离，使用独立线程池或信号量，避免耗尽主线程池。— service owner
P1增加 Stripe API 延迟和错误率的监控告警，设置 p99 延迟超过 5s 触发告警。— on-call SRE
P1制定 Stripe 故障时的降级方案，包括禁用 Stripe 支付、切换备用支付提供商等，并编写 runbook。— platform team
P2检查其他服务是否存在类似未隔离的依赖调用，进行风险排查。— platform team

Similar past incidents

lexical match (pg_trgm)