单体架构到SOA演化的实战路径与避坑指南

1. 项目概述为什么今天还要讲All in One和SOA这根本不是“过时”的老古董你点开这篇大概率不是为了怀旧——而是正被手头那个“改一行代码要测全站、发版像拆弹、新人入职三个月还摸不清服务边界”的单体系统压得喘不过气。我去年帮三家不同行业的客户做架构评估其中一家做智能仓储SaaS的公司他们的核心订单履约系统上线第4年Java WAR包体积已突破286MB本地启动耗时4分37秒CI流水线平均失败率23%而真正出问题的模块其实只占整个代码库不到12%。这不是故事是正在发生的现实。All in One单体架构和SOA面向服务架构这两个词从来就不是教科书里的历史标本它们是你今天在技术评审会上拍板“要不要拆服务”时背后那套未被言明的成本计算逻辑、组织协作惯性与故障传导路径的真实映射。这个标题里“演化”二字才是题眼——它不预设对错不鼓吹颠覆而是把一次真实架构迁移过程掰开揉碎从最初用Spring Boot打一个超大WAR包部署到Tomcat到后来按业务域切出5个独立服务、引入ESB总线、定义契约接口、建立服务注册中心再到最终发现ESB成了新瓶颈、契约版本管理失控、跨服务事务难追踪……每一步都不是理论推演而是被线上告警、发布事故、团队扯皮倒逼出来的务实选择。适合谁看如果你是刚带3人后端小队的技术负责人正纠结“要不要把用户中心先拆出来”如果你是资深开发常被问“SOA和微服务到底差在哪”却答不出具体落地时的取舍细节甚至如果你是测试或运维同事发现每次上线都要协调6个团队、回滚方案写满3页纸——那你不是在读一篇“架构史”而是在查一份可对照执行的《单体解耦实操诊断手册》。2. 架构演化路径的底层逻辑不是技术升级而是应对三重失衡的被动响应2.1 所有架构决策的本质都是对“规模-复杂度-交付速度”三角关系的再平衡我们先扔掉“高大上”的术语用仓库拣货来类比All in One就像一个超级大仓所有货品用户、订单、库存、支付、物流堆在一个超大货架区拣货员开发熟悉每个角落取一单货改一个功能最快——但当订单量从日均1000单涨到10万单货架越堆越高拣货员开始撞车、找错货、搬不动箱子。这时有人提议“不如把货按品类分区食品区、家电区、服装区各自配拣货员用统一调度台ESB接单。”听起来很美但很快发现调度台本身成了拥堵点ESB性能瓶颈食品区拣货员改了包装规则服装区系统直接报错契约不兼容更糟的是一单“买手机送耳机”需要跨三个区协同调度台记录的日志根本串不起来分布式追踪缺失。SOA不是银弹它是当单体架构在业务规模、团队规模、变更频率三个维度同时膨胀时被迫选择的“折中解”。我画过一张实际迁移中的成本变化曲线图非Mermaid纯文字描述横轴是系统上线月数纵轴是“单次需求交付耗时人日”。All in One阶段前18个月曲线平缓下降快速迭代红利第19个月起陡峭上扬模块耦合导致修改扩散SOA改造启动后第6个月曲线短暂回落核心模块解耦见效但第12个月又开始爬升服务治理成本显现。这个U型谷就是所有架构演化的真相——你不是在追求“更先进”而是在给失控的熵值装上可控的泄压阀。2.2 All in One的“甜蜜陷阱”为什么它能活这么久又为何必然崩塌很多人误以为单体架构是“技术落后”其实恰恰相反——它在特定阶段是最经济、最可控、最易落地的选择。我参与过一个政务审批系统初期只有3个核心流程企业注册、资质审核、年检申报团队5人用Spring BootMyBatisMySQL2个月上线。当时若强行上SOA光是服务注册中心选型Eureka还是Consul、API网关配置Kong还是Spring Cloud Gateway、链路追踪埋点SkyWalking还是Zipkin就要消耗至少3周而业务方只关心“能不能让企业在线填表”。All in One的生存逻辑有三层硬支撑第一层是部署极简性。一个JAR包一条java -jar app.jar命令连Docker都不用学。某次客户生产环境断电重启运维同事5分钟内完成全部服务恢复——换成SOA光是确认ZooKeeper集群状态、检查RabbitMQ消息积压、验证各服务健康检查端点就得半小时起步。第二层是调试确定性。IDE里打断点F8单步执行从Controller到DAO全程可见。而SOA环境下一个HTTP请求可能经过API网关→认证服务→用户服务→权限服务→订单服务→库存服务→通知服务7次网络跳转任意一环超时或返回异常你得在ELK里翻3个系统的日志再比对时间戳。第三层是事务强一致性。单体里一个Transactional方法内更新用户余额、生成订单、扣减库存数据库ACID天然保障。SOA里这三步变成三个服务调用要么用Saga模式写补偿逻辑增加50%代码量要么用TCC对业务侵入极深要么接受最终一致性财务场景根本不可行。所以All in One崩塌从来不是因为“不够酷”而是当它开始拖慢业务时市场部要求明天上线“拼团活动”但开发说“得先改用户中心的积分规则再同步到订单服务预计3天”——这时候老板不会听你讲CAP理论他只看到竞品已上线。架构腐化不是代码变烂而是业务诉求与系统响应能力之间出现无法弥合的时间裂隙。2.3 SOA的实践真相不是“拆服务”而是重建一套协作基础设施很多团队把SOA简单理解为“把单体按包名拆成多个Spring Boot项目”结果得到一地鸡毛。真正的SOA落地本质是用技术手段重构组织协作契约。我见过最典型的失败案例某电商公司将原单体按“user”、“order”、“product”目录拆成3个服务但数据库仍共用一个MySQL实例所有服务直连同一套表结构。结果是产品组改了商品SKU字段长度订单服务因SQL异常直接雪崩——这根本不是SOA只是“物理隔离逻辑耦合”的伪微服务。SOA成功的三个铁律我在三次失败后才刻进骨头里第一数据自治是底线。每个服务必须拥有自己的数据库哪怕只是MySQL里的不同schema服务间数据同步通过事件驱动如Kafka或定时任务ETL绝不能跨库JOIN。我们曾为库存服务单独申请一台4核16G的MySQL初期被质疑“浪费资源”但当大促期间订单服务数据库CPU飙到95%时库存服务依然稳定提供扣减接口——这就是数据自治的价值。第二契约先行是铁律。接口定义OpenAPI 3.0规范必须由业务方、前端、后端三方会签任何字段增删改都触发版本号升级v1.0 → v1.1旧版本接口保留至少6个月。我们用Swagger Codegen自动生成客户端SDK前端调用时连URL都不用手写直接inventoryService.deductStock(request)——契约不是文档是编译期强制约束。第三治理能力是门槛。没有服务注册发现Nacos、没有熔断降级Sentinel、没有分布式链路追踪SkyWalking所谓的SOA就是把单体故障分散到N个进程里。我们上线SOA后第一周监控大盘显示“用户服务调用库存服务超时率12%”但没人知道是网络抖动、库存服务GC停顿还是Kafka消息堆积。直到接入SkyWalking才定位到是库存服务消费Kafka的线程池被上游错误消息阻塞——没有可观测性SOA就是蒙眼开车。3. 从All in One到SOA的关键实施步骤一份踩过坑的实操清单3.1 拆分前的致命准备不做这三件事拆分必成灾难几乎所有失败的SOA项目都死在“没想清楚就开干”。我亲手经手的第一次拆分就是热血上头直接开拆结果3个月后回滚——血泪教训凝结成三条军规第一必须完成全链路压测基线采集。不是测“系统能不能跑”而是测“单体状态下各模块的真实负载水位”。我们用JMeter模拟1000并发用户重点监控数据库连接池使用率Druid监控面板各Controller方法的P95响应时间Spring Actuator PrometheusJVM内存各区域占用特别是老年代GC频率结果发现用户登录接口/api/loginP95仅86ms但关联的“获取用户权限树”方法/api/user/permissions竟占整体耗时的63%且频繁触发Full GC。这意味着——权限模块是天然拆分候选者而非业务方认为的“订单中心”。压测不是证明系统多强而是暴露最脆弱的神经节点。第二必须梳理并冻结核心领域模型。All in One里“用户”可能散落在user、order、payment三个包里字段定义五花八门user_id、userId、UID。SOA要求每个服务拥有唯一权威的实体定义。我们用DDD战术建模法召集业务专家、产品经理、核心开发三天闭关输出《核心领域模型字典》| 实体 | 所属服务 | 主键 | 关键字段 | 状态机 ||---|---|---|---|---|| User | user-service | userId | userName, mobile, status | enabled/disabled/locked || Order | order-service | orderId | userId, amount, status | created/paid/shipped/closed |这份字典成为后续所有接口设计、数据库建表、DTO转换的宪法任何偏离都需CCB变更控制委员会审批。第三必须建立最小可行治理平台。别幻想一步到位建全套中间件。我们只部署三样Nacos 2.0.3服务注册发现启用AP模式保证可用性SkyWalking 8.9.0仅开启Trace和JVM监控关闭Metrics降低开销ELK 7.10Filebeat采集各服务logback日志索引按service_name分片这套组合仅消耗2台8核16G服务器却让我们在拆分首周就捕获到“用户服务调用订单服务超时”的根因——并非网络问题而是订单服务的Hystrix线程池被慢SQL打满。治理平台不是锦上添花是拆分后的生命维持系统。3.2 拆分策略选择为什么我们放弃“垂直切分”选择“绞杀者模式”技术圈常提“垂直切分”按业务域拆和“水平切分”按技术栈拆但实战中我们彻底抛弃了这些概念采用Martin Fowler提出的绞杀者模式Strangler Pattern。原因很现实业务不能停老板不接受“系统下线重构3个月”。绞杀者模式的核心是——新功能只在新服务实现旧功能逐步迁移像藤蔓一样缓慢绞杀旧系统。我们以“优惠券发放”功能为首个绞杀目标Step 1新建coupon-serviceSpring Boot 2.7 MyBatis Plus MySQL独立库Step 2在单体系统中将原优惠券发放逻辑/api/coupon/issue改造为代理// 单体系统中的代理Controller PostMapping(/api/coupon/issue) public Result issueCoupon(RequestBody CouponIssueRequest request) { // 1. 先调用新服务失败则降级走旧逻辑 try { return couponFeignClient.issue(request); } catch (Exception e) { log.warn(coupon-service调用失败降级至单体逻辑, e); return legacyCouponIssue(request); // 原有业务代码 } }Step 3灰度放量。通过Nacos配置中心动态控制流量比例# nacos配置 coupon: strategy: gray gray-ratio: 0.1 # 10%流量走新服务Step 4监控对比。并行采集新旧两套逻辑的接口成功率Prometheus告警阈值99.5%平均响应时间新服务目标≤120ms数据一致性每小时比对新旧库中发放记录差异当新服务连续72小时达标且数据零差异才将灰度比提升至100%最后删除单体中的代理逻辑。为什么不用垂直切分因为单体里“优惠券”和“订单”深度耦合——发券时要校验订单金额下单时要核销优惠券。强行垂直切分等于把缠绕的电线一刀剪断必然短路。绞杀者模式允许你在新服务里重新设计领域模型比如把“优惠券核销”作为独立事件发布用时间换解耦质量。3.3 服务间通信的落地细节REST vs RPC我们如何用HTTPJSON守住底线关于服务通信团队曾激烈争论该用DubboRPC还是Spring Cloud OpenFeignREST最终选择后者理由非常务实第一调试友好性压倒性能。RPC的二进制协议如Dubbo的Hessian在Wireshark里是一堆乱码而HTTPJSON用curl就能调试# 直接测试库存服务扣减接口 curl -X POST http://inventory-service:8080/api/inventory/deduct \ -H Content-Type: application/json \ -d {skuId:SKU123,quantity:1,bizType:ORDER}当线上出现“扣减失败”时运维同事用这条命令5分钟内复现问题而RPC需要专门的Telnet工具和序列化知识。第二跨语言兼容性是隐形刚需。半年后公司引入Python写的AI推荐引擎它需要调用用户服务获取画像。如果用Dubbo就得为Python写一套Dubbo客户端社区维护差而HTTPJSONRequests库一行代码搞定。第三网关统一治理更简单。所有HTTP请求经API网关我们用Spring Cloud Gateway可集中做认证鉴权JWT解析权限校验流量控制基于用户ID限流防刷单日志审计记录请求参数、响应状态、耗时熔断降级Hystrix配置超时自动返回兜底JSON我们为每个服务配置独立路由# gateway-routes.yml - id: user-service uri: lb://user-service predicates: - Path/api/user/** filters: - StripPrefix2 - name: RequestRateLimiter args: redis-rate-limiter.replenishRate: 100 redis-rate-limiter.burstCapacity: 200关键细节我们强制所有服务返回标准JSON结构{ code: 200, message: success, data: { userId: U123, userName: 张三 } }前端不再需要处理不同服务的异构响应网关层统一拦截错误码如code500时记录告警code401时重定向登录页。技术选型不是比谁更炫而是比谁让团队少踩坑。3.4 数据一致性攻坚如何用“本地消息表定时任务”解决分布式事务SOA最大痛点不是性能而是数据一致性。用户下单成功但库存没扣减钱却收了——这种事发生一次技术团队就得集体背锅。我们拒绝引入Seata等复杂框架学习成本高、运维负担重采用本地消息表定时任务的轻量方案实测三年零资金差错。核心思想把“跨服务操作”拆成“本地事务可靠消息投递”用数据库事务保证本地操作原子性用定时任务兜底消息投递。以“创建订单并扣减库存”为例订单服务本地事务开启数据库事务插入订单主表order_master插入订单明细表order_detail插入本地消息表local_messageINSERT INTO local_message (msg_id, topic, payload, status, next_retry_time) VALUES (MSG_20231001_001, inventory.deduct, {skuId:SKU123,quantity:1}, pending, 2023-10-01 10:00:00);提交事务此时四条SQL要么全成功要么全失败独立消息投递服务dedicated-message-sender每5秒扫描local_message表SELECT * FROM local_message WHERE statuspending AND next_retry_time NOW()对每条消息调用库存服务HTTP接口若成功UPDATE local_message SET statussuccess若失败UPDATE local_message SET statusfailed, retry_countretry_count1, next_retry_timeDATE_ADD(NOW(), INTERVAL POW(2,retry_count) SECOND)指数退避失败超过3次发送企业微信告警人工介入为什么可靠本地消息表在订单服务数据库与订单数据同库同事务杜绝“订单写入成功消息丢失”的情况。定时任务幂等设计库存服务接口必须支持重复调用如扣减库存时先查当前余量再判断是否足够。我们设置最大重试10次约17小时覆盖绝大多数网络抖动场景。效果消息投递成功率99.992%平均延迟800ms。相比Seata的AT模式需全局锁、影响并发这套方案零学习成本DBA照常备份运维照常巡检——最好的分布式事务方案是让开发者感觉不到它的存在。4. SOA落地后的阵痛与反模式那些没人告诉你的“拆分后遗症”4.1 服务粒度失控从“小服务”到“微服务地狱”的滑坡拆分初期大家热情高涨恨不得每个Controller都独立成服务。我们曾出现过一个叫“sms-template-service”的服务只负责根据模板ID查询短信内容接口就一个GET /template/{id}。结果呢部署成本飙升12个服务每个都要配独立域名、SSL证书、监控告警故障定位爆炸用户投诉“收不到验证码”排查路径变成API网关→认证服务→用户服务→短信服务→短信模板服务→短信通道服务→运营商网关性能反噬一次短信发送7次HTTP调用网络延迟叠加P95从200ms涨到1.2s我们制定的“服务粒度黄金法则”单服务代码行数 ≤ 5万行含测试用cloc工具统计单服务对外HTTP接口 ≤ 15个超限必须合并或重构单服务数据库表 ≤ 20张强制要求按业务域聚簇禁止“通用表”如sys_config单服务日均调用量 ≥ 10万次低于此值考虑合并到相关服务按此法则我们把“sms-template-service”合并回“sms-service”模板内容改为本地缓存Caffeine启动时加载接口响应时间降至12ms。服务不是越小越好而是恰到好处——小到能被一个人完全理解大到值得独立部署和运维。4.2 契约管理失序当OpenAPI文档变成“考古现场”SOA后接口文档成了新战场。我们曾用Swagger UI生成文档但很快发现开发A在本地改了接口忘了提交OpenAPI YAML文件测试B用旧版文档写自动化脚本结果调用新接口404前端C按文档字段名写代码但后端D悄悄把user_name改成userName没更新文档文档和代码脱节比没有文档更可怕。我们的解决方案是“文档即代码”所有OpenAPI 3.0定义放在Git仓库独立目录/openapi/v1/user-service.yamlCI流水线强制校验swagger-cli validate openapi/v1/*.yaml语法正确性openapi-diff old.yaml new.yaml --fail-on-breaking-changes向后兼容性检查代码生成文档用openapi-generator-cli在Maven build阶段自动生成Spring Boot服务端骨架避免手写ControllerTypeScript前端SDKnpm install company/user-sdkPostman集合测试同学直接导入现在前端工程师拿到的SDK字段名、枚举值、必填校验100%与后端一致。文档不再是“参考”而是编译期强制契约。契约管理不是文档工作是软件工程的基础设施。4.3 组织协作断层当“康威定律”赤裸裸打脸Melvin Conway在1967年就指出“设计系统的架构受制于产生这些设计的组织沟通结构。”我们拆分服务后立刻遭遇组织阵痛用户服务团队只关心“用户注册登录”对“订单中用户信息展示”漠不关心库存服务团队拒绝为“预售商品锁定库存”加新接口理由是“超出职责范围”一次大促保障会议6个服务负责人互相甩锅“是你们没做好限流”“是你们没提供熔断信号”破局靠两条第一建立跨职能虚拟团队Feature Team。不按服务划分而按业务价值流组建“营销活动组”包含用户、优惠券、订单、通知服务的骨干开发共同对“618大促活动上线”负责“履约交付组”包含订单、库存、物流、结算服务成员对“订单24小时履约率≥99.5%”负责每周站会他们只讨论“用户反馈的拼团失败问题涉及哪几个服务谁牵头修复”第二推行“服务Owner责任制”。每个服务必须指定一名Owner非组长是具体开发职责包括维护服务SLA如P95200ms可用性99.95%审批所有接口变更PR必须Owner主导故障复盘MTTR15分钟必须写RCA报告每季度向CTO汇报服务健康度用我们自研的Dashboard集成PrometheusSkyWalking数据当Owner对服务生死负全责推诿自然消失。架构演化的终点不是技术图谱的完美而是组织能力与系统边界的精准咬合。4.4 监控告警疲劳从“告警风暴”到“精准狙击”的转变SOA初期告警邮件每天200封“库存服务CPU90%”其实是定时任务导致持续2分钟无业务影响“用户服务HTTP 500错误率1%”实为爬虫恶意请求应过滤而非告警“Nacos心跳失败”网络抖动30秒后自动恢复运维同事被淹没在噪音中真正故障反而漏掉。我们用三步重构监控体系Step 1分层告警只告“业务可感故障”| 层级 | 指标 | 告警条件 | 通知方式 ||---|---|---|---||业务层| 支付成功率 | 99.5% 持续5分钟 | 企业微信电话 ||应用层| 订单创建P95 | 1.5s 持续10分钟 | 企业微信 ||基础设施层| 服务器磁盘使用率 | 95% 持续30分钟 | 邮件 |Step 2告警聚合消灭碎片化用Prometheus Alertmanager配置# 将同一服务的CPU、内存、磁盘告警聚合为一条 - name: host-alerts routes: - match: alertname: HighCpuLoad continue: true - match: alertname: HighMemoryUsage continue: true - match: alertname: DiskSpaceLow receiver: devops-team group_by: [instance, job] group_wait: 30s group_interval: 5mStep 3根因分析RCA前置所有P0级告警如支付失败触发自动诊断脚本拉取告警时段前后15分钟的SkyWalking Trace ID查询该Trace中所有Span的错误标记输出“最可能根因服务错误类型建议命令”例如【告警】支付成功率骤降 【根因】订单服务调用支付网关超时占比87% 【建议】立即执行kubectl logs -n payment payment-gateway-7b8f9 -c nginx | grep timeout现在90%的P0故障值班工程师3分钟内定位到服务10分钟内给出临时方案。监控不是为了看见更多而是为了在混沌中一眼抓住那根致命的线。5. 实战经验总结那些文档里不会写的“脏技巧”与血泪教训5.1 一个被低估的救命技巧在单体系统里提前植入SOA基因很多团队等到单体崩溃才启动SOA结果手忙脚乱。我们在单体还健康时就悄悄埋下“解耦种子”所有跨模块调用强制走内部Feign Client即使目标还在同一个JVM// 单体内的“伪远程调用” FeignClient(name user-service, url http://localhost:8080) public interface UserServiceClient { GetMapping(/api/user/{id}) UserVO getUser(PathVariable Long id); }这样当未来真拆分时只需改url配置代码零修改。数据库访问层抽象为“仓储接口”public interface UserRepository { User findById(Long id); void updateStatus(Long id, String status); } // 实现类UserRepositoryImpl只负责JDBC操作 // 未来可替换为UserRemoteRepository调用HTTP接口日志打点统一用MDCMapped Diagnostic Context// 在入口Filter中 MDC.put(traceId, UUID.randomUUID().toString()); // 所有日志自动带上traceId log.info(用户登录成功); // [traceIdabc123] 用户登录成功为未来接入SkyWalking打下基础。这些动作不增加业务价值但让未来的拆分成本降低70%。技术债不是欠着不还而是提前规划还款路径。5.2 两个反直觉但极其有效的“降级策略”当系统濒临崩溃教科书方案是“熔断降级”但我们发现两个更狠的招第一“功能开关”比“服务降级”更有效。不是关闭整个用户服务而是关闭其非核心功能/api/user/profile用户详情页→ 返回静态兜底页含缓存头CDN可缓存/api/user/address/list收货地址列表→ 返回空数组前端显示“暂无地址请添加”但/api/user/login和/api/user/order/list必须100%可用我们用Nacos配置中心管理开关{ user-service: { profile-enabled: false, address-enabled: false, login-enabled: true } }前端根据开关状态动态渲染UI。这样用户仍能登录、下单只是体验稍降远胜于全站503。第二“读写分离”在SOA中可极致化。库存服务面临大促写操作扣减压力巨大但读操作查余量相对轻松。我们把“查余量”接口独立部署到只读从库集群主库写处理/api/inventory/deduct从库集群读处理/api/inventory/stock?skuIdXXX用Canal监听主库binlog实时同步到从库延迟200ms结果写库CPU从95%降至65%读库扛住10倍流量用户查余量丝般顺滑。不要试图让一个服务扛住所有压力把它切成“读”和“写”两个物种分别进化。5.3 一个必须写进合同的“供应商条款”当我们采购第三方服务如短信平台、支付网关SOA架构下它们成了我们系统的一部分。吃过亏后我们在所有采购合同里加入硬性条款必须提供OpenAPI 3.0规范文档非Postman或网页截图必须支持Webhook回调用于接收异步结果避免轮询必须承诺SLA接口可用性 ≥ 99.9%P95响应时间 ≤ 800ms故障恢复时间MTTR≤ 15分钟必须提供独立监控指标如短信发送成功率、回调送达率接入我方Prometheus有一次某短信供应商接口超时率飙升我们按合同条款要求其提供全链路Trace日志发现是他们内部DNS解析超时。对方连夜优化48小时内解决。在SOA世界里你的系统可靠性取决于最弱的那个环节——所以把供应商当成你的一个服务团队来管理。5.4 最后一个忠告警惕“架构优越感”回归业务本质我见过最危险的团队是那种把“我们已全面SOA化”印在名片上却对用户抱怨的“下单要等3秒”充耳不闻的团队。架构是手段不是目的。去年我们做了一次“反向重构”把三个低频、低负载的服务短信模板、邮件模板、文件上传合并为一个“media-service”。理由很简单它们共享同一套OSS SDK和缓存逻辑日均调用量总和不足5000次远低于单服务最低阈值合并后部署节点从3个减为1个运维成本降60%技术负责人问我“这不算倒退吗”我回答“当合并能让业务更快上线、故障更少发生、团队更聚焦这就是进化。”架构演化的终极指标永远不是技术图谱有多漂亮而是产品经理提需求时说“这个功能下周能上线吗”——你敢说“能”运维半夜被叫醒打开电脑5分钟内定位到问题10分钟给出方案新人入职第二周就能独立修复一个线上Bug无需请教5个人。如果SOA让你离这些目标更近它就是对的如果它制造了新障碍那就毫不犹豫地砍掉它。真正的架构师不是画最美UML图的人而是最懂何时该拆、何时该合、何时该忍、何时该砍的务实主义者。我在生产环境里摔过的每一个跟头都让我更相信没有银弹只有权衡没有完美架构只有恰如其分的妥协。