Queue melambat saat traffic naik sering terlihat seperti masalah kapasitas CPU atau kebutuhan menambah worker. Dalam praktiknya, penyebab utamanya sering justru ada di jalur koordinasi: lock terlalu kasar, retry yang meledak, poison message yang terus diputar, cache stampede, hot key, prefetch terlalu besar, idempotensi lemah, atau write-behind yang tidak konsisten.

Jika backlog bertambah, latency antrean naik, dan worker terlihat aktif tetapi throughput turun, jangan langsung menyimpulkan broker atau mesin kurang kuat. Audit dulu overhead operasional di sekitar worker. Polanya mirip dengan konteks umum bahwa sistem modern bisa “melambat” bukan karena compute inti, melainkan karena koordinasi, sinkronisasi, dan pengulangan kerja yang tidak perlu.

Gejala queue melambat yang perlu dicurigai

Sebelum mengubah konfigurasi atau menambah instance, pastikan gejalanya terukur. Beberapa tanda berikut biasanya muncul lebih dulu daripada outage penuh:

  • Backlog terus naik meski jumlah worker sudah ditambah.
  • Queue latency atau age of oldest message membesar.
  • Consumer lag tidak turun walau CPU worker tidak penuh.
  • Retry rate melonjak dan pesan yang sama muncul berulang.
  • Redis/database/broker justru menjadi bottleneck, bukan proses bisnis utama.
  • P95/P99 processing time memburuk jauh lebih besar daripada median.
  • Throughput turun saat concurrency dinaikkan, tanda kuat adanya contention.

Jika throughput menurun saat concurrency naik, curigai adanya shared resource yang diperebutkan. Worker tambahan tidak menambah hasil, hanya menambah kompetisi.

Metrik yang wajib dilihat saat audit worker

Audit queue yang baik dimulai dari korelasi metrik broker, worker, cache, dan storage. Jangan hanya melihat jumlah job per detik.

Metrik antrean dan broker

  • Queue depth / backlog: jumlah pesan menunggu.
  • Message age: umur pesan tertua.
  • Ack/nack rate: rasio pesan berhasil dan gagal.
  • Redelivery / retry count: seberapa sering pesan diproses ulang.
  • Prefetch / in-flight messages: jumlah pesan yang sudah diambil tetapi belum di-ack.

Metrik worker

  • Throughput per worker.
  • Processing time per job, terutama P95/P99.
  • Time spent waiting pada lock, DB, cache, API eksternal.
  • Error class distribution: timeout, conflict, validation, dependency failure.
  • Concurrency efektif: berapa job benar-benar jalan paralel versus menunggu.

Metrik cache, lock, dan storage

  • Cache hit/miss ratio.
  • Hot key frequency: kunci yang diakses terlalu sering.
  • Lock acquisition latency dan lock timeout.
  • DB contention: row lock wait, deadlock, slow query, connection pool saturation.
  • Write amplification: satu job memicu terlalu banyak write kecil.

Prinsip penting: amati alur satu job end-to-end. Job bisa tampak “lama” bukan karena compute, tetapi karena menunggu lock 400 ms, retry 3 kali, lalu menulis cache yang saling menimpa.

Root cause nyata yang paling sering membuat queue melambat

1. Lock contention: worker banyak, progres sedikit

Lock dibutuhkan untuk mencegah duplikasi atau menjaga konsistensi. Masalah muncul ketika lock terlalu kasar, durasinya terlalu lama, atau diambil terlalu awal. Misalnya satu lock per customer, tenant, atau resource global membuat banyak job menunggu antrian tersembunyi di luar broker.

Gejala:

  • CPU worker rendah, tetapi latency tinggi.
  • Throughput tidak naik ketika jumlah worker ditambah.
  • Banyak timeout saat acquire lock.

Audit:

  • Petakan scope lock: per job, per entity, atau global.
  • Ukur berapa lama lock dipegang, bukan hanya apakah lock berhasil.
  • Cari operasi lambat di dalam critical section, terutama query, network call, atau serialization.

Mitigasi:

  • Kecilkan scope lock ke entity paling sempit yang aman.
  • Pindahkan I/O lambat ke luar critical section.
  • Gunakan teknik compare-and-set atau unique constraint jika cukup.
  • Untuk lock yang memang perlu, beri TTL dan observabilitas yang jelas.
// Pseudo-code: lock terlalu lama karena I/O berada di dalam critical section
lock("order:" + orderId)
try {
  data = db.loadOrder(orderId)
  result = externalApi.charge(data)   // buruk: network call di dalam lock
  db.savePaymentResult(orderId, result)
} finally {
  unlock("order:" + orderId)
}

// Lebih baik: validasi state, lakukan I/O seperlunya, lalu commit singkat
snapshot = db.loadOrder(orderId)
result = externalApi.charge(snapshot)
lock("order:" + orderId)
try {
  current = db.loadOrder(orderId)
  if current.payment_status == "paid" {
    return
  }
  db.savePaymentResult(orderId, result)
} finally {
  unlock("order:" + orderId)
}

2. Retry storm: kegagalan kecil berubah jadi badai

Retry membantu mengatasi gangguan sementara. Namun tanpa batas, jitter, dan klasifikasi error, retry justru memperbesar beban pada dependency yang sedang sakit. Worker makin sibuk mengulang pekerjaan yang hampir pasti gagal.

Gejala:

  • Lonjakan retry sejalan dengan peningkatan timeout.
  • Dependency eksternal makin lambat setelah retry aktif.
  • Queue depth membesar meski jenis job sama.

Kesalahan umum:

  • Retry semua error, termasuk error permanen seperti validasi gagal.
  • Retry langsung tanpa backoff dan jitter.
  • Tidak ada dead-letter queue untuk memisahkan pesan bermasalah.

Mitigasi:

  • Klasifikasikan error menjadi transient dan permanent.
  • Gunakan exponential backoff dengan jitter.
  • Terapkan circuit breaker jika dependency eksternal sedang bermasalah.
  • Batasi retry total dan kirim ke DLQ setelah ambang tertentu.
function process(job) {
  try {
    handle(job)
    ack(job)
  } catch (err) {
    if (isPermanent(err)) {
      sendToDeadLetter(job, err)
      ack(job)
      return
    }

    delay = backoffWithJitter(job.retryCount)
    requeue(job, delay)
  }
}

3. Poison message: satu pesan merusak aliran

Poison message adalah pesan yang selalu gagal diproses karena data rusak, skema tidak cocok, asumsi bisnis salah, atau bug deterministik. Jika terus di-retry, ia memakan slot worker dan menahan pesan sehat di belakangnya, terutama pada antrean FIFO atau partisi yang sama.

Audit:

  • Lihat pesan dengan retry tertinggi.
  • Bandingkan payload gagal dengan payload sukses.
  • Periksa perubahan skema, serializer, dan kompatibilitas event.

Mitigasi:

  • Gunakan DLQ dan alert untuk pesan yang melewati ambang retry.
  • Validasi payload sedini mungkin.
  • Pastikan perubahan skema bersifat backward-compatible atau punya migrasi jelas.

4. Cache stampede dan hot key: cache ada, tapi tetap lambat

Cache tidak otomatis mempercepat worker. Jika banyak worker serempak miss pada key yang sama, semuanya akan menghantam database atau API yang sama. Ini disebut cache stampede. Variasi lain adalah hot key, yaitu satu key diakses sangat sering sampai menjadi titik panas di cache layer.

Gejala:

  • Miss cache meningkat sesaat sebelum DB melonjak.
  • Satu key atau satu tenant mendominasi traffic cache.
  • Latency cache sendiri naik walau hit ratio terlihat baik.

Mitigasi:

  • Gunakan single-flight atau request coalescing agar hanya satu worker yang mengisi key.
  • Tambahkan TTL dengan jitter agar expiry tidak serempak.
  • Pecah hot key bila memungkinkan, misalnya per shard atau bucket.
  • Cache negative result untuk kasus tertentu agar miss berulang tidak menghantam origin.
// Pseudo-code: mencegah stampede saat cache miss
value = cache.get(key)
if value != null {
  return value
}

if lock.tryAcquire("fill:" + key, ttl=5s) {
  try {
    value = loadFromDatabase(key)
    cache.set(key, value, ttl=randomizedTtl())
    return value
  } finally {
    lock.release("fill:" + key)
  }
}

sleep(shortJitter())
return cache.get(key) ?? loadFromDatabase(key)

5. Prefetch terlalu besar: pesan diambil cepat, selesai lambat

Prefetch yang besar terlihat efisien karena worker tidak sering meminta pesan baru. Namun jika setiap worker menahan terlalu banyak pesan in-flight, pesan itu tidak bisa diproses worker lain yang mungkin sedang idle. Efeknya: fairness buruk, retry tertunda, dan memory pressure naik.

Gejala:

  • Banyak pesan in-flight, tetapi sedikit yang benar-benar selesai per detik.
  • Satu worker memegang batch besar dan menjadi lambat saat ada job berat.
  • Shutdown atau crash menyebabkan banyak pesan kembali sekaligus.

Mitigasi:

  • Kecilkan prefetch untuk job berat atau durasi tidak seragam.
  • Pisahkan antrean untuk job cepat dan job lambat.
  • Sesuaikan concurrency dengan kapasitas dependency, bukan hanya CPU.

6. Idempotensi lemah: duplicate work diam-diam menggerus throughput

Pada sistem at-least-once, duplicate delivery adalah hal normal. Jika handler tidak idempotent, satu event dapat memicu write ganda, charge ganda, invalidasi cache berulang, atau konflik transaksi. Walau tidak selalu terlihat sebagai error, throughput turun karena sistem mengerjakan ulang hal yang sama.

Mitigasi umum:

  • Simpan idempotency key berdasarkan event ID atau kombinasi business key.
  • Gunakan unique constraint di storage yang tahan terhadap race.
  • Buat operasi handler aman jika dijalankan lebih dari sekali.
function handlePaymentEvent(event) {
  if db.exists("processed_events", event.id) {
    return
  }

  db.transaction(() => {
    db.insert("processed_events", { id: event.id })
    db.applyBusinessUpdate(event.orderId, event.amount)
  })
}

Pola di atas lebih realistis daripada berharap broker memberi exactly-once secara penuh di seluruh sistem. Biasanya yang lebih penting adalah effectively-once di level business effect.

7. Write-behind yang tidak konsisten

Write-behind berguna untuk meredam write sinkron dan menaikkan throughput. Namun jika flush tertunda, gagal, atau urutannya tidak stabil, state cache dan database dapat berbeda. Saat worker lain membaca state lama, ia bisa menjadwalkan kerja tambahan yang sebenarnya tidak perlu.

Gejala:

  • State tampak “bolak-balik” antara cache dan database.
  • Job kompensasi atau koreksi muncul lebih sering.
  • Read-after-write tidak konsisten pada jalur tertentu.

Mitigasi:

  • Gunakan write-behind hanya untuk data yang toleran terhadap delay.
  • Tambahkan versioning atau sequence number agar update out-of-order bisa dideteksi.
  • Pastikan ada mekanisme flush yang observabel dan bisa direkonsiliasi.

Contoh arsitektur audit untuk queue yang makin lambat

Arsitektur berikut cukup umum dan cocok untuk memetakan sumber overhead:

[Producer/API]
    |
    v
[Broker / Queue]
    |
    v
[Worker Pool] --reads/writes--> [Redis Cache/Lock]
    |                             |
    |                             v
    +----------queries----------> [Database]
    |
    +------calls external------> [Third-party API]
    |
    +------failed messages----> [Dead-letter Queue]

Pada arsitektur ini, audit perlu menjawab beberapa pertanyaan konkret:

  1. Apakah bottleneck ada di broker, worker, cache/lock, database, atau dependency eksternal?
  2. Apakah worker banyak menunggu lock atau connection pool?
  3. Apakah retry memperbesar traffic ke dependency yang sedang gagal?
  4. Apakah hot key di Redis atau row tertentu di database diperebutkan?
  5. Apakah prefetch membuat distribusi kerja tidak adil?

Langkah audit praktis: urutan yang aman dan efektif

1. Tetapkan baseline sebelum mengubah apa pun

Catat backlog, throughput, queue latency, retry rate, processing time P50/P95/P99, dan error rate per jenis. Tanpa baseline, perubahan konfigurasi mudah menipu.

2. Ikuti satu job dari broker sampai side effect

Gunakan tracing atau log korelasi untuk satu job. Ukur waktu di setiap tahap:

  • Menunggu di queue
  • Diambil worker
  • Menunggu lock
  • Akses cache
  • Query database
  • API eksternal
  • Ack atau requeue

Sering kali total waktu terbesar justru ada di tunggu lock atau retry delay.

3. Segmentasikan job berdasarkan tipe dan biaya

Jangan campur semua job dalam satu histogram. Job CPU-bound, I/O-bound, dan job yang memanggil API eksternal punya profil bottleneck berbeda. Pisahkan antrean atau minimal beri label metrik per tipe job.

4. Cari distribusi yang tidak sehat, bukan hanya rata-rata

Average menipu. Lock contention, poison message, dan hot key biasanya terlihat di tail latency, top offenders, dan cardinality tertentu seperti tenant, customer, atau entity ID.

5. Uji hipotesis dengan perubahan kecil

Contohnya:

  • Turunkan prefetch untuk antrean tertentu.
  • Matikan retry untuk error permanen.
  • Tambahkan jitter pada TTL cache.
  • Persempit scope lock pada satu handler.

Perubahan kecil lebih aman dan lebih mudah dikaitkan dengan hasil observasi.

Trade-off at-least-once vs exactly-once

Dalam sistem queue/worker, at-least-once lebih umum dan realistis. Pesan bisa diproses lebih dari sekali, tetapi peluang kehilangan pesan lebih kecil. Konsekuensinya, aplikasi harus mendukung idempotensi dan deduplikasi.

Exactly-once terdengar ideal, tetapi biasanya mahal dan sempit ruang lingkupnya. Bahkan jika broker menawarkan semantik tertentu, side effect ke database, cache, email, atau API eksternal belum otomatis menjadi exactly-once. Di sinilah banyak tim salah paham.

Kapan memilih at-least-once

  • Sebagian besar sistem event-driven dan background job umum.
  • Saat duplicate processing masih bisa ditangani dengan idempotency key atau unique constraint.
  • Saat prioritas utama adalah reliabilitas dan throughput.

Kapan butuh jaminan lebih ketat

  • Operasi finansial atau perubahan state kritis dengan dampak tinggi.
  • Alur yang perlu audit kuat dan kompensasi jelas.

Dalam banyak kasus, pendekatan praktis adalah at-least-once + idempotent handler + durable dedup store. Ini lebih sederhana dioperasikan daripada mengejar exactly-once end-to-end yang sulit dibuktikan.

Pseudo-code worker yang lebih tahan terhadap slowdown

function workerLoop() {
  while (true) {
    job = broker.fetch(prefetchTuned)
    if (!job) continue

    startTrace(job.id)
    start = now()

    try {
      validate(job.payload)

      if (dedupStore.seen(job.id)) {
        ack(job)
        continue
      }

      result = executeWithTimeout(() => {
        return withNarrowLock(job.resourceKey, () => {
          return handleBusinessLogic(job)
        })
      })

      dedupStore.markSeen(job.id)
      ack(job)
      metrics.observeSuccess(now() - start)

    } catch (err) {
      metrics.observeFailure(err)

      if (isPermanent(err)) {
        deadLetter(job, err)
        ack(job)
        continue
      }

      if (job.retryCount >= MAX_RETRY) {
        deadLetter(job, err)
        ack(job)
        continue
      }

      requeue(job, backoffWithJitter(job.retryCount))
    }
  }
}

Poin penting dari alur ini:

  • Validasi cepat agar payload buruk tidak menghabiskan resource.
  • Dedup lebih awal untuk mencegah kerja berulang.
  • Lock sempit hanya pada bagian yang perlu konsistensi.
  • Timeout agar job tidak menggantung tanpa batas.
  • DLQ untuk memotong poison message dan retry tak sehat.

Checklist runbook saat queue melambat

  1. Periksa backlog, age of oldest message, dan in-flight count.
  2. Bandingkan throughput sebelum dan sesudah beban naik.
  3. Lihat retry rate dan 5 error class teratas.
  4. Identifikasi job dengan processing time P99 tertinggi.
  5. Ukur lock wait time dan resource key yang paling sering diperebutkan.
  6. Periksa hot key cache dan lonjakan miss ratio.
  7. Evaluasi prefetch: terlalu besar atau tidak sesuai tipe job.
  8. Pastikan poison message masuk DLQ, bukan diputar terus.
  9. Audit idempotency key, dedup store, dan unique constraint.
  10. Tinjau write-behind: ada delay flush, reorder, atau state stale?
  11. Jika memanggil API eksternal, cek timeout, circuit breaker, dan backoff.
  12. Lakukan perubahan kecil satu per satu, ukur lagi dampaknya.

Kesalahan umum yang memperparah masalah

  • Menambah worker tanpa batas saat bottleneck ada di DB, cache, atau lock.
  • Menggabungkan job cepat dan lambat dalam antrean yang sama.
  • Menganggap cache selalu membantu tanpa memantau stampede dan hot key.
  • Menggunakan retry sebagai obat universal.
  • Tidak punya DLQ atau punya DLQ tetapi tidak pernah dipantau.
  • Mengandalkan exactly-once sebagai asumsi desain padahal side effect tidak idempotent.

Penutup

Saat queue melambat, penyebab paling mahal sering bukan kekurangan compute, tetapi koordinasi yang tidak efisien di sekitar worker. Lock contention, retry storm, poison message, cache stampede, hot key, prefetch berlebih, idempotensi lemah, dan write-behind yang tidak konsisten dapat menurunkan throughput walau mesin terlihat sibuk atau bahkan masih longgar.

Pendekatan yang paling efektif adalah audit end-to-end: ukur waktu tunggu, bukan hanya waktu proses; pisahkan error transient dan permanent; sempitkan lock; batasi retry; gunakan DLQ; kelola cache dengan anti-stampede; dan desain handler agar idempotent. Dengan begitu, Anda tidak sekadar menambah kapasitas, tetapi benar-benar menghilangkan overhead operasional yang membuat worker tersendat saat beban naik.