http://www.infoq.com/cn/articles/cap-twelve-years-later-how-the-rules-have-changed
傳統數據庫堅守ACID特性(原子性、一致性、隔離性、持久性)
CAP定理(CAP theorem),又被稱作布魯爾定理(Brewer's theorem),它指出對于一個分布式計算系統來說,不可能同時滿足以下三點:
- 一致性(Consistence) (等同于所有節點訪問同一份最新的數據副本)
- 可用性(Availability)(每次請求都能獲取到非錯的響應——但是不保證獲取的數據為最新數據)
- 分區容錯性(Network partitioning)(以實際效果而言,分區相當于對通信的時限要求。系統如果不能在時限內達成數據一致性,就意味著發生了分區的情況,必須就當前操作在C和A之間做出選擇
根據定理,分布式系統只能滿足三項中的兩項而不可能滿足全部三項。理解CAP理論的最簡單方式是想象兩個節點分處分區兩側。允許至少一個節點更新狀態會導致數據不一致,即喪失了C性質。如果為了保證數據一致性,將分區一側的節點設置為不可用,那么又喪失了A性質。除非兩個節點可以互相通信,才能既保證C又保證A,這又會導致喪失P性質。
1.誤導性
首先,由于分區很少發生,那么在系統不存在分區的情況下沒什么理由犧牲C或A。其次,C與A之間的取舍可以在同一系統內以非常細小的粒度反復發生,而每一次的決策可能因為具體的操作,乃至因為牽涉到特定的數據或用戶而有所不同。最后,這三種性質都可以在程度上衡量,并不是非黑即白的有或無。可用性顯然是在0%到100%之間連續變化的,一致性分很多級別,連分區也可以細分為不同含義,如系統內的不同部分對于是否存在分區可以有不一樣的認知。
要探索這些細微的差別,就要突破傳統的分區處理方式,而這是一項根本性的挑戰。因為分區很少出現,CAP在大多數時候允許完美的C和A。但當分區存在或可感知其影響的情況下,就要預備一種策略去探知分區并顯式處理其影響。這樣的策略應分為三個步驟:探知分區發生,進入顯式的分區模式以限制某些操作,啟動恢復過程以恢復數據一致性并補償分區期間發生的錯誤。
2.權衡
怎樣緩和分區對一致性和可用性的影響是對設計師的挑戰。其關鍵是以非常明確、公開的方式去管理分區,不僅需要主動察覺分區的發生,還需要為分區期間所有可能受侵害的不變性約束預備專門的恢復過程和計劃。管理分區有三個步驟:
當系統進入到分區模式,它有兩種可行的策略。其一是限制部分操作,因此會削弱可用性。其二是額外記錄一些有利于后面分區恢復的操作信息。系統可通過持續嘗試恢復通信來察覺分區何時結束。
3.總結
系統中存在分區,系統設計師不應該盲目地犧牲一致性或可用性。設計師通過細致地管理分區期間的不變性約束,兩方面的性質都可以取得最佳的表現。隨著版本向量和CRDTs等比較新的技術逐漸被納入一些簡化其用法的框架,這方面的優化手段會得到比較普遍的應用。但引入CAP實踐畢竟不像引入ACID事務那么簡單,實施的時候需要對過去的策略進行全面的考慮,最佳的實施方案極大地依賴于具體服務的不變性約束和操作細節。
案例
自動柜員機上的補償問題
以自動柜員機(ATM)的設計來說,強一致性看似符合邏輯的選擇,但現實情況是可用性遠比一致性重要。理由很簡單:高可用性意味著高收入。不管怎么樣,討論如何補償分區期間被破壞的不變性約束,ATM的設計很適合作為例子。
ATM的基本操作是存款、取款、查看余額。關鍵的不變性約束是余額應大于或等于零。因為只有取款操作會觸犯這項不變性約束,也就只有取款操作將受到特別對待,其他兩種操作隨時都可以執行。
ATM系統設計師可以選擇在分區期間禁止取款操作,因為在那段時間里沒辦法知道真實的余額,當然這樣會損害可用性。現代ATM的做法正相反,在stand-in模式下(即分區模式),ATM限制凈取款額不得高于k,比如k為$200。低于限額的時候,取款完全正常;當超過限額的時候,系統拒絕取款操作。這樣,ATM成功將可用性限制在一個合理的水平上,既允許取款操作,又限制了風險。
分區結束的時候,必須有一些措施來恢復一致性和補償分區期間系統所造成的錯誤。狀態的恢復比較簡單,因為操作都是符合交換率的,補償就要分幾種情況去考慮。最后的余額低于零違反了不變性約束。由于ATM已經把錢吐出去了,錯誤成了外部實在。銀行的補償辦法是收取透支費并指望顧客償還。因為風險已經受到限制,問題并不嚴重。還有一種情況是分區期間的某一刻余額已經小于零(但ATM不知道),此時一筆存款重新將余額變為正的。銀行可以追溯產生透支費,也可以因為顧客已經繳付而忽略該違反情況。
總而言之,因為通信延遲的存在,銀行系統不依靠一致性來保證正確性,而更多地依靠審計和補償。“空頭支票詐騙”也是類似的例子,顧客趕在多家分行對賬之前分別取出錢來然后逃跑。透支的錯誤過后才會被發現,對錯誤的補償也許體現為法律行動的形式。
